Политика информационной безопасности

1. Настоящая политика определяет цели и принципы обеспечения информационной безопасности в Обществе с ограниченной ответственностью «Эс Клиник» (ООО «Эс Клиник», Учреждение).
2. Политика обязательна для исполнения всеми сотрудниками, а также лицами, работающими с информацией, принадлежащей Учреждению, в рамках заключенных договоров.
3. Под обеспечением информационной безопасности или защитой информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае предоставления доступа к данным только авторизованным лицам, целостность – в случае внесения в данные исключительно авторизованных изменений, доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.
4. Целями обеспечения информационной безопасности являются минимизация ущерба от реализации угроз информационной безопасности и улучшение деловой репутации Учреждения.
5. В ООО «Эс Клиник» обрабатываются следующие категории информации ограниченного доступа (конфиденциальная информация):
   1. Персональные данные работников Учреждения.
   2. Персональные данные граждан (в бумажном виде), к которым Учреждение получает доступ в рамках своей основной деятельности – реализации медицинских услуг.
6. Порядок обработки и защиты каждой категории сведений, закрепление ответственности за лицами, имеющими к ним доступ, в том числе санкции за невыполнение норм безопасности, регулирующих обработку и защиту конфиденциальной информации, закрепляются соответствующими локальными нормативными актами.
7. Обработка информации в Учреждении производится с соблюдением следующих принципов:
   1. соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами;
   2. соблюдение конфиденциальности в отношении сведений, составляющих врачебную тайну;
   3. дифференцированный подход к обеспечению безопасности информации на основе ее классификации по степени ущерба от нарушений свойств безопасности;
   4. добровольности предоставления пациентом достоверных персональных данных;
   5. ответственности и отчетности Учреждения перед гражданином за обработку сведений, содержащих его персональные данные;
8. Доступ к конфиденциальной информации предоставляется только лицам, которым он необходим для выполнения должностных или контрактных обязательств в минимально возможном объеме. При этом разовый, либо постоянный допуски к конфиденциальной информации оформляются приказом генерального директора Учреждения.
9. Порядок обработки и защиты конфиденциальной информации, закрепление ответственности за лицами, имеющими к ней доступ, в том числе санкции за невыполнение требований норм, регулирующих обработку и защиту конфиденциальной информации, закрепляются соответствующими локальными нормативными актами. 
10. Медицинские работники Учреждения при выполнении своей деятельности руководствуются профессиональными стандартами, а также этическими принципами, среди которых принцип сохранения врачебной тайны.
11. Организация, предоставляющая Учреждению базы  данных с персонифицированной информацией (реестры, перечни и т.п.), несет ответственность перед субъектом персональных данных за действия Учреждения согласно п.5. Ст. 6 152-ФЗ «О персональных данных». Учреждение, в свою очередь, несет ответственность перед Организацией.
12. Меры защиты информации, выбираемые Учреждением, внедряются по результатам  проведения оценки рисков информационной безопасности. Оценка рисков информационной безопасности проводится систематически, а также в случае значительных изменений в структуре Учреждения, и ее бизнес-процессах. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.