ГОСТРИСО 27799—2015
13) Техническая неисправность ведущего компьютера, накопителей или инфраструктуры сети
Этиугрозывключаютвсебяотказ оборудования, сбои сетиилисбои вработе накопителей информации. Та
киеотказы обычно представляют собой сбой одного или нескольких элементовуправления операциями, перечис
ленными в разделе 10 ИСО/МЭК 27002:2005. Хотя это и не является специфичным для информационных систем
здравоохранения, потерядоступности такихсистем гложет впоследствии представлять угрозужизни пациентов.
14) Сбой в системе жизнеобеспечения (включая перебои в подаче электроэнергии и перебои с обслужи
ванием. связанные состихийными бедствиями или техногенными катастрофами)
Информационныесистемы здравоохранениямогутиметьрешающеезначение вовремястихийныхбедствий
и других событий, которые могут угрожать жизни большого числа людей. Эти же бедствия могут нанести ущерб
системам жизнеобеспечения, необходимымдля проведения операций. Надлежащая оценка угроз и рисков меди
цинской информации о состоянии здоровьябудет включать в себя оценку того, насколько важны такиесистемы в
случае стихийных бедствий, и насколькоустойчивой будет их работа при такихсценарияхбедствия.
15) Сбой системы или сетевого программного обеспечения
Атаки типа отказ в обслуживании значительно облегчаются слабостью или неверной настройкой операци
онной системы или программного обеспечения сетевой операционной системы. Сбой системы или сетевого про
граммного обеспечения представляет собой сбой в проверке целостности программного обеспечения, испытаний
системы илиэлементы управлениясопровождения программногообеспечения.
16) Сбой прикладного программного обеспечения (например, приложения для доступа к медицинской
информации)
Сбоиприкладногопрограммногообеспечения могутбыть использованы ватакахтипаотказвобслуживании,
а также могут быть использованы для того, чтобы скомпрометировать конфиденциальность защищенных дан
ных. Сбой прикладного программного обеспечения представляет собой сбой в испытании программного обеспе
чения. контроле над внесением изменений в программное обеспечение или проверке целостности программного
обеспечения.
17) Ошибка оператора
Счета об ошибках оператора образуют небольшую, но ощутимую часть непреднамеренных разглашений
конфиденциальной информации и значительнуючасть непреднамеренных раскрытийданных. Ошибка оператора
представляет собойсбой в одном или несколькихследующихдействиях:
i) управление работой.
ii) безопасность персонала (включая эффективную подготовку).
Ж) аварийное восстановление (включая резервное копирование и восстановлениеданных).
18) Ошибка технического обслуживания
Ошибки техническогообслуживания этоошибки,допущенные теми, ктоотвечает за техническоеобслужива
ниесистем аппаратного и программногообеспечения. Ошибки техническогообслуживания могут бытьсовершены
сотрудниками, а также сторонними сотрудниками, работающими надоговорной основе и выполняющими обязан
ности по техническомуобслуживанию. Такие ошибкимогут, в своюочередь, поставить подугрозу конфиденциаль
ность защищенныхданных. Неправильная настройка программногообеспечения во времяустановки являетсяча
стой причиной возникновения уязвимостей, позже используемых хакерами. Ошибки обслуживания представляют
собойсбойвсредствахуправленияаппаратногообеспечениятехническогообслуживания, всредствахуправления
программного обеспечения технического обслуживания, средствах контроля изменений в программном обеспече
нии или комбинациювышеперечисленныхсбоев.
19) Ошибка пользователя
Ошибка пользователями может, например, привести к тому, что конфиденциальная информация будет от
правлена к неправильному получателю. Ошибкапользователя иногда может представлятьсобойсбой в:
i) элементах управления пользователя.
ii) безопасности персонала (включая подготовку).
20) Нехватка персонала
Угроза нехватки персонала включает в себя возможность отсутствия ключевого персонала и сложность
его замены. Уязвимость к этой угрозе зависит от степени, в которой нехватка персонала будет влиять на биз
нес-процессы. В здравоохранении эпидемия, которая значительно увеличивает спрос на своевременный до
ступ к медицинской информации, гложет также создать нехватку персонала, что ставит под угрозу наличие таких
систем. Сбой подобного рода представляет собой сбой в управления непрерывностью бизнеса (см. раздел 14
ИСО/МЭК27002:2005).
21) Кража сотрудниками организации (включая кражуоборудования илиданных)
Сотрудники организации, как правило, имеют более широкийдоступ к конфиденциальной информации, чем
посторонние, и поэтому находятся в выгодном положении для кражи информации для того, чтобы продатьее или
раскрыть ее другим лицам. Хотя угроза кражи персональной медицинской информации сотрудниками организа
ции являетсясравнительно редкой,она увеличивается вместесо славой или скандальной известностью субьвкта
данных (например, знаменитости или главы государства) и уменьшается с потенциальной угрозой последующе
го наказания (например, потери врачом его лицензии на врачебную практику). Кража сотрудниками организации
представляет собой отказ одного из многих возможных элементов управления, в том числе управления выхода
печатной копии, документов или информации, физической безопасности или физической защиты оборудования.
40