Приложение N 2. Инструкция пользователя информационных систем персональных данных министерства здравоохранения Рязанской области. Приказ Министерства здравоохранения Рязанской области от 17.09.2014 N 1466 "О назначении ответственных лиц по защите персональных данных"

Приложение N 2
к приказу
министерства здравоохранения
Рязанской области
от 17 сентября 2014 г. N 1466

Инструкция
пользователя информационных систем персональных данных министерства здравоохранения Рязанской области

1. Общие положения

1.1. Инструкция пользователя информационных систем персональных данных министерства здравоохранения Рязанской области определяет функциональные обязанности, права и ответственность пользователей ИСПДн, в которых обрабатываются персональные данные (далее - ПДн) с использованием средств автоматизации.

1.2. Настоящая Инструкция подготовлена в соответствии с требованиями нормативно-методических документов ФСТЭК России и ФСБ России по защите персональных данных, обрабатываемых с использованием средств автоматизации.

1.3. В настоящей Инструкции используются следующие термины и определения:

1.3.1. Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.3.2. База данных - объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью электронно-вычислительных машин.

1.3.3. Информация - сведения (сообщения, данные) независимо от формы их представления.

1.3.4. Персональные данные - любая информация, относящаяся прямо или косвенно определенному или к определяемому физическому лицу (субъекту персональных данных).

1.3.5. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.3.6. Компрометация пароля - утрата доверия к тому, что используемый пароль обеспечивает безопасность персональных данных. К событиям, приводящим к компрометации пароля, относятся следующие события (включая, но не ограничиваясь) - несанкционированное сообщение пароля другому лицу; утеря бумажного или машинного носителя информации, на котором был записан пароль; запись пароля на бумажном, машинном, ином носителе информации, доступ к которому не контролируется.

1.3.7. Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.3.8. Несанкционированный доступ к персональным данным - доступ к персональным данным с нарушением установленных прав доступа, приводящий к нарушению конфиденциальности персональных данных, к утечке, искажению, подделке, уничтожению, блокированию доступа к персональным данным.

1.3.9. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3.10. Распространение персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.3.11. Разглашение персональных данных - распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

1.3.12. Средства защиты информации (СЗИ) - программные, программно-аппаратные, аппаратные средства, предназначенные и используемые для защиты персональных данных в ИСПДн.

1.3.13. Утеря пароля - события, приводящие к невозможности восстановления пароля в памяти лица, владеющего данным паролем.

1.3.14. Автоматизированное рабочее место (АРМ) - персональный компьютер, предназначенный для автоматизации деятельности пользователей и входящий в состав ИСПДн. В состав АРМ входят: системный блок, монитор, клавиатура, мышь, внешние устройства (принтер, сканер и т.д.), программное обеспечение.

2. Обязанности пользователя ИСПДн министерства здравоохранения Рязанской области

2.1. Пользователь ИСПДн обязан:

2.1.1. Хранить в тайне персональные данные, ставшие ему известными во время работы или иным путем и пресекать действия других лиц, которые могут привести к разглашению такой информации. О таких фактах, а также о других причинах или условиях возможной утечки персональных данных немедленно информировать ответственного за организацию обработки персональных данных или Администратора ИСПДн.

2.1.2. При определении персональных данных, подлежащих защите, использовать "Перечень персональных данных, обрабатываемых в ИСПДн", утвержденный министром здравоохранения Рязанской области.

2.1.3. Знать и выполнять правила работы со средствами защиты информации (средствами разграничения доступа), используемыми на персональных компьютерах в соответствии с инструкциями, требованиями, регламентирующими функционирование установленных средств защиты.

2.1.4. Хранить в тайне свой пароль доступа в автоматизированную систему (далее - АС), входящую в состав ИСПДн, а также информацию об установленной системе защиты.

2.1.5. Использовать для работы только учтенные съемные накопители информации (гибкие магнитные диски, компакт - диски и т.д.).

2.1.6. В случае необходимости сообщать о необходимости обновления антивирусных баз Администратору ИСПДн.

2.1.7. Немедленно ставить в известность Администратора ИСПДн:

- в случае утери носителя с конфиденциальной информацией (персональными данными) и/или при подозрении компрометации личных ключей и паролей;

- нарушений целостности пломб (наклеек с защитной и идентификационной информацией, нарушении или несоответствии номеров печатей) на аппаратных средствах АРМ или иных фактов совершения попыток несанкционированного доступа (НСД) к защищенной информационной системе;

- несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ИСПДн министерства здравоохранения Рязанской области.

2.1.8. В случае отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию рабочих станций, выхода из строя или неустойчивого функционирования узлов АРМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения, некорректного функционирования установленных в автоматизированной системе технических средств защиты ставить в известность Администратора ИСПДн.

2.2. В случае увольнения пользователь ИСПДн обязан вернуть все документы и материалы, относящиеся к деятельности организации. В том числе: отчеты, инструкции, служебную переписку, списки работников, компьютерные программы, а также все прочие материалы и копии названных материалов, имеющих какое-либо отношение к деятельности министерства здравоохранения Рязанской области, полученные в течение срока работы.

2.3. Уборка помещений должна производиться под контролем пользователя ИСПДн, имеющего доступ в помещение и постоянно в нем работающего.

2.4. Вынос аппаратных средств АРМ, на котором проводилась обработка персональных данных, за пределы территории здания с целью их ремонта, замены и т.п. без согласования с Администратором ИСПДн или Ответственным за организацию обработки персональных данных запрещен. При принятии решения о выносе компьютеров жесткие магнитные диски должны быть демонтированы. В случае действия гарантийных обязательств фирмы-поставщика вскрытие корпуса и демонтаж носителей должны быть предварительно согласованы с ней.

2.5. АРМ, используемые для работы с персональными данными, должны быть размещены таким образом, чтобы исключалась возможность визуального просмотра экрана видеомонитора.

2.6. Пользователю ИСПДн категорически запрещается:

- передавать кому бы то ни было устно или письменно, персональные данные;

- использовать персональные данные при подготовке открытых публикаций, докладов, научных работ и т.д.;

- выполнять работы с документами, содержащими персональные данные, на дому, выносить их из служебных помещений, снимать копии или производить выписки из таких документов без разрешения Ответственного за организацию обработки персональных данных;

- оставлять на рабочих столах, в столах и незакрытых сейфах документы, содержащие персональные данные, а также оставлять незапертыми и не опечатанными после окончания работы сейфы, помещения и хранилища с документами, содержащими персональные данные;

- использовать компоненты программного и аппаратного обеспечения ИСПДн в неслужебных целях;

- самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства;

- осуществлять обработку персональных данных в присутствии посторонних (не допущенных к данной информации) лиц;

- записывать и хранить персональные данные на неучтенных носителях информации (гибких магнитных дисках и т.п.);

- оставлять включенной без присмотра свою рабочую станцию (АРМ), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность Администратора ИСПДн.

3. Права пользователя ИСПДн министерства здравоохранения Рязанской области

3.1. Пользователь ИСПДн министерства здравоохранения Рязанской области имеет право:

3.1.1. Требовать от своего непосредственного руководителя обеспечения организационно-технических условий, необходимых для исполнения обязанностей.

3.1.2. Получать доступ к информации, материалам, техническим средствам, помещениям, необходимым для надлежащего исполнения своих обязанностей.

4. Ответственность пользователя ИСПДн министерства здравоохранения Рязанской области

4.1. Пользователь ИСПДн министерства здравоохранения Рязанской области несет персональную ответственность:

4.1.1. За ненадлежащее исполнение или неисполнение своих должностных обязанностей, предусмотренных настоящей Инструкцией, - в пределах, определенных действующим трудовым законодательством Российской Федерации.

4.1.2. За правонарушения, совершенные в процессе осуществления своей деятельности, - в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации.

4.1.3. За причинение материального ущерба - в пределах, определенных действующим трудовым и гражданским законодательством Российской Федерации.

4.1.4. За разглашение персональных данных, а также за нарушение порядка работы с документами или машинными носителями, содержащими такую информацию, работники могут быть привлечены к дисциплинарной или иной предусмотренной законодательством ответственности.