Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 28 декабря 2015 г. N 2222-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
С МЕДИЦИНСКИМИ ПРИБОРАМИ
ЧАСТЬ 1
РОЛИ, ОТВЕТСТВЕННОСТИ И ДЕЙСТВИЯ
Health informatics. Risk management for IT-networks
incorporating medical devices. Part 1. Roles,
responsibilities and activities
IEC 80001-1:2010
Application of risk management for IT-networks incorporating
medical devices - Part 1: Roles, responsibilities
and activities
(IDT)
ГОСТ Р МЭК 80001-1-2015
Группа П85
ОКС 11.040.01
35.240.80
ОКСТУ 4002
Дата введения
1 ноября 2016 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO TC 215
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 28 декабря 2015 г. N 2222-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 80001-1:2010 "Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 1. Роли, ответственности и действия" (IEC 80001-1:2010 "Application of risk management for IT-networks incorporating medical devices - Part 1: Roles, responsibilities and activities").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Все большее число МЕДИЦИНСКИХ ПРИБОРОВ проектируется для электронного обмена данными с другим оборудованием пользователя, включая также и различные МЕДИЦИНСКИЕ ПРИБОРЫ. Обмен подобной информацией осуществляется через информационную сеть (ИТ-СЕТЬ), предназначенной для передачи данных более общего характера.
В то же время ИТ-СЕТИ становятся все более востребованными для формирования информационной среды клиники и используются для передачи разнообразной информации: от жизненно-важных данных о пациенте, требующих немедленной передачи и ответа, до информации об общей деятельности компании и электронной почты с возможно вредоносным содержанием (например, вирусами).
Во многих юрисдикциях проектирование и производство МЕДИЦИНСКИХ ПРИБОРОВ подчиняется техническим регламентам и стандартам, признаваемым регулирующими государственными органами, которые традиционно уделяют особое внимание производителям МЕДИЦИНСКИХ ПРИБОРОВ и требуют, чтобы МЕДИЦИНСКИЕ ПРИБОРЫ соответствовали их конструктивным характеристикам, а ПРОЦЕСС проектирования и изготовления МЕДИЦИНСКИХ ПРИБОРОВ был документально оформлен. МЕДИЦИНСКИЕ ПРИБОРЫ не могут быть выпущены в продажу в этих юрисдикциях без подтверждения соответствия данным требованиям.
Использование МЕДИЦИНСКИХ ПРИБОРОВ персоналом медицинского учреждения также подчиняется техническим регламентам. Лица из персонала медицинского учреждения, использующие МЕДИЦИНСКИЕ ПРИБОРЫ, должны быть соответственно подготовлены и квалифицированы, а также они должны уделять наибольшее внимание выполнению определенных ПРОЦЕССОВ, специально разработанных для защиты пациентов от недопустимого РИСКА.
В то же время, включение МЕДИЦИНСКИХ ПРИБОРОВ в ИТ-СЕТИ клиники является наименее регулируемой областью деятельности. В соответствии с [1] если предполагается подключение МЕДИЦИНСКОГО ПРИБОРА к ИТ-СЕТИ, то производители МЕДИЦИНСКИХ ПРИБОРОВ должны включать в СОПРОВОДИТЕЛЬНЫЕ ДОКУМЕНТЫ всю необходимую информацию. Существуют также общие стандарты по информационным технологиям, включающие планирование, проектирование и обслуживание ИТ-СЕТЕЙ, например [9]. Тем не менее до публикации настоящего стандарта ни один из стандартов не затрагивал вопрос о том, как МЕДИЦИНСКИЕ ПРИБОРЫ могут быть подключены к ИТ-СЕТЯМ, включая ИТ-СЕТИ общего назначения, для достижения ИНТЕРОПЕРАБЕЛЬНОСТИ без ущерба для организации и предоставления медицинских услуг, осуществляющихся с обеспечением БЕЗОПАСНОСТИ, ЭФФЕКТИВНОСТИ, а также ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ.
