Приказ Минздрава РТ от 30.09.2014 N 1767 "Об организационных мероприятиях по информационной безопасности"
МИНИСТЕРСТВО ЗДРАВООХРАНЕНИЯ РЕСПУБЛИКИ ТАТАРСТАН
ПРИКАЗ
от 30 сентября 2014 г. № 1767
ОБ ОРГАНИЗАЦИОННЫХ МЕРОПРИЯТИЯХ ПО
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В рамках организации работы в Единой государственной информационной системе "Электронное здравоохранение Республики Татарстан" (далее - ЕГИС ЭЗ РТ), в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", переходом отрасли здравоохранения на ведение медицинской документации в электронном виде приказываю:
1. Назначить функциональным оператором единой государственной информационной системы "Электронное здравоохранение Республики Татарстан" (далее - ЕГИС ЭЗ РТ) ГАУЗ Республиканский медицинский информационно-аналитический центр (далее - РМИАЦ).
2. Утвердить Перечень организационно-распорядительных документов системы информационной безопасности ЕГИС ЭЗ РТ (приложение).
3. Возложить ответственность за обеспечение требований по защите конфиденциальной информации на руководителей медицинских организаций.
4. Руководителям медицинских организаций (далее - МО):
4.1. Назначить ответственного за организацию работ по защите персональных данных из числа руководителей подразделений, осуществляющих эксплуатацию ЕГИС ЭЗ РТ и прошедших обучение на специализированных курсах повышения квалификации по защите персональных данных в объеме не менее 40 часов.
4.2. Документально (приказом, распоряжением, обязательством, соглашением к трудовому договору и т.д.) закрепить персональную ответственность за лицами, ответственными за обработку персональных данных, ответственными за защиту информации (в том числе персональных данных), а также за системными администраторами и администратором информационной безопасности.
4.3. Возложить методическое руководство и контроль за эффективностью предусмотренных мер на ответственных за организацию работ по защите персональных данных.
4.4. Провести обучающий семинар для специалистов, осуществляющих обработку персональных данных в ЕГИС ЭЗ РТ, по правилам и мерам защиты конфиденциальной информации и персональных данных в объеме не менее 8 часов для ознакомления с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
4.5. Определить порядок организации и проведения работ по защите конфиденциальной информации (учитывающий порядок определения защищаемой информации, порядок эксплуатации ЕГИС ЭЗ РТ) в соответствии с документами системы информационной безопасности ЕГИС ЭЗ РТ (приложение).
4.6. Уведомить до начала обработки персональных данных уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор Республики Татарстан) о своем намерении осуществлять обработку персональных данных.
4.7. Определить порядок взаимодействия с третьими лицами в части передачи, сбора, обработки и хранения персональных данных.
4.8. Утвердить перечень сведений составляющих конфиденциальную информацию, подлежащих защите.
4.9. Утвердить перечень персонала (пользователей, исполнителей), допущенных к обработке конфиденциальной информации (в том числе персональных данных).
4.10. Утвердить перечень лиц, ответственных за эксплуатацию ЕГИС ЭЗ РТ.
4.11. Определить порядок предоставления доступа в помещения, где расположены защищенные рабочие места врачей в государственной информационной системе в здравоохранении (далее - АРМ) и обрабатывается конфиденциальная информация (организационные меры, направленные на исключение несанкционированного доступа в помещения, порядок учета, хранения и выдачи ключей от помещения, установка и (или) замена оборудования).
4.12. Организовать ограничение доступа персонала и посторонних лиц в помещения, где размещен АРМ пользователей ЕГИС ЭЗ РТ, средства информатизации и коммуникационное оборудование, а также хранятся носители информации.
4.13. Организовать размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
4.14. Вести учет и надежное хранение бумажных и машинных носителей конфиденциальной информации, и их обращение, исключающее хищение, подмену и уничтожение.
4.15. Провести внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
4.16. Обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (опубликовать или разместить на сайте).
