ГОСТ Р 56838-2015; Страница 9

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56837-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков (Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных) безопасным и эффективным (в экономическом смысле) способом) ГОСТ Р 56849-2015 Информатизация здоровья. Руководство по стандартам безопасности медицинского программного обеспечения (Настоящий стандарт предоставляет руководящие указания для национальных комитетов-членов (НКЧ) и читателей путем выявления связанного набора международных стандартов, имеющих отношение к разработке, реализации и использованию безопасного медицинского программного обеспечения. Подход, представленный в настоящем стандарте, вместе с отображением стандартов в этом подходе иллюстрирует соответствующие стандарты и их оптимальное применение) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1)

Страница 9

Страница 1

Untitled document

ГОСТ Р 56838—2015

- угрозы, связанные с доступностью к оборудованию и программному обеспечению, которое ра

ботает с защищенной медицинской информацией (PHI):

- угрозы, связанные с компьютерными вирусами.

- угрозы, связанные с персоналом, который имеет отношение к внедрению, обучению и практике.

4.3 Политика безопасности

В соответствии с пунктом 5.1.1 ИСО/МЭК 27002:2005 в базовую политику должно быть включено

следующее:

a) определение информационной безопасности, ее общих целей, области применения и важности

безопасности как механизма содействия обмену информацией;

) заявление о намерении руководства поддерживать цели и принципы информационной безопас

ности в соответствии с бизнес-стратегией и целями организации;

c) подход для формирования задач управления информационной безопасностью и средств управ

ления для решения этих задач, включая структуру оценки рисков и менеджмент рисков;

d) краткое разъяснение политик безопасности, принципов, стандартов и требований соответствия,

имеющих определенную важность для организации, включая:

- соответствие юридическим, нормативным и контрактным требованиям,

- обучение защите, инструктаж, требования осведомленности.

- управление непрерывностью бизнеса.

- последствия нарушения политики обеспечения защиты информации:

определение общей и конкретной ответственностей за менеджмент информационной безопасно

сти. включая отчетность об инцидентах нарушения информационной безопасности;

ссылки на документацию, которая может поддерживать политику безопасности, например, более

подробные описания политики безопасности и процедур для конкретных информационных систем или

правил безопасности, которым должны следовать пользователи.

После применения этих условий к защите службы удаленного технического обслуживания (ЗУО).

необходимо обеспечить доступность системы, обеспечить целостность, читаемость и сохранение пер

сональной информации пациента.

Необходимо, чтобы в базовой политике защиты службы удаленного технического обслуживания

были указаны используемые в ней технические и систематические меры, а также меры по использова

нию человеческих ресурсов и физические меры безопасности.

Следующая информация предназначена для более крупного интегрированного медицинского уч

реждения (МУ). Возможно, что ЦОУ обеспечивает службы удаленного технического обслуживания в

двух или более подразделениях крупного медицинского учреждения. В таком случае необходима по

литика объединенного управления. Если масштаб медицинского учреждения и организация работы

отличаются от крупного интегрированного медицинского учреждения, то важно реализовывать защиту в

организации в соответствии с фактической ситуацией.

4.4 Оценка рисков

В оценке риска выполняется анализ информационных активов по отношению к следующим во

просам:

- какие угрозы существуют.

- насколько возможно возникновение каждой угрозы и как часто они могут возникать;

- насколько сильно влияние угрозы при ее реализации.

Методы анализа можно разделить на следующие четыре общих подхода.

a) Базовый подход.

Базовый подход анализа риска основан на стандартах и руководствах, используемых в целевых

областях применения. Меры безопасности вданном подходе основываются на стандарте оценки риска,

заранее созданном для этой отрасли.

Несмотря на то, что данный подход дает преимущество во времени и по затратам, так как отсут

ствует необходимость оценки самого риска, интерпретация рисков, описанных встандартах, для рисков в

конкретной организации может быть проблематичной.

) Детальный анализ рисков.

Выполнение детальной оценки риска включает анализ риска для элементов системы, а также не

обходимость выбора соответствующего плана менеджмента. Для такой оценки риска требуется значи

тельный бюджет и время, включая обеспечение необходимых человеческих ресурсов.