База ГОСТовallgosts.ru » 35. ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МАШИНЫ КОНТОРСКИЕ » 35.240. Применение информационных технологий

ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности

Обозначение: ГОСТ Р 56838-2015
Наименование: Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности
Статус: Действует
Дата введения: 11/01/2016
Дата отмены: -
Заменен на: -
Код ОКС: 35.240.80
Скачать PDF: ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности.pdf
Скачать Word:ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности.doc

Текст ГОСТ Р 56838-2015 Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности



ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТР

56838—

2015

ISO/TR 11633-2:2009

Информатизация здоровья

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УДАЛЕННОГО ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ МЕДИЦИНСКИХ ПРИБОРОВ И МЕДИЦИНСКИХ ИНФОРМАЦИОННЫХ

СИСТЕМ

Часть 2

Внедрение системы менеджмента информационной безопасности

ISO/TR 11633-2:2009

Health informatics — information security management for remote maintenance of medical devices and medical information systems —

Part 2: Implementation of an information security management system

(IDT)

Издание официальное

Стандарте i^b|M Ш1

Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации» (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации «Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья» при ЦНИИОИЗ Минздрава — постоянным представителем ISO ТС 215

3    УТВЕРЖДЕН И ВВЕДЕН 8 ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. № 2226-ст

4    Настоящий стандарт идентичен международному документу ISO/TR 11633-2:2009 «Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности» («Health informatics — Information security management for remote maintenance of medical devices and medical information systems — Part 2: Implementation of an information security management system». IDT).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5—2012 (пункт 3.5)

5    8ВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0—2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — е ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующаяинформация. уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

© Стандартинформ. 2016

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

Содержание

4    Система менеджмента информационной безопасности для служб удаленного технического

Приложение А (справочное) Пример оценки риска в службах удаленного технического

in

Введение

Прогресс и распространение современных технологий е информационной и коммуникационной сферах, а также хорошо организованная структура, основанная на этих технологиях, внесли большие изменения в современное общество. 8 здравоохранении, ранее закрытые информационные системы в каждом учреждении здравоохранения теперь объединены сетями, и настоящее время технологии позволяют обеспечить взаимное использование медицинской информации, собранной в каждой информационной системе. Обмен подобной информацией по коммуникационным сетям реализуется не только между учреждениями здравоохранения, но и между учреждениями здравоохранения и поставщиками медицинского оборудования или медицинских информационных систем. Благодаря, так называемым. «службам удаленного технического обслуживания» (СУО) становится возможным снизить временные потери и расходы.

Однако, оказалось, что такая связь учреждений здравоохранения с внешними организациями обладает не только преимуществами, но также несет в себе риски, связанные с конфиденциальностью, целостностью и доступностью информации и систем, то есть риски, которые раньше даже не учитывались.

На основе информации, предлагаемой е настоящем стандарте, учреждения здравоохранения и провайдеры СУО смогут обеспечить следующее:

-    уточнить риски, возникающие при использовании СУО. если внешние условия места расположения. запрашиваемого поставщиком (ЦУО). и места расположения медицинского учреждения, которому предоставляется техническое обслуживание (HCF). могут быть выбраны из каталога, приведенного в приложении А;

•    понять основы выбора и применения технических и нетехнических «средств управления», которые применяются е их учреждении для предотвращения рисков, описанных в настоящем стандарте;

•    запросить от бизнес партнеров предоставить конкретные меры противодействия, так как настоящий документ может идентифицировать соответствующие риски безопасности;

•    уточнить границы ответственности между владельцем медицинского учреждения и провайдером СУО;

•    планировать программу по сохранению или снижению риска, т. к. остаточные риски уточняются при выборе подходящих «средств управления».

Применяя оценки риска и используя «средства управления» в соответствии с настоящим стандартом. владельцы медицинских учреждений и провайдеры СУО смогут воспользоваться следующими преимуществами:

-    необходимо будет только выполнить оценку риска для тех организационных сфер, где настоящий стандарт не применим, а. следовательно, усилия по оценке риска могут быть значительно снижены;

•    будет легко продемонстрировать третьей стороне то. что меры СУО по пресечению нарушения безопасности, прошли подтверждение на соответствие;

•    при предоставлении СУО в двух или более местах, провайдер может последовательно и эффективно применять меры противодействия.

ГОСТ Р 56838—2015 ISO/TR 11633-2:2009

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ УДАЛЕННОГО ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ МЕДИЦИНСКИХ ПРИБОРОВ И МЕДИЦИНСКИХ

ИНФОРМАЦИОННЫХ СИСТЕМ

Часть 2

Внедрение системы менеджмента информационной безопасности

Health informatics. Information security management for remote maintenance of medical devices and systems. Part 2. implementation of an information security management system

Дата введения — 2016—11—01

1    Область применения

В настоящем стандарте представлены примеры выбранных и применяемых для защиты служб удаленного технического обслуживания (СУО) «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ) на основе результатов анализа риска, описанного в ИСО/ТО 11633-1. Настоящий стандарт не рассматривает решение проблем коммуникаций и использование методов шифрования.

Настоящий стандарт включает в себя:

• каталог типов безопасных сред в медицинских учреждениях и у поставщиков СУО:

-    пример комбинаций угроз и уязвимостей, идентифицированных при определенных условиях для «вариантов использования»

-    пример оценивания и эффективности «средств управления», определяемых в системе менеджмента информационной безопасности (СМИБ).

2    Термины и определения

В настоящем документе используются следующие термины с соответствующими определениями:

2.1    подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

(ИСО/МЭК 13335-1:2004. определение 2.1]

2.2    актив (asset): Все. что представляет ценность для организации.

Примечания

1    Термин адаптирован из ИСО/МЭК 13335-1.

2    В контексте информационной безопасности в медицине, информационные активы включают:

a)    медицинскую информацию:

b)    IT-сервисы:

c)    аппаратные средства:

d)    программное обеспечение:

e)    коммуникационные средства:

Издание официальное

f) средстве информации:

д) 1Т-средстеа:

h) медицинские приборы, которые записьеают данные или формируют отчеты данных.

2.3    доверие (assurance): Результат серии процессов установления соответствия, посредством которых организация достигает уверенности в статусе менеджмента информационной безопасности.

2.4    доступность (availability): Свойство быть доступным и годным к использованию по запросу авторизованного субъекта.

[ИСО/МЭК 13335-1:2004. определение 2.4]

2.5    оценка соответствия (compliance assessment): Процессы, которыми организация подтверждает. что средства управления информационной безопасностью остаются рабочими и эффективными.

Примечание — Соответствие закону а частности относится к средствам управления безопасностью, установленным для соблюдения требований соответствующего законодательства, как например. Директивы Европейского Союза по защите персональных данных.

2.6    конфиденциальность (confidentiality): Свойство, заключающееся в том. что информация не может быть доступной или же не может быть раскрыта для неавторизованных лиц. объектов или процессов.

[ИСО/МЭК 13335-1:2004. определение 2.6]

2.7    целостность данных (data integrity): Свойство, гарантирующее, что данные не будут изменены или уничтожены неправомочным образом.

[ИСО/МЭК 9797-1:1999. определение 3.1.1]

2.8    управление информацией (information governance): Процессы, благодаря которым организация получает уверенность в том. что риски, связанные с ее информацией, а значит работоспособность и целостность организации, эффективно выявляются и контролируются.

2.9    информационная безопасность (information security): Поддержание конфиденциальности, целостности и доступности информации.

Примечание —Другие свойсгеа. в частности, подотчетность пользователей, а также аутентичность, отказоустойчивость и надежность, часто упоминаются как аспекты информационной безопасности, но также могут рассматриваться как производные от грех основных свойств в определении.

2.10    риск (risk): Сочетание вероятности события и его последствий.

[Руководство ИСО/МЭК 73:2002, определение 3.1.1].

2.11    оценка рисков (risk assessment): Общий процесс анализа и оценивания риска.

[Руководство ИСО/МЭК 73:2002. определение 3.3.1]

2.12    менеджмент рисков (risk management): Согласованные виды деятельности по руководству и управлению организацией в отношении рисков.

Примечание — Менеджмент риска обычно включает есебя оценку риска, обработку риска, степень допустимого риска и информирование о рисках.

(Руководство ИСО/МЭК 73:2002. определение 3.1.7]

2.13    обработка рисков (risk treatment): Процесс выбора и применения мер для изменения (обычно для снижения) риска.

Примечание — Адаптировано из Руководства ИСО/МЭК 73:2002.

2.14    целостность системы (system integrity): Свойство системы выполнять предусмотренную для нее функцию в нормальном режиме, свободном от преднамеренного или случайного несанкционированного воздействия на систему.

2.15    угроза (threat): Потенциальная причина нежелательного инцидента, который может нанести ущерб системе или организации.

Примечание —Адаптировано из ИСО/МЭК 13335-1.

2.16    уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована угрозой.

Примечание —Адаптировано из ИСО/МЭК 13335-1.

3    Сокращения

МУ — Медицинское учреждение (HCF — Healthcare facility);

ПХИ — Программа для хищения информации (ISP — Information-stealing programme);

ПМИ — Медицинская персональная информация (PHI — Personal health information);

СУО — Службы удаленного технического обслуживания (RMS — Remote maintenance services);

ЦУО — Центр удаленного технического обслуживания (RSC — Remote maintenance service centre);

ЗУО — Защита службы удаленного технического обслуживания (RSS — Remote maintenance service security);

8ЧП — Виртуальная частная сеть (VPN — Virtual private network).

4    Система менеджмента информационной безопасности для служб

удаленного технического обслуживания

4.1 Общие положения

Система менеджмента информационной безопасности (СМИБ) — это механизм, который циклически реализует последовательность процессов планирования I выполнения! проверки I воздействия, осуществляющихся в рамках политики защиты. Эта последовательность процессов означает, что организация планирует надлежащие меры обеспечения защиты (планирование), осуществляет эти меры обеспечения защиты (выполнение), контролирует эти меры (проверка) и вносит в них изменения при необходимости (управление воздействием). СМИБ уже соответствует стандарту ИСО/МЭК 27001. следовательно. при конструировании и эксплуатации СМИБ целесообразно ссылаться на ИСО/МЭК 27001. Это помогает также убедить пациентов, организации по оценке медицинского обслуживания и других лиц в эффективности мер обеспечения безопасности.

Основные шаги по созданию СМИБ продемонстрированы на рисунке 1.

Спирт 1


СтвдмЗ


СтдияЭ


Рисунок 1 — Шаги реализации СМИБ


Ниже описаны меры обеспечения безопасности для охраны персональной информации а СУО а соответствии с концепцией СМИБ.

Медицинская организация и поставщик СУО должны создать соответствующую СМИБ. Кроме того, медицинская организация должна идеально выполнять работу по настройке менеджмента информационной безопасности для всех поставщиков СУО для защиты персональной информации. СУО соединяет сети поставщика СУО и медицинской организации. После соединения этих сетей возникают риски появления новых слабых мест в защите. В случае СУО может возникнуть иная проблема, связанная с созданием системы в отдельной организации, так как СУО действует между медицинской организацией и центром удаленного технического обслуживания (ЦУО), то есть между двумя независимыми друг от друга организациями. А значит, это будет проблемой, как для медицинской организации, так и для ЦОУ. если меры обеспечения безопасности с самого начала не рассматриваются как неотъемлемая часть СУО. В связи с этим использование СМИБ (с тщательно проверенным методом) может рассматриваться. как наилучший способ эффективно реализовать безопасность СУО.

В соответствии с большим количеством законов о защите персональной информации, медицинская организация принимает на себя ответственность и обязанности хранителя персональной информации. 8 случае СУО. медицинская организация должна запросить от поставщика служб удаленного технического обслуживания соответствующие меры для защиты персональной информации, т. к. поставщику дается доступ к настройкам целевого прибора в медицинском учреждении из центра удаленного технического обслуживания через сеть. Медицинская организация должна самостоятельно настроить все системы менеджмента информационной безопасности поставщиков СУО. которые поставляют СУО. и подтвердить, что в защите нет слабых мест. Дополнительно медицинская организация должна подтвердить, что уровень безопасности каждого поставщика СУО поддерживается на должном уровне.

Для настройки СМИБ необходимо выполнять документирование и удовлетворять следующим пунктам:

-    политике обеспечения защиты;

•    стандарту мер обеспечения безопасности.

•    схеме политики защиты:

-    набору технических решений;

•    правилу выполнения операции:

•    стандартам аудита безопасности:

-    аудиту безопасности и журналу аудита.

Медицинская организация должна включить перечисленные пункты в контракт по предоставлению технического обслуживания или в соглашение между медицинской организацией и поставщиком СУО. которые ЦОУ применяет для обеспечения надлежащих мер в центре удаленного технического обслуживания. В результате медицинская организация распределит ответственность и обязанности по защите персональной информации в ходе технического обслуживания на поставщика СУО по контракту или соглашению. Медицинская организация должна создавать соответствующую СМИБ. одновременно прописывая в контракте на техническое обслуживание или контракте консигнации обязанность поставщика СУО осуществлять надзор в качестве последней инстанции, ответственной за менеджмент персональной информацией.

Анализ рисков и меры описаны в настоящем стандарте в соответствии с подходом СМИБ. Поэтому считается, что формирование безопасности службы удаленного технического обслуживания (ЗУО) с помощью данного подхода сможет обеспечить преимущества, как медицинской организации, так и центру удаленного технического обслуживания. Если содержание данной оценки риска не полное, то требуется дополнительная оценка риска только для недостающих частей.

