@nvgordeev

Нужно ли лицензировать информационную систему для работы с персональными данными?

Здравствуйте. Разработана информационная система для медицинской организации. В этой системе хранятся данные пациентов, диагнозы, результаты обследований и т.д.
К системе возможен доступ через Интернет как для врачей, так и для пациентов. Пациенты имеют ограниченный доступ только к истории посещений и к электронной записи на прием. Для доступа к системе пациент может зарегистрироваться самостоятельно.
На данный момент каждый пациент при первом посещении подписывает согласие на обработку персональных данных.
Планируется в дальнейшем продавать данную систему с доработками под конкретную медицинскую организацию.
Как я понял, обрабатываемые в системе данные относятся к первой категории, а система, соответственно, к классу К1.
Вопрос: нужно ли каким-то образом проводить экспертизу этой системы на соответствие требованиям закона о защите персональных данных, получать лицензию, проходить сертификацию? Если да, то куда обратиться и где можно найти, желательно, пошаговое описание процедуры. Спасибо.
  • Вопрос задан
  • 285 просмотров
Решения вопроса 1
@SergeyNN
У вас всё смешалось. А на самом деле всё очень просто.
Вам необходима система защиты информации. Для этого приглашенные специалисты с лицензией ФСТЭК на ТЗКИ проведут обследование, спроектируют систему защиты с применением средств защиты. Вот именно средства защиты и могут быть выбраны сертифицированными. Если спроектированная система защиты информации будет подразумевать шифрование данных (например, трафик от сегмента ИС к другому сегменту ИС), то приглашенные специалисты должны также обладать лицензией ФСБ на внедрение средств шифрования.
А собственно сама ваша информационная система - чиста и свободна. Ей не нужны лицензии (а лицензия - это право использования - зачем вообще это понятие тут?..), не нужны сертификаты (сертификат - подтверждение каким-либо требованиям), поскольку её задача - предоставить бизнес-инструментарий, а сертифицируют средства защиты информации. А точнее, не вы будете сертифицировать, а приобретете уже сертифицированные СЗИ.
Стоит также отметить, что обязательность применения сертифицированных СЗИ в настоящий момент определена только для государственных информационных систем.
Короче говоря, вы можете разделить задачу на 2 части: отдельно ИС, отдельно СЗИ.
Про требования к защите можно почитать
- статью 19 ФЗ 152,
- ПП РФ 1119,
- приказы ФСТЭК 17 и 21,
- приказ ФСБ 378
Они проще, чем кажутся на первый взгляд.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@other_letter
Нужно.
Ищите сами, так как потребуется глубокое изучение именно вашей ИС, а это выходит за рамки бесплатной помощи тут.
А лучше нанимайте сразу специалиста, т.к. он вам всё равно понадобится для соответствия требованиям.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы