İşletme için bilgileri önemli bir kaynaktır. politika bilgi güvenliği  Bilgileri yanlışlıkla veya kasıtlı olarak almasından, imha etmesinden vb. korumak için gerekli önlemleri belirler. Güvenlik politikasına uyma sorumluluğu, kurumun her çalışanına aittir. Güvenlik politikasının amaçları:

• Çalışanların görevlerini normal yerine getirmeleri için şirket kaynaklarına sürekli erişimin sağlanması
• Kritik bilgi kaynakları sağlama
• Veri Bütünlüğü Koruması
• İşletmelerde bilgi güvenliğinin uygulanmasında çalışanların sorumluluk derecelerinin ve işlevlerinin atanması
• Kullanıcıları inf ile ilişkili risklerle tanıştırmaya çalışın. kurumsal kaynaklar

Çalışanların bilgi güvenliği politikasına uyumu için periyodik olarak kontrol edilmesi gerekir. Politika kuralları, işletmenin tüm kaynakları ve bilgileri için geçerlidir. Şirket bilgi işlem kaynaklarının, işletme bilgilerinin, lisanslı ve oluşturulan yazılımların, posta içeriğinin, çeşitli belgelerin sahipliğinin sahibidir.

İşletmenin tüm bilgi varlıkları ile ilgili olarak, belirli varlıkların kullanımından sorumlu olan uygun kişiler bulunmalıdır.

Bilgi Sistemlerine Erişim Kontrolü

Tüm görevleri, yalnızca işletmede işletime yetkili olan bilgisayarlarda yapılmalıdır. Taşınabilir cihazlarınızı ve depolama cihazlarınızı kullanmak yalnızca anlaşma ile mümkündür. Tüm gizli bilgiler, sabit disk şifrelemeli yazılımın uygulandığı sabit sürücülerde şifrelenmiş biçimde saklanmalıdır. Çalışanların bilgi sistemine hakları periyodik olarak gözden geçirilmelidir. Bir bilgi kaynağına yetkili erişim sağlamak için, sisteme giriş yapmak benzersiz bir kullanıcı adı ve şifre kullanılarak yapılmalıdır. Şifreler yeterli olmalı. Ayrıca, bir mola sırasında veya bir çalışanın işyerinde olmaması durumunda, çalışan makineyi engellemek için ekran koruyucu işlevi etkinleştirilmelidir.

Kurumsal bilgi sistemine üçüncü taraf erişimi

Her çalışan, üçüncü şahıslara bilgi ağı kaynaklarına erişim sağlayan IS servisini bilgilendirmelidir.

Uzaktan erişim

Kişisel taşınabilir cihazlar kullanan çalışanlar, kurumun bilgi ağına uzaktan erişim talep edebilir. Şirket dışında çalışan ve uzaktan erişimi olan çalışanların şirket ağından veri kopyalamasına izin verilmez. Ayrıca, bu tür çalışanların kuruma ait olmayan farklı ağlarla birden fazla bağlantısı olamaz. Uzaktan erişime sahip bilgisayarlar içermelidir.

İnternet erişimi

Bu erişime yalnızca üretim amacıyla izin verilmeli ve kişisel kullanım için kullanılmamalıdır. Aşağıdakiler önerilerdir:

• Topluma saldırgan olarak kabul edilen veya cinsel veri, propaganda vb. Olan bir web kaynağını ziyaret etmek yasaktır.
• İşçiler şirket verilerini depolamak için İnterneti kullanmamalı
• Kamu sağlayıcılar tarafından sağlanan hesapları olan çalışanların, işletmenin ekipmanı üzerinde kullanımına izin verilmemektedir
• İnternetteki tüm dosyalar virüs taramasından geçirilmelidir.
• Çalışan olmayan herkes için internet erişimi yasaktır.

Ekipman koruma

Çalışanlar ayrıca, şirket verilerinin depolandığı veya işlendiği fiziksel koruma ekipmanının uygulanmasına da dikkat etmelidir. Donanım ve yazılımı manuel olarak yapılandırmak yasaktır, bunun için bilgi güvenliği hizmeti uzmanları vardır.

donanım

Gizli bilgilerle çalışan kullanıcılar, kendilerine ve iş yerlerine erişimi fiziksel olarak kısıtlamak için ayrı bir odaya sahip olmalıdır.

