Наш адрес:
Екатеринбург,
ул. Шейнкмана, 134/А
Приложение №1
к приказу «ООО Косметологическая клиника «Шанталь»
от «20» ____05___2017г № 62___
ПОЛИТИКА
информационной безопасности
ООО «Косметологическая клиника «Шанталь»
- Общие положении
- Настоящая Поли гика информационной безопасности (далее — Политика) разработана н соответствии с законодательством Российской Федерации и нормами нрава в части обеспечения информационной безопасности, требованиями нормативных актов федерального органа исполнительной власти, уполномоченного в области защиты прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной пласт, уполномоченного в области противодействия техническим разведкам и технической тащи ты информации.
- Настоящая Политика разработана в соответствии с целями, задачами и принципами обеспечении безопасности защищаемой в «ООО Косметологической клинике «Шанталь» информации. Руководство, «ООО Косметологическая клиника «Шанталь» осознает важность развития и совершенствования мер и средств обеспечения информационной безопасности.
- Настоящая Политика является общедоступным документом и представляет собой официально принятую руководством «ООО Косметологическая клиника «Шанталь» систему взглядов па проблему обеспечения информационной безопасности.
- В Политике определены принципы построения системы обеспечения информационной безопасности, ‘требования к системе обеспечения информационной безопасности, требования к персоналу, степень ответственности персонала, классификация и должностные обязанности персонала, ответственного за обеспечение безопасности защищаемой в «ООО Косметологической клинике «Шанталь» информации.
- Целью настоящей Политики является обеспечение безопасности объектов защиты и всех видов актуальных угроз, внешних и внутренних, умышленных и непреднамеренных, а так же минимизация ущерба от реализации угроз информационной безопасности.
- Обеспечение безопасности объектов защиты достигается выполнением требований:
- российского законодательства в области защиты персональных данных и врачебной тайны; нормативных актов федерального органа исполнительной власти, уполномоченного в области защиты прав субъектов персональных данных;
- нормативных актов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности;
- нормативных актов федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической зашиты информации.
- Безопасность защищаемой информации достигается путем выявления актуальных угроз безопасности информации и применения мер, направленных па компенсацию актуальных угроз безопасности информации,
- Требовании настоящей Политики могут быть детализированы в Положениях о порядке обработки и обеспечении безопасности к конкретным информационным системам, которые разрабатываются как отдельные внутренние нормативные документы,’ в установленном порядке утверждаются руководством «ООО Косметологической клинике «Шанталь», Положения о порядке обработки и обеспечении безопасности к конкретным информационным системам не могут противоречить положениям настоящей Политики.
- Область действий
- Настоящая Политика затрагивает все виды деятельности ООО Косметологической клинике «Шанталь», касающиеся обработки персональных данных и врачебной тайны.
- Требования настоящей Политики должны неукоснительно соблюдаться персоналом «ООО КС «Шанталь» и лицами, с которыми ООО Косметологической клинике «Шанталь» взаимодействует в силу специфики своей работы и/или договорных отношений, в соответствии с нормативными документами и договорами, регламентирующими такие отношения.
3.Объекты зашиты
- Основными объектами защиты системы обеспечения информационной безопасности являются:
- информационные ресурсы, содержащие врачебную тайну, персональные данные физических лиц, сведения ограниченного распространения, а так же открыто распространяемая информация, необходимая для работы «ООО КК «Шанталь», независимо от формы и вида ее представления;
- информационная инфраструктура, включающая системы обработки информации, технические программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы;
- сотрудники ООО КК «Шанталь», прямо или косвенно связанные е работой информационных систем « ООО КК «Шанталь».
- Детализированные перечни подлежащей защите информации утверждаются руководством « ООО КК «Шанталь»,
4.Угрозы информационной безопасности
4.1.Актуальные угрозы информационной безопасности определяются для каждой информационной системы отдельно на основании частной модели угроз и/или частной модели нарушителя, которые в установленном порядке утверждаются руководством ООО КК «Шанталь»,
4.2.Частью модели угроз и/или частные модели нарушителя разрабатываются в соответствии с нормативными документами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти уполномоченного в области противодействия техническим разведкам и технической защиты информации.
