ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННОВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИ ПРИБОРАМИ

Часть 2-2

Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками

IEC/TR 80001-2-2:2012 Application of risk management for IT-networks incorporating medical devices — Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls (IDT)

Издание официальное

Москва

Стандартинформ

Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации» (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации «Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья» при ЦНИИОИЗ Минздрава — постоянным представителем ISO ТС 215

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 30 декабря 2015 г. № 2242-ст

4    Настоящий стандарт идентичен международному документу IEC/TR 80001-2-2:2012 «Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками» (IEC/TR 80001-2-2:2012 «Application of risk management for IT-net-works incorporating medical devices — Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5)

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ P 56850—2015

Справочный материал: Нет.

Цель требований:    Уменьшить    РИСК    получения несанкционированного доступа к ДАННЫМ

О ЗДОРОВЬЕ с рабочего места, оставленного без присмотра. Предотвратить неправильное использование, если система или рабочее место не используются в течение периода времени.

Несанкционированные пользователи не могут получить доступ к ДАННЫМ О ЗДОРОВЬЕ с рабочего места, оставленного без присмотра. Сеансы санкционированных пользователей должны автоматически завершаться или блокироваться по прошествии заранее установленного промежутка времени. Это уменьшает РИСК несанкционированного доступа к ДАННЫМ О ЗДОРОВЬЕ, когда санкционированный пользователь покидает рабочее место, не завершая сеанс и не запирая экран или комнату.

Автоматический выход из системы должен включать в себя очистку ДАННЫХ О ЗДОРОВЬЕ со всех экранов по мере надобности.

Местный санкционированный ИТ администратор должен иметь возможность отключить эту функцию и установить срок действия (учитывающий хранитель экрана)

Хранитель экрана с коротким временем бездействия или активирующийся «быстрой клавишей» может являться дополнительным свойством. Эта очистка экрана ДАННЫХ О ЗДОРОВЬЕ может быть вызвана, когда на протяжении короткого времени не была нажата ни одна клавиша (например, от 15 с до нескольких минут). Это не завершит сеанс пользователя, но снизит РИСК случайного наблюдения информации. Желательно, чтобы клинические пользователи могли избежать потери незавершенной работы по причине автоматического выхода из системы. Рекомендуется подробное указание характеристик ALOF, которые позволяют различать (а) выход из системы и (б) блокировку экрана с возможностью восстановления сеанса.

5.2 Средства управления аудитом —AUDT

Применение:    Профиль. Профиль IHE ATNA (Профиль интеграции журнал аудита и

аутентификация узлов) [IHEATNAprofile(AuditTrail and NodeAuthentication Integration Profile)].

Техническая основа рентгенологии IHE (IHE Radiology Technical Framework).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA (Национальная ассоциация производителей электрооборудования): S&P Аудит (NEMA: S&P Auditing).

Цель    Установить согласованный подход к надежному аудиту того, кто и что

требований:    делает с ДАННЫМИ О ЗДОРОВЬЕ, чтобы позволить ИТ отделу МО кон

тролировать использование этих данных, применяя общеиспользуемые подходы, стандарты и технологию.

Наша индустрия пришла к согласию в том, что ИТ МО предпочитает поддержку профиля журнала аудита IHE.

Цель аудита (от IHE). Позволить сотруднику службы безопасности организации вести аудит деятельности для оценки ее соответствия политике защиты данной области, а также для обнаружения случаев неподобающего поведения, и для облегчения обнаружения неправильного создания, получения доступа, модификации и удаления закрытой медицинской информации (PHI).

7

ГОСТ Р 56850-2015

Возможность записывать и изучать деятельность системы по средством ведения журналов аудита с помощью прибора, для отслеживания доступа к системе и ДАННЫМ О ЗДОРОВЬЕ, а также их модификации и удаления.

Поддержка использования либо в качестве изолированного архива данных (регистрирующего файлы аудита в своей собственной файловой системе) или, в случае такой конфигурации, отправляющего зарегистрированную информацию отдельному, управляемому МО центральному архиву данных.

Поддержка создания и сопровождения аудита поддерживается соответствующими инструментами проверки аудита.

Защита данных аудита по мере необходимости (в особенности, если эти данные содержат сами персональные данные).

Отсутствие возможности удалять или редактировать данные аудита.

Так как данные аудита скорее всего содержат персональные данные и/или ДАННЫЕ О ЗДОРОВЬЕ, то вся обработка (например, получение доступа, хранение и передача) должна подчиняться соответствующим средствам управления.

5.3 Авторизация—AUTH

Применение:    Примечание    —    Основывается    на аутентификации, но эти два понятия не

следует путать.

Стандарт. ANSI/INCITS 359-2004 Управление доступом, основанное на ролях (ANSI/INCITS 359-2004 Role-Based Access Control).

Существуют общие подходы, которые могут быть полезны для рассматриваемого случая:

Общий подход к технической ИТ инфраструктуре IHE. Журнал аудита и аутентификация узлов (ATNA) / Аутентификация корпоративных пользователей (EUA) / Контроль процесса авторизации пользователей (XUA) [IHE IT Infrastructure Technical Framework — Audit Trail and Node Authentication (ATNA) / Enterprise User Authentication (EUA) / Cross Enterprise User Assertion (XUA)];

IETF (Рабочая группа инженеров Интернет): Защита транспортного уровня передачи данных (TLS) 1.2 (RFC 5246) [IETF: Transport Layer Security (TLS) 1.2 (RFC 5246)];

ITU-T (Сектор стандартизации телекоммуникаций в составе международного телекоммуникационного общества): Рекомендация Х.509. «Информационная технология. Взаимодействие открытых систем. Директория. Инфраструктура сертификата открытого ключа и атрибута» [ITU-T: Recommendation Х.509. “Information technology — Open Systems Interconnection — The directory: Public-key and attribute certificate frameworks]. Политика. Местная ИТ политика МО

Справочный материал: Белая книга IHE (Интегрированное учреждение здравоохранения).

Управление доступом (IHE White Paper—Access Control).

Общий подход к технической ИТ инфраструктуре IHE Журнал аудита и аутентификация узлов (ATNA).

ИСО/TS 22600-1:2006, Информатизация здоровья. Привилегированный менеджмент и управление доступом. Часть 1. Обзор и политика менеджмента (ISO/TS 22600-1:2006 Health informatics — Privilege management and access control — Part 1: Overview and policy management).

ИСО/TS 13606-4:2009, Информатизация здоровья. Электронная система передачи медико-санитарной документации. Часть 4. Защита (ISO/TS 13606-4:2009 Health informatics — Electronic health record communication — Part 4: Security)

8

ГОСТ P 56850—2015

Цель требований: Следуя принципу минимизации данных, предоставить управление доступом к ДАННЫМ О ЗДОРОВЬЕ и функциям только в той степени, насколько это необходимо для выполнения задач МО в соответствии с ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ прибора. Потребность пользователя: Избежать несанкционированный доступ к данным и функциям с целью (1) сохранить конфиденциальность системы и данных, целостность и доступность, а также (2) чтобы остаться в рамках разрешенного использования данных и систем. В согласии с ИТ политикой МО и основываясь на аутентифицированной идентификации отдельных пользователей, возможность авторизации позволяет каждому пользователю получать доступ только к одобренным данным и выполнять с помощью прибора только одобренные функции. Согласно политике организации санкционированные пользователи включают в себя МО и обслуживающий персонал. МЕДИЦИНСКИЕ ПРИБОРЫ, как правило, поддерживают систему, основанную на разрешениях, которая предоставляет доступ к функциям системы и данным в соответствии с ролью запрашивающего доступ пользователя МО (управление доступом, основанное на ролях, RBAC). Например: —    ОПЕРАТОРЫ могут выполнять назначенные им задачи, используя все надлежащие для этого функции прибора (например, контроль или сканирование пациентов). —    Персонал службы качества (например, радиолог) может принимать участие во всех надлежащих испытаниях качества и контроля качества. —    Обслуживающий персонал может получать доступ к системе, включающий поддержку деятельности этого персонала, такую как профилактическое обслуживание, расследование проблем и устранение этих проблем. Авторизация позволяет МО эффективно предоставлять медицинское обслуживание и в то же время (1) сохранять защищенность системы и данных и (2) придерживаться принципа надлежащей минимизации данных. Авторизация может управляться локально или же в масштабах предприятия (например, с помощью централизованного руководства). Примечание — В случаях, когда ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ не подразумевает время, достаточное для начала и завершения сеанса использования прибора (например, в случае использования высокой пропускной способности), местной ИТ политикой может быть разрешено ослабление контроля авторизации, допуская, что физический доступ контролируется и ограничивается в достаточной мере.

