Утвержден и введен в действие
Приказом Федерального
агентства по техническому
регулированию и метрологии
от 28 декабря 2015 г. N 2225-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДАЛЕННОГО ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ МЕДИЦИНСКИХ
ПРИБОРОВ И МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
ЧАСТЬ 1
ТРЕБОВАНИЯ И АНАЛИЗ РИСКОВ
Health informatics. Information security
management for remote maintenance of medical
devices and medical information systems.
Part 1. Requirements and risk analysis
ISO/TR 11633-1:2009
Health informatics - Information security
management for remote maintenance of medical
devices and medical information systems -
Part 1: Requirements and risk analysis
(IDT)
ГОСТ Р 56837-2015/ISO/TR 11633-1:2009
Группа П85
ОКС 35.240.80
ОКСТУ 4002
Дата введения
1 ноября 2016 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO TC 215
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2225-ст
4 Настоящий стандарт идентичен международному документу ISO/TR 11633-1:2009 "Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков" (ISO/TR 11633-1:2009 "Health informatics - Information security management for remote maintenance of medical devices and medical information systems - Part 1: Requirements and risk analysis", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Прогресс и распространение современных технологий в информационной и коммуникационной сферах, а также хорошо организованная структура, основанная на этих технологиях, внесли большие изменения в современное общество. В здравоохранении ранее закрытые информационные системы в каждом учреждении здравоохранения теперь объединены сетями, и на сегодняшний день технологии позволяют обеспечить взаимное использование медицинской информации, собранной в каждой информационной системе. Обмен подобной информацией по коммуникационным сетям реализуется не только между учреждениями здравоохранения, но и между учреждениями здравоохранения и поставщиками медицинского оборудования или медицинских информационных систем. Благодаря так называемым "сервисам удаленного технического обслуживания" (СУО) становится возможным снизить временные потери и расходы.
Однако оказалось, что такая связь учреждений здравоохранения с внешними организациями обладает не только преимуществами, но также несет в себе риск, связанный с конфиденциальностью, целостностью и доступностью информации и систем, то есть риски, которые раньше даже не учитывались.
На основе информации, предлагаемой в настоящем стандарте, учреждения здравоохранения и провайдеры СУО смогут обеспечить следующее:
- уточнить риски, возникающие при использовании СУО, если внешние условия участка запрашивающего поставщика (ЦУО) и места медицинского учреждения, которому предоставляется техническое обслуживание (HCF), могут быть выбраны из каталога, приведенного в приложении А;
- понять основы выбора и применения технических и нетехнических "средств управления", которые применяют в их учреждении для предотвращения рисков, описанных в настоящем стандарте;
- направить запрос от бизнес-партнеров на предмет принятия конкретных мер противодействия, так как настоящий документ может идентифицировать соответствующие риски для защиты;
- уточнить границы ответственности между владельцем медицинского учреждения и провайдером СУО;
- планировать программу по сохранению или передаче риска, т.к. остаточные риски уточняются при выборе соответствующих "средств управления".
Применяя оценки риска и используя "средства управления" в соответствии с настоящим стандартом, владельцы медицинского учреждения и провайдеры СУО смогут воспользоваться следующими преимуществами:
- будет достаточно выполнить оценку риска для тех организационных сфер, где настоящий стандарт не применим, а, следовательно, усилия по оценке риска могут быть значительно снижены;
- будет легко продемонстрировать третьей стороне то, что меры СУО по пресечению нарушения защиты прошли подтверждение на соответствие;
- при предоставлении СУО на двух или более участках провайдер может последовательно и эффективно применять меры противодействия.
1 Область применения
Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных), безопасным и эффективным (в экономическом смысле) способом.
Настоящий стандарт включает в себя:
- каталог сценариев использования для СУО;
- каталог информационных активов в медицинских учреждениях и провайдеров СУО;
- пример анализа риска, основанный на вариантах использования.
2 Термины и определения
В настоящем документе применены следующие термины с соответствующими определениями:
2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО/МЭК 13335-1:2004, определение 2.1]
2.2 актив (asset): Все, что представляет ценность для организации.
Примечания
1 Термин заимствован из ИСО/МЭК 13335-1.
2 В контексте защиты медицинской информации информационные активы включают:
a) медицинскую информацию;
b) IT-сервисы;
c) аппаратные средства;
d) программное обеспечение;
e) коммуникационные средства;
f) средства информации;
g) IT-средства;
h) медицинские приборы, которые записывают данные или формируют отчеты данных.
2.3 доверие (assurance): Результат серии процессов установления соответствия, посредством которых организация достигает уверенности в статусе менеджмента защиты информации.
2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.
[ИСО/МЭК 13335-1:2004, определение 2.4]
2.5 оценка соответствия (compliance assessment): Процессы, которыми организация подтверждает, что средства управления защитой информации остаются работоспособными и эффективными.
Примечание - Соответствие закону, в частности, относится к средствам управления защитой, установленным для соблюдения требований соответствующего законодательства, например, директивы Европейского союза по защите персональных данных.
2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованных лиц, логического объекта или процесса.
[ИСО/МЭК 13335-1:2004, определение 2.6]
2.7 целостность данных (data integrity): Свойство, гарантирующее, что данные не будут изменены или уничтожены неправомочным образом.
[ИСО/МЭК 9797-1:1999, определение 3.1.1]
2.8 управление информацией (information governance): Процессы, благодаря которым организация получает уверенность в том, что риски, связанные с ее информацией, а значит, работоспособность и целостность организации эффективно выявляются и контролируются.
2.9 информационная безопасность (information security): Поддержание конфиденциальности, целостности и доступности информации.
Примечание - Другие свойства, в частности подотчетность пользователей, а также аутентичность, отказоустойчивость и надежность, часто упоминаются как аспекты информационной безопасности, но также могут рассматриваться как производные от трех основных свойств в определении.
2.10 риск (risk): Сочетание вероятности события и его последствия.
[Руководство ИСО/МЭК 73:2002, определение 3.1.1]
2.11 оценка рисков (risk assessment): Общий процесс анализа и оценивания риска.
Для просмотра документа целиком скачайте его >>>
