Приложение N 11. Инструкция администратора безопасности информационной системы персональных данных "МИС Сегмент ЦОД". Приказ Министерства здравоохранения Нижегородской области от 14.04.2020 N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"

Приложение N 11
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од

Инструкция
администратора безопасности информационной системы персональных данных "МИС Сегмент ЦОД"

1. Общие положения

Администратор безопасности "МИС Сегмент ЦОД Нижегородской области" (далее - "МИС. Сегмент ЦОД") назначается приказом руководителя ГБУЗ Медицинский информационно-аналитический центр Нижегородской области (далее - МИАЦ НО) и функционально подчиняется начальнику подразделения, в штате которого он состоит. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов ГБУ НО "Уполномоченный МФЦ", настоящей Инструкцией, нормативной и методической документацией контролирующих органов (ФСТЭК России, ФСБ России, РКН), а также другими распорядительными документами в части, его касающейся.

Администратор безопасности системы обеспечивает работоспособность и корректность настроек технических и программных средств защиты информационной системы (далее - ИС), а также безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники сегмента МИС.

При работе со средствами криптографической защиты информации (далее - СКЗИ) и ключевой информацией администратор безопасности руководствуется Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - Инструкция ФАПСИ), утвержденной приказом ФАПСИ от 13.06.2001 N 152.

При хранении СКЗИ, средств защиты информации, ключевых носителей и эксплуатационной документации администратор безопасности руководствуется "Регламентом учета средств защиты, документации, ключевых документов и электронных носителей ПДн..." и Инструкцией ФАПСИ.

Должностные лица ГБУЗ МИАЦ НО, а также сторонних организаций, задействованные в обеспечении функционирования ИС, должны быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

В случае увольнения администратор безопасности обязан передать начальнику подразделения, в штате которого он состоит, все документальные носители защищаемой информации (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), программную документацию, а также персональные идентификаторы, которые находились в его распоряжении в связи с выполнением им служебных обязанностей.

1.1. Порядок пересмотра инструкции

Инструкция подлежит полному пересмотру при изменениях перечня решаемых задач, состава технических и программных средств сегмента ЦОД, в том числе средств защиты информации, приводящих к существенным изменениям технологии обработки информации в МИС.

Инструкция подлежит частичному пересмотру в остальных случаях.

Вносимые изменения не должны противоречить другим положениям Инструкции.

1.2. Ответственные за контроль выполнения инструкции

Ответственным за контроль выполнения требований данной Инструкции является сотрудник МИАЦ Нижегородской области, ответственный за обеспечение безопасности защищаемой информации (исполняющий обязанности администратора безопасности МИС).

2. Обязанности администратора безопасности ИС

Администратор безопасности ИС обязан:

- знать законодательные и нормативные правовые акты, методические и нормативные материалы по вопросам, связанным с обеспечением процессов информатизации и информационной безопасности;

- знать перечень используемых в сегменте МИС средств вычислительной техники, коммуникационного и другого оборудования, средств защиты информации, установленного системного и прикладного программного обеспечения (далее - Ресурсы МИС), места их расположения, назначение и задачи, решаемые с их использованием;

- знать порядок взаимодействия подразделений Министерства здравоохранения Нижегородской области, ГБУЗ МИАЦ НО, учреждений здравоохранения Нижегородской области и порядок использования, обработки и хранения служебной информации и информации ограниченного доступа;

- знать порядок использования, обработки и хранения служебной информации и информации ограниченного доступа;

- знать должностных лиц Министерства здравоохранения Нижегородской области, ГБУЗ МИАЦ НО, ответственных за обеспечение безопасности персональных данных, а также порядок взаимодействия с ними;

- знать систему организации комплексной защиты информации, действующую в сегменте ЦОД МИС;

- обеспечивать работоспособность Ресурсов сегмента МИС в части, его касающейся;

- организовывать и проводить организационно-технические мероприятия по техническому обслуживанию средств защиты информации сегмента ЦОД МИС;

- устанавливать и настраивать средства защиты информации, а также выполнять другие возложенные на него работы в соответствии с распорядительными, инструктивными, методическими материалами и эксплуатационной документацией в части, его касающейся;

- выявлять инциденты по событиям безопасности информационной системы и реагировать на них;

- своевременно вести обнаружение и идентификацию инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ и иных событий, приводящих к возникновению инцидентов;

- планировать и принимать меры по устранению инцидентов, в том числе по восстановлению информационной системы после произошедшего инцидента, если ее работоспособность была нарушена;

- регистрировать и анализировать события в информационной системе, связанные с защитой информации;

- выполнять своевременное обновление программного обеспечения и сигнатурных (антивирусных) баз средств защиты (СЗ) по мере появления таких обновлений в соответствии с условиями аттестации сегмента МИС;

- осуществлять с периодичностью не реже одного раза в полгода анализ уязвимостей программного обеспечения АИС МФЦ НО, в том числе с учетом угроз уязвимостей, содержащихся в банке данных угроз безопасности информации (bdu.fstec.ru), и принимать меры по устранению обнаруженных уязвимостей;

- обеспечивать контроль за выполнением пользователями и администраторами системы требований ОРД;

- осуществлять контроль за ресурсами сегмента МИС, своевременное выявление попыток НСД к защищаемым информационным ресурсам и техническим средствам МИС, осуществлять оперативное реагирование на инциденты;

- осуществлять учет СКЗИ, эксплуатационной и технической документации, а также ключевой информации к ним в соответствии с Инструкцией (приложение к приказу ФАПСИ от 13.06.2001 N 152) и ОРД, утвержденной директором МКУ;

- осуществлять учет всех аппаратных идентификаторов, выдаваемых пользователям, с занесением учетных данных в специальный журнал (учетную карточку). Учтенные носители информации выдавать под роспись;

- совместно с администратором системы сегмента ЦОД МИС осуществлять текущий и периодический контроль работы средств и систем защиты информации;

- осуществлять текущий контроль технологического процесса обработки защищаемой информации;

- проводить регулярный анализ работы элементов сегмента МИС, электронных системных журналов средств защиты для выявления и устранения неисправностей, а также для оптимизации ее функционирования;

- в случае возникновения нештатных ситуаций в работе МИС немедленно докладывать об этом ответственному за обработку и обеспечение безопасности персональных данных в МИС, а также принимать меры по восстановлению работоспособности средств и систем МИС в соответствии с "Регламентом по действиям в нештатных ситуациях МИС";

- участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации в сегменте МИС;

- организовывать ознакомление с организационно-распорядительными документами, обучение и инструктаж пользователей системы по правилам работы со средствами защиты информации с отметкой в журнале инструктажа.

3. Права администратора безопасности МИС

Администратор безопасности МИС имеет право:

- проводить оперативное отключение любых элементов сегмента МИС без оповещения пользователей системы при выявлении изменений в конфигурации СВТ, средствах защиты МИС, могущих привести к нарушению характеристик безопасности информации, обрабатываемой в сегменте МИС, а также при возникновении предпосылок к возникновению вирусной эпидемии;

- проводить отключение любых элементов сегмента МИС с предварительным оповещением пользователей системы на время регламентного технического обслуживания или устранения неисправностей средств защиты информации в установленном порядке;

- требовать от пользователей и администраторов соблюдения правил работы в ИС;

- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов, регламентирующих вопросы обеспечения безопасности и защиты информации;

- обращаться к ответственному за обработку и обеспечение безопасности персональных данных в МИС с требованием о прекращении обработки информации в случаях выявления нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации сегмента МИС;

- вносить свои предложения по совершенствованию системы защиты информации МИС;

- инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в МИС.

4. Ответственность администратора безопасности

Администратор безопасности системы МИС несет ответственность:

- за работоспособность и надлежащее функционирование используемых в МИС средств защиты информации;

- за организацию соблюдения всеми участниками обработки персональных данных в МИС технологий обработки информации и условий ее конфиденциальности;

- за ненадлежащее исполнение или неисполнение своих должностных и функциональных обязанностей, предусмотренных настоящей инструкцией, другими нормативными документами в соответствии с действующим законодательством Российской Федерации по защите персональных данных, за полноту и качество проводимых им работ по обеспечению защиты информации;

- за правонарушения, совершенные в процессе своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации, в том числе за разглашение сведений конфиденциального характера и другой защищаемой информации, обрабатываемой в МИС.

Лист ознакомления ответственных лиц

N п/п	ФИО, должность	Дата ознакомления	Подпись
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.