Политика безопасности

Приложение №1

                                            к приказу  «ООО Косметологическая клиника «Шанталь»

                                                                                        от «20» ____05___2017г № 62___

ПОЛИТИКА

информационной безопасности

ООО «Косметологическая клиника «Шанталь»

1. Общие положении
   • Настоящая Поли гика информационной безопасности (далее — Политика) разработана н соответствии с законодательством Российской Федерации и нормами нрава в части обеспечения информационной безопасности, требованиями нормативных актов федерального органа исполнительной власти, уполномоченного в области защиты прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной пласт, уполномоченного в области противодействия техническим разведкам и технической тащи ты информации.
   • Настоящая Политика разработана в соответствии с целями, задачами и принципами обеспечении безопасности защищаемой в «ООО Косметологической клинике «Шанталь» информации. Руководство, «ООО Косметологическая клиника «Шанталь» осознает важность развития и совершенствования мер и средств обеспечения информационной безопасности.
   • Настоящая Политика является общедоступным документом и представляет собой официально принятую руководством «ООО Косметологическая клиника «Шанталь» систему взглядов па проблему обеспечения информационной безопасности.
   • В Политике определены принципы построения системы обеспечения информационной безопасности, ‘требования к системе обеспечения информационной безопасности, требования к персоналу, степень ответственности персонала, классификация и должностные обязанности персонала, ответственного за обеспечение безопасности защищаемой в «ООО Косметологической клинике «Шанталь» информации.
   • Целью настоящей Политики является обеспечение безопасности объектов защиты и всех видов актуальных угроз, внешних и внутренних, умышленных и непреднамеренных, а так же минимизация ущерба от реализации угроз информационной безопасности.
   • Обеспечение безопасности объектов защиты достигается выполнением требований:

• российского законодательства в области защиты персональных данных и врачебной тайны; нормативных актов     федерального органа исполнительной   власти,  уполномоченного в области защиты прав субъектов персональных данных;

• нормативных актов         федерального         органа         исполнительной        власти, уполномоченного в области обеспечения безопасности;

• нормативных актов      федерального органа    исполнительной        власти, уполномоченного в области противодействия техническим разведкам и технической зашиты информации.

• Безопасность защищаемой информации достигается путем выявления актуальных угроз безопасности информации и применения мер, направленных па компенсацию актуальных угроз безопасности  информации,
• Требовании настоящей Политики могут быть детализированы в Положениях о порядке обработки и обеспечении безопасности к конкретным информационным системам, которые разрабатываются как отдельные внутренние нормативные документы,’ в установленном порядке утверждаются руководством «ООО Косметологической клинике «Шанталь», Положения о порядке обработки и обеспечении безопасности к конкретным информационным системам не могут противоречить положениям настоящей Политики.

2. Область действий
   • Настоящая Политика затрагивает все виды деятельности ООО Косметологической клинике «Шанталь», касающиеся обработки персональных данных и врачебной тайны.
   • Требования настоящей Политики должны неукоснительно соблюдаться персоналом «ООО КС «Шанталь» и лицами, с которыми ООО Косметологической клинике «Шанталь» взаимодействует в силу специфики своей работы и/или договорных отношений, в соответствии с нормативными документами и договорами, регламентирующими такие отношения.

3.Объекты зашиты

• Основными объектами защиты системы обеспечения информационной безопасности являются:

• информационные ресурсы, содержащие врачебную тайну, персональные данные физических лиц, сведения ограниченного распространения, а так же открыто распространяемая информация, необходимая для работы «ООО КК «Шанталь», независимо от формы и вида ее представления;
• информационная инфраструктура, включающая системы обработки информации, технические программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы;
• сотрудники ООО КК «Шанталь», прямо или косвенно связанные е работой информационных систем « ООО КК «Шанталь».
• Детализированные перечни подлежащей защите информации утверждаются руководством « ООО КК «Шанталь»,

              4.Угрозы информационной безопасности

4.1.Актуальные угрозы информационной безопасности определяются для каждой информационной системы отдельно на основании частной модели угроз и/или частной модели нарушителя, которые в установленном порядке утверждаются руководством ООО КК «Шанталь»,

4.2.Частью модели угроз и/или частные модели нарушителя разрабатываются в соответствии с нормативными документами федерального органа исполнительной власти,  уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти уполномоченного в области противодействия техническим разведкам и технической защиты информации.

