Доктрина информационной безопасности АО «Медицина»
1. Назначение Доктрины
Настоящая Доктрина предназначена для определения стратегических целей деятельности АО «Медицина» по обеспечению информационной безопасности.
2. Настоящая Доктрина вводится взамен Доктрины информационной безопасности АО «Медицина» от 26.09.2022 № 01.02-14/291.
3. Область применения
Настоящая Доктрина распространяется на деятельность всех подразделений АО «Медицина». Доктрина подлежит опубликованию.
4. Срок действия
Настоящая Доктрина вводится в действие сроком до 31 декабря 2024 г.
5. Термины и определения
Информационная безопасность (ИБ) – состояние защищенности интересов (целей) Клиники в условиях угроз, связанное с угрозами в информационной сфере.
Клиника – АО «Медицина».
6. Источники нормативного правового регулирования
- Конституция Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ,от 22.02.2017 № 16-ФЗ, от 01.07.2017 № 148-ФЗ, от 29.07.2017 № 223-ФЗ, от 31.12.2017 № 498-ФЗ, от 24.04.2020 № 123-ФЗ, от 08.12.2020 № 429-ФЗ, от 30.12.2020 № 515-ФЗ, от 30.12.2020 № 519-ФЗ, от 11.06.2021 № 170-ФЗ, от 02.07.2021 № 331-ФЗ, от 14.07.2022 № 266-ФЗ, от 06.02.2023 № 8-ФЗ);
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (в ред. Федеральных законов от 21.11.2011 № 323-ФЗ (ред. 14.12.2015), от 25.06.2012 № 89-ФЗ, от 25.06.2012 № 93-ФЗ, от 02.07.2013 № 167-ФЗ, от 02.07.2013 № 185-ФЗ, от 23.07.2013 № 205-ФЗ, от 27.09.2013 № 253-ФЗ, от 25.11.2013 № 317-ФЗ, от 28.12.2013 № 386-ФЗ, от 04.06.2014 № 145-ФЗ, от 21.07.2014 № 205-ФЗ, от 21.07.2014 № 243-ФЗ, от 21.07.2014 № 246-ФЗ, от 21.07.2014 № 256-ФЗ, от 22.10.2014 № 314-ФЗ, от 01.12.2014 № 418-ФЗ, от 01.12.2014 № 419-ФЗ, от 31.12.2014 № 519-ФЗ, от 31.12.2014 № 532-ФЗ, от 08.03.2015 № 33-ФЗ, от 08.03.2015 № 55-ФЗ, от 06.04.2015 № 78-ФЗ, от 29.06.2015 № 160-ФЗ, от 13.07.2015 № 213-ФЗ, от 13.07.2015 № 230-ФЗ, от 13.07.2015 № 233-ФЗ, от 13.07.2015 № 271-ФЗ, от 14.12.2015 № 374-ФЗ, от 29.12.2015 № 389-ФЗ, от 29.12.2015 № 408-ФЗ, от 05.04.2016 № 93-ФЗ, от 26.04.2016 № 112-ФЗ, от 03.07.2016 № 286-ФЗ, от 03.04.2017 № 61-ФЗ, от 01.05.2017 № 86-ФЗ, от 01.07.2017 № 154-ФЗ, от 29.07.2017 № 216-ФЗ, от 29.07.2017 № 242-ФЗ, от 05.12.2017 № 373-ФЗ, от 05.12.2017 № 392-ФЗ, от 29.12.2017 № 465-ФЗ, от 07.03.2018 № 56-ФЗ, от 19.07.2018 № 208-ФЗ, от 03.08.2018 № 299-ФЗ, от 03.08.2018 № 309-ФЗ, от 03.08.2018 № 323-ФЗ, от 25.12.2018 № 489-ФЗ, от 27.12.2018 № 511-ФЗ, от 06.03.2019 № 18-ФЗ, от 29.05.2019 № 119-ФЗ, от 02.12.2019 № 399-ФЗ, от 27.12.2019 № 452-ФЗ, от 27.12.2019 № 518-ФЗ, от26.03.2020 № 67-ФЗ, от 01.04.2020 № 93-ФЗ, от 01.04.2020 № 98-ФЗ, от 24.04.2020 № 147-ФЗ, от 08.06.2020 № 166-ФЗ, от 13.07.2020 № 206-ФЗ, от 31.07.2020 № 271-ФЗ, от 31.07.2020 № 303-ФЗ, от 08.12.2020 № 429-ФЗ, от 22.12.2020 № 438-ФЗ, от 30.04.2021 № 128-ФЗ, от 30.04.2021 № 129-ФЗ, от 30.04.2021 № 131-ФЗ, от 26.05.2021 № 152-ФЗ, от 11.06.2021 № 170-ФЗ, от 02.07.2021 № 312-ФЗ, от 02.07.2021 № 314-ФЗ, от 02.07.2021 № 315-ФЗ, от 02.07.2021 № 331-ФЗ, от 02.07.2021 № 358-ФЗ, от 30.12.2021 № 482-ФЗ, от 08.03.2022 № 46-ФЗ, от 26.03.2022 № 64-ФЗ, от 01.05.2022 № 129-ФЗ, от 11.06.2022 № 166-ФЗ, от 14.07.2022 № 271-ФЗ, от 14.07.2022 № 275-ФЗ, от 14.07.2022 № 317-ФЗ, от 05.12.2022 № 469-ФЗ, от 19.12.2022 № 538-ФЗ, от 28.12.2022 № 569-ФЗ, от 29.12.2022 № 629-ФЗ, от 28.04.2023 № 174-ФЗ, от 13.06.2023 № 256-ФЗ, от 24.07.2023 386-ФЗ, с изм., внесенными Постановление КС РФ от 13.01.2020 № 1-П, от 13.07.2022 № 31-П);
- Международный стандарт ISO/IEC 27001:2013 «Information technology – Security techniques – Information security management systems – Requirements».
7. Описание Доктрины
7.1. Основной стратегической целью обеспечения информационной безопасности клиники является сохранение доверия пациентов.
7.2. Защита сведений о состоянии здоровья пациентов клиники и иной охраняемой законом тайны является ключевой задачей обеспечения информационной безопасности в клинике.
7.3. Для выполнения вышеуказанной задачи в клинике функционирует система управления информационной безопасностью, являющаяся частью общей системы управления деятельностью организации.
7.4. В основе системы управления информационной безопасностью лежит риск-ориентированный подход, позволяющий определить риски обеспечения безопасности информации и принять меры по их обработке.
7.5. Механизмы управления системы управления информационной безопасностью клиники ежегодно пересматриваются для гарантирования их эффективности.
7.6. Система управления информационной безопасности клиники должна соответствовать требованиям международного стандарта ISO/IEC 27001:2013. Соответствие данным требованиям ежегодно подтверждается в рамках независимого аудита.
7.7. Президент Клиники осуществляет контроль результативности системы управления информационной безопасностью клиники и обеспечения ее необходимыми ресурсами.
7.8. Ответственность за сопровождение системы управления информационной безопасностью клиники возлагается на службу информационных технологий. Подразделения клиники оказывают необходимое содействие службе информационных технологий.
Ответственный разработчик –
Директор службы
информационных технологий
М.Ю.Петухов
Приложение
Форма Доктрины информационной безопасности для размещения на сайте АО «Медицина»
Доктрина информационной безопасности АО «Медицина»
Основной стратегической целью обеспечения информационной безопасности клиники является сохранение доверия пациентов.
Защита сведений о состоянии здоровья пациентов клиники и иной охраняемой законом тайны является ключевой задачей обеспечения информационной безопасности в клинике.
Для выполнения вышеуказанной задачи в клинике функционирует система управления информационной безопасностью, являющаяся частью общей системы управления деятельностью организации.
В основе системы управления информационной безопасностью лежит риск-ориентированный подход, позволяющий определить риски обеспечения безопасности информации и принять меры по их обработке.
Механизмы управления системы управления информационной безопасностью клиники ежегодно пересматриваются для гарантирования их эффективности.
Ответственность за сопровождение системы управления информационной безопасностью клиники возлагается на службу информационных технологий. Подразделения клиники оказывают необходимое содействие службе информационных технологий.
Президент АО «Медицина» осуществляет контроль результативности системы управления информационной безопасностью клиники и обеспечения её необходимыми ресурсами.
Система управления информационной безопасностью клиники должна соответствовать требованиям международного стандарта ISO/IEC 27001:2013. Соответствие данным требованиям ежегодно подтверждается в рамках независимого аудита.