5.4 Конфигурация свойств системы защиты — CNFS

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Справочный материал: Нет. Цель требований: Дать МО возможность определять, как задействовать ВОЗМОЖНОСТИ ЗАЩИТЫ изделия, чтобы удовлетворить их требования к политике и/или рабочему процессу. Потребность пользователя: Местному санкционированному ИТ администратору требуется возможность выбирать между использованием и не использованием ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЕЙ ЗАЩИТЫ изделия. Это может включать в себя взаимодействие аспектов управления привилегиями с средством управления ФУНКЦИОНАЛЬНОЙ ВОЗМОЖНОСТЬЮ ЗАЩИТЫ.

9

ГОСТ P 56850—2015

5.5    Усовершенствование системы защиты изделия от кибератак — CSUP

Применение:    Руководство.    Руководство    OIS    по созданию отчетов об уязвимостях

в защите и ответным мерам на их появление V2.0 1-е сентября 2004 (OIS Guidelines for Security Vulnerability Reporting and Response V2.0 1 September 2004).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Установление исправлений на готовое программное обеспечение, использующееся в медицинских информационных системах. Октябрь 2004 (NEMA SPC Patching off-the-shelf software used in medical information systems. October 2004).

Цель требований:    Создать унифицированный метод выполнения работы. Установка / усо

вершенствование пакетов исправлений для системы защиты выполняется персоналом на рабочем месте, и, вероятно, санкционированным персоналом МО (в случае установки скачиваемых пакетов исправлений).

Потребность    Установка пакетов исправлений, предоставленных посторонней органи-

пользователя:    зацией, на медицинские изделия при первой выдавшейся возможности и

в соответствии с регламентом, требующим:

-    назначение наивысшего приоритета исправлениям, адресованным уязвимостям, связанным с высоким уровнем РИСКА, которые определяются в результате объективного, официального, документально отраженного, процесса ОЦЕНИВАНИЯ РИСКА уязвимости, осуществленного ПМП;

-    обеспечение вендором медицинских изделий и поставщиком медицинских услуг продолжительного безопасного и эффективного клинического функционирования их изделий; обеспечение понимания местного регламента для МЕДИЦИНСКОГО ПРИБОРА (в общих случаях запрещена установка изменений на МЕДИЦИНСКИЕ ПРИБОРЫ без четких прописанных инструкций от ПМП);

-    проведения надлежащего испытания для обнаружения любых непредвиденных последствий установки исправления на медицинский продукт (для рабочих характеристик или функциональности), которые могут подвергнуть ПАЦИЕНТА опасности;

-    предоставления пользователям, в особенности ИТ персоналу МО и службе МО, упреждающей информации об оцененных/подтвержденных пакетах исправлений.

5.6    Идентификация ДАННЫХ О ЗДОРОВЬЕ — DIDT

Применение:    Стандарт.    NEMA DICOM (Формирование цифровых изображений и обмен

ими в медицине) Дополнение 142. Профили деидентификации клинического исследования (NEMA DICOM Supplement 142: Clinical Trial De-identification profiles).

NEMA DICOM Дополнение 55. Конфиденциальность уровня атрибутов (включая деидентификацию) 5 сентября 2002 (Финальный текст) [NEMA DICOM Supplement 55: Attribute level confidentiality (including De-identifica-tion) 5 Sept 2002 (Final text)].

ИСО 25237:2008, Информатизация здоровья. Псевдонимизация (ISO 25237:2008, Health Informatics — pseudonimization).

Примечание — Псевдонимизация и использование любой разновидности идентификационных кодов для пациентов позволяет деидентифицировать данные и таким образом, не является деидентификационным методом.

Политика. Местная ИТ политика МО

10

ГОСТ P 56850—2015

Справочный материал: Суини Л. 2002. К-анонимность: модель для системы охраны личной информации. Международный журнал, посвященный неопределенности, нечеткости и системам, основанным на знаниях. Выпуск 10(5), 557-570 (Sweeney, L. 2002. K-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledgebased systems, 10(5), 557-570). Цель требований: Способность оборудования (прикладного программного обеспечения или дополнительного инструментария) непосредственно удалять информацию, позволяющую идентифицировать ПАЦИЕНТОВ. Удаление данных перед возвращением изделия на завод; создание архитектуры, позволяющей удаленное обслуживание без доступа к/рас-крытия ДАННЫХ 0 ЗДОРОВЬЕ; внутризаводской карантин, присвоение меток и обучение. Потребность пользователя: Пользователь медицинского изделия, инженеры по обслуживанию и отдел маркетинга должны иметь возможность деидентифицировать ДАННЫЕ О ЗДОРОВЬЕ для разнообразных целей, не требующих информации о личности ПАЦИЕНТА.

5.7 Резервное копирование данных и аварийное восстановление — DTBK

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Справочный материал: ИСО/МЭК 20000-2:2012, Планирование и испытание непрерывности обслуживания (ISO/IEC 20000-2:2012, Service continuity planning and testing). Цель требований: Обеспечить возможность для поставщика медицинских услуг продолжать вести свое предприятие после повреждения или уничтожения данных, оборудования или программного обеспечения. Потребность пользователя: Достаточная гарантия того, что постоянные системные настройки и постоянные ДАННЫЕ О ЗДОРОВЬЕ, хранящиеся в изделиях могут быть восстановлены после отказа системы или нарушения, таким образом, что предприятие могло продолжить функционировать. Примечание — Данное требование может не подходить для небольших, бюджетных приборов и может, на практике, зависеть от способности собирать новые, значимые данные во время следующего цикла приобретения (например, потеря данных о низкой частоте сердечных сокращений, связанная с прерывистым сигналом беспроводного подключения)

5.8 Экстренный доступ — EMRG

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Справочный материал: NEMASPC Белая книга. Разбитие стекла (NEMASPC White paper: Break-glass). Цель требований: Обеспечить возможность доступа к охраняемым ДАННЫМ О ЗДОРОВЬЕ в случае экстренной ситуации, требующей немедленного доступа к хранящимся ДАННЫМ О ЗДОРОВЬЕ. Потребность пользователя: В экстренных ситуациях пользователь медицинского изделия должен иметь возможность получить доступ к ДАННЫМ О ЗДОРОВЬЕ без персонального идентификатора (id) и аутентификации (функции разбивания стекла).

11

ГОСТ Р 56850-2015

Экстренный доступ должен быть обнаружен, зафиксирован и отражен в отчете. Предпочтительно, эта функциональная возможность должна включать какое-нибудь средство моментального уведомления системного администратора или медицинского персонала (в дополнении к записи результатов аудита). Экстренный доступ должен требовать и записывать идентификационную информацию самоудостоверенного пользователя в том виде, в котором она вводится (без аутентификации). МО может разрешить это с помощью процедурного подхода, используя учетную запись конкретного пользователя или функции системы. Администратор должен иметь возможность включать/выключать любые экстренные функции, предоставляемые продуктом, зависящие от технических или процедурных средств управления, которые требуются.