4.3. Для компенсации актуальных угроз, выявленных на основании частной модели yгроз и частной модели нарушителя, «ООО КК «Шанталь» принимает организационные и технические меры в соответствии с требованиями нормативных документов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

4.4. Перечень организационных и технических мер. направленных на компенсацию актуальных угроз, утверждается руководством «ООО КК  «Шанталь».

• В соответствии с требованиями законодательства Российской Федерации принятые организационные и технические меры подлежат обязательной оценки дефективности, которую ООО КК «Шанталь» может провести как самостоятельно, так и с привлечением третьих лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза и 3 года

               5.Система обеспеченна информационной безопасности

5.1.Система обеспечения информационной безопасности строится на сбалансированном применении взаимодополняющих организационных и технических мер компенсации угроз информационной безопасности.

5.2.Для эффективного построения и своевременного совершенствования системы обеспечения информационной безопасности используется Цикл Шухарта-Деминга (цикл РОСА) «планирование-действие-проверка-корректировка».

5.3.При планировании системы обеспечения информационной безопасности осуществляются:

определение и распределение прав, обязанностей и ответственности персонала;

определение и оценка важности информации, подлежащей защите;

анализ применяемых технологий;

определение угроз информационной безопасности;

* определение и оценка негативных последствий, поступающих в результате реализации у i роз информационной безопасности;

• выбор защитных мер. противодействующих реализации угроз безопасности информации и минимизирующих возможные негативные последствии в случае их реализации;

оценка влияния защитных мер на деятельность организации;

• оценка затрат на реализацию защитных мер;
• рассмотрение и оценка различных вариантов построения системы обеспечения информационной безопасности;
• выбор конкретной реализации системы обеспечения информационной безопасности.
• В рамках реализации действий по построению и совершенствованию системы обеспечения информационной безопасности осуществляются:

сбор информации о событиях информационной безопасности;

• выявление и анализ инцидентов информационной безопасности;
• расследование инцидентов информационной безопасности:

оперативное реагирование на инцидент информационной безопасности;

• минимизация негативных последствий инцидентов информационной безопасности;
• оперативное доведение до руководства информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по ним;

*            выполнение принятых решений по всем инцидентам информационной

безопасное ш и установленные сроки;

• пересмотр применяемых требований, мер и механизмов по обеспечению информационной безопасности по результатам рассмотрения инцидентов информационной безопасности;
• повышение уровня знаний персонала в вопросах обеспечения информационной безопасности;
• контроль доступа в здания и помещения;
• обеспечение зашиты информации от утечки по техническим каналам;
• применение средств защиты информации;
• обеспечение бесперебойной работы систем и сетей связи;
• обеспечение возобновления работы систем и сетей связи после прерываний и нештатных ситуаций;
• обеспечение информационной безопасности на стадиях жизненного цикла информационных систем (проектирование, разработка, приобретение, поставка, ввод в эксплуатацию, сопровождение):
• обеспечение информационной безопасности при использовании доступа в сети общею доступа.
• В целях реализации проверки системы обеспечения информационной безопасности осуществляются:
• контроль правильности реализации защитных мер;
• контроль системы обеспечения информационной безопасности во время эксплуатации;
• контроль изменений конфигурации системы обеспечения информационной безопасности;
• контроль исполнения персоналом требований внутренних нормативных документов по обеспечению информационной безопасности;
• контроль деятельности пользователей информационных систем, направленный на выявление несанкционированной деятельности.
• И целях совершенствования системы обеспечения информационной безопасности осуществляется периодическое, а при необходимости оперативное, уточнение и/или пересмотр выбранных мер обеспечения информационной безопасности.