Существует ряд возможных проблем, связанных с подключением МЕДИЦИНСКИХ ПРИБОРОВ в ИТ-СЕТИ:
- не рассматривается РИСК от применения ИТ-СЕТЕЙ при оценке уровня РИСКА клиники;
- отсутствует поддержка производителями МЕДИЦИНСКОГО ПРИБОРА процесса подключения их изделия к ИТ-СЕТИ (например, недоступны или недостаточно надежны данные, предоставляемые производителем ОПЕРАТОРУ ИТ-СЕТИ);
- МЕДИЦИНСКИЕ ПРИБОРЫ работают неправильно или частично выполняют свои функции (например, из-за несовместимости или ненадлежащей конфигурации) в результате их объединения с другим оборудованием в одной ИТ-СЕТИ;
- МЕДИЦИНСКИЕ ПРИБОРЫ работают неправильно вследствие объединения ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ МЕДИЦИНСКИХ ПРИБОРОВ и других приложений (например, открытых систем обмена электронной почтой или компьютерных игр) в одной ИТ-СЕТИ;
- отсутствие у многих МЕДИЦИНСКИХ ПРИБОРОВ управления безопасностью;
- противоречие между необходимостью строгого управления изменениями в МЕДИЦИНСКИХ ПРИБОРАХ и необходимостью быстрой реакции на угрозу кибератаки.
Если эти проблемы появляются, то они вызывают непредвиденные последствия. Настоящий стандарт предназначен для ОТВЕТСТВЕННЫХ ОРГАНИЗАЦИЙ, производителей МЕДИЦИНСКИХ ПРИБОРОВ и поставщиков других информационных технологий.
Положения нормативных и справочных разделов настоящего стандарта основаны на следующих принципах:
- Подключение или отключение МЕДИЦИНСКОГО ПРИБОРА или других компонентов к ИТ-СЕТИ должно выполняться в соответствии с предварительно выполненным проектом; проектирование может быть выполнено без участия производителя МЕДИЦИНСКОГО ПРИБОРА.
- Во избежание неприемлемых РИСКОВ, включая возможный РИСК для пациентов из-за подключения МЕДИЦИНСКОГО ПРИБОРА к ИТ-СЕТИ, до такого подключения, а также для любых изменений в ходе всего жизненного цикла формируемой МЕДИЦИНСКОЙ ИТ-СЕТИ должен быть реализован МЕНЕДЖМЕНТ РИСКОВ. При определении допустимого РИСКА необходимо учитывать много факторов, таких как ответственность по возмещению ущерба, стоимость, а также влияние на выполняемую целевую задачу кроме требований, описанных в настоящем стандарте.
- Помимо подключения МЕДИЦИНСКИХ ПРИБОРОВ также необходимо уделить внимание вопросам демонтажа, обслуживания, изменения или модификации оборудования, его элементов и компонентов.
- Производитель МЕДИЦИНСКОГО ПРИБОРА несет ответственность за МЕНЕДЖМЕНТ РИСКОВ МЕДИЦИНСКОГО ПРИБОРА в процессе его проектирования, разработки и изготовления. Настоящий стандарт не рассматривает ПРОЦЕСС УПРАВЛЕНИЯ РИСКАМИ для МЕДИЦИНСКОГО ПРИБОРА.
- От производителя МЕДИЦИНСКОГО ПРИБОРА, предназначенного для подключения к ИТ-СЕТИ, может потребоваться информация о МЕДИЦИНСКОМ ПРИБОРЕ, необходимая ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ для осуществления МЕНЕДЖМЕНТА РИСКОВ в соответствии с настоящим стандартом. Такая информация может содержаться в являющихся частью СОПРОВОДИТЕЛЬНЫХ ДОКУМЕНТОВ инструкциях, специально предназначенных для лиц, выполняющих подключение МЕДИЦИНСКОГО ПРИБОРА к ИТ-СЕТИ.
