Как организовать защиту персональных данных для медицинской информационной системы?
Добрый день!
Занимаюсь разработкой комплексной медицинской информационной системы и столкнулся с вопросом защиты персональных данных категории К1 в соответствии с законом 152-ФЗ. Возник вопрос, что делать, как быть? С чего начать?
Сейчас тестовая версия системы работает на VDS под управлением Debian 7. В качестве http сервера использую nginx+php-fpm. Проект задумывался как SaaS решение для медицинских учреждений, но недавно выяснилось, что мы не имеем право запускать такую систему, так как не получим сертификат от ФСБ и ФСТЭК, мол откажут они нам по причине не возможности защитить данные К1 с применением выбранной технологии.
Если конструктивно, то:
1. Понятно, что нужно шифрование данных. Как реализовать? Есть ли смысл использовать HTTPS и SSL-сертификат?
2. Есть ли смысл покупать AltLinux сертифицированный на хранение персональных данных или можно использовать все тот же Debian 7?
3. Как подготовить приложение к проверке и аттестации в ФСТЭК?
4. На что в первую очередь следует обратить внимание?
5. На данный момент изучаю следующие нормативные документы: ФЗ-152, ФСТЭК №17, ФСТЭК №21. Какие еще следует изучить?
6. Какие технические решения я обязан использовать?
7. Какие минимальные меры являются достаточными?
Очень надеюсь на поддержку специалистов в данном вопросе!
Класов сейчас нет. К1 это устаревшая классификация.
Изучайте Постановление Правительства №1119 и определяйте требуемый уровень защищенности (УЗ).
При определении УЗ считайте, что для вас неактуальны угрозы 1-ого и 2-ого типа (недекларируемые возможности в системном и прикладном ПО) иначе требования к средсвам защиты информации у вас будут жесткие.
По шифрованию читайте приказ ФСБ №378
Меры описаны в 21 приказе ФСТЭК. От сертифицированных решений вам будет уйти сложно, тем более если вы будете предлагать это как услугу.
Учтите, что для установки сертифицированных СКЗИ необхожима лицензия ФСБ, в вашем случае необходимо будет приглашать лицензианта.
Вообще тема создания СЗПДн сложная и объемная, приходится идти на компромиссы между функциалом и выполнением закона.