+7 (8634) 33-73-83
г. Таганрог, ул. С.Шило, 198
+7 (8634) 33-73-83
г. Таганрог, ул. С.Шило, 198
stomattag@mail.ru
  • Главная
  • Положение о врачебной тайне

    • Положение по организации и обеспечению защиты врачебной тайны и иной конфиденциальной информации 

     

    1.Общие положения

    1.1. Настоящее Положение по организации и обеспечению защиты врачебной тайны и иной конфиденциальной информации в Обществе с ограниченной ответственностью«Хозрасчетная стоматологическаяполиклиника» (далее именуетсяОрганизация) разработано в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Гражданского Кодекса Российской Федерации и других нормативных актов Российской Федерации.

    Положение регламентирует единый подход к организации и обеспечению защиты сведений, составляющих врачебную тайну и иную конфиденциальную информацию (далее именуется - конфиденциальная информация) в Организации.

    Положение является основным документом по вопросам защиты конфиденциальной информации. Требования Положения обязательны для выполнения всеми работниками, допущенными установленным порядком к конфиденциальной информации, а также представителями сторонних организаций, которым предоставляется доступ к таким сведениям в процессе деятельности Организации.

    1.2. К конфиденциальной информации (информации ограниченного доступа) относится:

    - врачебная тайна - информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе заболевания и иные сведения, полученные при его обследовании и лечении;

    - коммерческая тайна - информация, имеющая действительную или потенциальную врачебную ценность в силу ее неизвестности третьим лицам, к которой нет свободного доступа на законном основании, и ее собственник принимает меры к защите ее конфиденциальности:

    - информация о персональных данных работников в соответствии с требованиями Трудового Кодекса РФ:

    - информация, которая определена конфиденциальной ее правообладателем.

    1.3. Защита конфиденциальной информации от неправомерных посягательств (хищения, искажения, копирования, блокирования, уничтожения и т.п.) заключается в выявлении и перекрытии каналов утечки защищаемой информации, проведении комплекса правовых, организационных и инженерно-технических мероприятий.

    1.4. Организация и ведение конфиденциального делопроизводства возлагается на отдел кадров.

    1.5. Информационные ресурсы, содержащие конфиденциальную информацию, созданные, приобретенные, накопленные в Организации, а также полученные путем иных установленных законом способов, являются собственностью Организации, и не могут быть использованы иначе, как с разрешения руководителя или в установленных законом случаях.

    Для определения конфиденциальности используется Временный перечень сведений конфиденциального характера, составленный в соответствии с действующим законодательством.

    1.6. Работник, допущенный к работе с конфиденциальной информацией, должен быть под расписку ознакомлен с требованиями настоящего Положения и ответственностью за его нарушение.

    1.7. Положение регламентирует содержание системы защиты конфиденциальной информации:

    - обязанности лиц, допущенных к сведениям, составляющим конфиденциальную информацию и ответственность за её разглашение;

    - организацию и ведение конфиденциального делопроизводства;

    - порядок обращения с носителями конфиденциальной информации;

    - организацию работ при обработке и подготовке конфиденциальной информации на средствах вычислительной техники.

     

    2. Обязанности лиц, допущенных к сведениям,

    Составляющим конфиденциальную информацию и ответственность за её разглашение

    2.1. Руководители структурных подразделений, работники, пользователи информации обязаны контролировать и выполнять предусмотренные меры по защите информации конфиденциального характера.

    Организация, пользователи информации обязаны контролировать и выполнять предусмотренные меры по защите информации конфиденциального характера.

    2.2. Руководители структурных подразделений обязаны:

    - участвовать в подготовке Временного Перечня сведений конфиденциального характера, принимать решение об отнесении информации в порученной сфере ответственности к категории ограниченного доступа;

    - готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с защищаемой информацией;

    - назначать в подразделении работника, отвечающего за обеспечение выполнения предусмотренных мер защиты информации с уточнением его обязанностей в должностном регламенте;

    - контролировать целевое использование работниками ресурсов сети«Интернет»;

    -проводить по информации администратора сети разбирательство по фактам нарушений пользователями правил, установленных для работы в локальной вычислительной сети (далее - ЛВС), а также нарушений требований по защите информации;

    - контролировать выполнение пользователями общих правил работы на ПЭВМ и в ЛВС, полноту и качество выполнения ими своих обязанностей по защите информации;

    - выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите информации:

