ГОСТРИСО 27799—2015
Введение
Настоящий стандарт представляет собой руководство для медицинских организаций и других
хранителей персональной медицинской информации о том. как лучше всего сохранить конфиденци
альность. целостность и доступность такой информации путем внедрения ИСО/МЭК 270021>. В част
ности, настоящий стандарт касается особых потребностей в области менеджмента защиты инфор
мации в сфере здравоохранения и специфичных условиях его выполнения. В то время как защита и
безопасность персональной информации очень важны для всех частных лиц. корпораций, организа ций
и правительств, в сфере здравоохранения существуют особые требования, которые должны быть
соблюдены для обеспечения конфиденциальности, целостности, возможности проверки и доступности
персональной медицинской информации. Этот тип информации рассматривается многими как один из
самых конфиденциальных видов персональной информации. Защита этой конфиденциальности не
обходима. если должна поддерживаться конфиденциальность объекта оказания медицинской помощи.
Для обеспечения безопасности пациентов должна быть защищена целостность медицинской инфор
мации. и важным компонентом этой защиты является обеспечение того, чтобы весь жизненный цикл
информации полностью поддавался проверке. Доступность медицинской информации также имеет
большое значение для эффективного предоставления медицинских услуг. Системы информатизации
здоровья должны соответствовать специфичным потребностям для того, чтобы оставаться в рабочем
состоянии на фоне стихийных бедствий, системных сбоев и атак типа «отказ в обслуживании». Следо
вательно. защита конфиденциальности, целостности и доступности медицинской информации требует
опыта, специфичного для сектора здравоохранения.
Эффективный менеджмент IT-защиты в области здравоохранения становится все более необхо
димым при все более широком использовании беспроводных и интернет-технологий при предоставле
нии медицинских услуг. При ненадлежащем применении эти сложные технологии повысят риски для
конфиденциальности, целостности и доступности медицинской информации. Независимо от размера,
расположения и модели предоставления услуг, все медицинские организации должны иметь строгий
контроль, чтобы защитить вверенную им медицинскую информацию. Тем не менее, многие специали сты
в области здравоохранения работают как самостоятельные врачи или небольшие клиники, которые не
имеют выделенных информационно-технологических ресурсов для управления защитой информа ции.
Поэтому медицинские учрехздения должны иметь четкое, сжатое и специфичное для здравоохра нения
руководство по выбору и реализации такого контроля. Это руководство должно быть адаптируе мо к
широкому диапазону размеров, мест применения и моделей предоставления услуг, имеющихся в
здравоохранении. Наконец, с ростом электронного обмена персональной медицинской информацией
между работниками здравоохранения в принятии общих рекомендаций для управления защитой ин
формации в сфере здравоохранения имеются очевидные преимущества.
ИСО/МЭК 27002 уже широко используется для управления защитой информационных техноло
гий для информатизации здоровья через национальные или региональные руководства в Австралии,
Канаде. Франции. Нидерландах. Новой Зеландии. Южной Африке и Великобритании. В других странах
также растет интерес к этому. Настоящий стандарт опирается на опыт, накопленный в ходе попыток
стран обеспечить защиту персональной медицинской информации и предназначен в качестве докумен
та, сопутствующего ИСО/МЭК 27002. Он не предназначен для замены ИСО/МЭК 27002 или
ИСО/МЭК 27001. Он. скорее, является дополнением к этим более обобщенным стандартам.
Настоящий стандарт применяет ИСО/МЭК 27002 к области здравоохранения таким образом,
чтобы тщательно рассмотреть вопрос о надлежащем применении мер безопасности в целях защиты
персональной медицинской информации. Эти соображения, в некоторых случаях, привели авторов к
выводу, что применение определенных целей контроля, указанных в ИСО/МЭК 27002, необходимо,
если персональная медицинская информация должна быть защищена надлежащим образом. Поэто му
настоящий стандарт устанавливает ограничения на применение определенных мер безопасности,
указанных в ИСО/МЭК 27002. Это в свою очередь привело к включению в раздел 7 нескольких норма
тивных актов, согласно которым применение данного контроля безопасности является обязательным.
Например, в 7.2.1 определено следующее:
«Организации, занимающиеся обработ
к
ой медицинс
к
ой информации, в том числе личной меди
цинс
к
ой информации,
должны
иметь полити
к
у по защите информации в письменном виде, одобрен-
ОЭто руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
IV