ГОСТ Р 56838-2015; Страница 12

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56837-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков (Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных) безопасным и эффективным (в экономическом смысле) способом) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1)

Страница 12

Страница 1

Untitled document

ГОСТ Р 56838—2015

медицинской организации и центра удаленного технического обслуживания. Ожидается, что информа

ция в таблице А.1 снизит время оценки риска при подготовке СУО.

Даже если СУО уже эксплуатируется, то рекомендуется проводить аудит, используя таблицу А.1.

чтобы убедиться, что оценка риска была адекватной.

6 Принятие остаточных рисков

Остаточными рисками называют такие риски в медицинском учреждении, когда оно преднаме

ренно не принимает достаточных контрмер или когда у медицинского учреждения возникают трудности с

идентификацией этих рисков, или риски, снижение которых потребуют больших затрат, если меди

цинское учреждение пожелает применить все контрмеры, определяемые оценкой риска. Когда риск

остается, даже если медицинское учреждение выполняет управление рисками, сохранение или пере

дачу риска, то руководству необходимо решить, принять или нет эти остаточные риски в результате вы

полнения управления рисками. Если руководство медицинского учреждения принимает эти остаточные

риски, то это значит, что медицинское учреждение принимает СУО. созданную всоответствии с оценкой

риска на основании СМИБ.

Медицинское учреждение принимает остаточные риски для всего контракта СУО. а ЦОУ реали

зует СУО. с учетом этих остаточных рисков. В соответствии с результатом анализа риска в СУО. про

демонстрированным в приложении А. в частности в центре удаленного технического

обслуживания, сохраняется возможность утечки персональной информации, включая медицинскую

персональную информацию. Медицинское учреждение должно выявлять эти опасности, учитывать

руководящие до кументы. выпущенные правительством, а также проводить аудит соответствующих

мер безопасности, принятых вдействующем СУО.

7 Аудит безопасности

7.1 Аудит безопасности для служб удаленного технического обслуживания

Целью аудита безопасности является подтверждение эффективности реализации менеджмента

риска для обеспечения защиты и подтверждение выполнения надлежащего управления защитой на

основе этой оценки риска. Аудит безопасности всесторонне оценивает соответствие стандарту менед

жмента информационной безопасности, но также возможно выполнить аудит самой службы удаленного

технического обслуживания. При аудите безопасности СУО аудитор проверяет и оценивает, если это

возможно, поддерживается и выполняется ли управление защитой на основе оценки риска.

Более того, как для медицинского учреждения, так и для центра удаленного технического обслу

живания аудит является эффективным способом, оценки стандартов безопасности, так как результат

таких аудитов становится действующим оценочным материалом для улучшения надежности СУО.

7.2 Рекомендации по аудиту безопасности, проводимому сторонними организациями

При проведении медицинским учреждением аудита информационной безопасности, как внутрен

него аудита, могут возникнуть следующие проблемы:

- сложно понять из оценки риска, существуют ли риски утечки информации;

- не будут удовлетворены требования объективности и независимости;

- в связи с необходимостью профессиональных знаний, обучение команды аудиторов требует

времени;

- сложно составить отчет об аудите в связи с риском разглашения.

Как указано выше, аудит медицинского учреждения должен выполняться внешней организацией и

аудитором с высоким уровнем технических знаний, чтобы объективно оценить службы удаленного тех

нического обслуживания. Выполнение внешнего аудита на основе соответствующей процедуры аудита

облегчает сертификацию информационной безопасности такой системы, как СМИБ. Наконец, медицин

ское учреждение может улучшить общественную репутацию. Рекомендуется также проводить внешний

аудит для снижения любых расхождений информации о надежности в отчетах аудита безопасности

медицинского учреждения и центра удаленного технического обслуживания.