Точный
Статус документа
Статус документа

ГОСТ Р ИСО 27799-2015 Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002

     5.4 Медицинская информация, подлежащая защите


Существует несколько типов информации, конфиденциальность, целостность и доступность которой должны быть защищены:

_______________

Степень доступности зависит от целей, для которых информация будет указываться.

a) персональная медицинская информация;

b) псевдонимизированные данные, полученные из персональной медицинской информации посредством определенной методики для идентификации по псевдониму;

c) статистические и научные данные, включая анонимизированные данные, взятые из персональной медицинской информации посредством удаления персонально идентифицирующих данных;

d) клинические/медицинские знания, не связанные с каким-либо отдельным объектом оказания медицинской помощи, включая клинические данные поддержки принятия решения (например, данные о нежелательной лекарственной реакции);

e) данные о работниках здравоохранения, персонале и волонтерах;

f) информация, связанная с надзором в сфере состояния здоровья населения;

g) данные журналов аудита, создаваемых медицинскими информационными системами, которые содержат персональную медицинскую информацию или псевдонимизированные данные, полученные из персональной медицинской информации, или содержащие данные о действиях пользователей в отношении персональной медицинской информации;

h) данные безопасности системы для информационных систем здравоохранения, в том числе данные контроля доступа и другие связанные с безопасностью данные о конфигурации системы для информационных систем здравоохранения.

Степень защиты конфиденциальности, целостности и доступности зависит от типа информации, целей, для которых она указывается, и рисков, которым она подвергается. Например, статистические данные [перечисление с) выше] могут не быть конфиденциальными, но защита их целостности может быть очень важна. Аналогично, для данных аудита [перечисление g) выше] может не потребоваться высокий уровень доступности (частого архивирования со временем поиска, измеряемым в часах, а не секундах, может быть достаточно в данном приложении), но их содержание может быть строго конфиденциальным. Оценка риска может правильно определить количество усилий, необходимых для защиты конфиденциальности, целостности и доступности (см. 6.4.4). Результаты регулярной оценки рисков должны соответствовать приоритетам и ресурсам организации-исполнителя.