Политика информационной безопасности

ПОЛИТИКА
Информационная безопасность

1. НАЗНАЧЕНИЕ

1.1 Политика информационной безопасности (далее – Политика) разработана в соответствии с требованиями законодательства Российской Федерации, нормативных актов ФСТЭК и других нормативно-правовых актов в области информационной безопасности.

1.2 Политика описывает правила безопасной работы с информационными ресурсами, определяет цели, обязанности и ответственность работников по обеспечению надлежащего уровня информационной безопасности, описывает вероятные угроз и типы нарушителей, определяет основные концепции защиты, а также состав и порядок функционирования Системы обеспечения информационной безопасности (далее – СОИБ).

1.3 СОИБ обеспечивает конфиденциальность, целостность и доступность информации, а также безопасное функционирование сервисов и потоков данных Компании.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1 Политика распространяется на всех работников Компании, а также работников сторонних организаций (внешних подрядчиков), выполняющих работы или оказывающих услуги в интересах Компании на договорной основе или иным образом взаимодействующих с ЗАО «БИОКАД». Соответствующие положения Политики применяются ко всем информационным сервисам и элементам ИТ-инфраструктуры Компании.

2.2 Система обеспечения информационной безопасности в компании включает в себя:

  • Защиту персональных данных:
    • работников, с которыми заключен трудовой договор;
    • сотрудников и физических лиц, с которыми заключен договор ГПХ;
    • кандидатов на замещение вакантных должностей;
    • физических лиц – представителей юридических лиц – аптек и дистрибьюторов;
    • лиц, сообщивших о НПР, ННР и СНР;
    • субъектов НПР, ННР, СНР (пациентов);
    • физических лиц (пациентов), принимающих участие в клинических исследованиях;
    • исследователей;
    • физических лиц, для которых осуществляется организация мероприятий;
    • физических лиц в рамках обработки обращений заявителей или судебных дел;
    • членов Совета директоров;
    • авторов изобретений;
    • физических лиц - потребителей продукции ЗАО «БИОКАД»;
    • посетителей;
    • контрагентов;
  • Защиту коммерческой тайны;
  • Защиту информации в ИТ-инфраструктуре компании.

2.3 За составление и обслуживание документов, связанных с конфиденциальной информацией, отвечает Отдел информационной безопасности. За соблюдение данной политики отвечает любой пользователь КС ЗАО «БИОКАД».

3. ПЕРЕСМОТР

3.1 Пересмотр в связи с выделением в структуре Компании Отдела информационной безопасности. Отменяет действие документа ДИТ-11-004-2.

3.2 Настоящая Политика вступает в законную силу с даты утверждения Генеральным директором ЗАО «БИОКАД».

3.3 Изменения и дополнения в настоящую Политику вносятся по инициативе Руководителя отдела информационной безопасности, Заместителя Генерального директора по информационным технологиям и операционному развитию, Директора департамента инфраструктурных решений и утверждаются Генеральным Директором ЗАО «БИОКАД».

3.4 Политика пересматривается по мере необходимости, но не реже одного раза в три года.

3.5 В случае вступления отдельных пунктов в противоречие с измененными или новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.

4. ТЕРМИНЫ И ОБОЗНАЧЕНИЯ

4.1 Информационный актив – информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для Компании и ее клиентов (пациентов); находящаяся в распоряжении Компании.

4.2 Информация, составляющая коммерческую тайну (Коммерческая тайна) — это научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в отношении которой Компанией введен режим коммерческой тайны.

4.3 Конфиденциальная информация - информация, доступ к которой ограничен в соответствии с международными правовыми нормами (применимыми для РФ), законодательством РФ и внутренними нормативными документами Компании.

4.4 Отдел информационной безопасности (ОИБ) – выделенное подразделение Компании, отвечающий за осуществление мероприятий по информационной безопасности, соблюдение в Компании режима Коммерческой тайны, требований законодательства РФ, а также лучших практик в вопросах сохранности и защиты информации, полученной в процессе деятельности Компании.

4.5 Персональные данные (ПДн)- Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, включая ФИО, паспортные данные, ИНН, дату рождения, место рождения и т.д.

4.6 Политика - Политика информационной безопасности ЗАО «БИОКАД» - настоящий документ.

