ГОСТ Р 56849-2015; Страница 31

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности (В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1) ГОСТ Р 56841-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-4. Руководство по применению. Общее руководство для медицинских организаций (Настоящий стандарт предназначен помочь ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ при принятии основных решений и выполнении шагов, требующихся для установления общего подхода к МЕНЕДЖМЕНТУ РИСКА, перед тем как организации предпримет детальную ОЦЕНКУ РИСКА для каждой из своих МЕДИЦИНСКИХ ИТ СЕТЕЙ. Данные шаги сопровождаются точками принятия решений, предназначенными направлять ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ в ПРОЦЕССЕ понимания контекста МЕДИЦИНСКОЙ ИТ СЕТИ и идентификации любых организационных изменений, которые требуются при реализации ответственных решений ВЫСШИМ РУКОВОДСТВОМ, как это определено на рисунке 1 МЭК 80001-1) ГОСТ Р 56914-2016 Информационные технологии. Методы испытаний на соответствие устройств радиочастотной идентификации. Часть 3. Методы испытаний радиоинтерфейса для связи на частоте 13,56 МГц (Настоящая часть ИСО/МЭК TО 18047 устанавливает методы испытания для определения соответствия устройств радиочастотной идентификации (радиочастотных меток и устройств считывания/опроса) для управления объектами в соответствии со спецификациями, приведенными в ИСО/МЭК 18000-3, но не применяется для испытаний на соответствие обязательным нормативным актам или подобным требованиям)

Страница 31

Страница 1

Untitled document

ГОСТ Р 56849—2015

в медицинской среде независимо от того, классифицируется ли медицинское программное обеспече

ние как медицинский прибор. МЭК/ТО 80002-1 предоставляет превосходное руководство по оценке и

количественному определению рисков безопасности медицинского программного обеспечения на ста

диях проектирования и разработки и включает полезные приложения с примерами.

5.1.9МЭК/ТО 80001-1:2010 Менеджмент рисков для ИТ-сотей с медицинскими приборами.

Часть 1. Роли, ответственности и деятельность (IEC 80001-1:2010. Application of risk management

for IT networks incorporating medical devices — Part 1: Roles, responsibilities and activities)

5.1.9.1 Область применения

МЭК/ТО 80001-1:2010 определяет роли, ответственности и действия, необходимые для менед

жмента рисков ИТ-сетей. включающих медицинские приборы, для рассмотрения основных свойств без

опасности. эффективности и защищенности данных и систем. Этот стандарт не определяет приемле

мые уровни риска.

5.1.9.2 Применимость/приемлемость риска

Этот стандарт относится только к менеджменту рисков, поскольку он применяется на предмет

включения медицинского устройства в ИТ-сети. Этот стандарт имеет исключительное значение, так как

он относится к владельцу/оператору или другой стороне как к ответственной организации.

В частности. МЭК/ТО 80001-1:2010 определяет процесс, который ответственная организация ис

пользует для идентификации, количественной оценки и менеджмента рисков, включая обязательное

распределение ролей в организации: ответственная организация обязана назначить людей на роли,

определенные в этом стандарте. Данный стандарт определяет обязанности, стоящие за этими ролями.

Наиболее важной из этих ролей является роль менеджера по рискам медицинских ИТ-сетей. На данную

роль может быть назначен один из членов ответственной организации или внешний подрядчик.

Например, включение в сеть или удаление из сети медицинского устройства или других компонен

тов в ИТ-сетях является задачей, которая требует плана действий: она может находиться вне контроля

производителя медицинского устройства.

5.1.9.3 Подтверждение использования

МЭК/ТО 80001-1 относится к внедрению (и эксплуатации, в том числе клиническому использова

нию), а также только к корпоративным приложениям.

5.1.9.4 Связь (отношение)

Действия по менеджменту рисков в МЭК/ТО 80001-1 в значительной степени основаны на тех, что

указаны в ИСО 14971, но выходят за рамки безопасности, как это определено в последнем. Действия по

управлению жизненным циклом, описанные в МЭК/ТО 80001-1. очень похожи на те. что описаны в ИСО/

МЭК 20000-2 Информационные технологии. Управление услугами. Часть 2. Руководство по примене нию

систем управления услугами (ISO/IEC 20000-2, Information technology — Service management — Part 2:

Guidance on the application of service management systems). Дополнительные части серии 80001

предоставляют руководство по МЭК/ТО 80001-1 и инструменты для применения этого стандарта. Были

завершены четыре руководящих документа (другие находятся на стадии разработки), а именно:

-Часть 2-1. Пошаговое управление риском в медицинских ИТ-сетях; Практическое применение

и примеры (

Step by stop risk management of medical IT-networks: Practical applications and examples)

предоставляет пошаговое руководство по применению менеджмента рисков при создании и

изменении медицинских ИТ-сетей. Данная часть показывает это с помощью примеров и информации

по идентификации и управлению соответствующими рисками. Следует отметить, что это не полная

интерпретация МЭК/ТО 80001-1:2010, так как она предоставляет подробную информацию только для

стадии выполнения МЭК/ТО 80001-1 (см. 4.4).

- Часть2-2. Руководство по раскрытию и предоставлению информации о нуждах, рисках и средствах

управления медицинскими приборами

(Guidance for the disclosure and communication of medical device

security needs, risks andcontrols)

предоставляет руководство относительно того, как средства безопас

ности. указанные в МЭК/ТО 80001-1. могут быть раскрыты и рассмотрены между заинтересованными

сторонами в проектах ИТ-сетей медицинских устройств. Оно предоставляет основу для диалога по

вопросам безопасности.

- Часть 2-3. Руководство по беспроводным сетям (

Guidanceforwirelessnetworks)

дает практические

рекомендации по менеджменту рисков, необходимые для использования медицинских приборов с под

держкой беспроводной связи и сетевых медицинских приборов. Оно не следует методологии, но от

дельно рассматривает каждое свойство беспроводной связи и потенциальный риск.

-Часть 2-4. Общее руководство по применению для медицинских организаций (

General

implementation guidance for healthcare delivery organizations)

помогает организациям, оказывающим