5.9 Целостность и достоверность ДАННЫХ О ЗДОРОВЬЕ — IGAU Применение:    Стандарт.    Нет.

Справочный материал: Политика. Местная ИТ политика МО. NEMA Аудит защиты и неприкосновенности частной жизни (NEMA Security and Privacy Auditing). Цель требований: Обеспечить сохранность ДАННЫХ О ЗДОРОВЬЕ от изменения или уничтожения несанкционированными методами, а также гарантировать, что эти данные поступили от их создателя. Обеспечить целостность ДАННЫХ О ЗДОРОВЬЕ. Потребность пользователя: Пользователь хочет подтверждение того, что ДАННЫЕ О ЗДОРОВЬЕ являются надежными и не измененными в результате злонамеренного вмешательства. Решением является использование как несъемных, так и съемных носителей информации.

5.10 Обнаружение вредоносного программного обеспечения и защита от него — MLDP

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Цитата из регламента: Защита от вредоносного программного обеспечения (Решаемая проблема). Процедуры принятия мер предосторожности, обнаружения и уведомления (создания отчетов) о вредоносном программном обеспечении. Справочный материал: NEMA Защита медицинских информационных систем от вредоносного программного обеспечения (NEMA Defending Medical Information Systems Against Malicious Software). Цель требований: Изделие обеспечивает потребности регулирования, а также МО и пользователя, в обеспечении эффективной и единой поддержки предотвращения, обнаружения и удаления вредоносного программного обеспечения. Это является неотъемлемым шагом в обеспечении надлежащего глубокого подхода к защите. Обновление прикладного программного обеспечения для борьбы с вредоносным ПО, поддержание актуальности массивов данных, содержащих шаблоны вредоносного программного обеспечения, своевременная установка исправлений для приложений. Для удовлетворения требований регламента качества часто требуется испытание для ВЕРИФИКАЦИИ работы прибора на соответствие ПРЕДНАЗНАЧЕННОМУ ИСПОЛЬЗОВАНИЮ и требованиям БЕЗОПАСНОСТИ, осуществляемое после обновления программного обеспечения.

12

ГОСТ Р 56850-2015

Потребность    МО должна обнаруживать традиционное вредоносное программное

пользователя:    обеспечение    также как и несанкционированное программное обеспече

ние, которое может нарушать корректную работу прибора/системы.

5.11 Аутентификация узлов — NAUT

Применение:    Профиль.    Профиль IHE ATNA. Профиль интеграции журнала аудита и

аутентификация узла.

Политика. NEMA/COCIR/JIRA Объединенный комитет по вопросам защиты и неприкосновенности частной жизни (Joint Security and Privacy). Белая книга (предстандарт технического комитета). Управление сертификатами аутентификации компьютеров, 10 февраля, 2005 (Committee draft White Paper: Management of Machine Authentication Certificates, 10 February 2005).

Проект политики защиты института SANS (институт системного администрирования, аудита сети и защиты) [SANS Security Policy Project], Местная ИТ политика МО.

Справочный материал: Нет.

Политика аутентификации должна быть гибкой, чтобы иметь возможность адаптироваться к местной ИТ политики МО. Использование, по мере необходимости, аутентификации узлов при передаче ДАННЫХ О ЗДОРОВЬЕ.

Возможность управления межкомпьютерными учетными записями на медицинском оборудовании для защиты доступа к ДАННЫМ О ЗДОРОВЬЕ. Поддержка независимого и центрального администрирования. Поддержка аутентификации узлов в соответствии с отраслевыми стандартами.

Обнаружение и предотвращение фальсификации (необходимо предоставить невозможность отказа от авторства).

5.12 Аутентификация личности — PAUT

Применение:    Профиль.    Профиль IHE ATNA (Профиль журнала аудита и интеграции

аутентификации узлов).

Профиль IHE PWP (Персональный телефонный справочник) [IHE PWP profile (Personal White Pages],

IHE EUA (Аутентификация корпоративных пользователей).

IHE XUA (Контроль процесса авторизации пользователей).

Политика. Проект политики защиты SANS.

Местная ИТ политика МО.

Справочный материал: Нет.

Цель требований:    Политика    аутентификации должна быть гибкой для того, чтобы адапти

роваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ДАННЫМ О ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

Иметь возможность контролировать доступ к приборам, ресурсам сети и ДАННЫМ О ЗДОРОВЬЕ, а также создавать журналы аудита с невозможностью отказа от авторства. Данное свойство должно позволить однозначно и с уверенностью идентифицировать личность, пытающуюся получить доступ к сети, прибору или ресурсу.

Примечание — Это требование смягчено в процессе выполнения «разбивания стекла». См. «Экстренный доступ».

13

ГОСТ P 56850—2015

Потребность пользователя:

Создание и использование уникальных учетных записей для пользователей и управление доступом, основанное на ролях (RBAC, местное и удаленное) к прибору, подключенному к сети, для управления и контроля доступа к сети и ее деятельности. Возможность управлять учетными записями на медицинском оборудовании обеспечения защиты доступа к ДАННЫМ 0 ЗДОРОВЬЕ. Пользователю может потребоваться связать персональные установки с учетными записями пользователей. Это может помочь приборам и системам, используемым множеством ОПЕРАТОРОВ, отделов или даже множеством организаций здравоохранения (МО). Необходима поддержка независимого и центрального администрирования. Однократная идентификация и использование одного пароля для всех рабочих мест. Обнаружение и предотвращение фальсификации (необходимо предоставить невозможность отказа от авторства).

5.13 Физические замки на приборе — PLOK

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Справочный материал: Нет. Цель требований: Гарантировать, что несанкционированный доступ не нарушит конфиденциальность системы или данных, целостность и доступность. Потребность пользователя: Достаточная гарантия того, что ДАННЫЕ О ЗДОРОВЬЕ, хранящиеся в изделиях или носителях были и остаются защищены в соответствии с уязвимостью и объема записей данных на приборе. Достаточная безопасность систем от злонамеренного вмешательства или удаления компонентов, которое может нарушить целостность, конфиденциальность или доступность. Злонамеренное вмешательство (включая удаление прибора) обнаружимо.

5.14 Влияние компонентов третьей стороны на весь жизненный цикл изделия — RDMP

Применение: Стандарт. Нет. Политика. Местная ИТ политика МО. Цитата из регламента: Нет. Справочный материал: Нет. Цель требований: МО требуется понимание защиты на протяжении всего жизненного цикла МЕДИЦИНСКОГО ПРИБОРА. Планы ПМП предполагают, что их изделия считаются поддерживаемыми на протяжении их жизненного цикла, согласно внутренним системам контроля качества и внешнему регламенту. Изделия предоставляются с четко установленным ожидаемым сроком службы. Целью является упреждающее управление влиянием жизненного цикла компонентов на весь жизненный цикл всего изделия. Такое коммерческое готовое программное обеспечение, предоставляемое сторонней организацией, включает в себя операционные системы, системы баз данных, генераторы отчетов, компоненты MIP и т. д. (предполагается, что существующее РСР уже контролирует износ аппаратных компонентов). Сторонняя организация в данном случае также включает в себя внешних поставщиков защиты для уязвимых компонентов с их собственным жизненным циклом и поддерживающими программами.

14

ГОСТ Р 56850-2015

Потребность    Контракты,    политика    и    регламент    МО    требуют    от    вендора    сопровожде-

пользователя:    ния/поддержки    системы на протяжении жизни изделия.

Когда компоненты платформы начинают устаревать должно выполняться их обновление и усовершенствование.