4.2 Область применения обеспечения соответствия

Согласно рабочей модели, описанной в разделе 6 ИСО/Т011633-1. СМИБ охватывает следующие элементы:

-    целевой прибор для технического обслуживания в медицинском учреждении (HCF);

•    внутреннюю сеть медицинской организации.

•    маршрут от точки доступа СУО в медицинской организации к ЦОУ;

-    внутреннюю сеть ЦОУ;

-    управление оборудованием в ЦОУ.

В связи с тем. что следующие риски существуют, независимо от наличия СУО. они исключаются из рассматриваемой в настоящем разделе области применения СМИБ:

•    угрозы, связанные с доступностью к оборудованию и программному обеспечению, которое работает с защищенной медицинской информацией (PHI):

•    угрозы, связанные с компьютерными вирусами.

•    угрозы, связанные с персоналом, который имеет отношение к внедрению, обучению и практике.

4.3    Политика безопасности

В соответствии с пунктом 5.1.1 ИСО/МЭК 27002:2005 в базовую политику должно быть включено следующее:

a)    определение информационной безопасности, ее общих целей, области применения и важности безопасности как механизма содействия обмену информацией;

b)    заявление о намерении руководства поддерживать цели и принципы информационной безопасности в соответствии с бизнес-стратегией и целями организации;

c)    подход для формирования задач управления информационной безопасностью и средств управления для решения этих задач, включая структуру оценки рисков и менеджмент рисков;

б) краткое разъяснение политик безопасности, принципов, стандартов и требований соответствия, имеющих определенную важность для организации, включая:

•    соответствие юридическим, нормативным и контрактным требованиям.

•    обучение защите, инструктаж, требования осведомленности.

•    управление непрерывностью бизнеса.

-    последствия нарушения политики обеспечения защиты информации;

определение общей и конкретной ответственностей за менеджмент информационной безопасности. включая отчетность об инцидентах нарушения информационной безопасности;

ссылки на документацию, которая может поддерживать политику безопасности, например, более подробные описания политики безопасности и процедур для конкретных информационных систем или правил безопасности, которым должны следовать пользователи.

После применения этих условий к защите службы удаленного технического обслуживания (ЗУО). необходимо обеспечить доступность системы, обеспечить целостность, читаемость и сохранение персональной информации пациента.

Необходимо, чтобы в базовой политике защиты службы удаленного технического обслуживания были указаны используемые в ней технические и систематические меры, а также меры по использованию человеческих ресурсов и физические меры безопасности.

Следующая информация предназначена для более крупного интегрированного медицинского учреждения (МУ), возможно, что ЦОУ обеспечивает службы удаленного технического обслуживания в двух или более подразделениях крупного медицинского учреждения. В таком случае необходима политика объединенного управления. Если масштаб медицинского учреждения и организация работы отличаются от крупного интегрированного медицинского учреждения, то важно реализовывать защиту в организации в соответствии с фактической ситуацией.

4.4    Оценка рисков

В оценке риска выполняется анализ информационных активов по отношению к следующим вопросам:

-    какие угрозы существуют:

-    насколько возможно возникновение каждой угрозы и как часто они могут возникать:

•    насколько сильно влияние угрозы при ее реализации.

Методы анализа можно разделить на следующие четыре общих подхода:

a)    Базовый подход.

Базовый подход анализа риска основан на стандартах и руководствах, используемых в целевых областях применения. Меры безопасности в данном подходе основываются на стандарте оценки риска, заранее созданном для этой отрасли.

Несмотря на то. что данный подход дает преимущество во времени и по затратам, так как отсутствует необходимость оценки самого риска, интерпретация рисков, описанных в стандартах, для рисков в конкретной организации может быть проблематичной.

b)    Детальный анализ рисков.

Выполнение детальной оценки риска включает анализ риска для элементов системы, а также необходимость выбора соответствующего плана менеджмента. Для такой оценки риска требуется значительный бюджет и время, включая обеспечение необходимых человеческих ресурсов.

c)    Смешанный подход.

Данный подход сочетает базовый подход с подетальным анализом рисков и обладает преимуществами обоих.

d)    Неформальный подход.

Данный подход применяет анализ риска, использующий знания и опыт персонала организации. Для третьей стороны сложно оценить результат анализа рисков, потому что данный метод не является структурированным.

СУО связана с медицинской организацией и центром удаленного технического обслуживания, следовательно, анализ рисков должен быть согласован с обеими сторонами. В настоящем стандарте смоделирован типичный вариант использования, а также выполнена оценка риска для этой модели. Анализ рисков выполнен по базовому подходу а) и смешанному подходу в) и далее используются результаты этой оценки риска, которые представлены в таблице А.1. Таблица А.1 позволяет выбрать соответствующую цель управления информационной безопасностью и план управления для ее достижения. которые представлены в ИСО/МЭК 27001. по результатам анализа риска, выполненного в соответствии с ИСО/ТО 11633-1. Таблица А.1 соответствует ИСО/МЭК 27001 и состоит из 11 областей управления информационной безопасностью и 133 планов управления для реализации целей информационной безопасности.

Меры, предписанные в настоящем стандарте, устанавливают процедуры, которые должны соблюдаться. как минимум при работе СУО. Медицинская организация, которая также является администратором персональной информации, должна оценить, соответствует ли центр удаленного технического обслуживания настоящему стандарту, и запросить принятие необходимых мер. если это не так. Более того, если уровень безопасности медицинской организации ниже уровня, указанного в настоящем стандарте. то необходимо выполнить соответствующие меры. Каждый поставщик СУО должен применять необходимые меры, чтобы соответствовать требованиям, описанным в настоящем стандарте.

4.5 Риски, которыми предстоит управлять

В данном подразделе рассматривается несколько примеров по предотвращению рисков, связанных с защитой персональной информации, которые наиболее типичны для СУО. Важно, чтобы меры против этих рисков были достаточными. Обсуждаемый риск приводится только в качестве примера. Важно также уметь управлять и другими типами рисков.

a)    Медицинская организация осуществляет управление обработкой персональной информации, выполняемой ЦОУ

В этом случае проблемой, требующей особого внимания, является утечка информации третьим лицам. Необходимо уделять внимание информации, отображаемой на экранах компьютеров на рабочих местах, и информации, распечатываемой на бумажном носителе, а также угрозе хакерского проникновения в систему. Основные риски следующие:

-    просмотр с экранов лицами, не работающими в центре удаленного технического обслуживания:

•    утечка в пользу третьих лиц;

•    утечка из журналов при анализе данных, с бумажного носителя или кэш-памяти и т. д.;

-    утечка в сети.

b)    Центр удаленного технического обслуживания получает доступ к оборудованию медицинской организации для технического обслуживания по решению административного органа.

В этом случае проблемами, требующими особого внимания, являются ошибка оператора и несоответствующий доступ к компьютеру (запуск не разрешенных операций). Главными рисками являются:

-    уничтожение данных в целевом приборе в связи с ошибкой оператора;

•    уничтожение данных в целевом приборе в связи с вредоносной и злоумышленной деятельностью;

•    утечка и уничтожение наиболее важной информации с помощью проникновения внутрь в процессе технического обслуживания прибора.

c)    Центр удаленного обслуживание обновляет программное обеспечение.

В этом случае, необходима особая осторожность, чтобы не установить на целевые приборы вредоносное программное обеспечение и компьютерные вирусы и т.п. Главными рисками являются:

•    утечка и уничтожение данных в целевом приборе из-за вредоносного программного обеспечения;

•    утечка и уничтожение важной информации при вторжении компьютерного вируса.

4.6    Идентификация рисков, которые не описаны в настоящем стандарте

В настоящем стандарте оценка риска производится в соответствии с типовой моделью, следовательно. остальные случаи не рассматриваются.

Если бизнес-модель отличается от модели, которая рассматривается в настоящем стандарте, то результаты оценки риска, полученные в соответствии с настоящим стандартом, могут быть неправомерно использованы. Есть также возможность, что не все случаи могут быть охвачены. Если охват всех случаев не возможен, то необходимо провести подробный анализ рисков, используя объединенный подход оценки риска, который не описан в настоящем стандарте.

Метод оценки риска при подробном анализе риска рассмотрен в ИСО/ТО 11633-1. Применяя методы ИСО/ТО 11633-1. результаты оценки риска, отличающейся бизнес-модели, могут легко быть интегрированы с результатами оценки риска, выполненного в соответствии с настоящим стандартом.

4.7    Обработка рисков

Обработка риска определяется как обеспечение приемлемого риска в соответствии с результатами оценки риска, варианты работы с рисками продемонстрированы в таблице 1. При необходимости эти варианты могут комбинироваться и применяться.

Обычно в процессе управления риском выбирается сочетание этих мер после общей оценки серьезности риска или простоты реализации таких мер. Особенно важно применять управление риском(ами), предусмотренное законами и регламентами по защите конфиденциальности информации. 8 этом случае, необходимо обязательно управлять риском надежно, потому что такие меры, как сохранение или передача рисков, не всегда являются отвечающими требованиям, или адаптировать избегание риска и, согласно закону, совсем не обрабатывать объект персональной информации в СУО.

В настоящем стандарте рекомендуется управлять риском на основе СМИБ. Конкретные меры детально даются в приложении А.

Таблица 1 — Обработка риска

Управление рисками

Передача рисков

Меры (план управления) адаптированы для надежного сокращения ущерба.

Предотвращение риска. Применяются меры для снижения угроз и уязвимостей.

Сведение к минимуму ущерба. Применяются меры для снижения ущерба при реализации возникшего риска.

Меры по передаче сторонним организациям по контракту и т. д.

Страхование. Использование страхования от ущерба и других типов страхования, передавая, таким образом. риск.

Аутсорсинг. Информационные активы и меры информационной безопасности доверяются третьей стороне.

Сохранение риска

Избыание риска

Подход, который воспринимает риск как принадлежащий организации.

Финансирование. Означает накопление резерва и т. д. Никаких мер не предпринимается.

Подход, когда подходящие меры не найдены. Прекращение деятельности. Деятельность останавливается.

Уничтожение информационных активов. Объект управления утерян.

5 Меры управления безопасностью для СУО

Возможность утечки персональной информации из СУО. например информации о больном, требует. чтобы центр удаленного технического обслуживания оказал помощь медицинской организации для обеспечения защиты СУО.

Чтобы принять соответствующие меры защиты для обеспечения безопасности СУО. медицинская организация и центр удаленного технического обслуживания (ЦОУ) должны выбрать средства управления безопасностью, основываясь на результатах оценки риска. Вне зависимости от того, контролируется ли ЦОУ медицинской организацией. ЦОУ должен убедиться в том. что СУО соответствуют требованиям безопасности.

В приложении А более детально показано, как перейти к целям и соответствующим средствам

управления для их реализации, обеспечивающим менеджмент безопасности, е случае работы СУО для

медицинской организации и центра удаленного технического обслуживания. Ожидается, что информация е таблице А.1 снизит время оценки риска при подготовке СУО.

Даже если СУО уже эксплуатируется, то рекомендуется проводить аудит, используя таблицу А.1. чтобы убедиться, что оценка риска была адекватной.

6    Принятие остаточных рисков

Остаточными рисками называют такие риски в медицинском учреждении, когда оно преднамеренно не принимает достаточных контрмер или когда у медицинского учреждения возникают трудности с идентификацией этих рисков, или риски, снижение которых потребуют больших затрат, если медицинское учреждение пожелает применить все контрмеры, определяемые оценкой риска. Когда риск остается, даже если медицинское учреждение выполняет управление рисками, сохранение или передачу риска, то руководству необходимо решить, принять или нет эти остаточные риски в результате выполнения управления рисками. Если руководство медицинского учреждения принимает эти остаточные риски, то это значит, что медицинское учреждение принимает СУО. созданную в соответствии с оценкой риска на основании СМИБ.

Медицинское учреждение принимает остаточные риски для всего контракта СУО. а ЦОУ реализует СУО. с учетом этих остаточных рисков. 8 соответствии с результатом анализа риска в СУО. продемонстрированным в приложении А. в частности в центре удаленного технического обслуживания, сохраняется возможность утечки персональной информации, включая медицинскую персональную информацию. Медицинское учреждение должно выявлять эти опасности, учитывать руководящие документы. выпущенные правительством, а также проводить аудит соответствующих мер безопасности, принятых в действующем СУО.

7    Аудит безопасности

7.1    Аудит безопасности для служб удаленного технического обслуживания

Целью аудита безопасности является подтверждение эффективности реализации менеджмента риска для обеспечения защиты и подтверждение выполнения надлежащего управления защитой на основе этой оценки риска. Аудит безопасности всесторонне оценивает соответствие стандарту менеджмента информационной безопасности, но также возможно выполнить аудит самой службы удаленного технического обслуживания. При аудите безопасности СУО аудитор проверяет и оценивает, если это возможно, поддерживается и выполняется ли управление защитой на основе оценки риска.

Более того, как для медицинского учреждения, так и для центра удаленного технического обслуживания аудит является эффективным способом, оценки стандартов безопасности, так как результат таких аудитов становится действующим оценочным материалом для улучшения надежности СУО.

7.2    Рекомендации по аудиту безопасности, проводимому сторонними организациями

При проведении медицинским учреждением аудита информационной безопасности, как внутреннего аудита, могут возникнуть следующие проблемы:

•    сложно понять из оценки риска, существуют ли риски утечки информации;

-    не будут удовлетворены требования объективности и независимости;

-    в связи с необходимостью профессиональных знаний, обучение команды аудиторов требует времени:

•    сложно составить отчет об аудите в связи с риском разглашения.

