Приложение 1. Политика информационной безопасности МГФОМС. Приказ Территориального фонда обязательного медицинского страхования г. Москвы от 28.12.2016 N 476 "Об утверждении Политики информационной безопасности МГФОМС"

Приложение 1
к приказу
от 28.12.2016 г. N 476

Политика информационной безопасности МГФОМС

1 Перечень принятых сокращений и определений

Сокращение	Расшифровка
АИС	Автоматизированная информационная система
МГФОМС	Московский городской фонд обязательного медицинского страхования
ОМС	Обязательное медицинское страхование
ОБПД	Отдел безопасности персональных данных
УИО	Управление информационного обеспечения системы ОМС

Активы организации

Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.[8] ^*

Примечание. К активам организации могут относиться:

- информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и другая) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

- ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и другие);

- процессы (технологические, информационные и другие);

- предоставляемые (оказываемые) услуги в рамках ОМС.

Доступ к информации

Возможность получения информации и ее использования. [4]

Документированная информация

Зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. [4]

Жизненный цикл автоматизированных систем

Стадии, охватывающие различные состояния автоматизированной системы, начиная с момента возникновения необходимости в такой системе и заканчивая ее полным выводом из эксплуатации.

Информация

Сведения (сообщения, данные) независимо от формы их представления. [4]

Информационная безопасность

Состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. [8]

Информация ограниченного доступа

Информация, доступ к которой ограничен федеральными законами. [4]

Информация, составляющая коммерческую тайну

Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. [5]

Инцидент информационной безопасности

Событие или комбинация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности.

Конфиденциальность информации

Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. [4]

Коммерческая тайна

Режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. [5]

Обладатель информации

Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. [4]

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). [7]

Предоставление информации

Действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. [4]

Пользователь

Участники системы ОМС (медицинские организации, страховые медицинские организации), организации Участники организационно-технического обеспечения эксплуатации АИСОМС и иные подрядные организации, имеющие санкционированный доступ к активам МГФОМС.

Распространение информации

Действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. [4]

Работник

Физическое лицо, вступившее в трудовые отношения с работодателем. [2]

Тайна страхования

Полученные в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. [1]

Требования информационной безопасности

Правила, условия в области обеспечения информационной безопасности, обязательные для выполнения.

Штатное функционирование

Функционирование автоматизированной системы, программного обеспечения, процесса, предусмотренные эксплуатационной и организационно распорядительной документаций.

2. Общие положения

2.1. Настоящая "Политика информационной безопасности МГФОМС" (далее - Политика) является официальным документом МГФОМС, в котором изложены основные цели и направления деятельности МГФОМС в области обеспечения информационной безопасности.

2.2. Уровень организации и обеспечения информационной безопасности должен соответствовать деятельности МГФОМС и обеспечивать достижение поставленных перед ним целей и задач.

2.3. Безопасность информации достигается путем исключения несанкционированного, в том числе случайного, доступа к информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации, а также иных действий, не соответствующих принятым в МГФОМС процессам обработки информации.

2.4. Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей АИС. Для этого необходимо регулярно выполнять мероприятия направленные на своевременное обнаружение и локализацию угроз безопасности информации, предотвращение преднамеренных или случайных несанкционированных действий и/или уничтожения информации.

2.5. Настоящая Политика определяет подходы к обеспечению информационной безопасности, методы защиты информации, обрабатываемой в МГФОМС, которые в совокупности позволяют свести к минимуму ущерб от возможной реализации всех видов угроз безопасности информации доступ, к которой ограничен в соответствии с законодательством Российской Федерации.

2.6. Все пользователи и работники МГФОМС, имеющие доступ к информационным ресурсам МГФОМС (далее - ИР), должны быть ознакомлены с настоящей Политикой, под роспись.

2.7. Все пользователи ИР обязаны выполнять требования настоящей Политики, и иных организационных распорядительных документов и организационно-технических требований по защите информации, а также законов и подзаконных актов, действующих на территории Российской Федерации, регламентирующих порядок организации безопасной обработки защищаемой информации (далее - информации ограниченного доступа).

