База ГОСТовallgosts.ru » 35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ » 35.240. Применение информационных технологий

ГОСТ Р 56850-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками

Обозначение: ГОСТ Р 56850-2015
Наименование: Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками
Статус: Действует

Дата введения: 11/01/2016
Дата отмены: -
Заменен на: -
Код ОКС: 11.040.01
Скачать PDF: ГОСТ Р 56850-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками.pdf
Скачать Word:ГОСТ Р 56850-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками.doc


Текст ГОСТ Р 56850-2015 Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками



ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО


НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТР56850-

2015/IEC/TR

80001-2-2:2012


Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННОВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИПРИБОРАМИ

Часть 2-2

Руководство по выявлению и обмену информацией о защите медицинских приборов, рисках и управлении рисками

IEC/TR 80001-2-2:2012

Application of risk management for IT-networks incorporating medical devices — Part 2-2: Guidance for the disclosure and communication of medical device security

needs, risks and controls (IDT)

Издание официальное

СШ1ЛЦПМ|фПГМ

ХПШ


Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации» (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации «Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья» при ЦНИИОИЗ Минздрава — постоянным представителем ISO ТС 215

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии России от 30 декабря 2015 г. № 2242-ст

4    Настоящий стандарт идентичен международному документу IEC/TR 80001-2-2:2012 «Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-2. Руководство по выявлению и обмену информацией о защите медицинских приборов. рисках и управлении рисками» (IEC/TR 80001-2-2:2012 «Application of risk management for IT-net-works incorporating medical devices — Part 2-2: Guidance for the disclosure and communication of medical device security needs, risks and controls»).

Наименование настоящего стандарта изменено относительно наименования указанного между* народного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5)

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок — е ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано е ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также е информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

© Стандартинформ. 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Содержание

4.2    Руководство по использованию ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в ПРОЦЕССЕ МЕНЕДЖМЕНТА

4.3    Связь между МЕНЕДЖМЕНТОМ РИСКА, выполняемым в соответствии с ИСО 14971.

6    Пример подробной спецификации для ВОЗМОЖНОСТИ ЗАЩИТЫ. Аутентификация личности —

8.2    Заявление производителя о раскрытии информации о защите медицинского прибора (MDS2).. 20

8.4    Комиссия по сертификации для информационных технологий в здравоохранении (CCHIT) ... 20

8.5    Функциональный электронный медицинский архив (EHR), .. 21

Приложение А (справочное) Типовой сценарий, демонстрирующий обмен информацией о защите. .22 Приложение В (справочное) Примеры региональных спецификаций нескольких ВОЗМОЖНОСТЕЙ

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

Введение

МЭК 80001*1. посвященный применению МЕНЕДЖМЕНТА РИСКА к ИТ-сетям с медицинскими приборами, предоставляет информацию о ролях, ответственностях и действиях, необходимых для ME* НЕДЖМЕНТА РИСКА. Настоящий стандарт содержит дополнительное руководство по выбору ВОЗ* МОЖНОСТИ ЗАЩИТЫ (выявлению и обсуждению) как в ПРОЦЕССЕ МЕНЕДЖМЕНТА РИСКА, так и в контактах заинтересованных сторон и соглашениях.

Информативный набор распространенных, высокоуровневых ВОЗМОЖНОСТЕЙ ЗАЩИТЫ, пред* ставленный в настоящем стандарте, служит точкой отсчета для обсуждения, посвященного защите, между вендором и покупателем или между представителями большой группы заинтересованных лиц, вовлеченных в проект МЕДИЦИНСКОЙ ИТ СЕТИ. Масштабы применения охватывают ОТВЕТСТВЕН* НЫЕ ОРГАНИЗАЦИИ всевозможных размеров, так как каждая осуществляет оценку РИСКА с учетом возможностей и решает, что учитывать, а что нет. основываясь на устойчивости к РИСКУ и планировании ресурсов. Настоящий стандарт может применяться при подготовке документации, предназначенной для предоставления информации по ВОЗМОЖНОСТЯМ ЗАЩИТЫ изделия и его возможностям. Данная документация может быть использована ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ в качестве входной информации для организации ее ПРОЦЕССА по МЭК 80001 или для формирования основ СОГЛАШЕНИЙ ОБ ОТВЕТСТВЕННОСТИ для заинтересованных сторон. Другие стандарты МЭК 80001*1 содержат в себе пошаговое руководство по ПРОЦЕССУ МЕНЕДЖМЕНТА РИСКА. Более того. ВОЗМОЖНОСТИ ЗАЩИТЫ служат толчком к выявлению и более подробному описанию средств защиты, например, тех. которые установлены в одном из многих стандартов защиты, которыми руководствуется ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ или производитель МЕДИЦИНСКОГО ПРИБОРА (например. ИСО 227799:2008. ИСО/МЭК 27001:2005. ИСО/МЭК 27002:2005. ИСО/МЭК 27005:2011. серия стандар* тое ИСО 22600. серия стандартов ИСО 13606. и HCO/HL7 10781:2009, охватывающий функциональную модель электронной системы медицинских карт). Настоящий стандарт сохраняет независимость общего подхода к структуре средств управления. В настоящем стандарте предлагается только структура для выявления и предоставления информации ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ (называемой в данном документе Медицинской Организацией — МО), производителем МЕДИЦИНСКОГО ПРИБОРА (ПМП) и ИТ-вендором.

Выделенные в настоящем стандарте возможности охватывают выявление совокупности средств управления, которые обеспечивают сохранение конфиденциальности и охрану от вредоносного проникновения, которое может приводить к нарушению целостности или доступности системы/данных. По мере возникновения необходимости возможности могут добавляться или получать дальнейшее развитие. Средства управления предназначены для охраны как данных, так и систем, но особое внимание уделяется охране как ЛИЧНЫХ ДАННЫХ, так и их подраздела, называемого ДАННЫМИ О ЗДОРОВЬЕ. Оба этих специальных термина были корректно определены во избежание любых отсылок к специальным законам (например, уязвимые данные ЕС. электронная защищенная информация о состоянии здоровья США (USA ePHI)).

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ РИСКОВ В ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ С МЕДИЦИНСКИМИ ПРИБОРАМИ

Ч а с т ь 2-2

Руководство по выявлению и обмену информацией о защите медицинских приборов,

рисках и управлении рисками

Health informatics. Risk management for IT-networks incorporating medical devices. Part 2-2. Guidance for the disclosure and communication of medical device security needs, risks and controls

Дата введения — 2016—11—01

1 Область применения

Настоящий стандарт формирует основной подход для выявления связанных с защитой возможностей и РИСКОВ, информация о которых необходима для управления РИСКОМ при подключении МЕДИЦИНСКИХ ПРИБОРОВ к ИТ СЕТЯМ, а также для представленного в МЭК 80001-1 взаимодействия (диалога) между заинтересованными организациями по вопросам защиты, которое сопровождает МЕНЕДЖМЕНТ РИСКА процесса соединения с ИТ СЕТЬЮ. Настоящий стандарт предоставляет информативный набор распространенных, высокоуровневых, связанных с защитой возможностей, полезных с точки зрения нужд пользователя, с указанием рассматриваемых для них типов средств управления безопасностью, а также РИСКОВ, которые приводят к использованию зтих средств управления. ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ и местные факторы определяют, какие именно возможности будут использоваться в диалоге о РИСКЕ.

Описания возможностей, представленные в настоящем стандарте, предназначены для:

a)    медицинской организации (МО),

b)    производителей МЕДИЦИНСКИХ ПРИБОРОВ (ПМП), а также

c)    ИТ вендоров.

Данные описания служат основой для обсуждения РИСКА и назначения соответствующих ролей и ответственностей для выполнения менеджмента РИСКА. Данное обсуждение, ведущееся среди «партнеров» по РИСКУ, служит основой для одного или нескольких СОГЛАШЕНИЙ ОБ ОТВЕТСТВЕННОСТИ. как это установлено в МЭК 80001-1.

Настоящий стандарт предоставляет подробные описания возможностей, связанных с защитой, с намерением обеспечить любой прибор или его использование хотя бы одним дополнительным элементом спецификации для каждой возможности. Эти описания часто связаны с местом расположения и конкретным применением и ссылаются на соответствующие стандарты, посвященные РИСКУ и средствам управления защиты.

На данном начальном этапе стандартизации по МЭК 80001-1. ВОЗМОЖНОСТИ ЗАЩИТЫ в настоящем стандарте предоставляют распространенную, простую классификацию средств управления безопасностью, в особенности подходящих для МЕДИЦИНСКИХ ИТ СЕТЕЙ и подключенных к ним приборов. Этот список не направлен на формирование или поддержку использования строгих средств управления, основанных на стандартах ИТ защиты, и связанных с ними программ сертификации и обеспечения, рассматриваемых в других ИСО стандартах (например. ИСО/МЭК 15408 и его общие критерии оценки безопасности информационных технологий). Настоящий стандарт не содержит достаточно подробного описания конкретных технических требований для случая запроса предложений

Издание официальное

или документа о выявлении защиты изделия. Однако классификация и структура могут применяться для организации таких требований, а также лежащих в их основе деталей, которых достаточно для об* мена информацией при приобретении и для ПРОЦЕССА интеграции МЕДИЦИНСКОГО ПРИБОРА или компонента ИТ оборудования. Необходимо подчеркнуть, что настоящий стандарт предназначен быть основой для обсуждения и соглашения, достаточной для начального формирования МЕНЕДЖМЕНТА РИСКА проекта. Кроме того, защита рассматривается только в контексте организационной политики защиты. Обе политики:

a)    политика защиты медицинской организации (МО) и

b)    политика защиты изделия и услуг производителя МЕДИЦИНСКОГО ПРИБОРА (ПМП)

находятся вне области применения настоящего стандарта. Кроме этого, настоящий стандарт не

затрагивает клинические исследования, требующие защиты выборочного раскрытия ЛИЧНЫХ ДАН* НЫХ или ДАННЫХ О ЗДОРОВЬЕ.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стан* дарты и документы. Для датированных ссылок следует использовать указанное издание. Для недатированных ссылок — последнее издание указанного документа, включая все поправки к нему.

МЭК 80001*1:2010. Применение менеджмента риска для ИТ СЕТЕЙ с медицинскими приборами. Часть 1. Роли, ответственности и действия (IEC 80001*1:2010. Application of risk management for IT-net* works incorporating medical devices — Part 1: Roles, responsibilities and activities).

3    Термины и определения

В настоящем стандарте используются следующие термины и определения

3.1    ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ (DATAAND SYSTEM SECUIRTY): Рабочее состояние МЕДИЦИНСКОЙ ИТ СЕТИ, в котором информационные ресурсы (данные и системы) обоснованно защищены от нарушения конфиденциальности, полноты и доступа.

[МЭК 80001*1:2010, статья 2.5. Определение модифицированное — два примечания из оригинального документа, неотъемлемые для понимания области применения определения, были удалены)

3.2    ЭФФЕКТИВНОСТЬ (EFFECTIVENESS): Способность достигать намеченных результатов по отношению к пациенту и ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ.

[МЭК 80001 -1:2010. статья 2.6]

3.3    УПРАВЛЕНИЕ СОБЫТИЕМ (EVENT MANAGEMENT); ПРОЦЕСС, который гарантирует, что все события, негативно влияющие или способные негативно повлиять на работу ИТ СЕТИ, фиксируют* ся, оцениваются и обрабатываются контролируемым способом.

[МЭК 80001*1:2010. статья 2.7]

3.4    ВРЕД (HARM): Физическая травма или ущерб здоровью людей, или имуществу, или окружающей среде, а также снижение ЭФФЕКТИВНОСТИ или нарушение ЗАЩИЩЕННОСТИ СИСТЕМЫ И ДАННЫХ.

[МЭК 80001*1:2010. статья 2.8]

3.5    ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА.

[МЭК 80001-1:2010. статья 2.9]

3.6    ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда подвержены одной или нескольким ОПАСНОСТЯМ.

[МЭК 14971:2007. статья 2.4]

3.7    ДАННЫЕ О ЗДОРОВЬЕ (HEALTH DATA). ЛИЧНЫЕ ДАННЫЕ, указывающие на состояние физического или психического здоровья.

Примечвние — Вышеописанное в общих чертах определяет 8 рамках настоящего стандарта личные данные и их подраздел ДАННЫЕ О ЗДОРОВЬЕ, что позволяет пользователям настоящего стандарта легко применять эти понятия к разным нормативным актам и регламентам о конфиденциальности данных. Например, в Европе. такие требования могут быть приняты, а термин может быть заменен на «Персональные данные» и «Уязвимые данные». В США термин ДАННЫЕ О ЗДОРОВЬЕ может быть заменен на «Защищенную информацию о здоровье (PHI)», а также, при необходимости, могут быть внесены поправхи и в сам текст.

3.8    ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ (INTENDED USE): Применение изделия. ПРОЦЕССА или службы в соответствии с техническими условиями, инструкциями и информацией, предоставленной производителем.

[МЭК 80001-1:2010. статья 2.10)

3.9    ИНТЕРОПЕРАБЕЛЬНОСТЬ (INTEROPERABILITY): Свойство, позволяющее разнообразным системам и компонентам работать вместе для достижения установленной цели.

(МЭК 80001-1:2010. статья 2.11)

3.10    ИТ СЕТЬ (INFORMATION TECHNOLOGY NETWORK. IT-NETWORK): Система или системы, состоящие из взаимодействующих узлов и каналов передачи данных, предназначенные для обеспечения проводной или беспроводной передачи данных между двумя или более установленными узлами коммуникации.

[МЭК 80001-1:2010, статья 2.12. Определение модифицированное — два примечания из начального определения не были сохранены]

3.11    ОСНОВНЫЕ СВОЙСТВА (KEY PROPERTIES): Три управляемые характеристики риска (БЕЗОПАСНОСТЬ. ЭФФЕКТИВНОСТЬ и ЗАЩИЩЕННОСТЬ СИСТЕМЫ И ДАННЫХ) МЕДИЦИНСКИХ ИТ СЕТЕЙ.

(МЭК 80001-1:2010. статья 2.13)

3.12    МЕДИЦИНСКИЙ ПРИБОР (MEDICAL DEVICE): Любой инструмент, устройство, приспособление. машина, прибор, имплантат, реагент или калибратор в пробирке, программное обеспечение, материал или другие подобные, связанные с ними изделия:

a)    предполагаемые производителем для применения к человеку, отдельно или в сочетании друг с другом для одной или более заданных целей, таких как:

•    диагностика, профилактика, контроль, печение или облегчение течения заболеваний.

•    диагностика, контроль, лечение, облегчение травмы или компенсация последствий травмы.

-    исследования, замещения, изменения или поддержка анатомического строения или физиологических процессов.

•    поддержание и сохранение жизни.

-    предупреждение беременности.

•    дезинфекция медицинских приборов.

•    предоставление информации для медицинских и диагностических целей, посредством исследований проб в пробирке, полученных из тела человека, и

b)    не реализующие свое основное предназначение в или на теле человека с помощью фармакологических. иммунологических или метаболических средств, но чья основная функция может поддерживаться подобными мерами.

Примечания

1    Определение прибора для исследований в лабораторных условиях включает, например, реагенты, буж-измеритель. приборы забора и хранения образцов, контрольные материалы и связанные с этим инструменты и приспособления. Данные, полученные с помощью такого прибора диагностики в лабораторных условиях, могут использоваться в целях диагностики, контроля или сравнения. В некоторых юрисдикциях отдельные приборы лабораторной диагностики, включая реагенты и подобные им. могут подчиняться отдельным правилам и положениям.

2    Изделия, которые, в некоторых юрисдикциях, могут быть приняты за медицинские приборы, но к которым еще не существует согласованного подхода, это:

•    средства помощи инвалидам и людям с ограниченными возможностями;

•    приборы для леченияЩиагностики болезней и травм животных:

•    аксессуары для медицинских приборов (см. примечание 3);

•    дезинфицирующие вещества:

•    приборы, использующие ткани животных и людей, которые могут соответствовать описанным выше определениям. но используются для других направлений.

3    Аксессуары, специально предназначенные производителями для использования совместно с медицинским прибором, для которого они были разработаны, для реализации цели медицинского прибора, должны подчиняться тем же процедурам GHT (Целевая группа глобальной гармонизации), которые применяются к самому медицинскому прибору. Например, аксессуар классифицируется так. как будто он является медицинским прибором. Эго может привести к различию в классификациях аксессуаре и прибора, для которого он был разработан.

4    Компоненты медицинских приборов в общих случаях контролируются через систему управления качеством производителя и процедуры оценки соответствия прибора. В некоторых юрисдикциях, компоненты включаются 8 определение «медицинского прибора».

(МЭК 80001-1:2010. статья 2.14)

3.13    МЕДИЦИНСКАЯ ИТ СЕТЬ (MEDICAL IT-NETWORK): ИТ СЕТЬ, к которой подключен хотя бы один МЕДИЦИНСКИЙ ПРИБОР.

(МЭК 80001-1:2010. статья 2.16]

3.14    ОПЕРАТОР (OPERATOR): Лицо, работающее с оборудованием.

[МЭК 80001-1:2010. статья 2.18]

3.15    ЛИЧНЫЕ ДАННЫЕ (PRIVATE DATA): Любая информация, связанная с идентифицированной личностью или личностью, доступной для идентификации.

3.16    ПРОЦЕСС (PROCESS): Совокупность взаимосвязанных и взаимодействующих действий, преобразующих входы в выходы.

[МЭК 80001-1:2010. статья 2.19]

3.17    ОСТАТОЧНЫЙ РИСК (RESIDUAL RISK): РИСК, остающийся после выполнения мер по УПРАВЛЕНИЮ РИСКОМ.

[МЭК 80001-1:2010. статья 2.20]

3.18    СОГЛАШЕНИЕ ОБ ОТВЕТСТВЕННОСТИ (RESPONSIBILITY AGREEMENT): Один или болев документов, которые совместно определяют все ответственности для всех значимых заинтересованных сторон.

[МЭК 80001-1:2010. статья 2.21. Определение модифицированное — примечание к начальному определению, содержащее примеры, не было сохранено.]

3.19    ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ (RESPONSIBLE ORGANIZATION): Юридическое или физическое лицо, ответственное за использование и обслуживание МЕДИЦИНСКОЙ ИТ СЕТИ.

Примечание — В настоящем стандарте во избежание путаницы, связанной с понятием ответственности за обеспечение защиты. ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ из МЭК 80001-1 именуется медицинской организацией (МО).

[МЭК 80001-1:2010. статья 2.23. Определение модифицированное — примечание к начальному определению, содержащее примеры, не было сохранено. К определению было добавлено другое примечание.]

3.20    РИСК (RISK): Комбинация вероятности причинения ВРЕДА и его тяжести.

[МЭК 80001-1:2010. статья 2.23]

3.21    АНАЛИЗ РИСКА (RISK ANALYSIS): Систематическое использование доступной информации для выявления ОПАСНОСТЕЙ и количественной оценки РИСКА.

[МЭК 80001-1:2010. статья 2.24]

3.22    ОЦЕНКА РИСКА (RISK ASSESSMENT): Общий процесс, включающий в себя АНАЛИЗ РИСКА и ОЦЕНИВАНИЕ РИСКА.

[МЭК 80001-1:2010. статья 2.25]

3.23    УПРАВЛЕНИЕ РИСКОМ (RISK CONTROL): ПРОЦЕСС принятия решений и выполнения мер по уменьшению рисков до установленных уровней или поддержания рисков внутри установленного диапазона.

[МЭК 80001-1:2010. статья 2.26]

3.24    ОЦЕНИВАНИЕ РИСКА (RISK EVALUATION): ПРОЦЕСС сравнения количественно оцененного РИСКА, с заданными критериями РИСКА для определения значимости РИСКА.

(МЭК 80001-1:2010. статья 2.27]

3.25    МЕНЕДЖМЕНТ РИСКА (RISK MANAGEMENT): Систематическое применение политик, процедур и практических методов менеджмента для решения задач анализа, оценивания, управления и контроля РИСКА.

[МЭК 80001-1:2010. статья 2.28]

3.26    БЕЗОПАСНОСТЬ (SAFETY): Отсутствие недопустимого РИСКА физической травмы или ущерба здоровью людей, или ущерба имуществу, или окружающей среде.

[МЭК 80001-1:2010. статья 2.30]

3.27    ВОЗМОЖНОСТЬ ЗАЩИТЫ (SECURITY CAPABILITY): Широкая категория технических, административных или организационных средств для управления РИСКАМИ, связанными с конфиденциальностью. целостностью, доступностью и отслеживаемостью данных и систем.

3.28    8ЕРИФИКАЦИЯ (VERIFICATION): Подтверждение на основе предоставления объективных свидетельств того, что установленные требования были выполнены.

[МЭК 80001-1:2010, статья 2.32. Определение модифицированное — три примечания к оригинальному определению не были сохранены]

4 Использование ВОЗМОЖНОСТЕЙ ЗАЩИТЫ

4.1    Структура записи о ВОЗМОЖНОСТИ ЗАЩИТЫ

Раздел ВОЗМОЖНОСТИ ЗАЩИТЫ, представленный ниже (раздел 5). рассматривает общие ВОЗМОЖНОСТИ ЗАЩИТЫ, которые могут быть включены в МЕДИЦИНСКИЙ ПРИБОР или ИТ компонент. Для каждой возможности предложено обозначение из четырех букв для удобства предоставления ссылки и табуляции. Каждый подраздел предоставляет различную информацию о возможно применимом средстве управления защитой или категорию ПРОЦЕССА. Описание каждой возможности содержит:

•    ссылки к источникам информации о данной возможности (т. е. применимые стандарты, политики и справочные материалы: в данном случае МО и ПМП должны учитывать как международные стандарты защиты, так и применимые стандарты отдельных стран на элементы защиты, представленные в NIST 800-39/53/66/... (США). NEN 7510 (Нидерланды), требования ASIP (Франция), закон о защите персональной информации и руководство по менеджменту безопасности системы медицинской информации (Япония) и т. д.);

•    основную цель возможности защиты (т. е. цель требования) и

•    заявление о том. что пользователю (поставщику медицинских услуг) необходима данная возможность.

Часто перечисленные ВОЗМОЖНОСТИ ЗАЩИТЫ формируют основу для обсуждения в кругу участников СОГЛАШЕНИЯ ОБ ОТВЕТСТВЕННОСТИ. Эти обсуждения и принимающиеся по их результатам соглашения, предназначены для свойств, ролей и ответственностей, распределенных между заинтересованными сторонами и касающихся РИСКОВ для защиты.

4.2    Руководство по использованию ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в ПРОЦЕССЕ

МЕНЕДЖМЕНТА РИСКА

Все ВОЗМОЖНОСТИ ЗАЩИТЫ являются потенциальными возможностями УПРАВЛЕНИЯ РИСКОМ. Выбор возможностей УПРАВЛЕНИЯ РИСКОМ следует за выявлением потребности в снижении РИСКА для защиты. В МЭК/ТО 80001-2-1:2012 предоставлено пошаговое подробное описание ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА, в котором выбор, реализация и ВЕРИФИКАЦИЯ средств УПРАВЛЕНИЯ РИСКОМ осуществляется на шагах 6—8.

ВОЗМОЖНОСТИ ЗАЩИТЫ рассматривают варианты УПРАВЛЕНИЯ РИСКОМ для защиты следующим образом:

•    «цель требований»» содержит список возможных РИСКОВ для защиты, которые могут быть снижены с помощью ВОЗМОЖНОСТИ ЗАЩИТЫ:

•    раздел, посвященный «потребности пользователя», содержит информацию о возможных аспектах. подлежащих рассмотрению при использовании этой ВОЗМОЖНОСТИ ЗАЩИТЫ.

Крайне необходимо отметить, что конкретное решение защиты, разработанное для определенного прибора для одного сценария использования, может не подходить для другого. ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ МЕДИЦИНСКОГО ПРИБОРА, подключенного к МЕДИЦИНСКОЙ ИТ СЕТИ, несет в себе информацию о том. какие ВОЗМОЖНОСТИ необходимо выбрать и на каком уровне им требуется поддержка. Иногда это ведет к важному включению ВОЗМОЖНОСТЕЙ ЗАЩИТЫ, например, использование имен пользователей и паролей в приборах, соединенных с сетью, содержащих данные о пациентах. В других случаях, контекст ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ исключает целый класс средств управления безопасностью: например, небольшое встроенное программное устройство, такое как прибор контроля SP02. не нуждается в установке на самом приборе встроенного журнала аудита системы защиты. Требования защиты, применимые в контексте конкретного ПРЕДНАЗНАЧЕННОГО ИСПОЛЬЗОВАНИЯ и в конкретном окружении, никогда не должны применяться без рассмотрения их возможного влияния на БЕЗОПАСНОСТЬ и ЭФФЕКТИВНОСТЬ изделия.

4.3    Связь между МЕНЕДЖМЕНТОМ РИСКА, выполняемым в соответствии с ИСО 14971,

и МЕНЕДЖМЕНТОМ РИСКА для защиты

Для получения информации о применении МЕНЕДЖМЕНТА РИСКА для обеспечения защиты на организационном уровне см. ИСО/МЭК 27001:2005. ИСО/МЭК 27002:2005. ИСО/МЭК 27799:2008. Для случаев подключения МЕДИЦИНСКОГО ПРИБОРА к ИТ СЕТИ можно применить ИСО/МЭК 27005:2011. из которого ПРОЦЕССЫ МЕНЕДЖМЕНТА РИСКА для ИТ защиты могут быть использованы дополнительно к ПРОЦЕССУ МЕНЕДЖМЕНТА РИСКА из ИСО 14971. чтобы соответство-еать МЭК 80001-1:2010 (т. в. БЕЗОПАСНОСТИ. ЭФФЕКТИВНОСТИ и ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ). В МЭК/ТО 80001-2-1:2012 предоставлено подробное пошаговое руководство по выполнению МЕНЕДЖМЕНТА РИСКА.

МЭК 80001-1:2010 в определение ВРЕДА включает ОСНОВНЫЕ СВОЙСТВА: БЕЗОПАСНОСТЬ. ЭФФЕКТИВНОСТЬ и нарушение ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМ. Предложение «..нарушение ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМ», определяющее ВРЕД, равносильно выполнению действий в области ИТ защиты (например, в системе защиты от кибератак). При рассмотрении ОПАСНОСТЕЙ в защите ИТ. уязвимость системы может привести к нарушению (посредством вторжения). Похожим образом. угрозой может быть что-либо, что представляет опасность для ЗАЩИЩЕННОСТИ ДАННЫХ И СИСТЕМЫ. Здесь проходит параллель между ОПАСНОСТЬЮ и возможным источником ВРЕДА. Проще говоря, угрозы используют уязвимости, что может привести к вторжению (известному источнику возможного 8РЕДА) или. как отмечено в ИСО/МЭК 27005:2011. «РИСК для защиты информации связан с возможностью того, что угрозы будут реализовываться, используя уязвимости информационного средства или группы информационных средств, и таким образом причинять ВРЕД организации».

Настоящий стандарт использует термины, связанные с защитой и РИСКОМ, как из области ИТ. так и из области МЕНЕДЖЕМНТА РИСКА МЕДИЦИНСКИХ ПРИБОРОВ (на основе ИСО 14971). Таблица 1 может быть использована для установления связи между терминологией, связанной с защитой ИТ. и терминологией, основанной на ИС014971. Данная связь не является точной, но позволяет сопоставить концепции.

Таблица 1 — Связь между терминологией, связанной с защитой ИТ. и терминологией, основанной на ИСО 14971

МЕНЕДЖМЕНТ РИСКА для ИТ защиты

МЕНЕДЖМЕНТ РИСКА, осномнный на ИСО 14971

Уязвимость — признанная незащищенность в защите, которая, в случае присутствия угрозы, может привести к ухудшению обеспечения информации данных и систем

Атрибут системы, который ведет к возможности причинения ВРЕДА (в особенности данным и системам), т.е. является ОПАСНОСТЬЮ, возникающей из атрибута, явно подверженного использованию во вредоносных целях (в терминах ИТ)

Угроза — нечто (преднамеренное или случайное), что способно причинить ВРЕД системам и организациям

Обстоятельство или событие, которое может повлечь за собой ВРЕД. г. в. ОПАСНОСТЬ, возникающая из уязвимости, плюс обстоятельство или событие, которое является ее инициатором (в ИТ она часто предполагает участие фактора угрозы)

Незащищежость — ситуация, которая может повлечь за собой причинение ВРЕДА

ОПАСНАЯ СИТУАЦИЯ

Вторжение — программное обеспечение или набор команд, создающий брешь в защите Угроза + уязвимость + «активация* — ВРЕД

Экземпляр ВРЕДА

ОПАСНОСТЬ+ОПАСНАЯ СИТУАЦИЯ+*лоследовательность событий» — ВРЕД

РИСК — влияние неопределенности на достижение целей. [ИСО/МЭК 27005:2011]

РИСК — комбинация вероятности приучения вреда и его тяжести. [ИСО 14971:2007)

Контрмеры, гарантии безопасности, средства управления безопасностью

Возможности УПРАВЛЕНИЯ РИСКОМ (в ИТ они иногда именуются ослаблением РИСКОВ, осуществляемой при логическом обосновании АНАЛИЗОМ РИСКА)

Нарушение конфиденциальности, целостности или доступности систем и данных (включает брешь в защите личных данных)

ВРЕД

5 ВОЗМОЖНОСТИ ЗАЩИТЫ

5.1 Автоматический выход из системы — ALOF

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал: Нет.

Цель требований:    Уменьшить РИСК получения несанкционированного доступа к ДАННЫМ

О ЗДОРОВЬЕ с рабочего места, оставленного без присмотра. Предотвратить неправильное использование, если система или рабочее место не используются в течение периода времени.

Потребность

пользователя:


Несанкционированные пользователи не могут получить доступ к ДАННЫМ О ЗДОРОВЬЕ с рабочего места, оставленного без присмотра. Сеансы санкционированных пользователей должны автоматически завершаться или блокироваться по прошествии заранее установленного промежутка времени. Это уменьшает РИСК несанкционированного доступа к ДАННЫМ О ЗДОРОВЬЕ, когда санкционированный пользователь покидает рабочее место, не завершая сеанс и не запирая жран или комнату.

Автоматический выход из системы должен включать в себя очистку ДАННЫХ О ЗДОРОВЬЕ со всех экранов по мере надобности.

Местный санкционированный ИТ администратор должен иметь возможность отключить эту функцию и установить срок действия (учитывающий хранитель экрана)

Хранитель экрана с коротким временем бездействия или активирующийся «быстрой клавишей» может являться дополнительным свойством. Эта очистка экрана ДАННЫХ О ЗДОРОВЬЕ может быть вызвана, когда на протяжении короткого времени не была нажата ни одна клавиша (например. от 15 с до нескольких минут). Это не завершит сеанс пользователя. но снизит РИСК случайного наблюдения информации. Желательно, чтобы клинические пользователи могли избежать потери незавершенной работы по причине автоматического выхода из системы. Рекомендуется подробное указание характеристик ALOF. которые позволяют различать (а) выход из системы и (б) блокировку экрана с возможностью восстановления сеанса.

5.2 Средства управления аудитом—AUOT

Применение:    Профиль. Профиль IHE ATNA (Профиль интеграции журнал аудита и

аутентификация узлов) (IHE ATN A profile (Audit Trad and Node Authentication Integration Profile)].

Техническая основа рентгенологии IHE (IHE Radiology Technical Framework).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA (Национальная ассоциация производителей электрооборудования): S&P Аудит (NEMA: S&P Auditing).

Цель    Установить согласованный подход к надежному аудиту того, кто и что

требований:    делает с ДАННЫМИ О ЗДОРОВЬЕ, чтобы позволить ИТ отделу МО кон

тролировать использование этих данных, применяя общеиспользуемые подходы, стандарты и технологию.

Наша индустрия пришла к согласию в том. что ИТ МО предпочитает поддержку профиля журнала аудита IHE.

Цель аудита (от 1НЕ). Позволить сотруднику службы безопасности организации вести аудит деятельности для оценки ее соответствия политике защиты данной области, а также для обнаружения случаев неподобающего поведения, и для облегчения обнаружения неправильного создания. получения доступа, модификации и удаления закрытой медицинской информации (PHI).

Возможность записывать и изучать деятельность системы по средством ведения журналов аудита с помощью прибора, для отслеживания до* ступа к системе и ДАННЫМ О ЗДОРОВЬЕ, а также их модификации и удаления.

Потребность

пользователя:


Поддержка использования либо в качестве изолированного архива дан* ных (регистрирующего файлы аудита в своей собственной файловой системе) или. в случае такой конфигурации, отправляющего зарегистри* роаанную информацию отдельному, управляемому МО центральному архиву данных.

Поддержка создания и сопровождения аудита поддерживается соответствующими инструментами проверки аудита.

Защита данных аудита по мере необходимости (в особенности, если эти данные содержат сами персональные данные).

Отсутствие возможности удалять или редактировать данные аудита.

Так как данные аудита скорее всего содержат персональные данные и/или ДАННЫЕ О ЗДОРОВЬЕ, то вся обработка (например, получение доступа, хранение и передача) должна подчиняться соответствующим средствам управления.

5.3 Авторизация — AUTH

Применение:    Примечание —Основывается на аутентификации, но эти два понятия не

следует путать.

Стандарт. ANSI/INCITS 359*2004 Управление доступом, основанное на ролях (ANSI/INCITS 359*2004 Role-Based Access Control).

Существуют общие подходы, которые могут быть полезны для рассма* триваемого случая:

Общий подход к технической ИТ инфраструктуре IHE. Журнал аудита и аутентификация узлов (ATNA) / Аутентификация корпоративных пользователей (EUA) / Контроль процесса авторизации пользователей (XUA) {(НЕ IT Infrastructure Technical Framework — Audit Trail and Node Authentication (ATNA) / Enterprise User Authentication (EUA) / Cross Enterprise User Assertion (XUA)]:

IETF (Рабочая группа инженеров Интернет): Защита транспортного уровня передачи данных (TLS) 1.2 (RFC 5246) [IETF: Transport Layer Security (TLS) 1.2 (RFC 5246)]:

ITU-T (Сектор стандартизации телекоммуникаций в составе международного телекоммуникационного общества): Рекомендация Х.509. «Информационная технология. Взаимодействие открытых систем. Директория. Инфраструктура сертификата открытого ключа и атрибута» [ITU-T: Recommendation Х.509. ’Information technology — Open Systems Interconnection — The directory: Public-key and attribute certificate frameworks]. Политика. Местная ИТ политика МО

Справочный материал: Белая книга IHE (Интегрированное учреждение здравоохранения).

Управление доступом (IHE White Paper — Access Control).

Общий подход к технической ИТ инфраструктуре IHE Журнал аудита и аутентификация узлов (ATNA).

ИСО/TS 22600-1:2006. Информатизация здоровья. Привилегированный менеджмент и управление доступом. Часть 1. Обзор и политика менеджмента (ISOtfS 22600-1:2006 Health informatics — Privilege management and access control — Part 1: Overview and policy management).