5. Директору ГАУЗ РМИАЦ В.Г.Шерпутовскому:
5.1. Назначить ответственного по обеспечению контроля выполнения МО требований настоящего приказа.
5.2. Организовать прием и обобщение отчетов МО о проведении мероприятий по защите персональных данных во время приема годовых отчетов за 2014 г.
6. Контроль за исполнением настоящего приказа возложить на заместителя министра И.Р.Фатихова.
Министр
А.Ю.ВАФИН
Приложение
к приказу МЗ РТ
от 30 сентября 2014 г. № 1767
ПЕРЕЧЕНЬ
ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ (ОРД) СИСТЕМЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕДИНОЙ ГОСУДАРСТВЕННОЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ "ЭЛЕКТРОННОЕ ЗДРАВООХРАНЕНИЕ
РЕСПУБЛИКИ ТАТАРСТАН"
№ п\п
Наименование ОРД
Аннотация ОРД
1
Журнал проведения инструктажа пользователей
Журнал проведения инструктажа пользователей и подтверждения уровня квалификации пользователей по работе с установленными средствами защиты информации
2
Журнал учета ВТСС
Журнал учета вспомогательных технических средств и систем (ВТСС), входящих в состав ЕГИС ЭЗ РТ
3
Журнал учета ОТСС
Журнал учета основных технических средств и систем (ОТСС), входящих в состав ЕГИС ЭЗ РТ
4
Заявка на изменение прав доступа пользователя
Заявка на имя администратора СИБ ЕГИС ЭЗ РТ от сотрудника МО
5
Инструкция по антивирусной защите
Инструкция по антивирусной защите ЕГИС ЭЗ РТ определяет требования по обеспечению антивирусной защиты ЕГИС ЭЗ РТ и устанавливает ответственность администраторов безопасности за их выполнение
6
Инструкция пользователя
Настоящая Инструкция разработана для пользователей ЕГИС ЭЗ РТ и является обязательной для исполнения всеми пользователями ЕГИС ЭЗ РТ
7
Матрица доступа к ИСПДн
Документ, определяющий права доступа пользователей к ЕГИС ЭЗ РТ
8
Матрица доступа ЕГИС ЭЗ РТ (формат xlsx)
Документ, определяющий права доступа пользователей к ЕГИС ЭЗ РТ
9
Перечень ОТСС и ВТСС
В документе указывается перечень основных технических средств и систем, входящих в ЕГИС ЭЗ РТ.
10
Перечень по учету применяемых СЗИ, ЛПУ
В документе указывается перечень применяемых средств защиты информации, эксплуатационной и технической документации к ним в лечебно-профилактическом учреждении. Должен поддерживаться в актуальном состоянии
11
Перечень по учету применяемых СЗИ, эксплуатационной
В перечне содержится следующая информация:
- название средства защиты;
- эксплуатационная информация;
- техническая документация.