Различные МО поставщики услуг демонстрируют проявление особой осторожности при необратимом удалении ДАННЫХ О ЗДОРОВЬЕ перед списыванием (списывании по причине брака, повтором использовании, перепродаже или переработке) приборов. Подобная деятельность должна фиксироваться и подвергаться аудиту.

Отдел продаж и обслуживания должен быть уведомлен о поддержке защиты предоставляемой для каждого изделия на протяжении его жизненного цикла.

5.15 Усиление защиты системы и приложений — SAHD

Применение:    Стандарт.    Нет.

Политика. Местная ИТ политика МО.

Проект политики института SANS.

Справочный материал: Читальный зал для литературы по информационной защите института SANS (Пошаговые руководства).

Инструменты защиты и исходные показатели CIS (Центр эталонов интернет-безопасности и инструментов обеспечения защиты).

Отладить средства управления защитой МЕДИЦИНСКОГО ПРИБОРА и/или прикладного программного обеспечения таким образом, чтобы защищенность была максимальна («усилена»), но при этом осуществлялось ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ прибора. Минимизировать векторы атак и совокупную площадь атак посредством закрытия портов; удаления службы и т. д.

Пользователю требуется стабильная система, предоставляющая только те службы, установленные ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ и требующиеся для его осуществления, с минимумом сопроводительной деятельности.

ИТ отделу МО требуется, чтобы системы, подключенные к их сети, были обеспечены защитой при доставке, а также усилены для защиты от неправильного использования и атак.

Желательно, чтобы пользователь информировал ПМП о предполагаемых нарушениях защиты и очевидных слабостях пользовательского оборудования.

5.16 Руководящие указания по защите — SGUD

Применение:    Стандарт.    Нет.

Политика. Местная ИТ политика МО.

Справочный материал: Заявление производителя о раскрытии информации о защите медицинского прибора (MDS2) [Manufacture Disclosure Statement for Medical Device Security (MDS2)].

Обеспечить доступность руководства по защите для ОПЕРАТОРОВ и администраторов системы. Желательно предоставление отдельных пособий для ОПЕРАТОРОВ и АДМИНИСТРАТОРОВ (включая отдел продаж и обслуживания ПМП), так как это позволяет только администраторам сохранять за собой понимание всего административного функционала.

ОПЕРАТОР должен обладать четкой информацией о своих ответственностях и о защищенном способе работы с системой.

15

ГОСТ Р 56850-2015

Администратору требуется информация об управлении, настройке и контроле системы (т. е. список средств управления, записей аудита и т. д.) Администратору необходимо четкое понимание функциональных возможностей защиты, чтобы позволить ему выполнение ОЦЕНКИ РИСКА для ДАННЫХ о ЗДОРОВЬЕ в соответствии с надлежащими нормативными требованиями.

Отдел продаж и обслуживания также нуждается в информации о ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЯХ системы и защищенном способе работы.

Желательно, чтобы пользователь знал, когда и как необходимо информировать ПМП о предположительных нарушениях безопасности и очевидных слабостях в пользовательском оборудовании.

5.17    Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ — STCF

Применение:    Стандарты.    NEMA    DICOM    Часть    15.    Профили    управления защитой и си

стемой (NEMA DICOM Part 15: Security and System Management Profiles). NEMA DICOM Дополнение 51. Защита носителей информации (NEMA DICOM Supplement 51: Media security).

NEMA DICOM Дополнение 55. Конфиденциальность уровня атрибутов (включая деидентификацию), 5 сентября, 2002 (Финальный текст). Политика. Местная ИТ политика МО.

Справочный материал: Шнайер Б. 1996, Практическая криптография. Второе издание. John Wiley & Sons, Нью-Йорк (Schneier В. 1996. Applied Cryptography, Second Edition. John Wley & Sons, New York, NY.).

ПМП устанавливает технические средства управления для ослабления возможного нарушения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ, хранимых на изделиях или съемных носителях.

Достаточная гарантия того, что ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся на изделиях или носителях были и остаются защищены.

На основе результатов АНАЛИЗА РИСКА должна рассматриваться возможность использования шифрования для ДАННЫХ о ЗДОРОВЬЕ, хранящихся на МЕДИЦИНСКИХ ПРИБОРАХ.

В случае ДАННЫХ о ЗДОРОВЬЕ, хранящихся на съемных носителях, шифрование может послужить защитой конфиденциальности/целостно-сти для пользователей медицинских изделий, но также и для инженеров служб и приложений ПМП, собирающих медицинские данные.

Механизм для управления ключами шифрования согласуется с обычным использованием, доступом к услугам, экстренным доступом типа «разбивания стекла».

В методе и стойкости шифрования учитывается объем (масштаб сбора/ агрегации) и уязвимость данных.

5.18    Конфиденциальность передачи данных — TXCF

Применение:    Профиль.    Профиль    IHE    ATNA    (Профиль    интеграции журнал аудита и

аутентификация узлов).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Сертификаты, белая книга (NEMA SPC Certificates white paper).

NEMA DICOM Часть 15. Профили управления защитой и системой.

IETF: Защита уровня передачи данных в сетевой рабочей группе RFC 5246, август 2008. Протокол TLS версия 1.2 (IETF: Transport Layer Security in Network Working Group RFC 5246) August 2008: The TLS Protocol Version 1.2).

16

ГОСТ P 56850—2015

Содержание

1    Область применения .................................................................1

2    Нормативные ссылки .................................................................2

3    Термины и определения...............................................................2

4    Использование ВОЗМОЖНОСТЕЙ ЗАЩИТЫ..............................................5

4.1    Структура записи о ВОЗМОЖНОСТИ ЗАЩИТЫ........................................5

4.2    Руководство по использованию ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в ПРОЦЕССЕ МЕНЕДЖМЕНТА

РИСКА..........................................................................5

4.3    Связь между МЕНЕДЖМЕНТОМ РИСКА, выполняемым в соответствии с ИСО 14971,

и МЕНЕДЖМЕНТОМ РИСКА для защиты.............................................5

5    ВОЗМОЖНОСТИ ЗАЩИТЫ.............................................................6

5.1    Автоматический выход из системы—ALOF...........................................6

5.2    Средства управления аудитом —AUDT...............................................7

5.3    Авторизация—AUTH..............................................................8

5.4    Конфигурация свойств системы защиты — CNFS.......................................9

5.5    Усовершенствование системы защиты изделия от кибератак — CSUP....................10

5.6    Идентификация ДАННЫХ О ЗДОРОВЬЕ — DIDT......................................10

5.7    Резервное копирование данных и аварийное восстановление — DTBK....................11

5.8    Экстренный доступ — EMRG.......................................................11

5.9 Целостность и достоверность ДАННЫХ О ЗДОРОВЬЕ — IGAU..........................12

5.10 Обнаружение вредоносного программного обеспечения и защита от него — MLDP.........12

5.11    Аутентификация узлов — NAUT...................................................13

5.12    Аутентификация личности — PAUT................................................13

5.13    Физические замки на приборе — PLOK.............................................14

5.14    Влияние компонентов третьей стороны на весь жизненный цикл изделия — RDMP.........14

5.15    Усиление защиты системы и приложений — SAHD...................................15

5.16    Руководящие указания по защите — SGUD..........................................15

5.17    Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ — STCF........................16

5.18    Конфиденциальность передачи данных — TXCF.....................................16

5.19    Целостность передачи данных — TXIG.............................................17

6    Пример подробной спецификации для ВОЗМОЖНОСТИ ЗАЩИТЫ. Аутентификация личности —

PAUT..............................................................................17

7    Перечень ссылочных документов.......................................................18

8    Другие источники информации.........................................................20

8.1    Общие положения ...............................................................20

8.2    Заявление производителя о раскрытии информации о защите медицинского прибора (MDS2) . .20

8.3    Анкета о защите приложений (ASQ).................................................20

