Эксперт компании corpsoft24

Эксперт компании CorpSoft24 ответил на вопросы по защите персональных данных в сфере здравоохранения Интерент-изданию CNews.

Демьян Раменский: Каждый должен заниматься своим делом

Здравоохранение одна из отраслей, где практически все обрабатываемые данные относятся к категории персональных. Медицинские учреждения не должны заниматься их защитой это забота специалистов, уверен Демьян Раменский, директор по развитию CorpSoft24.

CNews: Требования к безопасности данных в здравоохранении, пожалуй, одни из самых высоких. Насколько сложно их обеспечить медицинским организациям самостоятельно?
Демьян Раменский: Да. Это так. Что касается требований, относящихся к защите персональных данных пациентов и врачебной тайны, выполнить их своими силами медицинская организация конечно же не сможет. Если она конечно не имеет в штате инженеров, системных администраторов, разработчиков, специалистов по информационной безопасности. Но ведь тогда это будет не совсем медицинская организация! Я бы поставил вопрос несколько по-другому: Как выбрать правильный подход к решению данной задачи?

CNews: Как?
Демьян Раменский: Есть два пути: интеграция или аутсорсинг (облака). Важно обратить внимание на три фактора: цена, сроки и качество (в данном случае, доступность сервиса). Каждый руководитель сам решает, что ему больше подходит.
На практике мы видим, что малый и средний бизнес чаще, чем крупные компании, выбирает облака. Что касается меня, то я за аутсорсинговый подход. Человечество не зря придумало разделение труда. Каждый должен заниматься своим делом. И это правильно.

CNews: Как выбрать надежного хостинг-провайдера?
Демьян Раменский: С практической точки зрения проверить, как часто бывают даунтаймы, не бывает ли просадок по производительности. Многие горе-провайдеры используют резиновые сервера, которые годятся лишь для сайта визитки.

С формальной точки зрения, существуют требования законодательства, которые должны быть выполнены. Во-первых внимательно прочитайте договор. Он должен содержать поручение на обработку персональных данных. Поручение должно устанавливать цели и методы обработки ПДн, а также их состав и требования к защите. Обязательно должно быть указано, какие конкретно меры согласно 1119 постановления и приказа ФСТЭК 21 берет на себя провайдер.

Интересная статья:  выбор хостинговой компании

Во-вторых проверьте у провайдера документы. Как минимум, у него должны быть лицензии Роскомнадзора, ФСТЭК и ФСБ и сертификаты на используемые СЗИ. Для обоснования выбора мер безопасности и СЗИ вам также понадобится модель угроз.

Вообще, мы в своей практике исходим из того, что на каждое требование нормативных документов и должно быть документально оформленное действие. Именно поэтому к нашей услуге Хостинг ИСПДн прилагается комплект шаблонов ОРД.

Еще очень важный момент кто будет администрировать СЗИ. Дело это не простое. Требуются грамотные специалисты. Стоит обратить внимание на условия их привлечения. Входят ли они в стандартную техподдержку, или за их привлечение придется каждый раз платить отдельно. Если провайдер готов обеспечить не только техническую, но и методологическую, и юридическую поддержку это одно. Если работает по принципу заплатите и проходите другое. Ну и дата-центр провайдера должен находиться на территории РФ.

Вот, пожалуй, и все. Да, и проверьте бухгалтерский баланс. Благо сейчас для этого есть масса возможностей. С микропредприятиями с выручкой меньше 100 млн. рублей в год связываться не стоит.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *