ГОСТРИСО 27799—2015
l
Поскольку здравоохранение — это сектор, имеющий обязательства (как юридические, так и про
фессиональные) по соблюдению соответствия и ответственности по управлению рисками, результат,
который отображает все связанные оценки риска, выполненные специалистами разных направлений
или функциональных групп, следует рассматривать как помощь в эффективном управлении информа
цией и обеспечении целостности отдельных оценок риска.
6.4.5 Управление рисками
6.4.5.1 Оценка рисков
Оценка рисков предназначена бытьсредством достижения цели. Она недолжна быть самоцелью,
но часто именно так и оказывается. Это особенно относится к средам с ограничениями по ресурсам,
как. например, во многих медицинских организациях. Управление рисками реагирует на оценку выявле
нием того, какие элементы управления следует усилить, какие элементы управления уже эффективно
размещены и какие дополнительные элементы управления организация должна внедрить для того,
чтобы снизить остаточный уровень риска до приемлемого уровня.
Возрастающая взаимосвязь информационных систем здравоохраненияделаетуправление риска
ми в здравоохранении особенно сложным, так как немногие медицинские организации могут работать
так. как будто их системы информации являются изолированными. Оценка рисков в
здравоохранении часто затрагивает вопросы о безопасном хранении информации, праве
собственности на информацию и ответственности за информацию. Действенное управление рисками
должно обеспечивать регулиров ку ответственности за защиту информации и полномочий на принятие
решений по управлению рисками.
6.4.5.2 Обработка рисков
Чтобы четко отличать процесс управления рисками в целом от управления выявленными риска
ми. в стандарте Австралии и Новой Зеландии AS/NZ 4360 было введено понятие «обработка рисков».
Это понятие впоследствии было принято стандартом ИСО/МЭК 27001.
«Обработка рисков» обозначает деятельность по снижению риска до приемлемого уровня (при
знавая. нельзя предоставитьдостаточный объем ресурсов для того, чтобы даже попытаться полностью
предотвратить риски). Обработка рисков особенно уместна для медицинских организаций, фактически
принося с собой понятия «обрабатывать, передавать или допускать» по отношению к рискам.
Определение того, что является приемлемым, является и должно оставаться специфичным для
организации и работающего в ней персонала. Оно должно отражать склонность организации к рискам и
должна быть использована для обеспечения того, что расходы на улучшение защиты информации
оправданы, и представляет собой явно хорошее использование ограниченных финансовых ресурсов.
6.4.5.3 Критерии приемлемости рисков
Медицинские организации должны определить и задокументировать свои критерии приемлемо
сти рисков. Факторов, которые следует учитывать, множество и они являются переменными, однако
следует рассмотреть для включения следующее:
a) стандарты сектора здравоохранения, промышленности или организации;
b
) клинические или другие приоритеты;
c) соответствие корпоративной культуре;
d) реакции объектов оказания медицинской помощи;
e) согласованность со стратегией приемлемости рисков IT, клиники и компании:
0 стоимость:
д) эффективность;
h) тип защиты;
i) количество охватываемых угроз:
j) уровень риска, при котором элементы управления становятся оправданными,
k) уровень риска, который привел к созданию рекомендаций;
) уже действующие альтернативы;
т ) дополнительные полученные выгоды.
Взятые вместе, эти факторы дадут оценку рентабельности, которая может подкрепить необходи
мое экономическое обоснование для поиска финансирования.
Решение, как правило, принятое ISMF. согласно которому определенный элемент управления не
должен быть внедрен, имеет полную силу, но должно быть официально зарегистрировано для перио
дического обзора и переоценки. Медицинские организации должны документировать принятые риски.
6.4.5.4 Планы по управлению особыми областями рисков
Вышеуказанный процесс должен включать в себя соглашение о том, когда (хотя для него при
емлемо и «никогда») будут приняты меры по снижению выявленного риска посредством внедрения
элемента(ов) управления.
14