ГОСТ Р ИСО 27799-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информатизация здоровья
МЕНЕДЖМЕНТ ЗАЩИТЫ ИНФОРМАЦИИ В ЗДРАВООХРАНЕНИИ ПО ИСО/МЭК 27002
Health informatics. Information security management in health using ISO/IEC 27002
ОКС 35.240.80
Дата введения 2016-11-01
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2219-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 27799:2008* "Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002" ("Health informatics - Information security management in health using ISO/IEC 27002", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт представляет собой руководство для медицинских организаций и других хранителей персональной медицинской информации о том, как лучше всего сохранить конфиденциальность, целостность и доступность такой информации путем внедрения ИСО/МЭК 27002. В частности, настоящий стандарт касается особых потребностей в области менеджмента защиты информации в сфере здравоохранения и специфичных условиях его выполнения. В то время как защита и безопасность персональной информации очень важны для всех частных лиц, корпораций, организаций и правительств, в сфере здравоохранения существуют особые требования, которые должны быть соблюдены для обеспечения конфиденциальности, целостности, возможности проверки и доступности персональной медицинской информации. Этот тип информации рассматривается многими как один из самых конфиденциальных видов персональной информации. Защита этой конфиденциальности необходима, если должна поддерживаться конфиденциальность объекта оказания медицинской помощи. Для обеспечения безопасности пациентов должна быть защищена целостность медицинской информации, и важным компонентом этой защиты является обеспечение того, чтобы весь жизненный цикл информации полностью поддавался проверке. Доступность медицинской информации также имеет большое значение для эффективного предоставления медицинских услуг. Системы информатизации здоровья должны соответствовать специфичным потребностям для того, чтобы оставаться в рабочем состоянии на фоне стихийных бедствий, системных сбоев и атак типа "отказ в обслуживании". Следовательно, защита конфиденциальности, целостности и доступности медицинской информации требует опыта, специфичного для сектора здравоохранения.
_______________
Это руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
Эффективный менеджмент IT-защиты в области здравоохранения становится все более необходимым при все более широком использовании беспроводных и интернет-технологий при предоставлении медицинских услуг. При ненадлежащем применении эти сложные технологии повысят риски для конфиденциальности, целостности и доступности медицинской информации. Независимо от размера, расположения и модели предоставления услуг, все медицинские организации должны иметь строгий контроль, чтобы защитить вверенную им медицинскую информацию. Тем не менее, многие специалисты в области здравоохранения работают как самостоятельные врачи или небольшие клиники, которые не имеют выделенных информационно-технологических ресурсов для управления защитой информации. Поэтому медицинские учреждения должны иметь четкое, сжатое и специфичное для здравоохранения руководство по выбору и реализации такого контроля. Это руководство должно быть адаптируемо к широкому диапазону размеров, мест применения и моделей предоставления услуг, имеющихся в здравоохранении. Наконец, с ростом электронного обмена персональной медицинской информацией между работниками здравоохранения в принятии общих рекомендаций для управления защитой информации в сфере здравоохранения имеются очевидные преимущества.
ИСО/МЭК 27002 уже широко используется для управления защитой информационных технологий для информатизации здоровья через национальные или региональные руководства в Австралии, Канаде, Франции, Нидерландах, Новой Зеландии, Южной Африке и Великобритании. В других странах также растет интерес к этому. Настоящий стандарт опирается на опыт, накопленный в ходе попыток стран обеспечить защиту персональной медицинской информации и предназначен в качестве документа, сопутствующего ИСО/МЭК 27002. Он не предназначен для замены ИСО/МЭК 27002 или ИСО/МЭК 27001. Он, скорее, является дополнением к этим более обобщенным стандартам.
Настоящий стандарт применяет ИСО/МЭК 27002 к области здравоохранения таким образом, чтобы тщательно рассмотреть вопрос о надлежащем применении мер безопасности в целях защиты персональной медицинской информации. Эти соображения, в некоторых случаях, привели авторов к выводу, что применение определенных целей контроля, указанных в ИСО/МЭК 27002, необходимо, если персональная медицинская информация должна быть защищена надлежащим образом. Поэтому настоящий стандарт устанавливает ограничения на применение определенных мер безопасности, указанных в ИСО/МЭК 27002. Это в свою очередь привело к включению в раздел 7 нескольких нормативных актов, согласно которым применение данного контроля безопасности является обязательным. Например, в 7.2.1 определено следующее:
"Организации, занимающиеся обработкой медицинской информации, в том числе личной медицинской информации, должны иметь политику по защите информации в письменном виде, одобренную руководством, опубликованную, а затем доведенную до всех сотрудников и соответствующих сторонних организаций".
