Всем добрый. Сейчас выбираем хостинг на 152 ФЗ что бы развернуть область разработки нашего решения.
Столкнулся с вот какой, даже не знаю как назвать, проблемой наверное...
У нас мед данные.
УЗ-3 дл 100000 чел (на старте)
Мы даем только сервис для первичного осмотра пациента по карте формы 110/у, возможность выпуска/подписи по УКЭП документов/оплаты пациентом через платежные системы.
Итого максимум, что мы собираем - это первичные данные о состоянии здоровья, на основе которых уже врач принимает решение о назначении лечения, телефон пациента (косвенно), адрес. ФИО, СНИЛС, ПАСПОРТ, ПОЛИС для пациента - не нужны.
Из спорных данных: мы выпускаем подпись у себя в приложении через УЦ (удостов. центр), там да мы просим ввести паспорт, снилс, инн, прописку - но только для врача...
Сервера по ФЗ 152 - это мне понятно, но как быть с остальным перечнем:
Средства анализа защищенности и поиска уязвимостей (CАНЗ)
Средства антивирусной защиты (CАВЗ)
Средства доверенной загрузки (СДЗ)
Средства защиты от несанкционированного доступа (СЗИ от НСД)
Средства защиты среды виртуализации (СЗСВ)
Средства криптографической защиты информации (СКЗИ)
Средства криптографической защиты информации (СКЗИ)
для шифрования баз данных, дисков и файлов
Вопрос, на сколько это нужно нашему стартапу, вся вот эта защита, что указана выше. Буде признателен за разьяснения, может ссылки.
ПС. Однозначного ответа у хостеров нету. Кто то говорит что, аккредитация да, потребуется, а кто то говорит что. нет - лна не нужна..
Теоретически все эти средства можно обосновать уже стандартами мерами защиты. Тут думаю у юриста уточнит надо, что будет если придут к вам с запросом о предоставление данных по таким стандартам и если стандарта нету.
p.s. Встречал больницы, где подобные CRM были, на взломаной винде сервера, с взломаной 1с и куча всего. С паролем на экране на листке и т.д.
bit8, да, я тоже такие видел, это ужас) Мы к 1С не привязываемся, а даем возможность отправки данных в ЕГИСЗ. Но в ту нишу, куда сейчас идем, там ЕГИСЗ не нужно. Отсюда и вопрос)
Вам надо найти специалиста по ИБ, который именно такой тематикой и занимается. Такие есть.
Здесь технари не помогут.
Из того что я слышал краем уха:
Хостинг провайдеры обычно про это ничего не знают. Даже один оператор хотел предложить ВПН услугу, но при этом про сертификацию они сами ничего не знают.
Все используемые средства защиты из списка должны иметь сертификаты и быть в реестре с действующей регистрацией. Железки тоже должны быть "отечественные" и "защищенные". Попробуйте обратиться в крупнейшие облачные хостинг провайдеры: Яндекс, Сбер, МТС, Селектел, РТ. Их клиенты тоже нуждаются в исполнении подобных требований и скорее всего они имеют нужную коллекцию бумажек и реестровых записей.
Либо будьте готовы строить свою инфраструктуру.
Еще один вариант - это иметь план внедрения данных требований по ИБ и потихонечьку его воплощать. Но удастся ли применить такой подход к новому проекту - не знаю. К существующим ИС такое можно. При проверке пожурят. Но сильно не накажут.
hx510b, спасибо. Да общаюсь, но толком мне ни кто объяснить не может, нужно в нашем случае вся эта СЗИ-трагедия. Мнения расходятся, и тут надо понимать, что конечно, все хотят заработать, и на честность расчитывать не приходится. Мнения разделяются, а воз и ныне там. Вся эта бутафория стоит с аккредитацией стоит порядка 500 к в среднем. Потратится можно, но вот нужно-ли, мне не совсем понятно...
У потенциальных заказчиков нужно узнавать какие именно защиты и сертификаты им нужны. Т.к. хранить Вы будете их данные, которые они Вам предоставляют. Ну и отсюда уже плясать по стоимости этого всего и необходимых доработок/вариантов.
Тут надо детально смотреть, как именно происходит работа с данными, и кто и как имеет к ним доступ - и уже на основе этого строить всю защиту.
Какие-то вещи просто не нужны из принципа, что у тебя просто нечего этим защищать (СЗСВ, СДЗ)
Какие-то можно компенсировать регламентами и доступами (САНЗ, САВЗ, СДЗ)
Так что тут выбора два:
1. Внимательно читать стандарты, сам текст закона, всякие регламенты и разъяснения от РКН итд.
2. Обратиться к какой-нибудь компании, которая на этом специализируется.
"Хостинг по 152 ФЗ" - это вершина айсберга, которая гарантирует только две вещи:
1. Ограничение физического доступа к серверам
2. Удаление данных, когда вы перестанете этими серверами пользоваться