Настоящий стандарт представляет собой руководство для медицинских организаций и других хранителей персональной медицинской информации о том, как лучше всего сохранить конфиденциальность, целостность и доступность такой информации путем внедрения ИСО/МЭК 27002. В частности, настоящий стандарт касается особых потребностей в области менеджмента защиты информации в сфере здравоохранения и специфичных условиях его выполнения. В то время как защита и безопасность персональной информации очень важны для всех частных лиц, корпораций, организаций и правительств, в сфере здравоохранения существуют особые требования, которые должны быть соблюдены для обеспечения конфиденциальности, целостности, возможности проверки и доступности персональной медицинской информации. Этот тип информации рассматривается многими как один из самых конфиденциальных видов персональной информации. Защита этой конфиденциальности необходима, если должна поддерживаться конфиденциальность объекта оказания медицинской помощи. Для обеспечения безопасности пациентов должна быть защищена целостность медицинской информации, и важным компонентом этой защиты является обеспечение того, чтобы весь жизненный цикл информации полностью поддавался проверке. Доступность медицинской информации также имеет большое значение для эффективного предоставления медицинских услуг. Системы информатизации здоровья должны соответствовать специфичным потребностям для того, чтобы оставаться в рабочем состоянии на фоне стихийных бедствий, системных сбоев и атак типа "отказ в обслуживании". Следовательно, защита конфиденциальности, целостности и доступности медицинской информации требует опыта, специфичного для сектора здравоохранения.
_______________
Это руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
Эффективный менеджмент IT-защиты в области здравоохранения становится все более необходимым при все более широком использовании беспроводных и интернет-технологий при предоставлении медицинских услуг. При ненадлежащем применении эти сложные технологии повысят риски для конфиденциальности, целостности и доступности медицинской информации. Независимо от размера, расположения и модели предоставления услуг, все медицинские организации должны иметь строгий контроль, чтобы защитить вверенную им медицинскую информацию. Тем не менее, многие специалисты в области здравоохранения работают как самостоятельные врачи или небольшие клиники, которые не имеют выделенных информационно-технологических ресурсов для управления защитой информации. Поэтому медицинские учреждения должны иметь четкое, сжатое и специфичное для здравоохранения руководство по выбору и реализации такого контроля. Это руководство должно быть адаптируемо к широкому диапазону размеров, мест применения и моделей предоставления услуг, имеющихся в здравоохранении. Наконец, с ростом электронного обмена персональной медицинской информацией между работниками здравоохранения в принятии общих рекомендаций для управления защитой информации в сфере здравоохранения имеются очевидные преимущества.
ИСО/МЭК 27002 уже широко используется для управления защитой информационных технологий для информатизации здоровья через национальные или региональные руководства в Австралии, Канаде, Франции, Нидерландах, Новой Зеландии, Южной Африке и Великобритании. В других странах также растет интерес к этому. Настоящий стандарт опирается на опыт, накопленный в ходе попыток стран обеспечить защиту персональной медицинской информации и предназначен в качестве документа, сопутствующего ИСО/МЭК 27002. Он не предназначен для замены ИСО/МЭК 27002 или ИСО/МЭК 27001. Он, скорее, является дополнением к этим более обобщенным стандартам.
Настоящий стандарт применяет ИСО/МЭК 27002 к области здравоохранения таким образом, чтобы тщательно рассмотреть вопрос о надлежащем применении мер безопасности в целях защиты персональной медицинской информации. Эти соображения, в некоторых случаях, привели авторов к выводу, что применение определенных целей контроля, указанных в ИСО/МЭК 27002, необходимо, если персональная медицинская информация должна быть защищена надлежащим образом. Поэтому настоящий стандарт устанавливает ограничения на применение определенных мер безопасности, указанных в ИСО/МЭК 27002. Это в свою очередь привело к включению в раздел 7 нескольких нормативных актов, согласно которым применение данного контроля безопасности является обязательным. Например, в 7.2.1 определено следующее:
"Организации, занимающиеся обработкой медицинской информации, в том числе личной медицинской информации, должны иметь политику по защите информации в письменном виде, одобренную руководством, опубликованную, а затем доведенную до всех сотрудников и соответствующих сторонних организаций".
В области здравоохранения организация (например, больница) может быть сертифицирована на соответствие ИСО/МЭК 27001, при этом не требуется сертификация или даже признание соответствия настоящему стандарту. Однако следует надеяться, что, ввиду того, что медицинские организации стремятся улучшить защиту персональной медицинской информации, а соответствие настоящему стандарту, как более строгому стандарту для здравоохранения, будет также иметь широкое распространение.
Все объекты контроля защиты, описанные в ИСО/МЭК 27002, имеют отношение к информатизации здоровья, но некоторые элементы управления требуют дополнительных разъяснений касательно того, каким образом они могут быть использованы, чтобы защитить конфиденциальность, целостность и доступность информации о состоянии здоровья. Существуют также дополнительные требования, характерные для сферы здравоохранения. Настоящий стандарт содержит дополнительные указания в формате, который лица, ответственные за защиту медицинской информации могут легко понять и применить.