İşletmeden geçici kullanım için ekipman almış olan her çalışan (iş gezisi), ona bakmalı ve onu gözetimsiz bırakmamalıdır. Kayıp ya da diğer acil durumlarda, bilgisayardaki veriler önceden şifrelenmelidir.

Kayıt öncesi verileri biçimlendirmek veya medyayı imha etmek, cihazın temizliğinin% 100 garantisi değildir. Ayrıca, çalışanların veri kopyalama izninin olması dışında, sabit bilgisayarlardaki veri aktarma bağlantı noktaları engellenmelidir.

yazılım

Kuruluşun bilgisayarlarında kurulu olan tüm yazılımlar, kuruluşun mülküdür ve resmi görevler için kullanılmalıdır. Çalışanların, IS hizmetini koordine etmeden başka bir yazılımı kişisel olarak yüklemeleri yasaktır. Tüm sabit bilgisayarların minimum yazılım kümesi olmalıdır:

• Antivirüs yazılımı
• Sabit disk şifreleme yazılımı
• E-posta şifreleme yazılımı

Şirket çalışanları:

• diğer virüsten koruma yazılımlarını engelleme veya yükleme
• güvenlik ayarlarını değiştir

Elektronik mesajlar (silinmiş mesajlar bile) devlet tarafından kullanılabilir. yetkili makamlar veya mahkemede delil olarak iş rakipleri. Bu nedenle, mesajların içeriği kesinlikle iş etiği alanındaki kurumsal standartlara uymalıdır.

Çalışanlar şifreleme olmadan şirket gizli bilgilerini posta yoluyla gönderemezler. Ayrıca, çalışanlar ortak posta kutularını kullanamazlar. Belgelerle çalışırken yalnızca şirket posta kutuları kullanılmalıdır. Aşağıda, e-posta uygulanırken çözülemez eylemler açıklanmaktadır:

• işletmenin tüm kullanıcılarına grup postalama
• kurumsal e-posta kaynaklarını kullanarak kişisel mesajlar gönderme
• posta kutuları şirket kutusuna abone olma
• işle ilgili olmayan malzemelerin nakliyesi

Olay Raporlama, Müdahale ve Raporlama

Tüm çalışanlar, güvenlik sistemindeki şüpheli tüm açıkları bildirmelidir. Ayrıca, çalışanın bildiği koruma sisteminin zayıflıklarını açığa vurmak mümkün değildir. Bilgisayarda virüs şüphesi veya diğer yıkıcı eylemler varsa, çalışan:

• güvenlik görevlilerini bilgilendirmek
• virüslü bilgisayarı açmayın veya kullanmayın
• Bir bilgisayarı kurumsal bilgi ağına bağlamayın

Teknik koruma yöntemleri olan tesisler

Tüm gizli toplantılar / toplantılar sadece özel odalarda yapılmalıdır. Katılımcıların, IS hizmetinin izni olmadan kayıt cihazları (Ses / video) ve cep telefonları tesislerine getirmeleri yasaktır. Ses / video kaydı, IB servisinin izni ile bir çalışan tarafından yapılabilir.

Kurumsal Bilgi Güvenliği Politikası

Bir işletmede bilgilerin güvenliğini ve güvenliğini sağlama başarısı, her şeyden önce, işletmede geliştirilen güvenlik politikalarına bağlıdır. Bir kuruluşun bilgi güvenliği politikası, değerli bilgilerin yönetimini, korunmasını ve dağıtımını yöneten bir güvenlik kuralları, kuralları, prosedürü ve uygulamasıdır.

Kuruluşun idari bilgi güvenliği seviyesini, yani kuruluşun liderliği tarafından alınan önlemleri göz önünde bulundurun. İdari düzeydeki tüm faaliyetlerin merkezinde, genellikle bir işletmenin bilgi güvenliği politikası olarak adlandırılan bir belge vardır. Bilgi güvenliği politikası, belgelenmiş yönetim kararlarının ve bilgi kaynaklarını korumayı amaçlayan önleyici tedbirlerin bir kombinasyonunu ifade eder.

