Там не все так просто, я в деталях не вникал, но прислушивался. Имеет значение количество информации, если в конце года убираю в архив и убираю доступ - не подкопаешься. Имеет место анализ модели угроз, а если модель по большому счету нигде толком не прописана, то это не значит, что мы попадаем под санкции, банки в таких случаях говорят - отвалите. Имеет значение тенденция развития законодательства, например, имеет место уход от нквд-ой дури, что по батареям могут подслушать, уменьшаются требования к техн.защите, но увеличиваюся требования к ответственности персонала, собственно там главная модель угроз.
И думаю надо рассчитывать на единую для больниц организацию, обслуживающую данную тему. (Аппендицит должен лечить хирург, а не дантист). Кстати, Тусур себя по сибирскому региону рекламирует активно, по обучению и практ.помощи.