Регламент Жалпы ережелер



жүктеу 308.98 Kb.
Дата14.01.2018
өлшемі308.98 Kb.
түріРегламент


Қазақстан Республикасы

Денсаулық сақтау министрінің

міндетін атқарушының 2014 жылғы

«10» ақпандағы № 75 бұйрығымен

бекітілген


Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі

регламент
1. Жалпы ережелер


  1. Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі регламент (бұдан әрі - регламент) Қазақстан Республикасы Президентінің 2013 жылғы 8 қаңтардағы № 464 Жарлығымен бекітілген «Ақпаратты Қазақстан – 2020» мемлекеттік бағдарламасына, сондай-ақ Қазақстан Республикасы Денсаулық сақтау министрінің 2013 жылғы 3 қыркүйектегі № 498 бұйрығымен бекітілген Қазақстан Республикасының 2013-2020 жылдарға арналған электрондық денсаулық сақтауды дамыту тұжырымдамасына сәйкес әзірленді.

  2. Регламент электрондық денсаулық сақтау үдерістерінде дербес медициналық деректердің құпиялығын қамтамасыз ету, дербес медициналық деректерден тұратын электрондық ақпараттық ресурстарға қолжетімділік құқықтарын шектеу жөніндегі негізгі талаптарды, сондай-ақ ақпаратты қорғау үшін жауапты тұлғалардың жұмыс жасау және өзара әрекеттесу тәртібін белгілейді.

  3. Осы регламент электрондық денсаулық сақтаудың ақпараттық жүйелеріне кіру рұқсатын беруге қойылатын талаптарды айқындайды, пайдаланушылардың, жүйелік әкімшілердің және аталған іс-шараларды орындау мен бақылау, ақпараттық қауіпсіздік үшін жауапты тұлғалардың жауапкершілігін белгілейді.

  4. Осы регламент электрондық денсаулық сақтаудың ақпараттық жүйелеріне кіру рұқсатын беру және тоқтату рәсімдерін орындау үшін арналған талаптарды айқындайды.

  5. Осы регламентте мынадай нормативтік құқықтық құжаттарға сілтемелер пайдаланылады:

«Ақпараттандыру туралы» Қазақстан Республикасының 2007 жылғы 11 қаңтардағы № 217 - III Заңы;

«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94 V Заңы;

2013 жылғы 15 сәуірде енгізілген өзгерістермен «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Қазақстан Республикасының 2009 жылғы 18 қыркүйектегі №193-IV кодексі;

ҚР СТ ИСО/МЭК 27002-2009 «Ақпараттық технологиялар. Қамтамасыз ету құралдары. Қорғалатын ақпаратты басқару жөніндегі қағидалар жиынтығы»;

ҚР СТ ИСО/МЭК 27001-2008 «Ақпараттық технология. Қамтамасыз ету әдістері мен құралдары. Ақпараттық қауіпсіздікті басқару жүйелері. Талаптар»;

ҚР СТ 34.005 – 2002 «Ақпараттық технология. Негізгі терминдер мен анықтамалар»;

ҚР СТ 34.006 – 2002 «Ақпараттық технология. Деректер қоры. Негізгі терминдер мен анықтамалар»;

ҚР СТ 34.007–2002 «Ақпараттық технология. Телекоммуникациялық желілер. Негізгі терминдер мен анықтамалар».

құпия ақпаратты жарияламау туралы шарт;

Қазақстан Республикасы Денсаулық сақтау министрінің 2013 жылғы 3 қыркүйектегі № 498 бұйрығымен бекітілген Қазақстан Республикасының 2013-2020 жылдарға арналған электрондық денсаулық сақтауды дамыту тұжырымдамасы.

6. Осы регламентте мынадай терминдер мен ұғымдар пайдаланылады:

ақпараттық жүйе – ақпараттық үдерістерді іске асыруға арналған ақпараттық технологиялардың, ақпараттық желілер мен олардың бағдарламалық-техникалық жасақтама құралдарының жиынтығы;

денсаулық сақтау ұйымы – денсаулық сақтау саласында қызмет атқаратын заңды тұлға;

ұйым – денсаулық сақтау ұйымы немесе электрондық денсаулық сақтаудың ақпараттық жүйелерін пайдаланушы, шарттық қарым-қатынастар шеңберінде уәкілеттілік берілген үшінші тұлға;

пациент – медициналық қызметтерді тұтынушы болып табылатын жеке тұлға;

ақпараттық қауіпсіздіктің құрылымдық бөлімшесі - Қазақстан Республикасы Денсаулық сақтау министрлігіне ведомстволық бағыныстағы ұйымның құрылымдық бөлімшесі;

ақпараттық жүйелерді әкімшілдендіру бөлімі – ақпараттық жүйелерді пайдалану және жүйелік-техникалық сүйемелдеу үшін жауапты Қазақстан Республикасы Денсаулық сақтау министрлігіне ведомстволық бағыныстағы ұйымның құрылымдық бөлімшесі;

ақпараттық қауіпсіздік әкімшісі – электрондық денсаулық сақтаудың ақпараттық жүйелерінің ақпараттық қауіпсіздігін қамтамасыз ету үшін жауапты, ақпаратық қауіпсіздіктің құрылымдық бөлімшесінің қызметкері;

актив – кәсіпорын теңгерімінің бір бөлігін құрайтын кәсіпорынның немесе мекеменің материалдық құндылығы;

рұқсат етілмеген кіру – жүйеде белгіленген кіру рұқсатын шектеу қағидаларын бұзу арқылы ақпаратқа қолжетімділік;

объект – жүйенің физикалық немесе ақпараттық компоненті (яғни, құрамына ортақ тақырыппен, міндетпен, өңдеу тәсілімен және басқалармен біріктірілген деректер енгізілген ақпараттың кейбір тұтас жиынтығы);

