Приложение N 13. Инструкция администратора системы информационной системы персональных данных "МИС Сегмент ГБУЗ". Приказ Министерства здравоохранения Нижегородской области от 14.04.2020 N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"

Приложение N 13
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од

Инструкция
администратора системы информационной системы персональных данных "МИС Сегмент ГБУЗ"

1. Общие положения

Администратор системы "МИС Сегмент ГБУЗ _______________________________ Нижегородской области" (далее - "МИС ГБУЗ НО") назначается приказом руководителя ГБУЗ НО и функционально подчиняется начальнику подразделения, в штате которого он состоит.

Администратор системы "МИС Сегмент ГБУЗ НО" (далее - администратор системы) руководствуется требованиями действующих нормативных документов Российской Федерации, методических документов в области защиты информации и персональных данных, нормативных актов Министерства здравоохранения Нижегородской области, ГБУЗ НО, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся. Администратор системы следует указаниям администратора безопасности ГБУЗ МИАЦ НО, главного врача ГБУЗ НО, в штате которого он состоит, а также иных инструкций и регламентов в части, его касающейся.

Администратор системы обеспечивает работоспособность и корректность настроек технических и программных средств, используемых в информационной системе (далее - ИС), а также постоянное функционирование системы защиты информации (далее - СЗИ), безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники сегмента ГБУЗ НО.

При работе со средствами криптографической защиты информации (далее - СКЗИ) и ключевой информацией администратор системы руководствуется Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - Инструкция ФАПСИ).

При хранении СКЗИ, средств защиты информации, ключевых носителей и эксплуатационной документации администратор системы руководствуется "Регламентом учета средств защиты..." и Инструкцией ФАПСИ.

Должностные лица ГБУЗ НО, а также сторонних организаций, задействованные в обеспечении функционирования сегмента "МИС. Сегмент ГБУЗ НО", должны быть ознакомлены с основными положениями и приложениями Инструкции в части, их касающейся, по мере необходимости.

Администратор системы обеспечивает работоспособность технических средств защиты, а также безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники "МИС. Сегмент ГБУЗ НО".

В случае увольнения администратор системы обязан передать начальнику подразделения, в штате которого он состоит, все документальные носители защищаемой информации (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), программную документацию, а также персональные идентификаторы, которые находились в его распоряжении в связи с выполнением им служебных обязанностей.

1.1. Порядок пересмотра инструкции.

Инструкция подлежит полному пересмотру при изменениях перечня решаемых задач, состава технических и программных средств сегмента ЦОД, приводящих к существенным изменениям технологии обработки информации в МИС.

Инструкция подлежит частичному пересмотру в остальных случаях.

Вносимые изменения не должны противоречить другим положениям Инструкции.

1.2. Ответственные за контроль выполнения инструкции.

Ответственным за контроль выполнения требований данной Инструкции является ответственный за обработку, обеспечение безопасности защищаемой информации (исполняющий обязанности администратора безопасности МИС), а также ответственный за организацию обработки персональных данных в "МИС. Сегмент ГБУЗ" (Глав. врач либо его заместитель, в соответствии с Приказом).

2. Обязанности администратора системы

Администратор системы обязан:

- знать законодательные и нормативные правовые акты, методические и нормативные материалы по вопросам, связанным с обеспечением процессов информатизации и информационной безопасности;

- знать перечень используемых в сегменте МИС средств вычислительной техники, коммуникационного и другого оборудования, средств защиты информации, установленного системного и прикладного программного обеспечения (далее - Ресурсы МИС), места их расположения, назначение и задачи, решаемые с их использованием;

- знать порядок взаимодействия подразделений Министерства здравоохранения Нижегородской области, ГБУЗ МИАЦ НО, учреждений здравоохранения Нижегородской области и порядок использования, обработки и хранения служебной информации и информации ограниченного доступа;

- знать должностных лиц Министерства здравоохранения Нижегородской области, ГБУЗ МИАЦ НО, ответственных за обеспечение безопасности персональных данных, а также порядок взаимодействия с ними;

- знать систему организации комплексной защиты информации, действующую в сегменте МИС;

- согласовывать вносимые изменения в состав аттестованной системы с администратором безопасности ГБУЗ МИАЦ НО;

- обеспечивать работоспособность Ресурсов МИС в части, его касающейся;

- знать систему организации комплексной защиты информации, действующую в ответственном ему сегменте "МИС. Сегмент ГБУЗ";

- организовывать и проводить организационно-технические мероприятия по техническому обслуживанию Ресурсов сегмента МИС;