Как указано выше, аудит медицинского учреждения должен выполняться внешней организацией и аудитором с высоким уровнем технических знаний, чтобы объективно оценить службы удаленного технического обслуживания. Выполнение внешнего аудита на основе соответствующей процедуры аудита облегчает сертификацию информационной безопасности такой системы, как СМИБ. Наконец, медицинское учреждение может улучшить общественную репутацию. Рекомендуется также проводить внешний аудит для снижения любых расхождений информации о надежности в отчетах аудита безопасности медицинского учреждения и центра удаленного технического обслуживания.

Приложение А (справочное)

Пример оценки риска в службах удаленного технического обслуживания

В настоящем приложении приводится пример оценки риска СУО. Пример показан в таблице А. 1. Нумерация строке таблице А. 1 такая же. как у соответствующих разделов ИСО/МЭК 27001.

Комментарии к таблице А.1 представлены сразу после окончания данной таблицы.

g Таблица A1— Пример оценки риска СУО

Раздел И СОМ ЭК 27001 2005

Подраздел

ИСО/МЭК

27001:2009

цели

Средстве управления для реализации целей

2

участок

Актив

Пример угрозы {К — конфиденциальность, Ц — целостность;

Д — доступность}

Пример среде тъ управления

У

в

П

о

А.5 Политика информационной безопасности

А5.1

Налравлю-щая роль руководства 8 сфере информационной безопасности

Обеспечить направляющую роль менеджмента и поддержу информационной безопасности в соответствии с требованиями бизнеса и соответствующими законодательными и регламентирующими требованиями.

Должен быть разработан, одобрен руководством, опубликован и доведен до персонала и соответствующих внешних сторон комплекс политик информационной безопасности.

С тем, чтобы гарантировать постоянную пригодность, соответствие и результативность политик информационной безопасности, онидогокны пересматриваться через запланированные интервалы времени или коща произведены существенные изменения.

А.6

Органи

зация

системы

информа

ционной

безопас

ности

А .6.1 Внутренняя организация

Осуществлять менеджмент информационной безопасности в рамках организации

Руководство должно активно поддерживать безопасность а пределах организации посредством четкого руководства, продемон стрирован-ных обязательств, подробного распределения и признания ответственности за информационную безопасность.

ГОСТ Р 56838—2015

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

ж

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

Деятельность по информационной безопасности должна быть скоординирована представителями различных частей организацш с соответствующими ролями и рабочими функциями.

Вся ответственность за информационную безопасность должна быть четхо определена.

Должен бьльопре-делен и реализован процесс менеджмента лолучемтй разрешения для новых средств, обрабатывающих информацию.

Требования к кон-фиденциагъности иш соглашения о неразглашении, отражающие потребности организации в информационной безопасности, должны быть выявлены и должны регулярно анализироваться. Должны поддерживаться подходящие контакты скомпе-тентными органами.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Должны поддерживаться надлежащие контакты со еяеци-агъными группами или другими форумами слешагмстое по защите, а также профессиональными ассоциациями.

Подход организации к менеджменту информационной безопасности и ее реализации (т.е. цели управления, средства управления, политика, процессы и процедуры для информационной безопасности) должны независимо анатэироеэться через запланированные интервалы, или когда происходят значительные изменения в реализации защиты.

А.6.2

Внешние

стороны

Поддерживать е рабочем состоянии информационную безопасность организации и средства, обрабатывающие

Должны быть выявлены риски для информации организации и средств, обрабатывающих информацию, проистекающие из деловых процессов. вовлекающих внешние


ГОСТ Р 56838—2015


w


Раздел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

О

информацию, которые доступны внешним сторонам, обрабатываются внешними

стороны, а перед предоставлением доступа должны быть реализованы надлежащие средства управления.

сторонами, сообщены внешним сторонам или управляются внешним! сторонами.

Все выявленные требования защиты должны быть рассмотрены до того, кэс клиентам будет предоставлен доступ к информации или активам организации.

Соглашения с третьими сторонами, аслючающие доступ, обработку, сообщение или менеджмент информации организации или средств, обрабатывающих информацию, или добавление изделий

36

С1

m

Отказ (угроза Д) сетевою оборудования со стороны поставщика интернет-служб при-еодл к недоступности службы СУО.

Контракты на поставку сторожих услуг (обслуживание. проверка, резервное копирование) предотвращают недоел уж ость службы. указывая сферу ответственности со стороны поставщика интернет-служб.

3 >2

2

2

12>4

или услуг к средствам. обрабатывающим информацию, должны включать в себя все значимые требования защиты.

Поврежденное (угроза Д) сетевою оборудования оо стороны поставщика интернет-служб приводит к потере Д к СУО.

Контракты на поставку сторонних услуг (меры е случае аварии и планы по непрерывной работе) предотвращают недоступность службы, указывая сферу ответственности оо стороны поставщика интернет-служб.

3 >2

2

1

6 >4


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — *онфид«нциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

о

Уничтожение (угроза Д) сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.

Контракты на поставку сторонних услуг (ключевой менеджмент) предотвращают недоступность службы, указывая сфаруответ-ственности со стороны по стае щука интернет-служб.

3 > 2

2

1

6 >4

37

С1

п

Отказ (угроза Д) или разъединение кабеля гфиродоохр энного средства от сетевого оборудования со стороны поставщика инт ер нет-служб приводит к потере Д к СУО.

Контракты на поставку сторонних услуг (обслуживание. проверка, резервное к on упование) предотвращают недоелутыость службы. указывая сферу ответствежости со стороны поставщика интернет-служб.

3 >2

2

1

6 >4

Поврежденное (угроза Д)природоохранного оборудования для сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.

Контракты на поставку сторожих услуг (меры в случае аварии и планы по непрерывной работе) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.

3 >2

2

1

6 >4

Уничтожение (угроза Д)природоохранного средства для сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.

Контракты на поставку сторонних услуг (клоче-вой менеджмент) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.

3 >2

2

1

6 >4


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.7 Менеджмент активов

А.7.1 Ответственность за эсти вы

Достичь и поддерживать в рабочем состоянии под»-дящую защиту организацией-ных активов.

Все активы долины быть четко определены, и должен быть составлен и должен поддерживаться в рабочем состоянии реестр всех важных активов.

Вся информация и активы, связанные со средствами, обрабатывающими информацию, долины «наюдоться во владении» назначенной части организации. Должны быть определены, документированы и внедрены правила для приемлемого использования информации и активов, связанных со средствами, обрабатывав щими информагртю.

А.7.2

Клэссифи-кация информации

Гарантировать. что информация обеспечена соответствующим уровнем защиты.

Информация должна быть классифицирована стачки зрежя ее значения, законодательных требований. уязвимости и критичности для организации.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

В соответствии со схемой классификации, принятой организацией, должен быть разработан и реализован подходящий набор процедур маркировки и обработки информации.

А.8 Защита человеческих ресурсов

АВ.1 Перед наймом на работу А .8.2 Во время выполнения работы А8.3 Завершение или изменение работы по найму

Гарантировать, что служащие, подрядчики и пользователи третьей стороны понимают свою ответственность и подходят для должностей, на которые они рассматриваются. а также снизить риск кражи, мошенничества или неправильного использования средств. Гарантировать. что вое служащие, подрядчики и пользователи третьей стороны осознают угрозы

Рот и ответственность служащих, подрядчиков и пользователей третьей стороны в отношении безопасности долины быть определены и задокументированы в соответствии с политикой информационной безопасности организации.

Проверки верификации 8 фоновом режиме по всем кандидатам 8 служащие. в подрядной и в пользователи третьей стороны должны проводиться в соответствии с имеющими отношение к делу эзхонами. нормами и этикой, и должны быть про-пордоональны


ГОСТ Р 56838—2015



Раздел И СОМ ЭК 27001 2005

Педдездел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

информационной безопасности и хлопоты по защите информации, свою ответ-ственность и свои обязательства. и оснащены для того, чтобы поддерживать организационную политику безопасности во время своей обычной работы, а также для того, чтобы снизить рискошибки человека. Гарантировать, что служащие, подрядчики и пользователи третьей стороны ухздят из организации или меняют службу в установленном порядке.

делоаьм требованиям. классификации информации, которая будет доступной, и предполагаемым рискам.

Как часть договорного обязательства, служащие, подряд-чип» и пользователи третьей стороны должны согласиться и подписать сроки и условия договора личного найма, в котором долины быть указаны их ответственность за информационную безопасность и ответственность организации за информационную безопасность.

Должна быть четхо определена и назначена ответстван-ность за осуществление окончания или изменения работы по найму.

11

А1

а

Неавторизованное использование (угроза К) техническим персоналом центра удалежого технического обслуживания персональной медидонской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе рас-фытия информации.

Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, не зет ори зова иное использование техническим персоналом центра СУО может быть обнаружено е связи с ограничением противозаконной работы.

Проверки конфиденциальности И ГфОШЛОГО опыта (подтверждение квалификации) могут ограничить не авторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т. д.) в сочетании с внутренним аудитом.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

12

А1

а

Не авторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медифнсхой информации на локальном оборудовании центра удаленного технического обслуживания Приводит к угрозе раскрытия информации.

Внутренний аудит записей мажет обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, не авторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением противозаконной работы.

Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить не авторизованное использование техническим персоналам центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия.типы. даты, и т. д.) в сочетании с внутренним аудитом.

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015



Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

19

А1

h

Подсуп приводит к рас*рытию (угроза К) персональной меди-

Проверки конфиденци-

3 > 2

3

1

9 >6

26

В1

0

ал ьн ост и и прошлого опыта (подтверждение

26

В2

цинской информации.

квалификации) могут

WftftUUAlVl 11ААЛ»АЛИ

46

D1

эованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов.

51

Е1

а

Не авторизован нов ис-польэованне (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе раскрытия информации.

Внутреий аудит записей мажет обнаружить неааториэо-эажое ислольэоваже техническим персоналом центра СУО. Кроме тога, не автор и-эоеажое ислольэоеа-жетехжческим персоналом центра СУО может бьль обнаружено в связи с ограниче-нием противозаконной работы.

Проверки конфиденциальности и гфошлога опыта (подтверждение квалификации) могут ограничить неавтори-эоважое ислольэоваже техническим персоналом центра СУО предотвращением противозаконной деятельности операторов.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ю

о


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гяа управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроза {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

Ведение записей (лиц, запрашивающих действия, типы. даты, и т. д.) в сочетании с внутренним аудитом.

Замена основным обслуживающим персоналом персональной медидонсхой информации в оборудовании, подлежащем техническому обслуживанию, гфиводит к нарушению Ц информации.

Управление конфиденциальностью информации (контроль доступа) 8 сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным обслуживающим персоналом.

3

3

1

9

52

Е1

а

Векторизованное ис-польэованне (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания гфиводит к угрозе раскрытия информации.

Внутренний аудит записей может обнаружить неавторизо-важое ислольэоваже техническим персоналом центра СУО. Кроме того, не авторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением лроти-воэакожой работы. Проверки конфиденциальности И ГфОШЛОГО опыта (подтверждение квалификации) могут ограничить неавтори-зова иное

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

5

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов.

Ведение записей {лиц, запрашивающих действия, типы. даты, и т. д.) в сочетании с внутренним аудитом.

52

Е1

а

Замена основным обслуживающим персоналом персональной медищтнекой информации в оборудовании, подлежащем техническому обслуживанию, гриводит к нарушению Ц информации.

Управление конфиденциальностью информации (контроль доступа) 8 сочетании с контролем доступа. Контроль доступа (защита записи и затрет стирания файла) может предотвратить замену файлов тех. персоналом центра удаленного техническою обслуживания.

3 >2

3

1

9 >6

53

Е1

С

Удаление или замена на участхе лечащим ареной приводит к раскрытию нарушению К или угрозе Ц персональной медицинской информации.

Конфиденциальность может ограничить не авторизованное использование сдерживанием и предотвращением незаконных действий, однако сама по себе ее влияние незнаг-ытельно.

3

3

1

9


ГОСТ Р 56838—2015


ко

ко


Раза ел и сом Эк 27001 2005

Педраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

59

Е1

h

Подсуп приводит к раскрытию К персональной медицинской информации.

Проверки конфиденциальности и прошлого опыта могут ограничить неавторизованное испогъэование вследствие подкупа посредством ограничения и предотвращения противозаконных действий операторов.

3 > 2

3

1

9 >6

Руководство должно требовать от сотрудников. подрядчккое и третьих сторон применять правила обеспечения защиты в соответствии с установленными организацией политиками и процедурами.

Все служащие организации и. если это имеет отношение к делу, подрядчики и пользователи третьей стороны, должны полу-ыть подходящую подготовку по повышению осведомленности и регулярные обновления организационной политики и процедур, насколько это имеет отношение к их рабо-мм функциям.

19

А1

h

Неверный ввод (угроза Ц) и случайное удаление (угроза Д) ведут к перебою в Д к СУО.

Тренинги и выработка стандартных навыков могут предотвратить перебои в работе, вызванные неверным или случэйньм удалением, поддерживая и повышая квалификации операторов.

3 >2

3

2

18

>

12


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

28

В1

0

Неверная установка (угроза К) приводит к неожиданному раскрытию (угроза К) персональной медицинской информации.

Тренинги и выработка стандартных навьков могут предотвратить перебои в работе, вызванные неверным или случайным удалением. поддерживая и повышая квалификации операторов.

3 > 2

3

2

18

>

12

48

D1

53

Е1

h

Неверный ввод (угроза Ц) и случайное удаление (угроза Д) ведут к перебою в Д к СУО.

Тренинги и выработка стандартных навыков могут предотвратить перебои в рабств, вызванные неверным или слумайньш удалением, поддерживая и повышая квалификации операторов.

3 >2

3

2

18

>

12

А.8 Защита чело-эеческихх ресурсов

А .8.3 Завершение или изменение работы по найму

Гарантировать, что служащие, подрядчжи и пользователи третьей стороны у»дят из организации или меняют службу упоря-дсненно.

Все служащие, подрядит и пользователи третьей стороны должны вернуть все ахтиш организации. находящиеся в их владении, по окончании их работы по найму, договора или соглашения. Права доступа всех служащих, подрядчиков и пользователей третьей стороны к информации и средствам, обрабатывающим информацию. должны быть

51

Е1

а

Замша основным обслуживающим персоналом персональной медицинской информации в оборудована, подлежащем техническому обслуживанию, приводит к нарушению Ц информации.

Убавление конфиденциальностью ин-формадои (контроль доступа) 8 сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) мажет предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

удалены по окончании срока их работы по найму, договора иш соглашения, или же скорректированы при изменении.

Сотрудники, нарушившие правила конфиденциальности. подлежат формальному дисциплинарному процессу.

А.9 Фи-эинесхая безопасность и охрана окружающей среды

А.9.1 Зона безопасности

Предотвратить несанкционированный физический доступ, нанесение ущерба и вмешательство в недвижимость и информацию организации.

Для защиты зон. в которых находятся информация и средства. обрабатывающие информацию, должны использоваться периметры безопасности (барьеры. такие как стены, управляемый картакы турникет на входе или контролируемая челоаасом вахта).

51

Е1

а

Подглядывание (угроза К) экрана на участке третьими лтщами. персоналом медицинского

убеждения, сетевыми

администраторами медидонсхого учреждения или основным персоналом других компаний приводи к неавториэованному использованию (нарушению К)персональной медицинской информации а оборудовании. подлежащем техническому обслуживанию. и раскрытию информации.

Перегородки предотвращают незапланированные визиты случайныхлиц

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


м


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Зоны безопасности должны быть защищены подходящими средствами управления входом, с целью гарантировать, что только персоналу, имеющему разрешение, позволен доступ.

11

А1

а

1-1е санкционированным вход в систему (угроза К) третьих лиц, персонала медифт некого учреждения, сетевых администраторов медучреждения или основного технического персонала компании путем просматривания (угроза К) с экрана, словарной атакой на оборудование центра удаленного технического обслуживания и гм действием от имени авторизованного mftja при помощи незаконным образом полученного пароля, приводит к неавторизованному использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию информации.

Управление входом в помещение может ограничить вход в помещение третьих лиц. персонала центра удаленного термического обслуживания или сетевых администраторов центра удаленного технического обслуживания, предотвращая таким образом просмотр с экрана, несанкционированным вход и гм фальсификацию авторизованного лица.

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

13

А1

с

Ест лечащий врач оставляет соответствующий актив в связи с ремонтом или по причине невозможности его отсоединетмя. то он мажет быть просмотрен {угроза К) или страницы могут быть удалены третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического обслуживания. приводя к раскрытие персональной медицинской информации.

Утилизация шредером может предотвратить просмотр или удаление страниц третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического обслуживания.

Управление входом в помещение может ограничить вход третьими лицами.персоналу центра удаленного технического обслуживания или сетевым администраторам центра удаленного технического обслуживания и блокирует просмотр и удаление страниц.

3 > 2

3

1

9 >6

14

А1

d

Ест соответствующий ресурс оставлен в связи с ремонтом или по причине невозможности его отсоединения. удаление страниц третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического

Убавление ключамт защиты может гредот-вратить удалтие дисков третьими лицами, персоналом центра удаленного технического обслуживания или администратором центра удаленного технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы


Раздел И СОМ ЭК 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

5

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

у

в

П

О

обслуживания приводит к раскрытию (угроза К)персональной медицинской информации.

16

А1

f

Удаление оборудования центра удапежого технического обслуживания и дисков лицами. не являющимися персоналом центра удаленного технического обслуживания, приводит к раскрытию (угроза К) персональной медицжехой ин-формации .

Управление входом в помещение может предотвратить вход в помещение лиц. не являющихся персоналом центра удаленною технического обслуживания, а также пропажу оборудования и дисков.

3 >2

3

1

9 >6

17

А1

f

Уничтожение (угроза Д) оборудования центра удаленного техническою обслуживания приводит к потере Д к СУО.

Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования. предотвращая доступ к оборудованию неавториэован-ныхлиц.

3 >2

2

1

6 >4

18

А1

9

Уничтожение (угроза Д)природоохранной системы для оборудования центра удаленного техническою обслуживания приводит к потере Д к СУО.

Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением, предотвращая доступ к оборудованию неавтори-эованных лиц.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

ш

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

22

В1

i

Ест соответствующий актив оставлен для ремонта ит контроля, то просмотр или удаление (угроза К) страниц лицами.не являющимися сетевым администратором центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.

Утилизация шредером мажет предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания.

Управление входом в помещение может ограничить вход а помещение третьих лиц. персонала центра удаленного технического обслуживания или сетевых администраторов центра удалежого технического обслуживания. предотвращая, таким образом, просмотр ит удаление сгражц, предотвращая присутствие не авторизованных лиц.

3 > 2

3

1

9 >6

23

В1

к

Ест соответствующий актив оставит для ремонта ит контроля. то просмотр или удаление (угроза К) страниц лицами, не являющимися сетевым администратором центра удаленного технического обслуживания, гфивадит к раскрытию переемальной медицинской информации.

Убавление ключами защиты может предотвратить доступ и удаление доехав лицами, не являющимися сетевыми администраторами цттра удаленного технического обслуживания. предотвращая доступ к дискам неае-ториэованных лед.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ю


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроза {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

25

В1

m

Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медидансхой информации.

Управление ключами защиты может предотвратить удаление сетевою оборудования, почтовых серверов или да сков лицами, не являющимися сетевыми администраторами центра удаленною технического обслуживания. предотвращая доступ н еа его ри эо ванных лиц.

3 > 2

3

1

9 >6

26

В1

В2

m

Уничтожение (угроза Д) оборудования центра удаленного технического обслуживания гфиводит к потере Д к СУО.

Убавление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования. предотвращая доступ к оборудованию неавториэован-ныхлиц.

3 >2

2

1

6 >4

27

В1

В2

п

Уничтожение (угроза Д)природоохранного средства для сетевого оборудования центра удаленного техническою обслуживания приводит к потере Д к СУО.

Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования. предотвращая доступ к оборудованию неавториэован-ныхлиц.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

42

D1

i

Ест соответствующий актив оставлен для ремонта ит контроля, то просмотр или удаление страниц (угроза К) лицаьы. не являющимися сетевыми администраторами медидонского учреждения. приводи к раскрыт»») персональной медицинской информации.

Утилизация шредером мажет предотвратить просмотр или удаление страниц лицами, не являющимися сетевыми администраторами медицинского убеждения. Управление входом в помещение (аппаратной трассировки связи) мажет ограничить вход в помещение лиц. не являющихся сетевыкм администраторами медицинского учреждения, и предотвращает просмотр или удаление страниц, предотвращая присутствие не авторизованных лиц.

3 > 2

3

1

9 >6

43

D1

к

Ест соответствующий ресурсоставлен для ремонта ит контроля, то удаление (угроза К) страниц лицами, не являющимися сетевыми администраторами медицинского учреждения. приводит х раскрытию персональной медидонской информации.

Убавление ключам! защиты может предотвратить доступ и удаление доехав лицами, не являющимися сетевыми администраторами медицинского учреждения, предотвращая доступ к диску не ав тори эо ванных лиц.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы


Рези ел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

5

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

45

D1

m

Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами меди^нсхих учреждений, приводит к раскрытию персональной медицинской информации.

Управление входом в помещение может предотвратить вход в помещение лиц. не являющихся сетевыми администраторами медицинского убеждения. чтобы избежать давления сетевого оборудования медицинского учреждения, почтовых серверов или их дисков предотвращая присутствие не авторизованных лиц.

3 > 2

3

1

9 >6

Уничтожение (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.

Убавление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования. предотвращая доступ к оборудованию неавториэован-ныхлиц.

3 >2

2

1

6 >4

47

D1

п

Уничтожение (угроза Д) природоохранного средства для сетевого оборудования медицинского учреждения гфиводит к потере Д к СУО.

Убавление ключами защиты может бвдот-ерэтить недоступность службы, вызванную уничтожением оборудования. предотвращая доступ к оборудованию неавториэован-ныхлиц.

3 >2

2

1

6 >4


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

54

Е1

d

Ест лечащий врач оставляет акте для дальнейшей работы, удаление (угроза К) на участке третьими лицами, то персоналом медифнсхого учреждения, сетевыми администраторами медицинского учреждения, основного технического персонала других компаний, основного технического персонала или системного администратора меде* цинского учреждения Приводит к раскрытию персональной медицинской информации.

Управление ключами защиты может предотвратить доступ к информационным носителям третьим лицам,персоналу медицинского убеждения, сетевым администраторам медицинского учреждения, основному техническому персоналу других компаний, основному техническому персоналу или системному администратору медицинского учреждения, чтобы избежать удаление информации на носителях.

3 > 2

3

1

9 >6

56

Е1

f

Удаление (угроза К) оборудования, подлежащего техническому обслуживанию лицами. не являющимися системными администраторами медицинского учреждения, и его дисков приводит к раскрытию персональной медицинской информации.

Удаление (угроза К) оборудования, подлежащего техническому обслуживанию, лицами. не являющимися системными администраторами медицинского убеждения, и его дисков приводит к раскрытию К персональной медицинской информации.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

у

в

П

О

57

Е1

f

Уничтожение (утро* за Д) оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.

Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавтори эо ванных лиц.

3 > 2

2

1

6 >4

58

Е1

g

Уничтожение (угроза Д)природоохранного средства для оборудования. подлежащего техническому обслуживанию. привадит к потере Д к СУО.

Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением, предотвращая доступ к оборудованию не авторизованных шц.

3 >2

2

1

6 >4

Должна быть разработана и применена физическая защита против ущерба от огня, наводнения, землетрясения, взрыва, общественных беспорядков и других форм естественного или искусственного бедствия.

Должна быть разработана и применена физическая защита офисов, комнат и оборудования. Должна быть разработана и применена физическая защита

13

А1

с

Если соответствующий актив оставлен до ремонта иш по причине невозможности его отсоединения, то удаление (угроза К) страниц техническим персоналом центра

Управление ключами защиты несколькими лицами может ограничить технический персонал центра удаленного технического обслуживания от входа в помещения при

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

и руководящие принципы для работы в зонах безопасности.

удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.

отсутствии других членов, предотвращая удаление бумажных страниц.

14

А1

d

Если соответствующий акт те оставлен для ремонта или по причине невозможности его отсоединения, то удаление (угроза К) страниц техническим персоналом центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.

Управление ключами защиты несколькими лицами может ограничить технический персонал центра удаленного технического обслуживания от доступа к дискам при отсутствии других по гь зо ват ел ей.

3 >2

3

1

9 >6

16

А1

f

Удаление (угроза К) оборудование центра удаленного технического обслуживания и дисков техническим персоналом центра удаленного технического обслуживания гфиводит к раскрытию персональной медицинской информации.

Убавление клкгчамт защиты несколькими лицами может ограничить удаление оборудования центра удаленного технического обслуживания и дисков сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ авторизованных лиц при отсутствии других по гь зо ват ел ей.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

21

В1

i

Прослушивание (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к не авторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию ин формами.

Проверка вкутрешею маршрута со стороны центра удаленною техническою обслуживания. чтобы обнаружить следы прослушивания маршрута.

3 > 2

3

1

9 >6

Прослушивание (угроза К) в сети цттра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленною техническою обслужюания. приводит к не авторизованному использованию (угроза К) персональной медицинской информации. хранимой в сети центра удаленною техническою обслуживания, и к раскрытию ин формами.

Проверка внутреннего маршрута со стороны центра удаленного технического обслуживания несколькими лицакы. чтобы обнаружить следы прослушивания маршрута несколькими лицами.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

21

В1

i

Подглядывание (угроза К) через сетевое оборудование центра удаленного технического обслуживания сетевым администратором центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.

Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания в отсутствии других лиц и предотвратить раскрытие персональной медицинской информации посредством сетевого оборудования центра удаленного технического обслуживания. предотвращая

доступ авторизованных лиц к диску а отсутствии других лиц.

3 > 2

3

1

9 >6

22

В1

i

Если соответствующий актив оставлен для ремонта или контроля. удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к рас-фытию персональной медицинской информации.

Убавление входом 8 помещение (сотдель-ной коммуникационной траосой) несколькими лицами мажет предотвратить вход в помещение сетевого администратора центра удаленного технического обслуживания при отсутствии других лиц, и ограничить удаление бумажных страниц предотвращая вход в помещение авторизованных лиц в отсутствии других лиц

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

23

В1

к

Ест соответствующий актив оставлен для ремонта ит контроля, удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к раскрытию К персональной медицинской информации.

Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания при отсутствии других лиц, предотвращая доступ авторизованных лиц к диску баз присутствия других лиц

3 > 2

3

1

9 >6

25

В1

m

Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых се ре еров и их дисков сетевым администратором центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.