сервис – ақпаратты өңдеу, сақтау немесе беру бойынша қызмет көрсету функционалдығымен біріктірілген ақпараттық жүйенің физикалық немесе бағдарламалық компоненттерінің жиынтығы;

жүйелік әкімші – электрондық денсаулық сақтаудың ақпараттық жүйелерін әкімшілдендіру және сүйемелдеу үшін жауапты ақпараттық жүйелерді әкімшілдендіру бөлімінің қызметкері;

есептеуіш техника құралдары – ақпаратты өңдеу, сақтау және беру үшін пайдаланылатын аппараттық немесе бағдарламалық құралдар;

ақпараттың жылыстауынан қорғайтын жүйелер – ақпараттық жүйеден құпия ақпараттың жылыстауынан қорғайтын технология, техникалық құралдар (бағдарламалық немесе бағдарламалық-аппараттық).

құпия ақпарат – пациенттің денсаулығы жөніндегі дербес ақпараттан немесе медициналық деректерден тұратын электрондық денсаулық сақтаудың ақпараттық жүйелеріне түсетін және онда сақталатын ақпарат;

денсаулық туралы дербес ақпарат – сыртартпа мәліметтерінен, қысқа жазбалар мен симптомдарды, диагноздарды, препараттарды, зертханалық талдау нәтижелерін, ағза жағдайының негізгі көрсеткіштерін, екпелер мен диагностикалық зерттеулердің нәтижелері бойынша қорытындыларды қоса алғанда, денсаулық жағдайы туралы басқа ақпараттан тұратын пациенттің медициналық деректері;

ақпараттық ресурс – құрамында құпия ақпарат бар электрондық денсаулық сақтаудың ақпараттық жүйесінің бір бөлігі, модулі немесе жеке кіші жүйесі;

ақпараттық базаның иесі – дербес медициналық деректердi қамтитын базаны Қазақстан Республикасының қолданыстағы заңнамасына сәйкес иелену, пайдалану және оған билiк ету құқығын iске асыратын тұлға, меншік иесі – Қазақстан Республикасы Денсаулық сақтау министрлігі;

дербес медициналық деректердi қамтитын ақпараттық базаның операторы – дербес деректерді сақтауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган және (немесе) заңды тұлға;

пациенттің жеке кабинеті – пациенттердің денсаулығы туралы деректеріне қолжетімділік және медициналық персонал үшін оларға қолжетімдікті басқару;

лог – пайдаланушының ақпараттық жүйедегі немесе ресурстағы барлық іс-әрекеттері жазып алынатын файлдар;

портал – денсаулық туралы дербес деректерді қарау үшін арналған интеграцияланған ақпараттық ресурстар мен ақпараттық жүйелердің жиынтығы;

дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң нақты пациентке тиесiлiгiн анықтау мүмкiндігі болмайтын iс-әрекеттер;

электрондық медициналық жазба элементі – электрондық медициналық жазба құрамына кіретін және пайда болу ұйымында сақталатын ақпараттың құрамына жауап беретін, нақты автормен сипатталатын медициналық көмек көрсету субъектісіне қатысты нақты клиникалық үдерістерді сипаттайтын ақпарат;

медициналық қызметтер көрсету кезеңі – медициналық көмек көрсетуге құзыреттер шеңберінде пациент пен медициналық қызметтер берушісі арасындағы бір немесе одан да көп байланыстар пайда болатын уақыт аралығы;



  1. Осы регламентте мынадай ұғымдар мен қысқартулар пайдаланылады:

ҚР ДСМ – Қазақстан Республикасы Денсаулық сақтау министрлігі;

ЕТҚ – Есептеуіш техника құралдары;

ЭМЖ – Электрондық медициналық жазба;

ЭМЖЭ – Электрондық медициналық жазбаның элементі;

АЖО –автоматтандырылған жұмыс орны;

ҰКО – ҚР Ұлттық куәландырушы орталығы;

ЭЦҚ – электрондық цифрлық қолтаңба;

ДҚ – Деректер қоры;

АҚ– Ақпараттық қауіпсіздік;

АЖ –Ақпараттық жүйе;

НҚА – Нормативтік құқықтық актілер;
2. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне кіру рұқсатын беру қағидалары


  1. Денсаулық туралы дербес ақпарат оларды алу, өңдеу мен пайдалану жиналатын мақсаттармен шектелетін құпиялы электрондық ақпараттық деректер санатына жатады. Е-денсаулық сақтаудың ақпараттық жүйелері тек медициналық көмек көрсету мақсаттары мен медициналық қызмет көрсету кезі үшін ғана денсаулық туралы дербес ақпараттың сақталуын және қолжетімділігін шектеу мен қолданылуын қамтамасыз етеді. Денсаулық сақтаудың электрондық ақпараттық деректерін қалыптастыру үшін арналған пациенттің денсаулық жағдайы туралы мәліметтер пациенттің немесе оның заңды өкілінің жазбаша рұқсатымен ұсынылады.

  1. Азаматтың немесе оның заңды өкілінің рұқсатынсыз, дәрігерлік құпия болып табылатын мәліметтер мынадай жағдайларда ұсынылады:

жағдайына байланысты өз еркін білдіре алмайтын азаматты тексеру және емдеу мақсатында;

қоршаған ортаға қауіп төндіретін аурулардың таралу қаупі пайда болғанда;

тергеу жұмыстарының жүргізілуіне немесе сотта істің қаралуына байланысты тергеу, алдын ала тергеу органдарының, прокурордың, адвокаттың және (немесе) соттың сұратуы бойынша;

заңды өкілдерін хабардар ету үшін жасы кәмелетке толмаған немесе ақыл-ой кемістігі бар тұлғаға медициналық көмек көрсету кезінде;



азаматтың денсаулығына зиян құқыққа қайшы ерекеттер нәтижесінде келтірілу негіздемесі болған жағдайда.

