Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Министерства здравоохранения Нижегородской области от 14 апреля 2020 г. N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"
- Приложение N 7. Регламент учета средств защиты, документации, ключевых документов и электронных носителей персональных данных в сегментах медицинской информационной системы Нижегородской области "МИС Сегмент ГБУЗ"
Приложение N 7. Регламент учета средств защиты, документации, ключевых документов и электронных носителей персональных данных в сегментах медицинской информационной системы Нижегородской области "МИС Сегмент ГБУЗ"
Приложение N 7
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од
Регламент
учета средств защиты, документации, ключевых документов и электронных носителей персональных данных в сегментах медицинской информационной системы Нижегородской области "МИС Сегмент ГБУЗ"
1. Общие положения
Регламент учета средств защиты, документации и электронных носителей персональных данных (далее - Регламент или Инструкция) устанавливает:
- порядок учета, ввода в эксплуатацию и изъятия из употребления средств, используемых для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) "МИС Сегмент ______________________________________" (далее - сегмент МИС);
- порядок приема, учета, обработки и хранения документов в ГБУЗ НО, содержащих персональные данные, обрабатываемые в сегменте МИС;
- порядок приема, учета, хранения и выдачи электронных идентификаторов, ключевой информации, средств криптографической защиты информации (далее - СКЗИ), эксплуатационной и технической документации к ним и носителей информации в сегменте МИС, содержащих персональные данные.
Требования Регламента распространяются на администраторов и пользователей сегмента ГБУЗ МИС.
Ознакомление с требованиями Регламента пользователей системы осуществляет лицо, исполняющее функции администратора системы сегмент ГБУЗ МИС, под роспись.
1.1. Порядок пересмотра инструкции
Регламент подлежит пересмотру при изменениях перечня решаемых задач, состава технических и программных средств ИСПДн "МИС Сегмент ГБУЗ", приводящих к существенным изменениям технологии обработки ПДн.
Вносимые изменения не должны противоречить другим положениям Регламента.
1.2. Ответственные за выполнение регламента
На администратора системы "МИС Сегмент ГБУЗ" возлагается персональная ответственность за выполнение всех обязанностей, возложенных на них в настоящем Регламенте.
За правонарушения, совершенные в процессе своей деятельности, они несут ответственность в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
2. Порядок учета и хранения средств защиты персональных данных
Используемые или хранимые средства защиты персональных данных, в т.ч. СКЗИ, эксплуатационная и техническая документация к ним, ключевые документы, подлежат поэкземплярному учету администратором системы сегмента ГБУЗ МИС. При этом программные средства защиты персональных данных должны учитываться совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование.
Все экземпляры средств защиты персональных данных, в т.ч. СКЗИ, эксплуатационной и технической документации к ним, ключевых документов, должны выдаваться под расписку в соответствующем журнале поэкземплярного учета пользователям средств защиты персональных данных, несущим персональную ответственность за их сохранность.
Эксплуатационная и техническая документация, а также электронные носители с инсталляционными файлами средств защиты информации должны содержаться в металлических хранилищах (шкафах, ящиках, сейфах и др.), оборудованных внутренними замками с двумя или более экземплярами ключей, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Хранилища должны быть опечатаны. Ключ от хранилища должен храниться у администратора системы сегмента ГБУЗ МИС либо у Главного врача - ответственного за обработку ПДн в сегменте ГБУЗ МИС.
Аппаратные средства вычислительной техники сегмента ГБУЗ МИС (терминальные станции и инфоматы), с которыми осуществляется штатное функционирование средств защиты персональных данных, должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) должно быть таким, чтобы его можно было визуально контролировать.
При поставке СКЗИ администратор системы сегмента ГБУЗ обязан провести полную проверку поставляемого СКЗИ. Для проверки необходимо:
- проверить комплектность СКЗИ на соответствие формуляру;
- сверить серийные, заводские и регистрационные номера, указанные на СКЗИ, с номерами, указанными в формуляре на поставляемое СКЗИ;
- проверить наличие в комплекте сертификатов соответствия ФСБ и их срок действия;
- убедиться в том, что контрольные пломбы на аппаратном СКЗИ и целостность упаковки установочного комплекта программного СКЗИ не нарушены.
Администратор системы обязан осуществлять учет всех экземпляров СКЗИ, эксплуатационной и технической документации, ключевых документов к ним.
