ГОСТ Р 56839-2015/IEC/TR 80001-2-1:2012

Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИ ПРИБОРАМИ

Часть 2-1

Пошаговый менеджмент рисков медицинских информационно-вычислительных сетей. Практическое применение и примеры

Health informatics. Risk management for IT-networks incorporating medical devices. Part 2-1. Step-by-step risk management of medical IT-networks. Practical applications and examples

ОКС 35.240.80*

ОКСТУ 4002

_________________

* В ИУС N 9 2016 г. и на официальном сайте Росстандарта

ГОСТ Р 56839-2015 приводится с ОКС 35.240.80, 11.040.01,

здесь и далее. - Примечание изготовителя базы данных.

Дата введения 2016-11-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 28 декабря 2015 г. N 2227-ст

4 Настоящий стандарт идентичен международному документу IEC/TR 80001-2-1:2012* "Применение менеджмента рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-1. Пошаговый менеджмент рисков медицинских информационно-вычислительных сетей. Практическое применение и примеры" (IEC/TR 80001-2-1:2012 "Application of risk management for IT-networks incorporating medical devices - Part 2-1. Step-by-step risk management of medical IT-networks - Practical applications and examples", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Настоящий стандарт представляет собой пошаговое руководство по применению МЕНЕДЖМЕНТА РИСКА для создания и изменения МЕДИЦИНСКОЙ ИТ-СЕТИ. В нем представлены легкоприменяемые шаги, примеры и информация, помогающая при выявлении и управлении РИСКАМИ. В настоящем стандарте рассмотрены все соответствующие требования МЭК 80001-1:2010, а также там, где необходимо, ссылки на другие разделы и подразделы МЭК 80001-1 (например, передача управлению версиями и контролю).

В центре настоящего стандарта - МЕНЕДЖМЕНТ РИСКА. Целью настоящего стандарта не является предоставление полного описания или объяснения всех требований, которые в полной мере рассмотрены в МЭК 80001-1.

Настоящий стандарт рассматривает ПРОЦЕСС, состоящий из 10 шагов, основанный на подразделе 4.4 МЭК 80001-1:2010, который непосредственно ориентирован на АНАЛИЗ РИСКА, ОЦЕНИВАНИЕ РИСКА и УПРАВЛЕНИЕ РИСКОМ. Данные действия входят в ПРОЦЕСС МЕНЕДЖМЕНТА РИСКА для всего жизненного цикла. Они не могут служить первым шагом ПРОЦЕССА, так как МЕНЕДЖМЕНТ РИСКА охватывает всю модель ПРОЦЕССА, в которой всякому действию предшествует планирование.

Согласно подразделу 1.3, для соответствия цели настоящего стандарта должны выполняться "необходимые предварительные условия" до выполнения 10 шагов. Также очевидно, что все выделенные в настоящем стандарте шаги должны быть выполнены до того момента, когда становится возможным запуск любой новой МЕДИЦИНСКОЙ ИТ-СЕТИ в эксплуатацию или до внесения изменения в существующую МЕДИЦИНСКУЮ ИТ-СЕТЬ. Подчеркивается, что подраздел 4.5 МЭК 80001-1:2010 "УПРАВЛЕНИЕ ИЗМЕНЕНИЯМИ И ВЕРСИЯМИ и УПРАВЛЕНИЕ КОНФИГУРАЦИЕЙ" посвящен и применяется непосредственно к новым МЕДИЦИНСКИМ ИТ-СЕТЯМ, а также к внесению изменений в существующие сети.

Настоящий стандарт будет полезен лицам, ответственным за команду или являющимся частью команды, осуществляющей МЕНЕДЖМЕНТ РИСКА в процессе изменения или создания (что является крайним изменением) МЕДИЦИНСКОЙ ИТ-СЕТИ. МЕДИЦИНСКИЕ ПРИБОРЫ, рассматриваемые в контексте МЭК 80001, относятся к тем МЕДИЦИНСКИМ ПРИБОРАМ, которые могут быть подключены к сети.

