У компании, которая занимается разработкой и производством медицинского программного обеспечения (ПО), обычно выделают два типа инфраструктуры: офисная и цифровая.
К офисной инфраструктуре относится производственное помещение (производственная площадка) и офисная техника, но это может быть и место в коворкинге, куда программист приходит со своим ноутбуком. Соответственно, если персонала в компании немного, и для производственной площадки достаточно места в коворкинге (производственный процесс это позволяет), то это должно быть обосновано в документации Системы менеджмента качества. Офисная инфраструктура в виде места в коворкинге обычно не является критической для производителя ПО – критическим моментом здесь будет юридический адрес, если компания в этом коворкинге зарегистрирована (не все коворкинги предоставляют возможность регистрации). Однако, разработчики ПО – достаточно мобильные компании, и могут менять свою дислокацию в зависимости от своих задач. Мы будем говорить как раз о компактных командах разработки и производства ПО, которым достаточно рабочего места в коворкинге.
Мы успели поработать в разных коворкингах в России – все они, в целом, предлагают один и тот же набор услуг – рабочее место, комната для собраний команды или переговорная комната, чай-кофе, место для хранения вещей и документов (запирающийся ящик с кодовым замком или ключом). Поэтому переезд из одного коворкинга в другой – достаточно простое мероприятия, поставщик офисной инфраструктуры (арендодатель) в таком случае критическим поставщиком не является. Однако, при инспектировании такой производственной площадки, компания должна предоставить договор аренды рабочего места, в котором прописаны все условия аренды, в том числе и условия доступа к офисным (сетевой принтер, сканер, копировальная техника) и вычислительным ресурсам арендодателя (если таковые имеются).
Цифровая инфраструктура включает облачные сервисы (облачные инструменты для разработки и тестирования, виртуальные машины, хранилища данных) для развертывания программного обеспечения (например, развертывания нейросети для её обучения). Для разработчиков и производителей ПО поставщик цифровой инфраструктуры является критическим поставщиком и должен быть валидирован. Как правило, разработчики ПО для применения в здравоохранении, имеют дело с персональными данными пациентов, поэтому сама компания должна быть внесена в Реестр операторов персональных данных Роскомнадзора и показать на инспекции документы, что данные пациентов собраны и обрабатываются в соответствии с действующим законодательством. По этой причине облачная инфраструктура критического поставщика должна быть защищена в соответствии с требованиями Федерального закона Российской Федерации «О персональных данных» No 152-ФЗ и иметь Аттестат соответствия требованиям по защите информации. Желательно, чтобы в договоре с таким критическим поставщиком был раздел «Соглашение о качестве» или «Разделение ответственности по безопасности и качеству».
Также не лишним будет проверить у поставщика цифровой инфраструктуры наличие сертификатов ISO 27001/27017/27018. Стандарт ISO 27001 является основным стандартом обеспечения информационной безопасности для поставщиков облачной инфраструктуры, а стандарты ISO 27017 и 27018 дополняют и детализируют его. Стандарт ISO 27001 содержит базовые требования к системе управления информационной безопасностью облака, ее внедрению, поддержанию и непрерывному улучшению. Стандарт ISO 27017 содержит требования и рекомендации по обеспечению информационной безопасности специально для облачных сервисов, а стандарт ISO 27018 даёт рекомендации по защите персональных данных при их обработке.
Обращайте внимание на этим моменты при выборе критического поставщика цифровой инфраструктуры.