4.7 ПО - Программное Обеспечение

4.8 ИТ - Информационные Технологии

4.9 КС - Компьютеризированная система

4.10 СКУД - Система контроля и управления доступом

4.11 СОП - Стандартная Операционная Процедура

4.12 ЦОД - Центр хранения и Обработки Данных

4.13 GMP - Good Manufacturing Practice - Надлежащая производственная практика

4.14 GDP - Good Distribution Practice - Надлежащая дистрибьюторская практика

4.15 GLP - Good Laboratory Practice - Надлежащая лабораторная практика

4.16 GCP - Good Clinical Practice - Надлежащая клиническая практика

4.17 GSP - Good Storage Practice - Надлежащая практика хранения

4.18 GxP - GxP - определяет группу регуляторных актов "Good ... Practice", т.е. GMP, GDP, GLP, GCP, GSP

4.19 GAMP - Good Automated Manufacturing Practice - Надлежащая автоматизированная производственная практика

4.20 IP - Internet Protocol

4.21 PKI - Public key infrastructure - Инфраструктура открытых ключей

4.22 UPS - Uninterruptible Power Supply – Источники бесперебойного гарантированного электропитания

5. ОСНОВНЫЕ ПОЛОЖЕНИЯ И ДЕЙСТВИЯ

5.1 Система обеспечения информационной безопасности Компании (СОИБ) включается в себя следующие элементы:

5.1.1 отдельное подразделение – Отдел по информационной безопасности, – работники которого обладают соответствующей квалификацией для осуществления деятельности по обеспечения информационной безопасности;

5.1.2 средства разграничения доступа к Информационным активам Компании;

5.1.3 средства антивирусной защиты серверов, рабочих станций пользователей и почтовых сообщений;

5.1.4 средства контроля сетевого трафика;

5.1.5 средства контроля и управления доступом на территорию Компании;

5.1.6 средства предотвращения утечек конфиденциальной информации, а также средства контроля привилегированных пользователей;

5.1.7 мероприятия по определению и актуализации угроз информационной безопасности и типов нарушителей;

5.1.8 управление инцидентами информационной безопасности;

5.1.9 комплекс мероприятий по сопровождению СОИБ и модернизации отдельных ее компонентов;

5.1.10 комплекс внутренних нормативных документов, детализирующих и регламентирующих отдельные направления деятельности по обеспечению информационной безопасности;

5.1.11 комплекс мероприятий по повышению осведомленности работников Компании в области информационной безопасности и актуальных угроз.

5.1.12 комплекс проверочных мероприятий по контролю функционирования СОИБ.

5.2 Доступ к Информационным активам Компании предоставляется в соответствии с утвержденными процедурами, описанными в регламентирующем порядок предоставления такого доступа внутренних документах, и только после ознакомления работника со всеми необходимыми внутренними документами.

5.3 Сервера, рабочие станции пользователей, а также система корпоративной электронной почты в обязательном порядке оснащаются средствами антивирусной защиты. Остальные ИТ-сервисы Компании комплектуются средствами антивирусной защиты при наличии такой возможности.

5.4 ИТ-инфраструктура Компании в обязательном порядке оснащается средствами контроля сетевого трафика. Формируется несколько отдельных зон размещения элементов ИТ-инфраструктуры с различными настройками доступа и с контролем всего сетевого трафика на их границах. Особые требования по информационной безопасности предъявляются к элементам ИТ-инфраструктуры Компании, имеющим выход во внешние телекоммуникационные сети.

5.5 Доступ на территорию Компании строго регламентируется и предоставляется только работникам Компании в соответствии с выполняемыми ими должностными обязанностями, гостям или сотрудникам сторонних организаций в сопровождение уполномоченного работника Компании, сотрудникам бизнес центров и территорий размещения подразделений компании по согласованию с ответственным работником Компании. Применяется собственная автоматизированная система контроля и управления доступом, организовано взаимодействие со СКУД бизнес центров и территорий нахождения подразделений Компании.

5.6 Отдел информационной безопасности комплектуется работниками, обладающими необходимыми знаниями и квалификацией в вопросах законодательства РФ и международного законодательства по информационной безопасности; подготовки и актуализации внутренних нормативных документов; формировании и осуществлении стратегии информационной безопасности; построении архитектуры СОИБ; настройки, поддержки и развития отдельных элементов СОИБ; повышения осведомленности работников в вопросах информационной безопасности; построения и функционирования сетевой инфраструктуры; тестирования на проникновение и проведения исследования исходного кода приложений.

5.7 Руководитель отдел информационной безопасности должен обладать профильным образованием по направлению «Информационная безопасность» в соответствии с Всероссийским классификатором специальностей по образованию (ОКСО) и (или) пройти переподготовку по направлению «Информационной безопасности» в объеме не менее 500 часов.

5.8 Серверы компании находятся в специальном оборудованном помещении Центрах Обработки Данных (ЦОД). Доступ к этому помещению возможен только авторизованным в СКУД лицам.

