Приложение В (справочное). Пример соглашения о политике обмена информацией. Национальный стандарт РФ ГОСТ Р ИСО/ТС 22600-1-2009 "Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1. Общие сведения и управление политикой" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14.09.2009 N 410-ст)

Приложение В
(справочное)

Пример соглашения о политике обмена информацией

     В.1 Введение

     Соглашение состоит из двух частей.

     Первая  часть  является  административной  и  определяет,  какая  информация  подлежит    обмену, какие

 медицинские  структурные  единицы  участвуют  в  обмене,  кто  отвечает  за  обмен.  В  ней   также указаны

 несоответствия  требованиям  генерального  соглашения,  требующие  согласованного  плана     действий по их

 устранению.

     Вторая часть представляет  собой  генеральное  соглашение  (соглашение  о  политике),   касающееся всех

 аспектов обмена информацией между сторонами, определенных в В.2 и В.3.

     В.2 Административная часть

     В.2.1 Стороны соглашения

     Сторона 1______________________________________________________________________________________________

     Сторона 2______________________________________________________________________________________________

     В.2.2 Область применения соглашения

     Данное соглашение применяется к обмену информацией между вышеупомянутыми сторонами и  другим  вопросам,

 требующим урегулирования в соответствии с описанием, приведенным ниже.

     В.2.3 Спецификация информации

     Соглашение касается следующей информации:

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     В.2.4 Контактные лица

     Контактными лицами являются:

     От Стороны 1

     Фамилия, имя, отчество:________________________________________________________________________________

     Телефон:____________________ адрес электронной почты:__________________________________________________

     От Стороны 2

     Фамилия, имя, отчество:________________________________________________________________________________

     Телефон номер:___________________ адрес электронной почты:_____________________________________________

     В.2.5 Примечания отдела информационной безопасности

     Документация разработана:______________________________________________________________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     Проверка безопасности осуществлена:______________________________

 ___________________________________________________________________________________________________________

 ___________________________________________________________________________________________________________

     Подписано:_____________________________________________________________________________________________

     Дата передачи документации Стороне 1: ГГ-ММ-ДД                    _____________________________________

     Дата передачи протокола проверки безопасности Стороне 1: ГГ-ММ-ДД _____________________________________

     Срок проведения мероприятия 1: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия 2: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия N: ГГ-ММ-ДД                           _____________________________________

     Дата передачи документации Стороне 2: ГГ-ММ-ДД                    _____________________________________

     Дата передачи протокола проверки безопасности Стороне 2: ГГ-ММ-ДД _____________________________________

     Срок проведения мероприятия 1: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия 2: ГГ-ММ-ДД                           _____________________________________

     Срок проведения мероприятия N: ГГ-ММ-ДД                           _____________________________________

     В.2.6 Другие вопросы

     Следующие приложения являются неотъемлемой частью данного соглашения:

     - приложение А    Условия генерального соглашения;

     - приложение В    Общая документация;

     - приложение С    Протоколы проверки безопасности;

     - приложение D    Документ 1;

     - приложение Е    Документ 2.

     В.2.7 Подписи

     Документ составлен в двух экземплярах - по одному для каждой стороны.

     От Стороны 1

     Дата: ГГ-ММ-ДД

     От имени организации, ответственной за систему:________________________________________________________

     Ответственный за передаваемые данные:__________________________________________________________________

     Ответственный за систему:______________________________________________________________________________

     От Стороны 2

     Дата: ГГ-ММ-ДД

     От имени организации, ответственной за систему:________________________________________________________

     Ответственный за передаваемые данные:__________________________________________________________________

     Ответственный за систему:______________________________________________________________________________

В.3 Пример содержания "Генерального соглашения о политике"

В.3.1 Область применения

В.3.1.1 Условия настоящего соглашения регулируют ответственность обеих Сторон при электронном обмене информацией.

В.3.1.2 При наличии отклонений от условий настоящего соглашения, эти отклонения должны быть определены в документе, приложенном к соглашению.

В.3.1.3 Условия настоящего соглашения составлены управлением информационных технологий или аналогичным органом и утверждены руководством организации.

В.3.2 Определения

В.3.2.1 Термин "Сторона" относится к тем, кто уполномочен использовать информационные системы и оборудование, определенные в настоящем соглашении, для электронного обмена информацией. Организация, ответственная за эксплуатацию систем и оборудования, применяемого для обмена информацией, также считается Стороной.

В.3.2.2 Термин "Информационная система" относится к местным информационным системам, коммуникационному оборудованию и другому цифровому оборудованию, необходимому для обработки, передачи, хранения и распечатки информации, определенной в настоящем соглашении.

