Приложение N 14. Инструкция пользователя информационной системы персональных данных "Медицинская информационная система". Приказ Министерства здравоохранения Нижегородской области от 14.04.2020 N 315-277/20П/од "Об утверждении организационно-распорядительных документов по технической защите персональных данных в Региональном сегменте единой информационной системы в сфере здравоохранения Нижегородской области"

Приложение N 14
к приказу министерства здравоохранения
Нижегородской области
от 14.04.2020 N 315-277/20П/од

Инструкция
пользователя информационной системы персональных данных "Медицинская информационная система"

1. Общие положения

Пользователь информационной системы (далее - Пользователь) "Медицинская информационная система" (далее - МИС) назначается приказом руководителя ГБУЗ НО и функционально подчиняется начальнику подразделения, в штате которого он состоит. Он руководствуется требованиями нормативных документов Российской Федерации, нормативных актов министерства здравоохранения Нижегородской области (далее - министерство), ГБУЗ НО, настоящей Инструкцией, а также другими распорядительными документами в части, его касающейся.

Пользователь непосредственно участвует в обработке информации, содержащей персональные данные, с применением средств вычислительной техники и периферийного оборудования системы.

Пользователи допускаются к работе в системе только после ознакомления под роспись с положениями организационно-распорядительных документов системы по обработке и защите персональных данных.

В случае увольнения пользователь системы обязан передать администратору системы или начальнику подразделения, в штате которого он состоит, все документальные носители защищаемой информации (рукописи, черновики, чертежи, диски, дискеты, распечатки с принтеров, модели, материалы, изделия и пр.), программную документацию, а также персональные идентификаторы, которые находились в его распоряжении в связи с выполнением им служебных обязанностей.

1.1. Порядок пересмотра инструкции.

Инструкция подлежит полному пересмотру при изменениях перечня решаемых задач, состава технических и программных средств сегмента МИС, приводящих к существенным изменениям технологии обработки информации в МИС.

Инструкция подлежит частичному пересмотру в остальных случаях.

Вносимые изменения не должны противоречить другим положениям Инструкции.

1.2. Ответственные за контроль выполнения инструкции.

Ответственным за контроль выполнения требований данной Инструкции является сотрудник ГБУЗ НО, исполняющий функции администратора системы "МИС. Сегмент ГБУЗ".

2. Обязанности пользователя

Пользователь системы обязан:

- знать и соблюдать организационные и нормативные правовые акты по вопросам, связанным с обеспечением процессов информатизации и информационной безопасности;

- использовать для выполнения своих функциональных обязанностей только назначенные ему средства вычислительной техники (терминальная станция, периферийное оборудование), средства защиты информации (аппаратные идентификаторы), системное и прикладное программное обеспечение (далее - Ресурсы МИС), знать места их расположения, назначение и задачи, решаемые с их использованием;

- соблюдать правила безопасной работы с Ресурсами МИС, исполнять требования эксплуатационной документации;

- знать порядок взаимодействия с администратором системы "МИС. Сегмент ГБУЗ";

- соблюдать технологический процесс обработки информации в МИС;

- при создании, хранении и пользовании паролями исполнять все требования, указанные в Приложении 1 к настоящей Инструкции;

- в случае возникновения нештатных ситуаций в работе МИС немедленно докладывать об этом администратору системы сегмента ГБУЗ МИС, а также принимать меры в соответствии с Регламентом по действиям в нештатных ситуациях сегмента ГБУЗ;

- предоставлять администратору системы всю необходимую информацию для анализа причин нештатной ситуации или для проведения служебных расследований;

- проходить ознакомление с организационно-распорядительными документами, обучение и инструктаж по правилам работы со средствами вычислительной техники, прикладной системой и средствами защиты информации с отметкой в журнале инструктажа;

- располагать средство отображения информации (монитор) терминальной станции таким образом, чтобы исключить просмотр информации с него посторонними лицами. При расположении монитора около окна в рабочем помещении использовать на окнах жалюзи или плотные занавески, которые во время работы с системой должны быть закрыты;

