Профессиональное решение
для специалистов строительной отрасли

     
     ГОСТ P 56837-2015/ISO/TR 11633-1:2009

Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УДАЛЕННОГО ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ МЕДИЦИНСКИХ ПРИБОРОВ И МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ

Часть 1

Требования и анализ рисков

Health informatics. Information security management for remote maintenance of medical devices and medical information systems. Part 1. Requirements and risk analysis



ОКС 35.240.80

ОКСТУ 4002

Дата введения 2016-11-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2225-ст

4 Настоящий стандарт идентичен международному документу ISО/ТR 11633-1:2009* "Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков" (ISO/TR 11633-1:2009 "Health informatics - Information security management for remote maintenance of medical devices and medical information systems - Part 1: Requirements and risk analysis", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


Наименование настоящего стандарта изменено относительно наименования указанного международного документа для приведения в соответствие с ГОСТ Р 1.5-2004 (пункт 3.5)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
     

Введение


Прогресс и распространение современных технологий в информационной и коммуникационной сферах, а также хорошо организованная структура, основанная на этих технологиях, внесли большие изменения в современное общество. В здравоохранении ранее закрытые информационные системы в каждом учреждении здравоохранения теперь объединены сетями, и на сегодняшний день технологии позволяют обеспечить взаимное использование медицинской информации, собранной в каждой информационной системе. Обмен подобной информацией по коммуникационным сетям реализуется не только между учреждениями здравоохранения, но и между учреждениями здравоохранения и поставщиками медицинского оборудования или медицинских информационных систем. Благодаря так называемым "сервисам удаленного технического обслуживания" (СУО) становится возможным снизить временные потери и расходы.

Однако оказалось, что такая связь учреждений здравоохранения с внешними организациями обладает не только преимуществами, но также несет в себе риск, связанный с конфиденциальностью, целостностью и доступностью информации и систем, то есть риски, которые раньше даже не учитывались.

На основе информации, предлагаемой в настоящем стандарте, учреждения здравоохранения и провайдеры СУО смогут обеспечить следующее:

- уточнить риски, возникающие при использовании СУО, если внешние условия участка запрашивающего поставщика (RSC) и места медицинского учреждения, которому предоставляется техническое обслуживание (HCF), могут быть выбраны из каталога, приведенного в приложении А;

- понять основы выбора и применения технических и нетехнических "средств управления", которые применяются в их учреждении для предотвращения рисков, описанных в настоящем стандарте;

- запросить от бизнес-партнеров предоставить конкретные меры противодействия, так как настоящий стандарт может идентифицировать соответствующие риски для защиты;

- уточнить границы ответственности между владельцем медицинского учреждения и провайдером СУО;

- планировать программу по сохранению или передаче риска, т.к. остаточные риски уточняются при выборе соответствующих "средств управления".

Применяя оценки риска и используя "средства управления" в соответствии с настоящим стандартом, владельцы медицинского учреждения и провайдеры СУО смогут воспользоваться следующими преимуществами:

- будет достаточно выполнить оценку риска для тех организационных сфер, где настоящий стандарт не применим, а, следовательно, усилия по оценке риска могут быть значительно снижены;

- будет легко продемонстрировать третьей стороне то, что меры СУО по пресечению нарушения защиты, прошли подтверждение на соответствие;

- при предоставлении СУО на двух или более участках провайдер может последовательно и эффективно применять меры противодействия.

     1 Область применения


Предметом настоящего стандарта являются услуги удаленного технического обслуживания (СУО), предоставляемые поставщиками медицинского оборудования или информационными медицинскими системами (провайдерами СУО) для информационных систем в медицинских учреждениях. Кроме этого в данном стандарте предоставлен пример выполнения анализа риска, необходимого для защиты информационных активов обеих сторон (в первую очередь, самой информационной системы и персональных медицинских данных), безопасным и эффективным (в экономическом смысле) способом.

