Приложение N 12. Инструкция ответственному за обеспечение безопасности персональных данных. Приказ Комитета по здравоохранению Псковской области от 01.09.2023 N 842 "Об утверждении типовых форм организационно-распорядительной документации по организации обработки и защите информации, в том числе по работе с персональными данными"

Приложение N 12
к приказу
<наименование учреждения здравоохранения>
от __________ N _____

Инструкция
ответственному за обеспечение безопасности персональных данных

1. Общие положения

1.1. Настоящая инструкция определяет задачи, функции, обязанности, права и ответственность лица, назначенного ответственным за обеспечение безопасности персональных данных.

1.2. Ответственный за обеспечение безопасности персональных данных назначается приказом <должность руководителя> <наименование учреждения здравоохранения>.

1.3. Ответственный за обеспечение безопасности персональных данных в своей работе руководствуется требованиями руководящих документов по безопасности информации, положениями нормативно-правовых актов РФ, приказами, а также положениями настоящей Инструкции.

1.4. Ответственный за обеспечение безопасности персональных данных является лицом, ответственным за выявление инцидентов в информационной системе и реагирование на них.

2. Основные обязанности

Основными действиями ответственного за обеспечение безопасности персональных данных при выполнении своих обязанностей являются:

2.1. Проведение инструктажа и консультации пользователей ПЭВМ по соблюдению установленного режима конфиденциальности при обработке персональных данных.

2.2. Взаимодействие с ответственными за организацию обработки персональных данных и администратором безопасности информации (АБ) по вопросам обеспечения защиты информации и прав доступа пользователей к ней.

2.3. Выполнение, учет и контроль изменений, вносимых:

- в списки пользователей;

- в перечень защищаемых информационных ресурсов;

2.4. Организация и проведение периодического и внеочередного контроля работы пользователей.

2.5. Контроль выполнения пользователями установленного режима конфиденциальности при обработке персональных данных, в том числе, соблюдения режима конфиденциальности при обращении с персональными идентификаторами, личными ключевыми дискетами и карточками паролей, со съемными машинными носителями информации, в процессе создания машинных документов, при процедурах "лечения" администратором безопасности информации зараженных файлов.

2.6. Участие в процедурах контроля операций по безопасному удалению личных файлов пользователя при прекращении полномочий учетной записи, по уничтожению (в установленном порядке) старых карточек паролей (при замене АБ паролей пользователям) и созданию новых карточек паролей.

2.7. Организация и участие в служебных расследованиях для выяснения причин утечки или воздействия на обрабатываемую информацию, компрометации паролей с целью выяснения величины нанесенного ущерба безопасности информации и выработки новых или совершенствования принятых технических и организационных мер по защите информации от реализации угрозы в будущем.

2.8. При возникновении необходимости, организация и участие в мероприятиях, связанных с событиями вскрытия, опечатывания, модификации состава, ремонта и т.д. технических средств. Опечатывание корпусов технических средств. Составление актов о вскрытии и опечатывании корпусов технических средств.

2.9. Проведение анализа воздействия изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение безопасности персональных данных.

2.10. Документальное оформление изменений в конфигурации информационной системы и системы защиты персональных данных.

2.11. Анализ инцидентов, в том числе, определение источников и причин возникновения инцидентов, а также оценка их последствий, принятие мер по устранению последствий инцидентов.

2.12. Планирование и принятие мер по предотвращению повторного возникновения инцидентов.

3. Права

Ответственный за обеспечение безопасности персональных данных имеет право:

3.1. Требовать от пользователей выполнения положений следующих инструкций по обеспечению информационной безопасности:

- "Инструкцию по работе пользователей";

- "Инструкцию по применению парольной защиты и личных идентификаторов", в части их касающейся;

- "Инструкцию по проведению антивирусного контроля", в части их касающейся;

- "Инструкцию об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные", в части их касающейся".

3.2. Участвовать в разработке мероприятий по совершенствованию системы защиты информации.

3.3. Вносить изменения в конфигурацию информационной системы и системы защиты персональных данных.

3.4. Обращаться к <должность руководителя> <наименование учреждения здравоохранения> с мотивированным предложением по приостановке процесса обработки информации или отстранению от работы пользователя в случаях систематического нарушения режима конфиденциальности, технологии обработки информации.

3.5. Требовать от пользователей и администраторов информационной системы своевременного информирования о возникновении инцидентов в информационной системе.

4. Ответственность

На ответственного за обеспечение безопасности персональных данных возлагается персональная ответственность за полноту и качество выполнения своих должностных обязанностей, а также за реализацию адекватных реальным угрозам безопасности информации режимных мер по защите информации и за их своевременное применение.

Разработал                                                   ____________

"___" ________ 20__ г.

Лист ознакомления

N п/п	ФИО	Должность	Подпись, дата