  1. Пациенттің жазбаша келісімі осы Регламентке 1-қосымшаға сәйкес нысан бойынша рәсімделеді.

  2. Ақпараттық жүйелерде медициналық персоналға медициналық көмек көрсету мақсатында пациенттің дербес медициналық деректері ұсынылуы тиіс.

  3. Пациент немесе оның заңды өкілі денсаулық туралы дербес деректерді қарау үшін порталдағы «Пациенттің жеке кабинетін» пайдаланады. Пациенттің қарауы үшін қолжетімді ақпаратты емдеуші дәрігер айқындайды.

  4. Статистикалық, әлеуметтік, ғылыми зерттеулерді жүргізу үшін денсаулық туралы дербес деректерді пайдалану кезінде иесіздендірілген деректерді қолдану қажет. Қазақстан Республикасы Денсаулық сақтау министрлігінің қызметкерлері субъектіге медициналық қызметтерді көрсетуге тікелей байланыссыз статистикалық және талдама ақпараттық жүйелерді пайдалану кезінде ақпараттық жүйелерден әртүрлі есептерді алу үшін иесіздендірілген деректерді қолдануы тиіс.

  5. Денсаулық туралы дербес ақпаратты жинау және өңдеу оның қауіпсіздігі қамтамасыз етілген жағдайда ғана жүзеге асырылады. Денсаулық туралы дербес ақпаратты қорғау мынадай мақсаттарда шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шараларды қолдану жолымен жүзеге асырылады:

- жеке өмірге, жеке және отбасылық құпияға қол сұқпау құқығын іске асыру;

    • олардың тұтастығы мен сақталуын қамтамасыз ету;

    • олардың құпиялылығын сақтау;

    • оларға қолжетімділік құқықтарын іске асыру;

    • олардың заңсыз жиналуының және өңделуінің алдын алу.

  1. Ақпараттық жүйелер:

    • дербес деректерге рұқсат етілмеген қолжетімділіктің алдын алуды;

    • егер рұқсат етілмеген қолжетімділіктің алдын алу мүмкіндігі болмаса, сондай-ақ рұқсат етілмеген қолжетімділіктің орын алуына күдік пайда болса, дербес деректерге рұқсат етілмеген қолжетімділік фактілерін уақытылы анықтауды;

    • дербес деректерге рұқсат етілмеген қолжетімділіктің жағымсыз әсерін азайтуды қамтамасыз етеді.

  1. Денсаулық туралы дербес ақпаратқа барлық өзгерістер мен толықтырулар медицина қызметкерінің электрондық цифрлық қолтаңбасымен (бұдан әрі – ЭЦҚ) расталады. Медициналық қызметкерлер ЭЦҚ жасау үшін қажетті барлық кілттерді және сертификаттарды Ұлттық куәландырушы орталықтан алады. Денсаулық туралы жеке ақпаратқа өзгерістер мен толықтыруларға аудит жүргізуді қамтамасыз ететін логтағы жазба денсаулық туралы дербес ақпаратта іске асырылған өзгеріс сипаттамасынан, өзгеріс енгізу күні мен уақытынан, өзгеріс енгізген, ақпаратты қараған, көшірме немесе басып шығаруды жүзеге асырған медицина қызметкерінің сәйкестендіргішінен тұрады.

  2. Ақпараттық жүйелер түрлі деңгейлерде құпия деректерді (модуль, медициналық ұйым, тұтынушы және басқалары) қарау жағдайларын логирлеудің теңшелімдерін конфигурациялауды қамтамасыз етеді.


3. Қолжетімділік субъектілері мен объектілері


  1. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне және құпия ақпаратқа қолжетімділік субъектілері мыналар болып табылады:

пайдаланушылар – электрондық денсаулық сақтаудың ақпараттық жүйелеріне және құпия ақпаратқа кіру рұқсаты бар денсаулық сақтау ұйымдарының қызметкерлері;

әкімші - электрондық денсаулық сақтаудың ақпараттық жүйелеріне кіру рұқсаты бар, электрондық денсаулық сақтаудың ақпараттық жүйелерін және ақпаратты қорғау құралдарын әкімшілдендіруді және жұмысқа қабілеттілігіне қолдау көрсетуді жүзеге асыратын, Қазақстан Республикасы Денсаулық сақтау министрлігіне ведомстволық бағыныстағы ұйымның қызметкері;

ақпараттық қауіпсіздік әкімшісі - Қазақстан Республикасы Денсаулық сақтау министрлігіне ведомстволық бағыныстағы ұйымның қызметкері, ақпаратты қорғау және ұйымдастыру-өкімдік құжаттарды орындау бойынша талаптардың орындалуына бақылау жүргізуді жүзеге асыратын жауапты тұлға;

қолжетімділік субъектісі тұлға және осы субъектінің атынан іске қосылған ақпараттық жүйедегі үдеріс, сондай-ақ ұйым басшысының шешімімен құпия ақпаратпен танысу және оны өңдеу үшін рұқсат берілген шеттен келген тұлға бола алады.



  1. Қолжетімділік объектілері электрондық денсаулық сақтаудың ақпараттық жүйелері, ақпарат тасығыштар мен есептеуіш техника құралдары жадындағы кез келген құпиялы ақпараттық ресурстар болып табылады.

20. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне қолжетімділік және құпия ақпаратты қорғау, ақпаратты қорғау тиімділігін бақылау бойынша жауапкершілік ұйым басшысына жүктеледі. Ұйым қызметкерлері құрамынан электрондық денсаулық сақтаудың ақпараттық жүйелерін басқарудағы әкімшілік құқықтары бар әкімші тағайындалады.