4.3. Для компенсации актуальных угроз, выявленных на основании частной модели yгроз и частной модели нарушителя, «ООО КК «Шанталь» принимает организационные и технические меры в соответствии с требованиями нормативных документов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
4.4. Перечень организационных и технических мер. направленных на компенсацию актуальных угроз, утверждается руководством «ООО КК «Шанталь».
- В соответствии с требованиями законодательства Российской Федерации принятые организационные и технические меры подлежат обязательной оценки дефективности, которую ООО КК «Шанталь» может провести как самостоятельно, так и с привлечением третьих лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза и 3 года
5.Система обеспеченна информационной безопасности
5.1.Система обеспечения информационной безопасности строится на сбалансированном применении взаимодополняющих организационных и технических мер компенсации угроз информационной безопасности.
5.2.Для эффективного построения и своевременного совершенствования системы обеспечения информационной безопасности используется Цикл Шухарта-Деминга (цикл РОСА) «планирование-действие-проверка-корректировка».
5.3.При планировании системы обеспечения информационной безопасности осуществляются:
определение и распределение прав, обязанностей и ответственности персонала;
определение и оценка важности информации, подлежащей защите;
анализ применяемых технологий;
определение угроз информационной безопасности;
* определение и оценка негативных последствий, поступающих в результате реализации у i роз информационной безопасности;
- выбор защитных мер. противодействующих реализации угроз безопасности информации и минимизирующих возможные негативные последствии в случае их реализации;
оценка влияния защитных мер на деятельность организации;
- оценка затрат на реализацию защитных мер;
- рассмотрение и оценка различных вариантов построения системы обеспечения информационной безопасности;
- выбор конкретной реализации системы обеспечения информационной безопасности.
- В рамках реализации действий по построению и совершенствованию системы обеспечения информационной безопасности осуществляются:
сбор информации о событиях информационной безопасности;
- выявление и анализ инцидентов информационной безопасности;
- расследование инцидентов информационной безопасности:
оперативное реагирование на инцидент информационной безопасности;
- минимизация негативных последствий инцидентов информационной безопасности;
- оперативное доведение до руководства информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по ним;
* выполнение принятых решений по всем инцидентам информационной
безопасное ш и установленные сроки;
- пересмотр применяемых требований, мер и механизмов по обеспечению информационной безопасности по результатам рассмотрения инцидентов информационной безопасности;
- повышение уровня знаний персонала в вопросах обеспечения информационной безопасности;
- контроль доступа в здания и помещения;
- обеспечение зашиты информации от утечки по техническим каналам;
- применение средств защиты информации;
- обеспечение бесперебойной работы систем и сетей связи;
- обеспечение возобновления работы систем и сетей связи после прерываний и нештатных ситуаций;
- обеспечение информационной безопасности на стадиях жизненного цикла информационных систем (проектирование, разработка, приобретение, поставка, ввод в эксплуатацию, сопровождение):
- обеспечение информационной безопасности при использовании доступа в сети общею доступа.
- В целях реализации проверки системы обеспечения информационной безопасности осуществляются:
- контроль правильности реализации защитных мер;
- контроль системы обеспечения информационной безопасности во время эксплуатации;
- контроль изменений конфигурации системы обеспечения информационной безопасности;
- контроль исполнения персоналом требований внутренних нормативных документов по обеспечению информационной безопасности;
- контроль деятельности пользователей информационных систем, направленный на выявление несанкционированной деятельности.
- И целях совершенствования системы обеспечения информационной безопасности осуществляется периодическое, а при необходимости оперативное, уточнение и/или пересмотр выбранных мер обеспечения информационной безопасности.
- Для реализации системы обеспечения информационной безопасности и руководством «ООО КК «Шанталь» назначается ответственное лицо, которое координируем действия подразделения по вопросам информационной безопасности. Ответственное лицо выполняет следующие функции:
- соблюдение действующего законодательства по вопросам информационной безопасности;
- определение необходимых мер обеспечения информационной безопасности:
разработка внутренних нормативных документов по обеспечению
информационной безопасности;
- осуществление контроля актуальности и непротиворечивости внутренних нормативных документов по обеспечению информационной безопасности;
- обучение и контроль персонала по вопросам информационной безопасности;
- планирование и координация внедрения мер обеспечения информационной
безопасности:
выявление и предотвращение угроз информационной безопасности:
- выявление и реагирование на инциденты информационной безопасности;
- мониторинг и оценка эффективности принятых мер обеспечения информационной безопасности.
