ГОСТ Р ИСО/ТС 25238—2009
Дополнительное рассмотрение следует произвести, если в системе ведется журнал регистрации событий, в
котором был отмечен факт несанкционированного доступа. «Владелец» системы в подобных обстоятельствах мо
жет быть обязан уведомить пациента о том. что утечка информации имела место. Это означает, что правдоподобие
последствия становится «очень высоким». Однако здраво предположить, что психологическая травма, наносимая
пациенту, может быть уменьшена, если его информирует и консультирует опытный врач. Психологическая травма,
таким образом, может быть оценена как «незначительная» вместо «существенная». В результате система может
быть отнесена к классу С.
В соответствии с приведенными аргументами система может быть отнесена к классу С или D. Если имеются
существенные сомнения, к какому классу отнести систему, то система должна быть отнесена к более высокому
классу, т. е. к классу С.
П р и м е ч а н и е — В отношении исследовательской системы, содержащей менее деликатные данные о
здоровье, наихудшим последствием, которого можно ожидать, является незначительное психологическое рас
стройство (если таковое вообще будет иметь место) с низким или очень низким правдоподобием, т. е. такая
система относится к классу Е.
Неудивительно, что система, хранящая персональные данные оздоровье весьма деликатного характера, на
пример данные о болезнях, передаваемых половым путем, должна быть отнесена к относительно «высокому*
классу. Следует ожидать, что любые руководства, стандарты и нормативные документы по средствам контроля,
применяемым при разработке и производстве программных продуктов для сферы здравоохраненияданного класса
(класса С), будут достаточно строгими, сфокусированными (как в рассмотренном примере) на защите данных, без
опасности и контроле доступа.
8.5 Диспетчерская система службы скорой помощи
Сфера оказания неотложной помощи неизбежно решает проблему «жизни и смерти», однако в реальности
ситуация может складываться иначе. В то время как разработка передовых решений для диспетчерской службы
скорой помощи (например. Лондонская служба скорой помощи середины 1990-х годов [24]) и в самом деле решает
данную проблему, системы более раннего поколения (которые, например, не позволяют направлять бригады в за
висимости от их специализации и,’или машины, оборудованные специальной аппаратурой) являются скорее «под
держивающими*. чем «исправляющими». Такая система и рассматривается 8 данном примере.
При рассмотрении реального наихудшего случая следует определить возможные ситуации, при которых по
сле звонка в службу скорой помощи бригада не отправляется на вызов или отправляется не по тому адресу.
В случае летального исхода следует предположить, что состояние пациента было критическим и рядом с ним
не было человека, который мог бы сделать вызов и отследить его выполнение. В ситуации, когда человек находит
ся в одиночестве и испытывает обширный сердечный приступ, маловероятно, что он сможет вызвать врача. Если в
результате исход будет летальным, то это не будет связано с диспетчерской системой. В случае крупной автомо
бильной аварии, ранения в бою. обрушения здания или другого значительного инцидента обычно присутствуют
представители одной или нескольких служб экстренной медицинской помощи. Можно ожидать, что данные пред
ставители смогут точно определить характер травмы и отследить восприимчивость организма. В таких случаях
так же. если летальный исход произошел до прибытия скорой помощи на место происшествия или сразу
после ее прибытия, это не относится к диспетчерской системе службы скорой помощи.
Поэтому для данного сценария последствие, вероятно, будет связано с отдельной личностью, получившей
травму, или с группойтравмированных людей, когда машина скорой помощи задерживается или не была направле на.
что привело к ухудшению состояния и/или увеличению длительности восстановления по сравнению с обычно
ожидаемой. Это может привести к длительной недееспособности и/или серьезной психологической травме пациен та.
что соответствует определению «существенного» последствия.
Рассмотрение правдоподобия наихудшего последствия должно быть комплексным. Неспособность напра
вить машину скорой помощи, задержка отправки машины иотправка ее по неверному адресу {т. е. задержка отправ
ки машины по правильному адресу) могут быть вызваны следующими причинами:
a) задержка вызова скорой помощи (не входит в сферу ответственности службы скорой помощи);
b
) задержка ответа диспетчера на звонок (много различных причин, например, недостаточная емкость вхо
дящих линий);
c) ошибка или неточность диспетчера при вводе адреса и/или почтового индекса (из-за плохой слышимости
или ошибки при печати);
d) направление на вызов недоступной бригады скорой помощи (бригада находится на вызове, отдыхает или
по другой причине);
e) сообщение диспетчера не дошло до бригады скорой помощи (по причине, не связанной с самой диспет
черской системой).
Правдоподобие ситуации по перечислению Ь) оценивается как «очень низкое*. Обычно телефонные компа
нии предоставляют для служб экстренной медицинской помощи каналы с высокой пропускной способностью, что
считается неотъемлемой составляющей обеспечения нормальной работы.
16