Демьян Раменский: Каждый должен заниматься своим делом
Здравоохранение – одна из отраслей, где практически все обрабатываемые данные относятся к категории персональных. Медицинские учреждения не должны заниматься из защитой – это забота специалистов, уверен Демьян Раменский, директор по развитию CorpSoft24.
CNews: Требования к безопасности данных в здравоохранении, пожалуй, одни из самых высоких. Насколько сложно их обеспечить медицинским организациям самостоятельно?
Демьян Раменский: Да. Это так. Что касается требований, относящихся к защите персональных данных пациентов и врачебной тайны, выполнить их своими силами медицинская организация конечно же не сможет. Если она конечно не имеет в штате инженеров, системных администраторов, разработчиков, специалистов по информационной безопасности. Но ведь тогда это будет не совсем медицинская организация! Я бы поставил вопрос несколько по-другому: Как выбрать правильный подход к решению данной задачи?
CNews: Как?
Демьян Раменский: Есть два пути: интеграция или аутсорсинг (облака). Важно обратить внимание на три фактора: цена, сроки и качество (в данном случае, доступность сервиса). Каждый руководитель сам решает, что ему больше подходит.
На практике мы видим, что малый и средний бизнес чаще, чем крупные компании, выбирает облака. Что касается меня, то я за аутсорсинговый подход. Человечество не зря придумало разделение труда. Каждый должен заниматься своим делом. И это правильно.
CNews: Как выбрать надежного хостинг-провайдера?
Демьян Раменский: С практической точки зрения – проверить, как часто бывают даунтаймы, не бывает ли просадок по производительности. Многие горе-провайдеры используют «резиновые сервера», которые годятся лишь для сайта – визитки.
С формальной точки зрения, существуют требования законодательства, которые должны быть выполнены. Во-первых – внимательно прочитайте договор. Он должен содержать поручение на обработку персональных данных. Поручение должно устанавливать цели и методы обработки ПДн, а также их состав и требования к защите. Обязательно должно быть указано, какие конкретно меры согласно 1119 постановления и приказа ФСТЭК №21 берет на себя провайдер.
Во-вторых – проверьте у провайдера документы. Как минимум, у него должны быть лицензии Роскомнадзора, ФСТЭК и ФСБ и сертификаты на используемые СЗИ. Для обоснования выбора мер безопасности и СЗИ вам также понадобится модель угроз.
Вообще, мы в своей практике исходим из того, что на каждое требование нормативных документов и должно быть документально оформленное действие. Именно поэтому к нашей услуге «Хостинг ИСПДн» прилагается комплект шаблонов ОРД.
Еще очень важный момент – кто будет администрировать СЗИ. Дело это не простое. Требуются грамотные специалисты. Стоит обратить внимание на условия их привлечения. Входят ли они в стандартную техподдержку, или за их привлечение придется каждый раз платить отдельно. Если провайдер готов обеспечить не только техническую, но и методологическую, и юридическую поддержку – это одно. Если работает по принципу «заплатите и проходите» – другое. Ну и дата-центр провайдера должен находиться на территории РФ.
Вот пожалуй и все. Да, и проверьте бухгалтерский баланс. Благо сейчас для этого есть масса возможностей. С микропредприятиями с выручкой до 100 млн. в год связываться не стоит.