ГОСТ Р 56849-2015; Страница 20

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности (В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1) ГОСТ Р 56914-2016 Информационные технологии. Методы испытаний на соответствие устройств радиочастотной идентификации. Часть 3. Методы испытаний радиоинтерфейса для связи на частоте 13,56 МГц (Настоящая часть ИСО/МЭК TО 18047 устанавливает методы испытания для определения соответствия устройств радиочастотной идентификации (радиочастотных меток и устройств считывания/опроса) для управления объектами в соответствии со спецификациями, приведенными в ИСО/МЭК 18000-3, но не применяется для испытаний на соответствие обязательным нормативным актам или подобным требованиям)

Страница 20

Страница 1

Untitled document

ГОСТ Р 56849—2015

ISO 31000 является исходной точкой для разработки стандартов по менеджменту рисков и служит

руководством, применяемым в течение функционирования организации для широкого круга деятельности.

Он может быть применен к любому типу риска, независимо от его природы и от того, положительные или

отрицательные последствия он имеет. Данный стандарт не предназначен исключительно для рас

смотрения вопросов безопасности. Инструкции по введению аспектов безопасности в стандарты указа ны

в Руководстве 51 ИСО/МЭК.

Менеджмент рисков, связанный со здравоохранением, включен в стандарт по медицинским при

борам: ИСО 14971:2007 Медицинские приборы. Применение менеджмента риска к медицинским при

борам (ISO 14971:2007, Medical devices — Application of risk management to medical devices) и сопрово

ждающий его МЭК/ТР 80002-1, Руководство по применению ИСО 14971 к программному обеспечению

медицинских приборов (IEC/TR 80002-1. Guidance on the application of ISO 14971 to medical device

software). ИСО 14971 и МЭК/ТР 80002-1 предназначены для производителей медицинских приборов и

программного обеспечения медицинских приборов, включая ЛИС и PACS.

Менеджмент рисков, связанный со здравоохранением, также изложен в МЭЮТО 80001-1:2010

Применение менеджмента рисков к ИТ-сетям с медицинскими приборами. Часть 1. Роли, ответствен

ности и деятельность (IEC/TR 80001-1:2010 Application of risk management for IT-networks incorporating

medical devices — Part 1: Roles, responsibilities and activities), в котором рассматривается риск, возника

ющий во время внедрения системы и во время ее эксплуатации.

Дополнительный полезный материал по менеджменту рисков, в частности, как он относится к

медицинскому программному обеспечению, можно найти в ИСО/ТО 27809:2007 Информатизация здо

ровья. Меры обеспечения безопасности пациента при использовании медицинского программного

обеспечения (ISO/TR 27809:2007 Health informatics — Measures for ensuring patient safety of health

software), и ИСО/ТС 25238 Классификация рисков безопасности, связанных с медицинским программ

ным обеспечением (ISO/TS 25238 — Classification of safety risks from health software).

Другой ключевой проблемой менеджмента рисков при обеспечении безопасности медицинского

программного обеспечения является необходимость решения вопросов, связанных с распределением

рисков и определением остаточного риска в медицинском программном обеспечении на всех стадиях

его жизненного цикла. Руководство ИСО 73 определяет распределение рисков как «форму обработки

рисков, включающую согласованное распределение рисков с другими заинтересованными сторонами».

При выпуске медицинского программного продукта (т. е. в момент выпуска) на рынок производи телем

программного обеспечения остается некоторый уровень риска для пациентов, который является

остаточным риском.

П р и м е ч а н и е — С нормативной точки зрения выпуск медицинского программного обеспечения также

является точкой, когда можно применить послепродажные нормативные положения в отличие от нормативных

положений перед выпуском в продажу.

Стороны, ответственные за остаточный и распределяемый риск, меняются на протяжении все

го жизненного цикла программного обеспечения. Например, когда специалист по внедрению покупает

коммерчески доступный продукт или заказывает создание программного обеспечения собственной раз

работки. ом неявно (а иногда и явно) принимает на себя часть ответственности за известные остаточ

ные риски. С этой точки зрения несмотря на остаточный риск, независимо от способа приобретения,

специалист по внедрению соглашается с тем, что медицинское программное обеспечение производи

теля отвечает (или будет отвечать) заявленным требованиям.

При внедрении медицинского программного обеспечения собственной разработки или

приобретенного возникают новые риски (например, связанные с настройкой, интеграцией, качеством

данных и клиническим использованием системы). Затем ответственность за управление полным

набором рисков для безопасности распределяется среди всего множества заинтересованных сторон,

каждая из которых несет определенную ответственность и зависит от других, начиная от разработчи ка,

специалиста по внедрению и кончая владельцем/оператором. а также от организаций по оказанию

медицинской помощи и до пользователей системы.

При переходе от одной стадии жизненного цикла кдругой и с привлечением новых сторон передача

этих исков очень важна, например, должны быть четко определены соответствующие обязательства по

управлению рисками и механизмами реагирования. Организации, привлеченные на последующих эта

пах жизненного цикла программного обеспечения, должны быть в курсе этих обязательств и связанных

с ними рисков, а также мер, которые они могут предпринять, для эффективного менеджмента этих

обязательств и рисков.