- информирование руководства и руководителей структурных подразделений об уг розах информационной безопасности,
- Исхода из требований действующего законодательства, результатов проведения внутренней проверки, перечня информации, подлежащих тащите определяется необходимый уровень защищенности информационных систем. На основании анализа актуальных угроз безопасности защищаемой информации, описанных в частной модели угроз, выполняемся заключение о необходимости использования конкретных технических и организационных мер обеспечения безопасности защищаемой информации. Необходимые мероприятия отражаются в плане мероприятии по обеспечению безопасности защищаемой информации.
5.9. Организационные меры обеспечения безопасности защищаемой информации заключаемся в установлении режима ограниченного доступа к защищаемой информации. Состав организационных мер включает:
- утверждение списка лиц, допущенных к работе с защищаемой информацией;
- утверждение прав, обязанностей и ответственности лиц, допущенных к работе с защищаемой информацией;
утверждение списка помещений, в которых разрешено обрабатывать защищаемую информацию;
- утверждение прав разграничения доступа к защищаемой информации;
- утверждение контролируемой зоны;
утверждение нормативных документов регламентирующих правила обработки
защищаемой информации;
- планирование мероприятий по защите информации.
5.10. И зависимости от класса информационной системы и актуальных угроз, технические меры обеспечения информационной безопасности могут включать в себя следующие подсистемы:
- идентификации и аутентификации субъектов доступа и объектов доступа:
- управления доступом субъектов доступа к объектам доступа;
ограничения программной среды:
- защиты машинных носителей информации;
- регистрации событий безопасности;
- антивирусной защиты;
- обнаружения вторжений;
- контроля и анализа защищенности:
- обеспечения целостности;
- обеспечения доступности;
- защиты среды виртуализации:
- защиты технических средств;
- защита информационной системы, се средств, систем связи и передачи данных:
- выявления инцидентов информационной безопасности:
- управления конфигурацией информационной системы и системы зашиты;
* криптографической защиты,
5.11 Требования к подсистемам системы обеспечения информационной безопасности устанавливаются нормативными актами федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической заишI ы информации.
5.12 Список конкретных используемых технических средств фиксируется документально и должен поддерживаться в актуальном состоянии. При изменении состава технических средств зашиты или элементов информационных систем, соответствующие изменения должны быть внесены и утверждены рисоводством ООО КК «Шанталь».
- 6. Классификации персонала, участвующего в обработке защищаемой информации
6.1 В зависимости от выполняемых должностных обязанностей можно выделить следующие группы персонала, участвующих в обработке защищаемой информации:
* разработчики информационных систем
- администраторы информационных систем;
- администратора безопасности информационных систем:
- операторы информационных систем;
- специалисты сервисного обслуживания оборудования информационных систем.
6.2 Администраторы информационных систем сотрудники, ответственные за
настройку, внедрение и сопровождение информационных систем. Обеспечивают
функционирование подсистемы управления доступом и уполномочены осуществлять предоставление и разграничение доступа конечного пользователя (оператора) к элементам, обрабатывающим защищаемую информацию. Администраторы обладают следующим уровнем доступа знаний:
обладает полной информацией о системном и прикладном программном
обеспечении информационных систем:
- обладает полной информацией о технических средствах и конфигурации информационных систем:
имеет доступ ко всем техническим средствам обработки информации и данным и информационных систем;
- обладает правами конфигурирования и административной настройки технических средств информационных систем.
6.3 Администраторы безопасности — сотрудники, ответственные за функционирование системы зашиты информации. Администраторы безопасности обладает следующим уровнем доступа и знаний:
- обладает правами Администратора в объеме необходимо для выполнения своих должностных обязанностей:
- обладает полной информацией об информационных системах;
- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационных систем;
- не имеет прав доступа к конфигурированию технических средств за исключением контрольных (инспекционных).
Администраторы безопасности уполномочены:
- реализовывать политики безопасности в части настройки подсистем системы защиты информации:
- осуществлять аудит системы защиты информации;
- устанавливать доверительные отношения между информационными системами.
