Горячая линия

8 (394) 222-05-82
8 (394) 222-07-05

Версия для
слабовидящих
Подать обращение
 

Политика информационной безопасности

Прослушать

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Область применения

Настоящая Политика информационной безопасности (далее – Политика) в Федеральном казенном учреждении «Главное бюро медико-социальной экспертизы по Республике Тыва» Министерства труда и социальной защиты Российской Федерации  (далее – Учреждение) является документом, закрепляющим основные цели, задачи и принципы организации системы обеспечения информационной безопасности.

Документ описывает цели и задачи информационной безопасности, определяет совокупность правил, требований и принципов работы в области информационной безопасности, которыми руководствуется Учреждение в своей деятельности.

Требования настоящего документа обязательны для выполнения всеми сотрудниками Учреждения.

Политика разработана в соответствии с действующим законодательством в области обеспечения безопасности информации и обеспечения безопасности персональных данных.

 Нормативные ссылки

В настоящей Политике использованы ссылки на следующие локальные нормативные акты:

Положение  по физической охране, контролю доступа в помещения;

Положение о комиссии по вопросам информационной безопасности;

Положение об обработке персональных данных;

Инструкция по организации антивирусной защиты;

Инструкция по учету машинных носителей информации, регистрации и их выдачи;

Инструкция по организации парольной защиты;

Инструкция по разграничению прав доступа и ролей в ИСПДн;

Инструкця пользователя информационной системы персональных данных;

Инструкция о порядке работы с персональными данными;

 Термины и определения

В настоящей Политике применены следующие термины с соответствующими определениями:

актив – что-либо, что имеет ценность для Учреждения;

анализ риска – систематическое использование информации для выявления источников и для оценки степени риска;

доступность – обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости;

защита информации – сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность;

конфиденциальность – обеспечение доступа к информации только авторизованным пользователям;

оценка риска – целостный процесс анализа риска и оценки значительности риска;

риск – комбинация вероятности события и его последствий;

средства обработки информации – любая система, служба или инфраструктура обработки информации, или фактическое месторасположение, где они находятся;

средство управления – средства управления рисками, включая политику, процедуры, руководящие принципы, практики или организационные структуры, которые могут носить административный, технический, управленческий или юридический характер;

третья сторона – лицо или организация, которые признаются независимыми от вовлеченных сторон в том, что касается рассматриваемой проблемы;

угроза – возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации;

целостность – обеспечение достоверности и полноты информации и методов ее обработки.

 Общие положения

Настоящая Политика разработана с целью:

информирования сотрудников Учреждения об осуществляемой деятельности в сфере обеспечения информационной безопасности;

формирования основ соответствия деятельности Учреждения действующему законодательству в области обеспечения информационной безопасности, в том числе персональных данных;

защиты интересов при обеспечении должного уровня безопасности активов Учреждения.

Положения и требования Политики распространяются на всю деятельность Учреждения, основных разработчиков и исполнителей, которые участвуют в разработке, создании, развертывании, вводе в эксплуатацию информационной системы, в части, их касающейся.

Положения и требования Политики могут быть распространены (по согласованию) также на другие предприятия, учреждения и организации, осуществляющие информационное взаимодействие в качестве поставщиков и потребителей (пользователей) информации.

Под информационной безопасностью информационной системы понимается состояние защищенности информационной среды (информации, информационных ресурсов, фондов и информационных систем, баз данных), при которой её формирование, использование, развитие и информационный обмен обеспечивается защитой информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования.

Политика является методологической основой для:

разработки подсистемы информационной безопасности при доступе к информации, реализуемой на объектах информатизации с ограниченным доступом, в виде комплексной системы защиты информации от несанкционированного доступа;

разработки защищенного электронного документооборота, с использованием средств криптографической защиты информации, развертывания системы удостоверяющих центров, применения электронной цифровой подписи и частных виртуальных сетей обмена защищаемой информации;

разработки конкретных нормативных документов и мероприятий, регламентирующих деятельность в области обеспечения информационной безопасности;

реализации прав граждан, Учреждения на получение, распространение и использование информации.

 Цели политики информационной безопасности

Основными целями политики информационной безопасности является:

Понимание и обработка стратегических и оперативных рисков для информационной безопасности, приемлемых для Учреждения.

Защита конфиденциальности информации о субъектах персональных данных.

Сохранение целостности материалов бухгалтерского учета.

Соответствие общих веб-сервисов и внутренних сетей соответствующим стандартам и требованиям.

 Принципы информационной безопасности

Система информационной безопасности строится на базе использования следующих основных принципов:

Учреждение способствует принятию рисков и преодолевает риски, которые невозможно преодолеть при консервативном управлении, при условии понимания, мониторинга и обработки рисков для информации при необходимости.

Весь персонал Учреждения в обязательном порядке информируется о требованиях информационной безопасности и ответственен за информационную безопасность в отношении своих должностных обязанностей.

Учреждение принимает необходимые меры для финансирования средств управления информационной безопасностью и процессов управления проектами.

Возможности мошенничества и злоупотреблений в области информационных систем принимаются в расчет при общем управлении информационными системами.

Отчеты о состоянии информационной безопасности являются доступными.

Учреждение отслеживает риски для информационной безопасности и предпринимает действия, когда изменения приводят к возникновению непредвиденных рисков.

Ситуации, которые могут привести Учреждение к нарушению законов и установленных норм, не должны допускаться.

Анализ политики информационной безопасности

Политика информационной безопасности анализируется через запланированные промежутки времени или в случае возникновения значительных изменений, с целью обеспечить ее продолжающееся соответствие, адекватность и результативность.

Анализ политики информационной безопасности включает в себя оценивание возможностей для улучшения организационной политики в области защиты информации и подход к управлению защитой информации в ответ на изменения в организационном окружении, деловых обстоятельствах, юридических условиях или в технической среде.

Анализ политики в области защиты учитывает результаты анализа со стороны руководства. Определяются процедуры анализа со стороны руководства, включая график или период анализа.

Входные данные для анализа со стороны руководства должны включать информацию по следующим вопросам:

обратная реакция заинтересованных сторон;

результаты независимых анализов, в соответствии с Положением об организации обеспечения информационной безопасности;

статус предупреждающих и корректирующих действий, в соответствии с Положением об организации обеспечения информационной безопасности;

результаты предыдущего анализа со стороны руководства;

выполнение процессов и соответствие политике в области защиты информации;

изменения, которые могут повлиять на подход Учреждения к управлению защитой информации, включая изменения в организационном окружении, деловых обстоятельствах, доступности ресурсов, договорных, нормативных и юридических условиях или в технической среде;

тенденции, связанные с угрозами и слабыми местами;

полномочные инциденты в системе защиты информации;

рекомендации, предоставленные соответствующими органами.

Выходные данные для анализа со стороны руководства включают любые решения и действия, касающиеся следующего:

улучшение подхода организации к управлению защитой информации и ее процессами;

улучшение целей и средств управления;

улучшение в распределении ресурсов и/или обязанностей.

 Документы, дополняющие политику информационной безопасности

Система управления  информационной безопасностью включает:

настоящую Политику;

Положение о пропускном режиме, охране и порядке нахождения в здании ФКУ «ГБ МСЭ по Республике Тыва» Минтруда России

Положение о порядке обработки персональных данных субъектов ФКУ «ГБ МСЭ по Республике Тыва» Минтруда России;

Инструкцию по проведению антивирусного контроля;

Инструкция по организации учета, использования и уничтожения машинных носителей данных, предназначенных для обработки и хранения конфиденциальной информации;

Инструкцию по организации парольной защиты;

Инструкция по разграничению доступа пользователей к средствам защиты и информационным ресурсам;

Инструкцию пользователя информационной системы персональных данных;

Инструкцию о порядке работы с персональными данными;