8.4    Комиссия по сертификации для информационных технологий в здравоохранении (CCHIT) . . .20

8.5    Функциональный электронный медицинский архив (EHR), http://www.cchit.org/get_certifiedHL7 . .21

8.6    Общие критерии ИСО/МЭК 15408...................................................21

9    Стандарты и подходы................................................................21

Приложение А (справочное) Типовой сценарий, демонстрирующий обмен информацией о защите. .22 Приложение В (справочное) Примеры региональных спецификаций нескольких ВОЗМОЖНОСТЕЙ

ЗАЩИТЫ...............................................................38

Приложение С (справочное) Отображение ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в C-I-A-A................41

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации ..........................42

Библиография........................................................................43

ГОСТ P 56850—2015

ITU-T. Рекомендация X.509. «Информационная технология. Взаимодействие открытых систем. Директория. Инфраструктура сертификата открытого ключа и атрибута» (ITU-T: Recommendation X.509. «Information technology — Open Systems Interconnection — The directory: Public-key and attribute certificate frameworks»)

Цель требований:    ПРИБОР    соответствует    местным законам, регламенту и стандартам (на

пример, USA HIPAA (закон об обеспечении доступности и подотчетности в медицинском страховании), национальным законам, основанным на EU 95/46/ЕС) в соответствии с потребностями МО для обеспечения конфиденциальности передаваемых ДАННЫХ О ЗДОРОВЬЕ.

Гарантия сохранения конфиденциальности ДАННЫХ о ЗДОРОВЬЕ во время передачи этих данных между аутентифицированными узлами. Это позволяет осуществлять передачу ДАННЫХ о ЗДОРОВЬЕ через относительно открытые сети и/или окружение, где действует крепкая ИТ политика МО обеспечения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ.

В стандарте МЭК/ТО 80001-2-3:2012 представлено больше информации о МЕНЕДЖМЕНТЕ РИСКА для систем беспроводных сетей.

5.19 Целостность передачи данных — TXIG

Применение:    Профиль.    Профиль    IHE    ATNA    (Профиль интеграции журнала аудита и

аутентификация узлов).

Политика. Местная ИТ политика МО.

Справочный материал: NEMASPC Сертификаты, белая книга.

NEMA DICOM Часть 15. Профили управления системой и защитой.

Прибор должен обеспечивать защиту целостности передаваемых ДАННЫХ о ЗДОРОВЬЕ.

Обеспечение сохранения целостности ДАННЫХ о ЗДОРОВЬЕ во время передачи. Это позволяет осуществлять передачу ДАННЫХ о ЗДОРОВЬЕ через относительно открытые сети и/или окружение, где действует крепкая ИТ политика МО обеспечения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ.

6 Пример подробной спецификации для ВОЗМОЖНОСТИ ЗАЩИТЫ. Аутентификация личности — PAUT

Предшествующий раздел «ВОЗМОЖНОСТИ ЗАЩИТЫ» содержал описание базовых возможностей, а также потребности пользователей и исходные материалы. При реальном применении возможность описывается более подробно в инструкции по защите от несанкционированного доступа ПМП или в запросе МО на получение информации о защите изделия. Ниже приводится пример выявления информации ПМП для возможности «Аутентификация личности». Для целевого МЕДИЦИНСКОГО ПРИБОРА выявленная информация указывает на наличие или отсутствие данной ВОЗМОЖНОСТИ ЗАЩИТЫ.

PAUT. Аутентификация личности

Термин «пользователь» предполагает лицо, осуществляющее уход за пациентом и/или выполняющее функции управления сетью и защитой в медицинской организации.

Цель требований:    Политика    аутентификации    должна    быть    гибкой для того, чтобы адапти

роваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ДАННЫМ О ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

17

Введение

МЭК 80001-1, посвященный применению МЕНЕДЖМЕНТА РИСКА к ИТ-сетям с медицинскими приборами, предоставляет информацию о ролях, ответственностях и действиях, необходимых для МЕНЕДЖМЕНТА РИСКА. Настоящий стандарт содержит дополнительное руководство по выбору ВОЗМОЖНОСТИ ЗАЩИТЫ (выявлению и обсуждению) как в ПРОЦЕССЕ МЕНЕДЖМЕНТА РИСКА, так и в контактах заинтересованных сторон и соглашениях.

Информативный набор распространенных, высокоуровневых ВОЗМОЖНОСТЕЙ ЗАЩИТЫ, представленный в настоящем стандарте, служит точкой отсчета для обсуждения, посвященного защите, между вендором и покупателем или между представителями большой группы заинтересованных лиц, вовлеченных в проект МЕДИЦИНСКОЙ ИТ СЕТИ. Масштабы применения охватывают ОТВЕТСТВЕННЫЕ ОРГАНИЗАЦИИ всевозможных размеров, так как каждая осуществляет оценку РИСКА с учетом возможностей и решает, что учитывать, а что нет, основываясь на устойчивости к РИСКУ и планировании ресурсов. Настоящий стандарт может применяться при подготовке документации, предназначенной для предоставления информации по ВОЗМОЖНОСТЯМ ЗАЩИТЫ изделия и его возможностям. Данная документация может быть использована ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ в качестве входной информации для организации ее ПРОЦЕССА по МЭК 80001 или для формирования основ СОГЛАШЕНИЙ ОБ ОТВЕТСТВЕННОСТИ для заинтересованных сторон. Другие стандарты МЭК 80001-1 содержат в себе пошаговое руководство по ПРОЦЕССУ МЕНЕДЖМЕНТА РИСКА. Более того, ВОЗМОЖНОСТИ ЗАЩИТЫ служат толчком к выявлению и более подробному описанию средств защиты, например, тех, которые установлены в одном из многих стандартов защиты, которыми руководствуется ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ или производитель МЕДИЦИНСКОГО ПРИБОРА (например, ИСО 227799:2008, ИСО/МЭК 27001:2005, ИСО/МЭК 27002:2005, ИСО/МЭК 27005:2011, серия стандартов ИСО 22600, серия стандартов ИСО 13606, и HCO/HL7 10781:2009, охватывающий функциональную модель электронной системы медицинских карт). Настоящий стандарт сохраняет независимость общего подхода к структуре средств управления. В настоящем стандарте предлагается только структура для выявления и предоставления информации ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ (называемой в данном документе Медицинской Организацией — МО), производителем МЕДИЦИНСКОГО ПРИБОРА (ПМП) и ИТ-вендором.

Выделенные в настоящем стандарте возможности охватывают выявление совокупности средств управления, которые обеспечивают сохранение конфиденциальности и охрану от вредоносного проникновения, которое может приводить к нарушению целостности или доступности системы/данных. По мере возникновения необходимости возможности могут добавляться или получать дальнейшее развитие. Средства управления предназначены для охраны как данных, так и систем, но особое внимание уделяется охране как ЛИЧНЫХ ДАННЫХ, так и их подраздела, называемого ДАННЫМИ О ЗДОРОВЬЕ. Оба этих специальных термина были корректно определены во избежание любых отсылок к специальным законам (например, уязвимые данные ЕС, электронная защищенная информация о состоянии здоровья США (USA ePHI)).