Управление ключами защиты несколькими лицам! может ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ авторизованного лица при отсутствии других по гь зо ват ел ей.

3 >2

3

1

9 >6

41

D1

Р

Прослушивание (угроза К) в сети медицинского учреждения из внутреннего истсмникэ лицом, не являющимся сетевым администратором медицинского учреждения, приводит к неавторизованному использованию (угроза К)

Проверка внутреннего маршрута со стороны медицинского учреждения обнаруживает следы прослушивания маршрута.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

персона гъной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию информации.

41

D1

р

Прослушивание (угроза К) в сети медицж-схого учреждения из внутреннего и стен ни ха сетевым администратором медицинского учреждения приводит к неавторизоважому использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского убеждения, и раскрытию (угроза К) информации.

Проверка внутреннею маршрута со стороны медицинского учреждения несколькими лицами обнаруживает следы проел уши важя на маршруте несколькими лицами.

3 >2

3

1

9 >6

Подглядьеание (угроза К) посредством сетевого оборудования медишнского учреждения сетевым администратором медоцин-схого убеждения приводит к не авторизованному использованию (угроза К) персональной медицинской информации. хранимой в сети медицинскою учреждения, и раскрытию информации.

Управление ключами защиты несколькими лицами мажет огранижть доступ к дискам сетевых администраторов медицинского учреждения в отсутствии других лиц и предотвратить раскрытие персональной меде ци некой информации посредством сетевою оборудовэчия меди-1Ынекою учреждения, предотвращая доступ авторизованных лиц к отеку без присутствия других лиц

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы

о


Раздел И СОМ ЭК 27001 2005

Педдаэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

5

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

42

D1

i

Ест соответствующий актив оставлен для ремонта или контроля, то Просмотр или удаление бумажных страниц (угроза К) сетевым администратором медицинскою учреждения приводит к раскрытию персональной медицинской информации.

Управление входом в помещение (с отдельной коммуникационной трассой) несколькими лицами может предотвратить вход в помещение сетевым администраторам медицинского учреждения при отсутствии других лиц и ограничить удаление бумажных странид предотвращая входе помещение авторизованных лиц при отсутствии других лиц.

3 > 2

3

1

9 >6

43

D1

к

Ест соответствующий актте оставлен для ремонта или контроля, то удаление (угроза К) бумажных страниц сетевым администратором медицинского учреждения приводит к раскрытию персональной медицинской информации.

Управление ключами защиты несколькими лицам! может ограничить доступ к дискам сетевым администраторам центра удаленною технического обслуживания при отсутствии других лиа предотвращая доступ авторизованных лиц к диску без присутствия других лиа

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроза {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

45

D1

m

Удаление (угроза К) сетевого оборудования, почтовых серверов и их дисков сетевым администратором медицинскою учреждения приводит к раскрытию персональной медицинской информации.

Управление ключами защиты несколькими лицами мажет ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам сетевыми администраторами медицинского учреждения, предотвращая доступ авторизованного лица при отсутствии других пользователей.

3 > 2

3

1

9 >6

54

Е1

d

Вынос (угроза К) или замена актива на участке лечащим врачом приводит к раскрытию или фальсификации персональной медицинской информации.

Управление ключами защиты несколькими лицами мажет ограничить взаимодействие врача с информационной средой на диске е отсутствии других членов организации (е одонемку). чтобы. предотвратить авторизованному лицу взаимодействовать с информационной средой при отсутствии других лиц

3 >2

3

1

9 >6

56

Е1

f

Удаление (угроза К) или изменение (угроза Ц) оборудования, подлежащего техническому обслуживанию системными администраторами медидон-ского учреждения, и ею дисков приводит к

Убавление ключакы защиты несколькими лицакы может ограни-чить удаление оборудования. подлежащего техническому обслуживанию. и ею дисков сетевыми администраторами медицинскою

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

раскрытию или фаль-сифмхагуи персональной медицинской информации.

убеждения, предотвращая доступ к дискам авторизованных лиц при отсутствии других лиц.

Места доступа, такие как зоны поставки и загрузки, а также другие места, где не имеющие разрешения лица могут войти в помещения, должны управляться и. если возможно, должны быть изолированы от средств, обрабатывающих информацию, с целые избежать неразрешенного доступа.

А.9 Физическая безопасность и охрана окружающей среды

А.9.2 Защита оборудования

Предотвратить гибель, ущерб, кражу или рао-сехремиванне активов и сбои в деятельности организации.

Оборудование должно быть размещено или защищено так. чтобы снизить риски от угроз и опасностей окружающей среды, а также количество возможностей неразрешенного доступа.

18

А1

f

Анализ (угроза К) утечки электромагнитных волн, исходящих от оборудования центра удаленного технического обслуживания, гфиводит к раскрытию персональной медицинской информации.

Обеспечивая наличие расстояния между местонахождением оборудования центра удаленного техническою обслуживания и дорогой, можно предотвратить раскрытие персональной медицинской информации. Федот вращая прием электромагнитных волн утечки.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде т»а управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

25

В1

m

(Несанкционированное вмешательство (угроза К) в сетевое оборудование центра удаленного технического обслуживания приводит к непредоидейному раскрытию персональной медицинской информации.

Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.

3 > 2

3

1

9 >6

Анализ (угроза К) утечки электромагнитных вот», исходящих от сетевою оборудования центра удалежого техническою обслуживания или кабелей, приводит к раскрытию персональной медицинской информации.

Обеспечивая наличие расстояния между местонахождением оборудования центра удаленною техническою обслуживания и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн уточни.

3 >2

3

1

9 >6

45

D1

m

Несанкционированное вмешательство (угроза К) в сетевое оборудование медицинского учреждения приводит к непредвиденному рэс-крьлию персональной медидонской информации.

Предусмотрено блокирование дай обнаружении следов несанкционированною емешатегъства.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тяа управления для реализации целей

5

и

О

и

щ

£

Актив

Пример угрош {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

45

D1

m

Анализ (угроза К) утечки электромагнитных волн от сетевого оборудования медицинского учреждения Приводит к раскрытию персональной медицинской информации.

Обеспечивая наличие расстояния между местонахождением сетевого оборудования медицинского убеждения и дорогой, можно предотвратить раскрытие персональной медицинской информации. предотвращая прием электромагнитных волн утечки.

3 > 2

3

1

9 >6

56

Е1

f

Несан кционпроездное вмешательство (угроза К) а оборудование. подлежащее техническому обслуживанию. приводит к непредвиденному рэс-крытию персональной медицинской информации.

Предусмотрено блокирование при обнаружен»» следов несанкционированного вмешательства.

3 >2

3

1

9 >6

Анализ уте-ки (угроза К) электромагнитах волн от оборудования. подлежащего техническому обслуживанию. приводит к рас-фытию персональной медицинской информации.

Обеспечивая наличие расстояния между местонахождением оборудования, подлежащего техническому обслуживанию, и дорогой. можно предотвратить раскрытие персональной меди-цздекой информации, предотвращая прием электромагнитных волн утемхи.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — *онфиденциальиосгь; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Оборудование должно быть запущено от нарушений энергоснабжения и других нарушений, вызванных сбоями во еспомогатегъном обо рудое ан»м.

Истоннж энергии и кабели связи, по которым передаются данные или вспомогательные информационные услуги, должны быть защищены от перехвата или повреждения.

Оборудование должно проходить соответствующее техническое обслуживание, чтобы гар&ггироеать его долгосрочную доступность и целостность.

Оборудование, информация или программное обеспечение не должны выноситься за пределы помещений организации без предварительного разрешения.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

Все единицы оборудования. содержащие носители информации, должны быть проверены, чтобы гарантировать. что любые уязвимые данные и лицензированное фограммное обеспечение было удалено или надежно перезаписано перед ликвидацией.

11

А1

а

Ест технический персонал центра удаленного техническою обслуживания забывает удалить персональную медицинскую информацию на участке, это приводит к непредвиденному раскрытию информации.

Автоматическое стирание во время выхода из системы устраняет необходимость напоминания техническому персоналу центра удаленною технического обслуживания об удалении персональной медицинской ты формации, таким образом, снижая риск ошибки, связанной с человеческим фактором.

3 > 2

3

1

9 >6

А.9 Физическая безопасность и охрана окружающей среды

А.9.2

Защита

оборудова

ния

Избежать потерь, ущерба, фажили рас-сехремивания ресуроое и обоев деятельности организации.

Оборудование, информация или программное обеспечение не должны выноситься за пределы помещений организации без предварительною разрешения.

Защита должна быть применена к оборудованию вне помещена, с учетом различных рисков работы за пределами помещений организации.

Необходимо применять политику чистого стола в отношении бумаг и накопителей информации, а также политику

53

Е1

с

Ест лечащий врач оставляет соответствующий актив для своей работы. то просмотр или удаление (угроза К) на участке третьими лтщами. персоналом медицинского убеждения, системными администраторами медоцинскою учреждения, основным техническим персоналом других ко млений, основным техническим персоналом или системными администраторами медацинскою учреждения приводит к раскрытию персональной медицинской информации.

Очистка диска может предотвратить просмотр или удаление бумажных страниц третьими лицами, персоналом медицинского учреждения, системными администраторами меди-цтыскою учреждения, основным техничесшм персоналом других компаний, основным техническим персоналом или системными администраторами медицинского учреждения. предотвращая оставление ресурса без присмотра.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример среде те управления

у

в

П

О

чистого экрана в отношении устройств обработки информации {А.11.3.3).

А. 10 Менеджмент средств связи и эксплуатации

А.10.1 Процедуры эксплуатации и ответ стеен-ность

Гарантировать правильную и безопасную работу средств, обрабатывающих информацию.

Процедуры эксплуатации должны быть документированы, поддерживаться в рабснем состоянии, и быть доступными для всех пользователей. которым они нужны.

Изменения в средствах и системах, обрабатывающих информацию, должны управляться.

15

А1

е

Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.

Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, выэванньм программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки или программы хищения информации.

3 >2

3

2

18

>

12

21

В1

В2

I

Несанкционированный вход (угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование центра удаленного технического обслуживания из внешнего

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления ущерба, вызванного неав тори эо ванным доступом.

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г*а управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

источника любым лицом приводит к не-авторизованному использованию (угроза К)персональной медицинской информации, хранимой веет центра удаленного технического обслуживания, и к раскрытию информации.

Контроль маршрута (без подкпочения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры администрирования сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации при входе в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети / принудительный путь (FW) / фильтрацию и защиту порта удаленной диагностики.

24

В1

I

Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.

Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванньм программными закладками или программами хищения информации, благодаря противовирусным мерам.

3 >2

3

2

18

>

12


ГОСТ Р 56838—2015


ы

ев


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г*а управления для реализации целей

5

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Противовирусные меры могут обнаружить и удалить про-граммные закладки или гфограммы хищения информации.

41

D1

р

Несанкционироеданьй вход {угроза К) гри помощи атаки с «перебором по словарю» е сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра удало* нога технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводи к неавторизованному использованию (угроза К) персональной медицинской информации. хранимой в сети центра удала* но го технического обслуживания, и к рас-фытию информации.

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления ущерба, вызванного не авторизованным доступом.

Общие меры администрирования сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (ин-формадои при входе в систему), оообежо на выходе центра удаленного технического обслуживания, разделение сети / принудительный путь (FW) / фильтрацию и защиту порта удаленной диагностики.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


«О


Раза ел и сом Эк 27001 2005

Псддаэдел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

44

D1

I

Установка програм-

Группа по расследоаа-

3 > 2

3

2

16

55

Е1

е

мных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.

тмю инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.

>

12

Обязанности и области ответственности должны быть разделены. с целью снизить количество возможностей неразрешенною или непреднамеренного изменения или неправильного использования активов организации.

Средства разработки. испытания и эксплуатации должны быть разделены для снижения риска не-авториэованного доступа или внесения изменений в операционную систему.

16

А1

f

Кесанкциантфоеаншй вход (угроза К) в оборудование центра удаленною техническою обслуживания приводит к непредвиденному раскрытию персональной медицинской информации.

Предусмотрено блокирование при обнаружении следов не сан кцион проездною емешатетъетва.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — *онфиденциальиосгь; Ц — целостность.

Д— доступность»

Пример среде те управления

У

в

П

о

А.10 Менеджмент средств связи и эксплуатации

А.102 Управление предоставлением услуг третьей стороной.

Реализовать и поддерживать подходящий уровень информационной безопасности и предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороной.

Должно быть гарантировано. что средства управления безопасностью, описания услуг и уровни гредостаеления, включежые в соглашение о предоставлении услуг третьей стороны, реализуются, эксплуатируются и поддерживаются третьей стороной.

Услуги, отчеты и записи. предоставляемые третьей стороной. должны постоянно контролироваться и анализироваться: регулярно должш проводиться аудиты.

Должен осуществляться менеджмент изменений в предоставлении услуг, включая поддержание а рабсмем состоянии и улучшение существующей политики, процедур и средств управления в области защиты информации, с учетом критичности во-влечажых деловых систем и процессов и переоценки рисков.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

А.10.3 Планирование и приемка систем

Минимизировать риск системных сбоев.

Использование ресурсов должно постоянно контролироваться, регулироваться, и должны делаться Прогнозы будущих требований производительности, чтобы гарантировать требуемые характеристики работы системы.

Должны быть созданы критерии приемки новых информационных систем, усовершенствований и новых версий, и догокны быть выполнены подходящие испытания системы(систем) в ходе разработки и перед гфиемкой.

