ГОСТР ИСО 27799—2015
И ИСО/МЭК 27001. и ИСО/МЭК/ТО 13335-3 определяют компоненты риска и управление риском
как:
a) идентификацию бизнес-активов, угроз и уязвимостей;
b
) оценку последствий для бизнеса;
c) вероятность угроз и оценку уязвимостей;
d) определение уровней риска;
e) идентификацию рекомендованных средств контроля защиты;
0 сравнение с существующими средствами контроля, что позволяет определить области остаточ
ного риска;
д) возможности для обработки рисков, включая прямое управление, принятие рисков, исключение
рисков, управляемый перенос и т. д.;
h) планы по оценке и обработке рисков.
i) отображение решений, выбранных согласно списку в руководствах ИСО/МЭК 27002.
Все это применимо к здравоохранению, хотя «оценка последствий для бизнеса» явно должна
включать в себя много различных медицинских профессий. Оценка рисков защиты информации, вы
полняемая медицинскими организациями, принесет выгоду, если будет следовать этой модели.
В дополнение к вышеуказанному списку, важно также сформировать представление о зависимо
сти бизнес-процессов от IT-услуг, оборудования, программного обеспечения, мультимедиа и места. Без
этого представления, следующего за оценкой последствий для бизнеса, понимание соответствующих
сценариев неудачи будет почти невозможно. В сеете возможного сильного воздействия на медицинские
организации, понимание этих зависимостей имеет большое значение.
6.4.4.4 Требуемые навыки и вклады
Как правило, анализ рисков не может быть проведен любым человеком в одиночку, за исключени
ем тех случаев, когда лицо выражает свое собственное мнение. Скорее, это деятельность, направлен
ная на достижение договоренности, так что все точки зрения собираются и действительно учитывают
ся. В действительности все люди имеют разные точки зрения и разные взгляды на допустимость риска.
Для того, чтобы добиться реалистичных «сценариев наихудших случаев» воздействий, вероятностей
угрозы и уязвимостей, скорее всего, будет необходимо учитывать проблемы, даже гипотетические и
маловероятные.
Естественно, реальные случаи из прошлого поумолчанию являются реалистичными, но они могут
не быть худшими. Для определения наихудших случаев могут потребоваться специалисты в этой обла
сти. Однако сценарии с несколькими условными операторами вряд ли будут реалистичными.
Работни ки здравоохранения, скорее всего, извлекут выгоду из работы IT-лерсоиала, который будет в
состоянии идентифицировать виды отказов и сценарии, требующие оценки.
Эффективная оценка рисков защиты информации в сфере здравоохранения требует наличия
следующих знаний и навыков:
a) знания в области ухода за больным и клинической практики, в том числе ведение записей и со
ставление направлений для предоставления медицинских услуг;
b
) знание форматов клинических данных и возможность злоупотребления этими данными.
c) знание факторов внешней среды, что может усилить или смягчить любой или все уровни ком
понентов риска, описанных выше;
d) информация об атрибутах IT и медицинского прибора и характеристики работоспособности /
отказа медицинского оборудования;
е) знание предыдущих происшествий и сценариев реальных случаев воздействия:
0 детальное знание системной архитектуры;
д) знание программ по контролю над изменениями, которые могут внести изменения в любой уро
вень компонентов риска или во все сразу.
6.4.4.5 Требуемые результаты
ИСО/МЭК ТР 13335-3 определяет следующие обычные результаты:
a) отчет об оценке рисков;
b
) план обработки рисков.
Кроме того, медицинские организации должны также выполнять:
c) модели активов/зависимостей (в поддержку оценки рисков);
d) отчеты о состоянии средств управления;
е) итоговые отчеты по обработке рисков (в поддержку анализа пробелов и заявлений о примени
мости).
13