О сервисе

Служба поддержки «АльфаДок»: самые популярные вопросы по итогам I полугодия 2020 года

4 августа 2020 г.

Специалисты Службы поддержки «АльфаДок» составили перечень самых популярных вопросов пользователей программного комплекса по итогам I полугодия 2020 года. Перечень сформирован на основе статистики обращений по всем доступным каналам: по телефону горячей линии, электронной почте, через онлайн-консультант, мессенджеры. Всего за 6 месяцев текущего года экспертам «НПЦ «КСБ» поступило и обработано более 1800 запросов на консультации, ни один запрос не остался без ответа.

«Анализ поступающих вопросов позволяет нам выявлять сложности, возникающие у пользователей при работе с программным комплексом, развивать наш продукт, расширяя его функциональные возможности и повышая удобство использования, – отметил заместитель генерального директора ООО «НПЦ «КСБ» Максим Сорокин. – Кроме консультаций наших пользователей, мы регулярно проводим для них вебинары, где эксперты разбирают сложные и часто задаваемые вопросы. Ближайшая подобная встреча запланирована на середину октября. Для пользователей региональных и ведомственных систем управления процессами и мероприятиями по защите информации, созданных на базе ПК «АльфаДок.Платформа», мы на этапе внедрения обязательно проводим обучающие вебинары, на которых стараемся учитывать результаты анализа поступающих обращений».

Одним из популярных является  вопрос об отнесении программных комплексов (ПК) к программным комплексам других организаций.

Мнение Службы поддержки «АльфаДок»:

Используемый программный продукт можно считать ПК другой организации в случае, если оператором данного ПК и оператором его базы данных (БД) является сторонняя организация  и подключение к указанному ПК осуществляется посредством «тонкого» клиента, например, через web-браузер или через терминальные станции, не имеющие собственных вычислительных мощностей. Примерами программных комплексов других организаций могут служить Сбербанк Бизнес Онлайн (ПАО «Сбербанк России») и Контур-Экстерн (ЗАО «ПФ «СКБ Контур»). Включать ПК других организаций в состав своих информационных систем не требуется.

В случае подключения к БД сторонней организации и, соответственно, передачи ПДн через «толстый» клиент, используемый программный продукт следует включить в состав информационных систем организации в связи с наличием возможности обрабатывать и хранить информацию на локальных персональных компьютерах независимо от сервера БД.

Ещё один вопрос, с которым пользователи часто обращаются в Службу поддержки «АльфаДок», касается определения категорий субъектов ПДн, данные которых обрабатываются в организации. Зачастую пользователи выделяют только самые очевидные категории: работники организации, клиенты.

Мнение Службы поддержки «АльфаДок»:

Рекомендуется рассматривать более широкий перечень категорий субъектов ПДн, в частности, учитывать такие категории, как:

  • работники;
  • близкие родственники работников;
  • уволенные работники;
  • студенты по целевому приему;
  • практиканты;
  • физические лица, с которыми заключен договор гражданско-правового характера.

Также необходимо рассматривать профильные категории субъектов ПДн для конкретных типов организаций, например для медицинских учреждений это:

  • граждане, обратившиеся за медицинской помощью;
  • близкие родственники граждан, обратившихся за медицинской помощью;
  • законные представители граждан, обратившихся за медицинской помощью.

И даже этот перечень не является исчерпывающим. Итоговый вариант в обязательном порядке необходимо согласовывать с работниками кадровой службы и другими сотрудниками, которые осуществляют обработку ПДн.  Отметим, что Роскомнадзор в ходе проверок уделяет особое внимание вопросу категорий субъектов ПДн.

Ну и, наконец, лидером перечня стал вопрос об определении целей обработки персональных данных (ПДн) и формировании информационных систем персональных данных (ИСПДн).

Действительно, законодательно порядок формирования информационных систем не определен. Пользователи могут как объединить несколько программных комплексов с совместимыми целями обработки ПДн в одну ИСПДн, так и выделить каждый из них в отдельную ИСПДн. При выборе второго способа значительно увеличивается объём разрабатываемой документации: некоторые документы (например, Акт определения уровня защищенности ПДн при их обработке в ИСПДн и Модель угроз безопасности ПДн) необходимо будет разработать для каждой из систем.

Мнение Службы поддержки «АльфаДок»:

Рекомендуется группировать программные комплексы с совместимыми целями обработки ПДн в одну информационную систему, руководствуясь при этом одним из основных принципов обработки ПДн: «не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой» (ч.3 ст.6 федерального закона «О персональных данных»).

?