А.10

Менедж

мент

А.10.4 Защита от злонаме-

Обеспечить

Должны быть ре а-

15

А1

е

Установка програм-

Группа по расследованию инцидентов (ГРИ) быстро устраняет

3 >2

3

2

18

Цв111Л* 1 HUV1 D

ПрОфЭММНОГО

IIHJUbtflW ЦЮДк 1 Bd

управления обнару-

24

61

I

миыл 4б)*Л<ЯДиЯ И1Н

программ хищения

12

средств связи и эксплуатации

ранного и мобильного кодирования

обеспечения и информации.

жен нем. предотвращением и восстановлением, имеющие целью защитить от злонамеренного кодирования, а также надлежащие процедуры (повышения] осведомлежости пользователей.

44

D1

информации (угроза Ц) приводит к раскрытию персональной медицинской информации.

ущерб, вызванным программными ээхладка-ми или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.

55

Е1

е


ГОСТ Р 56838—2015


Раздел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде т»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример среде те управления

у

в

П

О

Если использование мобильного кодирования разрешено, то конфигурация должна гарантировать, что разрешенное мобильное кодирование работает в соответствии с четко определенной политикой защиты, а выполнение неразрешенного мобильного кодирования должно быть предотвращено.

А. 10.5 Резервное копирование данных

Поддерживать целостность и доступность информации и средств обработки информации.

Резервные копии информации и программного обеспечения долины регулярно сниматься и проверяться 8 со-ответствии ссогла-со ванной политикой резервного копирования.

17

А1

1

Отказ (угроза Д) оборудования центра удаленного технического обслуживания гриео-дит к потере Д к СУО.

Техническое обслуживание. контрольные проверки и резервирование данных может предотвратить недоступность служб.

3 >2

2

2

12

>

8

18

А1

g

Отказ (угроза Д) оборудования центра удаленного технического обслуживания гриео-дит к потере Д к СУО.

Техническое обслуживание. контрольные проверки и резервирование данных может предотвратить недоступность служб.

26

В1

62

лт

Отказ (угроза Д) сетевого оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.

Техническое обслуживание. контрольные проеерш и резервирование данных может предотвратить недоступность служб.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

о

27

В1

В2

п

Отказ (угроза Д) или отсоединение кабеля (угроза Д) природоохранного средства от сетевого оборудования медицинского учреждения приводит к потере Д к СУО.

Техническое обслуживание. контрольные проверки и резервирование данных может предотвратить недоступность служб.

46

D1

m

Отказ (угроза Д) сетевого оборудования медицинского учреждения приводит к патере Д к СУО.

Техническое обслуживание. контрольные проверки и резервирование данных может предотвратить недоступность слухв.

47

D1

п

Отказ (угроза Д) или отооедонение кабеля Д природоохранного средства от сетевого оборудования медидонского учреждения приводит к потере Д к СУО.

Техническое обслуживание. контрольные проверки и резервирование данных может предотвратить недоступность служб.

57

Е1

1

Отказ (угроза Д) оборудования. подлежащего техническому обслуживанию. приводит к потере Д к СУО.

Техническое обслуживание. контрольные проеерш и резервирование данных может гфвдотератить недоступность служб.

56

Е1

9

Отказ (угроза Д) природоохранного оборудования. для оборудования. подлежащего техническому обслуживанию. приводит к потере Д к СУО.

Техническое обслуживание. контрольные проеерш и резервирование данных может гфвдотератить недоступность служб.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

А.10 Менеджмент средств связи и эксплуатации

А.106 Менеджмент безопасности сети

Обеспечить информационную безопасность в сетях и защиту поддерживающей инфраструктуры.

Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для тоге, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в рабочем состоянии защиту для систем и приложений, использующих сеть, включая информацию в пути.

Характеристики защиты . уровни услуги и требования менеджмента всех сетевых служб должны быть выявлены и включены в гюбое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне и гы берутся из внешних источников.

27

В2

i

l-le санкционированным вход {угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавтори-зоваиному использованию {угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.

Управление привилегиями (вход в систему в качестве польэовате ля/приви легированного пользователя) в сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) может предотвратить несанкционированный а»д лиц, не являющихся сетевыми администраторами центра удаленного технического обслуживания.

1

3

1

3

Взлом {угроза К) сетевого оборудования центра удаленного технического обслуживания при помощи незаконно полученного пароля из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, гфиводит кнеа втор изованн ом у использованию {угроза К)

Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде геа управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.

Прослушивание (угроза К) в сети цжтра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного техническою обслуживания, приводит к неавторизоважому использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного техническою обслуживания, и к раскрытию информации.

Проверка енутрежею маршрута на стороне центра удаленною технического обслуживания. чтобы обнаружить следы прослушивания маршрута.

Проел уши важе (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного техническою обслуживания. приводит к неавторизоважому

Проверка енутрежею маршрута на стороне центра удаленною техжческою обслу-живажя несколькими лицами, чтобы обнаружить следы прослушивания маршрута несколькими лицами.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

0

и

щ

1

е

S

ж

<

Пример угроз*

{К — «онфиденииальиостъ Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

использованию (угроза К) персональной медицинской ин-формации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.

Подглядывание (угроза К) через сетевое оборудование центра удаленного технического обслуживания сетевым администратором центра удаленного техническою обслуживания приводит к неаеторизоважому использованию (угроза К) персональной медицинской информации, хранимой а сети центра давленного техническою обслуживания, и к расфьлию информации.

Управление клкмамт защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленною техническою обслуживания в отсутствии других лиц и предотвратить рас-крытие персональной медицинской информации посредством сетевою оборудования центра удаленного техническою обслуживания. предотвращая, тем самым, доступ авторизованных лиц к диску без присутствия иных лиц.


ГОСТ Р 56838—2015


-4


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

ш

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.10 Менеджмент средств связи и эксплуатации

А.Юб Менеджмент безопасности сети

Обеспечить информационную безопасность в сетях и защиту поддерживающей инфраструктуры.

Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для тоге, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в рабочем состоянии защиту для систем и приложений, использующих сеть, включая информацию в пути.

Характеристики защиты . уровни услуги и требования менеджмента всех сетевых служб должны быть выявлены и включены в тюбое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне или берутся из внешних источников.

22

82

J

Ест соответствующий актив оставлен для ремонта ит контроля, то просмотр или удаление (угроза К) страниц лицами.не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной меди1*нсхой информации.

Утилизация шредером мажет предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания.

Управление входом в помещение (с отдельной коммуникационной трассой) может ограничить еж>д в помещение лиц. не являющихся сетевыми администраторши центра удаленного технического обслуживания. и предотвратить одосмотр или удаление страниц, предотвращая присутствие не авторизованных лиц

1

3

1

3

Ест соответствующий актив оставит для ремонта ит контроля, то удаление (угроза К) бумажных страниц сетевым администратором центра удалтного технического обслуживания приводит к рас-крытию персональной медидонсхой информации.

Убавление входом в помещение (сотдель-ной коммуникационной трассой) несколькими лицами может предотвратить вход в помещение сетевого администратора центра удаленного техж-ческого обслуживания три отсутствии других лиц, и ограничить удаление бумажных


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Педдаэдел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

страниц, предотвращая вход в помещение авторизованных лиц в отсутствии других лиц

23

В2

к

Если соответствующую актив оставлю для ремонта или контроля, удаление (угроза К) бумажных страниц лицами. не являющимися сетевыми администраторами центра удаленного технического обслуживания. приводит к раскрытию персональной медицинской информации.

Проверка внутреннею маршрута со сторош центра удаленною технического обслуживания. чтобы обнаружить следы прослушивания маршрута.

Если соответствующий актив оставлен для ремонта или контроля, то удаление (угроза К) бумажных страниц сетевым администратором центра удаленною техническою обслуживания приводит к раскрытию персональной медицинской информации.

Управление ключами защиты несколькими лицам! может ограничить доступ к дискам для сетевых администраторов центра удаленного техническою обслуживания при отсутствии других лиц. предотвращая доступ авторизованных лиц к диску без присутствия других лиц


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

24

В2

I

Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.

Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.

1

3

2

6

А.10 Менеджмент средств связи и эксплуатации

А.10.6 Менеджмент безопасности сети

Обеспечить информационную безопасность е сетях и защиту поддерживающей инфраструктуры.

Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для того, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в р эбене м состоянии защиту для систем и приложений, использующих сеть, включая информацию е пути.

25

В2

m

Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания. приводит к раскрытию (угроза К) персональной медицинской информации.

Управление клкнакы защиты может гредогт-ерэтить удаление сетевого оборудования, почтовых серверов или досхое центра удаленного технического обслуживания лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ не авторизованным лицам.

1

3

1

3

Характеристики защиты, уровни услуги. и требования менеджмента всех сетевых служб должны быть


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угроз*

{К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример срадсге управления

у

в

П

о

выявлены и включены в гобое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне или берутся из внешних источников.

Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых се ре еров и их дисков сетевым администратором центра удаленного технического обслуживания гфиаодит к раскрытию (угроза К) персональной медицинской информации.

Управление ключами защиты несколькими лицами может ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам для сетевых администраторов центра удаленного технического обслуживания, предотвращая доступ не авторизованным лицам при отсутствии других лиц.

Несанкционированное вмешательство (угроза К) в сетевое оборудование центра удаленного технического обслуживания приводит к нвпредеиденному раскрытию (угроза К) переем ал ьн ой медицинской информации.

Предусмотрено блокирование при обнаружении следов несанкционированного емешатегъстеа.

Анализ утерей электромагнитных волн (утро* за К), исходящих

Обеспечивая наличие расстояния между месторасположением


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

О

от сетевого оборудования центра удаленного технического обслуживания или кабелей, приводит к раскрытию (угроза К). персональной медицинской ин-формации.

сетевого оборудования центра удаленного техническогообслужы-вания и дорогой, можно предотвратить раскрытие персональной медицинской информации. предотвращая прием электромагнитных волн утечки.

28

В2

0

Неверная устаювха (угроза К) приводит к неожиданному расфы-тию (угроза К) персональной медицинской информации.

Тренинги и стандарты навыков могут предотвратить перебои в работе, вызванные неверным вводом или случайным удалением, поддерживая и повышая квалификации операторов.

А.10.7 Обработка носителей информации

Предел вращать неразрешенное разглашение, изменение.

Должны быть приняты процедуры менеджмента съемных носителей информации.

удаление или уничтожение активов, а также прерывание деловых операций.

Если носитель больше не требуется. то он должен быть ликвидирован надежно и безопасно, используя формальные процедуры.

13

А1

с

Ест лечащий врач оставляет соответствующий актив для ремонта иш по причине невозможности его отсоединения, то это может вызвать просмотр или удаление (угроза К) бумажных страниц третьими лицами. персоналом или сетевыми

Утилизация шредером может предотвратить гфосмотр или удаление страниц третьими лицами. персоналом или сетевыми администраторами центра удаленного технического обслуживания. Управление входом е помещение может ограничить вход

3>2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

администраторами центра удаленного технического обслуживания, приводя к раскрыттео (угроза К) персональной медицинской информации.

в помещение третьих лиц. персонала или сетевых администраторов центра удаленного технического обслуживания и блокировать просмотр или удаление бумажных страниц.

А.10 Менеджмент средств связи и эксплуатации

А.10.7 Обработка носителей информации

Предотвращать нераэ-решенное разглашение, изменение, удаление или уничтожение активов, а также прерывание деловых операций.

Если носитель больше не требуется, то он должен быть ликвидирован надежно и безопасно, используя формальные процедуры.

22

В1

j

Если соответствующий актив оставлен для ремонта или контроля. то просмотр или удаление (угроза К) бумажных страниц лицами. не являющимися сетевыми администраторами центра удаленного технического об-служтеания. приводит к раскрытию (угроза К) персональной медицинской информации.

Утилизация шредером мажет предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания.

Управление входом е помещение (с отдельной коммуникационной траосой) может ограничить вход а помещение лицам, не являющимся сетевыми администраторами центра удаленного технического обслуживания и предотвратить просмотр или удаление страниц, не допуская присутствие не-ааториэованных лиц.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

42

D1

i

Ест соответствующий актив оставлен для ремонта ит контроля, то просмотр или изъятие бумажных страниц {угроза К) лицами, не являющимися сетевыми администраторами медоцинсхого учреждения, приводит к раскрытию (угроза К) персональной медицинской информации.

Утилизация шредером мажет предотвратить просмотр или изъятие страниц лицами, не являющимися сетевыми администраторами медицинского убеждения.

Управление входом а помещение (с отдельной коммуникационной трассой) может ограничить ежзд а помещение лиц. не являющихся сетевыми администраторши медицинского убежде-ния и предотвращает просмотр или изъятие страниц, не допуская присутствие не авторизованных лиц.

3 > 2

3

1

9 >6

Должны быть созданы процедуры для обработай и хранения информации, с целью защитить эту информацию от неразрешенного разглашения или неправильного использования.

Системная документация должна быть защищена от неразрешенного доступа.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угроз*

{К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

А.10 Менеджмент средств связи и эксплуатации

А.109 Обмен информацией А.10.9 Службы электронной торговли

Поддерживать защитуинформации и программного обеспечения, обмениваемых в рамках организации и со сторожими компаниями. Гарант кфоеать защиту услуг электрожой торговли, а таюке их безопасное использование

Между организацией и внешними сторонами должны быть установлены соглашения для обмена информацией и программным обеспечением.

