Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 28 декабря 2015 г. N 2226-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
УДАЛЕННОГО ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ МЕДИЦИНСКИХ ПРИБОРОВ
И МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
ЧАСТЬ 2
ВНЕДРЕНИЕ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Health informatics. Information security management for
remote maintenance of medical devices and systems. Part 2.
Implementation of an information security management system
ISO/TR 11633-2:2009
Health informatics - Information security management
for remote maintenance of medical devices and medical
information systems - Part 2: Implementation
of an information security management system
(IDT)
ГОСТ Р 56838-2015
ISO/TR 11633-2:2009
ОКС 35.240.80
Дата введения
1 ноября 2016 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO TC 215
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2226-ст
4 Настоящий стандарт идентичен международному документу ISO/TR 11633-2:2009 "Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности" ("Health informatics - Information security management for remote maintenance of medical devices and medical information systems - Part 2: Implementation of an information security management system", IDT).
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5)
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Прогресс и распространение современных технологий в информационной и коммуникационной сферах, а также хорошо организованная структура, основанная на этих технологиях, внесли большие изменения в современное общество. В здравоохранении, ранее закрытые информационные системы в каждом учреждении здравоохранения теперь объединены сетями, и настоящее время технологии позволяют обеспечить взаимное использование медицинской информации, собранной в каждой информационной системе. Обмен подобной информацией по коммуникационным сетям реализуется не только между учреждениями здравоохранения, но и между учреждениями здравоохранения и поставщиками медицинского оборудования или медицинских информационных систем. Благодаря, так называемым, "службам удаленного технического обслуживания" (СУО) становится возможным снизить временные потери и расходы.
Однако, оказалось, что такая связь учреждений здравоохранения с внешними организациями обладает не только преимуществами, но также несет в себе риски, связанные с конфиденциальностью, целостностью и доступностью информации и систем, то есть риски, которые раньше даже не учитывались.
На основе информации, предлагаемой в настоящем стандарте, учреждения здравоохранения и провайдеры СУО смогут обеспечить следующее:
- уточнить риски, возникающие при использовании СУО, если внешние условия места расположения, запрашиваемого поставщиком (ЦУО), и места расположения медицинского учреждения, которому предоставляется техническое обслуживание (HCF), могут быть выбраны из каталога, приведенного в приложении A;
- понять основы выбора и применения технических и нетехнических "средств управления", которые применяются в их учреждении для предотвращения рисков, описанных в настоящем стандарте;
- запросить от бизнес партнеров предоставить конкретные меры противодействия, так как настоящий документ может идентифицировать соответствующие риски безопасности;
- уточнить границы ответственности между владельцем медицинского учреждения и провайдером СУО;
- планировать программу по сохранению или снижению риска, т.к. остаточные риски уточняются при выборе подходящих "средств управления".
Применяя оценки риска и используя "средства управления" в соответствии с настоящим стандартом, владельцы медицинских учреждений и провайдеры СУО смогут воспользоваться следующими преимуществами:
- необходимо будет только выполнить оценку риска для тех организационных сфер, где настоящий стандарт не применим, а, следовательно, усилия по оценке риска могут быть значительно снижены;
- будет легко продемонстрировать третьей стороне то, что меры СУО по пресечению нарушения безопасности, прошли подтверждение на соответствие;
- при предоставлении СУО в двух или более местах, провайдер может последовательно и эффективно применять меры противодействия.
1 Область применения
В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) "средств управления", определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1. Настоящий стандарт не рассматривает решение проблем коммуникаций и использование методов шифрования.
Настоящий стандарт включает в себя:
- каталог типов безопасных сред в медицинских учреждениях и у поставщиков СУО;
- пример комбинаций угроз и уязвимостей, идентифицированных при определенных условиях для "вариантов использования"
- пример оценивания и эффективности "средств управления", определяемых в системе менеджмента информационной безопасности (СМИБ).
2 Термины и определения
В настоящем документе используются следующие термины с соответствующими определениями:
2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО/МЭК 13335-1:2004, определение 2.1]
2.2 актив (asset): Все, что представляет ценность для организации.
Примечания
1 Термин адаптирован из ИСО/МЭК 13335-1.
2 В контексте информационной безопасности в медицине, информационные активы включают:
a) медицинскую информацию;
b) IT-сервисы;
c) аппаратные средства;
d) программное обеспечение;
e) коммуникационные средства;
f) средства информации;
g) IT-средства;
h) медицинские приборы, которые записывают данные или формируют отчеты данных.
2.3 доверие (assurance): Результат серии процессов установления соответствия, посредством которых организация достигает уверенности в статусе менеджмента информационной безопасности.
2.4 доступность (availability): Свойство быть доступным и годным к использованию по запросу авторизованного субъекта.
[ИСО/МЭК 13335-1:2004, определение 2.4]
2.5 оценка соответствия (compliance assessment): Процессы, которыми организация подтверждает, что средства управления информационной безопасностью остаются рабочими и эффективными.
Примечание - Соответствие закону в частности относится к средствам управления безопасностью, установленным для соблюдения требований соответствующего законодательства, как например, Директивы Европейского Союза по защите персональных данных.
2.6 конфиденциальность (confidentiality): Свойство, заключающееся в том, что информация не может быть доступной или же не может быть раскрыта для неавторизованных лиц, объектов или процессов.
[ИСО/МЭК 13335-1:2004, определение 2.6]
2.7 целостность данных (data integrity): Свойство, гарантирующее, что данные не будут изменены или уничтожены неправомочным образом.
[ИСО/МЭК 9797-1:1999, определение 3.1.1]
2.8 управление информацией (information governance): Процессы, благодаря которым организация получает уверенность в том, что риски, связанные с ее информацией, а значит работоспособность и целостность организации, эффективно выявляются и контролируются.
2.9 информационная безопасность (information security): Поддержание конфиденциальности, целостности и доступности информации.
Примечание - Другие свойства, в частности, подотчетность пользователей, а также аутентичность, отказоустойчивость и надежность, часто упоминаются как аспекты информационной безопасности, но также могут рассматриваться как производные от трех основных свойств в определении.
2.10 риск (risk): Сочетание вероятности события и его последствий.
[Руководство ИСО/МЭК 73:2002, определение 3.1.1].
2.11 оценка рисков (risk assessment): Общий процесс анализа и оценивания риска.
[Руководство ИСО/МЭК 73:2002, определение 3.3.1]
2.12 менеджмент рисков (risk management): Согласованные виды деятельности по руководству и управлению организацией в отношении рисков.
Для просмотра документа целиком скачайте его >>>