В.3.2.3 Термин "Система" относится к совокупной системе, состоящей из систем и оборудования, участвующих в обмене информацией, определенном в настоящем соглашении.

В.3.2.4 Термин "Информация" относится к связной совокупности информации, определенной Сторонами в настоящем соглашении.

В.3.2.5 Термин "Анализ системы" относится к системе аудита, посредством которой все системы, участвующие в обмене информацией, проверяются на соответствие условиям, установленным уполномоченным лицом.

В.3.3 Система

В.3.3.1 Стороны должны провести тесты для проверки соответствия системы условиям, определенным в соглашении, и документировать результаты этих тестов. Документация должна быть создана обеими Сторонами в стандартизированной форме в соответствии с шаблоном документации, приведенном в приложении А.

В.3.3.2 До начала обмена информацией владелец системы должен протестировать информационные системы, участвующие в обмене, совместно с оператором системы.

В.3.3.3 Если в соглашении не указано иное, все затраты Сторон исчисляются с момента начала обмена информацией и работы системы.

В.3.3.4 Если в соглашении не указано иное, каждая Сторона должна с помощью тестов и других подходящих методов постоянно проверять, что система соответствует согласованным требованиям.

В.3.4 Обмен информацией

В.3.4.1 Если информация не может быть передана с помощью системы, виновная Сторона должна переслать информацию в соответствии с документированными альтернативными регламентами.

В.3.4.2 Информация, отличная от определенной в настоящем соглашении, не должна допускаться для передачи между системами без согласования Сторон и оператора систем.

В.3.4.3 Каждая Сторона несет ответственность за свою осведомленность о юридических нормах, применимых к настоящему соглашению, и за правильный обмен, обработку и хранение информации в соответствии с условиями настоящего соглашения.

В.3.5 Ответственность за местную информацию

Каждая Сторона несет ответственность за свой доступ к сертификатам и управление ими, а также за авторизацию подчиненного ей персонала.

В.3.6 Передача и получение информации

В.3.6.1 Информация считается переданной, когда акт передачи зарегистрирован в системном журнале обмена.

В.3.6.2 Информация считается принятой получающей Стороной, когда ее получение зарегистрировано в журнале получающей системы и она может быть прочитана получателем.

В.3.7 Информационная безопасность

В.3.7.1 Каждая Сторона должна гарантировать, что ее система выполняет необходимые требования информационной безопасности по защите самой информации и регистрационного журнала обмена информацией от несанкционированного доступа, искажения, задержек и потери данных.

В.3.7.2 Обязанностью каждой Стороны является проверка соответствия информационной системы, поставщика Интернет-услуг и/или средств передачи данных необходимым требованиям информационной безопасности по защите информации и регистрационного журнала обмена информацией от несанкционированного доступа, искажения, задержек и потери данных.

В.3.7.3 Содержание информации и ее отправитель должны допускать проверку надежным способом. Способ проверки должен быть определен в документации системы.

В.3.8 Конфиденциальность

В.3.8.1 Каждая Сторона должна трактовать информацию, коды доступа, имена пользователей и другую информацию по безопасности в соответствии с правилами своей организации и всеми возможными средствами пресекать попытки неавторизованных лиц получить доступ к этим сведениям.

В.3.8.2 Если Сторона получает данные, очевидно предназначенные третьей стороне, обязанностью получившей Стороны является немедленно задокументировать данный факт и сообщить об этом отославшей Стороне, а также, по возможности, связаться с предполагаемым получателем.

В.3.9 Доступность

В.3.9.1 Оператор системы обязан нести ответственность за выполнение согласованных запросов на доступ.

В.3.9.2 Каждая Сторона обязана нести ответственность за выполнение требований по доступу к информации, определенных в настоящем соглашении.

В.3.10 Информационные обязанности

В.3.10.1 Каждая Сторона обязана немедленно информировать другую Сторону о любых ситуациях, которые могут затруднить выполнение настоящего соглашения в течение краткого или длительного периода времени.

В.3.10.2 Каждая Сторона обязана участвовать в исследовании обновленной системы и осуществлении контроля по требованию оператора системы.

В.3.11 Архивирование

В.3.11.1 Каждая Сторона вместе с оператором системы несет ответственность за ведение полного журнала регистрации сообщений, переданных и полученных с помощью системы.