  1. Ұйым басшысы құпиялы ақпараттық ресурстармен рұқсатсыз танысудың алдын алу бойынша қажетті жағдайларды жасау және олардың ЕТҚ көмегімен өңдеу кезінде ұйымда сақталуын қамтамасыз ету үшін жеке жауапкершілік тартады.

  2. Қолжетімділік субъектілері қызметтік жағдайға қарамай осы регламенттің талаптарын қатаң сақтауы, құпия ақпараттың таралуына жол бермеуі және құпия ақпараттың тұтастығы (түрлендіру – тұтастықтың жеке жағдайы ретінде) бойынша іс-шараларды қабылдауы тиіс. Ұйым қызметкерлерінің осы регламенттің талаптарын сақтау бойынша міндеттері жұмысқа қабылдану кезінде талқыланады және еңбек шарты мен лауазымдық нұсқаулықтарда немесе құрылымдық бөлімшелер туралы ережелерде (құпия ақпаратты жарияламау туралы міндет түрінде) бекітіледі.

  3. Егер электрондық медициналық жазбаның кейіптендіру қызметін қамтамасыз ету құралы сенімсіз болып көрінген жағдайда, Қызметкер осындай міндеттерден бас тарта алады. Осы жағдайға қатысты қызметкер мен әкімшілік арасында туындайтын барлық дау-жанжалдар Қазақстан Республикасының заңнамасымен белгіленген тәртіппен шешіледі.

  4. Өз іс-әрекеті үшін жеке жауапкершілік қағидаттарын сақтау мақсатында әрбір қолжетімділік субъектісіне электрондық денсаулық сақтаудың ақпараттық жүйелерінде тіркеліп, жұмыс істеу мүмкіндігін беретін дербес бірегей сәйкестендіргіш (логин, пайдаланушының аты) беріледі. Өндірістік қажеттілік жағдайында қолжетімділік субъектісіне бірнеше сәйкестендіргіш берілуі мүмкін. Бірнеше субъектілерге электрондық денсаулық сақтаудың ақпараттық жүйелерімен жұмыс жасау үшін бір сәйкестендіргішті (топтық атау) пайдалануға тыйым салынады. Субъектіге басқа тұлғаларға өзінің сәйкестендіру ақпаратына (логин және пароль) қолжетімділікті беруге тыйым салынады.

  5. Қолжетімділік субъектілерін аудентификациялау құралдары ретінде парольдер, SMART-карталар, сәйкестендіру карталары (магниттік немесе шрих-кодтық), USB-кілттер және басқалары бола алады. Қолжетімділік құқықтарын қамтамасыз ету үшін электрондық медициналық жазбаға қол қою үшін қолданылатын техникалық құралдарды пайдалануға болады.



4. Қолжетімділік құқықтарын беру

26. Субъектіні тіркеу (сәйкестендіргішті және есепке алу жазбасын жасау) және оған электрондық денсаулық сақтаудың ақпараттық жүйелеріне қолжетімділік құқықтарын беру (немесе оны ауыстыру) рәсімі субъектінің өтінімімен (№ 2 қосымша) бастамашылық етіледі. Өтінімге ұйым басшысы қарар қояды, бұл осы субъектінің және тұлғаның лауазымдық міндеттерін орындауы және аталған міндеттерді шешу үшін қажетті электрондық денсаулық сақтаудың ақпараттық жүйелеріне және құпия ақпаратқа қолжетімділіктің (қолжетімділік құқытарын өзгерту) өндірістік қажеттілігін растайды. Өтінім негізінде әкімші есепке алу жазбасын, қолжетімділік құқықтары мен парольді жасау (өзгерту, жою) бойынша қажетті операцияларды жүзеге асырады.

27. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне және құпия ақпаратқа қолжетімділік рөлдік әдістемеге негізделеді, ұйым субъектісін тіркеу кезінде оған мыналар тағайындалады:

басқа ұйымдардан электрондық денсаулық сақтаудың ақпараттық жүйелеріне субъектінің қолжетімділігін қатаң түрде шектейтін ұйым субъектісінің рөлі;

ұйымның аталған бейініне қатысы жоқ құпия ақпаратқа қолжетімділікті шектейтін немесе «шектелген қолжетімділік» мәртебесі бар ұйым немесе бөлімше бейінінің рөлі;

ұйым деңгейі мен мәртебесіне байланысты бірнеше кіші рөлдерге бөлінген қызметтік жағдайдың рөлі: ұйым басшысы – бөлімше басшысы– емдеуші дәрігер – зертханашы және басқалары.

28. Қызметтік жағдайдың қолжетімділік рөлі:

дербес – қызметкерке жеке ұсынылған (мысалы, учаскелік дәрігер-терапевтке аталған рөл 13-тармақта немесе тиісті ұйымдастыру-өкімдік құжаттамада көрсетілген рәсімге сәйкес аумақтық учаскіге тіркелген халықтың денсаулығы туралы дербес ақпаратқа қолжетімділікті ұсынады);

лауазымдық – қызметкердің атқаратын лауазымына қарай беріледі (13-тармақта көрсетілген рәсімге сәйкес емдеуші дәрігер, бөлім меңгерушісі және басқалары).

ахуалдық – қызметкер өз лауазымын орындайтын жауапкершілік жағдайы (рөл) (мысалы, кезекшілік кезінде кезекші дәрігердің бөлім дәрігеріне қарағанда құқығы басым болуы тиіс; дәрігер-консультант – тек қана консультациялау кезінде немесе дәрігер-зертханашы зерттеу жүргізу кезінде 13-тармақта көрсетілген рәсімге сәйкес пациенттің барлық ЭМЖЭ толық рұқсат ала алады).



