ГОСТ Р 56837-2015; Страница 8

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56840-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-3. Руководство по беспроводным сетям (Настоящий стандарт предназначен для поддержки медицинской организации (МО) в выполнении МЕНЕДЖМЕНТА РИСКА МЕДИЦИНСКОЙ ИТ-СЕТИ, в которую входит один или несколько беспроводных каналов. В настоящем стандарте представлена техническая справочная информация, связанная с беспроводной технологией, а также примеры ОПАСНОСТЕЙ, которые следует учитывать при использовании беспроводной технологии в МЕДИЦИНСКИХ ИТ-СЕТЯХ и предложены меры по УПРАВЛЕНИЮ РИСКОМ для снижения вероятности НЕПРЕДНАМЕРЕННЫХ ПОСЛЕДСТВИЙ) ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности (В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение)

Страница 8

Страница 1

Untitled document

ГОСТ Р 56837—2015

При использовании коммутируемой телефонной сети общего доступа телекоммуникационные ли

нии обладают следующими свойствами:

- маршрут прямой коммуникации между медицинским учреждением и ЦУО может быть защищен:

- перехватывание информации представляется затрудненным в связи с тем. что коммутируемая

телефонная сеть общегодоступа полностью работает в цифровом режиме.

Благодаря этим свойствам защита поддерживается посредством следующих технических мер:

a) определение номера вызывающего абонента — использование функции сертификата обратно

го звонка или функции сертификата идентификации звонящего:

) сертификация пользователя — использование одноразового пароля и шифрования пароля;

c) обзор журнала аудита связи — определение нелегальногодоступа к компьютеру.

4.1.2.2 СУО. использующие Интернет

Вмедицинском учреждении располагается устройствоподключения к Интернету с фиксированным

глобальным IP-адресом. ЦУО готовит среду подключения к Интернету и сам подключается к медицин

скому учреждению через Интернет.

Настоящий стандарт определяет больший набор технологий для коммуникации и проверки под

линности пользователя между медицинским учреждением и ЦУО. т. к. по сути это обычное Интернет

соединение, а не прямое соединение через коммутируемую телефонную сеть общегодоступа.

Настоящий стандарт демонстрирует следующие примеры:

- установка брандмауэра:

- применение таких инструментов, как антивирусное программное обеспечение;

- связь при помощи VPN для кодирования канала связи:

- использование множества методов проверки подлинности пользователей, таких как одноразо

вые пароли, кодировка паролей и использование цифровых сертификатов.

4.2Требования к защите служб удаленного технического обслуживания

4.2.1 Меры обеспечения защиты при удаленном техническом обслуживании

Обычнодля защищенной работысистемы идля защиты конфиденциальности личной информации

используются регламентирующие правила. Настоящий стандарт представляет следующие примеры ре

гламентов:

a) регламентдля оператора ЦУО;

) регламентирующиемеры, исключающие работунеавторизованныхудаленныхтерминалов ЦУО;

c) регламент на увеличение числа удаленных терминалов ЦУО и их перемещение;

d) регламент о доступе с мобильных терминалов.

4.2.2 Контракты между медицинским учрежденном и центром удаленного обслуживания

Следующие регламентирующие нормы могут применять в случае непредвиденных сбоев:

a) регламентирующие правила для разграничения ответственности между медицинским учрежде

нием и ЦУО:

) заключение контрактов о конфиденциальности информации.

Существует несколько средств для обеспечения мер защиты СУО. Каждый провайдер СУО под

держивает защиту, используя эти средства в соответствии с первоначальными регламентирующими

нормами.

Однако настоящий стандарт предусматривает, что в будущем для медицинских учреждений рас

ходы на защиту увеличатся, а поддержание уровня защиты станет более сложным, т. к. используемые

методы будут изменяться в зависимости от провайдера СУО.

4.2.3 Защита персональной информации и службы удаленного технического обслуживания

4.2.3.1 Защита конфиденциальности медицинской информации в медицинских организациях

Всоответствии с законодательными актами о защите конфиденциальности управление конфиден

циальностью персональной информации переходит от врачей кустановлению правауправления инфор

мацией и защитой ее конфиденциальности самими пациентами.

Медицинские организации обязаны управлять персональной информацией, разъяснять пациенту

риски, которым подвергается конфиденциальность персональной информации, а также гарантировать,

что медицинские работники не используют информацию о здоровье в целях, выходящих за пределы тех

целей, ради которых она была собрана.

В связи с тем что медицинская информация является особо важным типом персональной инфор

мации. с ней следует обращаться бережно и осторожно.