Политика информационной безопасности должна пересматриваться через запланированные интервалы времени, или, если произошли значительные изменения, с целью обеспечения уверенности в ее актуальности, эффективности и адекватности.

2 Разработка норм и правил управления информационной безопасностью Учреждения

2.1 Сведения об Учреждении, необходимые для разработки норм и правил

2.1.1 Общая характеристика предприятия и его деятельности

Краевое государственное бюджетное учреждение здравоохранения «Городская больница № 4» является некоммерческой организацией, финансируемой за счет средств бюджета и внебюджетных источников, обеспечивающей потребности населения в медицинской помощи.

Место нахождения: Хабаровский край, г. Комсомольск-на-Амуре, ул. Володарского, д. 82.

Учредителем Учреждения и собственником закрепленного за учреждением на праве оперативного управления имущества является Хабаровский край. Учреждение находится в ведомственном подчинении министерства здравоохранения Хабаровского края.

Учреждение создано в целях обеспечения реализации предусмотренных законодательством Российской Федерации полномочий Хабаровского края в сфере охраны здоровья граждан. В соответствии с Федеральным законом РФ от 29.11.2010 г. №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» ежегодно заключается договор с ХК ФОМС и страховыми медицинскими организациями на выполнение объемных показателей, предусмотренных «Территориальной программой государственных гарантий бесплатного оказания гражданам РФ на территории Хабаровского края медицинской помощи»

В состав КГБУЗ «Городская больница № 4» входит стационар на 174 койки (в том числе специализированные оториноларингологическое и офтальмологическое отделения) и поликлиника проектной мощности на 200 посещений в смену. Общая численность населения, приписанного к медицинской организации на начало 2017 года составила 31976 человек. При поликлинике действует стационар дневного пребывания на 25 коек.

В течение года оказывается медицинская помощь 6340 больным в круглосуточном стационаре и 124000 посещений в поликлинике

Численность персонала составляет 417 человек.

2.1.2 Сведения об информационных системах Учреждения

Развитие информатизации здравоохранения является одним из приоритетных направлений развития национальной системы здравоохранения Российской Федерации согласно концепции развития здравоохранения на период до 2030 года.

В настоящее время повсеместно внедряются медицинские электронные информационные системы, личный кабинет пациента, рабочее места врача и медицинской сестры, электронные системы помощи в принятии решений, доступ к электронным информационным и обучающим ресурсам, а также телемедицинские технологии.

Основные направления информатизации КГБУЗ «Городская больница № 4» представлены в таблице 2.1.

Основными объектами информатизации в Учреждении являются:

• информационные системы (как собственной, так и сторонней разработки), в которых обрабатывается информация ограниченного доступа, эксплуатируемые в Учреждении;

• технические средства приема, обработки, хранения и передачи информации ограниченного доступа;

• вспомогательные технические средства и системы для приема, обработки, хранения и передачи информации ограниченного доступа;

• помещения, в которых размещаются технические средства с информацией ограниченного доступа;

• архив медицинских карт пациентов;

• личные дела и архив кадрового делопроизводства;

• хозяйственно-договорная документация и учредительные документы;

• бухгалтерские документы, содержащие информацию ограниченного доступа.

Таблица 2.1 – Основные направления информатизации КГБУЗ «Городская больница № 4»

Область применения информаци-онной системы	Назначение	Наименование информационных систем	Доля в объеме работы Учрежде-ния, %
Медицинская деятельность	Управление движением медицинской информации. Статистическая обработка.	МИС «Медиалог» ИС выписки льготных рецептов ИС учета листов нетрудоспособности Лабораторные ИС Программно-аппаратные комплексы для медицинских исследований ИС медицинской статистики	60
Финансово-хозяйственная деятельность	Бухгалтерия. Складской учет. Организация лечебного питания. Расчет стоимости медицинских услуг	1С: Бухгалтерия государственного учреждения 1С: Аптека АРМ СУФД ИС «Парус-Зарплата» Система БАРС.Web-Своды РИС «Госзакупки» ЕИС в сфере закупок Электронные торговые площадки ИС «Эконом-Эксперт»	25
Администра-тивная деятельность	Делопроизвод-ство. Учет и работа с кадрами.	Система электронного документооборота (СЭД) ИС «Парус-Кадры»	15