Авторы настоящего стандарта не намереваются писать пособие по компьютерной безопасности или заново формулировать то, что уже было написано в ИСО/МЭК 27002 или ИСО/МЭК 27001. Существует много требований безопасности, которые являются общими для всех систем, связанных с применением компьютерной техники, используемых в финансовом обслуживании, производстве, управлении производственными процессами или в любой другой организованной области деятельности. Были предприняты объединенные усилия для того, чтобы сосредоточиться на требованиях безопасности, необходимость которых вызвана уникальными задачами по предоставлению электронной медицинской информации, которая поддерживает оказание помощи.
Кому адресован настоящий стандарт?
Настоящий стандарт предназначен для тех, кто отвечает за контроль защиты медицинской информации, и для медицинских организаций и других хранителей медицинской информации, которым необходимо руководство по данной теме, а также для их советников по безопасности, консультантов, аудиторов, продавцов и третьих лиц, оказывающих услуги.
Преимущества использования настоящего стандарта
ИСО/МЭК 27002 является широким комплексным стандартом, и его рекомендации не адаптированы специально под требования здравоохранения. Настоящий стандарт позволяет последовательно применить ИСО/МЭК 27002 в условиях здравоохранения и при этом особое внимание уделить специальным задачам, поставленным сферой здравоохранения. Соответствие настоящему стандарту помогает медицинским организациям сохранять конфиденциальность и целостность вверенных им данных, обеспечивать доступность к основным информационным системам здравоохранения и распределять ответственность за медицинскую информацию.
Принятие настоящего стандарта медицинскими организациями в пределах одной юрисдикции и между юрисдикциями поможет взаимодействию и позволит безопасно внедрить новые совместные технологии оказания медицинской помощи. Безопасный и конфиденциальный обмен информацией может значительно улучшить результаты предоставления медицинских услуг.
Благодаря настоящему стандарту медицинские организации могут отметить снижение количества и тяжести инцидентов в системе безопасности, позволяя перераспределить ресурсы для более продуктивной деятельности. Защита IT позволит распределить ресурсы здравоохранения рентабельно и продуктивно. На самом деле, исследование, проведенное Форумом по защите информации и аналитиками рынка, показало, что хорошая разносторонняя защита может увеличить эффективность организации на целых 2%.
Наконец, последовательный подход к защите IT, понятный всем лицам и организациям, относящимся к здравоохранению, улучшит моральное состояние коллектива и повысит доверие общества к системам, хранящим персональную медицинскую информацию.
Как использовать настоящий стандарт
Читателям, еще не знакомым с ИСО/МЭК 27002, настоятельно рекомендуется ознакомиться с вводными разделами настоящего стандарта, прежде чем продолжить его изучение. Специалисты по внедрению настоящего стандарта должны сначала внимательно прочитать ИСО/МЭК 27002, так как в тексте ниже будут неоднократно делаться ссылки на соответствующие разделы этого стандарта. Настоящий стандарт не может быть полностью понят без знакомства с полным текстом ИСО/МЭК 27002.
Читателям, не знакомым с защитой медицинской информации и ее целями, задачами, и полным контекстом, будет полезно прочитать краткое введение, которое можно найти в разделе 5.
Читатели, интересующиеся руководством по внедрению ИСО/МЭК 27002 в область здравоохранения, найдут в разделе 6 применяемый на практике план действий. Данный раздел не содержит обязательных требований. Вместо этого даны общие советы и рекомендации о том, как лучше приступить к внедрению ИСО/МЭК 27002 в здравоохранение. Раздел выстроен вокруг цикла деятельности (планирование/действие/проверка/улучшение), который описан в ИСО/МЭК 27001, и который, в случае его выполнения, приведет к надежному внедрению системы менеджмента информационной безопасности.
Читатели, нуждающиеся в конкретных советах по одиннадцати разделам управления защитой и 39 основным категориям управления защитой, описанным в ИСО/МЭК 27002, смогут найти их в разделе 7. Этот раздел рассматривает каждый из одиннадцати разделов ИСО/МЭК 27002 по управлению защитой. При необходимости указываются минимальные требования, а в некоторых случаях изложены нормативные руководства по надлежащему применению определенных видов управления защитой для защиты медицинской информации, указанных в ИСО/МЭК 27002.
В конце настоящего стандарта даны три приложения. Приложение А описывает общие угрозы медицинской информации. Приложение В кратко описывает задачи и сопутствующие документы системы менеджмента информационной безопасности. В приложении С рассматриваются преимущества средств поддержки для оказания помощи при внедрении. В библиографии перечислены соответствующие стандарты в области защиты медицинской информации.