@IrinaBubley
коммерческая служба заказчика

Как понять, что подрядчик разработает безопасный продукт без утечек данных?

Здравствуйте! Уважаемые специалисты и начинающие. Подскажите.
Мы - коммерческое медицинское учреждение. Нам предлагают разработать информационную систему в виде сайта, где будет личный кабинет пациента, откуда он будет получать свои медицинские данные, ну а мы, собственно говоря - будем вносить. Оставим за скобками аспекты типа "пациент передал кому-то пароль, сотрудник кому-то передал пароль, и персональные данные утекли".
Волнует иной аспект сохранности персональных данных. По закону, ВСЮ ответственность за утечку перс.данных несет мед.учреждение.
В том числе, если вдруг мы добросовестно соблюдая меры охраны перс.данных, внесем данные в информационную систему-сайт, а они оттуда куда-то утекут.

Мы же не программисты, чтобы оценить надежность конечного продукта-сайта.
Когда мы спрашиваем потенциальных разработчиков (и не одну компанию), то нам отвечают: "мы разрабатываем качественно, и никуда ваши данные не денутся, все будет работать нормально, мы много лет на рынке и сделали много проектов, еще никто не жаловался". Получается, любому подрядчику мы просто должны поверить на слово?

Внимание, вопрос! Действительно ли нет никаких стандартов, спецификаций, требований к коду программного продукта (сайта, медицинской системы), сертификатов, регламентированных проверок, тестов, перечня угроз и устойчивостей и пр., или же требований к компании-разрабочику? Для того, чтобы оценить, что то продукт, который мы у них закажем, не будет "дырявым" и не "подставит" нас, как мед.учреждение, за утерю персональных данных?
Как оценить подрядчика?
  • Вопрос задан
  • 437 просмотров
Решения вопроса 2
Stalker_RED
@Stalker_RED
Слово "аудит" вам знакомо? Предупредите подрядчика, что по окончанию работ будет проведен аудит безопасности. Ну и наймите хорошего аудитора.

На счет стандартов могу припомнить разве что ISO 9001, который хоть и не заточен конкретно под медицинские, но используется некоторыми фарм-компаниями, например.

Вот само содержимое: guap.ru/guap/standart/kach/gost_r_iso_9001-2015.pdf
Ответ написан
iiiBird
@iiiBird
Пока ты спишь - твой конкурент совершенствуется
если хотите без запар - нанимаете хорошего программиста, который в будущем будет заниматься поддержкой вашего сайта. главное слово тут - хорошего. ну и собственно на начальном этапе его задачей будет написание и согласование тз с веб студией, которая вам будет разрабатывать сайт.
тобишь разработка сайта будет под надзором вашего программиста - это раз.
в дальнейшем тоже безопасность будет под контролем. потому что им будет заниматься этот программист.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
tema_sun
@tema_sun
Только лишь одним хорошим програмистом тут не отделаешься. Команда должна знать специфику.
У американцев для медицинских данных есть HIPAA.
Ответ написан
@marsel0009
Существуют инструменты (программное обеспечение), которые специально разработаны для проверки исходного кода на наличие слабых мест (уязвимостей и ошибок). В рамках договора с подрядчиком можно включить проверку исходного кода на уязвимости, результатом которого будет отчет, полученый из системы. Но в целом это не решит проблему, так как ежедневно появляются ранее неизвестные уязвимости, то есть если сейчас их нет, это не означает, что завтра их не будет. Для этого существует отдельный класс решений - WAF (Web Application Firewall), который с помощью сигнатурного метода (знаний о существующих угрозах) и машинного обучения смогут повысить уровень киберустойчивости Вашего ресурса.
Программист - это человек который пишет код системы, специалист по безопасности - человек, который постарается построить защищенную систему. Не нужно путать.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы