Приложение В (справочное). Пример соглашения о политике обмена информацией. Национальный стандарт РФ ГОСТ Р ИСО/ТС 22600-1-2009 "Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1. Общие сведения и управление политикой" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14.09.2009 N 410-ст)

Приложение В
(справочное)

Пример соглашения о политике обмена информацией

     В.1 Введение

     Соглашение состоит из двух частей.

     Первая  часть  является  административной  и  определяет,  какая  информация  подлежит    обмену, какие

 медицинские  структурные  единицы  участвуют  в  обмене,  кто  отвечает  за  обмен.  В  ней   также указаны

 несоответствия  требованиям  генерального  соглашения,  требующие  согласованного  плана     действий по их

 устранению.

     Вторая часть представляет  собой  генеральное  соглашение  (соглашение  о  политике),   касающееся всех

 аспектов обмена информацией между сторонами, определенных в В.2 и В.3.

     В.2 Административная часть

     В.2.1 Стороны соглашения

     Сторона 1______________________________________________________________________________________________

     Сторона 2______________________________________________________________________________________________

     В.2.2 Область применения соглашения

     Данное соглашение применяется к обмену информацией между вышеупомянутыми сторонами и  другим  вопросам,

 требующим урегулирования в соответствии с описанием, приведенным ниже.

     В.2.3 Спецификация информации

     Соглашение касается следующей информации:

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     В.2.4 Контактные лица

     Контактными лицами являются:

     От Стороны 1

     Фамилия, имя, отчество:________________________________________________________________________________

     Телефон:____________________ адрес электронной почты:__________________________________________________

     От Стороны 2

     Фамилия, имя, отчество:________________________________________________________________________________

     Телефон номер:___________________ адрес электронной почты:_____________________________________________

     В.2.5 Примечания отдела информационной безопасности

     Документация разработана:______________________________________________________________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     Проверка безопасности осуществлена:______________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     Подписано:_____________________________________________________________________________________________

     Дата передачи документации Стороне 1: ГГ-ММ-ДД                    _____________________________________

     Дата передачи протокола проверки безопасности Стороне 1: ГГ-ММ-ДД _____________________________________

     Срок проведения мероприятия 1: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия 2: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия N: ГГ-ММ-ДД                           _____________________________________

     Дата передачи документации Стороне 2: ГГ-ММ-ДД                    _____________________________________

     Дата передачи протокола проверки безопасности Стороне 2: ГГ-ММ-ДД _____________________________________

     Срок проведения мероприятия 1: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия 2: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия N: ГГ-ММ-ДД                           _____________________________________

     В.2.6 Другие вопросы

     Следующие приложения являются неотъемлемой частью данного соглашения:

     - приложение А    Условия генерального соглашения;

     - приложение В    Общая документация;

     - приложение С    Протоколы проверки безопасности;

     - приложение D    Документ 1;

     - приложение Е    Документ 2.

     В.2.7 Подписи

     Документ составлен в двух экземплярах - по одному для каждой стороны.

     От Стороны 1

     Дата: ГГ-ММ-ДД

     От имени организации, ответственной за систему:________________________________________________________

     Ответственный за передаваемые данные:__________________________________________________________________

     Ответственный за систему:______________________________________________________________________________

     От Стороны 2

     Дата: ГГ-ММ-ДД

     От имени организации, ответственной за систему:________________________________________________________

     Ответственный за передаваемые данные:__________________________________________________________________

     Ответственный за систему:______________________________________________________________________________

В.3 Пример содержания "Генерального соглашения о политике"

В.3.1 Область применения

В.3.1.1 Условия настоящего соглашения регулируют ответственность обеих Сторон при электронном обмене информацией.

В.3.1.2 При наличии отклонений от условий настоящего соглашения, эти отклонения должны быть определены в документе, приложенном к соглашению.

В.3.1.3 Условия настоящего соглашения составлены управлением информационных технологий или аналогичным органом и утверждены руководством организации.

В.3.2 Определения

В.3.2.1 Термин "Сторона" относится к тем, кто уполномочен использовать информационные системы и оборудование, определенные в настоящем соглашении, для электронного обмена информацией. Организация, ответственная за эксплуатацию систем и оборудования, применяемого для обмена информацией, также считается Стороной.

В.3.2.2 Термин "Информационная система" относится к местным информационным системам, коммуникационному оборудованию и другому цифровому оборудованию, необходимому для обработки, передачи, хранения и распечатки информации, определенной в настоящем соглашении.

