Точный
Статус документа
Статус документа

ГОСТ Р ИСО 27799-2015 Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002

     5.5 Угрозы и уязвимости защиты медицинской информации


Виды угроз и уязвимостей защиты информации, как и их описания, широко варьируются. Хотя никто не является действительно уникальным с точки зрения здравоохранения, уникальным в здравоохранении является комплекс факторов, которые будут учитываться при оценке угроз и уязвимостей.

По своей природе, организации здравоохранения функционируют в среде, где никогда нельзя полностью исключить наличие посетителей и посторонних лиц в целом. В больших организациях здравоохранения само количество людей, передвигающихся в оперативных зонах, является значительным. Эти факторы повышают уязвимость систем к физическим угрозам. Вероятность того, что такие угрозы будут возникать, может увеличиться в случае присутствия эмоциональных или психически больных объектов оказания медицинской помощи или родственников.

Многие медицинские организации испытывают постоянную нехватку финансирования, и их сотрудники иногда вынуждены работать в условиях значительного стресса. Это часто может привести к частым ошибкам, в том числе выполнению неправильных процедур. Другие последствия таких ограничений в ресурсах, включают в себя системы, к разработке, внедрению и эксплуатации которых отнеслись крайне несерьезно, или системы, используемые в течение долгого времени после того, как их следовало снять с эксплуатации. Эти факторы могут увеличить возможность возникновения отдельных видов угроз и усугубить уязвимость. С другой стороны, клиническое лечение по-прежнему является процессом, который включает в себя большое количество профессиональных, технических, административных, подсобных и добровольных сотрудников, многие из которых рассматривают свою работу как призвание. Их преданность и разнообразие опыта часто может уменьшить подверженность уязвимостям. Высокий уровень профессиональной подготовки, полученный многими работниками здравоохранения, также отличает здравоохранение от многих других отраслей промышленности в снижении возникновения внутренних угроз.

Решающее значение правильного определения объектов оказания медицинской помощи и правильного их сопоставления с медицинскими картами приводит медицинские организации к необходимости собирать подробную идентифицирующую информацию. Региональные или юрисдикционные регистры пациентов (то есть регистры объекта оказания медицинской помощи) иногда являются наиболее полными и современными хранилищами идентифицирующей информации, доступной в юрисдикции. Эта идентифицирующая информация имеет большую потенциальную ценность для тех, кто хотел бы использовать ее для совершения кражи персональных данных, и поэтому должна быть строго защищена.

Поэтому следует с особой тщательностью рассматривать среду здравоохранения с ее специфическими угрозами и уязвимостями. Приложение А содержит информационный список видов угроз, которые должны быть рассмотрены медицинскими организациями при оценке рисков для конфиденциальности, целостности и доступности медицинской информации и для целостности и доступности соответствующих информационных систем.