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИ ПРИБОРАМИ

Часть 2-2

Руководство по выявлению и обмену информацией о защите медицинских приборов,

рисках и управлении рисками

Health informatics. Risk management for IT-networks incorporating medical devices. Part 2-2. Guidance for the disclosure and communication of medical device security needs, risks and controls

Дата введения — 2016—11—01

1 Область применения

Настоящий стандарт формирует основной подход для выявления связанных с защитой возможностей и РИСКОВ, информация о которых необходима для управления РИСКОМ при подключении МЕДИЦИНСКИХ ПРИБОРОВ к ИТ СЕТЯМ, а также для представленного в МЭК 80001-1 взаимодействия (диалога) между заинтересованными организациями по вопросам защиты, которое сопровождает МЕНЕДЖМЕНТ РИСКА процесса соединения с ИТ СЕТЬЮ. Настоящий стандарт предоставляет информативный набор распространенных, высокоуровневых, связанных с защитой возможностей, полезных сточки зрения нужд пользователя, с указанием рассматриваемых для них типов средств управления безопасностью, а также РИСКОВ, которые приводят к использованию этих средств управления. ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ и местные факторы определяют, какие именно возможности будут использоваться в диалоге о РИСКЕ.

Описания возможностей, представленные в настоящем стандарте, предназначены для:

a)    медицинской организации (МО),

b)    производителей МЕДИЦИНСКИХ ПРИБОРОВ (ПМП), а также

c)    ИТ вендоров.

Данные описания служат основой для обсуждения РИСКА и назначения соответствующих ролей и ответственностей для выполнения менеджмента РИСКА. Данное обсуждение, ведущееся среди «партнеров» по РИСКУ, служит основой для одного или нескольких СОГЛАШЕНИЙ ОБ ОТВЕТСТВЕННОСТИ, как это установлено в МЭК 80001-1.

Настоящий стандарт предоставляет подробные описания возможностей, связанных с защитой, с намерением обеспечить любой прибор или его использование хотя бы одним дополнительным элементом спецификации для каждой возможности. Эти описания часто связаны с местом расположения и конкретным применением и ссылаются на соответствующие стандарты, посвященные РИСКУ и средствам управления защиты.

На данном начальном этапе стандартизации по МЭК 80001-1, ВОЗМОЖНОСТИ ЗАЩИТЫ в настоящем стандарте предоставляют распространенную, простую классификацию средств управления безопасностью, в особенности подходящих для МЕДИЦИНСКИХ ИТ СЕТЕЙ и подключенных к ним приборов. Этот список не направлен на формирование или поддержку использования строгих средств управления, основанных на стандартах ИТ защиты, и связанных с ними программ сертификации и обеспечения, рассматриваемых в других ИСО стандартах (например, ИСО/МЭК 15408 и его общие критерии оценки безопасности информационных технологий). Настоящий стандарт не содержит достаточно подробного описания конкретных технических требований для случая запроса предложений

Издание официальное

или документа о выявлении защиты изделия. Однако классификация и структура могут применяться для организации таких требований, а также лежащих в их основе деталей, которых достаточно для обмена информацией при приобретении и для ПРОЦЕССА интеграции МЕДИЦИНСКОГО ПРИБОРА или компонента ИТ оборудования. Необходимо подчеркнуть, что настоящий стандарт предназначен быть основой для обсуждения и соглашения, достаточной для начального формирования МЕНЕДЖМЕНТА РИСКА проекта. Кроме того, защита рассматривается только в контексте организационной политики защиты. Обе политики:

a)    политика защиты медицинской организации (МО) и

b)    политика защиты изделия и услуг производителя МЕДИЦИНСКОГО ПРИБОРА (ПМП)

находятся вне области применения настоящего стандарта. Кроме этого, настоящий стандарт не

затрагивает клинические исследования, требующие защиты выборочного раскрытия ЛИЧНЫХ ДАННЫХ или ДАННЫХ О ЗДОРОВЬЕ.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты и документы. Для датированных ссылок следует использовать указанное издание. Для недатированных ссылок — последнее издание указанного документа, включая все поправки к нему.

МЭК 80001-1:2010, Применение менеджмента риска для ИТ СЕТЕЙ с медицинскими приборами. Часть 1. Роли, ответственности и действия (IEC 80001-1:2010, Application of risk management for IT-net-works incorporating medical devices — Part 1: Roles, responsibilities and activities).

3    Термины и определения

В настоящем стандарте используются следующие термины и определения

3.1    ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ (DATA AND SYSTEM SECUIRTY): Рабочее состояние МЕДИЦИНСКОЙ ИТ СЕТИ, в котором информационные ресурсы (данные и системы) обоснованно защищены от нарушения конфиденциальности, полноты и доступа.

[МЭК 80001-1:2010, статья 2.5. Определение модифицированное — два примечания из оригинального документа, неотъемлемые для понимания области применения определения, были удалены]

3.2    ЭФФЕКТИВНОСТЬ (EFFECTIVENESS): Способность достигать намеченных результатов по отношению к пациенту и ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ.

[МЭК 80001 -1:2010, статья 2.6]

3.3    УПРАВЛЕНИЕ СОБЫТИЕМ (EVENT MANAGEMENT): ПРОЦЕСС, который гарантирует, что все события, негативно влияющие или способные негативно повлиять на работу ИТ СЕТИ, фиксируются, оцениваются и обрабатываются контролируемым способом.

[МЭК 80001 -1:2010, статья 2.7]

3.4    ВРЕД (HARM): Физическая травма или ущерб здоровью людей, или имуществу, или окружающей среде, а также снижение ЭФФЕКТИВНОСТИ или нарушение ЗАЩИЩЕННОСТИ СИСТЕМЫ И ДАННЫХ.

[МЭК 80001-1:2010, статья 2.8]

3.5    ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА.

[МЭК 80001-1:2010, статья 2.9]

3.6    ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда подвержены одной или нескольким ОПАСНОСТЯМ.

[МЭК 14971:2007, статья 2.4]

3.7    ДАННЫЕ О ЗДОРОВЬЕ (HEALTH DATA). ЛИЧНЫЕ ДАННЫЕ, указывающие на состояние физического или психического здоровья.

Примечание — Вышеописанное в общих чертах определяет в рамках настоящего стандарта личные данные и их подраздел ДАННЫЕ О ЗДОРОВЬЕ, что позволяет пользователям настоящего стандарта легко применять эти понятия к разным нормативным актам и регламентам о конфиденциальности данных. Например, в Европе, такие требования могут быть приняты, а термин может быть заменен на «Персональные данные» и «Уязвимые данные». В США термин ДАННЫЕ О ЗДОРОВЬЕ может быть заменен на «Защищенную информацию о здоровье (PHI)», а также, при необходимости, могут быть внесены поправки и в сам текст.

ГОСТ P 56850—2015

3.8    ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ (INTENDED USE): Применение изделия, ПРОЦЕССА или службы в соответствии с техническими условиями, инструкциями и информацией, предоставленной производителем.

[МЭК 80001-1:2010, статья 2.10]

3.9    ИНТЕРОПЕРАБЕЛЬНОСТЬ (INTEROPERABILITY): Свойство, позволяющее разнообразным системам и компонентам работать вместе для достижения установленной цели.

[МЭК 80001-1:2010, статья 2.11]

3.10    ИТ СЕТЬ (INFORMATION TECHNOLOGY NETWORK, IT-NETWORK): Система или системы, состоящие из взаимодействующих узлов и каналов передачи данных, предназначенные для обеспечения проводной или беспроводной передачи данных между двумя или более установленными узлами коммуникации.

[МЭК 80001-1:2010, статья 2.12. Определение модифицированное — два примечания из начального определения не были сохранены]

3.11    ОСНОВНЫЕ СВОЙСТВА (KEY PROPERTIES): Три управляемые характеристики риска (БЕЗОПАСНОСТЬ, ЭФФЕКТИВНОСТЬ и ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ) МЕДИЦИНСКИХ ИТ СЕТЕЙ.

