Точный
Статус документа
Статус документа

ГОСТ Р ИСО 27799-2015 Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002

     6.1 Систематизация стандартов ИСО/МЭК 27002 и ИСО/МЭК 27001


ИСО/МЭК 27002 предоставляет стандартный перечень целей контроля в 11 областях, содержащих в общей сложности 39 основных категорий безопасности, каждая с описанием одного или нескольких средств контроля защиты. Специалисты по внедрению ИСО/МЭК 27002 в среде здравоохранения могут отметить, что большинство целей контроля применимо почти во всех ситуациях. Тем не менее, пользователям стандартов в здравоохранении также необходимо распознавать ситуации, в которых может возникнуть необходимость в дополнительных целях управления. Это часто происходит, когда клинические процессы пересекаются со специализированными устройствами, такими как сканеры, машины для инфузий и т.д., даже если средства контроля защиты относятся только к поддержанию целостности данных устройства. В разных юрисдикциях также имеются различные правовые системы, которые могут изменить требуемую область применения деятельности по согласованию.

ИСО/МЭК 27001 вводит понятие "Система менеджмента информационной безопасности (СМИБ)" и описывает необходимость этой подробной системы элементов управления, когда прилагаются усилия по достижению целей защиты, применимые согласно оценке рисков. Международный опыт и признанные передовые практические принципы защиты информации показывают, что постоянное соблюдение ИСО/МЭК 27002 может быть наилучшим образом обеспечено посредством внедрения системы управления, как показано на рисунке 1.

При наличии возможности медицинские организации должны объединять свои СМИБ с процессами управления информацией, описанными в 5.2 и 5.3, а также принять во внимание рекомендации, приведенные в 6.2-6.7.

Распространенная ошибка, в особенности среди медицинских организаций, у которых обычно отсутствуют основные требования, предъявляемые к официальной аккредитации или сертификации, заключается в том, что соответствие с ИСО/МЭК 27002 описано как основание для утверждения перечня. Для полного соответствия организации должны быть в состоянии продемонстрировать работающую СМИБ, содержащую соответствующие процессы проверки соответствия. Это соответствие хорошо вписывается в нормативно-правовую базу, в соответствии с которой обычно работают медицинские организации. См. также 7.12.

          
Рисунок 1 - Система менеджмента информационной безопасности