Политика информационной безопасности Территориального фонда обязательного медицинского страхования Новгородской области

150-АХВ от 21.05.2021

Скачать (39.5 Кб)

Приложение

к приказу ТФОМС НО

от 21.05.2021 №150-АХВ

Политика информационной безопасности

Территориального фонда обязательного медицинского страхования Новгородской области

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Политика информационной безопасности Территориального фонда обязательного медицинского страхования Новгородской области (далее – Политика) является официальным документом Территориального фонда обязательного медицинского страхования Новгородской области (далее – ТФОМС НО), в котором изложены основные цели и направления деятельности ТФОМС НО в области обеспечения информационной безопасности (далее – ИБ) в отношении обработки всех персональных данных (далее - ПДн) в ТФОМС НО.

1.2 Уровень организации и обеспечения ИБ должен соответствовать деятельности ТФОМС НО и обеспечивать достижение поставленных целей и задач.

1.3 Безопасность информации достигается путём исключения несанкционированного доступа к информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации.

1.4 Настоящая Политика определяет подходы к обеспечению ИБ, методы защиты информации, обрабатываемой в ТФОМС НО, которые в совокупности позволяют свести к минимуму ущерб от возможной реализации всех видов угроз ИБ.

1.5 Все работники ТФОМС НО, имеющие доступ к информационным ресурсам ТФОМС НО, содержащим ПДн, должны быть ознакомлены с настоящей Политикой под роспись и обязаны выполнять требования настоящей Политики.

1.6 Политика действует в отношении всех ПДн, которые обрабатывает ТФОМС НО.

1.7 Обеспечение ИБ – это комплексный и непрерывный процесс, который распространяется на всю инфраструктуру ТФОМС НО и подлежит постоянному контролю, регулярному анализу и усовершенствованию.

1.8 Политика является общедоступным документом, декларирующим основы деятельности ТФОМС НО при обработке ПДн, и подлежит опубликованию на официальном сайте ТФОМС НО в информационно-телекоммуникационной сети «Интернет».

1.9 Настоящая Политика разработана в соответствии с:

- Трудовым кодексом РФ;

- Налоговым кодексом РФ;

- Федеральным законом РФ от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных»;

- Федеральным законом РФ от 29 ноября 2010 года №326-ФЗ «Об обязательном медицинском страховании в РФ»;

- постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- приказом Федеральной службы по техническому и экспортному контролю РФ от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

- приказом Федеральной службы по техническому и экспортному контролю РФ от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- приказом Федеральной службы безопасности РФ от 10.07.2014 №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности»;

- приказом Министерства здравоохранения и социального развития РФ от 25.01.2011 №29н «Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования».

2. ЦЕЛЬ ПОЛИТИКИ
Основными целями настоящей Политики являются:

- защита ПДн субъектов информационных отношений ТФОМС НО от возможного нанесения им материального, физического, морального или иного ущерба;

- обеспечение безопасности информации при ее обработке в информационных системах (далее - ИС) ТФОМС НО от всех видов угроз: внешних и внутренних, умышленных и не преднамеренных;

- минимизация ущерба от возможной реализации угроз.

3. ЗАДАЧИ ПОЛИТИКИ
Задачами настоящей Политики являются:

- своевременное выявление, оценка и прогнозирование потенциальных угроз ИБ;

- создание условий для локализации ущерба, минимизация негативного влияния и своевременной и эффективной ликвидации последствий нарушения ИБ;

- определение и распределение функциональных обязанностей, а также ответственности работников ТФОМС НО по обеспечению ИБ;

- защита ПДн работников ТФОМС НО;

- защита ПДн застрахованных лиц.

4. ОБЪЕКТЫ ЗАЩИТЫ
Защите подлежат:

- информационные ресурсы, в том числе обрабатываемая информация ограниченного доступа, содержащая ПДн;

- объекты и помещения, в которых размещены работники и программно-технические средства для обработки информации;

- программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);

- информационная инфраструктура, включающая средства и системы обработки и анализа информации, технические и программные средства ее обработки, передачи, копирования и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации;

- процессы обработки ПДн в ИСПДн ТФОМС, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации.

5. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Защита информации в ТФОМС НО строится на основе следующих принципов:

- законность – любые действия, предпринимаемые для обеспечения ИБ, осуществляются на основе действующего законодательства РФ;

- взаимодействие и координация – меры ИБ реализуются на основе четкой взаимосвязи между отделами ТФОМС НО, координации их усилий для достижения поставленных целей;

- осведомленность – работники ТФОМС НО должны быть осведомлены о требованиях по обеспечению ИБ в объеме, требуемом для выполнения их обязанностей;

- непрерывность процесса защиты информации – обеспечение ИБ должно представлять собой непрерывный процесс;

- приоритет мер предупреждения – защита информации в ТФОМС НО должна быть ориентирована на профилактику и своевременное выявление предпосылок возникновения и реализации угроз ИБ.

6. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ
Нормативно-методическое обеспечение ИБ предполагает создание локальных актов ТФОМС НО в области ИБ. Для этого разрабатываются и вводятся в действие локальные акты, обеспечивающие процесс эксплуатации мер защиты информации, который актуализируется по необходимости.

Локальные акты, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ (инструкции, регламенты), должны детализировать положения настоящей Политики и не противоречить им.

7. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Для реализации, эксплуатации, контроля и поддержания на необходимом уровне обеспечения ИБ, в ТФОМС НО реализуются следующие процессы управления ИБ:

- управление рисками ИБ: оценка риска, выбор методов воздействия на риск, мониторинг и пересмотр рисков, поддержка и улучшение средств управления рисками;

- управление документацией и записями, относящимися к процессам обеспечения ИБ: разработка и пересмотр локальных актов по обеспечению ИБ ТФОМС НО должны проводиться на основе действующего законодательства РФ; локальные акты утверждаются приказом ТФОМС НО;

- повышение осведомленности в области обеспечения ИБ: в ТФОМС НО должна проводится регулярная, непрерывная работа на протяжении всей трудовой деятельности работников ТФОМС НО по повышению компетенции в вопросах обеспечения ИБ (необходимые мероприятия проверки потенциальных работников при приеме на работу, определение и обеспечение требуемого уровня осведомленности в области ИБ, контроль знаний и навыков в области обеспечения ИБ);

- мероприятия контроля в области обеспечения ИБ: применяются с целью изучения и оценки фактического состояния ИБ, выявления недостатков и нарушений установленного порядка обеспечения ИБ, установления причин таких недостатков и нарушений, а также выработки предложений, направленных на их устранение и предотвращение;

- анализ функционирования и обеспечения ИБ: включает мероприятия по оценке эффективности и выработке решений по совершенствованию мер ИБ, оценку возможностей для совершенствования и необходимость внесения изменений, мероприятия по сбору информации, анализу собранной информации и принятию решений о необходимости совершенствования мер ИБ.

8. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Совокупность защитных мер и процессов эксплуатации ИС должны обеспечивать установленный уровень ИБ в условиях штатного функционирования, а также в условиях предполагаемой реализации угроз. В ТФОМС НО должны быть сформированы, задокументированы и реализованы следующие необходимые процессы управления:

- обеспечение ИБ при назначении и распределении ролей между пользователями;

- обеспечение ИБ автоматизированных систем на всех стадиях жизненного цикла;

- обеспечение ИБ при управлении доступом и регистрации пользователей и автоматизированных систем;

- обеспечение ИБ средствами антивирусной защиты;

- обеспечение ИБ при использовании средств криптографической защиты;

- обнаружение и реагирование на инциденты ИБ;

- обеспечение непрерывности деятельности, а также оперативного восстановления после прерываний;

- мониторинг и контроль внедренных защитных мер.

9. КОНТРОЛЬ ЭФФЕКТИВНОСТИ СОСТОЯНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
Контроль эффективности состояния защиты информации должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы средств защиты информации (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так же прогнозирование и превентивное реагирование на новые угрозы безопасности.

Контроль может проводиться как администратором безопасности информации (оперативный контроль в процессе информационного взаимодействия в ИСПДн), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и ФСБ России в пределах их компетенции.

Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты, так и с помощью специальных программных средств контроля.

Оценка эффективности мер защиты проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

10. ОЖИДАЕМЫЙ ЭФФЕКТ ОТ РЕАЛИЗАЦИИ ПОЛИТИКИ
Реализация настоящей Политики позволит:

- оценить состояние безопасности информации, выявить источники внутренних и внешних угроз ИБ, определить приоритетные направления предотвращения, отражения и нейтрализации этих угроз;

- разработать распорядительные и нормативно-методические документы применительно к ИСПДн;

- провести классификацию и аттестацию (переаттестацию) ИСПДн;

- провести организационно-режимные и технические мероприятия по обеспечению безопасности ПДн в ИСПДн;

- обеспечить необходимый уровень безопасности объектов защиты.

Осуществление этих мероприятий обеспечит создание единой, целостной и скоординированной системы ИБ и создаст условия для ее дальнейшего совершенствования.

11. ОРГАНИЗАЦИОННАЯ ОСНОВА ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Отдел ИБ осуществляет контроль выполнения требований ИБ в ТФОМС НО.

Приказы и иные локальные акты по вопросам обеспечения ИБ обязательны для исполнения всеми работниками ТФОМС НО.

Работники ТФОМС НО несут персональную ответственность за не обеспечение безопасности обрабатываемой информации и нарушение требований ИБ, которые предусмотрены настоящей Политикой и локальными актами по ИБ ТФОМС НО.

Лица, нарушившие требования настоящей Политики и локальных актов, правил, и других нормативных документов в области ИБ, поддерживающих настоящую Политику, несут ответственность в соответствии с действующим законодательством РФ.

Политика вступает в силу с момента ее утверждения директором ТФОМС НО.