Операторы информационных систем — сотрудники, осуществляющие обработку защищаемой информации.. Оператор не имеет полномочий для управления подсистемами информационных систем и системы защиты информации.
- опадают следующим уровнем доступа и знаний:
- обладает всеми необходимыми атрибутами, обеспечивающими доступ к некоторому подмножеству защищаемой информации;
- располагает защищаемой информацией, к которой имеет доступ.
6..5. Специалисты сервисного обслуживания оборудования информационных систем – сотрудники, осуществляющие обслуживание и настройку оборудования информационных систем. Технический специалист по обслуживанию не имеет доступа к защищаемой информации, не имеет полномочий для управления подсистемами информационных систем и системы защиты информации.
Специалисты сервисного обслуживания оборудования информационных систем обладают следующим уровнем доступа и знаний;
- обладает частью информации о системном и прикладном программном обеспечении информационных систем;
- обладает частью информации о технических средствах и конфигурации информационных систем;
6.6. Разработчики информационных систем поставщики прикладною программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте, могут быть как штатными сотрудниками, гак и представителями сторонних организаций.
Разработчики информационных систем обладают следующим уровнем доступа и знаний;
- обладает информацией об алгоритмах и программной реализации обработки информационных системах:
- обитает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение информационных
гнетем па стадии ее разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии и технических средствах обработки и защиты информации, обрабатываемых в информационных системах,
Разработчики информационных систем работают на договорной основе, полому в .договор должен быть внесем пункт об обеспечении безопасности информации в разрабатываемых информационных системах, об ответственности разработчика в случаи обнаружения недекларируемых возможностей в разработанной информационной систем или в случаи возникновения инцидента информационной безопасности, возникшего по вине разработчика информационной системы
- Требования к персоналу
7.1 Вес сотрудники, имеющие право доступа к защищаемой информации, должны чет ко шить и строго выполнять установленные правила доступа к защищаемой информации и соблюдению принятого режима безопасности защищаемой информации.
7.2.При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования но защите информации, а также обучение навыкам выполнения процедур, необходимых для санкцноиированпо1 и использования информационных систем.
7.3 Сотрудник должен быть ознакомлен с требованиями действующего законодательства, настоя щей Политики и утвержденных локальных нормативных актов.
7.4. Сотрудники должны следовать установленным процедурам поддержании режима безопасности информации.
7.5 Сотрудники должны обеспечивать надлежащую защиту оборудования оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица.
7.6. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а гак же записывать на
них защищаемую информацию.
7.7. Сотрудникам запрещается разглашать третьим лицам защищаемую информацию.
7.8. При работе с защищаемой информацией сотрудники обязаны обеспечить отсутствии возможности просмотра защищаемой информации третьими лицами.
7.9 При завершен пи работы с информационными системами сотрудники обязаны ограничить доступ к информационным системам с помощью блокировки или эквивалентного средства
контроля.
7.10 .Сотрудники должны быть проинформированы об угрозах нарушения режима безопасное и защищаемой информации и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий па сотрудников, которые нарушили принятые политику и процедуры безопасности защищаемой информации.
7.11. Сотрудники обязаны без промедления сообщал, обо всех наблюдаемых или подозрительных случаях работы информационных систем, способных повлечь за собой реализацию угрозы безопасности защищаемой информации, а также о выявленных ими инцидентах информационной безопасности руководству подразделения и ответственному лицу.
8.Ответственность за соблюдение положений Политики
Ответственность персонала за невыполнение настоящей Политики определяется в соответствующих пунктах, включаемых в трудовые договоры и/или должностные инструкции, а также положениями внутренних нормативных документов.
9.Заключительные положения
9.1. Требования настоящей Политики могут развиваться другим внутренними норма тайными документами, которые дополняют и уточняют ее.
9.2.И случае изменения действующего законодательства и иных нормативных актов настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам.
9.3. Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе.
- периодическое внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 3 года;
- внеплановое внесение изменений в настоящую Политику может производиться, но результатам анализа защищенности информационных систем или изменении действующего законодательства и локальных нормативных актов,
9.4. Ответственным за внесение изменений в настоящую Поли тку является лицо ответственное за организацию работ но обеспечению информационном безопасности.