ГОСТ Р 56837-2015; Страница 9

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56840-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-3. Руководство по беспроводным сетям (Настоящий стандарт предназначен для поддержки медицинской организации (МО) в выполнении МЕНЕДЖМЕНТА РИСКА МЕДИЦИНСКОЙ ИТ-СЕТИ, в которую входит один или несколько беспроводных каналов. В настоящем стандарте представлена техническая справочная информация, связанная с беспроводной технологией, а также примеры ОПАСНОСТЕЙ, которые следует учитывать при использовании беспроводной технологии в МЕДИЦИНСКИХ ИТ-СЕТЯХ и предложены меры по УПРАВЛЕНИЮ РИСКОМ для снижения вероятности НЕПРЕДНАМЕРЕННЫХ ПОСЛЕДСТВИЙ) ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности (В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение)

Страница 9

Страница 1

Untitled document

ГОСТ Р 56837—2015

4.2.3.2 Ответственность и меры защиты персональной информации

Законы США об установлении правил обмена личной медицинской информацией и ее защите от

неразрешенного использования (HIPAA) требуют, чтобы медицинские организации назначали лицо, от

ветственное за менеджмент информации в системе, и определяют ответственность медицинской орга

низации за утечку персональной информации за ее пределы независимо от причин утечки.

В Японии руководство по защите персональной информации в сфере здравоохранения устанав

ливает ответственность медицинских организаций за защиту персональной информации и требует от

ответственного лица по защите персональных данных в организации здравоохранения выполнения его

обязанности. Таким образом, медицинские организации обязаны самостоятельно заниматься менед

жментом информации в системе.

Однако настоящий стандарт рассматривает случаи, когда медицинские организации полностью

передают менеджмент систем медицинской информации поставщикам СУО для медицинских приборов

и провайдерам систем медицинской информации. Ответственным лицам в медицинской организации

может быть сложно надлежащим образом разрешать непростые проблемы, связанные с управлением

информацией в медицинских организациях, если управление информацией было полностью передано

поставщикам СУО.

Однако в случае инцидентов, ведущих к утечке информации и т. д.. может возникнуть проблема,

связаннаяс тем. ктодолжен нести ответственность— поставщик СУО или поставщик медицинских услуг.

Для разрешения таких ситуаций настоящий стандарт указывает на то. что предпочтительнее пересмо

треть систему менеджмента информации медицинской организации, чтобы убедиться в ее соответствии

любым подведомственным актам по защите конфиденциальности персональной информации.

4.2.3.3 СУО и защита конфиденциальности медицинской информации

Для защиты персональной информации надлежащим образом медицинские организации должны

обеспечить меры защиты, соответствующие ответственности медицинской организации, как описано в

предыдущем подпункте.

В настоящее время медицинские организации в основном предоставляют правила управления ме

дицинского центра, устанавливают меры надлежащегоуправления и реализуют меры защиты информа

ционных систем и технические средства защиты персональной информации.

В частности, в качестве мер обеспечения защиты сети, многие медицинские организации реали

зуют такие меры, как «соединение с внешней сетью не разрешено)*, «использовать VPN» и т. д.. а также

защиту против внешних хакерских атак из Интернета. Однако, даже если контрмеры медицинской орга

низации против внешнего вмешательства представляются идеальными. СУО являются единственным

каналом, который позволяет доступ извне.

Доступ сотрудника, обслуживающего поставщика СУО. в систему через СУО принимается как не

обходимая служба для быстрого восстановления функции.

СУО имеет преимущества как перед медицинскими организациями, так и перед поставщиками

СУО. и поэтому является необходимой службой, даже когда документы по защите конфиденциальности

медицинской информации уже были приняты иопубликованы.

Для применения защиты и ответственности при использовании СУО медицинские организации

должны хорошо понимать СУО. заключить соответствующий контракт и применить технические моры

обеспечения защиты и оперативные меры. Важно четко разграничить ответственность между медицин

ской организацией и поставщиками СУО. построить прошедший необходимую оценку механизм безопас

ности. чтобы обеспечить соответствие подобных разграничений защите конфиденциальности медицин

ской информации. Как медицинская организация, так и поставщики СУО должны четко понимать свои

обязательства и выбирать соответствующие СУО по взаимному соглашению.

4.3Роли центра удаленного технического обслуживания и медицинской организации

Если медицинское учреждение поконтрактуобслуживания споставщиками СУО доверило постав

щику СУО обеспечение для ее защиты, то меры защиты применяются в соответствии с процедурами и

ответственностью каждого поставщика СУО.

Возникают следующие проблемы:

- не существует положений о том. что третья сторона может удостовериться в том. что поставщик

СУО предоставляет достаточные меры обеспечения защиты.

- медицинское учреждение не рассматривало моры управления как технологические меры, ис

пользующиеся вместе с мерами обеспечения защиты:

- медицинское учреждение недостаточно изучило последовательность событий после инцидента;