[МЭК 80001-1:2010, статья 2.13]

3.12    МЕДИЦИНСКИЙ ПРИБОР (MEDICAL DEVICE): Любой инструмент, устройство, приспособление, машина, прибор, имплантат, реагент или калибратор в пробирке, программное обеспечение, материал или другие подобные, связанные с ними изделия:

a)    предполагаемые производителем для применения к человеку, отдельно или в сочетании друг с другом для одной или более заданных целей, таких как:

-    диагностика, профилактика, контроль, лечение или облегчение течения заболеваний,

-    диагностика, контроль, лечение, облегчение травмы или компенсация последствий травмы,

-    исследования, замещения, изменения или поддержка анатомического строения или физиологических процессов,

-    поддержание и сохранение жизни,

-    предупреждение беременности,

-    дезинфекция медицинских приборов,

-    предоставление информации для медицинских и диагностических целей, посредством исследований проб в пробирке, полученных из тела человека, и

b)    не реализующие свое основное предназначение в или на теле человека с помощью фармакологических, иммунологических или метаболических средств, но чья основная функция может поддерживаться подобными мерами.

Примечания

1    Определение прибора для исследований в лабораторных условиях включает, например, реагенты, буж-измеритель, приборы забора и хранения образцов, контрольные материалы и связанные с этим инструменты и приспособления. Данные, полученные с помощью такого прибора диагностики в лабораторных условиях, могут использоваться в целях диагностики, контроля или сравнения. В некоторых юрисдикциях отдельные приборы лабораторной диагностики, включая реагенты и подобные им, могут подчиняться отдельным правилам и положениям.

2    Изделия, которые, в некоторых юрисдикциях, могут быть приняты за медицинские приборы, но к которым еще не существует согласованного подхода, это:

-    средства помощи инвалидам и людям с ограниченными возможностями;

-    приборы для лечения/диагностики болезней и травм животных;

-    аксессуары для медицинских приборов (см. примечание 3);

-дезинфицирующие вещества;

-    приборы, использующие ткани животных и людей, которые могут соответствовать описанным выше определениям, но используются для других направлений.

3    Аксессуары, специально предназначенные производителями для использования совместно с медицинским прибором, для которого они были разработаны, для реализации цели медицинского прибора, должны подчиняться тем же процедурам GHT (Целевая группа глобальной гармонизации), которые применяются к самому медицинскому прибору. Например, аксессуар классифицируется так, как будто он является медицинским прибором. Это может привести к различию в классификациях аксессуара и прибора, для которого он был разработан.

4    Компоненты медицинских приборов в общих случаях контролируются через систему управления качеством производителя и процедуры оценки соответствия прибора. В некоторых юрисдикциях, компоненты включаются в определение «медицинского прибора».

[МЭК 80001-1:2010, статья 2.14]

3

3.13    МЕДИЦИНСКАЯ ИТ СЕТЬ (MEDICAL IT-NETWORK): ИТ СЕТЬ, к которой подключен хотя бы один МЕДИЦИНСКИЙ ПРИБОР.

[МЭК 80001 -1:2010, статья 2.16]

3.14    ОПЕРАТОР (OPERATOR): Лицо, работающее с оборудованием.

[МЭК 80001 -1:2010, статья 2.18]

3.15    ЛИЧНЫЕ ДАННЫЕ (PRIVATE DATA): Любая информация, связанная с идентифицированной личностью или личностью, доступной для идентификации.

3.16    ПРОЦЕСС (PROCESS): Совокупность взаимосвязанных и взаимодействующих действий, преобразующих входы в выходы.

[МЭК 80001 -1:2010, статья 2.19]

3.17    ОСТАТОЧНЫЙ РИСК (RESIDUAL RISK): РИСК, остающийся после выполнения мер по УПРАВЛЕНИЮ РИСКОМ.

[МЭК 80001 -1:2010, статья 2.20]

3.18    СОГЛАШЕНИЕ ОБ ОТВЕТСТВЕННОСТИ (RESPONSIBILITYAGREEMENT): Один или более документов, которые совместно определяют все ответственности для всех значимых заинтересованных сторон.

[МЭК 80001-1:2010, статья 2.21. Определение модифицированное — примечание к начальному определению, содержащее примеры, не было сохранено.]

3.19    ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ (RESPONSIBLE ORGANIZATION): Юридическое или физическое лицо, ответственное за использование и обслуживание МЕДИЦИНСКОЙ ИТ СЕТИ.

Примечание — В настоящем стандарте во избежание путаницы, связанной с понятием ответственности за обеспечение защиты, ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ из МЭК 80001-1 именуется медицинской организацией (МО).

[МЭК 80001-1:2010, статья 2.23. Определение модифицированное — примечание к начальному определению, содержащее примеры, не было сохранено. К определению было добавлено другое примечание.]

3.20    РИСК (RISK): Комбинация вероятности причинения ВРЕДА и его тяжести.

[МЭК 80001 -1:2010, статья 2.23]

3.21    АНАЛИЗ РИСКА (RISK ANALYSIS): Систематическое использование доступной информации для выявления ОПАСНОСТЕЙ и количественной оценки РИСКА.

[МЭК 80001 -1:2010, статья 2.24]

3.22    ОЦЕНКА РИСКА (RISK ASSESSMENT): Общий процесс, включающий в себя АНАЛИЗ РИСКА и ОЦЕНИВАНИЕ РИСКА.

[МЭК 80001 -1:2010, статья 2.25]

3.23    УПРАВЛЕНИЕ РИСКОМ (RISK CONTROL): ПРОЦЕСС принятия решений и выполнения мер по уменьшению рисков до установленных уровней или поддержания рисков внутри установленного диапазона.

[МЭК 80001 -1:2010, статья 2.26]

3.24    ОЦЕНИВАНИЕ РИСКА (RISK EVALUATION): ПРОЦЕСС сравнения количественно оцененного РИСКА, с заданными критериями РИСКА для определения значимости РИСКА.

[МЭК 80001 -1:2010, статья 2.27]

3.25    МЕНЕДЖМЕНТ РИСКА (RISK MANAGEMENT): Систематическое применение политик, процедур и практических методов менеджмента для решения задач анализа, оценивания, управления и контроля РИСКА.

[МЭК 80001 -1:2010, статья 2.28]

3.26    БЕЗОПАСНОСТЬ (SAFETY): Отсутствие недопустимого РИСКА физической травмы или ущерба здоровью людей, или ущерба имуществу, или окружающей среде.

[МЭК 80001 -1:2010, статья 2.30]

3.27    ВОЗМОЖНОСТЬ ЗАЩИТЫ (SECURITY CAPABILITY): Широкая категория технических, административных или организационных средств для управления РИСКАМИ, связанными с конфиденциальностью, целостностью, доступностью и отслеживаемостью данных и систем.

3.28    ВЕРИФИКАЦИЯ (VERIFICATION): Подтверждение на основе предоставления объективных свидетельств того, что установленные требования были выполнены.

[МЭК 80001-1:2010, статья 2.32. Определение модифицированное — три примечания к оригинальному определению не были сохранены]

4

ГОСТ Р 56850-2015

4 Использование ВОЗМОЖНОСТЕЙ ЗАЩИТЫ

4.1    Структура записи о ВОЗМОЖНОСТИ ЗАЩИТЫ

Раздел ВОЗМОЖНОСТИ ЗАЩИТЫ, представленный ниже (раздел 5), рассматривает общие ВОЗМОЖНОСТИ ЗАЩИТЫ, которые могут быть включены в МЕДИЦИНСКИЙ ПРИБОР или ИТ компонент. Для каждой возможности предложено обозначение из четырех букв для удобства предоставления ссылки и табуляции. Каждый подраздел предоставляет различную информацию о возможно применимом средстве управления защитой или категорию ПРОЦЕССА. Описание каждой возможности содержит:

-    ссылки к источникам информации о данной возможности (т. е. применимые стандарты, политики и справочные материалы; в данном случае МО и ПМП должны учитывать как международные стандарты защиты, так и применимые стандарты отдельных стран на элементы защиты, представленные в NIST 800-39/53/66/... (США), NEN 7510 (Нидерланды), требования ASIP (Франция), закон о защите персональной информации и руководство по менеджменту безопасности системы медицинской информации (Япония) и т. д.);

-    основную цель возможности защиты (т. е. цель требования) и

-    заявление о том, что пользователю (поставщику медицинских услуг) необходима данная возможность.