    - при обнаружении нарушений установленных требований по защите информации, в результате которых вскрыты факты разглашения конфиденциальной информации, прекратить работы на рабочем месте, где обнаружены нарушения, и доложить руководителю;

    - проводить служебные расследования фактов разглашения конфиденциальной информации или утери документов, содержащих такую информацию;

    - обеспечивать условия для работы при проверке эффективности предусмотренных мер защиты информации;

    - определять порядок передачи информации конфиденциального характера другим учреждениям, управлениям, организациям и органам;

    - следить за неизменностью состава, структуры и конфигурации технических средств и программного обеспечения рабочих станций, на которых ведется обработка конфиденциальной информации в структурном подразделении;

    - при обнаружении нарушений защиты информации:

    - немедленно прекратить работы на рабочей станции;

    - сообщить администратору безопасности информации ЛВС о случившемся и по его указанию принять меры по устранению нарушения;

    - доложить о нарушении вышестоящему руководителю.

    2.3. Руководители подразделений, принявшие решение об отнесении информации к категории ограниченного доступа, несут персональную ответственность за обоснованность принятого решения.

    2.4. Администратор безопасности информации АС (ЛВС):

    - несет ответственность за:

    - настройку и эксплуатацию средств защиты от несанкционированного доступа (принятой системы разграничения доступа персонала к информационным ресурсам АС (ЛВС);

    - сохранность и неизменность общесистемного программного обеспечения на серверах,

    - организацию резервного копирования информации;

    - выявление попыток НСД к информационным ресурсам АС (ЛВС) и своевременный доклад о них руководству;

    - своевременность проведения контроля эффективности системы защиты информации АС (ЛВС),

    - сохранность конфиденциальности личного пароля и паролей пользователей;

    - производит регистрацию (удаление) пользователей с предоставлением им полномочий по доступу к информационным ресурсам на основании утвержденных заявок руководителей структурных подразделений;

    - производит обновление антивирусного пакета программ;

    - производит проверку программного обеспечения на отсутствие вирусов;

    - при обнаружении факта или попыток НСД к информации АС (ЛВС), а также в случае разглашения пароля обязан:

    - немедленно прекратить работы на объекте;

    - проинформировать о происшествии руководство учреждения.

    2.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений конфиденциального характера, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.

    2.6. Пользователи допускаются к обработке (обсуждению) конфиденциальной информации в соответствии со штатным расписанием (приказом о допуске к защищаемым информационным ресурсам, заявке на подключение к информационным ресурсам) и на основании полученного задания на выполнение работ.

    2.7. Полномочия пользователям АРМ (ЛВС) присваиваются администратором безопасности информации АС (ЛВС) в соответствии с заявкой руководителя подразделения.

    Пользователь обязан:

    - знать и выполнять требования действующих нормативных и руководящих документов, инструкций, приказов, регламентирующих порядок действий по защите информации;

    - перед началом обработки конфиденциальной информации на ПЭВМ - убедиться в целостности печати системного блока ПЭВМ. В случае неисправности ПЭВМ, обнаружения следов вскрытия корпуса системного блока, немедленно прекратить работу, поставить в известность руководителя подразделения и действовать по его указанию;

    - при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;

    - сохранять в тайне свой индивидуальный пароль и регулярно (не реже 1 раза в 3 месяца) производить его смену;

    - проверять все новые данные на отсутствие вирусов;

    - регулярно проверить свои рабочие папки на жестком магнитном диске, рабочие дискеты и CD-диски на отсутствие вирусов с помощью штатных средств антивирусной защиты;

    - при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному начальнику;

    - при обработкеконфиденциальной»информации использовать только зарегистрированные в журнале учета машинные носители информации (МНИ) (энергозависимый несъемный - жесткий магнитный диск (винчестер), энергонезависимый съемный - гибкий магнитный диск, оптические диски, накопители USB), а также другие устройства хранения информации;

    - выполнять предписания администратора сети;

    - представлять для контроля свою рабочую станцию руководителю подразделения, администратору сети и специалисту по защите информации;

    - вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;

    - учет, размножение, обращение печатных материалов, содержащих сведения конфиденциального характера и имеющих гриф«Для служебногопользования»,проводить в соответствии с требованиями Инструкции по делопроизводству;

    - при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств программного обеспечения сообщить администратору сети и поставить в известность руководителя подразделения.

    Пользователю при работе запрещается:

    - передавать (сообщать) кому-либо свой пароль;

    - передавать включенную ПЭВМ другому исполнителю для работы под своими учетными данными (имя пользователя, пароль).