ИСО/TS 13606-4:2009. Информатизация здоровья. Электронная система передачи медико-санитарной документации. Часть 4. Защита (ISO/TS 13606-4:2009 Health informatics — Electronic health record communication — Part 4: Security)

Цель требований:    Следуя принципу минимизации данных, предоставить управление до

ступом к ДАННЫМ О ЗДОРОВЬЕ и функциям только в той степени, на* сколько это необходимо для выполнения задач МО в соответствии с ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ прибора.

Потребность    Избежать несанкционированный доступ к данным и функциям с целью

пользователя:    (1) сохранить конфиденциальность системы и данных, целостность и до

ступность. а также (2) чтобы остаться в рамках разрешенного использования данных и систем.

8 согласии с ИТ политикой МО и основываясь на аутентифицированной идентификации отдельных пользователей, возможность авторизации позволяет каждому пользователю получать доступ только к одобренным данным и выполнять с помощью прибора только одобренные функции. Согласно политике организации санкционированные пользователи включают в себя МО и обслуживающий персонал.

МЕДИЦИНСКИЕ ПРИБОРЫ, как правило, поддерживают систему, основанную на разрешениях, которая предоставляет доступ к функциям системы и данным в соответствии с ролью запрашивающего доступ пользователя МО (управление доступом, основанное на ролях. RBAC). Например:

—    ОПЕРАТОРЫ могут выполнять назначенные им задачи, используя все надлежащие для этого функции прибора (например, контроль или сканирование пациентов).

—    Персонал службы качества (например, радиолог) может принимать участие во всех надлежащих испытаниях качества и контроля качества.

—    Обслуживающий персонал может получать доступ к системе, включающий поддержку деятельности этого персонала, такую как профилактическое обслуживание, расследование проблем и устранение этих проблем.

Авторизация позволяет МО эффективно предоставлять медицинское обслуживание и в то же время (1) сохранять защищенность системы и данных и (2) придерживаться принципа надлежащей минимизации данных. Авторизация может управляться локально или же в масштабах предприятия (например, с помощью централизованного руководства).

Примечание —В случаях, когда ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ не подразумевает время, достаточное для начала и завершения сеанса использования прибора (например, в случае использования высокой пропускной способности). местной ИТ политикой может быть разрешено ослабление контроля авторизации, допуская, что физический доступ контролируется и ограничивается в достаточной мере.

5.4 Конфигурация свойств системы защиты — CNFS

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал: Нет.

Цель требований:    Дать МО возможность определять, как задействовать ВОЗМОЖНОСТИ

ЗАЩИТЫ изделия, чтобы удовлетворить их требования к политике и/или рабочему процессу.

Потребность    Местному санкционированному ИТ администратору требуется возмож-

пользователя:    ность выбирать между использованием и не использованием ФУНКЦИ

ОНАЛЬНЫХ ВОЗМОЖНОСТЕЙ ЗАЩИТЫ изделия. Это может включать в себя взаимодействие аспектов управления привилегиями с средством управления ФУНКЦИОНАЛЬНОЙ ВОЗМОЖНОСТЬЮ ЗАЩИТЫ.

5.5    Усовершенствование системы защиты изделия от кибератак — CSUP

Применение:    Руководство. Руководство OIS по созданию отчетов об уязвимостях

в защите и ответным мерам на их появление V2.0 1-е сентября 2004 (OIS Guidelines for Security Vulnerability Reporting and Response V2.0 1 September 2004).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Установление исправлений на готовое программное обеспечение. использующееся в медицинских информационных системах. Октябрь 2004 (NEMA SPC Patching off-the-shelf software used in medical information systems. October 2004).

Цель требований:


Создать унифицированный метод выполнения работы. Установка / усовершенствование пакетов исправлений для системы защиты выполняется персоналом на рабочем месте, и. вероятно, санкционированным персоналом МО (в случае установки скачиваемых пакетов исправлений).

Потребность

пользователя:


Установка пакетов исправлений, предоставленных посторонней организацией. на медицинские изделия при первой выдавшейся возможности и в соответствии с регламентом, требующим:

•    назначение наивьюшего приоритета исправлениям, адресованным уязвимостям. связанным с высоким уровнем РИСКА, которые определяются в результате объективного, официального, документально отраженного, процесса ОЦЕНИВАНИЯ РИСКА уязвимости, осуществленного ПМП:

•    обеспечение вендором медицинских изделий и поставщиком медицинских услуг продолжительного безопасного и эффективного клинического функционирования их изделий: обеспечение понимания местного регламента для МЕДИЦИНСКОГО ПРИБОРА (в общих случаях запрещена установка изменений на МЕДИЦИНСКИЕ ПРИБОРЫ без четких прописанных инструкций от ПМП):

•    проведения надлежащего испытания для обнаружения любых непредвиденных последствий установки исправления на медицинский продукт (для рабочих характеристик или функциональности), которые могут подвергнуть ПАЦИЕНТА опасности:

•    предоставления пользователям, в особенности ИТ персоналу МО и службе МО. упреждающей информации об оцененных/подтвержденных пакетах исправлений.

5.6    Идентификация ДАННЫХ О ЗДОРОВЬЕ — DIDT

Применение:    Стандарт. NEMA DICOM (Формирование цифровых изображений и обмен

ими в медицине) Дополнение 142. Профили деидентификации клинического исследования (NEMA OICOM Supplement 142: Clinical Trial De-identification profiles).

NEMA DICOM Дополнение 55. Конфиденциальность уровня атрибутов (включая деидентификацию) 5 сентября 2002 (Финальный текст) [NEMA DICOM Supplement 55: Attribute level confidentiality (including De-identification) 5 Sept 2002 (Final text)).

ИСО 25237:2008. Информатизация здоровья. Псеедонимизация (ISO 25237:2008. Health Informatics — pseudonimization).

Примечание — Псеедонимизация и использование любой разновидности идентификационных кодов для пациентов позволяет деиденгифицироеагь данные и таким образом, не является деидентификационным методом.

Политика. Местная ИТ политика МО

Справочный материал: Суини Л. 2002. К-анониммостъ. модель для системы охраны личной информации. Международный журнал, посвященный неопределенности, нечеткости и системам, основанным на знаниях. Выпуск 10{5). 557*570 (Sweeney, L. 2002. K-anonymity: a model for protecting privacy. International Journal on Uncertainty. Fu2ziness and Knowledgebased systems. 10(5). 557*570).

Цель требований:


Потребность

пользователя:


Способность оборудования (прикладного программного обеспечения или дополнительного инструментария) непосредственно удалять инфор-мацию. позволяющую идентифицировать ПАЦИЕНТОВ.

Удаление данных перед возвращением изделия на завод; создание архитектуры. позволяющей удаленное обслуживание без доступа «(/раскрытия ДАННЫХ О ЗДОРОВЬЕ; внутризаводской карантин, присвоение меток и обучение.

Пользователь медицинского изделия, инженеры по обслуживанию и отдел маркетинга должны иметь возможность деидентифицировать ДАННЫЕ О ЗДОРОВЬЕ для разнообразных целей, не требующих информации о личности ПАЦИЕНТА.

5.7 Резервное копирование данных и аварийное восстановление — DT8K

Применение;    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный

материал;

Цель требований:


Потребность

пользователя:


ИСО/МЭК 20000*2:2012, Планирование и испытание непрерывности обслуживания (ISO/IEC 20000*2:2012, Service continuity planning and testing).

Обеспечить возможность для поставщика медицинских услуг продолжать вести свое предприятие после повреждения или уничтожения данных. оборудования или программного обеспечения.

Достаточная гарантия того, что постоянные системные настройки и постоянные ДАННЫЕ О ЗДОРОВЬЕ, хранящиеся в изделиях могут быть восстановлены после отказа системы или нарушения, таким образом, что предприятие могло продолжить функционировать.

Примечание — Данное требование может не подходить для небольших, бюджетных приборов и может, на практике, зависеть от способности собирать новые, значимые данные во время следующего цикла приобретения (например, потеря данных о низкой частоте сердечных сокращений, связанная с прерывистым сигналом беспроводного подключения)

5.8 Экстренный доступ — EMRG

Применение:


Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Белая книга. Разбитие стекла (NEMA SPC White paper: Break-

glass).

Цель требований:    Обеспечить возможность доступа к охраняемым ДАННЫМ О ЗДОРОВЬЕ

в случае экстренной ситуации, требующей немедленного доступа к хранящимся ДАННЫМ О ЗДОРОВЬЕ.

Потребность    В экстренных ситуациях пользователь медицинского изделия должен

пользователя:    иметь возможность получить доступ к ДАННЫМ О ЗДОРОВЬЕ без пер

сонального идентификатора (id) и аутентификации (функции разбивания стекла).

Экстренный доступ должен быть обнаружен, зафиксирован и отражен в отчете. Предпочтительно, эта функциональная возможность должна включать какое-нибудь средство моментального уведомления системного администратора или медицинского персонала (в дополнении к записи результатов аудита).

Экстренный доступ должен требовать и записывать идентификационную информацию самоудостоверенного пользователя в том виде, в котором она вводится (без аутентификации).

МО может разрешить это с помощью процедурного подхода, используя учетную запись конкретного пользователя или функции системы. Администратор должен иметь возможность включать/выключать любые экстренные функции, предоставляемые продуктом, зависящие от технических или процедурных средств управления, которые требуются.

5.9 Целостность и достоверность ДАННЫХ О ЗДОРОВЬЕ — IGAU

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал: NEMA Аудит защиты и неприкосновенности частной жизни (NEMA Security and Privacy Auditing).

Цель требований:

Обеспечить сохранность ДАННЫХ О ЗДОРОВЬЕ от изменения или уничтожения несанкционированными методами, а также гарантировать, что эти данные поступили от их создателя. Обеспечить целостность ДАННЫХ О ЗДОРОВЬЕ.

Потребность

пользователя:

Пользователь хочет подтверждение того, что ДАННЫЕ О ЗДОРОВЬЕ являются надежными и не измененными в результате злонамеренного вмешательства.

Решением является использование как несъемных, так и съемных носителей информации.

5.10 Обнаружение вредоносного программного обеспечения и защита от него — MIDP

Применение:

Стандарт. Нет.

Политика. Местная ИТ политика МО.

Цитата из регламента:

Защита от вредоносного программного обеспечения (Решаемая проблема). Процедуры принятия мер предосторожности, обнаружения и уее-

домления (создания отчетов) о вредоносном программном обеспечении.

Справочный материал: NEMA Защита медицинских информационных систем от вредоносного

программного обеспечения (NEMA Defending Medical Information Systems

Цель требований:

Against Malicious Software).

Изделие обеспечивает потребности регулирования, а также МО и пользователя, в обеспечении эффективной и единой поддержки предотвращения. обнаружения и удаления вредоносного программного обеспечения. Это является неотъемлемым шагом в обеспечении надлежащего глубокого подхода к защите.

Обновление прикладного программного обеспечения для борьбы с вредоносным ПО. поддержание актуальности массивов данных, содержащих шаблоны вредоносного программного обеспечения, своевременная установка исправлений для приложений.

Для удовлетворения требований регламента качества часто требуется испытание для ВЕРИФИКАЦИИ работы прибора на соответствие ПРЕДНАЗНАЧЕННОМУ ИСПОЛЬЗОВАНИЮ и требованиям БЕЗОПАСНОСТИ, осуществляемое после обновления программного обеспечения.

Потребность    МО должна обнаруживать традиционное вредоносное программное

пользователя:    обеспечение также как и несанкционированное программное обеспече

ние. которое может нарушать корректную работу прибора/системы.

5.11 Аутентификация узлов — NAUT

Применение:    Профиль. Профиль IHE ATNA. Профиль интеграции журнала аудита и

аутентификация узла.

Политика. NEMA/COCIR/JIRA Объединенный комитет по вопросам за* щиты и неприкосновенности частной жизни (Joint Security and Privacy). Белая книга (предстандарт технического комитета). Управление сертификатами аутентификации компьютеров. 10 февраля. 2005 (Committee draft White Paper: Management of Machine Authentication Certificates, 10 February 2005).

Проект политики защиты института SANS (институт системного администрирования. аудита сети и защиты) (SANS Security Policy Project). Местная ИТ политика МО.

Справочный материал: Нет.

Цель

требований:


Потребность

пользователя:


Политика аутентификации должна быть гибкой, чтобы иметь возможность адаптироваться к местной ИТ политики МО. Использование, по мере необходимости, аутентификации узлов при передаче ДАННЫХ О ЗДОРОВЬЕ.

Возможность управления межкомпьютерными учетными записями на медицинском оборудовании для защиты доступа к ДАННЫМ О ЗДОРОВЬЕ. Поддержка независимого и центрального администрирования. Поддержка аутентификации узлов в соответствии с отраслевыми стандартами.

Обнаружение и предотвращение фальсификации (необходимо предоставить невозможность отказа от авторства).

5.12 Аутентификация личности — PAUT

Применение:    Профиль. Профиль IHE ATNA (Профиль журнала аудита и интеграции

аутентификации узлов).

Профиль IHE PWP (Персональный телефонный справочник) (IHE PWP profile (Personal White Pages).

IHE EUA (Аутентификация корпоративных пользователей).

IHE XUA (Контроль процесса авторизации пользователей).

Политика. Проект политики защиты SANS.

Местная ИТ политика МО.

Справочный материал: Нет.

Цель требований:    Политика аутентификации должна быть гибкой для того, чтобы адапти

роваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ДАННЫМ О ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

Иметь возможность контролировать доступ к приборам, ресурсам сети и ДАННЫМ О ЗДОРОВЬЕ, а также создавать журналы аудита с невозможностью отказа от авторства. Данное свойство должно позволить однозначно и с уверенностью идентифицировать личность, пытающуюся получить доступ к сети, прибору или ресурсу.

Примечание — Это требование смягчено в процессе выполнения о разбивания стекла». См. «Экстренный доступ».

Создание и использование уникальных учетных записей для пользователей и управление доступом, основанное на ролях (RBAC, местное и удаленное) к прибору, подключенному к сети, для управления и контроля доступа к сети и ее деятельности.

Потребность

пользователя:


Возможность управлять учетными записями на медицинском оборудовании обеспечения защиты доступа к ДАННЫМ О ЗДОРОВЬЕ. Пользователю может потребоваться связать персональные установки с учетными записями пользователей. Это может помочь приборам и системам. используемым множеством ОПЕРАТОРОВ, отделов или даже множеством организаций здравоохранения (МО). Необходима поддержка независимого и центрального администрирования.

Однократная идентификация и использование одного пароля для всех рабочих мест.

Обнаружение и предотвращение фальсификации (необходимо предоставить невозможность отказа от авторства).

5.13    Физические замки на приборе — PLOK

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал: Нет.

Цель требований:    Гарантировать, что несанкционированный доступ не нарушит конфиден

циальность системы или данных, целостность и доступность.

Потребность

пользователя:


Достаточная гарантия того, что ДАННЫЕ О ЗДОРОВЬЕ, хранящиеся в изделиях или носителях были и остаются защищены в соответствии с уязвимостью и объема записей данных на приборе.

Достаточная безопасность систем от злонамеренного вмешательства или удаления компонентов, которое может нарушить целостность, конфиденциальность или доступность.

Злонамеренное вмешательство (включая удаление прибора) обнаружимо.

5.14    Влияние компонентов третьей стороны на весь жизненный цикл изделия — RDMP

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Цитата из регламента. Нет.

Справочный материал: Нет.

Цель требований:    МО требуется понимание защиты на протяжении всего жизненного цикла

МЕДИЦИНСКОГО ПРИБОРА.

Планы ПМП предполагают, что их изделия считаются поддерживаемыми на протяжении их жизненного цикла, согласно внутренним системам контроля качества и внешнему регламенту.

Изделия предоставляются с четко установленным ожидаемым сроком службы.

Целью является упреждающее управление влиянием жизненного цикла компонентов на весь жизненный цикл всего изделия. Такое коммерческое готовое программное обеспечение, предоставляемое сторонней организацией. включает в себя операционные системы, системы баз данных. генераторы отчетов, компоненты MIP и т. д. (предполагается, что существующее РСР уже контролирует износ аппаратных компонентов). Сторонняя организация в данном случае также включает в себя внешних поставщиков защиты для уязвимых компонентов с их собственным жизненным циклом и поддерживающими программами.

Потребность    Контракты, политика и регламент МО требуют от вендора сопровожде-

пользователя:    ния/поддержки системы на протяжении жизни изделия.

Когда компоненты платформы начинают устаревать должно выполнять* ся их обновление и усовершенствование.

Различные МО поставщики услуг демонстрируют проявление особой осторожности при необратимом удалении ДАННЫХ О ЗДОРОВЬЕ перед списыванием (списывании по причине брака, повтором использовании, перепродаже или переработке) приборов. Подобная деятельность должна фиксироваться и подвергаться аудиту.

Отдел продаж и обслуживания должен быть уведомлен о поддержке защиты предоставляемой для каждого изделия на протяжении его жизненного цикла.

5.15 Усиление защиты системы и приложений — SAHO

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО. Проект политики института SANS.

Справочный материал: Читальный зал для литературы по информационной защите института

SANS (Пошаговые руководства).

Инструменты защиты и исходные показатели CIS (Центр эталонов интернет-безопасности и инструментов обеспечения защиты).

Цель

требований:


Потребность

пользователя:


Отладить средства управления защитой МЕДИЦИНСКОГО ПРИБОРА и/или прикладного программного обеспечения таким образом, чтобы защищенность была максимальна («усилена»), но при этом осуществлялось ПРЕДНАЗНАЧЕННОЕ ИСПОЛЬЗОВАНИЕ прибора. Минимизировать векторы атак и совокупную площадь атак посредством закрытия портов: удаления службы и т. д.

