ГОСТР ИСО 27799—2015
работников имеет краткосрочный доступ к персональной медицинской информации. Необходимо тща
тельно контролировать прекращение прав таких работников на доступ. В то же время, в здравоохра
нении многие действия выполняются после времени предоставления медицинских услуг (например,
окончание расшифровки медицинских записей). Это может значительно усложнить процесс своевре
менного прекращения прав, и эти действия должны учитываться при проектировании и внедрении про
цедур прекращения прав на доступ.
Медицинские организации должны серьезно задуматься над немедленным прекращением прав
доступа после получения заявления об увольнении по собственному желанию или уведомления об
увольнении и т.д.. в случае, если существует возможность рисков при сохранении этих прав на доступ.
7.6 Физическая безопасность и безопасность сроды
7.6.1 Безопасные зоны
7.6.1.1 Периметр физической безопасности
К
онт
р
о
л
ь
Организации, занимающиеся обработкой персональной медицинской информации, должны ис
пользовать периметры безопасности для защиты зон. содержащих средства обработки, поддерживаю
щие эти применения в здравоохранении. Эти безопасные зоны должны защищаться соответствующими
мерами по контролю доступа для обеспечения того, что только уполномоченные сотрудники имеют
доступ.
Руководство по внедрению
В дополнение к руководствам, данным в ИСО/МЭК 27002. важно осознавать, что во многих ситуа
циях здравоохранения установка периметров безопасности особенно сложна. Многие рабочие области
заполняются объектами оказания медицинской помощи. На самом деле, возможно, нет такого промыш
ленного сектора, где люди имеют такой доступ к рабочим областям, кроме как в здравоохранении. В
то же время, необходимо поддерживать безопасную среду, сохраняющую физическую безопасность и
без опасность объектов оказания медицинской помощи, а также безопасность данных и систем,
которые могут быть доступны в этой среде.
В отличие от клиентов в других промышленных секторах, клиенты в здравоохранении часто фи
зически не имеют возможности обеспечить личную защиту и безопасность. Меры по обеспечению фи
зической безопасности для информации должны быть согласованы с мерами пообеспечению физиче
ской безопасности и защиты для объектов оказания медицинской помощи. Медицинские организации
обязаны защищать и то. и то.
7.6.1.2 Средства управления физическим доступом; обеспечение безопасности офисов, помеще
ний и сооружений; защита от внешних угроз и угроз внутри среды; работа в безопасных зонах
Руководство по внедрению
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002. организации, занимающие
ся обработкой персональной медицинской информации, должны делать целесообразные шаги по обе
спечению того, что люди имеют доступ к IT-оборудованию (серверам, устройствам хранения, термина
лам и экранам) в той степени, в которой этого требуют физические преграды и клинические процессы.
7.6.1.3 Публичный доступ, области доставки и загрузки
Руководство по внедрению
В дополнение к инструкциям, указанным в ИСО/МЭК 27002. важно осознавать, что оказание меди
цинской помощи включает в себя различные обстоятельства, при которых общество (объекты оказания
медицинской помощи и поддерживающие их лица) имеет физический допуск в области, где хранится
огромное количество конфиденциальной информации (например, лабораторные испытания, где рабо
чий процесс может потребовать сбора информации по объектам оказания медицинской помощи в той
же области, в которой в настоящее время обрабатываются данные предыдущих объектов; зоны тера
пии с отделениями оказания неотложной помощи, где близкие или родственники потенциально могут
столкнуться со значительным количеством защищаемой вербальной и визуальной информации о дру
гих объектах оказания медицинской помощи, рабочие места для ухода за больным с использованием
вычислительной техники, расположенные рядом с палатами пациентов). Это все физические области в
сфере здравоохранения, которые собирают медицинскую информацию через опросы и которые со
держат системы, где данные отображаются на экране, и. следовательно, должны быть предметом до
полнительного изучения.
25