     1 Область применения

Настоящий стандарт содержит пошаговую информацию, предназначенную помочь ОТВЕТСТВЕННЫМ ОРГАНИЗАЦИЯМ в реализации ПРОЦЕССА МЕНДЖМЕНТА РИСКА в соответствии с требованиями МЭК 80001-1. А именно - детальный разбор шагов, требующихся для реализации подраздела 4.4 МЭК 80001-1:2010, а также руководство в форме рассмотрения терминов МЕНЕДЖМЕНТА РИСКА, шагов МЕНЕДЖМЕНТА РИСКА, объяснения каждого шага, рассмотрения примеров для каждого шага, шаблонов, а также списков ОПАСНОСТЕЙ и их причин, которые следует рассмотреть.

Шаги, определенные в настоящем стандарте, считаются универсально применимыми. Применение данных шагов может масштабироваться, как это описано в настоящем стандарте.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*. Для датированных ссылок следует применять только указанное издание. Для недатированных - последнее издание ссылочного стандарта (включая любые поправки):

________________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

IEC 80001-1:2010, Application of risk management for IT-networks incorporating medical devices - Part 1: Roles, responsibilities and activities (Применение менеджмента риска для ИТ-СЕТЕЙ с медицинскими приборами. Часть 1. Роли, ответственности и действия)

     3 Термины и определения

В настоящем стандарте используются следующие термины и определения

3.1 РАЗРЕШЕНИЕ на ИЗМЕНЕНИЕ (CHANGE PERMIT): Результат ПРОЦЕССА МЕНЕДЖМЕНТА РИСКОВ, представленный в виде документа, позволяющего реализовать сформированное изменение или тип изменения без дополнительных действий по МЕНЕДЖМЕНТУ РИСКОВ в рамках установленных ограничений.

[МЭК 80001-1:2010, статья 2.3]

3.2 УПРАВЛЕНИЕ ИЗМЕНЕНИЯМИ И ВЕРСИЯМИ (CHANGE-RELEASE MANAGEMENT): Процесс, гарантирующий, что все изменения в ИТ-СЕТИ оценены, приняты, выполнены и проанализированы контролируемым способом, а также - что изменения проведены, распространены и отслежены, что приводит к смене версии контролируемым способом с соответствующими входными и выходными данными для УПРАВЛЕНИЯ КОНФИГУРАЦИЕЙ.

[МЭК 80001-1:2010, статья 2.2]

3.3 УПРАВЛЕНИЕ КОНФИГУРАЦИЕЙ (CONFIGURATION MANAGEMENT): ПРОЦЕСС, гарантирующий, что информация о конфигурации компонентов и ИТ-СЕТИ определена и поддерживается с надлежащей точностью и контролем, а также обеспечивает механизм для идентификации, управления и отслеживания версий ИТ-СЕТИ.

[МЭК 80001-1:2010, статья 2.4]

3.4 ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ (DATA AND SYSTEM SECURITY): Рабочее состояние МЕДИЦИНСКОЙ ИТ-СЕТИ, в котором информационные ресурсы (данные и системы) обоснованно защищены от нарушения конфиденциальности, полноты и доступа.

[МЭК 80001-1:2010, статья 2.5]

3.5 ЭФФЕКТИВНОСТЬ (EFFECTIVENESS): Способность достигать намеченных результатов по отношению к пациенту и ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ.

[МЭК 80001-1:2010, статья 2.6]

3.6 ЭЛЕКТРОМАГНИТНЫЕ ПОМЕХИ (ЭМП) [ELECTROMAGNETIC INTEFERENCE (EMI)]. Любое электромагнитное явление, способное негативно сказаться на функционировании прибора, оборудования или системы.

[МЭК 60601-1-2:2007, статья 3.5]

3.7 УПРАВЛЕНИЕ СОБЫТИЕМ (EVENT MANAGEMENT): ПРОЦЕСС, который гарантирует, что все события, негативно влияющие или способные негативно повлиять на работу ИТ-СЕТИ, фиксируются, оцениваются и обрабатываются контролируемым способом.

[МЭК 80001-1:2010, статья 2.7]

3.8 ВРЕД (HARM): Физическая травма или ущерб здоровью людей, или имуществу, или окружающей среде, а также снижение ЭФФЕКТИВНОСТИ или нарушение ЗАЩИЩЕННОСТИ СИСТЕМЫ И ДАННЫХ.

[МЭК 80001-1:2010, статья 2.8]

3.9 ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА.

[МЭК 80001-1:2010, статья 2.9]

3.10 ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда подвержены одной или нескольким ОПАСНОСТЯМ.

[МЭК 14971:2007, статья 2.4]

3.11 ДАННЫЕ О ЗДОРОВЬЕ (HEALTH DATA): ЛИЧНЫЕ ДАННЫЕ, указывающие на состояние физического или психического здоровья.

Примечание - Вышеописанное в общих чертах определяет в рамках настоящего стандарта личные данные и их подраздел ДАННЫЕ О ЗДОРОВЬЕ, что позволяет пользователям настоящего стандарта легко применять эти понятия к разным нормативным актам и регламентам о конфиденциальности данных. Например, в Европе такие требования могут быть приняты, а термин может быть заменен на "Персональные данные" и "Уязвимые данные". В США термин ДАННЫЕ О ЗДОРОВЬЕ может быть заменен на "Защищенную информацию о здоровье (PHI)", а также, при необходимости, могут быть внесены поправки и в сам текст.

[МЭК 80002-2:2012, статья 3.7]

3.12 ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ (INTENDED USE): Применение изделия, ПРОЦЕССА или службы в соответствии с техническими условиями, инструкциями и информацией, предоставленной производителем.

[МЭК 80001-1:2010, статья 2.10]

3.13 ИНТЕРОПЕРАБЕЛЬНОСТЬ/СОВМЕСТИМОСТЬ (INTEROPERABILITY): Свойство, позволяющее разнообразным системам и компонентам работать вместе для достижения установленной цели.

[МЭК 80001-1:2010, статья 2.11]

3.14 ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ (IT): Технология (компьютерные системы, сети, программное обеспечение), использующаяся для ОБРАБОТКИ, хранения, сбора и распространения информации.

3.15 ИТ-СЕТЬ (INFORMATION TECHNOLOGY NETWORK, IT-NETWORK): Система или системы, состоящие из взаимодействующих узлов и каналов передачи данных, предназначенные для обеспечения проводной или беспроводной передачи данных между двумя или более установленными узлами коммуникации.

[МЭК 80001-1:2010, статья 2.12]

3.16 ОСНОВНЫЕ СВОЙСТВА (KEY PROPERTIES): Три управляемые характеристики риска (БЕЗОПАСНОСТЬ, ЭФФЕКТИВНОСТЬ и ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ) МЕДИЦИНСКИХ ИТ-СЕТЕЙ.

[МЭК 80001-1:2010, статья 2.13]

3.17 ЛОКАЛЬНАЯ СЕТЬ (LOCAL AREA NETWORK): Компьютерная сеть, охватывающая маленькую физическую область, такую как дом или офис, или же маленькую группу зданий, такую как школа или аэропорт.

3.18 ПРОИЗВОДИТЕЛЬ (MANUFACTURER): Физическое или юридическое лицо, ответственное за проектирование, изготовление, упаковывание и/или маркировку МЕДИЦИНСКОГО ПРИБОРА, сборку системы или модификацию медицинского прибора перед выпуском его на рынок или вводом в эксплуатацию, независимо от того, выполняет ли эти операции вышеупомянутое лицо или третья сторона от его имени.

[ИСО 14971:2007, статья 2.8]

3.19 МЕДИЦИНСКИЙ ПРИБОР (MEDICAL DEVICE): Любой инструмент, устройство, приспособление, машина, прибор, имплантат, реагент или калибратор в пробирке, программное обеспечение, материал или другие подобные связанные с ними изделия:

a) предполагаемые производителем для применения к человеку, отдельно или в сочетании друг с другом, для одной или более заданных целей, таких как:

- диагностика, профилактика, контроль, лечение или облегчение течения заболеваний,

- диагностика, контроль, лечение, облегчение травмы или компенсация последствий травмы,

- исследования, замещения, изменения или поддержка анатомического строения или физиологических процессов,

- поддержание и сохранение жизни,

- предупреждение беременности,

- дезинфекция медицинских приборов,