ГОСТ Р ИСО/ТС 25238—2009
«серьезной» категории последствий и «высокой» категории правдоподобия определяет принадлежность к клас су
В. Решение об определении принадлежности к классу принимается в соответствии с требованием, что. «если
имеется сомнение, к которой из двух категорий следует отнести правдоподобие последствия, оно должно быть от
несено к категории, соответствующей более высокому правдоподобию». Следовательно, данная система должна
быть отнесена к классу А.
Проведения дальнейшего анализа (итераций) не требуется, поскольку анализ необходимо проводить «толь
ко до тех пор, пока а ходе итераций не будет обеспечена уверенность, что продукту присвоен наивысший из выяв
ленных классов риска», а класса риска «выше», чем класс А. не существует.
Присвоение класса А системам электронных предписаний с поддержкой принятия решений оправданно, по
скольку легко понять, что в случае плохой проработки подобных систем они могут нанести серьезный вред пациен
там. Любые руководства, стандарты или нормативные документы, относящиеся к средствам контроля,
применяемые при проектировании и производстве программных продуктов для сферы здравоохранения, должны
быть наиболее строгими а отношении программных продуктов данного типа (относящихся к классу А) из-за их по
тенциальной возможности нанести серьезный вред, если на них не будет обращено особое внимание.
В.З Система отслеживания истории болезни по штрих-коду
В данном примере рассмотренасистема, производящая наклейку со штрих-кодом, который однозначно иден
тифицирует папку с историей болезни пациента, с тем чтобы при передаче истории болезни между отделениями
больницы ее можно было отслеживать на входе и выходе из отделения посредством устройства считывания
штрих-кода, чтобы идентифицировать ее текущее местоположение.
В первую очередь следует рассмотреть, какие последствия могут иметь место в случае, если система будет
неправильно работать или вызовет непредвиденное событие.
Одним из случаев неправильной работы системы может быть невозможность прослеживать некоторое мно
жество историй болезни, что приведет к невозможности определения их местоположения и недоступностидля вра ча.
когда они понадобятся. Последствие данного обстоятельства будет зависеть от клинической ситуации,
имеющей место в тот момент, когда история болезни не может быть найдена.
Даже с учетом того, что врач средней квалификации может проявить осторожность и не предприметдействий
до получения достаточной информации, подтвержденной каким-либо образом, последствия серьезной или значи
тельной категории все равно могут иметь место, но правдоподобие их возникновения будет «очень низким». Это
указывает на класс С.
Кому-то такое решение может показаться излишне строгим, поскольку на практике подобные последствия
скорее будут относиться к категории существенных или незначительных последствий со средним или низким прав
доподобием. Это бы указало на класс D или Е.
Потребуется дальнейший анализ, включая, возможно, исследование опубликованных источников, чтобы
окончательно определиться с классом (С. О ипи Е). что представляется вполне обоснованным. Любые руковод
ства. стандарты или нормативные документы, относящиеся к средствам контроля, применяемым при проектирова
нии и производстве программных продуктов для сферы здравоохранения, относящихся к классам С. D или Е. вряд ли
будут предъявлять к ним такие же серьезные требования, как к системе электронных предписаний с поддержкой
принятия решений (относящейся к классу А).
В.4 Исследовательская система для болезней, передаваемых половым путем
В данном примере представлена система собственной разработки, предназначенная для хранения и анали
за данных по заболеваниям, передаваемым половым путем. В системе хранятся личные данные пациентов.
В первую очередь следует рассмотреть, что может произойти в случае сбоя или неправильной работы
системы.
Данная система не используется для непосредственного лечения пациентов, и потому для нее не рассматри
ваются события, вызывающие такие последствия, как смерть, серьезные или незначительные травмы. Однако про
блемы с должной защитой конфиденциальных данных о пациенте могут иметь место, например, при
недостаточном или отсутствующем контроле доступа либо недостаточно строгих требованиях к паролю. Таким об
разом. отождествление пациента с болезнью, передаваемой половым путем, например ВИЧ. может быть осуще
ствлено неавторизованным лицом ипи лицами. Из-за психологической травмы, нанесенной в связи с этим
пациенту, данное последствие будет относиться к категории «существенных».
Следующим шагом является рассмотрение правдоподобия реально возникающих последствий. Психологи
ческая травма у пациента не возникнет, если пациент не узнает о том. что конфиденциальность информации о нем
была нарушена. Это зависит от обстоятельств несанкционированного доступа. Если несанкционированный доступ
был осуществлен врачом, который непреднамеренно просмотрел конфиденциальную информацию, то такой врач
вряд ли будет передавать кому-либо данную информацию в силу свого долга сохранять врачебную тайну. Однако
случайный или несанкционированный доступ к информации со стороны лица, не связанного врачебными обяза
тельствами. может привести к бездумному ипи умышленному разглашению информации, особенно если данный
пациент известен в местном сообществе. Тем не менее до момента, когда пациент узнает о данном инциденте,
пройдет длинная цепочка событий, поэтому правдоподобие может быть оценено от среднего до низкого. В любом
случае данная система относится к классу D.
15