Существуют ли технические требования к информационным системам для гос учереждений?

Question

[irvdev]

Здравствуйте! Есть заказ от госучереждения на разработку системы для хранения данных о пациентах. Система должна быть доступна через удаленный сервер.

Какие требования предъявляются к самой системе и какой сервер для этого точно подойдет? Подойдет ли обычный выделенный сервер от Российского хостинга?

Спасибо.

Answer 1

[spotifi]

Подстраховываются обычно. Используют сертифицированные.

Ко мне как то обращались заказчики - список требований прям только Битрикс и подходит. Я им отказал - слишком много гемороя. То есть кто подсуетился, сертифицировал себя - того и тапки.

Примеры сертифицированных:
Ростелеком, Крок, nic.ru

Comments

[irvdev]

А если мы будем писать не на битрикс, а на php + Yii? Так вообще можно или для этого только битрикс подходит?

[spotifi]

irvdev:
они всего лишь подстраховываются. то есть это не обязательное требование.

[irvdev]

А где вообще можно про все это почитать? чтобы понимать какие есть обязательный, а какие не обязательные требования

Answer 2

[Rsa97]

Если хранится не обезличенная медицинская информация - это персональные данные категории К1, понадобится сертификация во ФСТЭК.

Comments

[landergate]

Перечисление некоторых сертифицированных ЦОДов:
Кто из VPS хостеров в России сертифицирован ФСТЭК?

[irvdev]

Спасибо! Я правильно понимаю, что если мы разместим нашу систему сертифицированного хостера, то этого будет достаточно? Или есть еще какие то требования к самой системе размещенной на этом сервере?

[Rsa97]

irvdev: Конечно же требования будут к самой системе. Посмотрите, например, здесь

[irvdev]

Rsa97: Будем разбираться. Спасибо!

[Евгений]

Rsa97: Никаких классов (типа K1) уже нет с давно. даже по вашей ссылке написано НЕ АКТУАЛЬНО В СВЯЗИ С ВЫХОДОМ: Постановления Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Answer 3

[Евгений]

Если это госучереждение, то вам надо читать 17-ый приказ ФСТЭК "Об утверждении Требований о за....
Для примерной оценки мер, которые должны быть в вашей системе смотрите Приложение 2 к этому приказу и столбец со вторым классом защищенности информационной системы.
Так же не забывайте, что вам придется делать аттестацию (см. п.17 приказа).
Все реально, но геморно.