Настоящий стандарт включает в себя:

- каталог сценариев использования для СУО;

- каталог информационных активов в медицинских учреждениях и провайдеров СУО;

- пример анализа риска, основанный на вариантах использования

     2 Термины и определения


В настоящем документе применены следующие термины с соответствующими определениями:

2.1 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

[ИСО/МЭК 13335-1:2004, определение 2.1]

2.2 актив (asset): Все, что представляет ценность для организации.

Примечания

1 Термин заимствован из ИСО/МЭК 13335-1.

2 В контексте защиты медицинской информации информационные активы включают:

a) медицинскую информацию;

b) IT-сервисы;

c) аппаратные средства;

d) программное обеспечение;

e) коммуникационные средства;

f) средства информации;

g) IT-средства;

h) медицинские приборы, которые записывают данные или формируют отчеты данных.

2.3 доверие (assurance): Результат серии процессов установления соответствия, посредством которых организация достигает уверенности в статусе менеджмента защиты информации.

2.4 доступность (availability): Свойство объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта.

[ИСО/МЭК 13335-1:2004, определение 2.4]

2.5 оценка соответствия (compliance assessment): Процессы, которыми организация подтверждает, что средства управления защитой информации остаются работоспособными и эффективными.

Примечание - Соответствие закону, в частности, относится к средствам управления защитой, установленным для соблюдения требований соответствующего законодательства, например, директивы Европейского союза по защите персональных данных.

2.6 конфиденциальность (confidentiality): Свойство информации быть недоступной и закрытой для неавторизованных лиц, логического объекта или процесса.

[ИСО/МЭК 13335-1:2004, определение 2.6]

2.7 целостность данных (data integrity): Свойство, гарантирующее, что данные не будут изменены или уничтожены неправомочным образом.

[ИСО/МЭК 9797-1:1999, определение 3.1.1]

2.8 управление информацией (information governance): Процессы, благодаря которым организация получает уверенность в том, что риски, связанные с ее информацией, а значит, работоспособность и целостность организации эффективно выявляются и контролируются.

2.9 информационная безопасность (information security): Поддержание конфиденциальности, целостности и доступности информации.

Примечание - Другие свойства, в частности подотчетность пользователей, а также аутентичность, отказоустойчивость и надежность, часто упоминаются как аспекты информационной безопасности, но также могут рассматриваться как производные от трех основных свойств в определении.

2.10 риск (risk): Сочетание вероятности события и его последствия.

[Руководство ИСО/МЭК 73:2002, определение 3.1.1].

2.11 оценка рисков (risk assessment): Общий процесс анализа и оценивания риска.

[Руководство ИСО/МЭК 73:2002, определение 3.3.1]

2.12 менеджмент рисков (risk management): Скоординированные действия, направляющие и контролирующие организацию работ, связанных с риском.

Примечание - Менеджмент риска обычно включает в себя оценку риска, обработку риска, степень допустимого риска и информирование о рисках.


[Руководство ИСО/МЭК 73:2002, определение 3.1.7]

2.13 обработка рисков (risk treatment): Процесс выбора и применения мер для изменения (обычно для снижения) риска.

Примечание - Адаптировано из Руководства ИСО/МЭК 73:2002.

2.14 целостность системы (system integrity): Свойство системы выполнять предусмотренную для нее функцию в нормальном режиме, свободном от преднамеренного или случайного несанкционированного воздействия на систему.

2.15 угроза (threat): Потенциальная причина нежелательного инцидента, который может нанести ущерб системе или организации.

Примечание - Адаптировано из ИСО/МЭК 13335-1.

2.16 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована угрозой.

Примечание - Адаптировано из ИСО/МЭК 13335-1.

     3 Сокращения


МУ - медицинское учреждение (HCF - Healthcare facility);

ПХИ - программа хищения информации (ISP - Information-stealing programme);

ПМИ - персональная медицинская информация (PHI - Personal health information);

СУО - службы удаленного технического обслуживания (RMS - Remote maintenance services);

ЦУО - центр удаленного технического обслуживания (RSC - Remote maintenance service centre);

ЗУО - защита удаленного обслуживания (RSS - Remote maintenance service security);