Часто перечисленные ВОЗМОЖНОСТИ ЗАЩИТЫ формируют основу для обсуждения в кругу участников СОГЛАШЕНИЯ ОБ ОТВЕТСТВЕННОСТИ. Эти обсуждения и принимающиеся по их результатам соглашения, предназначены для свойств, ролей и ответственностей, распределенных между заинтересованными сторонами и касающихся РИСКОВ для защиты.

4.2    Руководство по использованию ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в ПРОЦЕССЕ

МЕНЕДЖМЕНТА РИСКА

Все ВОЗМОЖНОСТИ ЗАЩИТЫ являются потенциальными возможностями УПРАВЛЕНИЯ РИСКОМ. Выбор возможностей УПРАВЛЕНИЯ РИСКОМ следует за выявлением потребности в снижении РИСКА для защиты. В МЭК/ТО 80001-2-1:2012 предоставлено пошаговое подробное описание ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА, в котором выбор, реализация и ВЕРИФИКАЦИЯ средств УПРАВЛЕНИЯ РИСКОМ осуществляется на шагах 6—8.

ВОЗМОЖНОСТИ ЗАЩИТЫ рассматривают варианты УПРАВЛЕНИЯ РИСКОМ для защиты следующим образом:

-    «цель требований» содержит список возможных РИСКОВ для защиты, которые могут быть снижены с помощью ВОЗМОЖНОСТИ ЗАЩИТЫ;

-    раздел, посвященный «потребности пользователя», содержит информацию о возможных аспектах, подлежащих рассмотрению при использовании этой ВОЗМОЖНОСТИ ЗАЩИТЫ.

Крайне необходимо отметить, что конкретное решение защиты, разработанное для определенного прибора для одного сценария использования, может не подходить для другого. ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ МЕДИЦИНСКОГО ПРИБОРА, подключенного к МЕДИЦИНСКОЙ ИТ СЕТИ, несет в себе информацию о том, какие ВОЗМОЖНОСТИ необходимо выбрать и на каком уровне им требуется поддержка. Иногда это ведет к важному включению ВОЗМОЖНОСТЕЙ ЗАЩИТЫ, например, использование имен пользователей и паролей в приборах, соединенных с сетью, содержащих данные о пациентах. В других случаях, контекст ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ исключает целый класс средств управления безопасностью; например, небольшое встроенное программное устройство, такое как прибор контроля SP02, не нуждается в установке на самом приборе встроенного журнала аудита системы защиты. Требования защиты, применимые в контексте конкретного ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ и в конкретном окружении, никогда не должны применяться без рассмотрения их возможного влияния на БЕЗОПАСНОСТЬ и ЭФФЕКТИВНОСТЬ изделия.

4.3    Связь между МЕНЕДЖМЕНТОМ РИСКА, выполняемым в соответствии с ИСО 14971,

и МЕНЕДЖМЕНТОМ РИСКА для защиты

Для получения информации о применении МЕНЕДЖМЕНТА РИСКА для обеспечения защиты на организационном уровне см. ИСО/МЭК 27001:2005, ИСО/МЭК 27002:2005, ИСО/МЭК 27799:2008. Для случаев подключения МЕДИЦИНСКОГО ПРИБОРА к ИТ СЕТИ можно применить ИСО/МЭК 27005:2011, из которого ПРОЦЕССЫ МЕНЕДЖМЕНТА РИСКА для ИТ защиты могут быть использованы дополнительно к ПРОЦЕССУ МЕНЕДЖМЕНТА РИСКА из ИСО 14971, чтобы соответство-

5

вать МЭК 80001-1:2010 (т. е. БЕЗОПАСНОСТИ, ЭФФЕКТИВНОСТИ и ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ). В МЭК/ТО 80001-2-1:2012 предоставлено подробное пошаговое руководство по выполнению МЕНЕДЖМЕНТА РИСКА.

МЭК 80001-1:2010 в определение ВРЕДА включает ОСНОВНЫЕ СВОЙСТВА: БЕЗОПАСНОСТЬ, ЭФФЕКТИВНОСТЬ и нарушение ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМ. Предложение «..нарушение ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМ», определяющее ВРЕД, равносильно выполнению действий в области ИТ защиты (например, в системе защиты от кибератак). При рассмотрении ОПАСНОСТЕЙ в защите ИТ, уязвимость системы может привести к нарушению (посредством вторжения). Похожим образом, угрозой может быть что-либо, что представляет опасность для ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ. Здесь проходит параллель между ОПАСНОСТЬЮ и возможным источником ВРЕДА. Проще говоря, угрозы используют уязвимости, что может привести к вторжению (известному источнику возможного ВРЕДА) или, как отмечено в ИСО/МЭК 27005:2011, «РИСК для защиты информации связан с возможностью того, что угрозы будут реализовываться, используя уязвимости информационного средства или группы информационных средств, и таким образом причинять ВРЕД организации».

Настоящий стандарт использует термины, связанные с защитой и РИСКОМ, как из области ИТ, так и из области МЕНЕДЖЕМНТА РИСКА МЕДИЦИНСКИХ ПРИБОРОВ (на основе ИСО 14971). Таблица 1 может быть использована для установления связи между терминологией, связанной с защитой ИТ, и терминологией, основанной на ИСО 14971. Данная связь не является точной, но позволяет сопоставить концепции.

Таблица 1 — Связь между терминологией, связанной с защитой ИТ, и терминологией, основанной на ИСО 14971

МЕНЕДЖМЕНТ РИСКА для ИТ защиты МЕНЕДЖМЕНТ РИСКА, основанный на ИСО 14971 Уязвимость — признанная незащищенность в защите, которая, в случае присутствия угрозы, может привести к ухудшению обеспечения информации данных и систем Атрибут системы, который ведет к возможности причинения ВРЕДА (в особенности данным и системам), т.е. является ОПАСНОСТЬЮ, возникающей из атрибута, явно подверженного использованию во вредоносных целях (в терминах ИТ) Угроза — нечто (преднамеренное или случайное), что способно причинить ВРЕД системам и организациям Обстоятельство или событие, которое может повлечь за собой ВРЕД, т. е. ОПАСНОСТЬ, возникающая из уязвимости, плюс обстоятельство или событие, которое является ее инициатором (в ИТ она часто предполагает участие фактора угрозы) Незащищенность — ситуация, которая может повлечь за собой причинение ВРЕДА ОПАСНАЯ СИТУАЦИЯ Вторжение — программное обеспечение или набор команд, создающий брешь в защите Угроза + уязвимость + «активация» —> ВРЕД Экземпляр ВРЕДА ОПАСНОСТЬ+ОПАСНАЯ СИТУАЦИЯ+«последовательность событий» —>■ ВРЕД РИСК — влияние неопределенности на достижение целей. [ИСО/МЭК 27005:2011] РИСК— комбинация вероятности причинения вреда и его тяжести. [ИСО 14971:2007] Контрмеры, гарантии безопасности, средства управления безопасностью Возможности УПРАВЛЕНИЯ РИСКОМ (в ИТ они иногда именуются ослаблением РИСКОВ, осуществляемой при логическом обосновании АНАЛИЗОМ РИСКА) Нарушение конфиденциальности, целостности или доступности систем и данных (включает брешь в защите личных данных) ВРЕД

5 ВОЗМОЖНОСТИ ЗАЩИТЫ

5.1 Автоматический выход из системы —ALOF

Применение:    Стандарт.    Нет.

Политика. Местная ИТ политика МО.