ГОСТ Р 56839-2015; Страница 36

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО 10303-44-2002 Системы автоматизации производства и их интеграция. Представление данных об изделии и обмен этими данными. Часть 44. Интегрированные обобщенные ресурсы. Конфигурация структуры изделия Industrial automation systems and integration. Product data representation and exchange. Part 44. Integrated generic resources. Product structure configuration (Настоящий стандарт устанавливает конструкции ресурсов для управления структурой и конфигурацией изделия во время его жизненного цикла. Настоящий стандарт определяет:. - отношения между комплектующими и сборочными единицами (узлами) изделий;. - отношения между изделиями и их комплектующими, получаемыми в результате изменений других изделий;. - описание изделия в соответствии с требованиями потребителя;. - зависимости между техническими требованиями (спецификациями) к изделию для представления потребителю возможных вариантов изделия;. - управление структурой конфигурации сборочных единиц и комплектующих, запланированной для производства;. - декомпозицию изделия для обеспечения различных работ в жизненном цикле изделия;. - множество вариантов одного изделия, эквивалентных по форме, монтажу и функциональному назначению. Настоящий стандарт не определяет:. - отношения между различными описаниями одного изделия;. - административные работы в жизненном цикле изделия, связанные с приемкой, классификацией уровня доступа (грифа секретности), договорными соглашениями и организациями-поставщиками;. - процесс внесения изменения в изделия, включая обоснование изменения и вид изменения;. - решения, принимаемые в жизненном цикле изделия, и их обоснования;. - физические соединения между комплектующими изделия;. - свойства, которые может иметь составная часть изделия;. - множество вариантов одного изделия, не эквивалентных по форме, монтажу и функциональному назначению) ГОСТ Р 56843-2015 Информатизация здоровья. Информационное взаимодействие с персональными медицинскими приборами. Часть 10201. Информационная модель предметной области (В общем контексте комплекса стандартов ИСО/ИИЭР 11073 задачей настоящего стандарта является определение и структуризация информации, которая непосредственно используется или хотя бы упоминается в процессе коммуникации между сущностями, относящимися к данной предметной области (предметными сущностями, прикладными сущностями)) ГОСТ Р 56845-2015 Информатизация здоровья. Информационное взаимодействие с персональными медицинскими приборами. Часть 20601. Прикладной профиль. Оптимизированный протокол обмена (В рамках контекста серии стандартов ИСО/ИИЭР 11073 по взаимодействию приборов настоящий стандарт определяет общую структуру для создания абстрактной модели персональных медицинских данных, доступных в транспортно-независимом синтаксисе передачи, требуемого для установления логических соединений между системами и для обеспечения средств представления и сервисов, необходимых для осуществления задач связи. По мере возможности протокол оптимизируется в соответствии с персональными медицинскими требованиями использования и улучшается за счет общепринятых методов и средств)

Страница 36

Страница 1

Untitled document

ГОСТ Р 56839—2015

8.5 Пример 4. Ультразвук. Уязвимость в операционной системе (ОС)

8.5.1 Полное описание контекста

Разработчик ОС выпускает исправление для своей операционной системы, которое устраняет по

тенциальную уязвимость (идентифицированный вирус-червь) в ультразвуковой системе. Если ультра

звуковая система не защищена, то это может повлиять на обеспечение ухода за пациентами (снижение

скорости, непригодные функции). ПРОИЗВОДИТЕЛЮ ультразвукового устройства требуется время для

верификации и подтверждения соответствия выпущенного исправления перед тем. как его можно будет

применить в МЕДИЦИНСКОМ ПРИБОРЕ. Вирус-червь был обнаружен в приборе, подключенном к сети

внутри ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ. Данная соть используется для получения информации о ПА

ЦИЕНТАХ и запланированных процедурах из информационной системы больницы (например, сервера,

хранящего список методов формирования цифровых изображений и обмена ими в медицине DICOM).

