Приказ от 30.09.2014 г № 1767
Об организационных мероприятиях по информационной безопасности
В рамках организации работы в Единой государственной информационной системе "Электронное здравоохранение Республики Татарстан" (далее - ЕГИС ЭЗ РТ), в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", переходом отрасли здравоохранения на ведение медицинской документации в электронном виде ПРИКАЗЫВАЮ:
1.Назначить функциональным Оператором Единой государственной информационной системы "Электронное здравоохранение Республики Татарстан" (далее - ЕГИС ЭЗ РТ) ГАУЗ Республиканский медицинский информационно-аналитический центр (далее - РМИАЦ).
2.Утвердить перечень организационно-распорядительных документов системы информационной безопасности ЕГИС ЭЗ РТ (приложение).
3.Возложить ответственность за обеспечение требований по защите конфиденциальной информации на руководителей медицинских организаций.
4.Руководителям медицинских организаций (далее - МО):
4.1.Назначить ответственного за организацию работ по защите персональных данных из числа руководителей подразделений, осуществляющих эксплуатацию ЕГИС ЭЗ РТ и прошедших обучение на специализированных курсах повышения квалификации по защите персональных данных в объеме не менее 40 часов.
4.2.Документально (приказом, распоряжением, обязательством, соглашением к трудовому договору и т.д.) закрепить персональную ответственность за лицами, ответственными за обработку персональных данных, ответственными за защиту информации (в том числе персональных данных), а также за системными администраторами и администратором информационной безопасности.
4.3.Возложить методическое руководство и контроль за эффективностью предусмотренных мер на ответственных за организацию работ по защите персональных данных.
4.4.Провести обучающий семинар для специалистов, осуществляющих обработку персональных данных в ЕГИС ЭЗ РТ по правилам и мерам защиты конфиденциальной информации и персональных данных в объеме не менее 8 часов для ознакомления с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
4.5.Определить порядок организации и проведения работ по защите конфиденциальной информации (учитывающий порядок определения защищаемой информации, порядок эксплуатации ЕГИС ЭЗ РТ) в соответствии с документами системы информационной безопасности ЕГИС ЭЗ РТ (приложение).
4.6.Уведомить до начала обработки персональных данных уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор Республики Татарстан) о своем намерении осуществлять обработку персональных данных.
4.7.Определить порядок взаимодействия с третьими лицами в части передачи, сбора, обработки и хранения персональных данных.
4.8.Утвердить перечень сведений, составляющих конфиденциальную информацию, подлежащих защите.
4.9.Утвердить перечень персонала (пользователей, исполнителей), допущенных к обработке конфиденциальной информации (в том числе персональных данных).
4.10.Утвердить перечень лиц, ответственных за эксплуатацию ЕГИС ЭЗ РТ.
4.11.Определить порядок предоставления доступа в помещения, где расположены защищенные рабочие места врачей в государственной информационной системе в здравоохранении (далее - АРМ) и обрабатывается конфиденциальная информация (организационные меры, направленные на исключение несанкционированного доступа в помещения, порядок учета, хранения и выдачи ключей от помещения, установка и (или) замена оборудования).
4.12.Организовать ограничение доступа персонала и посторонних лиц в помещения, где размещены АРМ пользователей ЕГИС ЭЗ РТ, средства информатизации и коммуникационное оборудование, а также хранятся носители информации.
4.13.Организовать размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
4.14.Вести учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение.
4.15.Провести внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актами требованиям к защите персональных данных.
4.16.Обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных (опубликовать или разместить на сайте).
5.Директору ГАУЗ РМИАЦ В.Г.Шерпутовскому:
5.1.Назначить ответственного по обеспечению контроля выполнения МО требований настоящего Приказа.
5.2.Организовать прием и обобщение отчетов МО о проведении мероприятий по защите персональных данных во время приема годовых отчетов за 2014 г.
6.Контроль за исполнением настоящего Приказа возложить на заместителя министра И.Р.Фатихова.
Министр
А.Ю.ВАФИН
Приложения
2014-09-30 Приложение к Приказу от 30 сентября 2014 года № 1767 Перечень