1.1 Политика информационной безопасности ЗАО «БИОКАД» (далее - Компания) определяет основные цели, направления, задачи и важнейшие принципы деятельности Компании по вопросам защиты информации.
2.1 Политика информационной безопасности затрагивает все виды деятельности Компании, касающиеся сбора, обработки, накопления, хранения, предоставления и распространения информации.
2.2 Предметом настоящей политики являются
2.3 Настоящая Политика распространяется на всех работников Компании, а также лиц, выполняющих работы или оказывающих услуги в интересах Компании на договорной основе или иным образом взаимодействующих с ЗАО «БИОКАД». Соответствующие положения настоящей Политики применяются ко всем информационным сервисам и элементам ИТ-инфраструктуры Компании.
3.1 Настоящая Политика вступает в законную силу с даты утверждения Генеральным директором ЗАО «БИОКАД».
3.2 Изменения и дополнения в настоящую Политику вносятся по инициативе Директора департамента информационной безопасности, Заместителя Генерального директора по информационным технологиям и утверждаются Генеральным Директором ЗАО «БИОКАД».
3.3 Политика пересматривается по мере необходимости, но не реже одного раза в три года, с учетом результатов контроля состояния информационной безопасности и соблюдения Политики информационной безопасности, а также различных изменений, имеющих отношение к информационной безопасности. Необходимость пересмотра Политики информационной безопасности Компании устанавливается Департаментом информационной безопасности на основании:
3.4 Процедура пересмотра Политики информационной безопасности Компании включает:
3.5 В случае вступления отдельных пунктов в противоречие с измененными или новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.
4.1 Информация, составляющая коммерческую тайну (Коммерческая тайна) - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которой Компанией введен режим коммерческой тайны.
4.2 Конфиденциальная информация - информация, доступ к которой ограничен в соответствии с международными правовыми нормами (применимыми для РФ), законодательством РФ, внутренними нормативными документами Компании, а также соглашениями Компании с третьими лицами.
4.3 Конфиденциальность - защищенность Информационного актива от несанкционированного доступа, разглашения и утечки.
4.4 Департамент информационной безопасности (ДИБ) – выделенное подразделение Компании, отвечающий за осуществление мероприятий по информационной безопасности, соблюдение в Компании режима Коммерческой тайны, требований законодательства РФ, а также лучших практик в вопросах сохранности и защиты информации, полученной в процессе деятельности Компании.
4.5 Персональные данные (ПДн) - Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, включая ФИО, паспортные данные, ИНН, дату рождения, место рождения и т.д.
4.6 Политика - Политика информационной безопасности ЗАО «БИОКАД» - настоящий документ.
4.7 Целостность - способность сохранить неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
4.8 Риск - ущерб в единицу времени, который может понести Компания в случае реализации угрозы.
4.9 Угроза - причина осуществления нежелательных событий, способных нанести ущерб Компании.
4.10 АС – Автоматизированная система
4.11 ПО - Программное Обеспечение
4.12 ИБ – Информационная безопасность
4.13 ИС – Информационная система
4.14 ИТ - Информационные Технологии
4.15 КС - Компьютеризированная система
4.16 КТ – Коммерческая тайна
4.17 ДИБ – Департамент информационной безопасности
4.18 ОС – Операционная система
4.19 СКУД - Система контроля и управления доступом
4.20 СОП - Стандартная Операционная Процедура
4.21 ЦОД - Центр хранения и Обработки Данных
4.22 GMP - Good Manufacturing Practice - Надлежащая производственная практика
4.23 GDP - Good Distribution Practice - Надлежащая дистрибьюторская практика
4.24 GLP - Good Laboratory Practice - Надлежащая лабораторная практика
4.25 GCP - Good Clinical Practice - Надлежащая клиническая практика
4.26 GSP - Good Storage Practice - Надлежащая практика хранения
4.27 GxP - GxP - определяет группу регуляторных актов «Good ... Practice», т.е. GMP, GDP, GLP, GCP, GSP
4.28 GAMP - Good Automated Manufacturing Practice - Надлежащая автоматизированная производственная практика
4.29 IP - Internet Protocol
4.30 PKI - Public key infrastructure - Инфраструктура открытых ключей
4.31 UPS - Uninterruptible Power Supply – Источники бесперебойного гарантированного электропитания
5.1 В случае нарушения установленных настоящей политикой правил работы с информационными активами Компании, работник может быть ограничен в правах доступа к информационным активам, а также привлечен к ответственности в соответствии с Трудовым кодексом РФ, Кодексом об административных правонарушениях РФ, Уголовным кодексом РФ и прочими нормами действующего законодательства РФ.
Не применимо.
7.1 Политика ИБ Компании входит в систему документов в области обеспечения ИБ и представляет собой совокупность управленческих решений, лежащих в основе организационно-распорядительных документов, регламентирующих правила и нормы обеспечения защиты информации.
7.2 Основу политики информационной безопасности составляет:
7.3 За разработку, принятие и внедрение Политики ИБ отвечает Директор ДИБ Компании.
7.4 Ответственным за реализацию Политики ИБ Компании и поддержание ее в актуальном состоянии является ДИБ.
7.5 Положения Политики ИБ Компании служат методологической основой для разработки нормативных и организационно-распорядительных документов Компании в области обеспечения ИБ.
8.1 Заинтересованные стороны
8.1.1 Внутренняя организация.
8.1.1.1 В реализации Политики участвуют работники Компании, являющиеся участниками процесса:
8.1.1.2 Достижением реализации Политики в части взаимодействия заинтересованных сторон является:
8.1.2 Внешнее сотрудничество.
8.1.2.1 Взаимоотношения по использованию положений данного документа применительно к защите информации, находящейся в совместном ведении с другими организациями, регулируются на основании специальных соглашений.
8.1.2.2 Взаимодействие с государственными органами Российской Федерации регулируется действующим законодательством и локальными нормативными актами Компании.
8.2 Угрозы и источники угроз информационной безопасности
8.2.1 Угрозами информационной безопасности является совокупность условий и факторов, создающих потенциальную или реально существующую опасность несанкционированных и/или непреднамеренных воздействий на информацию.
8.2.2 Угрозы информационной безопасности по их функциональной направленности подразделяются на:
8.2.3 Политикой информационной безопасности рассматриваются внешние и внутренние источники угроз информационной безопасности Компании.
8.2.4 Внешними источниками угроз информационной безопасности Компании являются:
8.2.5 Внутренними источниками угроз информационной безопасности Компании являются:
8.3 Риски информационной безопасности
8.3.1 Рисками информационной безопасности являются:
8.4 Управление рисками информационной безопасности
8.4.1 Внутренняя организация
8.4.1.1 Организация и обеспечение управления ИБ в Компании осуществляется Генеральным директором Компании. Генеральным директором Компании постоянно поддерживается необходимый уровень ИБ путем внедрения системы обеспечения ИБ, а также распределения обязанностей и ответственности работников Компании за ее внедрение и осуществление.
8.4.1.2 Организация плановой, непрерывной и целенаправленной работы по осуществлению мер обеспечения ИБ и контролю их выполнения в Компании возлагается на ДИБ.
8.4.1.3 На ДИБ возложены следующие функции:
8.4.1.4. С учетом особенностей конкретных объектов информационной инфраструктуры Компании осуществляется:
8.4.1.5 Функции администрирования и контроля средств и механизмов безопасности Компании распределяются между подразделениями, эксплуатирующими объекты защиты информационной инфраструктуры, и ДИБ:
8.4.1.6 администрирование встроенных механизмов безопасности средств обработки, хранения и передачи информации, а также дополнительных средств защиты осуществляется работниками подразделений, отвечающих за их эксплуатацию;
8.4.1.7 контроль функционирования и настройки механизмов безопасности, а также соблюдения требований по ИБ осуществляется работниками ДИБ.
8.4.1.8 В Компании организуется администрирование ИБ, направленное на обеспечение установленных правил доступа к объектам информационной инфраструктуры, порядка обращения с защищаемой информацией при ее обработке, хранении и передаче.
8.4.1.9 Администратором ИБ назначается, как правило, работник структурного подразделения, эксплуатирующего защищаемые объекты информационной инфраструктуры.
8.4.1.10 На администратора ИБ возлагается ответственность по предотвращению несанкционированного доступа к защищаемой информации.
8.4.1.11 Обязанности работников Компании по обеспечению ИБ зависят от занимаемой должности и определяются их должностными инструкциями.
8.4.1.12 В Компании ежегодно разрабатывается план мероприятий по обеспечению ИБ на будущий год, и план мероприятий по контролю состояния ИБ.
8.4.2 Режим коммерческой тайны
8.4.2.1 В Компании устанавливается порядок, предусматривающий правовые, организационные и технические меры по охране информации, содержащей КТ, и иной конфиденциальной информации.
8.4.2.2 Перечень мер по защите коммерческой тайны и иной конфиденциальной информации регламентируется Федеральным законом «О коммерческой тайне», Положением о правовом режиме коммерческой тайны и конфиденциальной информации в ЗАО «БИОКАД», а также иными нормативными и организационно-распорядительными документами Компании в области защиты конфиденциальной информации и ИБ.
8.4.3 Защита персональных данных
8.4.3.1 В Компании устанавливается порядок защиты персональных данных работников, предусматривающий правовые, организационные и технические меры по их охране.