Сеть предоставляет средства для архивирования, перемещая результаты исследования эхограмм из

ультразвуковой системы в систему передачи и архивирования изображений (PACS). Последней стадией

данной процедуры является отправка отчета об успешном завершении исследования из сети в инфор

мационную систему больницы. В качестве компонента в сеть может быть добавлена рабочая станция,

которая впоследствии может применяться для извлечения эхограмм из сервера PACSдля дополнитель

ной обработки, такой как осуществление измерений и отправка отчетов об ультразвуковой системе, что

позволяет создать эффективный рабочий процесс для ПАЦИЕНТОВ и рентгенологов. После того как

вирус—червь проник в ультразвуковую систему он может использовать уязвимые места в ОС других

устройств, соединенных с ИТ СЕТЬЮ, принадлежащей ОО. ОО осознает, что РИСКИ, связанные с уяз

вимостью в ультразвуковой системе, которые не были устранены, должны быть управляемыми.

8.5.2 Описание анализируемой сети

Ethernet-сеть охватывает всю больницу и поддерживает скорость 100 MB/Гигабит в секунду. Сер

вер DHCP (протокола динамической конфигурации главного узла (хоста) сети) способен автоматически

управлять конфигурацией IP АДРЕССОВ. Ультразвуковая система представляет из себя мобильный

МЕДИЦИНСКИЙ ПРИБОР, который перемещается между палатой зондирования, палатой неотложной

медицинской помощи, и другими палатами в больнице. В сети присутствуют виртуальные ЛС (локаль

ные сети), предназначенные для создания анклавов (защищенных сетей), в которых используются МЕ

ДИЦИНСКИЕ ПРИБОРЫ, и для отделения МЕДИЦИНСКИХ ПРИБОРОВ от стандартных

стационарных компьютеров. Все устройства, подключенные к PACS. находятся в одной виртуальной

ЛС.

8.5.3 10 Шагов

ШАГ 1. Идентификация ОПАСНОСТИ

HAZ01. Несанкционированный доступ к данным (к информации о ПАЦИЕНТЕ или об организации).

HAZ02. Нарушена функция МЕДИЦИНСКОГО ПРИБОРА (потеря функциональной пригодности

системы).

HAZ03. Потеря доступа (доступ к данным необходимым для процедур ограничен или закрыт).

ШАГ 2. Идентификация причин и возникающих ОПАСНЫХ СИТУАЦИЙ

С01. Раскрытие данных о ПАЦИЕНТЕ. Вредоносное программное обеспечение, способное из

влекать персональную, поддающуюся идентификации, информацию (PII — личные данные такие как.

номер социального страхования, номер медицинской карты, дату рождения ...) и экспортировать ее из

системы в случае обнаружения.

С02. Снижение производительности системы. Вредоносное или не вредоносное программное

обеспечение загружено и установлено в систему. Системные ресурсы затрачиваются на инструменты

раскрытия паролей, переполнение сети, сканирование или обмен информацией в сети.

СОЗ. Раскрытие личных данных. Из-за этой уязвимости ультразвуковое устройство может стать

источником угроз для других устройств, подключенных к ИТ СЕТИ.

Идентифицированы следующие ОПАСНЫЕ СИТУАЦИИ

HS01. (Защищенность данных) Без ведома лечащего врача или рентгенолога вирус или вирус-

червь устанавливает программу перехвата вводимой с клавиатуры информации (кейлогер) или же

автоматически начинает извлекать персональную, поддающуюся идентификации, информацию и от

правляет регистрационное имя пользователя и PII в несанкционированное место (по причине С01).

HS02. (БЕЗОПАСНОСТЬ) Во время процедуры сканирования (для родовспоможения, кардиоло

гии. желудочно-кишечного тракта) расход аппаратных ресурсов на вредоносное программное обеспе

чение нарушает выполнение работы, что приводит к отказу процедуры формирования изображения и

подвергает риску процесс лечения (например, становится невозможным управление иглой амниоцек-

теза) (по причине С02).