ГОСТРИСО 27799—2015
3.2.12 менеджмент рисков (risk management): Согласованные виды деятельности по руковод
ству и управлению организацией в отношении рисков.
П р и м е ч а н и е — Менеджмент риска обычно включает в себя оценку риска, обработку риска, принятие
риска и информирование о рисках.
(Руководство ИСО 73:2002, определение 3.1.7]
3.2.13 работа с рисками (risk treatment): Процесс выбора и осуществления мер по изменению
(обычно снижению) риска.
П р и м е ч а н и е — Основано на определении 3.4.1, Руководстве ИСО 73:2002.
3.2.14 целостность системы (system integrity): Свойство, показывающее, что система выполняет
предусмотренную для нее функцию в нормальном режиме, свободном от преднамеренного или случай
ного несанкционированного воздействия на систему.
3.2.15 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе
или организации.
[ИСО/МЭК 13335-1:2004. определение 2.25]
3.2.16 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть
использована одной или несколькими угрозами.
[ИСО/МЭК 13335-1:2004. определение 2.26]
4 Сокращения
ISMF — Форум по менеджменту защиты информации (ISMF — Information Security Management
Forum);
СМИБ — Система менеджмента информационной безопасности (ISMS — Information Security
Management System);
IT — Информационная технология (IT — Information Technology):
SLA — Соглашение о качестве предоставляемых услуг (SLA — Service Level Agreement);
SOA — Заявление о применимости (SOA — Statement of Applicability).
5 Защита медицинской информации
5.1 Цели защиты медицинской информации
Сохранение конфиденциальности, доступности и целостности (включая подлинность, подотчет
ность и контролируемость) информации является главнейшей целью защиты информации. В здравоох
ранении конфиденциальность объектов оказания медицинской помощи зависит от сохранения конфи
денциальности персональной медицинской информации. Чтобы сохранить конфиденциальность, также
должны быть приняты меры по сохранению целостности данных, если это может являться единствен
ной причиной, по которой может быть нарушена целостность данных управления доступом, журналов
аудита и других системных данных способами, которые позволяют нарушениям конфиденциальности
происходить или оставаться незамеченными. Кроме того, безопасность пациентов зависит от поддер
жания целостности персональной медицинской информации; неспособность сделать это может также
привести к болезни, травме или даже смерти. Точно так же, высокий уровень доступности является осо
бенно важным атрибутом системы здравоохранения, где лечение часто строго ограничено во времени.
Действительно, стихийные бедствия, которые могут привести к перебоям в других, не связанных со
здоровьем, информационных системах, могут происходить именно в то время, когда информация, со
держащаяся в системе здравоохранения, наиболее необходима. Кроме того, атаки на сетевые системы
типа «отказ в обслуживании» становятся все более распространенным явлением.
Элементы управления, описанные в разделе 7.это элементы, которыеобозначены как подходящие
для здравоохранения в целях защиты конфиденциальности, целостности идоступности персональной
медицинской информации и обеспечения того, что доступ к такой информации может быть проверен и
обеспечен. Эти элементы управления помогают предотвратить ошибки в медицинской практике, кото
рые могут быть вызваны неспособностью поддерживать целостность медицинской информации. Кроме
того, они помогают гарантировать поддержание непрерывности предоставления медицинских услуг.
4