ГОСТР ИСО 27799—2015
7.9.4.3 Контроль доступа к исходному коду программы
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.9.5 Безопасность в процессах разработки и поддержки и контроль технической уязвимости
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.10 Управление инцидентами защиты информации
7.10.1 События и слабости в системе безопасности отчетной информации
Руководство по внедрению
Помимо инструкций, указанных в ИСО/МЭК 27002, организации, занимающиеся обработкой пер
сональной медицинской информации, должны установить ответственности и процедуры касательно
инцидентов в системе безопасности, для того чтобы:
a) обеспечить быстрый, эффективный и последовательный отклик на инциденты в системе без
опасности:
b
) гарантировать то. что существует действенный иерархический порядок для таких инцидентов,
так чтобы можно было использовать управление в кризисных ситуациях и планы по управлению непре
рывности бизнеса при подходящих условиях и в нужное время;
c) собирать и сохранять данные по инциденту, такие как протоколы и журналы аудита, а также
другие свидетельства.
Инциденты в системе безопасности включают коррупцию или непреднамеренное разглашение
персональной медицинской информации, или потерю доступности информационных систем здравоох
ранения. где такая потеря отрицательно сказывается на уходе за больным или способствует неблаго
приятным клиническим событиям.
Организации должны уведомлять объект оказания медицинской помощи каждый раз. когда пер
сональная медицинская информация была непреднамеренно разглашена.
Организации должны уведомлять объект оказания медицинской помощи каждый раз. когда отсут
ствиедоступности информационныхсистем здравоохранения, возможно, неблагоприятно сказалось на
их лечении.
В медицинских организациях существует тенденция искусственно отделять инциденты защиты
информации от других типов инцидентов как в обращении, так и в отчетности. Учитывая тот факт, что
проникновение в систему могло привести к краже IT-оборудоеания (что приводит к нарушению конфи
денциальности) или что пожар мог быть устроен преднамеренно, чтобы скрыть факт злоупотребления
IT-оборудованием, или что определенное злоупотребление или неправильное использование системы
могло иметь клинические последствия, оценка защиты информации должна быть проведена в отноше
нии всех подобных инцидентов или инцидента-образца для дальнейшей оценки эффективности уста
новленных элементов управления и оценки рисков, которые привели к их внедрению.
7.10.2 Управление инцидентами и улучшениями
7.10.2.1 Обязанности и процедуры
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.10.2.2 Извлечение уроков из инцидентов
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.10.2.3 Сбор свидетельств
Руководство по внедрению
Помимо инструкций, указанных в ИСО/МЭК 27002. организации, занимающиеся обработкой пер
сональной медицинской информации, могут подумать о полезности сбора и свидетельств с целью
выявления врачебной ошибки, а также им может потребоваться учесть между-юрисдикционные тре
бования в случае, когда информационные системы здравоохранения доступны за пределами границ
юрисдикции.
7.11 Аспекты защиты информации в управлении непрерывностью бизнеса
Руководство по внедрению
Помимо инструкций, указанных в ИСО/МЭК 27002. следующие соображения важны в условиях
среды здравоохранения. Управление непрерывностью бизнеса, которое включает в себя аварийное
восстановление, все чаще признается в качестве требования для медицинских организаций, и приори
тет. которое оно имеет, продолжает расти. Отражая строгие требования к доступности в здравоохра
нении. основные усилия должны быть направлены на отказоустойчивость и исправление избыточного
35