Перечень должен поддерживаться в актуальном состоянии
12
Перечень сведений персональных данных и процедуры его пересмотра
Указан перечень сведений, отнесенных к персональным данным и процедуры его пересмотра
13
Перечень сведений, отнесенных к ПДн
Указан перечень сведений, отнесенных к персональным данным
14
Инструкция администратора безопасности
Инструкция разработана для администраторов безопасности ЕГИС ЭЗ РТ, включает в себя требования к составу и размещению рабочего места администратора безопасности, вопросы ответственности за эффективность мероприятий по защите информации, обрабатываемой в информационной системе персональных данных ЕГИС ЭЗ РТ, вопросы взаимодействия с пользователями ЕГИС ЭЗ РТ
15
Перечень персональных данных и процедуры его пересмотра
Указан перечень персональных данных в ЕГИС ЭЗ РТ, доступ к которым должен быть ограничен
16
Положение по организации и проведению работ по обеспечению безопасности + ПДн в ИСПДн
Документ, отражающий организационную и техническую составляющие процесса обеспечения безопасности персональных данных, обрабатываемых в ЕГИС ЭЗ РТ
17
Порядок действия должностных лиц в случае возникновения нештатных ситуаций
Указан порядок действия должностных лиц в случае возникновения нештатных ситуаций
18
Положение о разграничении доступа
Документ устанавливает порядок разграничения прав доступа к обрабатываемым персональным данным в ЕГИС ЭЗ РТ
19
Порядок изменения правил доступа к защищаемой информации
Описан порядок изменения правил доступа к защищаемой информации и техническим средствам ее сбора и обработки
20
Порядок изменения правил доступа к резервируемым ресурсам
Описан порядок изменения правил доступа к резервируемым информационным и аппаратным ресурсам ЕГИС ЭЗ РТ
21
Порядок проведения контрольных мероприятий и действий
Описан порядок проведения контрольных мероприятий в ЕГИС ЭЗ РТ
22
Порядок пропускного режима на объекты
Описан порядок пропускного режима на объекты
23
Порядок утилизации носителей информации
Описан порядок утилизации носителей информации
24
Порядок утилизации оборудования
Описан порядок утилизации оборудования
25
Порядок учета носителей информации, содержащих персональные данные
Описан порядок учета носителей информации, содержащих персональные данные
26
Приказ о назначении структурного подразделения (работника)
Приказ о назначении ответственного за обеспечение безопасности персональных данных
27
Приказ об организации работ по обеспечению безопасности
Приказ об организации работ по обеспечению безопасности
28
Регламент выгрузки и передачи персональных данных
Регламент выгрузки и передачи персональных данных
29
Регламент контроля использования технических средств обработки и передачи информации в ЕГИС ЭЗ РТ
Регламент контроля использования технических средств обработки и передачи информации в ЕГИС ЭЗ РТ
30
Перечень мероприятий по защите персональных данных
Перечень мероприятий по защите персональных данных при их обработке в ЕГИС ЭЗ РТ содержит перечень и периодичность внутренних проверок информационной системы ЕГИС ЭЗ РТ
31
Конфигурация и топология ИСПДн
Конфигурация и топология ЕГИС ЭЗ РТ физические, функциональные и технологические связи
32
Инструкция по установке и настройке программного обеспечения в АРМ
Инструкция по установке и настройке программного обеспечения на тонкие клиенты
33
Перечень персональных данных, подлежащих защите
Указан перечень персональных данных, подлежащих защите в ЕГИС ЭЗ РТ
34
Согласие представителя на обработку персональных данных
Согласие на обработку персональных данных от представителя
35
Журнал учета контрольных мероприятий
Журнал учета контрольных мероприятий, проводимых администратором безопасности ЕГИС ЭЗ РТ
36
Регламент передачи персональных данных третьим лицам
Регламент передачи персональных данных третьим лицам
37
Согласие на обработку персональных данных
Согласие на обработку персональных данных
38
Список лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей
Список лиц, доступ которых к персональным данным, обрабатываемым в ЕГИС ЭЗ РТ, необходим для выполнения служебных (трудовых) обязанностей
39
Список лиц, допущенных к работе
Список лиц, допущенных к работе с персональными данными
40
Технологический процесс обработки персональных данных в ИСПДн
Описан технологический процесс обработки персональных данных в ЕГИС ЭЗ РТ
41
Инструкция по эксплуатации СЗИ
Инструкция по эксплуатации средств защиты информации в ЕГИС ЭЗ РТ
42
Порядок доступа к защищаемой информации
Документ определяет условия и порядок доступа к информации пользователей в ЕГИС ЭЗ РТ
43
Методические рекомендации
Методические рекомендации по реализации требований документа "технические условия по подключению к ЕГИС ЭЗ РТ"
44
ТУ на подключение к ЕГИС ЭЗ РТ
Технические условия на подключение к защищенной сети передачи данных ЕГИС ЭЗ РТ
------------------------------------------------------------------