- Такие СОПРОВОДИТЕЛЬНЫЕ ДОКУМЕНТЫ должны содержать инструкции по подключению МЕДИЦИНСКИХ ПРИБОРОВ к ИТ-СЕТИ, по передаче данных МЕДИЦИНСКИХ ПРИБОРОВ через ИТ-СЕТЬ и о минимальных характеристиках ИТ-СЕТИ, необходимых для ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ МЕДИЦИНСКОГО ПРИБОРА, включенного в ИТ-СЕТЬ. СОПРОВОДИТЕЛЬНЫЕ ДОКУМЕНТЫ должны предупреждать о возможных опасных ситуациях, связанных с отказом или сбоями в ИТ-СЕТИ, а также о неправильном соединении в ИТ-СЕТИ или об информации, передаваемой через ИТ-СЕТЬ.
- СОГЛАШЕНИЯ ОБ ОТВЕТСТВЕННОСТИ могут устанавливать роли и ответственности лиц, занимающихся подключением МЕДИЦИНСКОГО ПРИБОРА к ИТ-СЕТИ, устанавливать все аспекты жизненного цикла создаваемой МЕДИЦИНСКОЙ ИТ-СЕТИ и все действия, которые формируют данную стадию жизненного цикла.
- ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ необходимо назначить конкретному лицу соответствующие роли, определенные в настоящем стандарте. Настоящий стандарт определяет ответственности для этих ролей. Наиболее важной ролью является роль СПЕЦИАЛИСТА ПО УПРАВЛЕНИЮ РИСКАМИ МЕДИЦИНСКОЙ ИТ-СЕТИ. Данная роль может быть назначена одному из членов ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ или внешнему подрядчику.
- СПЕЦИАЛИСТ ПО УПРАВЛЕНИЮ РИСКАМИ МЕДИЦИНСКОЙ ИТ-СЕТИ несет ответственность за включение процедуры МЕНЕДЖМЕНТА РИСКОВ в ПРОЦЕССЫ:
- планирования и проектирования новых подключений МЕДИЦИНСКИХ ПРИБОРОВ в сеть или внесения изменений в эти подключения;
- ввода МЕДИЦИНСКОЙ ИТ-СЕТИ в эксплуатацию и последующего использования МЕДИЦИНСКОЙ ИТ-СЕТИ; и
- УПРАВЛЕНИЯ ИЗМЕНЕНИЯМИ И ВЕРСИЯМИ и управления изменениями ИТ-СЕТИ на протяжении всего жизненного цикла ИТ-СЕТИ.
- МЕНЕДЖМЕНТ РИСКОВ следует применять для обеспечения следующих ОСНОВНЫХ СВОЙСТВ для ИТ-СЕТИ, включающей в себя МЕДИЦИНСКИЙ ПРИБОР:
- БЕЗОПАСНОСТЬ (отсутствие неприемлемого РИСКА физической травмы, или ущерба здоровью людей, или ущерба имуществу, или окружающей среде);
- ЭФФЕКТИВНОСТЬ (способность достигать желаемых результатов по отношению к пациенту и ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ); и
- ЗАЩИТА ДАННЫХ И СИСТЕМЫ [рабочее состояние МЕДИЦИНСКОЙ ИТ-СЕТИ, в котором информационные средства (данные и системы) в достаточной степени защищены от нарушения конфиденциальности, полноты и доступа].
1 Область применения
Признавая тот факт, что МЕДИЦИНСКИЕ ПРИБОРЫ подключают к ИТ-СЕТЯМ для достижения желаемых преимуществ (например, ИНТЕРОПЕРАБЕЛЬНОСТИ), настоящий стандарт определяет роли, ответственности и действия, необходимые для МЕНЕДЖМЕНТА РИСКОВ в ИТ-СЕТЯХ, содержащих МЕДИЦИНСКИЕ ПРИБОРЫ, для обеспечения БЕЗОПАСНОСТИ, ЭФФЕКТИВНОСТИ и ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ (ОСНОВНЫХ
Для просмотра документа целиком скачайте его >>>