Пользователю требуется стабильная система, предоставляющая только те службы, установленные ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ и требующиеся для его осуществления, с минимумом сопроводительной деятельности.

ИТ отделу МО требуется, чтобы системы, подключенные к их сети, были обеспечены защитой при доставке, а также усилены для защиты от неправильного использования и атак.

Желательно, чтобы пользователь информировал ПМП о предполагаемых нарушениях защиты и очевидных слабостях пользовательского оборудования.

5.16 Руководящие указания по защите — SGUD

Применение:    Стандарт. Нет.

Политика. Местная ИТ политика МО.

Справочный материал. Заявление производителя о раскрытии информации о защите медицинского прибора (MDS2) (Manufacture Disclosure Statement for Medical Device Security (MDS2)}.

Цель требований:    Обеспечить доступность руководства по защите для ОПЕРАТОРОВ и ад

министраторов системы. Желательно предоставление отдельных пособий для ОПЕРАТОРОВ и АДМИНИСТРАТОРОВ (включая отдел продаж и обслуживания ПМП). так как это позволяет только администраторам сохранять за собой понимание всего административного функционала.

Потребность    ОПЕРАТОР должен обладать четкой информацией о своих ответствен-

пользователя:    ностях и о защищенном способе работы с системой.

Администратору требуется информация об управлении, настройке и кон* тропе системы (т. е. список средств управления, записей аудита и т. д.) Администратору необходимо четкое понимание функциональных воз* можностей защиты, чтобы позволить ему выполнение ОЦЕНКИ РИСКА для ДАННЫХ о ЗДОРОВЬЕ в соответствии с надлежащими нормативными требованиями.

Отдел продаж и обслуживания также нуждается в информации о ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЯХ системы и защищенном способе работы.

Желательно, чтобы пользователь знал, когда и как необходимо информировать ПМП о предположительных нарушениях безопасности и очевидных слабостях в пользовательском оборудовании.

5.17    Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ — STCF

Применение:    Стандарты. NEMA DICOM Часть 15. Профили управления защитой и си

стемой (NEMA DICOM Part 15: Security and System Management Profiles). NEMA DICOM Дополнение 51. Защита носителей информации (NEMA Di-COM Supplement 51: Media security).

NEMA DICOM Дополнение 55. Конфиденциальность уровня атрибутов (включая деидентификацию). 5 сентября. 2002 (Финальный текст). Политика. Местная ИТ политика МО.

Справочный материал: Шнайер Б. 1996. Практическая криптография. Второе издание. John Wiley & Sons. Нью-Йорк (Schneier В. 1996. Applied Cryptography. Second Edition. John Wiley & Sons. New York. NY.).

Цель

требований:

Потребность

пользователя:


ПМП устанавливает технические средства управления для ослабления возможного нарушения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ, хранимых на изделиях или съемных носителях.

Достаточная гарантия того, что ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся на изделиях или носителях были и остаются защищены.

На основе результатов АНАЛИЗА РИСКА должна рассматриваться возможность использования шифрования для ДАННЫХ о ЗДОРОВЬЕ, хранящихся на МЕДИЦИНСКИХ ПРИБОРАХ.

В случае ДАННЫХ о ЗДОРОВЬЕ, хранящихся на съемных носителях, шифрование может послужить защитой конфиденциальности/целостно* сти для пользователей медицинских изделий, но также и для инженеров служб и приложений ПМП. собирающих медицинские данные.

Механизм для управления ключами шифрования согласуется с обычным использованием, доступом к услугам, экстренным доступом типа «разбивания стекла».

В методе и стойкости шифрования учитывается объем (масштаб сбора/ агрегации) и уязвимость данных.

5.18    Конфиденциальность передачи данных — TXCF

Применение:    Профиль. Профиль IHE ATNA (Профиль интеграции журнал аудита и

аутентификация узлов).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Сертификаты, белая книга (NEMA SPC Certificates white paper).

NEMA DICOM Часть 15. Профили управления защитой и системой.

IETF: Защита уровня передачи данных в сетевой рабочей группе RFC 5246, август 2008. Протокол TLS версия 1.2 (IETF: Transport Layer Security in Network Working Group RFC 5246) August 2008: The TLS Protocol Version 1.2).

ITU-T. Рекомендаций Х.509. «Информационная технология. Взаимодействие открытых систем. Директория. Инфраструктура сертификата открытого ключа и атрибута» (ITU-T: Recommendation Х.509. «Information technology — Open Systems Interconnection — The directory: Public-key and attribute certificate frameworks»)

Цель требований:


ПРИБОР соответствует местным законам, регламенту и стандартам (например. USA HIPAA (закон об обеспечении доступности и подотчетности в медицинском страховании), национальным законам, основанным на EU 95/46/ЕС) в соответствии с потребностями МО для обеспечения конфиденциальности передаваемых ДАННЫХ О ЗДОРОВЬЕ.

Потребность

пользователя:


Гарантия сохранения конфиденциальности ДАННЫХ о ЗДОРОВЬЕ во время передачи этих данных между аутентифицированными узлами. Это позволяет осуществлять передачу ДАННЫХ о ЗДОРОВЬЕ через относительно открытые сети и/или окружение, где действует крепкая ИТ политика МО обеспечения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ.

В стандарте МЭЮТО 80001-2-3:2012 представлено больше информации о МЕНЕДЖМЕНТЕ РИСКА для систем беспроводных сетей.

5.19 Целостность передачи данных — TXIG

Применение:    Профиль. Профиль IHE ATNA (Профиль интеграции журнала аудита и

аутентификация узлов).

Политика. Местная ИТ политика МО.

Справочный материал: NEMA SPC Сертификаты, белая книга.

NEMA DICOM Часть 15. Профили управления системой и защитой.

Цель требований:

Потребность

пользователя:


Прибор должен обеспечивать защиту целостности передаваемых ДАННЫХ о ЗДОРОВЬЕ.

Обеспечение сохранения целостности ДАННЫХ о ЗДОРОВЬЕ во время передачи. Это позволяет осуществлять передачу ДАННЫХ о ЗДОРОВЬЕ через относительно открытые сети и/или окружение, где действует крепкая ИТ политика МО обеспечения целостности и конфиденциальности ДАННЫХ о ЗДОРОВЬЕ.

6 Пример подробной спецификации для ВОЗМОЖНОСТИ ЗАЩИТЫ. Аутентификация личности — PAUT

Предшествующий раздел «ВОЗМОЖНОСТИ ЗАЩИТЫ» содержал описание базовых возможностей. а также потребности пользователей и исходные материалы. При реальном применении возможность описывается более подробно в инструкции по защите от несанкционированного доступа ПМП или в запросе МО на получение информации о защите изделия. Ниже приводится пример выявления информации ПМП для возможности «Аутентификация личности». Для целевого МЕДИЦИНСКОГО ПРИБОРА выявленная информация указывает на наличие или отсутствие данной ВОЗМОЖНОСТИ ЗАЩИТЫ.

PAUT. Аутентификация личности

Термин «пользователь» предполагает лицо, осуществляющее уход за пациентом и/или выполняющее функции управления сетью и защитой в медицинской организации.

Цель требований:    Политика аутентификации должна быть гибкой для того, чтобы адапти

роваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ДАННЫМ О ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

Иметь возможность контролировать доступ к приборам, ресурсам сети и ДАННЫМ О ЗДОРОВЬЕ, а также создавать журналы аудита с невозможностью отказа от авторства. Данное свойство должно позволить однозначно и с уверенностью идентифицировать личность, пытающуюся получить доступ к сети, прибору или ресурсу.

Примечание — Это требование смягчено в процессе аькюлнения «разбивэ-

ния стекла». См. «экстренный доступ».

Потребность    Создание и использование уникальных учетных записей для польэова-

пользователя:    телей и управление доступом, основанное на ролях (RBAC, местное и


PAUT.1

удаленное) к прибору, подключенному к сети, для управления и контроля доступа к сети и ее деятельности.

Возможность управлять учетными записями на медицинском оборудовании обеспечения защиты доступа к ДАННЫМ О ЗДОРОВЬЕ. Пользователю может потребоваться связать персональные установки с учетными записями пользователей. Это может помочь приборам и системам. используемым множеством ОПЕРАТОРОВ, отделов или даже множеством организаций здравоохранения (МО). Необходима поддержка независимого и центрального администрирования.

Однократная идентификация и использование одного пароля для всех рабочих мест.

Обнаружение и предотвращение фальсификации (необходимо предоставить невозможность отказа от авторства).

Изделие поддерживает обработку учетных записей пользователей, администрируемую локально (на приборе). Возможность для ИТ отдела МО и. если необходимо, для инженера по обслуживанию, позволяющая управлять учетными записями локальных пользователей.

PAUT.2

Использование центрального администрирования МО для учетных записей пользователей в соответствии с профилем IHE EUA.

PAUT.3

Поддержка идентификации множества одновременных пользователей (например. ОПЕРАТОР ♦ практикующий врач) для управления доступом, основанного на ролях.

PAUT.4

Однократная идентификация для методов, использующих множество рабочих станций или для одной рабочей станции, на которой работает множество приложений.

PAUT.6

Поддержка быстрого переключения пользователей. Поддержка данной функции уменьшает затраты времени на задачу входа и выхода пользователей из системы.


7 Перечень ссылочных документов

Данный раздел подробно описывает краткие ссылки, использованные в разделе 5.


Ссылочный

досушен*

Название

CIS

Ценгр эталонов интернет-безопасности и инструментов обеспечения защиты (The Center for Internet Security Benchmarks and Security Tools),

DICOM

Формирование цифровых изображений и обмен ими в медицине, финансированное NEMA{Dig-ital Imaging and Communications in Medicine sponsored by NEMA).

Стандарты.

NEMA DICOM Часть 15. Профили управления защитой и системой (NEMA DICOM Part 15: Security and System Management Profiles).


Продолжение

Ссылочный

документ

Название

NEMA OICOM Дополнение 55. Конфиденциальность уровня атрибутов {включая деидентификацию) 5 сентября 2002 (Финальный текст) (NEMA DICOM Supplement 55: Attribute level confidentiality (including De-identification) 5 Sept 2002 (Final text)).

NEMA DICOM Дополнение 51. Защита носителей информации (NEMA DICOM Supplement 51: Media security).

NEMA DICOM Дополнение 142: Профили деидентификации клинического исследования (NEMA DICOM Supplement 142: Clinical Trial De-tdentificaUon profiles).

1ETF

Рабочая группа инженеров Интернет (The Internet Engineering Task Force).

Документы.

Рабочая группа сети RFC 5246 Август 2008: Протокол TLS Версия 1.2 (Network Working Group RFC 5246 August 2008: The TLS Protocol Version 1.2:).

МНЕ

Интегрированное учреждение здравоохранения (IHE Integrated Healthcare Enterprise), http7/ .

Примечание — Об ATNA см. Node. Authentication. Профиль интеграции журнала аудита и аутентификация узлов (ATNA) спроектирован для поддержки управления доступом посредством ограничения доступа к сети между узлами и разрешения доступа х каждому узлу только санкционированным пользователям {прошедшими местную аутентификацию). Он включает в себя Аутентификацию Пользователей. Аутентификацию Соединения. Журнал Аудита и поддерживает:

•    Защищенные Узлы.

•    Архив данных аудита, и

•    Сервер времени.

Данные средства предназначены обеспечивать поддержку времени, аутентификации узлов и запись событий аудита. Это основывается на стандартах, созданных в IETF, посвященных Технической основе ИТ инфраструктуры, включая стандарты для Защищенных Коммуникаций (Secure Communications), Передачи записей аудита (Audit Log Transport). Сообщение записей аудита (Audit Log Message). Среди этих стандартов: RFC 5246. WS-I Базовый лрофигъ защиты 1.1 {WS-I Basic Security Profile 1.1). RFC 5424. RFC 5425. RFC 5426. RFC 3164. RFC 3881. DICOM: Дополнение 95(ИСО 12052 ).

Местная ИТ политика МО

Политика, утвержденная организацией пользователя изделия, в которой установлено допустимое использование информационной технологии

NEMASPC

Объединенный комитет по вопросам защиты и неприкосновенности частной жизни NEMA/CO-CIR/JIRA. policyandpositions/jotntsecurityand-privacy-committee-2/. Технические документы:

SPC Аудит защиты и неприкосновенности частной жизни в информационных технологиях в здравоохранении (SPC Security and Privacy Auditing in Health Care Information Technology).

SPC Разбитие стекла: Метод получения экстренного доступа к системам здравоохранения. Декабрь 2004 (SPC Break-Glass: An approach to granting emergency access lo health care systems. December 2004).

SPC Защита медицинских информационных систем от вредоносного программного обеспечения. Декабрь 2003. SPC Установление исправлений на готовое программное обеспечение, использующееся в медицинских информационных системах. Октябрь 2004 (SPC Defending medrcat information systems against malicious software. December 2003. SPC Patching off-the-shelf software used in medical information systems. October 2004).

SPC Интерфейс удаленного обслуживания. Решение (А). Версия 2: безопасность IP в Интернете с помощью цифровых сертификатов. Декабрь 2003 (SPC Remote Service Interface — Solution (A) — Version 2: IPSec over the Internet Using Digital Certificates. December 2003).

ITU

Сектор стандартизации телекоммуникаций в составе международного телекоммуникационного общества ITU-T Рекомендация Х.509 (11/2008) ИСО/МЭК 9594-8:2008 (ITU International Telecommunication Union Telecommunication Standardization Section (ITU-T) Recommendation X.509 (11/2008) ISO/IEC 9594-8:2008). 

Окончание

Ссылочный

документ

Название

OSI

Публикация организации, специализирующейся на Интернет Безопасности (OIS Organization (or Internet Safety), : OIS Руководство no созданию отчетов об уязвимостях в защите и принятию ответных мер V2.0 1 Сентября 2004 (OIS Guidelines for Security Vulnerability Reporting and Response V2.0 t September 2004.  Guidelines%20for%20responsible%20disclosure.pdf)

SANS

SANS — Институт системного администрирования, аудита, сети и защиты (The SANS (SysAdmin. Audit Network. Security) Institute], .

Проект политики защиты института SANS (The SANS Security Policy Project) — «...все. что вам необходимо для стремительного развития и реализации политики защиты информации»: 

Читанный зал для литературы по информационной защите института SANS: . org/reading_room/

Шнайвр

Брюс Шнайер 1996 Практическая криптография. Второе издание. John Wiley & Sons. Нью-Йорк. (Schrteier В. 1996. Applied Cryptography. Second Edition. John Wiley & Sons. New York. NY).

Если вы планируете использовать данную книгу, то найдите е интернете список опечаток, так как в тексте присутствуют хорошо известные ошибки

WEDI

Рабочая группа по защите и неприкосновенности частной жизни в электронном обмене данными SNIP (Workgroup for Electronic Data Interchange Security and PrivacyWorkgroup (SNIP)]. Технические документы:

WEDI-SNIP Введение в последнюю версию последнего правила защиты. Январь 2004 (WEDI-SNIP Introduction to Security Final Rule Final Version —January 2004): (требуется членство) http:// .

WEDI-SNIP ЗАЩИТА: Технические документы для прояснения журнала аудита. Версия 5.0, Ноябрь 7. 2003 (WEDI-SNIP SECURITY: Audit Tral Clarification White Paper Version 5.0 November 7. 2003) (требуется членство)

8 Другие источники информации

8.1    Общие положения

Данный раздел содержит некоторые описания и ссылки на стандарты и другие источники информации. которые также рассматривают перечни возможностей защиты МЕДИЦИНСКИХ ПРИБОРОВ или приложений. Центральные темы каждого из этих источников незначительно отличаются и потому, эти источники следует применять внимательно, учитывая их исходный контекст.

8.2    Заявление производителя о раскрытии информации о защите медицинского прибора

(MDS2)

Заявление производителя о раскрытии информации о защите медицинского прибора — разработано HIMSS для получения ВОЗМОЖНОСТЕЙ ЗАЩИТЫ МЕДИЦИНСКОГО ПРИБОРА. Данная форма в настоящий момент обсуждается на ПРОЦЕССЕ открытого международного согласования, контролируй емом NEMA и HIMSS. См. http:/Avww.himss.org/content/files/MDS2Form!nstnjctions.pdf.

8.3    Анкета о защите приложений (ASQ)

Анкета о защите приложений разработана HIMSS для получения возможностей обеспечения защиты и неприкосновенности частной жизни для информационных систем. См. topics_FocusDynamic.asp?faid=212.

8.4    Комиссия по сертификации для информационных технологий в здравоохранении

(CCHIT)

Сертификационная комиссия для информационных технологий в здравоохранении (CCHIT) является признанным аттестационным органом (RCB), занимающимся электронными медицинскими архивами и связанными с ними сетями, а также является независимой, добровольной, частной инициативой.

Нашей миссией яеляегся ускорение освоения медицинских информационных технологий посредством создания действенной, надежной и поддерживаемой программы сертификации.

8.5    Функциональный электронный медицинский архив (EHR),  get_certifiedHL7

Целью рабочей группы EHR является осуществление миссии HL7 по проектированию стандартов для поддержки обмена информацией о клинических решениях и терапиях, а также с целью заложить основу для общенациональной ИНТЕОПЕРАБЕЛЫНОСТИ. тем самым, предоставляя общеязыковые параметры, которые могут использоваться при разработке систем, поддерживающих электронные архивы. См. .

8.6    Общие критерии ИСО/МЭК15408

Общие критерии. ИСО/МЭК 15408 (все части), в которых содержится описание функциональных возможностей системы.