8.4.3.2 Перечень мер по защите персональных данных регламентируется Федеральным законом «О персональных данных», «Приказом ФСТЭК России от 18 февраля 2013 г. № 21», Положением об обработке и обеспечении безопасности персональных данных в ЗАО «БИОКАД», а также иными нормативными и организационно-распорядительными документами Компании в области защиты персональных данных и ИБ.
8.4.4 Защита информации в автоматизированных системах и вычислительных сетях
8.4.4.1 Основным объектом защиты является информация, циркулирующая и накапливающаяся в информационной инфраструктуре Компании.
8.4.4.2 Защита информации основывается на:
8.4.4.3 Направления обеспечения информационной безопасности в автоматизированных системах и вычислительных сетях.
8.4.4.3.1 Информационная безопасность автоматизированных систем и вычислительных сетей обеспечивается на всех стадиях их жизненного цикла с учетом степени участия в этом процессе субъектов отношений в информационной сфере (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и иных организаций).
8.4.4.3.2 При создании систем и средств защиты автоматизированных систем и вычислительных сетей технические задания и требования, предъявляемые к ним, согласовываются с подразделением, ответственным за обеспечение информационной безопасности.
8.4.4.3.3 Проектирование, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации автоматизированных систем и вычислительных сетей в части вопросов информационной безопасности осуществляются при участии ДИБ.
8.4.4.3.4 Информационная безопасность реализуется с помощью средств защиты и управления защитой, средств контроля и регистрации, средств обеспечения безотказной работы и восстановления автоматизированных систем и вычислительных сетей.
8.4.4.4 Обеспечение информационной безопасности автоматизированных систем и вычислительных сетей на стадиях жизненного цикла.
8.4.4.4.1 В процессе создания автоматизированных систем и вычислительных сетей обеспечивается:
8.4.4.4.2 К разработке и вводу в эксплуатацию средств и систем защиты автоматизированных систем и вычислительных сетей Компании в установленном порядке привлекаются организации, имеющие право на осуществление соответствующей деятельности с соблюдением требований законодательства Российской Федерации.
8.4.4.4.3 Средства защиты автоматизированных систем и вычислительных сетей могут сопровождаться как организацией-разработчиком, так и другими организациями, в том числе с привлечением внутренних ресурсов Компании. При этом, при создании средств защиты, на них должен создаваться полный комплект документации, обеспечивающий возможность эксплуатации средств защиты без участия организации-разработчика.
8.4.4.4.4 При эксплуатации автоматизированных систем и вычислительных сетей в первую очередь обеспечивается их защита от следующих факторов:
8.4.4.4.5 В процессе эксплуатации недопустимо внесение изменений в автоматизированные системы и вычислительные сети, приводящих к нарушению их функциональности или появлению недокументированных возможностей.
8.4.4.4.6 На стадии вывода из эксплуатации автоматизированных систем и вычислительных сетей (отдельных элементов) обеспечивается удаление из запоминающих устройств информации, несанкционированное использование которой может нанести ущерб коммерческой деятельности Компании.
8.4.4.4.7 Требования по информационной безопасности включаются в договоры и контракты на проведение работ или оказание услуг, заключаемые на всех стадиях жизненного цикла автоматизированных систем и вычислительных сетей, а также в соответствующую проектную документацию
8.4.4.4.8 Разработка и создание в Компании автоматизированных систем, в которых обрабатывается информация, доступ к которой ограничен федеральными законами, осуществляется в соответствии с требованиями нормативных актов и методических документов Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России), регламентирующих создание автоматизированных систем в защищенном исполнении.
8.4.4.5 Меры по обеспечению информационной безопасности в автоматизированных системах и вычислительных сетях.
8.4.4.5.1 Организационные меры по защите информации. Организационные меры по защите информации обеспечивают разработку, утверждение и доведение до исполнителей нормативных актов и методических документов, а также организацию контроля соблюдения установленных правил и требований.Прежде всего, исключается возможность нарушения доступности, целостности и конфиденциальности обрабатываемой информации.Устанавливается запрет передачи защищаемой информации по открытым каналам связи без применения мер по ее защите.Использование вычислительных средств и информационных активов Компании допускается только в целях обеспечения производственной и хозяйственной деятельности.Разрешается использовать только лицензионное программное обеспечение.Устанавливаются правила использования работниками лицензионных продуктов, приобретаемых Компанией, и обязательства по порядку их использования и нераспространения.