  1. Қолжетімділік құқықтары ЭМЖЭ жеке түрлеріне немесе нақты бір субъектіге қатысты жазбаларға таралуы мүмкін.

  2. Қолжетімділік құқықтарын тарату негізіне қолданыстағы нормативтік құжаттармен айқындалған медициналық қағаз құжаттарын жүргізуге қойылатын талаптар және медициналық ұйымның қабылданған емдік-диагностикалық технологиясы жатады.

  3. Пациенттің ЭМЖ қолжеткізу құқығы Қазақстан Республикасының қолданыстағы заңнамасына сәйкес жалпы құқықтармен айқындалған, бұл ретте медициналық деректердің құпиялығы қамтамасыз етіледі. Өзіндік ЭМЖ/ЭМЖЭ субъектіге қағаз немесе электрондық тасығыштар (дискеттер, CD және DVD дискілерде, флеш-карталарда және басқаларда) көшірмелері түрінде беріле алады. ЭМЖ/ЭМЖЭ қағаз немесе электрондық көшірмелерін пациентке ұсынған кезде құпиялылықты субъектінің өзі қамтамасыз етеді.

  4. Медициналық ұйым басшылығының шешімі бойынша немесе этикалық жағдайларға байланысты кейбір ЭМЖ/ЭМЖЭ субъектінің емдеуші дәрігерімен жабылуы мүмкін. Бұл ретте субъектінің конституциялық құқықтарын сақтау жауапкершілігі медициналық ұйымның басшысына жүктеледі.

  5. ҚР заңымен бекітілген тәртіппен, сондай-ақ ЭМЖ/ЭМЖЭ беруді регламенттейтін қағидалар мен құжаттарға сәйкес ЭМЖ/ЭМЖЭ деректері тәуелсіз ұйымдарға беріле алады (құқық қорғау органдарының сұраныстары, сараптама жүргізі және басқалары). Электрондық нысанда денсаулық туралы ақпаратты беру кезінде субъектінің медициналық деректеріне қатысты құпиялылық қатаң түрде сақталуы тиіс. Берілетін деректерге ЭМЖ/ЭМЖЭ авторының ЭЦҚ немесе беретін ұйым басшысының (сенімді өкілінің) қолы қойылуы тиіс.

  6. ЭМЖ қол қою үшін ЭЦҚ қолданған кезде қол қою барлық ақпаратты қамтуы мүмкін: ЭМЖ, барлық тіркелген файлдар және барлық формалданған деректердің элементтері, сондай-ақ ЭЦҚ ЭМЖ әрбір құрама бөліктері үшін құрыла алады, қоса берілген файлдар мен формалданған деректердің элементтері үшін жеке құрылуы мүмкін.

  7. Ақпараттық қауіпсіздік талаптарын қамтамасыз ету, сондай-ақ есепке алу жазбаларына тексеріс жүргізу үшін қолжетімділікті беру құқығы 1 жылдан астауы тиіс (37 және 38-тармақтарында сипатталған жағдайларды қоспағанда). Осы шектеулер есепке алу жазбасын жасау кезінде әкімшімен белгіленеді.

  8. Қолжетімділік субъектісін тіркеу кезінде (сәйкестендіргіш пен есепке алу жазбасын жасау) әкімші міндетті түрде пайдаланушының барлық іс-әрекеттерінің жазбасын (кіру, шығу, іске асырылатын әрекеттерді тіркеу) және басқаларын қосады. Пайдаланушының әрекеттері туралы ақпарат ақпараттық қауіпсіздіктің құрылымдық бөлімшесінің сейфінде сыртқы тасығыштарда 1 жылдың ішінде сақталуы тиіс.

  9. Есепке алу жазбасының деактивациясы ұйым басшысы қол қойған өтінім, қызметкер жұмыстан босатылған кезде ұсынылған кету қағазы негізінде жүзеге асырылады. Жұмыстан босатылған қызметкер құрастырған ақпарат аталған Ұйым үшін қолжетімді болып қалады. Субъекті жұмыс орнын ауыстырған жағдайда есептік деректер жойылмайды, қайта берілген сұранысқа сәйкес рөлдерді алмастыру жүргізіледі.

  10. Жұмыстан босатылған пайдаланушы әзірлеген ақпарат осы ұйым үшін қолжетімді болып қалады. Ұйымдағы қолжетімділік субъектісі жұмысын ауыстырған жағдайда есепке алу деректері жойылмайды, жаңа берілген өтінімге сәйкес рөлдерді ауыстыру жүзеге асырылады.

  11. Қолжетімділік субъектілеріне құпиялы ақпараттық ресурстарға қолжетімділікті әкімші береді. Қолжетімділік субъектісіне қол қою арқылы сәйкестендіргіш, субъект жүйеге алғаш кірген кезде өзгертілуі тиісті уақытша пароль беріледі. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне қолжетімділікті беру «Пайдаланушыларды тіркеу және парольдерді беру журналы» журналында тіркеледі (3-қосымша).

  12. Әкімші:

апаттық жағдайларда, парольдік-кілттік ақпарат рұқсатсыз бұзызған жағдайда және ұйым басшысының тапсырмасы бойынша ақпараттық қызмет көрсетуді тоқтатуға;

ақпаратты және құпия ақпаратты өңдеу технологиясы жөніндегі талаптардың орындалуына бақылау жүргізуге;

сыртқы тасымалдағыштарға (USB, СD дискілер) құпия ақпаратты көшіруге және экранның көшірмесін (Print Screen) алуға тыйым салуды қамтамасыз ету үшін қолжетімділік субъектілерінің жұмыс станцияларында теңшеу жұмыстарын жүзеге асыруға құқылы.