В.3.2.3 Термин "Система" относится к совокупной системе, состоящей из систем и оборудования, участвующих в обмене информацией, определенном в настоящем соглашении.

В.3.2.4 Термин "Информация" относится к связной совокупности информации, определенной Сторонами в настоящем соглашении.

В.3.2.5 Термин "Анализ системы" относится к системе аудита, посредством которой все системы, участвующие в обмене информацией, проверяются на соответствие условиям, установленным уполномоченным лицом.

В.3.3 Система

В.3.3.1 Стороны должны провести тесты для проверки соответствия системы условиям, определенным в соглашении, и документировать результаты этих тестов. Документация должна быть создана обеими Сторонами в стандартизированной форме в соответствии с шаблоном документации, приведенном в приложении А.

В.3.3.2 До начала обмена информацией владелец системы должен протестировать информационные системы, участвующие в обмене, совместно с оператором системы.

В.3.3.3 Если в соглашении не указано иное, все затраты Сторон исчисляются с момента начала обмена информацией и работы системы.

В.3.3.4 Если в соглашении не указано иное, каждая Сторона должна с помощью тестов и других подходящих методов постоянно проверять, что система соответствует согласованным требованиям.

В.3.4 Обмен информацией

В.3.4.1 Если информация не может быть передана с помощью системы, виновная Сторона должна переслать информацию в соответствии с документированными альтернативными регламентами.

В.3.4.2 Информация, отличная от определенной в настоящем соглашении, не должна допускаться для передачи между системами без согласования Сторон и оператора систем.

В.3.4.3 Каждая Сторона несет ответственность за свою осведомленность о юридических нормах, применимых к настоящему соглашению, и за правильный обмен, обработку и хранение информации в соответствии с условиями настоящего соглашения.

В.3.5 Ответственность за местную информацию

Каждая Сторона несет ответственность за свой доступ к сертификатам и управление ими, а также за авторизацию подчиненного ей персонала.

В.3.6 Передача и получение информации

В.3.6.1 Информация считается переданной, когда акт передачи зарегистрирован в системном журнале обмена.

В.3.6.2 Информация считается принятой получающей Стороной, когда ее получение зарегистрировано в журнале получающей системы и она может быть прочитана получателем.

В.3.7 Информационная безопасность

В.3.7.1 Каждая Сторона должна гарантировать, что ее система выполняет необходимые требования информационной безопасности по защите самой информации и регистрационного журнала обмена информацией от несанкционированного доступа, искажения, задержек и потери данных.

В.3.7.2 Обязанностью каждой Стороны является проверка соответствия информационной системы, поставщика Интернет-услуг и/или средств передачи данных необходимым требованиям информационной безопасности по защите информации и регистрационного журнала обмена информацией от несанкционированного доступа, искажения, задержек и потери данных.

В.3.7.3 Содержание информации и ее отправитель должны допускать проверку надежным способом. Способ проверки должен быть определен в документации системы.

В.3.8 Конфиденциальность

В.3.8.1 Каждая Сторона должна трактовать информацию, коды доступа, имена пользователей и другую информацию по безопасности в соответствии с правилами своей организации и всеми возможными средствами пресекать попытки неавторизованных лиц получить доступ к этим сведениям.

В.3.8.2 Если Сторона получает данные, очевидно предназначенные третьей стороне, обязанностью получившей Стороны является немедленно задокументировать данный факт и сообщить об этом отославшей Стороне, а также, по возможности, связаться с предполагаемым получателем.

В.3.9 Доступность

В.3.9.1 Оператор системы обязан нести ответственность за выполнение согласованных запросов на доступ.

В.3.9.2 Каждая Сторона обязана нести ответственность за выполнение требований по доступу к информации, определенных в настоящем соглашении.

В.3.10 Информационные обязанности

В.3.10.1 Каждая Сторона обязана немедленно информировать другую Сторону о любых ситуациях, которые могут затруднить выполнение настоящего соглашения в течение краткого или длительного периода времени.

В.3.10.2 Каждая Сторона обязана участвовать в исследовании обновленной системы и осуществлении контроля по требованию оператора системы.

В.3.11 Архивирование

В.3.11.1 Каждая Сторона вместе с оператором системы несет ответственность за ведение полного журнала регистрации сообщений, переданных и полученных с помощью системы.

В.3.11.2 Каждая Сторона должна сохранять и резервировать инф