ГОСТР ИСО 27799—2015
ную ру
к
оводством, опубли
к
ованную, а затем доведенную до всех сотрудни
к
ов и соответствующих
сторонних организаций».
В области здравоохранения организация (например, больница) может быть сертифицирована на
соответствие ИСО/МЭК 27001. при этом не требуется сертификация или даже признание соответствия
настоящему стандарту. Однако следует надеяться, что. ввиду того, что медицинские организации стре
мятся улучшить защиту персональной медицинской информации, а соответствие настоящему стандар ту.
как более строгому стандарту для здравоохранения, будет также иметь широкое распространение.
Все объекты контроля защиты, описанные в ИСО/МЭК 27002. имеют отношение к информатиза
ции здоровья, но некоторые элементы управления требуют дополнительных разъяснений касательно
того, каким образом они могут быть использованы, чтобы защитить конфиденциальность, целостность
и доступность информации о состоянии здоровья. Существуют также дополнительные требования, ха
рактерные для сферы здравоохранения. Настоящий стандарт содержит дополнительные указания в
формате, который лица, ответственные за защиту медицинской информации могут легко понять и
при менить.
Авторы настоящего стандарта не намереваются писать пособие по компьютерной безопасности
или заново формулировать то. что уже было написано в ИСО/МЭК 27002 или ИСО/МЭК 27001. Суще
ствует много требований безопасности, которые являются общими для всех систем, связанных с
при менением компьютерной техники, используемых в финансовом обслуживании, производстве,
управле нии производственными процессами или в любой другой организованной области
деятельности. Были предприняты объединенные усилия для того, чтобы сосредоточиться на
требованиях безопасности, необходимость которых вызвана уникальными задачами по
предоставлению электронной медицинской информации, которая поддерживает оказание помощи.
Кому адресован настоящий стандарт?
Настоящий стандарт предназначен для тех. кто отвечает за контроль защиты медицинской ин
формации. и для медицинских организаций и других хранителей медицинской информации, которым
необходимо руководство по данной теме, а также для их советников по безопасности, консультантов,
аудиторов, продавцов и третьих лиц. оказывающих услуги.
Преимущества использования настоящего стандарта
ИСО/МЭК 27002 является широким комплексным стандартом, и его рекомендации не адаптиро
ваны специально под требования здравоохранения. Настоящий стандарт позволяет последовательно
применить ИСО/МЭК 27002 в условиях здравоохранения и при этом особое внимание уделить специ
альным задачам, поставленным сферой здравоохранения. Соответствие настоящему стандарту помо
гает медицинским организациям сохранять конфиденциальность и целостность вверенных им данных,
обеспечивать доступность к основным информационным системам здравоохранения и распределять
ответственность за медицинскую информацию.
Принятие настоящего стандарта медицинскими организациями в пределах одной юрисдикции и
между юрисдикциями поможет взаимодействию и позволит безопасно внедрить новые совместные тех
нологии оказания медицинской помощи. Безопасный и конфиденциальный обмен информацией может
значительно улучшить результаты предоставления медицинских услуг.
Благодаря настоящему стандарту медицинские организации могут отметить снижение количества
и тяжести инцидентов в системе безопасности, позволяя перераспределить ресурсы для более продук
тивной деятельности. Защита IT позволит распределить ресурсы здравоохранения рентабельно и про
дуктивно. На самом деле, исследование, проведенное Форумом по защите информации и аналитиками
рынка, показало, что хорошая разносторонняя защита может увеличить эффективность организации
на целых 2 %.
Наконец, последовательный подход к защите ГГ. понятный всем лицам и организациям, относя
щимся к здравоохранению, улучшит моральное состояние коллектива и повысит доверие общества к
системам, хранящим персональную медицинскую информацию.
Как использовать настоящий стандарт
Читателям, еще не знакомым с ИСО/МЭК 27002, настоятельно рекомендуется ознакомиться с
вводными разделами настоящего стандарта, прежде чем продолжить его изучение. Специалисты по
внедрению настоящего стандарта должны сначала внимательно прочитать ИСО/МЭК 27002, так как в
тексте ниже будут неоднократно делаться ссылки на соответствующие разделы этого стандарта. На
стоящий стандарт не может быть полностью понят без знакомства с полным текстом ИСО/МЭК 27002.
Читателям, не знакомым с защитой медицинской информации и ее целями, задачами, и полным
контекстом, будет полезно прочитать краткое введение, которое можно найти в разделе 5.
V