В области здравоохранения организация (например, больница) может быть сертифицирована на соответствие ИСО/МЭК 27001, при этом не требуется сертификация или даже признание соответствия настоящему стандарту. Однако следует надеяться, что, ввиду того, что медицинские организации стремятся улучшить защиту персональной медицинской информации, а соответствие настоящему стандарту, как более строгому стандарту для здравоохранения, будет также иметь широкое распространение.
Все объекты контроля защиты, описанные в ИСО/МЭК 27002, имеют отношение к информатизации здоровья, но некоторые элементы управления требуют дополнительных разъяснений касательно того, каким образом они могут быть использованы, чтобы защитить конфиденциальность, целостность и доступность информации о состоянии здоровья. Существуют также дополнительные требования, характерные для сферы здравоохранения. Настоящий стандарт содержит дополнительные указания в формате, который лица, ответственные за защиту медицинской информации могут легко понять и применить.
Авторы настоящего стандарта не намереваются писать пособие по компьютерной безопасности или заново формулировать то, что уже было написано в ИСО/МЭК 27002 или ИСО/МЭК 27001. Существует много требований безопасности, которые являются общими для всех систем, связанных с применением компьютерной техники, используемых в финансовом обслуживании, производстве, управлении производственными процессами или в любой другой организованной области деятельности. Были предприняты объединенные усилия для того, чтобы сосредоточиться на требованиях безопасности, необходимость которых вызвана уникальными задачами по предоставлению электронной медицинской информации, которая поддерживает оказание помощи.
Кому адресован настоящий стандарт?
Настоящий стандарт предназначен для тех, кто отвечает за контроль защиты медицинской информации, и для медицинских организаций и других хранителей медицинской информации, которым необходимо руководство по данной теме, а также для их советников по безопасности, консультантов, аудиторов, продавцов и третьих лиц, оказывающих услуги.
Преимущества использования настоящего стандарта
ИСО/МЭК 27002 является широким комплексным стандартом, и его рекомендации не адаптированы специально под требования здравоохранения. Настоящий стандарт позволяет последовательно применить ИСО/МЭК 27002 в условиях здравоохранения и при этом особое внимание уделить специальным задачам, поставленным сферой здравоохранения. Соответствие настоящему стандарту помогает медицинским организациям сохранять конфиденциальность и целостность вверенных им данных, обеспечивать доступность к основным информационным системам здравоохранения и распределять ответственность за медицинскую информацию.
Принятие настоящего стандарта медицинскими организациями в пределах одной юрисдикции и между юрисдикциями поможет взаимодействию и позволит безопасно внедрить новые совместные технологии оказания медицинской помощи. Безопасный и конфиденциальный обмен информацией может значительно улучшить результаты предоставления медицинских услуг.
Благодаря настоящему стандарту медицинские организации могут отметить снижение количества и тяжести инцидентов в системе безопасности, позволяя перераспределить ресурсы для более продуктивной деятельности. Защита IT позволит распределить ресурсы здравоохранения рентабельно и продуктивно. На самом деле, исследование, проведенное Форумом по защите информации и аналитиками рынка, показало, что хорошая разносторонняя защита может увеличить эффективность организации на целых 2%.
Наконец, последовательный подход к защите IT, понятный всем лицам и организациям, относящимся к здравоохранению, улучшит моральное состояние коллектива и повысит доверие общества к системам, хранящим персональную медицинскую информацию.
Как использовать настоящий стандарт
Читателям, еще не знакомым с ИСО/МЭК 27002, настоятельно рекомендуется ознакомиться с вводными разделами настоящего стандарта, прежде чем продолжить его изучение. Специалисты по внедрению настоящего стандарта должны сначала внимательно прочитать ИСО/МЭК 27002, так как в тексте ниже будут неоднократно делаться ссылки на соответствующие разделы этого стандарта. Настоящий стандарт не может быть полностью понят без знакомства с полным текстом ИСО/МЭК 27002.
Читателям, не знакомым с защитой медицинской информации и ее целями, задачами, и полным контекстом, будет полезно прочитать краткое введение, которое можно найти в разделе 5.
Читатели, интересующиеся руководством по внедрению ИСО/МЭК 27002 в область здравоохранения, найдут в разделе 6 применяемый на практике план действий. Данный раздел не содержит обязательных требований. Вместо этого даны общие советы и рекомендации о том, как лучше приступить к внедрению ИСО/МЭК 27002 в здравоохранение. Раздел выстроен вокруг цикла деятельности (планирование/действие/проверка/улучшение), который описан в ИСО/МЭК 27001, и который, в случае его выполнения, приведет к надежному внедрению системы менеджмента информационной безопасности.
