ГОСТ Р 56838-2015; Страница 11

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56837-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков (Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных) безопасным и эффективным (в экономическом смысле) способом) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1)

Страница 11

Страница 1

Untitled document

ГОСТ Р 56838—2015

4.6 Идентификация рисков, которые не описаны в настоящем стандарте

В настоящем стандарте оценка риска производится в соответствии с типовой моделью, следова

тельно. остальные случаи не рассматриваются.

Если бизнес-модель отличается от модели, которая рассматривается в настоящем стандарте, то

результаты оценки рисха. полученные в соответствии с настоящим стандартом, могут быть неправо

мерно использованы. Есть также возможность, что не все случаи могут быть охвачены. Если охват всех

случаев не возможен, то необходимо провести подробный анализ рисков, используя объединенный

подход оценки риска, который не описан в настоящем стандарте.

Метод оценки риска при подробном анализе риска рассмотрен в ИСО/ТО 11633-1. Применяя ме

тоды ИСО/ТО 11633-1, результаты оценки риска, отличающейся бизнес-модели, могут легко быть инте

грированы с результатами оценки риска, выполненного в соответствии с настоящим стандартом.

4.7 Обработка рисков

Обработка риска определяется как обеспечение приемлемого риска в соответствии с результата

ми оценки риска. Варианты работы с рисками продемонстрированы в таблице 1. При необходимости

эти варианты могут комбинироваться и применяться.

Обычно в процессе управления риском выбирается сочетание этих мер после общей оцен

ки серьезности риска или простоты реализации таких мер. Особенно важно применять управление

рисхом(ами), предусмотренное законами и регламентами по защите конфиденциальности информа

ции. В этом случае, необходимо обязательно управлять риском надежно, потому что такие меры, как

сохранение или передача рисков, не всегда являются отвечающими требованиям, или адаптировать

избегание риска и. согласно закону, совсем не обрабатывать объект персональной информации в СУО.

В настоящем стандарте рекомендуется управлять риском на основе СМИБ. Конкретные меры

детально даются в приложении А.

Т абл иц а 1 — Обработка риска

Управление рисками

Передача рисков

Меры (план управления) адаптированы для надежного

сокращения ущерба.

Предотвращение риска. Применяются меры для сни

жения угроз и уязвимостей.

Сведение к минимуму ущерба. Применяются мерыдля

снижения ущерба при реализации возникшего риска.

Меры по передаче сторонним организациям по кон

тракту и т. д.

Страхование. Использование страхования от ущерба и

других типов страхования, передавая, таким обра

зом. риск.

Аутсорсинг. Информационные активы и меры инфор

мационной безопасностидоверяются третьей стороне.

Сохранение рисха

Избегание рисха

Подход, который воспринимает риск как принадлежа

щий организации.

Финансирование. Означает накопление резерва и т. д.

Подход, когда подходящие меры не найдены.

Прекращение деятельности. Деятельность останавли

вается.

Никаких мер не предпринимается.Уничтожение информационных активов. Объект

управления утерян.

5 Меры управления безопасностью для СУО

Возможность утечки персональной информации из СУО. например информации о больном, требу

ет. чтобы центр удаленного технического обслуживания оказал помощь медицинской организации для

обеспечения защиты СУО.

Чтобы принять соответствующие меры защиты для обеспечения безопасности СУО. медицинская

организация и центр удаленного технического обслуживания (ЦОУ) должны выбрать средства управле

ния безопасностью, основываясь на результатах оценки риска. Вне зависимости от того, контролирует ся

ли ЦОУ медицинской организацией. ЦОУ должен убедиться в том. что СУО соответствуют требова ниям

безопасности.

В приложении А более детально показано, как перейти к целям и соответствующим средствам

управления для их реализации, обеспечивающим менеджмент безопасности, вслучае работы СУО для