ГОСТ Р 56838-2015; Страница 6

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56837-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков (Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных) безопасным и эффективным (в экономическом смысле) способом) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1)

Страница 6

Страница 1

Untitled document

ГОСТ Р 56838—2015

f) средства информации;

д) IT-средсгва;

h) медицинские приборы, которые записываютданные или формируют отпетыданных.

2.3 доверие (assurance); Результат серии процессов установления соответствия, посредством

которых организация достигает уверенности встатусе менеджмента информационной безопасности.

2.4 доступность (availability); Свойство быть доступным и годным к использованию по запросу

авторизованного субъекта.

[ИСО/МЭК 13335-1:2004. определение 2.4]

2.5 оценка соответствия (compliance assessment): Процессы, которыми организация подтверж

дает. что средства управления информационной безопасностью остаются рабочими и эффективными.

Примечание — Соответствие закону в частности относится к средствам управления безопасностью,

установленнымдля соблюдения

ребованийсоответствующего законодательства, как например. Директивы Евро

пейскогоСоюза позащите персональныхданных.

2.6 конфиденциальность (confidentiality): Свойство, заключающееся в том. что информация не

может быть доступной или же не может быть раскрыта для неавторизованных лиц. объектов или про

цессов.

(ИСО/МЭК 13335-1:2004. определение 2.6]

2.7 целостность данных (data integrity). Свойство, гарантирующее, что данные не будут измене

ны или уничтожены неправомочным образом.

[ИСО/МЭК 9797-1:1999. определение 3.1.1]

2.8 управление информацией (information governance): Процессы, благодаря которым организа

ция получает уверенность в том. что риски, связанные с ее информацией, а значит работоспособность

и целостность организации, эффективно выявляются и контролируются.

2.9 информационная безопасность (information security). Поддержание конфиденциальности,

целостности и доступности информации.

Примечание — Другие свойства, вчастности, подотчетностьпользователей, а также аутентичность, от

казоустойчивость и надежность, часто упоминаются как аспекты информационной безопасности, но также могут

рассматриваться как производныеот трехосновныхсвойств вопределении.

2.10 риск (risk): Сочетание вероятности события и его последствий.

(Руководство ИСО/МЭК 73:2002. определение 3.1.1].

2.11 оценка рисков (risk assessment): Общий процесс анализа и оценивания риска.

[Руководство ИСО/МЭК 73:2002, определение 3.3.1]

2.12 менеджмент рисков (risk management): Согласованные виды деятельности по руководству

и управлению организацией в отнощении рисков.

Примечание — Менеджмент риска обычно включает всебя оценку риска, обработку риска, степеньдо

пустимого риска и информирование о рисках.

[Руководство ИСО/МЭК 73:2002, определение 3.1.7]

2.13 обработка рисков (risk treatment): Процесс выбора и применения мер для изменения (обыч

но для снижения) риска.

Примечание — Адаптировано из Руководства ИСО/МЭК 73:2002.

2.14 целостность системы (system integrity): Свойство системы выполнять предусмотренную для

нее функцию в нормальном режиме, свободном от преднамеренного или случайного несанкциониро

ванного воздействия на систему.

2.15 угроза (threat): Потенциальная причина нежелательного инцидента, который может нанести

ущерб системе или организации.

Примечание — Адаптировано из ИСО/МЭК 13335-1.

2.16 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть ис

пользована угрозой.

Примечание — Адаптировано из ИСО/МЭК 13335-1.