    - допускать к подключенной в сеть рабочей станции посторонних лиц;

    - играть в компьютерные игры;

    - устанавливать и запускать любые системные или прикладные программы без согласования с администратором сети или администратором БИ;

    - перенастраивать программное обеспечение компьютера;

    - самостоятельно вскрывать функциональные узлы рабочей станции;

    - изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;

    - оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);

    - оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), МНИ и распечатки, содержащие конфиденциальную информацию;

    - производить копирование для временного хранения защищаемой информации на неучтенные носители;

    - работать на рабочей станции сети с защищаемой информацией при обнаружении неисправностей станции;

    - умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации;

    - отсылать по электронной почте информацию личного или коммерческого характера, а также информацию по просьбе третьих лиц без согласования с руководством подразделения;

    - отсылать по открытым каналам связи конфиденциальную информацию;

    - запрашивать и получать из сети«Интернет»материалы развлекательного характера (игры, клипы и т.д.), кроме случаев их специального использования в служебных целях;

    - входить в другие компьютерные системы через сеть без разрешения операторов этих систем.

    2.8. Работники не могут использовать в личных целях сведения конфиденциального характера, ставшие известными им вследствие выполнения служебных обязанностей.

    2.9. За разглашение информации конфиденциального характера, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации сотрудник может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.

    2.10. Работник, отвечающий за обеспечение выполнения в подразделении предусмотренных мер защиты информации обязан:

    - знать требования настоящего Положения;

    - хранить поступившие организационно-распорядительные документы, касающиеся вопросов защиты информации;

    - иметь список сотрудников подразделения, допущенных к конфиденциальной информации, знакомить под расписку их и вновь назначенных сотрудников с настоящим Положением;

    2.11. При смене работника, отвечающего за обеспечение выполнения в подразделении предусмотренных мер защиты информации, составляется акт приема-передачи документов, который утверждается соответствующим руководителем.

    3. Порядок обращения с носителями конфиденциальной информации

    3.1. Общий порядок обращения со служебными документами, содержащими конфиденциальную информацию, определен Инструкцией по делопроизводству.

    4. Организация работ при обработке и подготовке конфиденциальной информации

    На средствах вычислительной техники

    4.1. Работники, осуществляющие обработку информации конфиденциального характера на средствах вычислительной техники, несут ответственность за соблюдение порядка подготовки и обработки документов, содержащих такую информацию.

    4.2. Обеспечение защиты конфиденциальной информации при её обработке на средствах вычислительной техники осуществляется в соответствии с требованиями настоящего Положения, приказов, инструкций и распоряжений по вопросам защиты информации.

    5. Планирование работ по защите информации и контролю

    5.1. Основными руководящими документами для планирования работ по защите информации и контролю являются:

    - Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);

    - Положение о порядке обращения со служебной информацией ограниченного распространения;

    - организационно-распорядительные документы по технической защите конфиденциальной информации;

    - эксплуатационно-техническая документация на ЛВС;

    - эксплуатационно-техническая документация на средства защиты информации.

    5.2. План работы по защите информации и контролю состояния защиты содержит:

    - перечень объектов контроля (средства активной защиты от СЗИ НСД);

    -периодический контроль уязвимости вычислительной сети, анализ результатов контроля, устранение недостатков;

    -перечень контролируемых параметров (комплексная проверка системы защиты, проверка работоспособности и (или) на функционирование отдельных систем и устройств и т.д.), периодический контроль параметров и эффективности средств зашиты:

    -субъект контроля (должностное лицо, ответственное за проведение контроля);

    - периодичность и своевременность контроля (внезапного контроля).

    5.3. Планы работы разрабатываются администратором безопасности информации с учетом предложений руководителей структурных подразделений.

    План разрабатывается на год и утверждается руководителем предприятия.

    Результаты контроля отражаются в соответствующих разделах эксплуатационной документации на объект.

    Контроль за выполнением плана работ организует главный врач предприятия.

     

    6. Порядок внесения изменений в положение

    6.1 Корректировка настоящего Положения производится в случаях, влияющих на состояние защиты охраняемых сведений, введения в действие (изменения) нормативных документов по защите информации.


    +7 (8634) 33-73-83

    Рост. обл., г. Таганрог, ул. С.Шило, 198

    ПН - ЧТ с 8:00 до 20:00

    ПТ - СБ с 8:00 до 16:00

    Запишитесь на прием
    +7 (8634) 33-73-83
    г. Таганрог, ул. С. Шило, 198
    stomattag@mail.ru