Bilgi güvenliği politikası geliştirmek, hiçbir zaman önemsiz bir mesele değildir. Bilgi güvenliğini sağlamadaki diğer tüm düzeylerin (usule dayalı ve yazılım teknik) etkinliği, detaylandırılmasının doğruluğuna bağlı olacaktır. Bu belgenin geliştirilmesinin karmaşıklığı, başkasının deneyimini kullanma zorluğuyla belirlenir, çünkü güvenlik politikası, üretim kaynaklarına ve işletmenin işlevsel bağımlılıklarına dayanır. Ayrıca, bir devlet olarak Rusya'nın böyle bir model belgesi yok. Bu fikre en yakın olanı "Rusya Federasyonu Bilgi Güvenliği Doktrini" olarak adlandırılabilir, ancak bence çok genel.

Bu bağlamda, bilgi güvenliği politikaları geliştirmek için yabancı deneyimlerin kullanılması tavsiye edilir. Bu husus Genel Güvenlik Değerlendirme Kriterleri'nde daha ayrıntılı olarak ele alınmıştır. bilgi teknolojisi", 22 Mayıs 1998 tarihli 2.0 sürümü, İngiliz Standardı BS7799: 1995. Kuruluşun bilgi güvenliği politikasını tanımlayan belgeye aşağıdaki maddelerin dahil edilmesi önerilir:

Giriş, üst yönetimin bilgi güvenliği konularındaki ilgisini teyit etmek;

Bilgi güvenliği alanında çalışmaktan sorumlu birimlerin, komisyonların, grupların vb. Tanımlarını içeren organizasyon;

İşletmelerde mevcut olan materyal ve bilgi kaynaklarını ve bunların korunma seviyesini tanımlayan sınıflandırma;

Personele uygulanan güvenlik önlemlerinin belirlenmesi (bilgi güvenliği açısından iş tanımları, eğitim organizasyonu, rejim ihlallerine cevap verme prosedürü vb.);

Fiziksel bilgi güvenliği konularını kapsayan bölüm;

Bilgisayarları ve veri ağlarını yönetme yaklaşımını açıklayan yönetim bölümü;

Üretim bilgilerine erişimi kısıtlama kurallarını açıklayan bir bölüm;

Sistemlerin geliştirilmesi ve uygulanmasını açıklayan bir bölüm;

Kuruluşun sürekli çalışmasını sağlamaya yönelik önlemleri açıklayan bir bölüm (bilgiye erişim);

bilgi güvenliği politikalarının mevcut mevzuata uygunluğunu doğrulayan yasal bölüm. Yabancı belgelerin bilgi güvenliği politikasını oluşturmanın temeli olarak öneri şaşırtıcı olabilir. Bununla birlikte, BS 7799: 1995 standardının önerilerinden de anlaşılacağı gibi, bunlar genel olarak geneldir ve dünyanın herhangi bir yerindeki işletmeler için aynı derecede geçerlidir. Tıpkı bir ev inşa etme kuralları dünyadaki tüm evler için aynı olduğu gibi, yalnızca uygulanabilir yasalar, inşaat kuralları ve düzenlemeleri ve benzeri belgelerle uyarlanırlar. Ek olarak, tavsiyelerin son bölümünde, güvenlik politikasının ülkenin yürürlükteki mevzuata uygunluğuna dayandırılması gerektiğine dair bir teyit yer almaktadır.

Politika oluşturma, risk analizi ile başlamalıdır. Risk analizi iki ana aşamadan oluşur: bilgi kaynaklarının envanteri ve sınıflandırılması. Bilgi kaynaklarının bir envanteri, gereken korumanın derecesinin belirlenmesinde, güvenliğin izlenmesinde ve iş güvenliği ve güvenliği, sigorta ve finans gibi diğer alanlarda da faydalı olacaktır. Bilgi teknolojisi ile ilgili kaynaklar şunları içerebilir:

bilgi kaynakları: dosya depoları, veritabanları, dokümantasyon çalışma rehberleriusule ilişkin düzeydeki belgeler (talimatlar, vb.);

Yazılım kaynakları: uygulama ve sistem yazılımı, yardımcı programlar, vb;

Fiziksel kaynaklar: bilgi işlem ve iletişim ekipmanı, veri taşıyıcıları (bantlar ve diskler), diğer teknik ekipman (güç kaynakları, klimalar), mobilyalar, odalar;

Hizmetler: ısıtma, aydınlatma, enerji temini, klima;

İnsan kaynakları

Envanter sonrasında kaynakların bir sınıflandırmasıdır. Her kaynağın değeri genellikle birkaç ayrık değişkenin işlevi olarak temsil edilir.