  1. Пайдаланушылар ақпараттық қызметтерді, құпия ақпаратқа қолжетімділік пен құпия ақпаратты өңдеу талаптары мен қағидалары туралы ақпаратты сұратуға құқылы.

  2. Электрондық денсаулық сақтаудың ақпараттық жүйелеріне және басқа жақтық, сондай-ақ жеке медициналық ұйымдардың ақпараттық жүйелеріне қолжетімділік құқығын беру қажеттілік пайда болған жағдайда «Жеке медициналық ұйымдарға және басқа жақтық ақпараттық жүйелерге ҚР ДСМ ақпараттық ресурстарына қолжетімділік құқықтарын беру туралы» қосымша әзірленген регламентте қарастырылады және регламенттеледі.



  1. Парольдік аудентификациялауға қойылатын талаптар




  1. Құпия ақпаратты өңдеуші электрондық денсаулық сақтаудың ақпараттық жүйелеріне кіру паролін ойлап табу, пайдалану, ауыстыру және әрекетін тоқтату үдерістерін ұйымдастырушылық және техникалық қамтамасыз ету және субъектілердің іс-әрекеттерін бақылау әкімшіге жүктеледі.

  2. Субъектінің уақытша парольдерді ойлап табуы және қолданыстағы парольді өзгертуі мынадай талаптарға сәйкес келуі тиіс:

парольдің ұзындығы – кем дегенде 8 таңба;

парольдік таңбалардың ішінде міндетті түрде жоғарғы және төменгі тіркелімдердегі әріптер, сандар мен арнайы белгілер (@, #, $, &, *, % және т.б.) болуы тиісті;

парольдің құрамында жеңіл анықталатын таңбалар тіркестері (аттар, тектер, АРМ атаулары және басқалары), сондай-ақ көпшілік мақұлдаған қысқартулар (ЭЕМ, ЖЕЖ, USER және басқалары) қолданылмауы тиіс;

парольді ауыстыру кезінде жаңа мағына бұрынғы мағынадан кем дегенде 6 позицияда ерекшеленуі тиіс;



субъекті басқа субъектіге парольді жарияламауға тиіс.

  1. Парольдердің иелері жоғарыда аталған талаптармен таныстырылуы және осы талаптарға сәйкес келмейтін парольдерді қолданғаны үшін, сондай-ақ парольдік-кілттік ақпаратты таратқаны үшін жауапкершілікке тартылатындығы жөнінде ескертілуі тиіс.

  2. Технологиялық қажеттілік, штаттан тыс, форс-мажорлық жағдайлар және осыған ұқсас басқа жағдайлар туындағанда қызметкерлер жұмыста болмаса да, олардың сәйкестендіргіштері мен парольдерін пайдалануға рұқсат беріледі; сәйкестендіргіштер мен парольдер ұйым басшысының нұсқауы бойынша ұсынылады (жауапты тұлғаларға). Қызметкер өз міндеттерін қайта орындай бастаған кезде пароль жоғарыда сипатталған рәсімге сәйкес өзгертіледі. Қызметкер әкімшіден ол жұмыста болмаған кезде оның атынан жасалған іс-әрекеттердің толық тізімін сұратуға құқылы.

  3. Субъектілердің парольдерін жоспар бойынша толығымен ауыстыру айына кемінде бір рет жүзеге асырылуы тиіс. Субъектінің парольдерін немесе есепке алу жазбасын жоспардан тыс ауыстыру оның өкілеттігі аяқталған (қолжетімділік пен қолжетімділік құқықтарын ауыстыру жүзеге асырылатын жұмыстан босатылу, басқа лауазымға, құрылымдық бөлімшеге ауыстырылу) немесе пароль баршаға мәлім болған жағдайда жүзеге асырылады. Барлық субъектілердің парольдерін жоспардан тыс алмастыру әкімшінің құзыреті аяқталған жағдайда жүзеге асырылуы тиіс.

  4. Қызметкерге өзінің парольдері (баспа түрінде) мен дербес сәйкестендіргіштерін тек мөрленген конвертте (4-қосымша) ақпараттық жүйелерді әкімшілендірудің құрылымдық бөлімшесі сейфінде сақтауға рұқсат етіледі.

  1. Ақпаратты өңдеуге қойылатын талаптар



  1. Құпия ақпаратты баспа құжаттарынан және басқа көздерден енгізуді тек құпия ақпаратпен жұмыс істеуге қолжетімділігі бар қызметкерлер ғана құпия ақпаратты өңдеуге арналған автоматтандырылған жұмыс орындарында іске асыруы тиіс. Сондай-ақ бірнеше құпиялы ақпараттық ресурстардан ақпаратты біріктіру (агрегирлеу) арқылы құпия ақпаратты әзірлеу енгізу болып табылады және тіркеуге жатады.

  2. Құпиялы ақпараттық ресурстар осы мақсатта бөлінген серверлер мен жүйелерде, сыртқы ақпараттық тасығыштарда сақталуы тиіс. Құпиялы ақпараттық ресурстардың резервтік көшірмелерін жасау кезінде пайдаланылатын ақпарат тасығыштары негізгі көшірмелер сияқты сақталуы тиіс. Құпиялы ақпараттық ресурстар Қазақтан Республикасының қолданыстағы заңнамасына сәйкес айқындалатын мерзімде сақталады. Құпиялы ақпараттық ресурстардан тұратын ақпарат тасығыштары осы мақсатта арнайы бөлінген сейфте сақталады.

