ГОСТ Р 56850—2015
4 Использование ВОЗМОЖНОСТЕЙ ЗАЩИТЫ
4.1 Структура записи о ВОЗМОЖНОСТИ ЗАЩИТЫ
Раздел ВОЗМОЖНОСТИ ЗАЩИТЫ, представленный ниже (раздел 5). рассматривает общие ВОЗ
МОЖНОСТИ ЗАЩИТЫ, которые могут быть включены в МЕДИЦИНСКИЙ ПРИБОР или ИТ компонент.
Для каждой возможности предложенообозначение из четырех букв для удобства предоставления ссыл
ки и табуляции. Каждый подраздел предоставляет различную информацию о возможно применимом
средстве управления защитой или категорию ПРОЦЕССА. Описание каждой возможности содержит:
- ссылки к источникам информации о данной возможности (т. е. применимые стандарты, политики
и справочные материалы; в данном случае МО и ПМП должны учитывать как международные стан
дарты защиты, так и применимые стандарты отдельных стран на элементы защиты,
представленные в NIST 800-39/53/66/... (США). NEN 7510 (Нидерланды), требования ASIP (Франция),
закон о защите персональной информации и руководство по менеджменту безопасности системы
медицинской инфор мации (Япония) и т. д.);
- основную цель возможности защиты (т. е. цель требования) и
- заявление о том. что пользователю (поставщику медицинских услуг) необходима данная возмож
ность.
Часто перечисленные ВОЗМОЖНОСТИ ЗАЩИТЫ формируют основу для обсуждения в кругу
участников СОГЛАШЕНИЯ ОБ ОТВЕТСТВЕННОСТИ. Эти обсухедения и принимающиеся по их резуль
татам соглашения, предназначены для свойств, ролей и ответственностей, распределенных между за
интересованными сторонами и касающихся РИСКОВ для защиты.
4.2 Руководство по использованию ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в ПРОЦЕССЕ
МЕНЕДЖМЕНТА РИСКА
Все ВОЗМОЖНОСТИ ЗАЩИТЫ являются потенциальными возможностями УПРАВЛЕНИЯ
РИСКОМ. Выбор возможностей УПРАВЛЕНИЯ РИСКОМ следует за выявлением потребности в сни
жении РИСКА для защиты. В МЭК/ТО 80001-2-1:2012 предоставлено пошаговое подробное описание
ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА, в котором выбор, реализация и ВЕРИФИКАЦИЯ средств УПРАВ
ЛЕНИЯ РИСКОМ осуществляется на шагах 6—8.
ВОЗМОЖНОСТИ ЗАЩИТЫ рассматривают варианты УПРАВЛЕНИЯ РИСКОМ для защиты следу
ющим образом:
- «цель требований» содержит список возможных РИСКОВ для защиты, которые могут быть сни
жены с помощью ВОЗМОЖНОСТИ ЗАЩИТЫ.
- раздел, посвященный «потребности пользователя», содержит информацию о возможных аспек
тах, подлежащих рассмотрению при использовании этой ВОЗМОЖНОСТИ ЗАЩИТЫ.
Крайне необходимо отметить, что конкретное решение защиты, разработанное для определенно
го прибора для одного сценария использования, может не подходитьдля другого. ПРЕДНАЗНАЧЕННОЕ
ИСПОЛЬЗОВАНИЕ МЕДИЦИНСКОГО ПРИБОРА, подключенного к МЕДИЦИНСКОЙ ИТ СЕТИ, несет в
себе информацию о том. какие ВОЗМОЖНОСТИ необходимо выбрать и на каком уровне им
требуется поддержка. Иногда это ведет к важному включению ВОЗМОЖНОСТЕЙ ЗАЩИТЫ, например,
использо вание имен пользователей и паролей в приборах, соединенных с сетью, содержащих
данные о паци ентах. В других случаях, контекст ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ
исключает целый класс средств управления безопасностью; например, небольшое встроенное
программное устройство, такое как прибор контроля SP02. не нуждается в установке на самом
приборе встроенного журнала ауди та системы защиты. Требования защиты, применимые в
контексте конкретного ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ и в конкретном окружении, никогда
не должны применяться без рассмотрения их возможного влияния на БЕЗОПАСНОСТЬ и
ЭФФЕКТИВНОСТЬ изделия.
4.3 Связь между МЕНЕДЖМЕНТОМ РИСКА, выполняемым в соответствии с ИСО 14971,
и МЕНЕДЖМЕНТОМ РИСКА для защиты
Для получения информации о применении МЕНЕДЖМЕНТА РИСКА для обеспечения защиты
на организационном уровне см. ИСО/МЭК 27001:2005. ИСО/МЭК 27002:2005. ИСО/МЭК 27799:2008.
ДляслучаевподключенияМЕДИЦИНСКОГОПРИБОРАкИТСЕТИможноприменить
ИСО/МЭК 27005:2011. из которого ПРОЦЕССЫ МЕНЕДЖМЕНТА РИСКАдля ИТ защиты могут быть ис
пользованы дополнительно к ПРОЦЕССУ МЕНЕДЖМЕНТА РИСКА из ИСО 14971. чтобы соответство-
5