Модель угроз информационной безопасности

реклама
УТВЕРЖДАЮ
Главный врач
ГБУЗ «Городская поликлиника №5»
____________ /Л.А. Шошина
«___» ____________ 20___ г.
Политика информационной безопасности
ГБУЗ «Городская поликлиника №5»
Петрозаводск
20___
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая политика разработана в соответствии с законодательством Российской
Федерации
в
области
безопасности
и
региональных
органов
безопасности
защиты
персональных
информации,
исполнительной
данных,
нормативных
власти,
актов
информационной
федеральных
уполномоченных
в
и
области
обеспечения физической и технической защиты информации.
1.2. Настоящая политика является документом, доступным любому сотруднику ГБУЗ
«Городская поликлиника №5» (далее – Учреждение) и пользователю его ресурсов.
1.3. Требования настоящей политики распространяются на всех сотрудников Учреждения
(штатных, временных, работающих по контракту, и др.), а также всех прочих лиц
(подрядчиков, аудиторов и т.п.)
1.4. Настоящая
политика
устанавливает
цели,
задачи
и
подходы
в
области
информационной безопасности, которыми Учреждение руководствуется в своей
деятельности.
1.5. Под информационной безопасностью понимается обеспечение конфиденциальности,
целостности и доступности информационных активов Учреждения.
1.6. Необходимые требования обеспечения информационной безопасности Учреждения
должны
неукоснительно
соблюдаться
сотрудниками
Учреждения
и
другими
сторонами как это определяется положениями внутренних нормативных документов
Учреждения, а также требованиями договоров и соглашений, стороной которых
является Учреждение.
1.7. Настоящая политика направлена на достижение следующих целей:
 Обеспечение непрерывности основных бизнес-процессов Учреждения;
 Минимизация
возможных
потерь
и
ущерба
от
нарушений
в
области
информационной безопасности.
2. ОБЪЕКТ ЗАЩИТЫ
2.1. Основными объектами защиты системы информационной безопасности в Учреждении
являются:

Информационные ресурсы, содержащие коммерческую тайну, персональные
данные, сведения ограниченного распространения;

Сотрудники Учреждения;

Информационная инфраструктура, включающая технические и программные
средства обработки, передачи и отображения информации, в том числе каналы
обмена, системы и средства защиты информации, объекты и помещения, в
которых расположены такие системы.
3. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
3.1. Для достижения целей настоящей политики в Учреждении внедряется система защиты
информации (далее – СЗИ), которая соответствует положениям и требованиям
настоящей политики, федерального и регионального законодательства в области
информационной безопасности и защиты персональных данных.
3.2. СЗИ документирована в настоящей политике, в правилах, процедурах, рабочих
инструкциях, положениях и регламентах, которые являются обязательными для всех
сотрудников Учреждения. Документированные требования СЗИ доводятся до
сведения сотрудников Учреждения.
3.3. Все информационные активы, включая аппаратное обеспечение, программное
обеспечение, информационные ресурсы на бумажных и электронных носителях,
персонал, подлежат учету и категорированию в соответствии с их важностью и
уровнем доступа.
3.4. В соответствии с установленными процедурами и планами, осуществляется
регулярная оценка рисков информационной безопасности. При ее проведении
учитывается вероятность угроз информационной безопасности и степень их влияния
на бизнес-процессы, финансовое состояние и репутацию Учреждения.
3.5. По результатам оценки рисков информационной безопасности выбираются и
применяются меры, включая организационные, физические, технические (в том числе
программные и программно-аппаратные средства защиты информации).
3.6. Для обеспечения физической защиты информации Учреждения в границах области
действия СЗИ устанавливаются контролируемые зоны и принимаются меры для
предотвращения неавторизованного доступа.
3.7. Учреждение стремится выявлять, учитывать и реагировать на инциденты в сфере
информационной безопасности в соответствии с установленными регламентами.
3.8. Сотрудники Учреждения получают доступ только к той информации, которая
требуется для исполнения их функциональных обязанностей.
Страница 2 из 5
3.9. Учреждение проводит информирование, обучение и повышение квалификации
сотрудников в сфере информационной безопасности.
4. ОБЯЗАННОСТИ
4.1. Оперативная
деятельность
и
планирование
деятельности
по
обеспечению
информационной безопасности Учреждения осуществляются и координируются
Ответственным за обеспечение информационной безопасности сотрудником или
подразделением.
Задачами
Ответственного
за
обеспечение
информационной
безопасности сотрудника или подразделения являются:

Установление потребностей Учреждения в применении мер обеспечения
информационной безопасности, определяемых как внутренними требованиями
нормативных актов;

Соблюдение действующего федерального законодательства, нормативных
актов
федеральных
и
региональных
органов
исполнительной
власти,
уполномоченных в области обеспечения безопасности и противодействия
техническим разведкам и технической защиты информации;

Разработка и пересмотр внутренних нормативных документов по обеспечению
информационной безопасности Учреждения, включая планы, политики,
положения, регламенты, инструкции, методики, перечни сведений и иные виды
внутренних нормативных документов

Осуществление контроля актуальности и непротиворечивости внутренних
нормативных документов (политик, планов, методик и т.д.), затрагивающих
вопросы информационной безопасности Учреждения;

Обучение, контроль и непосредственная работа с сотрудниками Учреждения в
области обеспечения информационной безопасности;

Планирование применения, участие в поставке и эксплуатации средств
обеспечения информационной безопасности;

Выявление
и
предотвращение
реализации
угроз
информационной
безопасности;

Выявление и реагирование на инциденты информационной безопасности;
Страница 3 из 5

Прогнозирование
и
предупреждение
инцидентов
информационной
безопасности;

Пресечение несанкционированных действий нарушителей информационной
безопасности;

Поддержка
базы
инцидентов
информационной
безопасности,
анализ,
разработка оптимальных процедур реагирования на инциденты и обучение
персонала;

Обеспечение
эксплуатации
средств
и
механизмов
обеспечения
информационной безопасности;

Мониторинг и оценка информационной безопасности, включая оценку
полноты и достаточности защитных мер и видов деятельности по обеспечению
информационной безопасности Учреждения;

Информирование руководства Учреждения об угрозах информационной
безопасности, влияющих на деятельность Учреждения.
4.2. Основными задачами Сотрудников Учреждения при выполнении возложенных на них
обязанностей и в рамках их участия в оперативной деятельности по обеспечению
информационной безопасности Учреждения являются:

Соблюдение требований информационной безопасности, устанавливаемых
нормативными документами Учреждения;

Выявление и предотвращение реализации угроз информационной безопасности
в пределах своей компетенции;

Выявление и реагирование на инциденты информационной безопасности в
пределах своей компетенции;

Информирование в установленном порядке ответственных лиц о выявленных
угрозах информационной безопасности;

Прогнозирование
и
предупреждение
инцидентов
информационной
безопасности в пределах своей компетенции;
Страница 4 из 5

Мониторинг и оценка информационной безопасности в рамках своего участка
работы (рабочего места, структурного подразделения) и в пределах своей
компетенции;
5. ОТВЕТСТВЕННОСТЬ
5.1. Сотрудники Учреждения несут персональную ответственность за соблюдение
требований документов СЗИ и обязаны сообщать обо всех выявленных нарушениях в
области
информационной
безопасности
руководителю
Учреждения
или
ответственному за обеспечение информационной безопасности сотруднику или
подразделению, который назначается приказом главного врача Учреждения.
5.2. В трудовых договорах и должностных инструкциях сотрудников устанавливается
ответственность за сохранность служебной документации и конфиденциальность
информации, ставшей известной в силу выполнения своих обязанностей.
5.3. Ответственность за поддержание положений настоящей Политики в актуальном
состоянии, создание, внедрение, координацию и внесение изменений в процессы
системы
управления
информационной
безопасности
Учреждения
лежит
на
ответственном за обеспечение информационной безопасности сотруднике.
5.4. Руководство Учреждения несет ответственность за обеспечение необходимых условий
для реализации мероприятий по оценке и уменьшению рисков информационной
безопасности и защиты информации, поддержания, мониторинга и непрерывного
улучшения
СЗИ,
регулярного
обучения
сотрудников
Учреждения
в
сфере
информационной безопасности.
6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
6.1. Требования настоящей политики могут дополняться и расширяться внутренними
нормативными документами Учреждения.
6.2. Политика информационной безопасности Учреждение является общедоступным
документом, который может предоставляться всем заинтересованным сторонам.
Страница 5 из 5
Скачать