9 Стандарты и подходы

8 настоящем стандарте используются ссылки на стандарты и подходы, список которых предоставлен в Библиографии. Олисанные ниже организации являются источниками дополнительной информации.

NSA Агентство национальной безопасности Соединенных Штатов (US National Security Agency). Руководства NSA по конфигурации систем защиты.

rity_configuration_guides/index.shtml

IETF Рабочая группа инженеров Интернет (The Internet Engineering Task Force)

Документы:

Рабочая группа сети RFC 5246. Август 2008. Протокол TLS Версия 1.2 (Network Working Group

RFC 5246 August 2008: The TLS Protocol Version 1.2).

SANS SANS — институт системного администрирования, аудита, сети и защиты [The SANS (SysAdmin. Audit. Network. Security) Institute], .

Проект политики защиты института SANS (The SANS Security Policy Project)— «...все. что вам необходимо для стремительного развития и реализации политики защиты информации..». .

Читальный зал для литературы по информационной защите института SANS. . sans.org/reading_room/.

Словарь по защите SANS, .

WEDI Рабочая группа по защите и неприкосновенности частной жизни в электронном обмене данными SNIP [Workgroup for Electronic Data Interchange Security and PrivacyWorkgroup (SNIP)]. Технические документы:

WEDI-SNIP Введение в последнюю версию последнего правила защиты. Январь 2004 (WEDI-SNIP Introduction to Security Final Rule Final Version — January 2004).

(требуется членство).

WEDI-SNIP ЗАЩИТА. Технические документы для разъяснения журнала аудита. Версия 5.0. 7 ноября 2003 (WEDI-SNIP SECURITY: Audit Trail Clarification White Paper Version 5.0 November 7. 2003). (требуется членство).

IHE Интеграция учреждения здравоохранения (IHE Integrating the Healthcare Enterprise), http:// .

Профиль IHE ATNA (Профиль интеграции журнала аудита и аутентификации узлов) [Audit Trail and Node Authentication Integration Profile).

IHE EUA (Аутентификация корпоративных пользователей) [Enterprise User Authentication).

IHE RAD TF (Журнал аудита рентгенологии) предварительная версия для открытого обсуждения [(Radiology Audit Trail) draft version for public comment).

Приложение А (справочное)

Типовой сценарий, демонстрирующий обмен информацией о защите

А.1 Обмен информацией о характеристиках защиты. Введение

Настоящее приложение содержит документы, обмен которыми осуществляется на первом этапе обмена информацией о характеристиках защиты между гипотетическим производителем МЕДИЦИНСКОГО ПРИБОРА (ПМП — корпорация Виджет) и медицинской организацией (МО — больница Нью Тауна). Рассматриваемое изделие — Рабочая станция DICOM. называемая «FOOBAR 2.0».

ПМП получил запрос от МО на предоставление информации о FOOBAR 2.0 по МЭК 80001. А.2 содержит начальное взаимодействие ПМП о ВОЗМОЖНОСТЯХ ЗАЩИТЫ FOOBAR 2.0. Далее следует пересмотр «предложенных» МО характеристик защиты, вместе с ее комментариями и дополнительными вопросами.

Настоящее приложение содержит простой пример, демонстрирующий, какую информацию ПМП FOOBAR предоставило бы медицинсхой организации, рассматривающей приобретение или интеграцию FOOBAR Подобная информация может быть предоставлена ПМП по соглашению о неразглашении с МО или ПМП может опубликовать возможности на интернет-сайте МО. Как бы там ни было, это будет являться первым «предложением» с подробной информацией о ВОЗМОЖНОСТЯХ ЗАЩИТЫ рассматриваемого МЕДИЦИНСКОГО ПРИБОРА. Подобным же обрезом ответ МО является первым ответом для ПМП. предназначенным определить области общего соглашения и понимания, проблемы, которые не были очевидны в документе, и вопросы, которые необходимо разрешить в последующих взаимодействиях

Разумеется, соглашение о приобретении, установке и сопровождении включает в себя гораздо больше информации. В качестве общего контекста для данного примера упрощенного приобретения МЕДИЦИНСКОГО ПРИБОРА и. в дальнейшем, проекта подключения FOOBAR к медицинской ИТ СЕТИ были выделены основные шаги, которым можно следовать при выполнении МЕНЕДЖМЕНТА РИСКА для защиты (более подробную информацию см. в МЭК 80001-1):

a)    МО запрашивает или находит сводную информацию о характеристиках защиты ПМП (раздел А.2):

b)    МО исследует отчет о характеристиках защиты FOOBAR и дает письменный ответ раздел А.З):

c)    МО связывается с ПМП и получает ответы, касающиеся деталей, не раскрытых в отчете о FOOBAR:

d)    МО принимает решение приобрести прибор и ПМП решает разрешить это приобретение, откладывая рассмотрение некоторых элементов приобретения на потом. МО принимает решение о добросовестности ПМП как партнера, основываясь на полученных данных о защите и диалоге с самим ПМП;

e)    осуществляются различные элементы планирования и выполнения проекта, включая четкое СОГЛАШЕНИЕ об ОТВЕТСТВЕННОСТИ с учетом МЕНЕДЖМЕНТА РИСКА подключения к ИТ СЕТИ. МО и ПМП не скрывают информацию о том. как должен осуществляться менеджмент различных РИСКОВ. Менеджмент некоторых рисков осуществляется характеристиками защиты самого прибора, а ослабление других требует использование средств МО для управления защитой (технически нЬтли административно). Для подготовки осуществляется предварительная оценка ОСТАТОЧНОГО РИСКА. Данный шаг может входить в приобретение, но также может и предшествовать ему:

1) МО приобретает систему FOOBAR и контракты для поддержки проекта по лодключению/ингеграции;

д) МО проводит анализ РИСКОВ и выявляет и осознает ОСТАТОЧНЫЙ РИСК. В тех случаях, когда РИСК является допустимым, с учетом пользы от подключения FOOBAR. выполняется проект по интеграции прибора, подключаемого к МЕДИЦИНСКОЙ ИТ СЕТИ МО:

h)    FOOBAR действует в условиях менеджмента РИСКА, как часть МЕДИЦИНСКОЙ ИТ СЕТИ МО;

i)    вместе с необходимыми соглашениями с поставщиками услуг для FOOBAR начинается выполнение постоянных действий, связанных с возникающими уязвимостью, контролем. УПРАВЛЕНИЕМ СОБЫТИЯМИ:

]) списывание устройств и систем хранения рассматривается в процедурах, содержащих требования к уничтожению данных, ведению журнала и аудиту ПРОЦЕССА списывания.

Примечание — Это типовой вариант развития событий с соглашением только двух сторон. В реальной жизни могут участвовать другие вовлеченные стороны, такие как вендоры, специалисты-интеграторы сторонней организации и т. п. По каждому фактическому шагу будет приниматься решение индивидуально.

Для того чтобы было понятно, что представленный ниже текст является примером гипотетического обмена информацией, страницы документа, полученного от производителя (ПМП) и содержащего характеристики защиты, выделены синей рамкой. Страницы документа, который больница (МО) отправляет ПМП и который содержит ответ о характеристиках защиты, имеют оранжевую рамку.

Отказ от ответственности. Данный вариант развития событий предоставляется без гарантии, в явной или не явной форме, включая, но не ограничиваясь, любыми гарантиям о годности к продаже, завершен-мости и пригодности для определенной цели. Весь РИСК в отношении кэ*естеа и рабочих характеристик предоставленной информации ложиться на вас.

В примере описан вымышленный прибор (FOOBAR 2.0). а также данный пример предназначен предложить способ инициации диалога о защите между ПМП и МО.

А.2 Отчет производителя (ПМП) о характеристиках защиты. «Предложение»

Последующие страницы являются заявлением ПМП о защите изделия FOOBAR 2.0. организованным в соответствии с рекомендациями Технического Отчета о Защите из МЭК 80001-1 (рекомендация настоящего стандарта). Даннов заявление начинается с выражения заинтересованности медицинской организации. ПМП отвечает на нее (электроншм) письмом с прикрепленным к нему документом, содержащим характеристики защиты FOOBAR 2.0.

Джоан Ковальски. CtSSP

Сотрудник службы ИТ защиты

Больница общего профиля Нью Тауна

Дорогая мисс Ковальски.

Благодарим Вас за проявленный интерес к рабочей станции FOOBAR 2.0 D1COM PACS. Мы получили подписанное вами соглашение о неразглашении и настоящим направляем Вам копию, подписанную нами.

Вы также найдете в письме подробную информацию о защите FOOBAR 2.0. представленную 8 форме, соответствующей Техническому отчету о защите по МЭК 60001-1. Мы всегда стараемся соблюдать ясность и последовательность в общении с нашими клиентами по проблемам риска в вопросах защиты, и я уверен, что данный конфиденциальный документ соответствует вашим потребностям.

Конечно же. защита может быть очень сложной проблемой в случае подключения нового медицинского прибора к ИТ сети больницы. Мы надеемся продолжить работать с Вами для разрешения любых вопросов игы пробоем, с которыми Вы столкнетесь при рассмотрении вопроса приобретения и интеграции нашего изделия в Вашу Медицинскую ИТ сеть.

Благодарим Вас за проявленный интерес к использованию продукции Корпорации Виджет е ваших технологических планах. Мы надеемся работать с Вами над этим важным приобретением и полной интеграцией изделия в действующую сеть.

Пожалуйста, дайте мне знать, если у Вас имеются какие-либо вопросы касательно наших функциональных возможностей защиты и^или рисков, которые могут возникать в этом современнейшем изделии.

С наилучшими пожеланиями.

Хосе Армас

Менеджер по продажам продукции FOOBAR.

Корпорация Виджет

копия;

1    Подписанное с двух сторон Соглашение о неразглашении, датируемое 1 мая. 2010 г.

2    Отчет о характеристиках защиты FOOBAR 2.0 (МЭК 60001 -1).


Документ, содержащий характеристики защиты FOOBAR 2.0, описанные в соответствии с МЭК 80001-1.

Предложение ПРОИЗВОДИТЕЛЯ

A.    Краткое определение предусмотренного Назначения прибора FOOBAR 2.0

Усовершенствованная станция наблюдения DICOM «FOOBAR 2.0» подсоединена к сети DICOM и позволяет ее пользователям получать доступ к изображениям и данным D1COM 3.0, находясь за пределами рентгенологического отделения игы центра визуализацт. для того, чтобы проводить анализ подобных медицинских отчетов и изображений.

FOOBAR 2.0 способен выбирать медицинские данные либо из предназначенного для згой цели удаленного архива, существующего в сети D1COM или из местного жесткого диска.

Благодаря возможностям своей собственной памяти. FOOBAR 2.0 может отображать медицинские данные, даже находясь за пределами сети D1COM.

В прибор включены возможности защиты, которые обеспечивают управление доступом к данным медицинской визуализации, в зависимости от привилегий пользователя: записи о получении доступа вносятся в журнал аудита.

B.    Подробная спецификация ВОЗМОЖНОСТЕЙ ЗАЩИТЫ

В подробно описанных ниже возможностях защиты каждая возможность обозначена четырехбуквенным акронимом ВОЗМОЖНОСТИ ЗАЩИТЫ. Чтобы облегчить обмен информацией о конкретных характеристиках ВОЗМОЖНОСТИ ЗАЩИТЫ, каждой характеристики назначен идентификатор. составленный из идентификатора и порядкового номера из двух цифр. Эго предназначено помочь в обсуждениях и письменном обмене информацией о конкретных характеристиках

ALOF. Автоматический выход из системы

Цель. Уменьшить РИСК получения несанкционированного доступа к ДАННЫМ о ЗДОРОВЬЕ с рабочего места. оставленного без присмотра. Предотвратить неправильное использование, если система или рабочее место не используется в течение некоторого периода времени.

Идентификатор

Возможность

/AL.OF.01/

Хранитель экрана запускается автоматически через пять минут после последнего удара по клавише/движения мышью.

Замечание — Местный авторизованный ИТ администратор может задать время задержки для данного действия и даже отключать хранитель экрана

/AL.OF.02/

Хранитегъ экрана очищает все отображаемые ДАННЫЕ о ЗДОРОВЬЕ с экрана

/AL.OF.03/

Хранитель экрана не выводит пользователя из системы/не прекращает сеанс

/AL.OF.04/

Пользователю требуется снова войти в систему после активации хранителя экрана

/AL.OF.05/

Сеанс пользователя завершается автоматически через 60 минут после последнего удара кпавиши/движения мышыо/вэаимодействия с сенсорным экраном.

Замечание — Местный авторизованный ИТ администратор может задать время задержки для данного действия и даже отключать автоматический выход из системы

AUDT. Средства управления аудитом

Цель. Установить согласованный подход к надежному аудиту того, кто и что делает с ДАННЫМИ О ЗДОРОВЬЕ. чтобы позволить ИТ отделу МО контролировать использование этих данных, применяя общеизвестные подходы, стандарты и технологию.

Идентификатор

Возможность

/AUDT.01/

О получении доступа, модификации ипи удалении любых ДАННЫХ о ЗДОРОВЬЕ делается запись, которая хранится в специализированном архиве OICOM

/AUDT.02/

О загрузке ДАННЫХ о ЗДОРОВЬЕ (в собственную память прибора) делается запись, которая хранится в специализированном архиве DICOM

/AUDT.03/

В случав, если прибор используется за пределами сети DICOM, то доступ к любым ДАННЫМ о ЗДОРОВЬЕ хранится в собственной памяти прибора

/AUDT.Q4/

После повторного подсоединения прибора к DICOM-сети. журнал аудита, который велся ео внутренней памяти прибора во время автономной работы, синхронизируется со специализированным удаленным архивом DICOM

/А1ЮТ.05/

Ссылается на /CNFS.01/: все изменения ВОЗМОЖНОСТЕЙ ЗАЩИТЫ фиксируются 8 журнале аудита прибора

CNFS. Конфигурация свойств системы защиты

Цель. Дать МО возможность определять, как задействовать ВОЗМОЖНОСТИ ЗАЩИТЫ изделия, чтобы удовлетворить их требования к политике и/или рабочему процессу.

Идентификатор

Возможность

/CNFS.01/

Местный авториэоеанньы ИТ администратор может усганааливагь/отключать доступные ВОЗМОЖНОСТИ ЗАЩИТЫ прибора

/CNFS.02/

Ссылается на /AUDT.05/: в случае, когда местный авторизованный ИТ администратор уста-навливает.'отключает/иэменяет настройки доступных ВОЗМОЖНОСТЕЙ ЗАЩИТЫ прибора, его действие фиксируется в журнале аудита

DTBK. Резервное копирование данных и аварийное восстановление

Цель. Обеспечить возможность для поставщика медицинских услуг продолжать вести свое предприятие после повреждения или уничтожения данных, оборудования или программного обеспечения.

Идентификатор

возможность

/DTBK.01/

FOOBAR 2.0 предоставляет (встроенную) фукхцию резервного копирования для хранения системных настроек на внешнем подключаемом запоминающем устройстве большой емкости (например, на USB-накопигепе)

/ОТВК.02/

FOOBAR 2.0 предоставляет (встроенную) функцию резервного копирования для хранения журналов аудита на внешнем подключаемом запоминающем устройстве большой емкости (например, на USB-накопигепе)

/ОТВК.ОЗ/

Журналы аудита соответствующим образом шифруются для предотвращения потери конфиденциальной информации, содержащей ДАННЫЕ о ЗДОРОВЬЕ (такие как имя пациента. DOB и т. д.)

/ОТВК.04/

Резервное восстановление хранящихся локально ДАННЫХ о ЗДОРОВЬЕ может быть выполнено только с возвращением данных на специализированный удаленный архив DICOM. Логическое обоснование. Для обеспечения сохранения непротиворечивости ДАННЫХ о ЗДОРОВЬЕ требуется ограничивающий функционал

ОЮТ. Идентификация ДАННЫХ О ЗДОРОВЬЕ

Цель. Способность оборудования (прикладного программного обеспечения или дополнительного инструментария) непосредственно удалять информацию, позволяющую идентифицировать ПАЦИЕНТОВ.

Идентификатор

возможность

/DIDT.01/

FOOBAR 2.0 не поддерживает никакие средства прямого удаления информации, которые позволяют идентифицировать ПАЦИЕНТА

STCF. Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ

Цель. Производитель принимает необходимые меры для того, чтобы несанкционированный доступ не нарушал целостность и конфиденциальность ДАННЫХ о ЗДОРОВЬЕ. хранящихся на изделиях или съемных носителях.

Идентификатор

возможность

/STCF.01/

ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся в собственной памяти FOOBAR 2.0 зашифрованы. Использующийся алгоритм: AES (Rjndael), Стойкость шифрования: 256 БИТ.

Замечание — Данная настройка не может быть изменена местным ИТ администратором

/STCF.02/

Защищенные/зашифрованные ДАННЫЕ о ЗДОРОВЬЕ доступны только после удачной загрузки. См. также /MLDP.04/

/STCF.03/

Дешифруются только требующиеся ДАННЫЕ о ЗДОРОВЬЕ (требующиеся для текущего взаимодействия'использоеания/отображения). Неиспользуемые на данный момент ДАННЫЕ о ЗДОРОВЬЕ остаются зашифрованными

/STCF.04/

Загрузочный раздел, операционная система, временные данные или внутреннее запоминающее устройство большой емкости и т. я также шифруются. Испогъзуемый алгоритм: AES (Rjjndael). Стойкость шифрования: 256 БИТ.

Замечание — Данная настройка не может быть изменена местным ИТ администратором

/STCF.05/

Случайные сбои питания в системе не влияют на шифрование ДАННЫХ о ЗДОРОВЬЕ, хранящихся на запоминающем устройстве большой емкости, hie при каких обстоятельствах выполнения работы незашифрованные ДАННЫЕ о ЗДОРОВЬЕ не присутствуют на внутреннем запоминающем устройстве большой емкости

/STCF.06/

Соединение со специализированным удаленным архивом, находящимся в сети DICOM. может быть установлено с помощью VPN

EMRG. Экстренный доступ

Цель. Обеспечить возможность доступа к охраняемым ДАННЫМ О ЗДОРОВЬЕ е случае экстренной ситуации. требующей немедленного доступа к хранящимся ДАННЫМ О ЗДОРОВЬЕ.

Идентификатор

Возможность

/EMRG.01/

Нали'-ме функции разбивания стекла. Даже без персонального идентификатора (id) пользователя и медицинской аутентификации польэоватвгъ может получить доступ к ДАННЫМ о ЗДОРОВЬЕ.

Замечание — Необходимо помнить, что данная функция может быть изменена/огключеиа местным ИТ администратором

/EMRG.02/

Использование функции разбивания стекла /EMRG.01/ требует использование общего идентификатора (id) пользователя и аутентификации (для предотвращения получения доступа к ДАННЫМ о ЗДОРОВЬЕ пациентами или сторонними наблюдателями)

/EMRG.03/

Каждое использование функции разбивания стекла /EMRG.01/ будет занесено в журнал аудита

/EMRG.04/

О каждом использовании функции разбивания стекла /EMRG.01/ может автоматически создаваться отчет для установления учетной записи пользователя, например посредством электронной почты (eMail)

SGUD. Руководства по защите

Цель. Обеспечить доступность руководства по защите для ОПЕРАТОРОВ и администраторов системы. Желательно предоставление отдельных пособий для ОПЕРАТОРОВ и АДМИНИСТРАТОРОВ (включая отдел продаж и обслуживания ПМП). гак как это позволяет только администраторам сохранять за собой понимание всего административного функционала.

Идентификатор

Возможность

/SGUD.01/

Руководство по защите для ОПЕРАТОРА включено в инструкции по использованию FOOBAR 2.0. См. главу 13

/SGUD.02/

Руководство по защите для администратора включено в техническую информацию FOOBAR 2.0. См. главу 17

IGAU. Целостность и достоверность ДАННЫХ о ЗДОРОВЬЕ

Цель. Обеспечить сохранность ДАННЫХ О ЗДОРОВЬЕ от изменения или уничтожения несанкционированными методами, а также гарантировать, что эти данные поступили от их создателя. Обеспечить целостность ДАННЫХ О ЗДОРОВЬЕ.

Идентификатор

Возможность

/IGAU.01/

ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся в памяти большой емкости FOOBAR 2.0 для отображения данных за пределами сети DICOM. защищены с помощью надлежащей контрольной суммы (SHA1), чтобы обеспечить целостность данных

/1GAU.02/

Предоставлены ВОЗМОЖНОСТИ по резервному копированию. См. главу, посвященную DTBK: Резервное копирование данных и аварийное восстановление

MLDP. Обнаружение вредоносного программного обеспечения и защита от него

Цель. Изделие обеспечивает потребности регулирования, а также МО и пользователя, в обеспечении эффективной и единой поддержки предотвращения, обнаружения и удаления вредоносного программного обеспечения. Это является неотъемлемым шагом в обеспечении надлежащего глубокого подхода к защите.

Идентификатор

Возможность

/MI.DP.01/

Все несущественные порты сети FOOBAR 2.0 закрыты.

Замечание 01 — Более подробную информацию см. в технической информации FOOBAR 2.0. в руководстве по защите для администратора (глава 17). Cm.ZSGUD.02/

Замечание 02 — Данная функциональная возможность не может быть изменена местным ИТ администратором

/МЮР.02/

Операционная система, установленная на загрузочном устройстве FOOBAR 2.0, защищена от санкционированных/несакхционироаанных изменений. После перезагрузки система возвращается в свое изначальное состояние.

Замечание — Данная функциональная возможность не может быть изменена местным ИТ администратором

Идентификатор

возможность

/MLDP.03/

Все значимые файлы защищены с помощью надлежащей контрольной суммы (SHA1) и проверяются при загрузке. В случае обнаружения ошибки система не запускается, а выдает сообщение об ошибке.

Замечание — Данная функциональная возможность не может быть изменена местным ИТ администратором

/ML.DP.04/

Защищенные/зашифрованные ДАННЫЕ о ЗДОРОВЬЕ доступны только лосле успешной загрузки. См. также /STCF.01/.

Замечание —Данная функциональная возможность не может быть изменена местным ИТ администратором

PAUT. Аутентификация личности

Цель. Политика аутентификации должна быть гибкой для того, чтобы адаптироваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ДАННЫМ О ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

Идентификатор

Возможность

/PAUT.01/

FOOBAR 2.0 поддерживает местное и глобальное управление учетными записями. Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0, в руководстве по защите для администратора (глава 17)

/PAUT.02/

FOOBAR 2.0 поддерживает закрытие учетных записей.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0, в руководстве по защите для администратора (глава 17)

/PAUT.03/

FOOBAR 2.0 поддерживает быстрое переключение пользователей. Поддержка данной функции уменьшает затраты времени на задачу входа и выхода пользователей из системы

PLOK. Физические замки на приборе

Цель. Гарантировать, что несанкционированный доступ не нарушит конфиденциальность, целостность и доступность ДАННЫХ о ЗДОРОВЬЕ, хранящихся на изделиях или съемных носителях.

Идентификатор

Возможность

/PL.OK.OV

По причине выбрэжого метода шифрования FOOBAR 2.0 не требуются физическое запирание

CSUP. Усовершенствование системы защиты изделия от кибератак

Цель. Создать унифицированный метод выполнения работы. Установка/усовершенствование пакетов исправлений для системы защиты выпотыяется персоналом на рабочем месте, и. вероятно, санкционированным персоналом МО (в случае установки скачиваемых пакетов исправлений).

Идентификатор

Возможность

/CSUP.01/

Настоящим документом мы подтверждаем, что компания осуществляет внутренние процедуры для обследования рынка для определения текущих тенденций в области защиты от киберагак.

В случае необходимости пакетов исправлений можно обращаться к технической поддержке. Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0. в руководстве по защите для администратора (глава 17)

/CSUP.02/

Прибор спроектирован так. что мы (производитель) не позволяем МО устанавливать какие-либо несанкционированные патчи

ROMP. Влияние компонентов третьей стороны на весь жизненный цикл изделия Цель. Планы ПМП предполагают, что их изделия считаются поддерживаемыми на протяжении их жизненного цикла, в соответствии с внутренним системам контроля качества и внешнему регламенту.

Идентификатор

Воаыожность

/RDMP.01/

Настоящим документом мы подтверждаем, что предоставляем оопроеождение/поддержку системы на протяжении лредлоложигетъного срока службы изделия. В случае необходимости солровожденияфемонга/пакетов исправлений можно обращаться к технической поддержке.

Замечание — Более подробную информацию см. в технической информации о FOOBAR 2.0 (глава 42}

SAHD. Усиление защиты системы и приложений

Цель. Минимизировать векторы атак и совокупную площадь атак посредством закрытия портов; удаления службы и г. д.

Идентификатор

Воаыожность

/SAHD.0V

Все ВОЗМОЖНОСТИ, предназначенные обеспечить стабильную систему, предоставляющую только те службы, которые установлены ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ и требуются для его осуществления с минимумом сопроводительной деятельности, а также для того, чтобы позволить поставщикам медицинских услуг/МО организациям подключить FOOBAR 2.0 к их сети рассматриваются 8 главе MLDP: Обнаружение вредоносного программного обеспечения и защита от него в технической информации о FOOBAR 2.0 (глава 38)

AUTH. Авторизация

Цель. Следуя принципу минимизации данных, предоставить управление доступом к ДАННЫМ О ЗДОРОВЬЕ и функциям в только той степени, насколько это необходимо для выполнения задач МО в соответствии с ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ прибора.

Идентификатор

Воаможиость

/AUTH.01/

Несмотря на описанные ниже административные функции, только персонал, санкционированный нами (производителем), имеет доступ к служебным функциям и функциональным возможностям. Кроме административных задач, разрешенных технической документацией, несанкционированному персоналу запрещается осуществлять дальнейший ремонт. Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0

/AUTH.02/

Так называемый вход в систему в качестве администратора предоставляется в случае FOOBAR 2.0 для;

-    общего администрирования сервера:

-    установки обновлений/решения проблем:

-    добавления большого количества клиентов FOOBAR:

-    администрирования главных пользователей:

-    операций по резервному копированию

/AUTH.03/

Так называемый вход в качестве главного пользователя (Master User) настраивается заранее и может быть добавлен для:

-    внесения поправок е/обьединения отчетов/данных пациентов:

-    восстановления потерянных отчетов;

-    администрирования общих пользователей:

-    редактирования и поддержки общей конфигурации применения FOOBAR

TXDF. Конфиденциальность передачи данных

Цель. ПРОИЗВОДИТЕЛЬ демонстрирует, что его оборудование соответствует тожеству национагъных стандартов и регламентов (например. USA HIPAA, национальным законам, основанным на EU 95'46/ЕС) в соответствии с потребностями МО для обеспечения конфиденциальности передаваемых ДАННЫХ О ЗДОРОВЬЕ.

Идентификатор

Выыоамость

/TXDF.01/

См. /STCF.06/. Соединение со специализированным удаленным архивом, находящимся в сети OICOM, может быть установлено с помощью VPN.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0 (глава 33)

Идентификатор

Возможность

/TXDF.02/

По требованию. Мы (производитель) предоставим сертификаты, демонстрирующие соответствие действующему национальному регламенту. Так как подобные сертификаты варьируются в зависимости от страны, пожалуйста, обратитесь к технической службе для получения большей информации


TXIG. Целостность передачи данных

Цель. Прибор должен обеспечивать защиту целостности передаваемых ДАННЫХ о ЗДОРОВЬЕ.


Идентификатор

Возможность

ЯХК3.01/

См. /STCF.06/: Соединение со специализированным удаленным архивом, находящимся в сети D1COM. может быть установлено с помощью VPN.

Данная функциональная возможность гарантирует сохранение целостности ДАННЫХ о ЗДОРОВЬЕ на протяжении передачи данных и позволяет FOOBAR 2.0 передавать ДАННЫЕ о ЗДОРОВЬЕ через относительно открытые сети или окружение, в котором действует крепкая политика обеспечения целостности ДАННЫХ о ЗДОРОВЬЕ.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0 (глава 33)


А.З Ответное сообщение МО на отчет о характеристиках системы защиты ПМП. «Ответ»

Представленный ниже текст является ответом Богъницы Нью Тзуна (МО) на заявление ВОЗМОЖНОСТЕЙ ЗАЩИТЫ изделия корпорации Виджет (ПМП) (представленном в А.2).

В целом Нью Таун доволен информацией о защите в том виде, в каком она была представлена, но существует несколько моментов и вопросов, которые следует разрешить перед тем как сотрудник службы ИТ защиты Нью Тауна предоставит закупочному комитету одобрение на совершение покупки.

Сотрудник службы ИТ защиты больницы Нью Тауна дает ответ, содержащий документ с характеристиками защиты FOOBAR 2.0 с комментариями (в крайней правой колонке, выделенными синим цветом). Ответ начинается с (электронного) письма.


Хосе Армас

Менеджер по продажам продукции FOOBAR

Корпорация Виджет

Дорогой, мистер Армас.

Благодарю Вас за подробный ответ на мой запрос информации о защите рабочей станции 0<СОМ PACS FOOBAR 2.0 корпорации Виджет. Ваш. основанный на МЭК 80001-1 документ содержит множество полезной информации и является хорошим основанием для начала нашего проекта приобретения и установки перед подключением Рабочей станции PACS к медицинской ИТ-сети больницы Нью Тауна.

И хотя я высоко ценю ваши попытки привнести ясность и прозрачность в вопрос риска, у меня имеется несколько замечаний и вопросов. Я позволила себе добавить еще одну колонку к вашему документу с комментариями. расположенную справа от вашего описания характеристик защиты. В местах, где. по моему мнению, не достает свойства, я добавила ряд 8 соответствующий раздел. Кроме того. там. где мной было подтверждена возможность и ее необходимость для удовлетворения наших нужд, стоит комментарий «Принято к сведению». И хотя мы еще не готовы «Принять» эти возможности, мне представилось удобным использовать данное письмо для сосредоточения нашего внимания на других, более важных проблемах нашего первого обсуждения.

После того как вы пересмотрите прикрепленный документ, я предлагаю провести телеконференцию для разрешения пунктов, которые не сложно прояснить по телефону. В случае если отдел рентгенологии и отдел закупок больницы Нью Тауна решат приобрести и установить ваше оборудование, у нас появится множество возможностей для дальнейшего подробного рассмотрения рисков для защиты и средств ослабления рисков для планирования и реализации проекта интеграции.

Мое управление свяжется с Вами по вопросу последующего телефонного обсуждения.

С уважением. Джоан Ковальски. CISSP

Сотрудник службы ИТ защиты

Больница общего профиля Нью Тауна

Копия:

Ответ больницы Нью Тауна на отчет о характеристиках защиты FOOBAR 2.0 (МЭК 80001-1).


Характеристики защиты FOOBAR 2.0 — Ответ больницы Нью Тауна иа предложение корпорации Виджет—

Данный пример содержит первую реакцию вымышленной медицинсхой организации — больницы общего профиля Нью Тауна. Данная МО обдумывает приобретение нескольких приборов FOOBAR 2.0. Данный раздел документа описывает реакцию/вопросы/пробпемы в заявлении защиты производителя МЕДИЦИНСКОГО ПРИБОРА FOOBAR 2.0.

А Краткое описание больницы

Больница общего профиля Нью Тауна предлагает услуги в разных областях медицины. Дополнительный технический персонал оказывает поддержку практикующим врачам в областях неприкосновенности частной жизни и защиты. Рабочая станция FOOBAR будет установлена в пульмонологическом отделении интенсивной терапии для использования пульмонологами и консультантами по рентгенологии.

В Краткое описание сети

Сеть разделена на сегменты общей сети и сегменты специальной сети для медицинских изделий.

Администрирование системы и сети осуществляется местной командой хорошо обученных сетевых администраторов. Имеется программа обучения по вопросам юридических аспектов медицинских изделий.

С Краткое описание аспектов защиты

Стратегия обеспечения защиты сети полагается на смешенную стратегию охраны и контроля с помощью сенсорной сети.

Определенные области сети охраняются с помощью защитного оборудования для предотвращения заражения вредоносным программным обеспечением. Вся сеть целиком контролируется сенсорными сетями, которые уведомляют о заражениях вредоносным программным обеспечением, превышающих пороговый уровень.

Просим вас обратить внимание, что текст, выделенный ЧЕРНЫМ, представленный ниже в разделе 4. был предоставлен корпорацией Виджет для их прибора FOOBAR 2.0. Текст комментариев, выделенных СИНИМ курсивом. представленный ниже, является ответом персонале службы защиты больницы Нью Тауна.

D Подробная спецификация ВОЗМОЖНОСТЕЙ ЗАЩИТЫ

ALOF. Автоматический выход из системы

Цель. Уменьшить РИСК получения несанкционированного доступа к ДАННЫМ о ЗДОРОВЬЕ с рабочего места. оставленного без присмотра. Предотвратить неправильное использование, если система или рабочее место не используется в течении периода времени.

Иавмшфиытор

Возможность

КоиисптариЫпотрабмости МО

/AL.OF.01/

Хранитель экрана запускается автоматически через пять минут после последнего удара по клавише/ движения мышью.

Замечание — Местный авторизованный ИТ администратор может задать время задержки для данного действия и даже отключать хранитель экрана

Принято к сведению МО

Желателен более долгий период времени. так как диагностические операции имеют перерывы

/ALOF.02/

Хранитель экрана очищает все отображаемые ДАННЫЕ о ЗДОРОВЬЕ с экрана

Принято к сведению МО

/ALOF.03/

Хранитель экрана не выводит пользователя из си-стемы/ме прекращает сеанс

Принято к сведению МО

/ALOF.04/

Пользователю требуется снова войти в систему после активации хранителя экрана

Принято к сведению МО

/ALOF.05/

Сеанс пользователя завершается автоматически через 60 мин после последнего удара клавиши/ движения мышью/взвимодейстеия с сенсорным экраном

Замечание — Местный эвториэованный ИТ администратор может задать время задержки для данного действия и даже отключать автоматический выход из системы

Принято к сведению МО

Идентификатор

возможность

Коьшаитории/потребпос/пи МО

Дополнительно. Желательно, чтобы главная учетная запись обладала более высоким приоритетом чем учетная запись пользователя и могла войти в диалоговое окно сохраненного экрана

AU0T. Средства управления аудитом

Цель. Установить согласованный подход к надежному аудиту того, кто что делает с ДАННЫМИ о ЗДОРОВЬЕ, чтобы позволить ИТ отделу МО контролировать использование этих данных, используя общеизвестные подходы, стандарты и технологию.