8.4.4.5.2 Технические меры по защите информации.Для повышения эффективности защитных мероприятий наряду с организационными мерами предусматриваются технические меры по защите информации, разрабатываемые по результатам обследования объекта информатизации и оценки возможностей реализации замысла защиты на основе применения организационных мер, активизации встроенных механизмов используемых операционных систем и аппаратного обеспечения.Технические меры, предпринимаемые для защиты автоматизированных систем и вычислительных сетей, осуществляются с учетом следующих основных принципов:
8.4.4.5.3 Защита серверного оборудования.Меры, принимаемые для защиты серверного оборудования, направляются на обеспечение конфиденциальности и целостности информационных ресурсов путем организации защиты вычислительных средств от несанкционированного доступа (к среде выполнения вычислительного процесса, оперативной памяти и дисковому пространству), а также в помещения, где оно располагается.Обеспечение доступности серверного оборудования достигается с помощью мер и средств обеспечения безотказной работы, а также использованием средств мониторинга и диагностики.
8.4.4.5.4 Защита вычислительных сетей.Основной задачей защиты вычислительной сети Компании является обеспечение доступности ресурсов сети и целостности передаваемой информации, которое достигается:
8.4.4.5.5 Защита на уровне прикладных информационных систем.Основной задачей защиты ресурсов прикладных информационных систем является обеспечение их доступности, целостности и конфиденциальности при соблюдении установленных требований к порядку обработки защищаемой информации.Меры защиты информационных систем должны предусматривать:
8.4.4.5.6 Защита на уровне персонального компьютера.Защита персонального компьютера (ПК) является защитой рабочего места пользователя и одним из элементов комплексной защиты.Меры защиты ПК предусматривают:
8.4.5 Обеспечение доступности информационных ресурсов автоматизированных систем и вычислительных сетей.
8.4.5.1 Обеспечение доступности информационных ресурсов автоматизированных систем и вычислительных сетей достигается путем обеспечения их непрерывной работы и восстановления в случае аварий, стихийных бедствий и других нештатных ситуаций.
8.4.5.2 Указанная задача решается осуществлением соответствующих организационных и технических мер защиты.
8.4.5.2.1 Организационные меры по обеспечению безотказной работыДля предотвращения возникновения нештатных ситуаций предусматриваются организационные мероприятия, направленные на предотвращение или снижение их отрицательного воздействия, включающие:
8.4.5.2.2 Бесперебойное электропитаниеБесперебойное электропитание является наиболее важным элементом обеспечения непрерывной работы и предполагает использование системы «чистого» питания, защищающего системное оборудование от перепадов напряжения, и резервного питания, позволяющего сохранить работоспособность систем в течение заданного времени при выходе из строя основного источника.
8.4.5.2.3 Резервное копированиеРезервное копирование и восстановление данных выполняются согласно СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных».
8.4.5.2.4 Антивирусная защитаПорядок защиты от вредоносного программного обеспечения (далее – антивирусная защита) в Компании регламентируется с учетом особенностей автоматизации производственно-хозяйственных и технологических процессов.Предусматривается построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на персональных компьютерах, серверах и шлюзах доступа, разграничивающих взаимодействие с сетями общего пользования.Особое внимание уделяется антивирусной фильтрации трафика электронного почтового обмена.Основным направлением актуализации антивирусных средств является регулярная автоматическая установка обновлений антивирусного программного обеспечения.Отключение или не обновление антивирусных средств не допускается.Устанавливаемое или изменяемое программное обеспечение предварительно проверяется на отсутствие вирусов. После установки или изменения программного обеспечения выполняется полная антивирусная проверка.Установка и обновление антивирусных средств контролируется работниками ДИБ.При обнаружении компьютерного вируса принимаются меры по устранению последствий вирусной атаки с информированием руководства и работников ДИБ. При необходимости на период устранения последствий вирусной атаки приостанавливается работа зараженных вычислительных средств.
8.5 Управление информационной безопасности
8.5.1 Общее руководство информационной безопасностью в Компании осуществляет Генеральный директор.
8.5.2 Работы по обеспечению информационной безопасности непосредственно осуществляют:
8.5.3 Обеспечение информационной безопасности объектов информатизации предполагает реализацию ряда управленческих задач.
8.5.4 В качестве основных следует выделить:
9.1 Приложение № 1 – Шаблон «Лист ознакомления».
10.1 Конституция Российской Федерации.
10.2 Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».
10.3 Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».
10.4 Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
10.5 Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
10.6 Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
11.1 ДИТОМ-ДИБ-12-016 «Политика компании в отношении обработки персональных данных».
11.2 СТО ООК-11-020 «Управление документацией СМК».
11.3 СОП ДИТ-28-004 «Управление доступом к КС».
11.4 СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных».
12.1 Все сотрудники Компании, должны быть под роспись ознакомлены с настоящей Политикой и руководствоваться ей в повседневной работе.
Этот раздел сайта содержит информацию о лекарственных препаратах, отпускаемых по рецепту. Согласно действующему законодательству материалы этого раздела могут быть доступны только для медицинских и фармацевтических работников.
Вы являетесь медицинским или фармацевтическим работником и согласны с данным утверждением?