Читатели, нуждающиеся в конкретных советах по одиннадцати разделам управления защитой и 39 основным категориям управления защитой, описанным в ИСО/МЭК 27002, смогут найти их в разделе 7. Этот раздел рассматривает каждый из одиннадцати разделов ИСО/МЭК 27002 по управлению защитой. При необходимости указываются минимальные требования, а в некоторых случаях изложены нормативные руководства по надлежащему применению определенных видов управления защитой для защиты медицинской информации, указанных в ИСО/МЭК 27002.
В конце настоящего стандарта даны три приложения. Приложение А описывает общие угрозы медицинской информации. Приложение В кратко описывает задачи и сопутствующие документы системы менеджмента информационной безопасности. В приложении С рассматриваются преимущества средств поддержки для оказания помощи при внедрении. В библиографии перечислены соответствующие стандарты в области защиты медицинской информации.
Настоящий стандарт определяет руководства для помощи при толковании или внедрении ИСО/МЭК 27002 в информатизацию здоровья и является дополнением настоящему стандарту*.
_______________
* Данное руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
* Нумерация сносок соответствует оригиналу. - Примечание изготовителя базы данных
Настоящий стандарт устанавливает подробный набор элементов управления для управления защитой медицинской информации и предоставляет руководства по лучшим практикам для защиты медицинской информации. Внедряя настоящий стандарт, медицинские организации и другие хранители медицинской информации смогут обеспечить минимальный необходимый уровень защиты, соответствующий условиям организации и способный поддерживать конфиденциальность, целостность и доступность персональной медицинской информации.
Настоящий стандарт распространяется на информацию о здоровье во всех ее аспектах, независимо от формы представления информации (слова и цифры, звукозаписи, рисунки, видео и медицинские снимки), средств, используемых для ее хранения (напечатанная или написанная на бумаге или в электронном виде) и средств, используемых для ее передачи (вручную, по факсу, через компьютерные сети или по почте), так как информация всегда должна быть соответствующим образом защищена.
Настоящий стандарт и ИСО/МЭК 27002 в своей совокупности определяют, что требуется в рамках защиты информации в области здравоохранения; но не определяют то, как эти требования должны быть выполнены. Иными словами, настоящий стандарт в максимально возможной степени является технологически нейтральным. Нейтральность по отношению к внедрению технологий является важной особенностью. Технология защиты по-прежнему переживает бурное развитие, и темп этих изменений теперь измеряется в месяцах, а не в годах. В противоположность этому, ожидается, что стандарты в целом останутся в силе в течение многих лет, при том, что они подлежат периодическому пересмотру. Не менее важно и то, что технологическая нейтральность оставляет продавцам и поставщикам услуг возможность предлагать новые или развивающиеся технологии, отвечающие необходимым требованиям, которые описывает настоящий стандарт.
Как отмечалось во введении, для понимания настоящего стандарта необходимо сначала ознакомиться с содержанием ИСО/МЭК 27002.
Следующие области защиты информации выходят за рамки настоящего стандарта:
a) методики и статистические испытания для эффективной анонимизации персональной медицинской информации;
b) методики псевдонимизации персональной медицинской информации (см. [10] для примера технической спецификации ИСО, непосредственно касающиеся данной темы);
c) качество работы сети обслуживания и методы измерения доступности сетей, используемых для информатизации здоровья;
d) качество данных (в отличие от целостности данных).
Следующие нормативные документы* являются обязательными для применения настоящего документа. Для датированных ссылок применяется только цитированное издание. Для недатированных ссылок применяется последнее издание ссылочного документа (включая все поправки).
_______________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.
ISO/IEC 27002:2005, Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности (Information technology - Security techniques - Code of practice for information security management)
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1.1 информатизация здоровья (health informatics): Научная дисциплина, которая занимается когнитивными задачами, задачами по обработке информации и коммуникационными задачами практики здравоохранения, задачами образования и исследованиями, в том числе в области информатики и информационных технологий, обеспечивающих выполнения этих задач.
[ИСО/ТР 18307:2001, определение 3.73]
3.1.2 информационная система здравоохранения (health information system): Хранилище информации о здоровье субъекта оказания медицинской помощи в удобном для машинной обработки виде, которая безопасно хранится и передается и является доступной для нескольких уполномоченных пользователей.
Примечание - Основано на определении 2.25, ИСО/ТР 20514:2005.
3.1.3 здравоохранение (healthcare): Любой вид услуг, предоставленных медицинскими работниками или средним медицинским персоналом и оказывающих влияние на состояние здоровья.
[Европейский парламент, 1998, согласно цитате ВОЗ]
3.1.4 медицинская организация (healthcare organization): Общий термин, используемый для описания многих видов организаций, предоставляющих медицинские услуги.