Идентификатор

Возможность

Коммамтарии/потробности МО

/А1ГОТ.01/

О получение доступа, модификации или удалении любых ДАННЫХ о ЗДОРОВЬЕ делается запись, которая хранится в специализированном архиве DtCOM

Для данного случая применения это свойство не требуется

/AUDT.02/

О загрузке ДАННЫХ о ЗДОРОВЬЕ {в собственную память прибора) делается запись, которая хранится в специализированном архиве DICOM

Для данного случая применения это свойство не требуется

/AUDT.03/

В случае, если прибор используется за пределами сети OICOM. то доступ к любым ДАННЫМ о ЗДОРОВЬЕ хранится в собственной памяти прибора

Для данного случая применения это свойство не требуется

/А1ЮТ.04/

После повторного подсоединения прибора к DICOM-сети. журнал аудита, который велся во внутренней памяти прибора во время автономной работы, синхронизируется со специализированным удаленным архивом DICOM

Для данного случая применения это свойство не требуется

/AUDT.05/

Ссылается на /CNFS.01/. Все изменения ВОЗМОЖНОСТЕЙ ЗАЩИТЫ фиксируются в журнале аудита прибора

Для данного случая применения это свойство не требуется

CNFS. Конфигурация свойств системы защиты

Цель. Дать МО возможность определять, как задействовать ВОЗМОЖНОСТИ ЗАЩИТЫ изделия, чтобы удовлетворить их требования к политмсе и/или рабочему процессу

Идентификатор

Возможность

Комыентарии/потрсбности МО

/CNFS.01/

Местный авторизованный ИТ администратор мажет устанавливать/ отключать доступные ВОЗМОЖНОСТИ ЗАЩИТЫ прибора

Принято к сведению МО

/CNFS.02/

Ссылается на /А1ЮТ.05Л В случае, когда местный санкционированный ИТ администратор устанавливает/отключает / изменяет настройки доступных ФУНКЦИОНАЛЬНЫХ ВОЗМОЖНОСТЕЙ ЗАЩИТЫ прибора, его действие фиксируется в журнале аудита

Принято к сведению МО

МО не хватает важного свойства защиты (например, блокировки портов). Был создан план капиталовложений для расчета затрат на дополнительное оборудование. которое восполнило бы эти недостатки

DTBK. Резервное копирование данных и аварийное восстановление

Цель. Обеспечить возможность для поставщика медицинских услуг продолжать вести свое предприятие после повреждения или уничтожения данных, оборудования или программного обеспечения.

Идентификатор

возможность

Коииснтарии/потрабности МО

/DTBK.01/

FOOBAR 2.0 предоставляет (встроенную) функцию резервного копирования для хранения системных настроек на внешнем подключаемом запоминающем устройстве большой емкости (например, на USB-накооитвле)

Для данного случая применения это свойство не требуется

/DTBK.02/

FOOBAR 2.0 предоставляет (встроенную) функцию резервного копирования для хранения журналов аудита на внешнем подключаемом запоминающем устройстве большой емкости (например, на USB-наколителе)

Для данного случая применения это свойство не требуется

/ОТВК.ОЗ/

Журналы аудита соответствующим образом шифруются для предотвращения потери конфиденциальной информации. содержащей ДАННЫЕ о ЗДОРОВЬЕ (такие как имя пациента. DOB. и т. д.)

Для данного случая применения это свойство не требуется

/DTBK.04/

Резервное восстановление хранящихся локально ДАННЫХ о ЗДОРОВЬЕ может быть выполнено только с возвращением данных на специализированный удаленный архив D1COM.

Логическое обоснование. Для обеспечения сохранения непротиворечивости ДАННЫХ о ЗДОРОВЬЕ требуется ограничивающий функционал

Для данного случая применения это свойство не требуется

DIDT. Идентификация ДАННЫХ О ЗДОРОВЬЕ

Цель. Способность оборудования (прикладного программного обеспечения или дополнительного инструментария) непосредственно удалять информацию, позволяющую идентифицировать ПАЦИЕНТОВ.

Идентификатор

Возможность

Коыыантар ииЛютробност и МО

/DIDT.01/

FOOBAR 2.0 не поддерживает никакие сродстве прямого удаления информации. которые позволяют идентифицировать ПАЦИЕНТА

Принято к сведению МО.

Примечание — Для отдела закупок МО. Данная функциональная возможность прибора препятствует его использованию в исследованиях и преподавании

МО необходимо получить от ПМП точную спецификацию всех данных вложенных в файлы DICOM 3.0. Это незаменимо для написания собственных манипуляторов формата файлов организации (например, деидентификация, передача в исследовательский архив)

STCF. Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ

Цель. Производитель принимает необходимые меры для того, чтобы несанкционированный доступ не нарушал целостность и конфиденциальность ДАННЫХ о ЗДОРОВЬЕ, хранящихся на изделиях или съемных носителях.

Идентификатор

возможность

Хомментарии/потребмос/пи МО

/STCF.01/

ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся 8 собственной памяти FOOBAR 2.0 зашифрованы. Использующийся алгоритм: AES (Rijndael). Стойкость шифрования: 256 БИТ.

Замечание — Данная настройка не может быть изменена местным ИТ администратором

Для МО требуется больше информации о ПРОЦЕССЕ генерации ключа.

После того как генерация ключа производителе была завершена, необходимо выполнение ПРОЦЕССА, который бы разделял сторону, генерирующую ключ и тех. кто занимается аппаратной поддержкой, для предотвращения легальных проблем, связанных с неприкосновенностью частной жизни, е случаях, когда дефектный жесткий диск возвращается производителю для замены. Как выполняется управление ключом?

Идентификатор

Возможность

КоимсптараиЛготрьбности МО

/STCF.02/

Зэщищенные/эашифрованные ДАННЫЕ о ЗДОРОВЬЕ доступны только после удачной загрузки, См. также /MLDP.04/

Принято к сведению МО Требуется ли во время перезагрузку прибора вводить специальный пароль (какой либо еще кроме пароля учетной записи пользователя) для перехода в рабочее состояние?

/STCF.03/

Дешифруются только требующиеся ДАННЫЕ о ЗДОРОВЬЕ (требующиеся для текущего взаи-модейсгвия'иаюльэоваиия/отображения). Кв используемые на данный момент ДАННЫЕ о ЗДОРОВЬЕ остаются зашифрованными

Принято к сведению МО

/STCF.04/

Загрузочный раздел, операционная система, временные данные или внутреннее запоминающее устройство большой емкости, и т. д. также шифруются. Используемый алгоритм: AES (Rijndaeiy Стойкость шифрования: 256 БИТ. Замечание — Данная настройка не может быть изменена местным ИТ администратором

Принято к сведению МО

/STCF.05/

Случайные сбои питания в системе не влияют на шифрование ДАННЫХ о ЗДОРОВЬЕ, хранящихся на запоминающем устройстве большой емкости. Не при каких обстоятельствах выполнения работы незашифрованные ДАННЫЕ о ЗДОРОВЬЕ не присутствуют на внутреннем запоминающем устройстве большой емкости

Принято к сведению МО

/STCF.06/

Соединение со специализированным удаленным архивом, находящимся 8 сети 01СОМ. может быть установлено с помощью VPN

Принято к сведению МО

EMRG. Экстренный доступ

Цель. Обеспечить возможность доступа к охраняемым ДАННЫМ о ЗДОРОВЬЕ в случав экстренной ситуации. требующей немедленного доступа к хранящимся ДАННЫМ о ЗДОРОВЬЕ.

Идентификатор

возможность

КоммвнтарииЛютребности МО

/EMRG.01/

Наличие функции разбивания стекла. Даже без персонального идентификатора (id) пользователя и медицинской аутентификации польэовагегъ может получить доступ к ДАННЫМ о ЗДОРОВЬЕ.

Замечание — Необходимо помнить, что данная функция может быть измененз/откпючена местным ИТ администратором

Принято к сведению МО

/EMRG.02/

Использование функции разбивания стекла /EMRG.01/ требует использование общего идентификатора (id) пользователя и аутентификации (для предотвращения получения доступа к ДАННЫМ о ЗДОРОВЬЕ пациентами или сторонними наблюдателями)

Принято к сведению МО

/EMRG.03/

Каждое использование функции разбивания стекла /EMRG.01/ будет занесено в журнал аудита

Принято к сведению МО

/EMRG.04/

О каждом использовании функции разбивания стекла /EMRG.01/ может автоматически создаваться отчет для установления учетной записи пользователя, например посредством электронной почты (eMail)

Принято к сведению МО

SGUD. Руководства по защите

Цель. Обеспечить доступность руководства по защите для ОПЕРАТОРОВ и администраторов системы. Желательно предоставление отдельных пособий для ОПЕРАТОРОВ и АДМИНИСТРАТОРОВ (включая отдел продаж и обслуживания ПМП). гак как это позволяет только администраторам сохранять за собой понимание всего административного функционала.

Идентификатор

возможность

Коииентарои/потрабмости UO

/SGUD.01/

Руководство по защите для ОПЕРАТОРА включено в инструкции по использованию FOOBAR 2.0. См. главу 13

Принято к сведению МО

/SGUD.02/

Руководство по защите для администратора включено в техническую информацию FOOBAR 2.0. См. главу 17

Принято к сведению МО

IGAU. Целостность и достоверность ДАННЫХ о ЗДОРОВЬЕ

Цель. Обеспечить сохранность ДАННЫХ о ЗДОРОВЬЕ от изменения или уничтожения несанкционированными методами, а также гарантировать, что эти данные поступили от их создателя. Обеспечить целостность ДАННЫХ о ЗДОРОВЬЕ.

Идентификатор

Возможность

КоммвнтврииЛктребности МО

/IGAU.01/

ДАННЫЕ о ЗДОРОВЬЕ, хранящиеся в памяти большой емкости FOOBAR 2.0 для отображения данных за пределами сети DICOM, защищены с помощью надлежащей контрольной суммы (SHA1). чтобы обеспечить целостность данных

МО осведомлена о недостатках алгоритма SHA1 и потому необходимо предоставить программное заявление о том. как производитель справляется с криптографическими проблемами защиты

/IGAU.02f

Предоставлены ВОЗМОЖНОСТИ по резервному копированию. См. главу, посвященную DTBK: Резервное копирование данных и аварийное восстановление

Принято к сведению МО

MLOP. Обнаружение вредоносного программного обеспечения и защита от него Цель. Изделие обеспечивает потребности регулирования, а также МО и пользователя, в обеспечении эффективной и единой поддержки предотвращения, обнаружения и удаления вредоносного программного обеспечения. Это является неотъемлемым шагом в обеспечении надлежащего глубокого подхода к защите.

Идентификатор

Возможность

Хоииапюарии/пртррбмости UO

/MLDP.01/

Все несущественные порты сети FOOBAR 2.0 закрыты. Замечание 01 — Более подробную информацию см. в технической информации FOOBAR 2.0. в руководстве по защите для администратора (глава 17}. См. /SGUD.02/.

Замечание 02 — Данная функциональная возможность не может быть изменена местным ИТ администратором

Принято к сведению МО

/MLDP.02/

Операционная система, установленная на загрузочном устройстве FOOBAR 2.0. защищена от санкционированных / несанкционированных изменений. После перезагрузки система возвращается в свое изначальное состояние.

Замечание — Данная функциональная возможность не может быть изменена местным ИТ администратором

МО требуется получить заявление производителя о том. каким образом обнаруживаются вредоносные модификации времени исполнения

/MLDP.03/

Все значимые файлы защищены с помощью надлежащей контрольной суммы (SHA1) и проверяются при загрузке. В случав обнаружения ошибки, система не запускается, а выдает сообщение об ошибке.

Замечание — Данная функционагъная возможность не может быть изменена местным ИТ администратором

Принято к сведению МО

/MLDP.04/

Защищенные/зашифрованные ДАННЫЕ о ЗДОРОВЬЕ доступны только после успешной эагрузхи. См. также /STCF.01/.

Замечание — Данная функционагъная возможность не может быть изменена местным ИТ администратором

Принято к сведению МО

PAUT. Аутентификация личности

Цель. Политика аутентификация должна быть гибкой для того, чтобы адаптироваться к местной ИТ политике МО. Требование аутентификации личюсти при предоставлении доступа к ДАННЫМ о ЗДОРОВЬЕ должно быть логически обоснованным в каждом конкретном случае.

Идентификатор

возможность

Хоммеитарии/потробности МО

/PAUT.01/

FOOBAR 2.0 поддерживает местное и глобальное управление учетными записями.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0, в руководстве по защите для администратора (глава 17)

МО необходима тонная спецификация для соединения с центральными структурами аутентификации (например. PKI. IEEE 802. IX). Примечание —Предоставьте методические документы как можно скорее

/PAUT.02/

FOOBAR 2.0 поддерживает закрытие учетных записей. Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0, в руководстве по защите для администратора (глава 17)

Мажет ли это выполняться удаленно или же ИТ администратору необходимо находиться у прибора FOOBAR?

/PAUT.03/

FOOBAR 2.0 поддерживает быстрое переключение пользователей. Поддержка данной функции уменьшает затраты времени на задачу входа и выхода пользователей из системы

Принято к сведению МО

PLOK. Физические замки на приборе

Цель. Гарантировать, что несанкционированный доступ не нарушит конфиденциальность, целостность и доступность ДАННЫХ о ЗДОРОВЬЕ, хранящихся на изделиях или съемных носителях.

Идентификатор

Возможность

Коммелтарии/ло/пребиости МО

/PL.OK.01/

По причине выбранного метода шифрования FOOBAR 2.0 не требуется физическое запирание

Принято к сведению МО

МО интересуется, защищена ли клавиатура или же неразрешенное устройство перехвата вводимой с клавиатуры информации (key-logger) может с легкостью быть установлено между клавиатурой и корпусом компьютера

На корпусе компьютера установлен замок? Можно ли с легкостью извлечь или заменить дисковые накопители?

CSUP. Усовершенствование системы защиты изделия от кибератак

Цель. Создать унифицированный метод выполнения работы. Установкэ/усовершенствование пакетов исправлений для системы защиты выполняется персоналом на рабочем месте и. вероятно, санкционированным персоналом МО (в случае установки скачиваемых пакетов исправлений).

Идентификатор

Возможность

Коиментарои/потрьбносто МО

/CSUP.01/

Настоящим документом мы подтверждаем. что компания осуществляет внутренние процедуры для обследования рынка для определения текущих тенденций в области защиты от кибератак.

В случае необходимости пакетов ис-правлений можно обращаться к технической поддержке.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0. в руководстве по защите для администратора (глава 17)

МО требуется следующая информация.

1    Должен существовать и быть раскрыт ПРОЦЕСС того, как значимые усовершенствования защиты и стабильности отделяются от незначимых.

2    Должен существовать и быть раскрыт ПРОЦЕСС. определяющий то. какие критерии должны выполняться для того, чпюбы действия защиты от кибератак заслуживали САРА-сообщвния.

3    Должен существовать и быть раскрыт ПРОЦЕСС. связанный с задержкой между объявлением от производителя операционной системы и реакций производителя МЕДИЦИНСКОГО ПРИБОРА

Окончание

Идентификатор

возможность

Комыеитории/потребпости МО

4. Должен существовать и быть раскрыт ПРОЦЕСС того, как МО оповещается об угрозах кибератак

/CSUP.02/

Прибор спроектирован так. что мы (производитель) не позволяем МО устанавливать какие либо несанкционированные патчи

Принято к сведению МО. а также в СОГЛАШЕНИЕ об ОТВЕТСТВЕННОСТИ будет добавлено заявление о том, что производитель несет полную ответственность за ВРЕД, причиненный пациентам, в связи с отсутствием подтверждения пакетов исправлений, требующих срочной установки

ROMP. Влияние компонентов третьей стороны на весь жизненный цикл изделия Цель. Планы ПМП предполагают, что их изделия считаются поддерживаемыми на протяжении их жизненного цикла, в соответствии внутренним системам контроля качества и внешнему регламенту.

Идентификатор

Возможность

Кониептарисз'пыпребиости МО

/RDMP.01/

Настоящим документом мы подтверждаем, что предоставляем сопроеождение/поддержку системы на протяжении предположительного срока службы изделия. В случае необходимости солровождения/ремонга/паке-тое исправлений можно обращаться к технической поддержке.

Замечание — Более подробную информацию см. в технической информации о FOOBAR 2.0 (глава 42)

Должен существовать и быть раскрыт ПРОЦЕСС того как МО будет проинформирована о датах окончания срока службы критически важных компонентов. Нам необходимо знать, когда усовершенствование защиты перестает быть возможным

SAHD. Усиление защиты системы и приложений

Цель. Минимизировать векторы атак и совокупную площадь атак посредством закрытия портов; удаления службы, и т. д.

Идентификатор

Возможность

Комментарии/ потребности МО

У8АН0.01/

Все ВОЗМОЖНОСТИ предназначенные обеспечить стабильную систему, предоставляющую только те службы, которые установлены ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ и требуются для его осуществления с минимумом сопроводительной деятельности, а также для того, чтобы позволить поставщикам медицинских услуг/МО организациям подключить FOOBAR 2.0 к их сети рассматриваются в главе MLDP: Обнаружение вредоносного программного обеспечения и защита от него в технической информации о FOOBAR 2.0 (глава 38)

Принято к сведению МО

AUTH. Авторизация

Цель. Следуя принципу минимизации данных, предоставить управление доступом к ДАННЫМ о ЗДОРОВЬЕ и функциям в только той степени, насколько это необходимо для выполнения задач МО в соответствии с ПРЕДНАЗНАЧЕННЫМ ИСПОЛЬЗОВАНИЕМ прибора.