5.9 Все ЦОДы, серверные помещения, аппаратные комнаты и телекоммуникационные помещения защищены замками (механическими или электромеханическими) и подключены к СКУД и/или имеют системы видеонаблюдения.

5.10 Установка, обслуживание и ремонт оборудования производятся только уполномоченным персоналом.

5.11 Сетевые устройства, серверы и другое оборудование защищено от перебоев в питании и электрических неполадок и подключено к устройствам бесперебойного питания (UPS).

5.12 Оборудование, которое содержит или может содержать конфиденциальную информацию, перед утилизацией проходит процедуру очистки от конфиденциальной информации и проверяется на отсутствие такой по окончании этой процедуры.

5.13 Управление инцидентами информационной безопасности включает в себя:

5.13.1 сбор информации о событиях информационной безопасности;

5.13.2 выявление и анализ инцидентов информационной безопасности;

5.13.3 расследование инцидентов информационной безопасности;

5.13.4 оперативное реагирование на инциденты информационной безопасности;

5.13.5 минимизация негативных последствий инцидентов информационной безопасности;

5.13.6 оперативное доведение до Генерального директора и других ответственных лиц информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по их устранению;

5.13.7 выполнение принятых решений по инцидентам информационной безопасности в установленные сроки;

5.13.8 пересмотр применяемых мер и средств обеспечения информационной безопасности по результатам рассмотрения инцидентов информационной безопасности;

5.13.9 повышения уровня осведомленности работников Компании в вопросах информационной безопасности;

5.13.10 применение средств шифрования (электронная подпись).

5.14 Угрозы информационной безопасности Компании делятся на: антропогенные, техногенные и стихийные (природные).

5.14.1 Антропогенные угрозы обусловлены действиями субъекта, данные действия могут быть умышленными или неумышленными. Источники антропогенных угроз могут быть внешними или внутренними. Кроме того, к антропогенным угрозам относятся также противоречия в нормативно-правовых актах законодательства РФ и требованиях регуляторов.

5.14.2 Техногенные угрозы обусловлены воздействием на объект физических процессов техногенного характера, технократической деятельностью человека и развитием цивилизации. К техногенным угрозам могут быть отнесены сбои в работе созданных человеком систем или полное разрушение таких систем. Данные угрозы с точки зрения воздействия на ИТ-инфраструктуру Компании могут быть внешними или внутренними.

5.14.3 Стихийные (природные) угрозы обусловлены действиями физических процессов природного характера, стихийных бедствий, состоянием окружающей среды, не связанным напрямую с деятельностью человека.

5.15 Нарушители информационной безопасности делятся на внешних и внутренних.

5.16 В качестве потенциальных внешних нарушителей рассматриваются:

5.16.1 лица, не связанные с Компанией и случайно или умышленно получившие доступ к её ИТ-инфраструктуре из внешних телекоммуникационных сетей;

5.16.2 клиенты Компании;

5.16.3 бывшие сотрудники Компании;

5.16.4 конкурирующие Компании и другие внешние организации (в том числе преступные).

5.17 В качестве потенциальных внутренних нарушителей рассматриваются:

5.17.1 работники Компании;

5.17.2 персонал бизнес центров и территорий размещения подразделений компании и имеющий доступ в помещения Компании.

5.18 В рамках обеспечение надлежащего уровня информационной безопасности в Компании должны приниматься меры по минимизации негативных последствий реализации всех обозначенных в пункте 5.14 угроз от всех, указанных в пунктах 5.16 и 5.17 нарушителей.

5.19 Предполагается, что нарушители обладают достаточной квалификацией для осуществления противоправных действий и всеми необходимыми техническими средствами.

5.20 Внешние нарушители могут действовать в сговоре с внутренними нарушителями.

5.21 Обязательные настройки сетевого оборудования:

5.21.1 Внешний доступ в сеть компании осуществляется через систему контроля доступа.

5.21.2 Брандмауэры запрещают любой входящий и исходящий трафик и для всех брандмауэров включена функция обнаружения вторжений. Брандмауэры имеют функцию предотвращения подмены IP-адреса и атаки на маршрутизацию.

5.21.3 Критические исправления и обновления брандмауэра устанавливаются в течение 30 дней после их выпуска производителем.

5.21.4 Все брандмауэры ведут журнал регистрации событий доступа (входа).

5.21.5 Пароли брандмауэров доступны только минимально необходимому числу лиц.

5.21.6 Запрещено использовать незашифрованные текстовые протоколы (telnet) при управлении системами контроля доступа.