2.8. Обеспечение информационной безопасности - это комплексный и непрерывный процесс, который распространяется на всю инфраструктуру МГФОМС и подлежит постоянному контролю, регулярному анализу и усовершенствованию (развитию).

2.9. МГФОМС постоянно совершенствует систему защиты информации в соответствии с требованиями законодательства Российской Федерации, стандартов и рекомендаций в области информационной безопасности.

2.10. При разработке документа использовались нормативные правовые акты, перечень которых приведен в Таблице 1.

Таблица. 1 Перечень используемых законодательных и нормативных правовых актов

N п\п	Наименование документа
1	Гражданский кодекс Российской Федерации (часть вторая)
2	Трудовой кодекс Российской Федерации
3	Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации"
4	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
5	Федеральный закон от 29.07.2004 N 98-ФЗ "О коммерческой тайне"
6	Указ Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера"
7	Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
8	ГОСТ Р 53114-2008. "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения"

3. Цель политики

3.1. Целью настоящей Политики является обеспечение безопасности информации при ее обработке в АИС ОМС от всех видов угроз, внешних и внутренних, умышленных и не преднамеренных, минимизация ущерба от возможной реализации угроз.

3.2. Цели достигаются путем установления надлежащего уровня организации и обеспечения информационной безопасности от всех видов угроз, включающего:

- защитные меры, минимизирующие риски информационной безопасности;

- обеспечение непрерывности деятельности МГФОМС;

- предотвращение инцидентов информационной безопасности;

- меры по защите информации ограниченного доступа в соответствии с федеральным законодательством Российской Федерации, подзаконными актами, нормативными документами и локальными нормативными актами, регламентирующими вопросы обеспечения информационной безопасности.

3.3. Безопасность информации достигается путем исключения несанкционированного, в том числе случайного, доступа к информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение информации, а также иных несанкционированных действий.

4. Задачи политики

4.1. Задачами настоящей Политики являются:

- своевременное выявление, оценка и прогнозирование потенциальных угроз информационной безопасности;

- создание условий для локализации ущерба, минимизация негативного влияния и своевременной и эффективной ликвидации последствий нарушения информационной безопасности;

- определение и распределение функциональных обязанностей пользователей, а также ответственности по обеспечению информационной безопасности.

5. Активы, подлежащие защите

5.1. Защите подлежат активы МГФОМС:

- процессы управление функционированием АИС ОМС;

- работники, информационные ресурсы, в том числе обрабатываемая информация ограниченного доступа;

- помещения, в которых размещены пользователи АИС и программно-технические средства обработки информации ЦАПК АИС ОМС;

- программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);

- средства и системы хранения, обработки, передачи информации (вычислительные системы, сети и каналы связи, технические средства передачи информации, средства копирования и отображения информации, вспомогательные технические средства и системы, средства защиты информации).

5.2. МГФОМС располагает различными типами информации, каждая из которых представляет определенную ценность:

Тип информации	Расшифровка	Нормативная ссылка
Персональные данные	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)	п. 1) ч. 1 ст. 3 [7]
Информация ограниченного доступа	Информация, доступ к которой ограничен федеральными законами	ч. 2 ст. 5 [4] ч. 6 ст. 44 [3]
Информация, составляющая коммерческую тайну	Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны	п. 2) ч. 1 ст. 3 [5]
Информация, составляющая тайну страхования	Полученные в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц	ст. 946 [1]

5.3. Типы информации и требования к мерам обеспечения их безопасности определяются в соответствии с "Положением об информации ограниченного доступа" и "Перечнем сведений конфиденциального характера".

5.4. Информация, принадлежащая как МГФОМС, так и его контрагентам, является защищаемым активом МГФОМС. Защита этой информации является обязанностью каждого пользователя, задействованного в деятельности МГФОМС.

6. Принципы обеспечения информационной безопасности

Защита информации в МГФОМС строится на основе следующих принципов:

6.1. Законность - любые действия, предпринимаемые для обеспечения информационной безопасности, осуществляются на основе действующего законодательства Российской Федерации.

6.2. Взаимодействие и координация - меры информационной безопасности реализуются на основе четкой взаимосвязи структурных подразделений МГФОМС, координации их усилий для достижения поставленных целей.

6.3. Осведомленность. Пользователи МГФОМС должны быть осведомлены о требованиях по обеспечению информационной безопасности в объеме, требуемом для выполнения их обязанностей.

6.4. Непрерывность процесса защиты информации. Обеспечение информационной безопасности должно представлять собой непрерывный процесс.

6.5. Приоритет мер предупреждения. Защита информации в МГФОМС должна быть ориентирована на профилактику и своевременное выявление предпосылок возникновения и реализации угроз информационной безопасности.

7. Нормативно-методическое обеспечение

7.1. Нормативно-методическое обеспечение информационной безопасности предполагает создание локальных актов МГФОМС в области информационной безопасности. Для этого разрабатывается и вводится в действие документальный комплекс локальных актов, обеспечивающих процесс эксплуатации мер защиты информации (актуализируется по необходимости).

7.2. Настоящая Политика является документом первого уровня, положения которого дополняются документами второго, третьего и четвертого уровней.

7.3. К документам второго уровня МГФОМС относятся другие политики, положения и регламенты, определяющие частные подходы и принципы к обеспечению информационной безопасности.

7.4. К документам третьего уровня МГФОМС относятся инструкции, методические указания и организационно-технические требования, разъясняющие положения документов второго уровней и определяющие конкретные действия пользователей по обеспечению и соблюдению информационной безопасности.

7.5. К документам четвертого уровня относятся свидетельства реализации процессов обеспечения информационной безопасности: различные формы заявок, журналов регистрации, реестров, актов, протоколов, отчетов и т.п., необходимые для выполнения требований и положений документов второго и третьего уровней.

7.6. Локальные акты, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением информационной безопасности (регламенты, инструкции), должны детализировать положения настоящей Политики, частных политик информационной безопасности и не противоречить им.

8. Управление информационной безопасностью

8.1. Для реализации, эксплуатации, контроля и поддержания на необходимом уровне обеспечения информационной безопасности, в МГФОМС реализуются следующие процессы управления информационной безопасностью:

8.2. Управление рисками информационной безопасности.

Управление рисками направлено на выработку сбалансированного решения с точки зрения организационно-технических мероприятий по обеспечению информационной безопасности от актуальных угроз информационной безопасности и должно включать следующие мероприятия:

- оценка риска, в том числе определение подхода к оценке рисков;

- выбор методов воздействия на риск;

- мониторинг и пересмотр рисков;

- поддержка и улучшение средств управления рисками.

8.3. Управление документацией и записями, относящимися к процессам обеспечения информационной безопасности.

Разработка и пересмотр локальных актов по обеспечению информационной безопасности МГФОМС должны проводиться на основе действующего законодательства Российской Федерации, нормативных актов ФСТЭК России, ФСБ России, надзорных органов и иных локальных актов МГФОМС.

Локальные акты, направленные на обеспечение и соблюдение информационной безопасности разрабатываются, и принимается для исполнения (использования в повседневной работе) должностными лицами самостоятельных структурных подразделений МГФОМС, порядка взаимодействия между ними (пользователями), в целях регулирования вопросов обеспечения информационной безопасности и иных вопросов организации деятельности в области обеспечения информационной безопасности, в МГФОМС.

Внедрение локальных актов производится по распоряжению директора, по представлению ответственного за организацию и обеспечение информационной безопасности (организацию обработки персональных данных), в целях обеспечения выполнения требований, предусмотренных федеральными законами и принятыми в соответствии с ними нормативными правовыми актами, направленными на обеспечение защиты информации.

8.4. Повышение осведомленности в области обеспечения информационной безопасности.

