ГОСТ Р 56838—2015
Ниже описаны меры обеспечения безопасности для охраны персональной информации в СУО в
соответствии с концепцией СМИБ.
Медицинская организация и поставщик СУО должны создать соответствующую СМИБ. Кроме того,
медицинская организация должна идеально выполнять работу по настройке менеджмента информа
ционной безопасности для всех поставщиков СУО для защиты персональной информации. СУО соеди
няет сети поставщика СУО и медицинской организации. После соединения этих сетей возникают риски
появления новых слабых мест в защите. В случав СУО может возникнуть иная проблема, связанная с
созданием системы в отдельной организации, так как СУО действует между медицинской организацией и
центром удаленного технического обслуживания (ЦУО). то есть между двумя независимыми друг от
друга организациями. А значит, это будет проблемой, как для медицинской организации, так идля ЦОУ,
если меры обеспечения безопасности с самого начала не рассматриваются как неотъемлемая часть
СУО. В связи с этим использование СМИБ (с тщательно проверенным методом) может рассматривать ся,
как наилучший способ эффективно реализовать безопасность СУО.
В соответствии с большим количеством законов о защите персональной информации, медицин
ская организация принимает на себя ответственность и обязанности хранителя персональной инфор
мации. В случае СУО. медицинская организация должна запросить от поставщика служб удаленного
технического обслуживания соответствующие меры для защиты персональной информации, т. к. по
ставщику дается доступ к настройкам целевого прибора в медицинском учреждении из центра удален
ного технического обслуживания через сеть. Медицинская организация должна самостоятельно настро
ить все системы менеджмента информационной безопасности поставщиков СУО. которые поставляют
СУО. и подтвердить, что в защите нет слабых мест. Дополнительно медицинская организация должна
подтвердить, что уровень безопасности каждого поставщика СУО поддерживается на должном уровне.
Для настройки СМИБ необходимо выполнятьдокументирование и удовлетворять следующим пун
ктам:
- политике обеспечения защиты;
- стандарту мер обеспечения безопасности.
- схеме политики защиты:
- набору технических решений;
- правилу выполнения операции;
- стандартам аудита безопасности:
- аудиту безопасности и журналу аудита.
Медицинская организация должна включить перечисленные пункты в контракт по предоставле
нию технического обслуживания или в соглашение меоду медицинской организацией и поставщиком
СУО. которые ЦОУ применяет для обеспечения надлежащих мер в центре удаленного технического
обслуживания. В результате медицинская организация распределит ответственность и обязанности по
защите персональной информации в ходе технического обслуживания на поставщика СУО по контрак
ту или соглашению. Медицинская организация должна создавать соответствующую СМИБ. одновре
менно прописывая в контракте на техническое обслуживание или контракте консигнации обязанность
поставщика СУО осуществлять надзор в качестве последней инстанции, ответственной за менеджмент
персональной информацией.
Анализ рисков и меры описаны в настоящем стандарте в соответствии с подходом СМИБ. Поэто
му считается, что формирование безопасности службы удаленного технического обслуживания (ЗУО)
с помощью данного подхода сможет обеспечить преимущества, как медицинской организации, так и
центру удаленного технического обслуживания. Если содержание данной оценки риска не полное, то
требуется дополнительная оценка риска только для недостающих частей.
4.2 Область применения обеспечения соответствия
Согласно рабочей модели, описанной вразделе 6 ИСО/ТО 11633-1. СМИБ охватывает следующие
элементы:
- целевой прибор для технического обслуживания в медицинском учреждении (HCF);
- внутреннюю сеть медицинской организации.
- маршрут от точки доступа СУО в медицинской организации к ЦОУ;
- внутреннюю сеть ЦОУ;
- управление оборудованием в ЦОУ.
В связи с тем. что следующие риски существуют, независимо от наличия СУО, они исключаются
из рассматриваемой в настоящем разделе области применения СМИБ:
4