• Для реализации системы обеспечения информационной безопасности и руководством «ООО КК «Шанталь» назначается ответственное лицо, которое координируем действия подразделения по вопросам информационной безопасности. Ответственное лицо выполняет следующие функции:
• соблюдение действующего законодательства по вопросам информационной безопасности;
• определение необходимых мер обеспечения информационной безопасности:

разработка внутренних нормативных документов по обеспечению

информационной безопасности;

• осуществление контроля актуальности и непротиворечивости внутренних нормативных документов по обеспечению информационной безопасности;
• обучение и контроль персонала по вопросам информационной безопасности;
• планирование и координация внедрения мер обеспечения информационной

безопасности:

выявление и предотвращение угроз информационной безопасности:

• выявление и реагирование на инциденты информационной безопасности;
• мониторинг и оценка эффективности принятых мер обеспечения информационной безопасности.
• информирование руководства и руководителей структурных подразделений об уг розах информационной безопасности,
• Исхода из требований действующего законодательства, результатов проведения внутренней проверки, перечня информации, подлежащих тащите определяется необходимый уровень защищенности информационных систем. На основании анализа актуальных угроз безопасности защищаемой информации, описанных в частной модели угроз, выполняемся заключение о необходимости использования конкретных технических и организационных мер обеспечения безопасности защищаемой информации. Необходимые мероприятия отражаются в плане мероприятии по обеспечению безопасности защищаемой информации.

5.9. Организационные меры обеспечения безопасности защищаемой информации заключаемся в установлении режима ограниченного доступа к защищаемой информации. Состав организационных мер включает:

• утверждение списка лиц, допущенных к работе с защищаемой информацией;
• утверждение прав, обязанностей и ответственности лиц, допущенных к работе с защищаемой информацией;

утверждение списка помещений, в которых разрешено обрабатывать защищаемую информацию;

• утверждение прав разграничения доступа к защищаемой информации;
• утверждение контролируемой зоны;

утверждение нормативных документов    регламентирующих правила обработки

защищаемой информации;

• планирование мероприятий по защите информации.

5.10. И зависимости от класса информационной системы и актуальных угроз, технические меры обеспечения информационной безопасности могут включать в себя следующие подсистемы:

• идентификации и аутентификации субъектов доступа и объектов доступа:
• управления доступом субъектов доступа к объектам доступа;

ограничения программной среды:

• защиты машинных носителей информации;
• регистрации событий безопасности;
• антивирусной защиты;
• обнаружения вторжений;
• контроля и анализа защищенности:
• обеспечения целостности;
• обеспечения доступности;
• защиты среды виртуализации:

• защиты технических средств;
• защита информационной системы, се средств, систем связи и передачи данных:
• выявления инцидентов информационной безопасности:
• управления конфигурацией информационной системы и системы зашиты;

*                   криптографической защиты,

5.11 Требования к подсистемам системы обеспечения информационной безопасности устанавливаются нормативными актами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической заишI ы информации.

5.12 Список конкретных используемых технических средств фиксируется документально и должен поддерживаться в актуальном состоянии. При изменении состава технических средств зашиты или элементов информационных систем, соответствующие изменения должны быть внесены и утверждены рисоводством ООО КК «Шанталь».

6. 6. Классификации персонала, участвующего в обработке защищаемой информации

6.1  В зависимости от выполняемых должностных обязанностей можно выделить следующие группы персонала, участвующих в обработке защищаемой информации:

*                   разработчики информационных систем

• администраторы информационных систем;
• администратора безопасности информационных систем:
• операторы информационных систем;
• специалисты сервисного обслуживания оборудования информационных систем.

6.2 Администраторы информационных систем сотрудники, ответственные за

настройку,       внедрение и сопровождение информационных систем. Обеспечивают

функционирование подсистемы управления доступом и уполномочены осуществлять предоставление и разграничение доступа конечного пользователя (оператора) к элементам, обрабатывающим защищаемую информацию. Администраторы обладают следующим уровнем доступа  знаний:

обладает полной информацией о системном и прикладном программном

обеспечении  информационных систем:

• обладает полной информацией о технических средствах и конфигурации информационных систем:

имеет доступ ко всем техническим средствам обработки информации и данным и информационных систем;

• обладает правами конфигурирования и административной настройки технических средств информационных систем.

6.3  Администраторы безопасности — сотрудники, ответственные за функционирование системы зашиты информации. Администраторы безопасности обладает следующим уровнем доступа и знаний:

• обладает правами Администратора в объеме необходимо для выполнения своих должностных обязанностей:
• обладает полной информацией об информационных системах;
• имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационных систем;
• не имеет прав доступа к конфигурированию технических средств за исключением контрольных (инспекционных).

Администраторы безопасности уполномочены:

• реализовывать политики безопасности в части настройки подсистем системы защиты информации:
• осуществлять аудит системы защиты информации;
• устанавливать доверительные отношения между информационными системами.

