ГОСТ Р ИСО 27799-2015 Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002

     6.4 Планирование. Создание СМИБ

6.4.1 Выбор и определение области применения соответствия

6.4.1.1 Общие сведения

Теоретически, ИСО/МЭК 27002 может быть применен к целой организации. Однако опыт внедрения в Великобритании и других странах показал, что очень большим компаниям сложно с первого раза добиться того, чтобы завершить необходимую работу и предоставить необходимый уровень соответствия.

Было выявлено, что области применения соответствия, которые охватывают не более 2 или 3 участков, или около 50 сотрудников, или около десяти процессов, работают очень хорошо. По этой причине, все организации по оказанию первичной медицинской помощи, клиники, группы для предоставления медицинских услуг на дому, специалисты и отделения в больницах и т.д. сами устанавливают действующие области применения. Таким образом, для достижения полного распространения и максимальной выгоды обычно следуют пошаговому и итеративному процессу. Перспективы достижения таких результатов не должны быть подорваны выбором чрезмерно обширной области применения соответствия. Однако там, где привлечены сторонние поставщики IT-услуг, в качестве области применения для соответствия широко и с большим успехом применяется "Управление предоставлением IT-услуг".

В медицинских организациях, как и везде, в последние годы защита информации перестала быть технической или "конторской" функцией, и стала важной обязанностью корпораций.

В здравоохранении обширная взаимозависимость функций усложняет определение области применения. По этой причине очень важно правильно ее определить.

6.4.1.2 Критерии определения области применения соответствия

Чтобы надлежащим образом уравновесить "продуктивность" соответствия с корпоративной выгодой, многие организации государственного сектора, в том числе медицинские организации, определили начальную область применения "Безопасного предоставления IT-услуг". Хотя эта область применения больше связана с инфраструктурой, чем производственной деятельностью, она дает реальную корпоративную выгоду, поскольку выполняет задачи первостепенной важности, в том числе защиту инфраструктуры в целом, поощряя внедрение любых необходимых обновлений для процессов корпоративной безопасности и улучшения управления идентификационной информацией, осведомленности о защите информации и управления непрерывностью бизнеса. Как правило, во многих из этих областей корпоративная выгода выходит за рамки выбранной области применения.

Поэтому важно, чтобы для определения сферы использовались некие критерии. Критерии, как правило, являются "мягкими" и охватывают такие темы, как:

a) Желаемая степень видимости;

b) Предполагаемый баланс вовлечения техники и бизнеса;

c) Желаемая степень регионального или центрального значения;

d) Степень управляемости, представляемая областью применения.

6.4.1.3 Анализ пробелов возможного обобщенного уровня при определении области применения соответствия

Прежде чем сделать окончательное определение области применения, может быть целесообразным провести анализ пробелов на выборочной основе, чтобы таким образом получить "ощущение" того, сколько работы в различных областях может потребоваться до принятия окончательного решения. Выбор "легкой" или "сложной" области остается за организацией, хотя, по логике вещей, при выборе "тяжелых" аспектов области применения можно получить соизмеримо большую корпоративную выгоду.

6.4.1.4 Контролируемое вовлечение/включение третьих сторон

Другой типичной областью, в которой допускаются ошибки, является толкование области применения. Область применения включает в себя услуги, предоставляемые третьими сторонами, и проведение необходимых вспомогательных процессов, но не определение того, как эти вспомогательные процессы проводятся.

6.4.1.5 Соглашения о качестве предоставляемых услуг (SLA) и контракты, помогающие установить область применения

SLA и контракты могут также помочь при определении области применения в той мере, в которой эти инструменты эффективно определяют границы области применения. Даже если в некоторых случаях они не делают этого явно, рассмотрение этих документов все равно будет полезным для выяснения вероятных приоритетов улучшения.

6.4.1.6 Подготовка и распространение описания области применения

Необходимо подготовить официальное описание области применения, особенно если желательна сертификация по ИСО/МЭК 27001. Описание должно быть широко обнародовано в рамках организации. Очень важно, чтобы в описании области применения были определены границы деятельности по согласованию в плане людей, процессов, мест, платформ и приложений.

В случае медицинских организаций, это описание должно быть широко обнародовано, рассмотрено и принято группами управления информацией, клиническими практиками и компаниями организации. В самом деле, известно, что некоторые медицинские учреждения ищут отзывы на заявления, сделанные профессиональными органами надзора за практикующими врачами, которые могут быть в курсе других организаций, следующих соответствию или сертификации.

См. 7.3.2.1 для информации о минимальных требованиях по описанию области применения.

6.4.2 Анализ пробелов

После того, как была выбрана область применения, следующим этапом процесса планирования является анализ пробелов, при котором осуществляется общая оценка соответствия. Передовая практика показала, что этот анализ должен быть сфокусирован на структурной организации, внедрении, документировании практической деятельности по обеспечению безопасности и свидетельств, используемых в качестве опоры для анализа. Это явно согласуется с практиками здравоохранения, где важны соответствующие навыки, записи и процедуры.

Общий сбой во время таких анализов заключается в невозможности получения сравнительных точек зрения и подтверждения дополнительными фактами. Существует вероятность, что аналитик получит отзывы, которые лишь отражают желания отдельных лиц, а не общую точку зрения, имеющуюся в существующей практике. Для того чтобы опросить специалистов и руководителей в сфере здравоохранения с целью получить разностороннее представление о вопросе, нужно время.

Целью анализа пробелов является предоставление первоначальных рекомендаций для требуемых улучшений, до получения подробной оценки рисков (см. 6.4.5.1) и обработки рисков (см. 6.4.5.2). Кроме того, анализ пробелов может предложить первоначальный порядок очередности для таких улучшений.

6.4.3 Создание или усовершенствование форума по защите медицинской информации