Bir bilgi kaynağının sınıflandırılmasına bir örnek veriyoruz. Aşağıdaki değerlere sahip bilgilerin gizlilik derecesi genellikle ana değişken olarak seçilir:

Devlet sırlarını içeren bilgiler;

Ticari sırları içeren bilgiler;

Gizli bilgiler (ifşa edilmesi istenmese de ticari veya devlet sırrı oluşturmayan bilgiler);

Ücretsiz bilgi

Bir sonraki değişken, bir kaynağın bilgi güvenliğinin başlıca üç yönünün ihlallerine oranı olarak seçilebilir. Örneğin, çalışanların telefon veri tabanları erişilebilirlik açısından 8, gizlilik açısından 2 ve bütünlük açısından 4 olarak derecelendirilebilir.

bu kaynağa uygulanabilirlik, oluşma olasılığı ve olası hasar. Bu analizin sonuçlarına dayanarak, bilgi güvenliği politikasının bir sınıflandırma bölümü derlenir.

Tam zamanlı bölüm, personel hataları, hırsızlık, dolandırıcılık veya kaynakların yasa dışı kullanımı riskini azaltmayı amaçlamaktadır. Gelecekte, bu bölüm bilgi güvenliği departmanları ve hizmetleri için kullanıcı iş tanımlarını ve rehberlik belgelerini derlemek için kullanılır. Aşağıdaki bölümler belgeye dahil edilmelidir:

İşe alınan personelin doğrulanması için kurallar;

Bilgi kaynakları ile ilgili kullanıcıların sorumluluk ve hakları;

Kullanıcı eğitimi ve bilgi kaynakları ile çalışmak için erişim;

Yöneticilerin hak ve yükümlülükleri;

Bilgi güvenliğini tehdit eden olaylara cevap verme prosedürü;

ceza verilmek için prosedür.

İlk paragraf, başvuru için başvuru, gerekli belgeler, özgeçmiş formu, tavsiyeler vb. İçin başvuru kurallarını içerir. Ayrıca, çeşitli kategorilerdeki çalışanlarla mülakat yapılması için ihtiyaç, form ve prosedür belirlenmiştir. Aynı zamanda, çeşitli gizlilik yükümlülüklerini açıklar.

İkinci paragraf, kullanıcıların işyerlerini sürdürmelerindeki ve bilgi kaynaklarıyla çalışırken sorumluluklarını açıklar. Bu fıkra, üçüncü fıkra ile yakından ilgilidir, çünkü kullanıcıların gerekli bilgisini belirler.

Üçüncü paragraf, çeşitli işçi kategorileri için gerekli bilgileri, bilgi kaynaklarının kullanımı ile ilgili talimatların yürütülme sıklığını ve prosedürünü belirler. Açık bilgi gerekli

tüm prosedürel sorunların kullanıcıları (sistemde tanımlama, şifre değiştirme, antivirüs veritabanlarının güncellenmesi, yazılım paketleriyle çalışılması vs.). Ek olarak, bir kullanıcıyı bilgi kaynaklarına bağlama prosedürü (gerekli belgeler, onaylayanlar ve birimler) açıklanmaktadır.

Sistemin düzgün çalışması için bilgi güvenliği yöneticilerinin yeterli haklara sahip olması gerekir. Bir ağdan veya virüs taşıyıcısı olan bir iş istasyonunun bilgi kaynağından ayrılması, teknolojik sürecin ihlali değil bir zorunluluktur.

Sistemin güvenliğine yönelik tehditlere zamanında yanıt verilmesi için, bu tür sistemlere bildirimde bulunmak ve yanıt vermek için resmi prosedürler açıkça tanımlanmalıdır. Tüm kullanıcıların, güvenlik sistemindeki kazalar ve zayıflıklar, yazılım ve donanımın çalışmasındaki arızalar hakkındaki sabit kişilere bildirimde bulunmaları gerekir. Ekipman arızası semptomlarını düzeltmek için kullanılan yöntemleri belirlemek ve kullanıcılara bildirmek gerekir.