Операторы информационных систем — сотрудники, осуществляющие обработку защищаемой информации.. Оператор не имеет полномочий для управления подсистемами информационных систем и системы защиты информации.

• опадают следующим уровнем доступа и знаний:
• обладает всеми необходимыми атрибутами, обеспечивающими доступ к некоторому подмножеству защищаемой информации;
• располагает защищаемой информацией, к которой имеет доступ.

6..5. Специалисты сервисного обслуживания оборудования информационных систем – сотрудники, осуществляющие обслуживание и настройку оборудования информационных систем. Технический специалист по обслуживанию не имеет доступа к защищаемой информации, не имеет полномочий для управления подсистемами информационных систем и  системы защиты информации.

Специалисты сервисного обслуживания оборудования информационных систем обладают следующим уровнем доступа и знаний;

• обладает частью информации о системном и прикладном программном обеспечении информационных систем;
• обладает частью информации о технических средствах и конфигурации информационных систем;

6.6. Разработчики информационных систем поставщики прикладною программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте, могут быть как штатными сотрудниками, гак и представителями сторонних организаций.

Разработчики информационных систем обладают следующим уровнем доступа и знаний;

• обладает информацией об алгоритмах и программной реализации обработки  информационных системах:
• обитает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение информационных

гнетем па стадии ее разработки, внедрения и сопровождения;

• может располагать любыми фрагментами информации о топологии и технических средствах обработки и защиты информации, обрабатываемых в информационных системах,

Разработчики информационных систем работают на договорной основе, полому в .договор должен быть внесем пункт об обеспечении безопасности информации в разрабатываемых информационных системах, об ответственности разработчика в случаи обнаружения недекларируемых возможностей в разработанной информационной систем или в случаи возникновения инцидента информационной безопасности, возникшего по вине разработчика информационной системы

7. Требования к персоналу

7.1 Вес сотрудники, имеющие право доступа к защищаемой информации, должны чет ко шить и строго выполнять установленные правила доступа к защищаемой информации и соблюдению принятого режима безопасности защищаемой информации.

7.2.При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования но защите информации, а также обучение навыкам выполнения процедур, необходимых для санкцноиированпо1 и использования информационных систем.

7.3 Сотрудник должен быть ознакомлен с требованиями действующего законодательства, настоя щей Политики и утвержденных локальных нормативных актов.

7.4. Сотрудники должны следовать установленным процедурам поддержании режима безопасности информации.

7.5 Сотрудники должны обеспечивать надлежащую защиту оборудования оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица.

7.6. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а гак же записывать на

них защищаемую информацию.

7.7. Сотрудникам запрещается разглашать третьим лицам защищаемую информацию.

7.8. При работе с защищаемой информацией сотрудники обязаны обеспечить отсутствии возможности просмотра защищаемой информации третьими лицами.

7.9 При завершен пи работы с информационными системами сотрудники обязаны ограничить доступ к информационным системам с помощью блокировки или эквивалентного средства

контроля.

7.10 .Сотрудники должны быть проинформированы об угрозах нарушения режима безопасное  и защищаемой информации и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий па сотрудников, которые нарушили принятые политику и процедуры безопасности защищаемой информации.

7.11. Сотрудники обязаны без промедления сообщал, обо всех наблюдаемых или подозрительных случаях работы информационных систем, способных повлечь за собой реализацию угрозы безопасности защищаемой информации, а также о выявленных ими инцидентах информационной безопасности руководству подразделения и ответственному лицу.

8.Ответственность за соблюдение положений Политики

Ответственность персонала за невыполнение настоящей Политики определяется в соответствующих  пунктах, включаемых в трудовые договоры и/или должностные инструкции, а также положениями внутренних нормативных документов.

9.Заключительные положения

9.1. Требования настоящей Политики могут развиваться другим внутренними норма тайными документами, которые дополняют и уточняют ее.

9.2.И случае изменения действующего законодательства и иных нормативных актов настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам.

9.3. Внесение изменений в настоящую Политику осуществляется на периодической и  внеплановой основе.

• периодическое внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 3 года;
• внеплановое внесение изменений в настоящую Политику может производиться, но результатам анализа защищенности информационных систем или изменении действующего законодательства и локальных нормативных актов,

9.4. Ответственным за внесение изменений в настоящую Поли тку является лицо ответственное за организацию работ но обеспечению информационном безопасности.