  3. Ақпараттық қауіпсіздік талаптарына сәйкес деректер мен құпия ақпаратты (оның ішінде дербес деректер) ДҚ-ға кіру рұқсаты бар адамдар (ДҚ әкімшілері, хакерлер мен басқалары) осы деректерді оқи алмайтындай құпияланған түрде сақтау қажет. Деректер пайдаланушының қолжетімділік құқығы тексерілгеннен кейін ғана қосымша арқылы көрсетілуі тиіс. Электрондық денсаулық сақтаудың ақпараттық жүйелерінде дерек қорларды шифрлау жүйелердің өнімділігіне айтарлықтай әсер ете алатындығын ескере отырып, медициналық ақпарат субъектісін анықтауға болатын деректердің бір бөлігі шифрланады.

  4. Құпия ақпарат берілетін, сондай-ақ электрондық денсаулық сақтаудың ақпараттық жүйелерінде субъектілердің жұмысы жүргізілетін деректерді беру арналары шифрлануы тиіс. Барлық байланыс арналары үшін VPN туннелдерін қолдану қажет. Қазақстан Республикасы Денсаулық сақтау министрлігіне ведомстволық бағыныстағы ұйым VPN туннелдерін құру және қолдауды жүзеге асырады. Электрондық денсаулық сақтаудың ақпараттық жүйелерінің порталдары үшін ақпаратты беру міндетті түрде HTTPS хаттамасын қолдану арқылы жүзеге асырылуы тиіс, аталған шаралар ақпараттық қауіпсіздік талаптарын толықтай қанағаттандырады және трафикті ұстап қалудан қорғайды.

  5. Құпия ақпаратты және ақпараттық ресурстарды жою сақтау мерзімі аяқталғаннан кейін жүргізіледі (Қазақстан Республикасының қолданыстағы заңнамасына сәйкес).

  6. Құпия ақпараттық алмалы-салмалы тасығыштары оларды сақтау қажеттілігі болмаған жағдайда жойылуы тиіс. Құпия ақпарат жойылған кезде осы ақпараттық ресурстардан тұратын барлық тасығыштар тізбесі әзірленеді, осы ақпараттық ресурстар жойылып, белгіленген нысандағы акт жасалады.

  7. Ақпараттық қауіпсіздікке келтірілген зиян салдарын азайту үшін өз кезегінде мыналарды қамтамасыз ететін, ақпараттың жылыстауына жол бермеу жүйелерін пайдалану қажет:

интеллектуалдық меншікті қорғау;

дербес деректердің тжылыстауына жол бермеу;

ақпараттық жүйелерге, ресурстарды пайдалану персоналына тұрақты түрде мониторинг жүргізу;

құпия ақпаратты заңсыз түрде алуға жол бермеу;

қаскүнем, өндірістік тыңшылықпен айналысатын тұлғаларды, құпия ақпаратпен жұмыс жасау кезіндегі қызметкерлердің немқұрайлығын анықтау.


  1. Қолжетімділік субъектілерінің міндеттері




  1. Ұйым басшысы белгілейтін комиссия электрондық денсаулық сақтаудың ақпараттық жүйелерінің құпия ақпаратына қолжетімділікті, құқықтарды және өкілеттіліктерді шектеу қағидаларын, құпия ақпаратты тасығыштардың болуын кем дегенде жылына бір рет тексереді. Тексеріс нәтижелері актімен рәсімделеді.

  2. Барлық субъектілер:

осы Регламенттің талаптарын білуге және орындауға;

өзіне мәлім құпия ақпаратты құпияда сақтауға, өзінің тікелей басшысын құпиялы ақпараттық ресурстар мен тасығыштарды дұрыс пайдаланбау фактілері мен оларға рұқсатсыз кіру әрекеттері жөнінде хабардар етуге,

құпиялы ақпараттық ресурстар мен тасығыштарды пайдалану қағидаларын, оларды өңдеу мен сақтау тәртібін сақтауға;

тікелей қызметтік міндеттерді атқаруға байланысты қолжетімділік берілген құпия ақпаратпен ғана танысуға;

құпия ақпаратты қолжетімділік субъектілеріне берілген мақсатта ғана пайдалануға;

белгіленген жұмыс тәртібін, құпия ақпаратты есепке алуда және сақтауда жіберілген бұзушылықтар, сондай-ақ құпия ақпаратты жария ету фактілері туралы жазбаша түсініктеме беруге міндетті.



  1. Қолжетімділік субъектілеріне:

қорғалмаған байланыс арналары арқылы келіссөздер жүргізу кезінде құпия ақпаратты пайдалануға;

құпия ақпаратты жеке мақсаттарда немесе ақпарат берілген мақсаттардан басқа мақсаттарда пайдалануға;

құпия ақпарат құралдарынан және тасығыштардан көшірме жасауға, сондай-ақ ұйым басшысының рұқсатынсыз оларды жазып алу үшін әртүрлі техникалық құралдарды қолдануға;

құпия ақпаратпен және тасығыштармен үйде жұмыс жасауға;

құпия ақпарат жазылған ақпарат тасығыштарды ұйым басшысының рұқсатынсыз ұйым аумағынан тыс жерге шығаруға;

қызметтік қажеттілік туындамаса, құпия ақпаратты ауызша немесе жазбаша түрде біреулерге (соның ішінде қызметкерлерге) хабарлауға;

құпия ақпараттан тұратын жазбаларды, есептер мен ескертпелерді жеке дәптерлерге, қойын дәптерлерге, айқындалмаған ақпарат тасығыштарына жазуға тыйым салынады.