- выполнять указания и рекомендации по настройке средств защиты информации, высылаемые (передаваемые) администратором безопасности ГБУЗ МИАЦ НО;

- устанавливать и настраивать программно-технические средства, а также выполнять другие возложенные на него работы в соответствии с организационно-распорядительными документами, методическими материалами и эксплуатационной документацией в части, его касающейся;

- выполнять своевременное обновление программного обеспечения, используемого в МИС;

- обеспечивать контроль за выполнением пользователями требований ОРД и правил работы с системой;

- своевременно вести обнаружение и идентификацию инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ и иных событий, приводящих к возникновению инцидентов;

- планировать и принимать меры по устранению инцидентов, в том числе по восстановлению информационной системы после произошедшего инцидента, если ее работоспособность была нарушена;

- регистрировать и анализировать события в информационной системе, связанные с защитой информации;

- обо всех обнаруженных инцидентах сообщать администратору безопасности ГБУЗ МИАЦ НО;

- осуществлять выдачу и изъятие учетных данных, а также идентификаторов, необходимых для работы в информационной системе пользователям, под роспись в Журнале;

- проводить регулярный анализ работы элементов ответственного ему сегмента, электронных системных журналов (в случае их доступности) для выявления и устранения неисправностей, а также для оптимизации ее функционирования;

- осуществлять текущий контроль технологического процесса обработки защищаемой информации;

- в случае возникновения нештатных ситуаций в работе МИС немедленно докладывать об этом администратору безопасности ГБУЗ МИАЦ НО, а при его недоступности - ответственному за обработку и обеспечение безопасности персональных данных в сегменте МИС (главному врачу), а также принимать участие в восстановлении работоспособности средств и систем МИС в соответствии с "Регламентом по действиям в нештатных ситуациях";

- участвовать в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации в сегменте МИС;

- проводить ознакомление с организационно-распорядительными документами, обучение и инструктаж пользователей системы, а также всех лиц, обслуживающих ИС, в том числе на договорной основе, правилам работы с программными и аппаратными средствами правилам работы с программными и аппаратными средствами с отметкой в журнале инструктажа;

- исполнять и контролировать исполнение пользователями ИСПДн "Регламента по организации парольной защиты", а именно:

Всем субъектам доступа (пользователям и администраторам системы) запрещается:

- записывать свои пароли в очевидных местах, на рабочей поверхности рабочей станции, монитора, клавиатуры (включая обратную сторону) и т.д.;

- хранить пароли в записанном виде в рабочих тетрадях, на отдельных листах бумаги;

- сообщать посторонним лицам свои пароли, а также сведения о применяемой системе защиты от НСД.

3. Права администратора системы МИС

Администратор системы МИС имеет право:

- проводить оперативное отключение любых элементов вверенного ему сегмента без оповещения пользователей системы при выявлении изменений в конфигурации СВТ, средствах защиты МИС, могущих привести к нарушению характеристик безопасности информации, обрабатываемой в сегменте МИС, а также при возникновении предпосылок к возникновению вирусной эпидемии;

- проводить отключение любых элементов вверенного ему сегмента с предварительным оповещением пользователей системы на время регламентного технического обслуживания или устранения неисправностей в установленном порядке;

- требовать от пользователей вверенного ему сегмента ГБУЗ НО соблюдения правил работы в ИС;

- требовать от пользователей безусловного соблюдения установленной технологии обработки защищаемой информации и выполнения требований внутренних документов, регламентирующих вопросы обеспечения безопасности и защиты информации;

- обращаться к администратору безопасности МИС с требованием о прекращении обработки информации в случаях выявления нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации сегмента МИС;

- вносить свои предложения по совершенствованию системы обработки и защиты информации;

- участвовать в проведении служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности в МИС.

4. Ответственность администратора системы

Администратор системы МИС несет ответственность:

- за работоспособность и надлежащее функционирование используемых во вверенном ему сегменте программных и аппаратных средств обработки информации;

- за организацию соблюдения всеми участниками обработки персональных данных технологий обработки информации и условий ее конфиденциальности;

- за ненадлежащее исполнение или неисполнение своих должностных и функциональных обязанностей, предусмотренных настоящей инструкцией, другими нормативными документами, в соответствии с действующим законодательством Российской Федерации, за полноту и качество проводимых им работ по обеспечению функционирования программных и аппаратных средств МИС;

- за правонарушения, совершенные в процессе своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации, в том числе за разглашение сведений конфиденциального характера и другой защищаемой информации, обрабатываемой в МИС.

Лист ознакомления ответственных лиц

N п/п	ФИО, должность	Дата ознакомления	Подпись
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.