3. Порядок изъятия из употребления и уничтожения средств защиты информации
Средства защиты персональных данных изымаются из употребления исключительно по разрешению администратора безопасности МИС (сотрудник ГБУЗ МИАЦ НО). При этом администратором системы сегмента ГБУЗ МИС вносятся необходимые изменения в Журналы "МИС Сегмент ГБУЗ" и Технический паспорт на ИСПДн "МИС Сегмент ГБУЗ". Если эксплуатация средств защиты персональных данных, намеченных к изъятию из употребления, происходит в составе аттестованной ИСПДн, о прекращении эксплуатации средств защиты персональных данных необходимо уведомить организацию, производившую аттестацию данной ИСПДн. При этом средства защиты персональных данных считаются изъятыми из употребления, если исполнена предусмотренная эксплуатационной и технической документацией процедура удаления программного обеспечения средств защиты персональных данных и они полностью отсоединены от аппаратных средств.
Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации СЗИ и криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования, должна быть надежно удалена.
Уничтожение производится по акту администратором системы ГБУЗ МИС совместно с ответственным за организацию обработки ПДн в сегменте (главным врачом). Уничтожение может производиться сторонней организацией, действующей на договорной основе, в присутствии администратора системы сегмента ГБУЗ.
3.1. Уничтожение ключевой информации
Ключевая информация уничтожается (изымается) при обязательном письменном согласовании с администратором безопасности информационной системы МИС НО (сотрудник ГБУЗ МИАЦ НО).
Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя.
Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации).
Бумажные и прочие сгораемые ключевые носители, а также эксплуатационная и техническая документация к СКЗИ уничтожаются путем сжигания или с помощью любых бумагорезательных машин.
Ключевая информация должна быть уничтожена в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах "МИС. Сегмент ГБУЗ". В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам.
В случае если данные хранились в шифрованном виде, то их необходимо перешифровать на новых криптоключах.
Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются администратором безопасности самостоятельно под расписку в аппаратном журнале.
4. Порядок работы с документацией, содержащей персональные данные
Рабочими процессами МИС не предусмотрено использование информации, содержащей ПДн, представляемой гражданами либо сторонними организациями в печатном или электронном виде на бумажных или электронных носителях либо передаваемых в электронном виде. Все полученные данные в информационную систему вносятся пользователями.
Рабочими процессами МИС предусмотрен вывод на печать информации из прикладного комплекса МИС.
Выдача информации гражданам или их законным представителям осуществляется в порядке, определенном технологией работы МИС.
Выдача информации, содержащей ПДн граждан, представителям сторонних организаций должна осуществляться только на законной основе в соответствии с "Положением по обработке и защите персональных данных в МИС". Указанные документы подлежат учету в соответствии с правилами документооборота Учреждения здравоохранения и должны выдаваться представителям сторонней организации под роспись. Пересылка указанных документов осуществляется только в законвертированном виде.
Передача информации, содержащей ПДн граждан, в сторонние организации должна осуществляться только на законной основе в соответствии с "Положением по обработке и защите персональных данных в МИС", а также утвержденными обеими сторонами Регламентами взаимодействия.
Уничтожение документов, содержащих персональные данные, осуществляется сотрудниками учреждения здравоохранения или администратором системы сегмента ГБУЗ МИС путем уничтожения в шредере (уничтожителе бумажных документов) либо путем сжигания.
5. Порядок хранения носителей, содержащих ПДН
В сегментах МИС Учреждений здравоохранения Нижегородской области не производится хранение информации, содержащей ПДн, на электронных носителях.
Лист ознакомления ответственных лиц УЗ
|
N |
ФИО, должность |
Дата ознакомления |
Подпись |
|
1. |
|
|
|
|
2. |
|
|
|
|
3. |
|
|
|
|
4. |
|
|
|
|
5. |
|
|
|
|
6. |
|
|
|
|
7. |
|
|
|
|
8. |
|
|
|
|
9. |
|
|
|
|
10. |
|
|
|
|
11. |
|
|
|
|
12. |
|
|
|
|
13. |
|
|
|
|
14. |
|
|
|
|
15. |
|
|
|
|
16. |
|
|
|
|
17. |
|
|
|
|
18. |
|
|
|
|
19. |
|
|
|
|
20. |
|
|
|
|
21. |
|
|
|
|
22. |
|
|
|