ГОСТР ИСО 27799—2015
частым ошибкам, в том числе выполнению неправильных процедур. Другие последствия таких огра
ничений в ресурсах, включают в себя системы, к разработке, внедрению и эксплуатации которых от
неслись крайне несерьезно, или системы, используемые в течение долгого времени после того, как их
следовало снять с эксплуатации. Эти факторы могут увеличить возможность возникновения отдельных
видов угроз и усугубить уязвимость. С другой стороны, клиническое лечение по-прежнему является
процессом, который включает в себя большое количество профессиональных, технических, админи
стративных. подсобных и добровольных сотрудников, многие из которых рассматривают свою работу
как призвание. Их преданность и разнообразие опыта часто может уменьшить подверженность уязви
мостям. Высокий уровень профессиональной подготовки, полученный многими работниками здраво
охранения. также отличает здравоохранение от многих других отраслей промышленности в снижении
возникновения внутренних угроз.
Решающее значение правильного определения объектов оказания медицинской помощи и пра
вильного их сопоставления с медицинскими картами приводит медицинские организации к необходимо
сти собирать подробную идентифицирующую информацию. Региональные или юрисдикционные реги
стры пациентов (то есть регистры объекта оказания медицинской помощи) иногда являются наиболее
полными и современными хранилищами идентифицирующей информации, доступной в юрисдикции.
Эта идентифицирующая информация имеет большую потенциальную ценность для тех. кто хотел бы
использовать ее для совершения кражи персональных данных, и поэтому должна быть строго защи
щена.
Поэтому следует с особой тщательностью рассматривать среду здравоохранения с ее специфи
ческими угрозами и уязвимостями. Приложение А содержит информационный список видов угроз,
которые должны быть рассмотрены медицинскими организациями при оценке рисков для конфиден
циальности. целостности и доступности медицинской информации и для целостности и доступности
соответствующих информационных систем.
6 Практический план действий по внедрению ИСО/МЭК 27002
6.1 Систематизация стандартов ИСО/МЭК 27002 и ИСО/МЭК 27001
ИСО/МЭК 27002 предоставляет стандартный перечень целей контроля в 11 областях, содержа
щих в общей сложности 39 основных категорий безопасности, каждая с описанием одного или несколь
ких средств контроля защиты. Специалисты по внедрению ИСО/МЭК 27002 в среде здравоохранения
могут отметить, что большинство целей контроля применимо почти во всех ситуациях. Тем не менее,
пользователям стандартов в здравоохранении также необходимо распознавать ситуации, в которых
может возникнуть необходимость в дополнительных целях управления. Это часто происходит, когда
клинические процессы пересекаются со специализированными устройствами, такими как сканеры,
машины для инфузий и т. д.. даже если средства контроля защиты относятся только к поддержанию
целостности данных устройства. В разных юрисдикциях также имеются различные правовые системы,
которые могут изменить требуемую область применения деятельности по согласованию.
ИСО/МЭК 27001 вводит понятие «Система менеджмента информационной безопасности (СМИБ)»
и описывает необходимость этой подробной системы элементов управления, когда прилагаются усилия
по достижению целей защиты, применимые согласно оценке рисков. Международный опыт и признан
ные передовые практические принципы защиты информации показывают, что постоянное соблюдение
ИСО/МЭК 27002 может быть наилучшим образом обеспечено посредством внедрения системы управ
ления. как показано на рисунке 1.
При наличии возможности медицинские организации должны объединять свои СМИБ с процес
сами управления информацией, описанными в 5.2 и 5.3, а также принять во внимание рекомендации,
приведенные в 6.2—6.7.
Распространенная ошибка, в особенности среди медицинских организаций, у которых обычно от
сутствуют основные требования, предъявляемые к официальной аккредитации или сертификации, за
ключается в том. что соответствие с ИСО/МЭК 27002 описано как основание для утверждения перечня.
Для полного соответствия организации должны быть в состоянии продемонстрировать работающую
СМИБ. содержащую соответствующие процессы проверки соответствия. Это соответствие хорошо впи
сывается в нормативно-правовую базу, в соответствии с которой обычно работают медицинские орга
низации. См. также 7.12.
7