Son bölüm, işletme tarafından oluşturulan bilgi güvenliği kurallarının ihlali ile ilgili cezaların açıklamasını içerir. Cezai önlemler ve sorumluluk derecesi belgelenmelidir.

Fiziksel koruma önlemleri işletme türüne bağlı olarak büyük ölçüde değişebilir. Her işletme için risk analizine dayanarak, bina türlerini ve bunlar için gerekli güvenlik önlemlerini kesin bir şekilde tanımlamak gerekir. Güvenlik önlemleri, ızgaraların, kilitlerin, binaya giriş sırasının, elektromanyetik korunma araçlarının, vs. Ek olarak, masaüstünü kullanmak için kurallar ve geri dönüşüm malzemeleri (çeşitli manyetik ortamlar, kağıt belgeler, montajlar), yazılım ve donanımın kurum dışına taşınması için kurallar oluşturmak gerekir.

Bilgisayarları ve veri aktarım ağlarını yönetme yaklaşımlarını ve sistem geliştirme ve uygulama prosedürünü açıklayan yönetim bölümleri, işletme verileri için standart işletim prosedürleri gerçekleştirme prosedürünü, devreye alma sistemlerinin kurallarını (sistemleri kabul etme) ve çalışmalarını denetlemeyi açıklar. Ek olarak, bu bölüm işletmeyi kötü amaçlı yazılımlardan koruma prosedürünü göstermektedir (özellikle virüsten korunma sisteminin çalıştırılmasıyla ilgili düzenlemeler). Sistemlerin ve yedeklerin sağlığını denetleme sırası belirlenir. İşletmede çalışmasına izin verilen standart yazılımı açıklar. Ayrıca, e-posta koruma sistemlerini, elektronik dijital imza sistemlerini ve diğer kriptografik sistemleri ve işletmede çalışan kimlik doğrulama sistemlerini açıklar. Bu önemlidir, çünkü bu alanda Rus mevzuatı bu konuda zorludur.

Sistemlere erişim hakları belgelendirilmeli ve bunların sağlanması için prosedürler düzenleyici belgeler tarafından belirlenir. Pozisyonlar, erişim haklarının verilmesinde başvuruları koordine etmenin yanı sıra dağıtım haklarını da koordine etmelidir. Ek olarak, bilgi güvenliği için ciddi gereksinimleri olan kuruluşlar, sistemlere ve onu uygulayanlara erişim haklarını kontrol etme prosedürünü belirler. Aynı bölümde kullanıcı şifrelerinin kuralları (politikaları) açıklanmaktadır.

Dolayısıyla, bir işletmenin bilgi güvenliği politikası, bir güvenlik sisteminin inşa edildiği bir belgedir. Sonuçta, politika bir risk analizine dayanır ve analiz ne kadar tamamlanırsa, belge o kadar etkili olacaktır. Maddi taban ve insan kaynakları dahil tüm temel kaynaklar analiz edilir. Güvenlik politikası, işletmenin özelliklerine ve devletin yasal çerçevesine uygun olarak inşa edilmiştir.

Bilgi güvenliği kompleksinin ana yapısı

1. İzinsiz girişlere karşı koruma.

Birlikte çalışmayı kontrol etmek ve ayırt etmek için tasarlanmış yazılım olan yazılım ve donanım yazılımı güvenlik duvarları veya donanım yazılımı aygıtları.

2. Kötü amaçlı yazılımlara karşı koruma.

Algılama ve imha yazılımı, izolasyon, çeşitli tip ve zararlı kod taşıyıcıları. Posta mesajlarını ve WEB içeriğini filtreleme Filtreleme, giden ve gelen (WEB ve e-posta kanalları aracılığıyla) bilgi akışlarını kontrol eden yazılım ürünleri kullanılarak gerçekleştirilir.

yukarı 3.Rezervnoe
  bilgi sisteminde dolaşan en değerli bilgiyi, uzun süreli depolama amacıyla alternatif medyaya ve gerekirse bu bilgiyi geri yükleme olanağına aktarmak için yazılım ve donanım.

4. Etkinlik kontrolü

Kontrollü çevre içindeki varlıkların hareketlerini ve faaliyetlerini kontrol etmeyi ve izlemeyi sağlayan donanım ve yazılım sistemleri.