Информация, хранимая, обрабатываемая и передаваемая в Учреждении существует как в электронном виде, так и на бумажных носителях. В своей деятельности Учреждение хранит, обрабатывает и передает данные, относящиеся прямо или косвенно определенному или определяемому физическому лицу, что попадает под действие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

2.1.3 Категории информационных ресурсов, подлежащих защите

К объектам защиты относятся информационные ресурсы Учреждения (архивы, базы и файлы данных; отдельные документы на традиционных носителях), содержащие зафиксированные на материальном носителе (независимо от его формы) сведения, используемые в процессе сбора, обработки, накопления, хранения, распространения, взаимодействия в рамках исполнения возложенных на Учреждение функций.

Правовым основанием обработки персональных данных в информационной системе Учреждения являются Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», Федеральный закон от 21.11.2011 №323-ФЗ «Об основах здоровья граждан в Российской Федерации» и лицензия 27-01-0019834 от 10 февраля 2016 г. на осуществление медицинской деятельности, выданная КГБУЗ «Городская больница № 4». Учреждение зарегистрировано в реестре операторов, осуществляющих обработку персональных данных под номером 09-0052455.

В Учреждении хранятся и обрабатываются следующие виды общедоступной информации и информации ограниченного доступа:

• категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; социальное положение; состояние здоровья;

• категории субъектов: работники (субъекты) состоящие в трудовых отношениях с юридическим лицом (оператором); физические лица (пациенты) состоящие в гражданско-правовых отношениях с юридическим лицом.

2.1.4 Недостатки информационной безопасности в Учреждении

При исследовании Учреждения были выявлены следующие недостатки:

• физическая охрана здания предприятия организована частично;

• резервное копирование информации осуществляется частично;

• средства защиты информации от несанкционированного доступа используются частично;

• порядок использования съемных машинных носителей неактулизирован;

• персонал не обучен вопросам защиты информации и персональных данных;

• пользователи работают с неоформленными учетными записями и правами администратора;

• отсутствует ряд организационно-распорядительных документов по обеспечению информационной безопасности в Учреждении.

2.2 Практические правила управления информационной безопасностью Учреждения

Основными целями норм и правил управления информационной безопасностью является:

• обеспечение сохранности информационных ресурсов и систем от возможного нанесения физического ущерба путем организации контроля доступа в помещения;

• обеспечение защиты информации от угроз, связанных с халатностью персонала;

• обеспечение защиты информации от угроз со стороны каналов связи.

Нормы и правила устанавливают:

• порядок обеспечения сохранности имущества Учреждения и его эксплуатации, необходимого для обеспечения информационной безопасности;

• порядок предотвращения, обнаружения и устранения последствий компьютерных вирусов и вредоносных программ;

• порядок получения доступа к сети Интернет, правил работы в ней, ограничений по ее использованию, обеспечению безопасности при работе с ней и действия при ее нарушении;

• порядок использования электронной почты.

2.2.1 Организационные аспекты информационной безопасности

Организационные аспекты состоят из задач, которые решаются внутри Учреждения, и задач, которые требуют взаимодействия со сторонними организациями.

Главный врач Учреждения должен утвердить политику информационной безопасности, назначить ответственных лиц в области информационной безопасности, и координировать и анализировать внедрение информационной безопасности в учреждении. В Учреждении должны быть определены обязательства руководства, ответственного за информационную безопасность, определение процедур получения разрешения на использование новых средств обработки информации, процедуры получения соглашения об обработке конфиденциальной информации, взаимодействие с другими организациями.

Для взаимодействия с другими организациями должны быть решены и задокументированы такие вопросы, как контроль доступа к средствам обработки информации третьими сторонами, определение рисков, связанных с взаимодействием с третьими сторонами, включение требований безопасности в договоры со сторонними организациями.

