Государственное автономное учреждение здравоохранения
«Стоматологическая поликлиника № 8»

Политика информационной безопасности

Информационные системы персональных данных в ГАУЗ «Стоматологическая поликлиника №8»

Обозначения и сокращения

ИС – информационная система
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
ПДн – персональные данные
СЗИ – средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
УБПДн – угрозы безопасности персональных данных

Введение

Политика информационной безопасности в ГАУЗ «СП №8» (Политика) основана на официальных документах Министерства здравоохранения и социального развития РФ. Строится в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», с использованием «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России от 15.02.2008 г.

Политика учитывает требования к персоналу и степень их ответственности, структуру и необходимый уровень защищенности ПДн.

Политика закрепляет статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности.

Общие положения

Безопасность объектов информатизации достигается противодействием всем видам угроз, внешним и внутренним, умышленным и непреднамеренным, минимизацией ущерба от возможной реализации УБПДн, исключением несанкционированного, в том числе случайного, доступа к объектам защиты. ПДн подлежат защите в контролируемой зоне и при передаче по каналам связи за ее границы.

Область действия

Требования Политики распространяются на всех сотрудников, а также прочих лиц, привлекаемых к исполнению работ связанных с обработкой ПДн.

Система защиты персональных данных

СЗПДн строится на основании регулярных внутренних проверок состава ПДн, соответствия уровня защиты составу ПДн, выявления угроз безопасности. Для достижения необходимого уровня безопасности выполняются плановые обучающие, административные и технические мероприятия. В составе СЗПДн действуют следующие стандартные подсистемы:

  • управления доступом, регистрации и учета;
  • обеспечения целостности и доступности;
  • антивирусной защиты;
  • межсетевого экранирования;
  • анализа защищенности;
  • обнаружения вторжений;
  • криптографической защиты.

Функционал подсистем СЗПДн учитывает класс ИСПДн.

Пользователи ИСПДн

На основании проводимой Политики произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности по обработке. Каждая группа пользователей, получает доступ и информированность в соответствие с компетентностью.

Требования к персоналу по обеспечению защиты ПДн

Все сотрудники, являющиеся пользователями ИСПДн, знают и выполняют установленные правила доступа к защищаемым объектам, соблюдают режим безопасности.

При вступлении в должность нового сотрудника организовано его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн. Проводится обучение навыкам санкционированного использования ИСПДн.

Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами, третьим лицам. При работе с ПДн обеспечивается перекрывание просмотра ПДн третьими лицами.

Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн. По выявленным событиям организуется немедленное реагирование на угрозы безопасности ПДн.

Ответственность пользователей ИСПДн

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Требования нормативных документов по защите информации отражены в должностных инструкциях сотрудников.

 
Оставляя свои персональные данные, Вы даете добровольное согласие на обработку своих персональных данных. Под персональными данными понимается любая информация, относящаяся к Вам, как субъекту персональных данных (ФИО, дата рождения, город проживания, адрес, контактный номер телефона, адрес электронной почты, род занятости и пр). Ваше согласие распространяется на осуществление ГАУЗ «Стоматологическая поликлиника № 8» любых действий в отношении ваших персональных данных, которые могут понадобиться для сбора, систематизации, хранения, уточнения (обновление, изменение), обработки (например, отправки писем или совершения звонков) и т.п. с учетом действующего законодательства. Согласие на обработку персональных данных даётся без ограничения срока, но может быть отозвано Вами (достаточно сообщить об этом в ГАУЗ «Стоматологическая поликлиника № 8»). Пересылая в ГАУЗ «Стоматологическая поликлиника № 8» свои персональные данные, Вы подтверждаете, что с правами и обязанностями в соответствии с Федеральным законом «О персональных данных» ознакомлены.