stamp

ИНСТРУКЦИЯ пользователя информационной системы персональных данных КМИС

 
 
 

1. Общие положения

1.1. Настоящая инструкция разработана в соответствии со «Специальными требованиями и рекомендациями по технической защите конфиденциальной информации», утвержденными решением Гостехкомиссии России от 30.08.2003 № 282, «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, «Положением об организации и проведении работ по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных и другими нормативно-правовыми актами регулирующими обработку персональных данных в автоматизированных системах.
1.2. Данная инструкция содержит общие обязанности пользователя информационной системы персональных данных (далее — ИСПДн) по обеспечению безопасности персональных данных при работе в ИСПДн.
1.3. Пользователем ИСПДн (далее — Пользователь) является сотрудник ОГБУЗ «Инфекционная больница», участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки персональных данных и имеющий доступ к аппаратным средствам, программному обеспечению и данным ИСПДн.
1.4. Пользователь в своей работе обязан руководствоваться, кроме должностных и технологических инструкций, действующими нормативными, организационно-распорядительными документами по вопросам информационной безопасности.
1.5. Положения инструкции обязательны для исполнения всеми пользователями и доводятся под роспись. Пользователь должен быть предупрежден об ответственности за ее нарушение.

2. Обязанности пользователя

2.1. При выполнении работ в ИСПДн пользователь обязан:
— строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС, правила работы и порядок регистрации в ИСПДн, доступа к информационным ресурсам АС;
— знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции (далее – ПК);
— хранить в тайне свои идентификационные данные (имена, пароли и т.д.);
— выполнять требования установленной разрешительной системы допуска, предъявляемые к парольной системе (нормативы на длину, состав, периодичность смены пароля и т.д.), осуществлять вход в ИСПДн только под своими идентификационными данными;
— хранить установленным порядком свой персональный идентификатор, и другие реквизиты разграничения доступа в пенале, сейфе, опечатанном печатью или пломбой;
— надежно хранить и никому не передавать печать, пломбы, предназначенные для опечатывания сейфа, пенала с ключевым носителем (иными реквизитами доступа);
— выполнять требования «Инструкции по организации антивирусной защиты информационных систем персональных данных»;
— немедленно вызывать ответственного за обеспечение безопасности персональных данных и ставить в известность своего начальника отдела в случае утери персонального идентификатора или при подозрении о компрометации личных ключей и паролей, а также при обнаружении нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на сейфах, шкафах или иных фактов совершения в его отсутствие попыток несанкционированного доступа (НСД) к защищенной ПК, несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств ПК, некорректного функционирования установленных на ПК технических средств защиты, непредусмотренных формуляром ПК отводов кабелей и подключенных устройств;
— присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПК, ставить в известность ответственного за обеспечение безопасности персональных данных при необходимости внесения изменения в состав аппаратных и программных средств ПК;
— работать в ИСПДн только в разрешенный период времени;
— немедленно выполнять предписания ответственного за обеспечение безопасности персональных данных ИСПДн, предоставлять свою ПК ответственному за обеспечение безопасности персональных данных для контроля;
— ставить в известность ответственного за обеспечение безопасности персональных данных в случае появления сведений или подозрений о фактах НСД к информации, своей или чужой, а также отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ПК, выхода из строя или неустойчивого функционирования узлов ПК или периферийных устройств (считывателей, дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
— осуществлять установленным порядком уничтожение информации, содержащей сведения ограниченного доступа, с машинных носителей информации и из оперативной памяти ПК;
— уважать права других пользователей ИСПДн на конфиденциальность и право пользования общими ресурсами;
— сообщать начальнику своего отдела обо всех проблемах, связанных с эксплуатацией АС.
2.2. Пользователю категорически запрещается:
— использовать компоненты программного и аппаратного обеспечения, средств защиты ИСПДн в неслужебных целях;
— самовольно вносить какие-либо изменения в состав, размещение, конфигурацию аппаратно-программных средств ИСПДн (в том числе ПК) или устанавливать дополнительно любые аппаратные средства, а также программные средства, не предусмотренные к использованию в ИСПДн;
— осуществлять обработку информации, содержащей сведения ограниченного доступа, в присутствии посторонних (не допущенных к данной информации) лиц;
— записывать и хранить конфиденциальную информацию (содержащую сведения ограниченного доступа) на неучтенных носителях информации (флэш-накопителях, компакт-дисках типа CD/DVD и т.п.), в том числе для временного хранения;
— оставлять включенной без присмотра свою ПК, не активизировав временную блокировку экрана и клавиатуры (средствами защиты от НСД или операционных систем);
— передавать кому-либо свой персональный идентификатор в нарушение установленного порядка, делать неучтенные копии персонального идентификатора (на любой другой носитель);
— оставлять без личного присмотра на рабочем месте или где бы то ни было свой персональный идентификатор и распечатки содержащие защищаемую информацию (сведения ограниченного доступа);
— умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках ИСПДн (в том числе средств защиты), которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок — ставить в известность ответственного за обеспечение безопасности персональных данных и начальника соответствующей службы;
— подбирать пароли, а также собирать информацию о других пользователях;
— осуществлять попытки НСД к ресурсам системы и других пользователей, проводить рассылку ложных, беспокоящих или угрожающих сообщений;
— фиксировать свои учетные данные (пароли, имена, идентификаторы) на носителях информации (бумага, жесткие диски, дискеты, USB-накопители и т.п.);
— разглашать ставшую известной в ходе выполнения своих обязанностей информацию, содержащую сведения ограниченного распространения;
— вносить изменения в файлы, принадлежащие другим пользователям, без санкции владельца файла.

3. Ответственность Пользователя

3.1. Пользователь несет персональную ответственность за ненадлежащее исполнение своих функциональных обязанностей, а также сохранность комплекта ПЭВМ, носителей информации, персональных идентификаторов и целостность установленного программного обеспечения.
3.2. Ответственность за нарушение функционирования ИСПДн, уничтожение, блокирование, копирование, фальсификацию информации несет пользователь, под чьими идентификационными данными было совершено нарушение. Мера ответственности устанавливается по итогам служебного расследования.
3.3. Пользователи, виновные в указанных нарушениях несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством.