- •Министерство образования и науки российской федерации федеральное государственное автономное образовательное учреждение высшего профессионального образования
- •Обозначения
- •1. Введение
- •1.1. Краткая характеристика предприятия
- •1.2. Оказываемые услуги
- •2. Общие положения политики информационной безопасности
- •3. Описание объектов защиты
- •4. Цели и задачи деятельности по обеспечению информационной безопасности
- •5. Угрозы информационной безопасности
- •6. Модель нарушителя информационной безопасности Учреждения
- •Основные положения по обеспечению информационной безопасности.
- •7.1. Подсистемы управления доступом, регистрации и учета
- •7.2. Подсистема обеспечения целостности и доступности
- •7.3. Подсистема антивирусной защиты
- •7.4. Подсистема межсетевого экранирования
- •7.5. Подсистема анализа защищенности
- •8.2. Администратор безопасности
- •8.3. Оператор арм
- •8.4. Администратор сети
- •8.5. Технический специалист по обслуживанию периферийного оборудования
- •8.6. Программист-разработчик испДн
- •9. Требования к персоналу по обеспечению защиты пДн
- •10. Ответственность сотрудников испДн Учреждения
2. Общие положения политики информационной безопасности
Настоящая политика информационной безопасности (далее - Политика) разработана в соответствии с законодательством Российской Федерации и нормами права в части обеспечения информационной безопасности, в частности:
Трудовой кодекс Российской Федерации от 30 декабря 12.2001 г. № 197-ФЗ (глава 14);
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Настоящая Политика является документом, доступным любому сотруднику фирмы и пользователю ее ресурсов, и представляет собой официально принятую руководством МБУЗ «Поликлиника №1» (далеее - Учреждение) схему обеспечения безопасности информации, и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного изложения целей, процессов и процедур информационной безопасности организации.
Требования информационной безопасности соответствуют интересам (целям) деятельности организации и предназначены для снижения рисков, связанных с информационной безопасностью, до приемлемого уровня. Факторы рисков в информационной сфере составляют значимую часть рабочих процессов, а также имеют отношение и к иным рискам основной и управленческой деятельности предприятия.
Стратегия организации в области обеспечения информационной безопасности и защиты информации наряду с прочим включает выполнение в практической деятельности требований:
российского законодательства в области безопасности, безопасности информационных технологий и защиты информации, безопасности персональных данных
нормативных актов федеральных органов исполнительной власти, уполномоченных в области обеспечения физической безопасности и технической защиты информации и обеспечения информационной безопасности и приватности;
Необходимые требования обеспечения информационной безопасности фирмы должны неукоснительно соблюдаться персоналом и другими сторонами как это определяется положениями внутренних нормативных документов, а также требованиями договоров и соглашений, стороной которых является само предприятие.
Настоящая Политика распространяется на рабочий процесс организации и обязательна для исполнения всеми ее сотрудниками и руководством.
В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Учреждения.