Идентификатор

Возможность

Коыиентарии/потрабности МО

/А1ГГН.01/

Несмотря на описанные ниже административные функции, только персонал санкционированный нами (производителем) имеет доступ к служебным фунхциям и функциональным возможностям. Кроме административных задач, разрешенных технической документацией, несанкционированному персоналу запрещаются осуществлять дальнейший ремонт.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0

Заявление будет принято е СОГЛАШЕНИИ об ОТВЕТСТВЕННОСТИ

Идентификатор

возможность

КомментарииЛютребности МО

/А1ГГН.02/

Так называемый вход в систему в качестве администратора предоставляется в случае FOOBAR 2.0 для:

•    для общего администрирования сервера:

•    установки обноалвкий/решекия проблем:

•    добавления большого количества клиентов FOOBAR;

•    администрирования главных пользователей;

•    операций по резервному копированию

/AUTH.03/

Так называемый вход в качестве Главного Пользователя (Master User) настраивается заранее и может быть добавлен для:

•    внесения поправок в/объединения огчегов/данных пациентов;

•    восстановления потерянных отчетов:

- администрирования общих пользователей;

•    редактирования и поддержки общей конфигурации применения FOOBAR

TXDF: Конфиденциальность передачи данных

Цель. ПРОИЗВОДИТЕЛЬ демонстрирует, что его оборудование соответствует множеству национальных стандартов и регламентов (например. USAH1PAA. национальным законам, основанным на EU 95M6/EC) а соответствии с потребностями МО для обеспечения конфиденциальности передаваемых ДАННЫХ о ЗДОРОВЬЕ.

Идентификатор

возможность

Хоммонтарии/потребмости МО

/TXDF.01/

См. /STCF.06/. Соединение со специализированным удаленным архивом, находящимся 8 сети DICOM. может быть установлено с помощью VPN.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0 (глава 33)

МО требуется заявление о совместимости с конкретным VPN для определения истинной интероперабельности с существующими в MOVPN

/TXDF.02J

По требованию. Мы (производитель) предоставим сертификаты. демонстрирующие соответствие действующему национальному регламенту. Так как подобные сертификаты варьируются в зависимости от страны, пожалуйста, обратитесь к технической службе для получения большей информации

МО принимает к сведению и примет решение о требующихся сертификатах соответствия перед приобретением изделия

TXIG. Целостность передачи данных

Цель. Прибор должен обеспечивать защиту целостности передаваемых ДАННЫХ о ЗДОРОВЬЕ.

Идентификатор

возможность

Комментарии/ потребности МО

/TXIG.01/

См. /STCF.06/. Соединение со специализированным удаленным архивом, находящимся в сети DICOM. может быть установлено с помощью VPN. Данная функциональная возможность гарантирует сохранение целостности ДАННЫХ о ЗДОРОВЬЕ на протяжении передачи данных и позволяет FOOBAR 2.0 передавать ДАННЫЕ о ЗДОРОВЬЕ через относительно открытые сети игы окружение, в котором действует крепкая политика обеспечения целостности ДАННЫХ о ЗДОРОВЬЕ.

Замечание — Более подробную информацию см. в технической информации FOOBAR 2.0 (глава 33)

Пронято к сведению МО

Дополнительные потребности больницы Нью Таука

На данный момент не установлено никаких дополнительных потребностей, но больница Нью Тауна со-храняет за собой право ввести дополнительные потребности в процессе развития нашего диалога об изделии.

Примеры региональных спецификаций нескольких ВОЗМОЖНОСТЕЙ ЗАЩИТЫ

Ниже приведено несколько примеров возможностей адаптированных для регионального использования в США. Данные примеры приведены только для иллюстрации и не претендуют на полноту или на законченный вариант руководства для использования на территории США

PAUT. Аутентификация личности

Применение:


Требование

источника;


Справочный

материал:


Зависит от:

Цель требований:


Потребность

пользователя:


Профиль. Профиль IHEATNA (Профиль журнала аудита и интеграции аутентификации узлов). Профиль IHE PWP (Персональный телефонный справочник).

IHE EUA (Аутентификация корпоративных пользователей).

IHE XUA (Контроль процесса авторизации пользователей).

Политика. Проект политики защиты SANS.

Местная ИТ политика МО.

Стандарт HIPAA. Правило обеспечения защиты’*. § 164.312.{а)(1): «..Управление доступом. Реализовать техническую политику и процедуры для электронных информационных систем, которые поддерживает электронную защищенную информацию о здоровье, для того, чтобы сделать возможным получение доступа только для тех личностей или программного обеспечения. которому были предоставлены права доступа в соответствии с § 164.308. (a)(4)...»

2(i) Уникальная идентификация пользователя (требуется). Необходимо назначить уникальное имя н/или номер для идентификации и отслеживания личности пользователя.

NIST SP 800-53 v3.

АСЗ. Осуществление доступа (Access Enforcement) — механизмы осуществления доступа служат организациям для управления доступом между пользователями и объектами.

AUDT, NAUT

Политики аутентификации должны быть гибкими для того, чтобы адаптироваться к местной ИТ погмтике МО. Требование аутентификации личности при предоставлении доступа к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (PHI) должно быть логически обоснованным в каждом конкретном случае.

Пользователям может потребоваться наличие возможности для создания и использования уникальных учетных записей для пользователей и управления доступом, основанное на ролях (RBAC, локальный и удаленный) к прибору, подключенному к сети, для управления и контроля доступа к сети и ее деятельности.

Возможность управлять учетными записями на медицинском оборудовании для обеспечения защиты доступа к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ.

Пользователю может потребоваться связать персональные установки с учетными записями пользователей. Это может помочь приборам и системам, используемым множеством ОПЕРАТОРОВ. отделов или даже множеством организаций здравоохранения (МО). Требуется поддержка независимого и центрального администрирования.

Однократкая идентификация и использование одного пароля для всех рабочих мест. Поддержка идентификации узла согласно промышленным стандартам.

Обнаружение и предотвращение фальсификации личности/сущносги (необходимо предоставить невозможность отказа от авторства).


NAUT. Аутентификация узлов

Применение:    Профиль. Профиль IHE (Интеграция учреждений здравоохранения) ATNA. Профиль журнал

аудита и интеграции аутектифюсации узлов (IHEATNA profile (Audit Trail and Node Authentication Integration Profile).

IHE EUA (Аутентификация корпоративных пользователей).

IHE XUA (Контроль процесса авторизации пользователей).

1) Министерство здравоохранения и социального обеспечения, секретариат. 45 CFR. части 160. 162, и 164 Реформа медицинского страхования. Стандарты защиты. Окончательньм регламент. 20февраля. 2003 (Department of Health and Human Services. Office of the Secretary. 45 CFR. Parts 160. 162, and 164 Health Insurance Reform: Security Standards: Final Rule. February 20. 2003).

Требование

источника:

Политика. NEMA/COCIR/JIRA Объединенный комитет по вопросам защиты и неприкосновенности частной жизни (Joint Security and Privacy).

Технический документ. Проект стандарта, рассматриваемого техническим комитетом: «Управление сертификатами аутентификации ком тьютеров, 10 февраля. 2005» (Committee draft White Paper: Management of Machine Authentication Certificates. 10 February 2005).

Проект политики защиты института SANS (институт системного администрирования, аудита, сети и защиты) (SANS Security Policy Project).

Местная ИТ политика МО.

Стандарт HIPAA. Правило обеспечения защиты. § 164.312 Технические средства защиты, (а) (1): «..Управление доступом. Реализовать техническую политику и процедуры для электронных информационных систем, которые поддерживают электронную защищенную информацию о здоровье, для того, чтобы сделать возможным получение доступа только для тех личностей или программного обеспечения, которому были предоставлены права доступа в соответствии с § 164.308. (a)(4)...»

Справочный

материал:

NIST SP 800-53 v3

АСЗ. Осуществление доступа (Access Enforcement) — механизмы осуществления доступе служат организациям для управления доступом между пользователями и объектами

Зависит от:

AUDT. PAUT

Цель требований:

Политики аутентификации должны быть гибкими для того, чтобы адаптироваться к местной ИТ политике МО. Требование аутентификации личности при предоставлении доступа к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (PHI) должно быть логически обоснованным в каждом конкретном случае.

Потребность

пользователя:

Возможность управлять учетными записями на медицинском оборудовании для обеспечения защиты доступа к ЗАЩИЩШЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (PHI).

Однократная идентификация и использование одного пароля для всех рабочих мест. Поддержка идентификации узла согласно промышленным стандартам.

Обнаружение и предотвращение фальсификации личности/сущности (необходимо предоставить невозможность отказа от авторства).

ALOF. Автоматический выход из системы

Применение:

Стандарт. Нет.

Политика. Местная ИТ политика МО.

Требование

источника:

Стандарт HIPAA. Правило обеспечения защиты. § 164.312 Технические средства защиты. (a)(1): «..Управление доступом. Реализовать техническую политику и процедуры для электронных информационных систем, которые поддерживают электронную защищенную информацию о здоровье, для того, чтобы сделать возможным получение доступа только для тех личностей или программного обеспечения, которому были предоставлены права доступа в соответствии с § 164.308. (a)(4)...»

(2)(iii) (i'i) Автоматический выход из системы (доступно). Необходимо реализовать электронные процедуры, служащие для прекращения электронного сеанса по прошествии заранее заданного времени бездействия.

NIST 800-53. Издание 3 — Дополнительное руководство. Блокировка сеанса является временным действием, которая выполняется в том случае, если пользователь прекращает работу и не осуществляет непосредственные действия с информационной системой, но не желает выходить из системы (завершать сеанс) из-за того, что его отсутствие является временным. АС-11 БЛОКИРОВКА СЕАНСА. Управление. Информационная система:

a.    предотвращает дальнейший доступ к системе с помощью запуска блокировки сеанса после [Установление периода времени, заданного организацией.] бездействия или при получении запроса от пользователя: и

b.    сохраняет блокировку сеанса до тех пор. пока пользователь не восстановит доступ, используя утвержденные процедуры идентификации и аутентификации.

Справочный

материал:

Нет.

Зависит от:

AUDT

Уменьшить РИСК получения несанкционированного доступа к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (РН1) с рабочего места, оставленного без присмотра.

Цель требований:


Потребность

пользователя:


Предотвратить неправильное использование, ест система или рабочее место не используется в течении периода времени.

Несанкционированные пользователи не могут получить доступ к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (PHI) с рабочего места, оставленного без присмотра.

Сеансы авторизованных пользователей должны автоматически завершаться или блокироваться по прошествии заранее установленного промежутка времени. Это уменьшает РИСК несанкционированного доступа к ЗАЩИЩЕННЫМ ДАННЫМ о ЗДОРОВЬЕ (PHI), если авторизованный пользователь покидает рабочее место, не завершая сеанс и не закрывая экран или комнату.

Автоматический выход из системы должен включать 8 себя очистку ЗАЩИЩЕННЫХ ДАННЫХ о ЗДОРОВЬЕ (PHI) со всех экранов по мере необходимости.

Местный авторизованный ИТ администратор должен иметь возможность отключать эту функцию и устанавливать время истечения срока (учитывая хранителя экрана).

Использование хранителя экрана с коротким временем бездействия или активирующегося ■быстрой клавишей» может являться дополнительным свойством. Такая очистка экрана с ДАННЫМИ о ЗДОРОВЬЕ может быть вызвана, если на протяжении короткого времени не была нажата ни одна клавиша (например, от 15 секунд до нескольких минут). Эго не завершит сеанс пользователя, но снизит РИСК случайного наблюдения информации.

Желательно, чтобы пользователи медицинского учреждения могли избежать потери незавершенной работы по причине автоматического выхода из системы.

Отображение ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в C-I-A-A

В таблице С.1 представлен шаблон, отображающий для гипотетической МО степень, с которой каждая из перечисленных ВОЗМОЖНОСТЕЙ ЗАЩИТЫ связана с каждой основной характеристикой защиты (конфиденциальность. целостность, готовность и отслеживаемость) и поддерживает их организационные политики. Данный шаблон дает возможность ИТ профессионалам понять вклад соответствующих ВОЗМОЖНОСТЕЙ ЗАЩИТЫ в реализацию защиты.

Цифра «2» означает, что Возможность существенно повышает характеристику защиты политики. Пустое поле указывает на относительный нейтралитет и -1 означает, что Возможность снижает характеристику защиты политики (например, наличие Автоматического выхода из системы в действительности снижает доступность).

Таблица С.1 — Шаблон отображения гипотетической МО

возможности

Характеристики защиты

Конфиденциальность

Целостность

Готовность

Отслеживаемость

ALOF. Автоматический выход из системы

2

2

-1

AUOT. Средства управления аудитом

1

1

1

AUTH. Авторизация

2

2

-1

1

CNFS. Конфигурация свойств системы защиты

1

1

1

1

CSUP. Усовершенствование системы защиты изделия от киберзтах

1

1

1

DTBK. Резервное копирование данных и экстренное восстановление

1

2

EMRG. Экстренный доступ

2

-1

DIDT. Деидентификация ДАННЫХ о ЗДОРОВЬЕ

2

1GAU. Целостность и аутентификация ДАННЫХ о ЗДОРОВЬЕ

2

2

STCF. Конфиденциальность хранения ДАННЫХ о ЗДОРОВЬЕ

2

MLDP. Обнаружение вредоносного программного обеспечения и зашита от него

1

1

1

NAUT. Аутентификация узлов

1

1

PAUT. Аутентификация личности

1

2

PLOK. Физические замки на приборе

1

1

1

SGUD. Руководства по защите

1

1

1

1

SAHD. Усиление защиты системы и едиложений

1

1

1

RDMP. Влияние компонентов третьей стороны на весь жизненный цикл изделия

TXDF. Конфиденциальность передачи данных

2

TXIG. Целостность передачи данных

2

Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень

соответствия

Обозначение и наименование соответствующего национального стандарта

МЭК 80001-1:2010

В

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта (документа). Перевод данного международного стандарта (документа) находится в Федеральном информационном фонде технических регламентов и стандартов.

Библиография

(1]    I ЕС 60300-3-9:1995

(2]    IEC 60601-1-6:2006

(3]    IEC 60601-1-8:2006

(4]    IEC 61907:2009

(5]    IEC 62304:2006

(6]    IEC 80001-2-1


(7]    ISO/IEC15408

(8]    ISO/IEC 20000-1:2011

(9]    ISO/IEC 27001:2005

(10]    ISO/IEC 27002:2005

(11]    ISO 13485:2003

(12]    ISO 14971:2007

(13]    ISO/TS 25238:2007

(14]    ISO 27799:2008

(15]    ISO/TR 27809:2007

(16]    IEEE 610.12:1990 ASIP requirements

DICOM

Japan Law/Guidance


NEMA/COCIR/J1RA


Dependability management — Part 3-9: Application guide — Risk analysis of technological systems'

Medical electrical equipment — Part 1-6: General requirements for basic safety and essential performance — Collateral standard: Usability

Medical electrical equipment — Part 1-8: General requirements for basic safety and essential performance — Collateral standard: General requirements, tests and guidance for alarm systems in medical electrical equipment and medical electrical systems

Communication network dependability engineering

Medical device software — Software life cycle processes

Application of rtsk management for ГГ-networks incorporating medical devices — Pari 2-1: Step by step risk management of medical IT-networks — Practical applications and examples IEC 80001-2-3, Application of risk management for IT-networks incorporating medical devices — Part 2-3: Guidance for wireless networks

Information technology — Security techniques — Evaluation criteria for IT security — Parts 1. 2. and 3 («Common Criteria»]

Information technology — Service management — Part 1: Service management system requirements ISO/IEC 20000-2:2012, Information technology — Service management — Part 2: Guidance on the application of servioe management systems

Information technology — Security techniques — Information security management systems — Requirements

information technology. Security techniques. Code of practice for information security management ISO/IEC 27005:201t.lnformation technology — Security techniques — Information security risk management

Quality management systems — Requirements for regulatory purposes ISO/TS 13606-4:2009. Health informatics — Electronic health record communication — Part 4: Security

Medical devices — Application of risk management to medical devices Health informatics — Classification of safety risks from health software Health informatics — Information security management in health using ISO/IEC 27002 Health informatics — Measures for ensuring patient safety of health software IEEE Standard Glossary of Software Engineering Terminology

FR I'Agenoe des Sysidmes d'lnformabon Partages de Sante (ASIP Santd)(ASIP Santa, the shared healthcare information systems agency http J/esante.gouv.fr/en] creating conditions to comply with Law No. 2002-303 of 4 March 2002 on patients' rights and quality care system

Digital Imaging and Communications in Medicine (DICOM)

National Electrical Manufacturers Association. http://medical.nema.0r9/dic0m/

JP Act on the Protection of Personal Information (PFD)

htlpy/ and Guideline for Medical Information System Safety Management

(Japanese only), Ministry of Health. Labour and Welfare. Japan

Joint Security and Privacy Committee. See tutorials and white papers at

NL Nedertands Normalisatie-instituut Standard Medische

NEN 7510


NIST 800 series


informatica — tnformaliebeveitiging in de zorg —Algemeen [Health

Informatics — Information Security in the Healthcare Sector — General] http7Avww.nen.nt/

web/Normshop/Norm/NEN-75102004*nl.htm

US National Institute of Standards and Technology Special Publications series on Computer Security http ://csrc.nist.gov/publications/ PubsSPs.html

УДК 004:61:006.354    ОКС 35.240.80    П85    ОКСТУ 4002

Ключевые слова: здравоохранение, информатизация здоровья, информационная безопасность, менеджмент рисков, информационно-вычислительные сети, медицинские приборы

Редактор А.Ф. Котин Технический редактор В.Н. Прусакова Корректор ИА. Королева Компьютерная верстка Е.Е. Кругова

64 Vj,    Гарнитура Ариал

За*. 135S.


Сдано в набор 22.05.2016. Подписано а печать 3t.05.2016 Формат 60 * Уел леч.л.5.56. Уч.-мэд. л. 5.20. Тираж 29 экз.

Издано и отпечатано оо ФГУП «СТАНДАРТИКФОРМ». 123995 Москва. Гранатный пер.. 4. m(o@gos1info ru

> Заменен на МЭК/VfCO 310101:2009, Менеджмент риска. Методики оценки риска.