Приложение N 5. Регламент предоставления прав доступа к информации в информационных системах комитета здравоохранения Волгоградской области. Приказ комитета здравоохранения Волгоградской области от 19.05.2015 N 1603 "О введении в действие документов, регламентирующих мероприятия по защите информации ограниченного доступа, обрабатываемой в комитете здравоохранения Волгоградской области" (с изменениями и дополнениями)

Приложение N 5

к приказу комитета здравоохранения

Волгоградской области

от 19.05.2015 года N 1603

Регламент
предоставления прав доступа к информации в информационных системах комитета здравоохранения Волгоградской области

1. Общие положения

1.1. Регламент предоставления прав доступа к информации в информационных системах комитета здравоохранения Волгоградской области (далее - регламент) является локальным нормативным актом комитета здравоохранения Волгоградской области (далее - комитет).

1.2. Разграничение прав осуществляется на основании выполнения должностных полномочий работниками комитета (далее - Работники или Пользователи), а также исходя из характера и режима обработки персональных данных (далее - ПДн) в информационных комитета.

ГАРАНТ:

По-видимому, в пункте 1.2 раздела 1 настоящего приложения пропущена часть текста, после "в информационных" следует читать "системах"

1.3. Регламент определяет операции по внесению изменений в списки Пользователей и наделению их полномочиями доступа к ресурсам информационных систем, устанавливает порядок изменения списка Пользователей и порядок изменения их прав при пользовании информационными системами.

1.4. Работники, задействованные в обеспечении функционирования информационных систем, знакомятся с основными положениями и приложениями регламента в части, касающейся их, и по мере необходимости.

1.5. Ознакомление с положениями регламента Пользователей информационных систем осуществляет Работник, ответственный за организацию обработки и обеспечение безопасности ПДн либо уполномоченное им лицо, под роспись с выдачей электронных копий (при необходимости) соответствующих приложений и разделов регламента непосредственно для повседневного использования в работе.

2. Порядок использования учетных записей Пользователей

2.1. С целью соблюдения принципа персональной ответственности за свои действия каждому Работнику комитета, допущенному к работе в информационных системах комитета, должно быть предоставлено персональное уникальное имя (далее - учетная запись), под которым он будет регистрироваться и работать в системе, содержащей ПДн либо другую информацию ограниченного доступа.

2.2. В случае производственной необходимости некоторым Работникам могут быть предоставлены несколько учетных записей.

Использование несколькими Работниками при самостоятельной работе в информационных системах комитета одной и той же учетной записи Пользователя ("группового имени") запрещено.

3. Порядок предоставления Пользователям прав доступа к информационным системам комитета

3.1. Процедура регистрации (создания учетной записи) Пользователя и предоставления (изменения) ему прав доступа к ресурсам информационных систем осуществляется на основании заявки, оформляемой непосредственным руководителем Работника после чего системным администратором создается учетная запись для соответствующего Пользователя.

3.2. При предоставлении Работнику прав доступа к информационным системам необходимо руководствоваться принципом предоставления минимально необходимых прав для решения требуемых задач.

3.3. Руководители структурных подразделений комитета несут ответственность за минимальную достаточность прав доступа имеющихся у Пользователей их структурных подразделений. В случае наличия у Пользователей избыточных прав доступа для работы руководители структурных подразделений ставят об этом в известность Работника, ответственного за организацию обработки и обеспечение безопасности ПДн либо уполномоченное им лицо, который вносит необходимые изменения в соответствии с настоящим регламентом.

3.4. При выдаче Пользователю персонального аппаратного идентификатора (токен, смарт-карта, touch memory и т.п.), факт выдачи должен фиксироваться в журнале учета защищаемых носителей информации.

3.5. Целесообразно документирование прав доступа в электронном виде, для чего создается специальная база данных, в которой указываются следующие данные:

фамилия, имя и отчество Пользователя;

структурное подразделение;

учетная запись Пользователя;

информационная система, к которой предоставляется доступ;

права доступа;

отметка об удалении учетной записи при увольнении или переводе на другую должность и/или ином кадровом перемещении или оформлении изменений в трудовой договор с таким Работником.

3.6. Изменения в конфигурации механизмов защиты информации производятся системным администратором по согласованию с организацией, имеющей лицензию на выполнении соответствующих работ, и только в соответствии с документацией на средства защиты информации, используемой в информационных системах.

4. Ответственные за организацию и контроль выполнения инструкции

4.1. Ответственность за соблюдение требований настоящего регламента возлагается на всех Работников комитета.

4.2. Ответственность за организацию контрольных и проверочных мероприятий по вопросам управлении правами Пользователей и общий контроль состояния информационной безопасности возлагается на Работника, ответственного за организацию обработки и обеспечение безопасности ПДн либо уполномоченное им лицо.