5. Gelişmiş Kimlik Doğrulama Araçları

Ek donanım aygıtları kullanarak standart kimlik doğrulama prosedürünün gücünü artırmak için kullanılır. Bu tür araçlar, standart bir araç seti kullanan sistemlere kıyasla güven artırır ve ek kolaylık sağlar

  26. Bir işletmenin kayıt altına alınması (bir tanımlayıcı ve hesap oluşturulması) ve ona erişim hakkı verilmesi (ya da değiştirilmesi) prosedürü. bilgi sistemleri  e-sağlık, konunun uygulanması ile başlatılır (Ek No. 2). Başvuru, bu konunun erişim ihtiyacını (erişim haklarının değiştirilmesi) ve bu kişinin e-sağlık bilgi sistemlerine ve resmi görevlerin yerine getirilmesi ve bu görevlerin çözümü için gerekli olan gizli bilgilere erişim ihtiyacını doğrulayan kuruluş başkanı tarafından desteklenmektedir. Uygulamaya göre, yönetici hesap, erişim hakları ve şifre oluşturmak (değiştirmek, silmek) için gerekli işlemleri gerçekleştirir.

27. E-sağlık bilgi sistemlerine ve gizli bilgilere erişim, rol temelli bir yaklaşıma dayanır, bir kuruluşun konusunu kaydederken, aşağıdakilere atanır:
  e-sağlık bilgi sistemlerine konunun diğer kuruluşlardan erişimini kesinlikle kısıtlayan kuruluşun konusunun rolü;
  kuruluşun ya da birimin profilinin, kuruluşun bu profili ile ilgili olmayan gizli bilgilere erişimi kesinlikle kısıtlayan ya da "sınırlı erişim" statüsüne sahip olduğu rolü;
  örgütün düzeyine ve durumuna bağlı olarak çeşitli alt rollere ayrılan resmi pozisyonun rolü: örgütün başkanı - birim başkanı - uzman hekim - laboratuvar asistanı vb.

28. Resmi pozisyona erişimin rolleri:
  kişisel - çalışanlara şahsen sağlanan (örneğin, yerel GP'ye, bu rol, bağlı nüfusun, bölge paragrafındaki 13. paragrafta belirtilen prosedürler uyarınca, ilgili idari ve idari belgelere uygun olarak kişisel bilgilere erişimini sağlar);
  memur - çalışana verilen pozisyona göre (doktorun, bölüm başkanının vs. paragraf 13'te belirtilen prosedüre göre) verilmiş olması;
  durumsal - çalışanın görevini yerine getirdiği duruma (rol) karşılık gelir (örneğin, görevde olan doktorun, bölüm doktorundan daha fazla haklara sahip olması gerekir; danışmanlık doktoru - sadece danışma sırasında veya laboratuvar asistanı çalışmaya tam erişim sağlayabilir. Hastanın tüm EEMZ'lerine paragraf 13) 'de belirtilen prosedüre göre.

29. Erişim hakları, belirli EEMZ türleri veya belirli bir konuyla ilgili kayıtlar için geçerli olabilir.

30. Erişim haklarının dağıtımının temeli, mevcut düzenleyici belgeler tarafından tanımlanan tıbbi evrak belgelerinin ve bir tıbbi kuruluşun tıbbi ve teşhis sürecinin benimsenen teknolojisinin muhafaza edilmesi gerekliliklerine dayanmalıdır.

31. Hastanın EPZ'ye erişim hakları, Kazakistan Cumhuriyeti'nin mevcut mevzuatına uygun olarak genel haklarla belirlenir, ancak bu, tıbbi verilerin gizliliğini sağlar. Kendi EMZ / EEMZ, konuya kağıt kopyalar halinde veya elektronik ortamlara (disketler, CD ve DVD diskler, flash kartlar vb.) Kopyalar şeklinde aktarılabilir. EMZ / EEMZ kağıt veya elektronik kopyalarını bir hastaya aktarırken, gizliliği sağlama sorumluluğu konunun kendisine aittir.

32. Tıbbi kuruluşun yönetimi ya da etik hususların yönetimi kararı ile, bazı EMZ / EEMZ, konunun katıldığı hekim tarafından kapatılabilir. Dahası, konunun anayasal haklarını gözlemleme sorumluluğu tıbbi kuruluşun liderliğine aittir.

33. Kazakistan Cumhuriyeti mevzuatı tarafından belirlenen prosedüre uygun olarak ve EMZ / EEMZ’in devri ile ilgili kural ve belgelere göre, EMZ / EEMZ’nin verileri bağımsız kuruluşlara aktarılabilir (kanun uygulayıcı kurumlardan gelen talepler, uzman incelemesi, vb.). Kişisel sağlık bilgilerini elektronik ortamda iletirken, konunun tıbbi verilerine ilişkin gizlilik şartlarına kesinlikle uyulmalıdır. İletilen verilerin EMZ / EEMZ yazarının EDS'si veya gönderen kuruluşun başkanı (acentesi) tarafından imzalanması gerekir.

34. EMZ imzalamak için EDS kullanıldığında, imza tüm bilgileri kapsayabilir: EMZ, tüm ekli dosyalar ve tüm formalize veri unsurları, ayrıca dijital imza, EMZ'nin kurucu bölümlerinin her biri için, ekli dosyalar ve resmileştirilmiş veri unsurları için ayrı ayrı oluşturulabilir.

35. Bilgi güvenliği gerekliliklerinin yanı sıra hesapların denetlenebilmesi için erişim imkanının geçerlilik süresi 1 yılı geçmemelidir (paragraf 37 ve 38'de belirtilenler hariç). Bu kısıtlamalar, hesap oluşturulurken yönetici tarafından belirlenir.

36. Bir erişim konusunun kaydolduğunda (bir tanımlayıcı ve hesap oluştururken), yönetici tüm kullanıcı işlemlerinin kaydını (bir çıkış girişinin kaydı, gerçekleştirilen eylemler) vb. İçermelidir. Kullanıcı eylemleriyle ilgili bilgilerin depolanması harici ortamda 1 yıl süreyle saklanmalıdır. Yapısal bilgi güvenliği biriminin güvencesinde.

37. Hesabın devre dışı bırakılması, kurum başkanı tarafından imzalanan bir başvuru, bir çalışanın işten çıkarılması üzerine gönderilen bir baypas raporu ile gerçekleştirilir. Emekli kullanıcı tarafından oluşturulan bilgiler kuruluşa açık kalmaya devam eder. Kuruluşun erişim konusunun işyerinde bir değişiklik olması durumunda, bilgiler silinmez ve yeni gönderilen başvuruya göre roller değiştirilir.

38. Gizli bilgi kaynaklarına erişim konularına erişim sağlanması, yönetici tarafından yapılabilir. İmzaya erişim konusuna, ilk girişte konu ile değiştirilmesi gereken bir tanımlayıcı, geçici bir şifre verilir. E-sağlık bilgi sistemlerine erişimin ihracı “Kullanıcı kaydı dergisi ve şifre ihracı” dergisine kaydedilmiştir (Ek 3).

39. Yöneticinin hakkı var:
  bilgi hizmetlerinin sağlanmasını askıya almak, acil durumlarda şirketlere gizli bilgilere erişmek, şifre ve kilit bilgilerin güvenliğini sağlamak ve kuruluşun başkanının yönlendirdiği şekilde;
  gizli bilgilerin işlenmesi için bilgi koruma gereklilikleri ve teknolojisine uyumu izlemek;
  Gizli bilgilerin harici ortama (USB, CD diskleri) kopyalanmasının yasak olduğundan ve ekranın bir kopyasının alınmadığından emin olmak için erişim konularının iş istasyonlarında ayarları yapın (Ekranı Yazdır).

40. Kullanıcılar, bilgi hizmetleri talep etme, gizli bilgilere erişme ve gizli bilgilerin işlenmesi için gereksinimler ve kurallar hakkındaki bilgilere erişme hakkına sahiptir.

41. E-sağlık bilgi sistemlerine erişim haklarının ve üçüncü taraf bilgi sistemlerinin ve özel tıbbi kuruluşların gizli bilgilerinin verilmesi, ayrıca, “Kazakistan Cumhuriyeti Sağlık Bakanlığı'nın bilgi kaynaklarına özel sağlık kuruluşlarına ve üçüncü taraf bilgi sistemlerine erişim haklarının verilmesi üzerine” ek yönetmeliğinde dikkate alınacak ve düzenlenecektir. gerektiği gibi geliştirilecektir.