5.22 Применяется принцип минимизации предоставляемого доступа к Информационным активам (предоставляется минимально необходимый для эффективного выполнения работником своих задач доступ):

5.23 Учетные записи пользователей по истечении срока трудового договора работника или прекращении делового сотрудничества незамедлительно блокируются.

5.24 Учетные записи пользователей, неактивные в течение 180 дней или более, блокируются (данный срок может быть уменьшен для наиболее критичных информационных сервисов).

5.25 Обязательные настройки антивирусного ПО:

5.25.1 Все ПО для защиты от вредоносного ПО по умолчанию настроено на автоматическое устранение обнаруженной угрозы. Если ПО для защиты от вредоносного ПО не может удалить угрозу, оно перемещает файл в карантин.

5.25.2 Ноутбуки/настольные компьютеры/персональные рабочие станции настроены на автоматическое сканирование файлов. Производится еженедельное сканирование всех файлов на локальных дисках.

5.25.3 Пользователям запрещено отключать сканирование для поиска вредоносного ПО без специального разрешения.

5.25.4 Производится сканирование входящей и исходящей электронной почты на почтовом сервере, а ноутбуки и настольные компьютеры сканируют электронные письма при их открытии.

5.25.5 Файлы сигнатур вредоносного ПО для серверов загружаются не позднее 1 недели после их выпуска производителем. Файлы сигнатур вредоносного ПО для клиентских компьютеров загружаются не позднее 72 часов после их выпуска производителем. Обновляются автоматически модули и сигнатуры на персональных компьютерах и серверах.

5.26 В компании применяется стандартизированная парольная политика, описанная в соответствующем документе, настройки паролей для конкретных информационных сервисов могут изменяться только по согласованию с Руководителем ОИБ.

5.27 Основные положения использования сети Интернет:

5.27.1 Компания оставляет за собой право осуществлять контроль за активностью сотрудников в сети Интернет и блокировать доступ к Интернет-ресурсам.

5.27.2 При работе в сети Интернет запрещается:

5.27.3 - размещать в сети Интернет конфиденциальную информацию;

5.27.4 - посещать Интернет-ресурсы, содержащие информацию экстремистского, расистского, порнографического и криминального характера, а также загружать данные, содержащие подобную информацию;

5.27.5 - посещать сайты, помеченные поисковыми системами как представляющие угрозу безопасности;

5.27.6 - осуществлять попытки проникновения в корпоративные сети других компаний;

5.27.7 - загружать медиа-файлы развлекательного характера;

5.27.8 - подключаться к сетям по обмену файлами (сети для совместного использования файлов), таким как Bittorrent, Direct Connect, E-donkey, Gnutella;

5.27.9 - загружать исполняемые файлы (с расширениями .exe, .com, .jar, .msi, .bat);

5.27.10 - выполнять иные действия, которые могут привести к раскрытию конфиденциальной информации, привести к материальному ущербу, нанести вред репутации компании или любому иному ущербу.

5.28 Обязательные положения контроля и предоставления доступа к КС:

5.28.1 Управление доступом к КС осуществляется согласно СОП ДИТ-28-004 «Управление доступом к КС».

5.28.2 В КС реализуется возможность организовать права доступа для групп пользователей.

5.28.3 КС позволяет настраивать доступ к данным и функциям в системе на основе должности пользователя.

5.28.4 Система должна ограничивать доступ к административным функциям системы для изменения параметров.

5.28.5 Только администратор системы должен иметь доступ к полному выключению системы.

5.29 Резервное копирование и восстановление данных выполняются согласно СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных».

5.30 Ссылки на документы

НОРМАТИВНАЯ ДОКУМЕНТАЦИЯ
Конституция РФ
Гражданский и Уголовный Кодексы РФ
Законы, указы, постановления, другие нормативные документы действующего законодательства РФ
Документы Государственной технической комиссии при Президенте РФ, Федерального агентства правительственной связи и информации при Президенте РФ
ИНСТРУМЕНТЫ
ISPE - GAMP 5 - подход к компьютеризированным системам, соответствующим GxP, основанный на рисках
ВНУТРЕННИЕ ДОКУМЕНТЫ
ДИТОМ-ОИБ-12-016 «Политика компании в отношении обработки персональных данных»
СТО ООК-11-020 «Управление документацией СМК»
СОП ДИТ-28-004 «Управление доступом к КС»
СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных»

6. ЗАКЛЮЧЕНИЕ

Не применимо.

7. ОЗНАКОМЛЕНИЕ

7.1 Все сотрудники компании, входящие в перечень ответственных сотрудников по темам настоящей Политики, должны быть с ними ознакомлены и руководствоваться ими в повседневной работе.

7.2 Отметку об ознакомлении с данной политикой поставить в системе Документооборота компании.