- при подозрительном (нештатном) поведении компьютера, программ и оборудования незамедлительно сообщать об этом администратору системы сегмента;

- сообщать администратору безопасности о потере либо компрометации паролей, аппаратных идентификаторов и ключевой информации;

- в конце рабочего дня сдавать вверенный ему eToken с ключевой информацией и иные идентификаторы, а также ключевую информацию на хранение администратору безопасности либо осуществлять их хранение в шкафах (ящиках, хранилищах) индивидуального пользования, в условиях, исключающих бесконтрольный доступ к ним (запирание на ключ, опечатывание);

- при отходе со своего рабочего места извлекать вверенные ему идентификаторы (еToken) и (или) ключевые документы из компьютера и забирать их с собой. Осуществлять блокировку компьютера (если этого не произошло в автоматическом режиме, то необходимо нажать сочетание клавиш Win+L либо через меню Пуск);

- осуществлять контроль за вскрытием своих рабочих компьютеров (в случае если они опечатаны). В случае обнаружения нарушения целостности контрольной пломбы незамедлительно сообщить администратору безопасности либо руководителю;

- осуществлять вывод на печать документов, содержащих персональные данные, только с целью выполнения служебных обязанностей.

Пользователю системы запрещается:

- нарушать правила работы со средствами вычислительной техники, средствами защиты информации, системным и прикладным программным обеспечением в сегменте МИС ГБУЗ;

- нарушать правила обработки персональных данных в МИС;

- осуществлять несанкционированную передачу информации, содержащей персональные данные, третьим лицам;

- осуществлять печать персональных данных с целью, не связанной с выполнением своих должностных обязанностей;

- передавать свои идентификационные данные (логин, пароль, аппаратный идентификатор) третьим лицам, в том числе сотрудникам учреждений здравоохранения, не допущенным к работе с МИС;

- предоставлять доступ к своему рабочему месту третьим лицам, в том числе сотрудникам учреждений здравоохранения, не допущенным к работе с МИС;

- нарушать целостность контрольных пломб рабочего компьютера (в случае если он опечатан), производить какие-либо действия с оборудованием компьютера;

- разглашать информацию, полученную в результате выполнения своих должностных обязанностей (персональные данные, информация о паролях и функционирующих средствах защиты информации), после расторжения трудового договора с "ГБУЗ НО".

3. Права пользователя

Пользователь МИС имеет право:

- требовать от непосредственного руководителя или администратора системы организации доступа к Ресурсам МИС при ознакомлении с положениями ОРД;

- вносить свои предложения по совершенствованию функционирования МИС;

- получать консультацию о работе с Ресурсами МИС, АРМ и со средствами защиты информации у администратора системы сегмента, а также сотрудников сторонних организаций, осуществляющих сопровождение информационной системы на договорной основе.

4. Ответственность пользователя

Пользователь системы сегмента МИС несет ответственность:

- за несоблюдение правил работы со средствами вычислительной техники, средствами защиты информации, системным и прикладным программным обеспечением в сегменте МИС ГБУЗ НО;

- за несоблюдение правил обработки персональных данных, влияющих на состояние безопасности последних;

- за несанкционированную передачу информации (разглашение, распространение и др.), содержащей персональные данные, третьим лицам;

- за несанкционированную передачу идентификационных данных пользователя третьим лицам, в том числе сотрудникам учреждений здравоохранения, не допущенным к работе с МИС;

- за ненадлежащее исполнение или неисполнение своих функциональных обязанностей, предусмотренных настоящей инструкцией, другими нормативными документами;

- за правонарушения, совершенные в процессе своей деятельности, в пределах, определенных действующим административным, уголовным и гражданским законодательством Российской Федерации, в том числе за разглашение сведений конфиденциального характера и другой защищаемой информации, обрабатываемой в сегменте МИС.