Нужны ли СЗИ и тд для медицинской CRM?

Всем добрый. Сейчас выбираем хостинг на 152 ФЗ что бы развернуть область разработки нашего решения.
Столкнулся с вот какой, даже не знаю как назвать, проблемой наверное...
У нас мед данные.
УЗ-3 дл 100000 чел (на старте)
Мы даем только сервис для первичного осмотра пациента по карте формы 110/у, возможность выпуска/подписи по УКЭП документов/оплаты пациентом через платежные системы.
Итого максимум, что мы собираем - это первичные данные о состоянии здоровья, на основе которых уже врач принимает решение о назначении лечения, телефон пациента (косвенно), адрес. ФИО, СНИЛС, ПАСПОРТ, ПОЛИС для пациента - не нужны.
Из спорных данных: мы выпускаем подпись у себя в приложении через УЦ (удостов. центр), там да мы просим ввести паспорт, снилс, инн, прописку - но только для врача...
Сервера по ФЗ 152 - это мне понятно, но как быть с остальным перечнем:

Средства анализа защищенности и поиска уязвимостей (CАНЗ)
Средства антивирусной защиты (CАВЗ)
Средства доверенной загрузки (СДЗ)
Средства защиты от несанкционированного доступа (СЗИ от НСД)
Средства защиты среды виртуализации (СЗСВ)
Средства криптографической защиты информации (СКЗИ)
Средства криптографической защиты информации (СКЗИ)
для шифрования баз данных, дисков и файлов

Вопрос, на сколько это нужно нашему стартапу, вся вот эта защита, что указана выше. Буде признателен за разьяснения, может ссылки.

ПС. Однозначного ответа у хостеров нету. Кто то говорит что, аккредитация да, потребуется, а кто то говорит что. нет - лна не нужна..
  • Вопрос задан
  • 132 просмотра
Пригласить эксперта
Ответы на вопрос 2
anthtml
@anthtml
Системный администратор программист радиолюбитель
У потенциальных заказчиков нужно узнавать какие именно защиты и сертификаты им нужны. Т.к. хранить Вы будете их данные, которые они Вам предоставляют. Ну и отсюда уже плясать по стоимости этого всего и необходимых доработок/вариантов.
Ответ написан
Комментировать
Тут надо детально смотреть, как именно происходит работа с данными, и кто и как имеет к ним доступ - и уже на основе этого строить всю защиту.
Какие-то вещи просто не нужны из принципа, что у тебя просто нечего этим защищать (СЗСВ, СДЗ)
Какие-то можно компенсировать регламентами и доступами (САНЗ, САВЗ, СДЗ)

Так что тут выбора два:
1. Внимательно читать стандарты, сам текст закона, всякие регламенты и разъяснения от РКН итд.
2. Обратиться к какой-нибудь компании, которая на этом специализируется.

"Хостинг по 152 ФЗ" - это вершина айсберга, которая гарантирует только две вещи:
1. Ограничение физического доступа к серверам
2. Удаление данных, когда вы перестанете этими серверами пользоваться
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы