Приказ Министерства здравоохранения РФ от 19 января 2017 г. № 11н “Об утверждении требований к содержанию технической и эксплуатационной документации производителя (изготовителя) медицинского изделия” (не вступил в силу)
В соответствии со статьей 38 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (Собрание законодательства Российской Федерации, 2011, № 48, ст. 6724; 2013, № 48, ст. 6165; 2015, № 1, ст. 85; № 27, ст. 3951) и подпунктом 5.2.192(1) Положения о Министерстве здравоохранения Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 19 июня 2012 г. № 608 (Собрание законодательства Российской Федерации, 2012, № 26, ст. 3526; 2013, № 16, ст. 1970; № 20, ст. 2477; № 22, ст. 2812; № 33, ст. 4386; № 45, ст. 5822; 2014, № 12, ст. 1296; № 37, ст. 4969; 2015, № 2, ст. 491; № 12, ст. 1763; 2015, № 23, ст. 3333; 2016, № 2, ст. 325; № 9, ст. 1268; № 27, ст. 4497; № 28, ст. 4741; № 34, ст. 5255; № 49, ст. 6922), приказываю:
1. Утвердить прилагаемые требования к содержанию технической и эксплуатационной документации производителя (изготовителя) медицинского изделия.
2. Установить, что утвержденные пунктом 1 настоящего приказа требования применяются к технической и эксплуатационной документации производителей (изготовителей) медицинских изделий, заявления о государственной регистрации которых представлены в Федеральную службу по надзору в сфере здравоохранения после вступления в силу настоящего приказа.
Зарегистрировано в Минюсте РФ 10 марта 2017 г.
Регистрационный № 45896
Требования к содержанию технической и эксплуатационной документации производителя (изготовителя) медицинского изделия
(утв. приказом Министерства здравоохранения РФ от 19 января 2017 г. № 11н)
I. Общие положения
1. Настоящие Требования определяют перечень информации, подлежащей указанию в технической и эксплуатационной документации производителя (изготовителя) медицинского изделия.
2. Производитель (изготовитель) медицинского изделия разрабатывает техническую и (или) эксплуатационную документацию, в соответствии с которой осуществляются производство, изготовление, хранение, транспортировка, монтаж, наладка, применение, эксплуатация, в том числе техническое обслуживание, а также ремонт, утилизация или уничтожение медицинского изделия.
3. Настоящие Требования не распространяются на медицинские изделия, которые изготовлены по индивидуальным заказам пациентов, к которым предъявляются специальные требования по назначению медицинских работников и которые предназначены исключительно для личного использования конкретным пациентом, а также медицинские изделия, предназначенные для использования на территории международного медицинского кластера.
II. Требования к содержанию технической документации производителя (изготовителя) на медицинское изделие
4. Техническая документация производителя (изготовителя) на медицинское изделие (далее — техническая документация), представляемая производителем (изготовителем) медицинского изделия или уполномоченным представителем производителя (изготовителя) медицинского изделия в составе регистрационного досье на медицинское изделие, должна содержать:
1) наименование медицинского изделия, иную информацию, позволяющую идентифицировать медицинское изделие, например, номер модели, варианты модификаций (исполнений) медицинского изделия;
2) назначение медицинского изделия и принципы действия;
3) показания и противопоказания к применению медицинского изделия;
4) информацию о потенциальных потребителях медицинского изделия;
5) описание основных функциональных элементов медицинского изделия, которое может сопровождаться схемами, фотографическими изображениями, рисунками, диаграммами и иными пояснениями;
6) описание составных частей (узлов) медицинского изделия (при наличии);
7) описание принадлежностей, медицинских изделий или изделий, не являющихся медицинскими, но предусмотренных для использования в комбинации с заявленным медицинским изделием (при наличии);
8) перечень и описание материалов медицинского изделия, вступающих в непосредственный или опосредованный контакт с организмом пациента (телом человека);
9) данные о маркировке медицинского изделия и его упаковке;
10) перечень рисков, идентифицированных в процессе анализа риска, и описание способов управления этими рисками в целях снижения их до допустимого уровня (при наличии);
11) сведения о верификации и валидации медицинского изделия, которые использовались для доказательства соответствия медицинского изделия установленным требованиям, в том числе результаты:
а) испытаний в испытательных лабораториях (центрах);
б) лабораторных и (или) заводских испытаний, включая результаты испытаний в условиях, имитирующих эксплуатационные;
в) лабораторных испытаний на животных для подтверждения правильности концепции готового медицинского изделия;
12) перечень материалов животного и (или) человеческого происхождения с указанием сведений об их биологической совместимости и безопасности, о выборе источников (доноров), взятии проб, обработке, хранении и обращении с данными материалами (при наличии);
13) информацию о проведенных испытаниях, протоколах испытаний, анализе полученных данных;
14) ссылки на предыдущие модификации медицинского изделия или подобные модификации медицинских изделий, находящихся в обращении, в случае использования в технической документации информации о подобных или предыдущих модификациях медицинского изделия для доказательства соответствия медицинского изделия требованиям безопасности и эффективности;
15) информацию об основных стадиях проектирования медицинского изделия и производственных процессах, которая может сопровождаться схемами, фотографическими изображениями, рисунками, диаграммами и иными пояснениями;
16) информацию в соответствии с данными государственного реестра лекарственных средств для медицинского применения о содержащихся в медицинском изделии:
лекарственном препарате для медицинского применения, в том числе о наименовании (международном непатентованном, или группировочном, или химическом и торговом), наименовании производителя лекарственного препарата для медицинского применения, дате и номере регистрационного удостоверения лекарственного препарата для медицинского применения;
фармацевтической субстанции, в том числе о наименовании (международном непатентованном, или группировочном, или химическом и торговом), наименовании производителя фармацевтической субстанции, дате и номере реестровой записи государственного реестра лекарственных средств для медицинского применения;
17) описание метода стерилизации, сведения о методах валидации в отношении процесса стерилизации (включая испытания на биологическую нагрузку, наличие пирогенных веществ, наличие остаточного количества стерилизующего вещества) и о валидации процесса упаковывания (в случае, если медицинское изделие поставляется в стерильном виде);
18) информацию о процессе проектирования, разработки и валидации программного обеспечения, используемого в готовом медицинском изделии (в случае наличия в медицинском изделии программного обеспечения, обеспечивающего его правильную эксплуатацию и (или) применение по назначению);
19) требования к техническому обслуживанию и ремонту медицинского изделия;
20) порядок и условия утилизации или уничтожения медицинского изделия.
5. Техническая документация медицинского изделия для диагностики in vitro, помимо информации, указанной в пункте 4 настоящих Требований, должна содержать:
1) описание назначения медицинского изделия, включая:
а) описание целевого аналита, сведения о его научной обоснованности, указание на качественный, полуколичественный или количественный вид аналита;
б) функциональное назначение (например, скрининг, мониторинг, диагностика или вспомогательное средство в диагностике);
в) специфическую патологию, состояние или фактор риска, для обнаружения, определения или дифференцирования которого предназначено медицинское изделие для диагностики in vitro;
г) тип анализируемого образца;
д) популяционные, демографические аспекты применения медицинского изделия;
2) конкретизацию профессионального уровня потенциальных пользователей (например, врач клинической лабораторной диагностики, медицинский лабораторный техник (фельдшер-лаборант), иной специалист);
3) описание принципа аналитического метода или принципа действия медицинского изделия, для аналитического оборудования — соответствующие технические характеристики;
4) описание условий транспортировки;
5) сведения об аналитической чувствительности (порог обнаружения), аналитической специфичности, диагностической чувствительности и диагностической специфичности;
6) описание измерительных процедур, метрологической прослеживаемости значений калибраторов и контрольных материалов;
7) данные по стабильности медицинского изделия, подтверждающие заявленные срок годности, стабильность при применении и стабильность при транспортировке.
III. Требования к содержанию эксплуатационной документации производителя (изготовителя) медицинского изделия
6. Эксплуатационная документация производителя (изготовителя) на медицинское изделие (далее — эксплуатационная документация), представляемая производителем (изготовителем) или уполномоченным представителем производителя (изготовителя), в составе регистрационного досье на медицинское изделие, должна содержать:
1) наименование медицинского изделия;
2) в отношении производителя (изготовителя) медицинского изделия — полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, организационно-правовую форму юридического лица, адрес места нахождения или фамилию, имя и (в случае, если имеется) отчество, реквизиты документа, удостоверяющего личность, адрес места жительства индивидуального предпринимателя, а также номера телефонов и (в случае, если имеется) адрес электронной почты юридического лица или индивидуального предпринимателя;
в отношении уполномоченного представителя производителя (изготовителя) медицинского изделия — полное и (в случае, если имеется) сокращенное наименование, в том числе фирменное наименование, организационно-правовую форму юридического лица, адрес (место нахождения), а также номера телефонов и (в случае, если имеется) адрес электронной почты юридического лица;
3) назначение медицинского изделия с указанием потенциального потребителя (например, медицинский работник);
4) функциональные характеристики и назначение медицинского изделия;
5) риски применения медицинского изделия, противопоказания, ожидаемые и предсказуемые побочные эффекты, связанные с применением медицинского изделия по назначению;
6) технические характеристики медицинского изделия;
7) описание принадлежностей, медицинских изделий или изделий, не являющихся медицинскими, но предусмотренных для использования в комбинации с медицинским изделием (при наличии);
8) информацию о наличии в медицинском изделии лекарственного средства для медицинского применения, материалов животного и (или) человеческого происхождения;
9) информацию о порядке установки, монтажа, настройки, калибровки и иный действиях, необходимых для ввода медицинского изделия в эксплуатацию;
10) требования к помещениям, в которых предполагается установка (монтаж) медицинского изделия, а также требования к подготовке или квалификации лиц, осуществляющих установку (монтаж) медицинского изделия (при наличии);
11) информацию для проверки правильности установки (монтажа) медицинского изделия и его готовности к безопасной работе эксплуатации, включая:
а) содержание и периодичность технического обслуживания, включая очистку и дезинфекцию медицинского изделия;
б) перечень предоставленных производителем (изготовителем) медицинского изделия сведений, ключей, паролей доступа, программ, необходимых для монтажа, наладки, эксплуатации и технического обслуживания медицинского изделия;
в) перечень расходных материалов (компонентов, реагентов), а также процедуру их применения и замены;
г) необходимость калибровки для обеспечения надлежащей и безопасной работы медицинского изделия в течение срока его службы;
д) методы снижения рисков, связанных с установкой, калибровкой или техническим обслуживанием медицинского изделиям;
е) информацию о монтаже, наладке, настройке, калибровке и иным действиям, необходимым для ввода медицинского изделия в эксплуатацию и его правильной эксплуатации (применения);
ж) информацию о перечне основных характеристик по эксплуатации (применению) медицинского изделия, условиям транспортировки и хранения (например, температура и влажность воздуха, освещение и иные характеристики);
з) перечень применяемых производителем (изготовителем) медицинского изделия национальных стандартов.
12) информацию о стерильном состоянии медицинского изделия, методе его стерилизации и о порядке действий в случае нарушения стерильной упаковки (если медицинское изделие поставляется в стерильном виде) или, если медицинское изделие поставляется нестерильным, указание на необходимость его стерилизации перед использованием;
13) информацию о порядке обработки медицинского изделия для его повторного использования, включая очистку, дезинфекцию, упаковку и при необходимости метод повторной стерилизации (если медицинское изделие предназначено для многоразового использования), а также критерии непригодности медицинского изделия для применения;
14) информацию, необходимую для идентификации медицинских изделий с целью получения безопасной комбинации, и информацию об известных ограничениях по совместному использованию медицинских изделий (для медицинских изделий, предназначенных для использования вместе с другими медицинскими изделиями и (или) принадлежностями);
15) информацию о природе, типе, а также (при необходимости) об интенсивности и распределении излучения (электромагнитное, ионизирующее, иное) медицинского изделия и способах защиты потребителей и третьих лиц от непреднамеренного излучения в процессе эксплуатации медицинского изделия (если медицинское изделие создает опасный или потенциально опасный уровень излучения при использовании по назначению);
16) информацию о мерах предосторожности, предпринимаемых в случае:
а) неисправности медицинского изделия, сбоя в его работе или отклонений в функционировании, которые могут влиять на безопасность медицинского изделия, в том числе определяемых по внешним признакам;
б) воздействия на функционирование медицинского изделия внешних факторов, связанных с применением медицинского изделия в комбинации с другими медицинскими изделиями и (или) оборудованием, или таких предсказуемых факторов, как внешние электромагнитные поля, электростатические разряды, излучение (электромагнитное, ионизирующее, иное), атмосферное давление и его перепады, влажность и температура воздуха;
в) риска электромагнитных помех, создаваемых медицинским изделием для других медицинских изделий, оборудования и средств связи при проведении и оценке результатов диагностики, лечения или при его применении по назначению (например, электромагнитное излучение медицинского изделия, оказывающее влияние на другое оборудование);
17) предупреждения и (или) меры предосторожности, предпринимаемые потребителем при применении медицинского изделия, содержащего лекарственное средство для медицинского применения, материал животного и (или) человеческого происхождения, материалы, которые являются канцерогенными, мутагенными или токсичными, возможное выделение или вымывание которых приводит к сенсибилизации, аллергической реакции или отрицательно влияет на репродуктивную функцию;
18) предупреждения и (или) меры предосторожности, предпринимаемые потребителем при утилизации медицинского изделия, принадлежностей и расходных материалов, используемых вместе с ним (при наличии), включая сведения об инфекционной, микробной, экологической или физической опасности медицинского изделия;
19) информацию об обстоятельствах, при которых потребитель должен проконсультироваться с медицинским работником;
20) информацию о первоначальном выпуске или последнем пересмотре эксплуатационной документации;
21) порядок и условия утилизации или уничтожения медицинского изделия.
7. Эксплуатационная документация медицинского изделия для диагностики in vitro помимо информации, указанной в пункте 6 настоящих Требований, должна содержать:
1) сведения о назначении медицинского изделия:
а) описание целевого аналита с указанием качественного, полуколичественного или количественного вида;
б) специфическое расстройство, состояние или фактор риска, для обнаружения, определения или дифференцирования которого предназначено медицинское изделие;
2) информацию о предназначении для клинической лабораторной диагностики;
3) описание порядка выполнения тестирования с применением медицинского изделия, описание реагентов, калибраторов и контрольных материалов;
4) перечень материалов и специальных материалов, которые требуются для проведения тестирования (анализа), но не содержатся в комплекте поставки медицинского изделия;
5) информацию для идентификации медицинских изделий с целью получения безопасной комбинации и (или) информацию об известных ограничениях по совместному применению медицинских изделий по назначению (для медицинских изделий, предназначенных для применения по назначению в комбинации с другими медицинскими изделиями, включая медицинские изделия для диагностики in vitro);
6) информацию о характеристиках стабильности медицинского изделия (например, условия хранения, срок годности после вскрытия первичной упаковки);
7) информацию для потребителей медицинского изделия о мерах предосторожности, предпринимаемых в случае необходимости, а также о мерах предосторожности и (или) мерах, предпринимаемых в отношении потенциально инфекционного материала, содержащегося в медицинском изделии;
8) информацию о предназначении медицинского изделия только для однократного применения по назначению;
9) информацию о необходимой обработке медицинского изделия для целей его повторного применения по назначению, включая очистку, дезинфекцию, упаковку и при необходимости метод повторной стерилизации (если медицинское изделие предназначено для многоразового применения по назначению);
10) информацию об условиях, необходимых для сбора, обработки и подготовки образцов, данные по стабильности анализируемых образцов, в том числе условия и длительность хранения, условия транспортировки, ограничения по циклам заморозки (размораживания);
11) информацию о подготовке к применения по назначению, эксплуатации медицинского изделия;
12) информацию о прослеживаемости значений, заданных для калибраторов или контрольных материалов, которая обеспечивается посредством доступных референтных методик (методов) измерения и (или) эталонов;
13) описание процедуры тестирования, включая расчеты и интерпретации результатов тестирования и, при необходимости, информацию о целесообразности проведения подтверждающих тестов;
14) характеристики аналитической эффективности: чувствительность, специфичность, правильность, повторяемость, воспроизводимость, предел обнаружения (детекции) и диапазон измерения, включая информацию о влиянии известных интерферентов, об ограничениях метода и использовании доступных референтных материалов и методов анализа;
15) характеристики клинической эффективности: диагностическая чувствительность и диагностическая специфичность;
16) биологический референтный интервал применения медицинского изделия;
17) информацию об интерферирующих веществах или ограничениях, связанных с пробой, которые могут повлиять на результат исследования;
18) предупреждение и (или) специальные меры предосторожности в отношении безопасной утилизации медицинского изделия и его принадлежностей, которые должны описывать:
а) инфекционные или микробные риски, в том числе возможность загрязнения расходных материалов инфекционными агентами человеческого происхождения;
б) экологические риски, связанные с потенциально опасными материалами и веществами;
в) физические риски, в том числе возможность взрыва или возгорания;
19) в отношении медицинского изделия, предназначенного для самотестирования потребителем, указывается информация:
а) о процедуре тестирования (подготовке реагентов, отборе (подготовке) пробы, порядке выполнения и интерпретации результатов тестирования);
б) описание действий потребителя в случае положительного, отрицательного или неопределенного результата тестирования;
в) о погрешностях теста и возможности получения ложноположительных или ложноотрицательных результатов тестирования, а также относительно факторов, влияющих на результат тестирования;
г) о недопустимости принятия потребителем по результатам тестирования решений медицинского характера без предварительной консультации с медицинским работником.
8. Эксплуатационная документация предоставляется производителем (изготовителем) для ознакомления потребителю на бумажном носителе (вместе с медицинским изделием или отдельно от него) и в форме электронного документа посредством размещения в информационно-телекоммуникационной сети Интернет.
Эксплуатационная документация может быть предоставлена потребителю для ознакомления в форме электронного документа посредством размещения на экране, являющемся частью медицинского изделия.
В отношении медицинских изделий 1 и 2а классов потенциального риска их применения потребителю для ознакомления может быть предоставлена эксплуатационная документация в сокращенном виде, при условии, что объем предоставляемой информации достаточен для применения медицинского изделия по назначению и такое применение безопасно.
Обзор документа
Утверждены требования к содержанию технической и эксплуатационной документации производителя (изготовителя) медицинского изделия.
Техническая документация должна содержать в т. ч. содержать информацию, позволяющую идентифицировать изделие, назначение изделия, показания и противопоказания, информацию о потенциальных потребителях, данные о маркировке.
Предусматриваются дополнительные требования в отношении изделия для диагностики in vitro.
Эксплуатационная документация предоставляется производителем (изготовителем) для ознакомления потребителю на бумажном носителе (вместе с изделием или отдельно от него) и в форме электронного документа посредством размещения в Интернете.
Также такая документация может быть предоставлена потребителю для ознакомления в форме электронного документа посредством размещения на экране, являющемся частью изделия.
Требования применяются к документации изделий, заявления о регистрации которых представлены в Росздравнадзор после вступления приказа в силу.
www.garant.ru
Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации
Приказ ФСТЭК России от 31 августа 2010 г. N 489
Зарегистрировано в Минюсте РФ 13 октября 2010 г. N 18704
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
от 31 августа 2010 года N 489
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
В соответствии с пунктом 3 Постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 приказываем:
Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.
1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.
2. Контроль за исполнением настоящего Приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.
Федеральной службы безопасности
и экспортному контролю
к Приказу ФСБ России, ФСТЭК России
от 31 августа 2010 г. N 489
ТРЕБОВАНИЯ
О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.
Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).
2. Информационные системы общего пользования должны обеспечивать:
сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);
беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);
защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).
3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.
5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.
5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.
5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.
6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.
7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.
Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.
8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.
9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.
11. В информационных системах общего пользования должны быть обеспечены:
поддержание целостности и доступности информации;
предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;
проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;
своевременное обнаружение фактов неправомерных действий в отношении информации;
недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;
возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;
проведение мероприятий по постоянному контролю за обеспечением их защищенности;
возможность записи и хранения сетевого трафика.
12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:
определение угроз безопасности информации, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
описание системы их защиты.
13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.
14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.
15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.
16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.
17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:
17.1. В информационных системах общего пользования I класса:
использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;
осуществление регистрации действий обслуживающего персонала и пользователей;
обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;
использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
17.2. В информационных системах общего пользования II класса:
использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);
использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;
осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;
осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;
обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;
осуществление регистрации действий обслуживающего персонала;
обеспечение частичного резервирования технических средств и дублирования массивов информации;
использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);
осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;
введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.
fstec.ru