Приложение N 1. Инструкция администратора информационных систем персональных данных министерства здравоохранения Рязанской области. Приказ Министерства здравоохранения Рязанской области от 17.09.2014 N 1466 "О назначении ответственных лиц по защите персональных данных"

Приложение N 1
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. N 1466

Инструкция
администратора информационных систем персональных данных министерства здравоохранения Рязанской области

1. Общие положения

1.1. Инструкция Администратора информационных систем персональных данных министерства здравоохранения Рязанской области определяет функции, права и обязанности Администратора ИСПДн по вопросам обеспечения правильности использования и нормального функционирования ИСПДн, информационной безопасности в ИСПДн.

1.2. Администратор ИСПДн назначается из числа сотрудников министерства здравоохранения Рязанской области и отвечает за обеспечение устойчивой работоспособности элементов ИСПДн, правильность использования и нормальное функционирование системы защиты персональных данных (далее - СЗПДн).

1.3. Настоящая Инструкция является дополнением к действующим нормативным документам по вопросам обеспечения режима конфиденциальности и не исключает обязательного выполнения их требований.

2. Должностные обязанности Администратора ИСПДн

2.1. Администратор ИСПДн обязан:

2.1.1. Знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите информации.

2.1.2. Осуществлять учет и периодический контроль за составом и полномочиями пользователей автоматизированных рабочих и серверов ИСПДн министерства здравоохранения Рязанской области.

2.1.3. Осуществлять оперативный контроль за работой пользователей автоматизированных рабочих станций, анализировать содержимое системных журналов и реагировать на возникающие нештатные ситуации, обеспечивать своевременное архивирование системных журналов и надлежащий режим их хранения.

2.1.4. Осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на автоматизированных рабочих местах ИСПДн министерства здравоохранения Рязанской области специальных технических средств защиты от несанкционированного доступа (далее - НСД).

2.1.5. Осуществлять контроль технических средств, программного обеспечения и средств защиты информации (далее - СЗИ) в ИСПДн министерства здравоохранения Рязанской области.

2.1.6. Исключать возможность несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах.

2.1.7. Уничтожать (стирать) или обезличивать персональные данные на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.

2.1.8. Обеспечивать установку только разрешенного к использованию программного обеспечения и его компонентов, настройку и своевременное обновление элементов ИСПДн:

- программного обеспечения автоматизированных рабочих станций и серверов (операционные системы, прикладное и специальное программное обеспечение);

- аппаратных средств ИСПДн;

- аппаратных и программных СЗИ.

2.1.9. Обеспечивать работоспособность элементов ИСПДн и локальной вычислительной сети.

2.1.10. Осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов.

2.1.11. Обеспечивать функционирование и поддерживать работоспособность СЗИ в рамках возложенных на него функций.

2.1.12. В случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе СЗИ, принимать меры по своевременному восстановлению и выявлению причин, приведших к их отказу работоспособности.

2.1.13. Проводить периодический контроль принятых мер по защите информации в пределах возложенных на него функций.

2.1.14. Обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации.

2.1.15. Информировать ответственного за организацию обработки персональных данных о фактах нарушения установленного порядка работ и попытках несанкционированного доступа к информационным ресурсам ИСПДн.

2.1.16. Требовать прекращения обработки информации как в целом, так и для отдельных пользователей в случае выявления нарушений установленного порядка работы или нарушения функционирования ИСПДн или средств защиты.

2.1.17. Обеспечивать строгое выполнение требований по обеспечению безопасности информации при организации обслуживания технических средств и отправке их в ремонт.

2.1.18. Присутствовать при выполнении технического обслуживания элементов ИСПДн сторонними физическими людьми и организациями.

2.1.19. Проводить занятия с сотрудниками по правилам работы на автоматизированных рабочих местах, оснащенных СЗИ от НСД, и по изучению руководящих документов по вопросам обеспечения безопасности информации.

2.1.20. Принимать меры по реагированию в случае возникновения внештатных ситуаций и аварийных ситуаций с целью ликвидации их последствий.

2.1.21. Докладывать руководству министерства здравоохранения Рязанской области обеспечения информационной безопасности об имевших место попытках несанкционированного доступа к информации и техническим средствам ИСПДн.

2.1.22. По указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты от НСД, установленных на автоматизированных рабочих местах министерства здравоохранения Рязанской области.

2.1.23. Участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД.

3. Права Администратора ИСПДн

3.1. Администратор ИСПДн имеет право:

3.1.1. Участвовать в анализе ситуаций, касающихся функционирования ИСПДн и расследования фактов несанкционированного доступа.

3.1.2. Требовать прекращения обработки информации в случае нарушения установленного порядка работы или нарушения функционирования средств и систем защиты ИСПДн.

3.1.3. Проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов ИСПДн.

3.1.4. Вносить свои предложения по совершенствованию мер защиты в ИСПДн.

3.2. Администратор ИСПДн обладает правами доступа к любым программным и аппаратным ресурсам и любой информации на рабочих станциях пользователей (за исключением информации, закрытой с использованием средств криптозащиты) и средствам их защиты.

4. Ответственность Администратора ИСПДн

4.1. Администратор ИСПДн несет ответственность:

4.1.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации.

4.1.2. За правонарушения, совершенные в процессе осуществления своей деятельности, - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

4.1.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

4.1.4. За разглашение сведений ограниченного распространения, ставших известными ему по роду работы.

4.1.5. На Администратора ИСПДн возлагается персональная ответственность за программно-технические и шифровальные средства защиты информации, средства вычислительной техники, информационно-вычислительные комплексы, сети и автоматизированные системы обработки информации, закрепленные за ним руководителем министерства здравоохранения Рязанской области, и за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями.