ГОСТ Р 56838-2015; Страница 4

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56837-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков (Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных) безопасным и эффективным (в экономическом смысле) способом) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1)

Страница 4

Страница 1

Untitled document

ГОСТ Р 56838—2015

Введение

Прогресс и распространение современных технологий в информационной и коммуникационной

сферах, а также хорошо организованная структура, основанная на этих технологиях, внесли большие

изменения в современное общество. В здравоохранении, ранее закрытые информационные системы в

каждом учреждении здравоохранения теперь объединены сетями, и настоящее время технологии

позволяют обеспечить взаимное использование медицинской информации, собранной в каждой ин

формационной системе. Обмен подобной информацией по коммуникационным сетям реализуется не

только между учреждениями здравоохранения, но и между учреждениями здравоохранения и постав

щиками медицинского оборудования или медицинских информационных систем. Благодаря, так на

зываемым. «службам удаленного технического обслуживания» (СУО) становится возможным снизить

временные потери и расходы.

Однако, оказалось, что такая связь учреждений заравоохранения с внешними организациями об

ладает не только преимуществами, но также несет в себе риски, связанные с конфиденциальностью,

целостностью и доступностью информации и систем, то есть риски, которые раньше даже не учитыва

лись.

На основе информации, предлагаемой в настоящем стандарте, учреждения здравоохранения и

провайдеры СУО смогут обеспечить следующее:

- уточнить риски, возникающие при использовании СУО. если внешние условия места расположе

ния. запрашиваемого поставщиком (ЦУО). и места расположения медицинского учреждения, которому

предоставляется техническое обслуживание (HCF). могут быть выбраны из каталога, приведенного в

приложении А;

- понять основы выбора и применения технических и нетехнических «средств управления», ко

торые применяются в их учреждении для предотвращения рисков, описанных в настоящем стандарте;

- запросить от бизнес партнеров предоставить конкретные меры противодействия, так как насто

ящий документ может идентифицировать соответствующие риски безопасности;

- уточнить границы ответственности между владельцем медицинского учреждения и провайде

ром СУО;

- планировать программу по сохранению или снижению риска, т. к. остаточные риски уточняются

при выборе подходящих «средств управления».

Применяя оценки риска и используя «средства управления» в соответствии с настоящим стан

дартом. владельцы медицинских учреждений и провайдеры СУО смогут воспользоваться следующими

преимуществами;

- необходимо будет только выполнить оценку риска для тех организационных сфер, где настоя

щий стандарт не применим, а, следовательно, усилия по оценке риска могут быть значительно сниже

ны;

- будет легко продемонстрировать третьей стороне то. что меры СУО по пресечению нарушения

безопасности, прошли подтверждение на соответствие;

- при предоставлении СУО вдвух или более местах, провайдер может последовательно и эффек

тивно применять меры противодействия.