В МГФОМС должна проводиться регулярная, непрерывная работа на протяжении всей трудовой деятельности работников МГФОМС по повышению компетенции в вопросах обеспечения информационной безопасности, включая:

- необходимые мероприятия проверки потенциальных работников при приеме на работу;

- определение и обеспечение требуемого уровня осведомленности в области обеспечения информационной безопасности;

- контроль знаний и навыков в области обеспечения информационной безопасности.

8.5. Мероприятия контроля в области обеспечения информационной безопасности.

Мероприятия контроля в области обеспечения информационной безопасности применяются с целью изучения и оценки фактического состояния информационной безопасности, выявления недостатков и нарушений установленного порядка обеспечения информационной безопасности, установления причин таких недостатков и нарушений, а также выработки предложений, направленных на их устранение и предотвращение.

8.6. Анализ функционирования и обеспечения информационной безопасности.

Анализ функционирования и обеспечения информационной безопасности включает мероприятия по оценке эффективности и выработке решений по совершенствованию мер информационной безопасности, оценку возможностей для совершенствования и необходимость внесения изменений, мероприятия по сбору информации, анализу собранной информации и принятию решений о необходимости совершенствования мер информационной безопасности.

9. Обеспечение информационной безопасности

9.1. Совокупность защитных мер и процессов эксплуатации АИС ОМС должны обеспечивать установленный уровень информационной безопасности в условиях штатного функционирования, а также в условиях предполагаемой реализации угроз. В МГФОМС должны быть сформированы, задокументированы и реализованы следующие необходимые процессы управления:

- обеспечение информационной безопасности при назначении и распределении ролей между пользователями и повышения уровня доверия к обслуживающему персоналу;

- обеспечение информационной безопасности автоматизированных систем на всех стадиях жизненного цикла;

- обеспечение информационной безопасности при управлении доступом и регистрации пользователей и автоматизированных систем;

- обеспечение информационной безопасности средствами антивирусной защиты;

- обеспечение информационной безопасности при использовании ресурсов сети Интернет;

- обеспечение информационной безопасности при использовании средств криптографической защиты;

- обнаружение и реагирование на инциденты информационной безопасности;

- обеспечение непрерывности деятельности, а также оперативного восстановления после прерываний;

- мониторинг и контроль внедренных защитных мер.

10. Организационная основа деятельности по обеспечению информационной безопасности

10.1. Директор МГФОМС согласовывает все решения в области обеспечения информационной безопасности МГФОМС.

10.2. Централизованное управление, контроль и координацию действий, направленных на обеспечение информационной безопасности МГФОМС, осуществляет УИО.

10.3. ОБПД осуществляет контроль выполнения требований информационной безопасности в МГФОМС.

10.4. Распоряжения УИО по вопросам обеспечения информационной безопасности обязательны для исполнения всеми работниками МГФОМС.

10.5. Руководители самостоятельных структурных подразделений несут ответственность за несоблюдение положений настоящей Политики, локальных актов МГФОМС в области обеспечения безопасности информации при ее обработке в информационных системах МГФОМС, инструкций требований информационной безопасности, в том числе не соблюдение конфиденциальности обрабатываемой информации в подконтрольных им подразделениях.

10.6. Работники МГФОМС, а также пользователи АИС ОМС несут персональную ответственность за не обеспечение безопасности обрабатываемой информации и нарушение требований информационной безопасности, которые предусмотрены настоящей Политикой и локальными актами МГФОМС.

10.7. Лица, нарушившие требования настоящей Политики и локальных актов, стандартов, правил, руководств или процедур, поддерживающих настоящую Политику, несут ответственность в соответствии действующим законодательством Российской Федерации.

11. Пересмотр

11.1. Настоящая Политика пересматривается и совершенствуется на регулярной основе не реже, чем один раз в три года, а также в случаях изменения действующего законодательства Российской Федерации.

------------------------------

[...] ^* - _{ссылка на номер документа в Таблице 1.}