УТВЕРЖДАЮ Главный врач ГБУЗ «Городская поликлиника №5» ____________ /Л.А. Шошина «___» ____________ 20___ г. Политика информационной безопасности ГБУЗ «Городская поликлиника №5» Петрозаводск 20___ 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящая политика разработана в соответствии с законодательством Российской Федерации в области безопасности и региональных органов безопасности защиты персональных информации, исполнительной данных, нормативных власти, актов информационной федеральных уполномоченных в и области обеспечения физической и технической защиты информации. 1.2. Настоящая политика является документом, доступным любому сотруднику ГБУЗ «Городская поликлиника №5» (далее – Учреждение) и пользователю его ресурсов. 1.3. Требования настоящей политики распространяются на всех сотрудников Учреждения (штатных, временных, работающих по контракту, и др.), а также всех прочих лиц (подрядчиков, аудиторов и т.п.) 1.4. Настоящая политика устанавливает цели, задачи и подходы в области информационной безопасности, которыми Учреждение руководствуется в своей деятельности. 1.5. Под информационной безопасностью понимается обеспечение конфиденциальности, целостности и доступности информационных активов Учреждения. 1.6. Необходимые требования обеспечения информационной безопасности Учреждения должны неукоснительно соблюдаться сотрудниками Учреждения и другими сторонами как это определяется положениями внутренних нормативных документов Учреждения, а также требованиями договоров и соглашений, стороной которых является Учреждение. 1.7. Настоящая политика направлена на достижение следующих целей: Обеспечение непрерывности основных бизнес-процессов Учреждения; Минимизация возможных потерь и ущерба от нарушений в области информационной безопасности. 2. ОБЪЕКТ ЗАЩИТЫ 2.1. Основными объектами защиты системы информационной безопасности в Учреждении являются: Информационные ресурсы, содержащие коммерческую тайну, персональные данные, сведения ограниченного распространения; Сотрудники Учреждения; Информационная инфраструктура, включающая технические и программные средства обработки, передачи и отображения информации, в том числе каналы обмена, системы и средства защиты информации, объекты и помещения, в которых расположены такие системы. 3. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ 3.1. Для достижения целей настоящей политики в Учреждении внедряется система защиты информации (далее – СЗИ), которая соответствует положениям и требованиям настоящей политики, федерального и регионального законодательства в области информационной безопасности и защиты персональных данных. 3.2. СЗИ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, положениях и регламентах, которые являются обязательными для всех сотрудников Учреждения. Документированные требования СЗИ доводятся до сведения сотрудников Учреждения. 3.3. Все информационные активы, включая аппаратное обеспечение, программное обеспечение, информационные ресурсы на бумажных и электронных носителях, персонал, подлежат учету и категорированию в соответствии с их важностью и уровнем доступа. 3.4. В соответствии с установленными процедурами и планами, осуществляется регулярная оценка рисков информационной безопасности. При ее проведении учитывается вероятность угроз информационной безопасности и степень их влияния на бизнес-процессы, финансовое состояние и репутацию Учреждения. 3.5. По результатам оценки рисков информационной безопасности выбираются и применяются меры, включая организационные, физические, технические (в том числе программные и программно-аппаратные средства защиты информации). 3.6. Для обеспечения физической защиты информации Учреждения в границах области действия СЗИ устанавливаются контролируемые зоны и принимаются меры для предотвращения неавторизованного доступа. 3.7. Учреждение стремится выявлять, учитывать и реагировать на инциденты в сфере информационной безопасности в соответствии с установленными регламентами. 3.8. Сотрудники Учреждения получают доступ только к той информации, которая требуется для исполнения их функциональных обязанностей. Страница 2 из 5 3.9. Учреждение проводит информирование, обучение и повышение квалификации сотрудников в сфере информационной безопасности. 4. ОБЯЗАННОСТИ 4.1. Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности Учреждения осуществляются и координируются Ответственным за обеспечение информационной безопасности сотрудником или подразделением. Задачами Ответственного за обеспечение информационной безопасности сотрудника или подразделения являются: Установление потребностей Учреждения в применении мер обеспечения информационной безопасности, определяемых как внутренними требованиями нормативных актов; Соблюдение действующего федерального законодательства, нормативных актов федеральных и региональных органов исполнительной власти, уполномоченных в области обеспечения безопасности и противодействия техническим разведкам и технической защиты информации; Разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности Учреждения, включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов Осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (политик, планов, методик и т.д.), затрагивающих вопросы информационной безопасности Учреждения; Обучение, контроль и непосредственная работа с сотрудниками Учреждения в области обеспечения информационной безопасности; Планирование применения, участие в поставке и эксплуатации средств обеспечения информационной безопасности; Выявление и предотвращение реализации угроз информационной безопасности; Выявление и реагирование на инциденты информационной безопасности; Страница 3 из 5 Прогнозирование и предупреждение инцидентов информационной безопасности; Пресечение несанкционированных действий нарушителей информационной безопасности; Поддержка базы инцидентов информационной безопасности, анализ, разработка оптимальных процедур реагирования на инциденты и обучение персонала; Обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности; Мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности защитных мер и видов деятельности по обеспечению информационной безопасности Учреждения; Информирование руководства Учреждения об угрозах информационной безопасности, влияющих на деятельность Учреждения. 4.2. Основными задачами Сотрудников Учреждения при выполнении возложенных на них обязанностей и в рамках их участия в оперативной деятельности по обеспечению информационной безопасности Учреждения являются: Соблюдение требований информационной безопасности, устанавливаемых нормативными документами Учреждения; Выявление и предотвращение реализации угроз информационной безопасности в пределах своей компетенции; Выявление и реагирование на инциденты информационной безопасности в пределах своей компетенции; Информирование в установленном порядке ответственных лиц о выявленных угрозах информационной безопасности; Прогнозирование и предупреждение инцидентов информационной безопасности в пределах своей компетенции; Страница 4 из 5 Мониторинг и оценка информационной безопасности в рамках своего участка работы (рабочего места, структурного подразделения) и в пределах своей компетенции; 5. ОТВЕТСТВЕННОСТЬ 5.1. Сотрудники Учреждения несут персональную ответственность за соблюдение требований документов СЗИ и обязаны сообщать обо всех выявленных нарушениях в области информационной безопасности руководителю Учреждения или ответственному за обеспечение информационной безопасности сотруднику или подразделению, который назначается приказом главного врача Учреждения. 5.2. В трудовых договорах и должностных инструкциях сотрудников устанавливается ответственность за сохранность служебной документации и конфиденциальность информации, ставшей известной в силу выполнения своих обязанностей. 5.3. Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы управления информационной безопасности Учреждения лежит на ответственном за обеспечение информационной безопасности сотруднике. 5.4. Руководство Учреждения несет ответственность за обеспечение необходимых условий для реализации мероприятий по оценке и уменьшению рисков информационной безопасности и защиты информации, поддержания, мониторинга и непрерывного улучшения СЗИ, регулярного обучения сотрудников Учреждения в сфере информационной безопасности. 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 6.1. Требования настоящей политики могут дополняться и расширяться внутренними нормативными документами Учреждения. 6.2. Политика информационной безопасности Учреждение является общедоступным документом, который может предоставляться всем заинтересованным сторонам. Страница 5 из 5