А.10 Менеджмент средств связи и эксплуатации

А.109 Обмен информацией А.10.9 Службы электронной торговли

Поддерживать защитуинформации и

ГфОфЭММНОГО обеспечения, обмениваемых в рамках организации и оо сторожими компаниями. Гарантировать защиту услуг электрожой торговли, а также их безопасное использование.

Носитель, содержащий информацию, должен быть защищен от нераэ-решежого доступа, неправильного использования или порчи 8 ходе транс-портироаки за физические границы организации.

Информация, ао-влеченная а сделки в режиме онлайн, должна быть защищена для того, чтобы предотвратить неполную передачу, неправильную маршрутизацию.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

неразрешенное изменение сообщения. неразрешенное разглашение, неразрешенное дублирование или повторное воспроизведение сообщения. Информация, вовлеченная в электронную торговлю, протекающая через общедоступные сети, должна быть защищена от мошеннической деятельности, спорое по договору и неразрешенного разглашения и изменения.

Должны быть приняты официальная политика обмена, процедуры обмена и средства управления обменом, чтобы защитить обмен информации через использование всех типов средств связи.

Информация. BKfw-чежая в электронный обмен сообщениями. долмма быть защищена надлежащим образом.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Псдраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

Целостность информации. сделанной доступной в общедоступной системе, должна быть защищена для того, чтобы предотвратить неразрешенное изменение.

Должны быть разработаны и внедрены политика и процедуры. с целью защитить жформадою, связанную с взаимозависимостью систем деловой информации.

А. 10 Менеджмент средств связи и эксплуатации

А.10.10 Поста ян-ный контроль

Обнаруживать неавторизованную деятельность по обработке информации.

Контрольные журналы. записывающие деятельность пользователей, ис-к по нения и события в системе защиты информации, догек-ны генерироваться и храниться в течение согласованного периода, с целью помов в будущих расследованиях и в постоянном контроле над управлением доступом.

Средства ведения журнала и информация журнала должны

11

А1

а

Не авторизован нов использование (угроза К) техническим персоналом центра удалежого технического обслуживания персональной медидонской информации и оборудования центра удалежого технического обслуживания на участке приводит к угрозе раскрытия информации.

Внутрежий аудит записей может обнаружить неавторизо-важое использование персональной меди-цжской информации техническим персоналом центра удалежого технического обслуживания. Кроме того, мажет быть также обнаружено не автор изо-важое ислольэоваже персональной меди-цжской информации техническим персоналом центра удалежого технического обслуживания. так как

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


О)

-4

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

быть защищены от подделки и неразрешенного доступа. Деятельность системною администратора и системною оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анашзироваться, и должно предприниматься соответствующее действие.

внутренний аудит запрещает осуществление противозаконной работы.

Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ОфЭНИЧИТЬ не as тори эо ванное использование техническим персоналом центра СУО посредством

предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты и т. д.) в сочетании с внутренним аудитом.

А.10 Менеджмент средств связи и эксплуатации

А.10.10 Поста fw-ный контроль

Обнаруживать неавто-ризоеажую деятельность по обработке информации.

Контрольные журналы. записывающие деятельность пользователей, исключения и события е системе защиты информации, догме-ны генерироваться и храниться в течение согласованного периода, с целью помемь е будущих-расследованиях и в постоянном контроле над управлением доступом.

12

А1

а

Не авторы эо ван нов использование (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания ею техническим персоналом изнутри приводит к угрозе раскрытая информации.

Внутренний аудит записей мажет обнаружить нвавторизо-важое использование техническим персоналом центра удаленного технического обслуживания. Кроме того, не за тори зова иное использование техническим персоналом центра удаленного технического обслу-жиеажя мажет быть также обнаружено, так как внутренний аудит запрещает


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — (онфиденциальмосгъ: Ц — целостность.

Д— доступность»

Пример среде те управления

У

в

П

О

Средства ведения журнала и информация журнала должны быть защищены от подделки и неразрешенного доступа. Деятельность системного администратора и системного оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анагмэироеаться, и должно предприниматься соответствующее действие.

осуществление противозаконной работы. Проверки конфиденциальности и натопленного опыта (подтверждение квалификации) могут ограничить не авторизованное ис-погъэованне техническим персоналом центра СУО посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты и т. д.) в сочетании с внутренним аудитом.

А.10 Менеджмент средств связи и эксплуатации

А.10.10 Поста гы-ный контроль

Обнаруживать неавто-риэоважую деятельность по обработке информации.

Контрольные журналы. записывающие деятельность пользователей, исключения и события е системе защиты информации, догме-ны генерироваться и храниться в течение согласованного периода, с целью помснь в будущих расследованиях и в постоянном контроле над управлением доступом.

Средства ведения журнала и информация журнала должны

51

Е1

а

Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию основным персоналом на участхе. приводит к некорректности информации.

Управление привилегиями (контроль доступа) е сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) мажет предотвратить замену файлов основным техническим персоналом.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


О)


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

быть защищены от подделки и неразрешенного доступа. Деятельность системною администратора и системною оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анашзироеаться, и должно предприниматься соответствующее действие.

52

Е1

а

Замена {угроза Ц) персональной медицинской информации а оборудовании, подлежащем техническому обслуживанию, тех-ньтяеским персоналом центра удаленного техническою обслуживания извне приводи к некорректности информации.

Управление при ей лети ями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным техническим персоналом.

3 > 2

3

1

9 >6

Не авторизованное использование (угроза К) иш замена (угроза Ц) терапевтами персональной медицинской информации из внутреннего источника в оборудование, подлежащее обслуживанию системными администраторами медицинского учреждения или основным персоналом, приводит к раскрытию (угрозе К) или некор-рестности (угроза Ц) информации.

Внутренний аудит записей может обнаружить неавторизованное использование персональной меди-цжской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом. Кроме того, мажет быть также обнаружено не автор изо-ванное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом. так как внутренний аудит запрещает осуществление противозаконной работы.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут офаничить не as тори XI ванное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом посредством пред отвращены я противозаконной деятельности операторов.

Ведение записей (лиц, запрашивающих действия, типы. даты, и т. д.) в сочетании с внутренним аудитом.

А.10 Менеджмент средств связи и эксплуатации

А.10.10 Поста fw-ный контроль

Обнаруживать неавто-ризоеажую деятельность по обработке информации.

Должны быть созданы процедуры для постоянного контроля над использованием средств, обрабатывающих информацию. а результаты деятельности по постоянному контролю должны регулярно анагнзироеаться.

11

А1

а

Не авторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации е оборудовании центра удаленного технического обслуживания участка приводит к угрозе раскрытия информации.

Внутренний аудит записей может обнаружить неавторизо-важое ислольэоваже персональной медицинской информации техническим персоналом центра СУО. Кроме того, может быть обнаружено неавтари-эоважое использование техническим персоналом центра СУО. так как внутренний аудит запрещает осуществление противозаконной работы.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде геа управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

Проверки конфи-дентотальности и накопленного опьпа (подтверждение квали-фикации) могут ограничить неавторизованное использование техническим персоналом СУО предотвращением противозаконной практики операторов. Ведение записей (лиц, запрашивающих действия.типы. даты, и т. д.) в сочетании с внутренним аудитом.

12

А1

а

Не авторы эо ванное использование (угроза К) персональной медицин схой информации в оборудовании СУО техническим персоналом СУО из внутреннего источника прыводот к раскрытию информации.

Внутренний аудит записей может обнаружить неавторизованное использование персональной меди-цжехой информации техническим персоналом центра СУО. Кроме того, может быть обнаружено не авторизованное использование техническим персоналом центра СУО. так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — *онф«д«нциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

квалификации) могут ограничить не авто-ризо ванное использование техническим персоналом СУО предотвращением противозаконной прас тики операторов.

Ведение записей (лиц запрашивающих действия, типы, даты, и т. д.) в сочетании с внутренним аудитом.

А.10 Менеджмент средств связи и эксплуатации

А.10.10 Постойный контроль

Обнаруживать неаето-риэоважую деятельность по обработке информации.

Должны быть созданы процедуры для постоянного контроля над использованием средств, обрабатывающих информацию. а результаты деятельности по постоянному контролю должны регулярно анагыэироезться.

51

Е1

а

Замена (угроза Ц) персональной медицинской информации а оборудовании, подлежащем техническому обслуживанию основным техническим персоналом на участке, приводит к некорректности информации.

Внутренний аудит записей может обнаружить неавторизо-важое использование персональной меди-цжской информации врачами, системными адмижстр вторами медицинского учреждения или основным техническим персоналом. Кроме того, неэаториэоважое использование персональной медоцжехой ж формации врачами, системными адмжи-стратарами медицинского убеждения или основным техническим персоналом может быть также обнаружено, так как внутренний аудит запрещает

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроза {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить не авторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом посредством пред отар аще-ния противозаконной деятельности операторов.

Ведение записей {лиц, запрашивающих действия, типы. даты, и т. д.) в сочетании с внутренним аудитом.

52

Е1

а

Замена (угроза Ц) персональной медицинской информации а оборудовании, подлежащей техническому обслуживанию, техническим персоналом цштра удалежого технического обслуживания. действующим извне, приводит к некорректности информации.

Управление привилегиями (контроль доступа) е семе та ни и с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) мажет предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — *онфиденциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.10 Менеджмент средств связи и эксплуатации

А.10.10 Постоянный контроль

Обнаруживать неаато-ризованную деятегъность по обработке информации.

Должны быть созданы процедуры для постоянною контроля над использованием средств, обрабатывающих информацию. а результаты деятельности по постоянному контролю должны регулярно анатзироеаться.

52

Е1

а

Не авторизован нов использование (угроза К) иш замена (уфвза Ц) терапевтами персональной медицинской информации из внутреннего источника в оборудовании, подлежащем обслуживанию, системными администраторами медиан-с*ого убеждения или основным персоналом, приводит к раскрытию (угроза К) или некорректности (угроза Ц) информации.

Внутренний аудит записей может обнаружить не авторизованное использование персональной меди i*i некой информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом. Кроме того, макет быть также обнаружено не авторизованное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом. так как внутренний зуди запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить не авторизованное ис-погъзоаание врачами, системными администраторами медицинского убеждения или основным твхкмческим персоналом посредством предотвращения противозаконной дея-тегъности операторов.

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

О

Ведение записей (лиц, запрашивающих действия, типы. даты, и т. д.) в сочетании с внутренним аудитом.

Часы всех имеющих отношение к делу систем обработки информации в пределах организации или зоны безопасности должны быть синхронизированы с согласованным ИСТОН ником тонного времени.

А.11

Управление доступом

А.11.1 Деловые требования к управлению доступом

Управлять доступом к информации.

На основе деловых требований и требований защиты к доступу догокна быть создана, задокументирована и проанализирована политика управления доступом.

А.11.2 Менеджмент доступа пользователей

Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.

Должна быть установлена формальная процедура регистрации и снятия с регистрации пользователей. с целью предоставлять и аннулировать доступ ко воем информационным системам и услугам.

12

А1

а

Несанкционированный вход (угроза К) третьими сторонамт. персоналом и системными администраторами центра удаленного технического обслуживания при помощи атаки с клер «бором по словарю» в оборудование центра удаленного

(Не требуется никаких мер)

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


-j

да


Раздел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроза {К — хонфидвнциальиость; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

технического обслуживания приводит к неаеториэоважому использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию (угроза К) информации.

21

В1

i

he санкционированный вход (угроза К) гфи помощи шахи с «перебором по словарю» в сетевое оборудование центра удалежого технического обслуживания из внешнего источника любого лица приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного не авторизованным доступом.

Убавление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему).

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


•д


Рези ел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

5

Ж

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

особенно на выходе центра удаленного технического обслуживания. разделение сети / принудительный путь (FW) /фильтрацию и защиту порта удаленной диагностики.

Несанкционированный вход (угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование иентра удаленного технического обслуживания из внутрежего источника лидом, не являющимся сетевым администратором центра удаленного технического обслуживания. приводит к неавториэое энному использованию (угроза К) персональной медицинской информации. хранимой в сети центра удаленного технического обслуживания. и к раскрытию (угроза К) информации.

Управление привилегиями (вход е систему е качестве пользователя /привилегированного пользователя) в сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход лиц. не являющихся сетевыми администраторами центра удаленного технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.11

А.11.2 Me-

Гарантировать

Должна быть уста-

21

В2

i

l-te санкционированным

Создается группа по

3 > 2

3

1

9 >6

Управление доступом

неджмент

доступа

пользова

телей

доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.

нселена формальная процедура регистрации и снятия с регистрации пользователей с целью предоставлять и аннулировать доступ ко всем информационным системам и услугам.

вход {угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любого лица Приводит к нвавтори-зоваиному использованию {угроза К) персональной медицинской информации, хранимой а сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного не авторизованным доступом.

Управление маршрутом (без подключения к оборудованию центра удаленного теныического обслуживания) предотвращает удаленное подкпоче-ние к оборудованию центра удаленного тежичесхого обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа {информации для входа в систему), особенно на выходе центра удаленного технического обслуживания. разделение сети / принудительный путь {FW) / фильтрацию и защиту порта удаленной диагностики.


ГОСТ Р 56838—2015


•ч

<0


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде т»а управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

41

D1

Р

Несанкционированным вход (угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование медицинского учреждения из внешнего источшка лиц, не в»-дящих в состав персонала центра удаленного технического обслуживания. включая персонал центров удаленного технического обслуживания других компаний.приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного не авторизованным доступом.