2.2.1.1 Задачи, решаемые внутри Учреждения

Высшее руководство Учреждения, ответственное за информационную безопасность в Учреждении должно:

• быть уверенным в том, что цели информационной безопасности определены, соответствуют требованиям Учреждения, и включены в соответствующие процессы;

• формулировать, анализировать, утверждать и пересматривать политику информационной безопасности;

• анализировать эффективность ее реализации;

• обеспечивать четкое управление для соблюдения политики безопасности сотрудниками;

• устанавливать определенные роли и ответственности внутри Учреждения в отношении информационной безопасности;

• удостоверяться в том, что меры и средства контроля актуальны и скоординированы в рамках Учреждения;

• осведомлять работников в вопросах информационной безопасности.

Ответственный за информационную безопасность должен установить порядок получения разрешения на использование средств обработки информации. В рамках процесса получения разрешения:

• на новые средства обработки информации сотрудникам необходимо получить соответствующие разрешения руководства, утверждающего их цель и использование;

• ответственному за безопасность необходимо проверять аппаратные средства и программное обеспечение на предмет совместимости с другими компонентами системы, где это необходимо;

• следует определять и реализовывать необходимые меры и средства контроля и управления над использованием персональных или находящихся в частной собственности средств обработки информации, т.к. их использование может являться причиной новых уязвимостей.

Должны определяться и регулярно пересматриваться требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности Учреждения в защите информации. Чтобы определить такие требования, необходимо учитывать:

• определение информации, которая подлежит защите;

• предполагаемый срок действия соглашения, включая случаи, когда может возникнуть необходимость в неограниченной поддержке конфиденциальности;

• действия при окончании срока действия соглашения;

• обязанности и действия лиц, подписавших соглашение, с целью предотвращения несанкционированного разглашения информации;

• право подвергать мониторингу деятельность, связанную с конфиденциальной информацией;

• процедуру предупреждения и сообщения о несанкционированном разглашении или нарушениях, связанных с конфиденциальной информацией;

• условия возврата или уничтожения информации в случае приостановления действия соглашения;

• предполагаемые действия, которые следует предпринять в случае нарушения данного соглашения.

2.2.1.2 Взаимодействие со сторонними организациями

Все действия, которые связаны с привлечением третьей стороны к средствам обработки информации Учреждения, должны быть основаны на официальном контракте, и должны обеспечиваться в соответствии с политикой и стандартами безопасности Учреждения. Контракт должен исключать возможности недопонимания между сторонами и включать в себя:

• общую политику информационной безопасности;

• защита активов, которая содержит процедуры по защите активов организации, процедуры для определения компрометации активов, мероприятия по обеспечению возвращения или уничтожения информации и активов по окончании контракта или в установленное время в течение действия контракта, целостность и доступность активов, и ограничения на копирование и раскрытие информации;

• описание каждой предоставляемой услуги;

• определение необходимого и неприемлемого уровня обслуживания;

• соответствующие обязательства сторон в рамках договора;

• обязательства относительно юридических вопросов;

• права интеллектуальной собственности и авторские права, а также правовая защита любой совместной работы;

• соглашения по управлению доступом;

• определение измеряемых показателей эффективности, а также их мониторинг и предоставление отчетности;

• право мониторинга действий пользователей и блокировки доступа;

• право проводить проверки договорных обязанностей или делегировать проведение такого аудита третьей стороне;

• определение процесса информирования о возникающих проблемах в случае непредвиденных обстоятельств;

• обязанности, касающиеся установки и сопровождения аппаратных средств и программного обеспечения;

• четкая структура подотчетности и согласованные форматы представления отчетов;

• ясный и определенный процесс управления изменениями;

• любые необходимые способы ограничения физического доступа и процедуры для обеспечения уверенности в том, что эти меры эффективны;

• обучение пользователя и администратора методам и процедурам безопасности;

• мероприятия по управлению информационной безопасностью для обеспечения защиты от вредоносного программного обеспечения;

• процедуры отчетности, уведомления и расследования инцидентов нарушения информационной безопасности и выявления слабых звеньев системы безопасности;

• привлечение третьей стороны вместе с субподрядчиками.

2.2.2 Управление активами

Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Уполномоченным лицам Учреждения необходимо обеспечить их соответствующую защиту.

2.2.2.1 Инвентаризация активов

Должна производиться инвентаризация активов: Учреждение должно идентифицировать все активы и документально оформить их значимость. В опись активов следует включить информацию, необходимую для восстановления после бедствия, включая тип актива, формат, местоположение, информацию о резервных копиях.