В.3.11.2 Каждая Сторона должна сохранять и резервировать информацию, доступную с помощью системы, в соответствии с законами, действующими на территории этой стороны. Если действующее законодательство не требует более длительного хранения, то информация должна храниться не менее трех лет. Хранение должно быть безопасным и не допускать несанкционированного доступа, искажения и потери информации. Сохраняемые данные должны быть доступны по первому требованию в читаемой форме в течение всего периода хранения.

В.3.11.3 Каждая Сторона обязана по требованию другой Стороны или тех, кого касается информация, предоставлять доступ к регистрационному журналу обмена информацией, а также к читаемым выдержкам из переданной информации.

В.3.12 Ответственность

В.3.12.1 Если не будет установлено намеренное или серьезное пренебрежение обязанностями, то ответственность за ущерб, причиненный одной из Сторон, должен ограничиваться компенсацией прямого ущерба, максимальный объем которой согласовывается Сторонами для каждого случая в настоящем соглашении.

В.3.12.2 Такая ограниченная ответственность применяется только к ущербу, вытекающему из настоящего соглашения, и не влияет на какие-либо другие соглашения Сторон или другие права Сторон, не подпадающие под действие настоящего соглашения.

В.3.13 Форс-мажорные обстоятельства

Стороны не несут ответственности за какие-либо задержки выполнения обязательств по настоящему соглашению, если могут доказать, что эти задержки вызваны обстоятельствами непреодолимой силы. Сторона также освобождается от ответственности перед другими Сторонами соглашения, если выполнение ее обязательств оказалось невозможным:

- по причине возникновения обстоятельств, неподконтрольных Стороне, и/или обстоятельств, которых Сторона не могла предвидеть или избежать;

- если Сторона не в состоянии выполнить эти обязательства по причине обстоятельств, вызванных третьей Стороной или стихийными бедствиями, бурей, молнией, пожаром, отсутствием электричества, забастовками, терроризмом, войной или другими беспорядками, а также изменением законодательства, включая сбои телекоммуникаций, дефицит услуг связи общего пользования, товаров, энергии или другие аналогичные обстоятельства.

В течение периода времени, когда Сторона находится под воздействием вышеупомянутых обстоятельств, другие Стороны обязаны выполнять свои обязательства перед этой Стороной в соответствии с этими условиями.

В.3.14 Срок действия соглашения

В.3.14.1 Сторона, подписавшая соглашение, может расторгнуть его, уведомив другую Сторону за 3 мес до срока прекращения действия.

В.3.14.2 Сторона, подписавшая соглашение, имеет право расторгнуть его немедленно, если другая Сторона признана виновной в существенном нарушении соглашения и не предпринимает попыток исправить такое нарушение в течение 30 дней с момента получения письменного запроса на расторжение соглашения.

В.3.14.3 Сторона, подписавшая соглашение, также имеет право расторгнуть его немедленно, если другая Сторона признается банкротом, иным способом выказывает несостоятельность или ликвидируется.

В.3.14.4 После аннулирования данного соглашения каждая из Сторон продолжает нести ответственность по обязательствам, связанным с обеспечением целостности информации и архивированием регистрационных журналов.

В.3.15 Изменения и дополнения

Руководящие органы организаций, к которым принадлежат Стороны, могут изменить условия генерального соглашения, за исключением пункта В.3.14. Такие изменения вступают в силу в течение 3 мес с момента получения письменного уведомления уполномоченным представителем другой Стороны. Если другая Сторона не принимает предложенных изменений, первая Сторона может в письменной форме потребовать расторжения соглашения с момента предполагаемого вступления в действие предложенных изменений. Изменения вступают в силу только при условии согласия обеих Сторон.

В.3.16 Передача третьей стороне

Ни одна из Сторон не имеет права передавать свои права и обязанности по настоящему соглашению третьей Стороне без согласия другой Стороны.

В.3.17 Споры

В.3.17.1 Споры, возникающие в связи с данным соглашением, должны в первую очередь разрешаться с помощью переговоров Сторон. Обе Стороны обязуются участвовать в таких переговорах в течение 30 дней с момента уведомления о возникновении спора.

В.3.17.2 Арбитражная комиссия должна разрешать разногласия Сторон, касающиеся настоящего соглашения таким же образом.

В.3.17.3 Стороны могут согласиться представить спор на рассмотрение предварительно согласованного лица или организации для вынесения принуждающего решения.

В.3.17.4 Если Стороны располагаются в разных странах, юрисдикция разрешения споров должна быть согласована Сторонами.

В.3.17.5 Споры, которые не могут быть разрешены путем переговоров, должны быть переданы в следующий суд:

(Наименование и адрес суда)