  1. Әкімшіге:

ақпаратты қорғау жөніндегі талаптарды және қолжетімділікті шектеу қағидаларын бұза отырып, кіру рұқсатын беруге;

ақпараттық қызметтерді көрсетуді, қолжетімділік субъектісін немесе қызметкер тиесілі бөлімшенің басшысын (субъектіге хабарлау мүмкіндігі болмаса) тез арада хабардар етусіз құпия ақпаратқа қолжетімділікті тоқтатуға;

құпиялы ақпараттық ресуртарды тіркеуге, құпия ақпаратты енгізуге, қабылдауға, шығаруға, ақпаратты қорғау құралдарымен жабдықталмаған, сөндірілген немесе дұрыс жұмыс істемейтін ЕТҚ-да құпиялы ақпараттық ресурстарды жазуға және сақтауға тыйым салынады.
8. Қолжетімділік субъектілерінің жауапкершілігі

59. Барлық қолжетімділік субъектілері ұйымдастыру-өкімдік құжаттардың дұрыстығы мен сәйкестігі, құпия ақпараттарды өңдеу, олармен танысу бойынша операциялар жүргізу, электрондық құжаттарды енгізу, алып тастау, шифрлау және шифрді ашу, басып шығару, белгілеу, құпиялы ақпараттық ресурстарды шығару кезінде алынған парольдік-кілттік ақпаратты, баспа құжаттарын (оның ішінде шимай қағаздарды) құпияда сақтау және жоғалту, алмастыру және жариялауды болдырмау үшін жеке жауапкершілік тартады. Қолжетімділік субъектісінің жауапкершілігі Қазақстан Республикасының қолданыстағы заңнамасымен және Қазақстан Республикасы Денсаулық сақтау министрлігің нормативтік құқықтық актілерімен айқындалады.




  1. Қосымшалар

1-қосымша

Үлгі



Денсаулық сақтаудың электрондық ақпараттық ресурстарын қалыптастыру үшін денсаулық жағдайы жөніндегі мәліметтерді ұсынуға келісім
Мен, (Т.А.Ә.), ЖСН___________ /заңды өкілі, (Т.А.Ә.) ілік септігінде, ЖСН___________, өз еркіммен және өз мүддеме сәйкес әрекет ете отырып, денсаулығым туралы дербес ақпаратты немесе сыртартпа мәліметтерінен, қысқа жазбалар мен симптомдарды, диагноздарды, қабылданған препараттарды, зертханалық талдау нәтижелерін, ағза жағдайының негізгі көрсеткіштерін, екпелер мен диагностикалық зерттеулердің нәтижелері бойынша қорытындыларды қоса алғандағы, менің денсаулық жағдайым туралы басқа ақпараттан тұратын медициналық деректерді ұсынуға келісімімді беретінімді растаймын.

Менің дербес деректерімді өңдеу мақсаттарымен таныстырылғандығымды растаймын: менің дербес медициналық деректеріме қолжетімділік маған тек медициналық қызмет көрсету мақсаттарымен ғана шектелуі тиіс. Статистикалық, әлеуметтік, ғылыми зерттеулер жүргізу үшін менің денсаулығым туралы деректер иесіздендірілуі тиіс (деректердi иесiздендiру – жасалу нәтижесiнде дербес деректердiң нақты бір тұлғаға тиесiлiгiн анықтау мүмкiн болмайтын iс-әрекеттер).


Осы құқық (келісім) 75 жыл ішінде әрекет етеді және Қазақстан Республикасының қолданыстағы заңнамасымен өзге белгіленбесе, кері қайтарылуы мүмкін.

Күні 20__ж. «___» ________ Қолы________


2-қосымша

Үлгі


Қазақстан Республикасы Денсаулық сақтау министрлігінің Ақпараттық жүйесінде пайдаланушыны тіркеу

ӨТІНІМІ
тіркеу / құқықтарды өзгерту

(қажетінің астын сызу керек)

Тіркеуді сұраймын: _______________________________________

(Т.А.Ә. – толық)

Компьютерлік жабдықты және бағдарламалық жасақтаманы пайдалану нұсқаулығымен таныстым және оларды орындауға міндеттенемін __________________

(пайдаланушының қолы)



  1. (

Ұйымның атауы






Ұйымның мекенжайы






Бөлімі, лауазымы






Ағылшын тіліндегі тегі мен аты






Кабинет №, телефон №






ДК ЖЕЖ (IP) болуы






ДСМАЖ-ға қосылу






Қолжетімділік түрі






Қолжетімділік құқығы (оқу, толық қолжетімділік)




Басшы______________________________________

__________________

(бөлімді көрсету) (өтінімді беру күні)

Келісілді:_______________________________________

Бөлім бастығы (тікелей басшы)

Келісілді:_______________________________________

ЖӘБ бөлімінің бастығы

Келісілді:_______________________________________

АҚБ бөлімінің бастығы

3-қосымша



Үлгі
Пайдаланушыларды тіркеу және парольдерді беру журналы

(бөлімшенің атауы)
1-кесте - Жүйелерге кіру парольдерін беру үшін жауапты қызметкерлердің тізімі




ТАӘ

Лауазымы

Телефон нөмірі

Жауапкершілігі

Ескертпе















































































































2-кесте - Парольдер берілетін ДБАЖ компоненттерінің ақпараттық ресурстарының тізімдемесі

Ақпараттық ресурстың атауы

Ақпараттық ресурсты орналастыру орны

Жауапты әкімшінің Т.А.Ә.,телефоны
























































3-кесте – Парольдерді беру журналы


Ақпараттық ресурстың атауы

Берілген күні мен уақыты

Негіздеме

Жауапты әкімшінің Т.А.Ә., телефоны

Пайдаланушының Т.А.Ә., телефоны, (берілген аты, құқығы, e-mail)

Ескертпе












































































































4-қосымша



Үлгі

Конверт




Бөлімше, лауазымы






Т.А.Ә.






Кабинет №, телефон №






Күні/Уақыты








Достарыңызбен бөлісу:


©kzref.org 2017
әкімшілігінің қараңыз

    Басты бет