Общие меры по администрированию сети для сетевого оборудования центра уда-пежого технического обслуживания включают а себя контроль доступа (информации для входа а систему), особенно на выходе центра удаленного технического обслуживания, разделение сети / принудительный путь (FW) /фильтрацию и защиту порта удаленной диагностики.

3 > 2

3

1

9 >6

Несаикционироежньм вход (угроза К) три помощи атаки с «перебором по словарю» в сетевое оборудование медицинского учреждения из внутреннего источника лиц. не являющихся сетевыми администраторами медидонского учреждения, приводит

Убавление привилегиями (вход в систему е качестве пользователя /привилегированного пользователя) а сочетании с контролем доступа.

Контроль доступа (информации для входа 8 систему) может предотвратить иесанк-ционироважый вход

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Пцдраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

к неавторизованному использованию (угроза К) персональной медицинской информации. хранимой а сети медоцинского учреждения, и раскрытию (угроза К) информации.

лиц, не являющихся сетевыми администраторами медицинского учреждения.

А.11

Управление доступом

А.11.2 Менеджмент доступа пользователей

Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.

Должна быть установлена формальная процедура регистрации и снятия с регистрации пользователей с целью предоставлять и аннулировать доступ ко всем информационным системам и услугам.

51

Е1

а

Не санкционированный вход (угроза К) гфи помощи атаки с «перебором по словарю» е оборудование, подлежащее техническому обслуживанию, третьих лиц. персонала медишнского учреждения. сетевых администраторов медицинского убеждения или основного технического персонала других компаний, любого лица из внешнего источника приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

Управление привилегиями (вход е систему е качестве пользователя /привилегированного пользователя) е сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) мажет предотвратить незаконный вход третьих лиц. персонала и сетевого администратора меди-цжского учреждения или основного технического персонала других компаний, блокируя работу неавто-риэоважого лица.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


со


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример среде те управления

У

в

п

О

Замена {угроза Ц) персональной медицинской информации а оборудовании, подлежащем техническому обслуживанию основным техническим персоналом, приводит к некорректности (угроза Ц) информации.

Управление привилегиями (контроль доступа) а сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) мажет предотвратить замену файлов основным техническим персоналом.

3 > 2

3

1

9 >6

52

Е1

а

Кесанадионироеаи-ньм вход (угроза К) из внешнего источника при помощи атаки с «перебором по словарю» в обор упование, подлежащее техническому обслуживанию, технического персонала центра удаленного техническою обслуживания других кампаний приводи к неавториэоеанному использованию (угроза К) персональной медицинской информации. хранимой на оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.

Управление привилегиями (вход е систему в качестве польэовате ля/приэи легированного пользователя) 8 сочетании с контролем доступа.

Контроль доступа (информации для входа а систему) может предотвратить несанкционированным вход технического персонала центра удаленного технического обслуживания других компаний.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


о»

N


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

5

Ж

О

и

щ

£

О

S

ж

<

Пример угроз*

{К — *онфиденциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

Замена {угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания, действующим извне, приводит к некорректности {угроза Ц) информации.

Управление привилегиями (контроль доступа) а сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) мажет предотвратить замену файлов тех-ничесхим персоналом центра удаленного технического обслуживания.

3 > 2

3

1

9 >6

Несанщионироеан-ньм вход (угроза К) из внутреннего источника при помощи атаки с «перебором по словарю» а оборудование. подлежащее техническому обслуживанию. третьих сторон,персонала и сетевых администраторов медицинского учреждения приводит к неавторизованному использованию (угроза К) персональной медицинской информации. хранимой в оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.

Управление привилегиями (вход в систему е качестве пользователя / привилегированного пользователя) 8 сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц. персонала и сетевого администратора меди-цжского учреждения.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ы


Резаел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.11

Управление доступом

А.11.2 Мене дхмент доступа пользователей

Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.

Назначение и использование привилегий должно быть офвничено и долж-но управляться.

12

А1

а

Несанкционированным вход(уфоза К) третьих сторон, персонала и сетевых администраторов центра удаленного технического обслуживания при помощи атаки с «перебором по словарю» в оборудование центра удаленного технического обслуживания приводит к не-а вто ри эо ванн ому использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию (угроза К) информации.

Управление привилегиями (вход в систему е качестве пользователя / привилегированного пользователя) е сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) может предотвратить несанкционированный а»д третьих сторон, персонала или сетевых администраторов центра удаленного технического обслуживания.

3 > 2

3

1

9 >6

21

В1

Несанкционированный вход (уфоэа К) гфи помощи атаки с «перебором по словарю» из внутреннего источника лица, не являющегося сетевым администратором центра удаленного технического обслуживания. приводит к нваеторизоважому использованию (угроза К) персональной медицинской информации, хранящейся в сети

Управление привилегиями (вход в систему в качестве пользователя / привилегированного пользователя) в сочетании с контролем доступа.

Контроль доступа (информации для входа а систему) момсет предотвратить несанкционированный вход третьихсторон. персонала или сетевых администраторов


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — «онфидвнциальиоегь; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

центра удаленного технического обслуживания.

41

D1

р

Несанкционироездньал вход (угроза К) гри помощи атаки с «перебором по словарю» из внутреннего источника лица, не являющегося сетевым администратором центра удаленного технического обслуживания. приводит к неавториэованному использованию (угроза К) персональной медицинской информации, хранящейся в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

Разработка утравпения маршрутом, чтобы принудительно установить путь и определить подключаемое оборудование.

3 >2

3

1

9 >6

51

Е1

а

Несанкционированный вход (угроза К) гри помощи атаки с «перебором по словарю» в оборудование, подлежащее техническому обслуживанию, третьих лиц персонала медицинского учреждения. сетевых администраторов медицинского учреждения или основного технического персонала

Управление при8илегиями(вход е систему е качестве погъэователя / привилегированного пользователя) е сочетании с контролем доступа. Контроль доступа (информации для входа е систему) мажет предотвратить незаконный вход третьих лиц. персонала и сетевых администраторов

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

других компаний, люб-го лица из внешнего источника приводит к неавториэоважому использованию (угроза К) персональной медицинской информации, хранящейся в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

медицинского убеждения или основного технического персонала других компаний, блокируя работу не авторизованного лица.

А.11

Управление доступом

А.11.2 Менеджмент доступа пользователей

Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.

Назначение и использование привилегий должно быть ограничено, и должно управляться.

51

Е1

а

Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, основным техническим персоналом на участке приводит к некорректности (угроза Ц) информации.

Убавление привилегиями (контроль доступа) е ссгче та ни и с контролем доступа. Контроль доступа (защита записи и заедет стирания файла) мажет предотвратить замену файлов основным техническим персоналом.

3 >2

3

1

9 >6

52

Е1

а

Замена (угроза Ц) персональной медицинской информации е оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания. выполненная извне. приводит к некор-растности (угроза Ц) информации.

Уедавление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и заедет стирания файла) может предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Педраэдел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

Несанкционироеэнным вход {угроза К) из внутреннего источника При помощи атаки с «перебором по словарю» оборудования, подлежащею техническому обслуживанию, третьими сторонами, персоналом или сетевым! администраторами медицинского учреждения приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранящейся еоборудовании, подлежащем техническому обслуживанию. и к раскрытию (угроза К) информации.

Управление привилегиями (вход в систему в качестве пользователя^привилегированного пользователя) в сочетании с контролем доступа.

Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц. персонала и сетевых администраторов медицинского убеждения.

3 > 2

3

1

9 >6

Назначение паролей должно управляться через формальный процесс менеджмента.

Руководство должно аналиэироеагть права доступа пользователей через регулярные интервалы, используя формальный процесс.


ГОСТ Р 56838—2015



Раза ел и сом Эк 27001 2005

Педраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

А.11

Управление доступом

А.11.3 Ответственности пользователя

Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.

От пользователей надо потребовать следовать хорошим методам защиты при выборе и использовании паролей.

12

А1

а

Третьи лица, персонал или системные администраторы центра удаленного технического обслуживания При помощи незаконно полученного пароля из оборудования центра удаленного технического обслуживания, действующие от имени авторизованного пользователя, могут осуществить несанкционированное использование (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытие (угроза К) информации.

Периодическое изменение пароля предотвращает взлом оборудования центра удаленного технического обслуживания.

3 > 2

3

1

9 >6

21

В1

Взлом (уфоэа К) сетевого оборудования центра удаленного технического обслуживания. используя незаконно полученньн пароль, любым лицом из внешнего источника. приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети

Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удалежого технического обслуживания.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде гва управления для реализации целей

$

Ж

0

и

щ

1

О

S

ж

<

Пример угроза {К — *онфид«нциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

Взлом (угроза К) сетевого оборудования центра удаленного технического обслуживания. используя незаконно лолучениьм пароль из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неса ж зонированному использованию (угроза К) персональной медицинской информации, хранимой е сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.

В2

Взлом (угроза ^сетевого оборудования цан-тра удаленного технического обслуживания при помощи, используя незаконно полученным пароль, из внешнего исгсмнюса гео бы м лицом приводит к несанкционированному

Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.


ГОСТ Р 56838—2015


аэ


Резаел И СОМ ЭК 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

использованию (угроза К)персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания. и к раскрытию (угроза К) информации.

41

D1

Р

Взлом (угроза К) сетевого оборудования медидонского учреждения. используя не-засонно полученный пароль, из внешнего источника лицами, не входящими в состав персонала центра удаленного технического обслуживания, включая персонал центра удалежого технического обслуживания других компаний, привадит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского убеждения, и раскрытию (угроза К) информации.

Периодическое изменение пароля предотвращает взлом сетевого оборудования медицинского учреждения.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Педраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — хонфиденциальносгъ: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

А.11

Управление доступом

А.11.3 Ответственности пользователя

Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.

От пользователей надо потребовать следовать хорошим методам защиты при выборе и использовании паролей.

41

D1

р

Взлом (уфоза К) сетевого оборудования медианою го учреждения. используя незаконно полученный пароль, из внутреннего источника лицами, не являющимися сетевыми администраторами медицинского учреждения, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети меде* цинского учреждения, и раскрытию (угроза К) информации.

Периодическое изменение пароля предотвращает взлом сетевого оборудования медицинского учреедежя.

3 > 2

3

1

9 >6

51

Е1

а

Взлом (угроза К) при помощи незаконно полученного пароля из оборудования, подлежащего обслуживанию на участхе третьими лицами, персоналом меди(»1нского учреждения. сетевыми администраторами медицинского учреждения или основным техническим персоналом других компаний, привадит к несанк-ционироважому использованию (угроза К) персональной медицинской информации

Периодическое изменение пароля предотвращает взлом оборудования, подлежащего техническому обслуживанию.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Педраэдел

исо/мэк

27001-2005

Цели

Среде т*а управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроза {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

О

оборудования, подлежащею обслуживанию, и к раскрытию (угроза К) информации.

52

Е1

а

Взлом (угроза К) оборудования. подлежащею техническому обслуживанию технически персоналом центра удаленного техническою обслуживания других компакт. из внешнею источника при помощи незаконно полученного пароля, приводит к неса нк шюниро ванному использованию (угроза К) персональной медицинской информации. хранимой е оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.

Периодическое изменение пароля предотвращает взлом оборудования, подлежащею техническому обслуживанию.

3 >2

3

1

9 >6

Использование незаконно полученною пароля из внутреннею источника или взлом (угроза К) врачами, третьими лицами,персоналом или системными администраторами медицинского учреждения гфиеодит к несанх шокированному

Периодическое изменение пароля предотвращает взлом оборудования, подлежащею техническому обслуживанию.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Псдраэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

у

в

п

о

использованию (угроза К)персональной меди^нской информации. хранимой в обору* довании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.

Пользователи должны гарантировать, что оборудование, работающее 8 автоматическом режгеде. имеет подходящую защиту.

А.11

Управление доступом

А.11.4 Убавление доступом к сети

Пред от вращать неразрешенный доступ к сетевым услугам.

Пользователям должен быть предоставлен доступ только к тем службам, на которые им выдано разрешение.

Подходящие методы аутентификации должны и ело/ъ зова тъся для управления доступом дис-тэншонных пользователей.

21

В1

В2

I

Несанкционированный

вход (угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любым лицом, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в овти

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом.

Убавление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) бедотвращает удаленное подключение к оборудованию центра удаленного

3 > 2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде геа управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.

технического обслуживания. Обшие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают а себя контрогь доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети / принудительный путь (FW) / фильтрацию и защиту порта удаленной диагностики.

40

D1

Р

Не сан кцион проездным вход (угроза К) три помощи атаки с «перебором по словарю» в сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра уда-лздного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, одиводит к несанкционированному ис-польэоважю (гроза К) персональной

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, выэвздного несанкционированным доступом.

Управление маршрутом (без подключения к оборудованию центра удаленного техж-ческого обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

0

и

щ

1

е

S

ж

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

меди1*жсхой информации. хртимой в сети медицинского учреждения, и раскрытию {угроза К) информации.

оборудования центра удаленного технического обслуживания вкпочают 8 себя контроль доступа {№-формадаи для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети / принудительный путь (FW) / фильтр31Д1Ю и защиту порта удаленной диагностики.

Несанкционированным вход (угроза К) при помощи атаки с «перебором по словарю» в сетевое оборудование ме-дицтекого учреждают из внешнего источника техническим персоналам центра удаленного технического обслужи-вания других компаний или техническим персоналом центра удаленного теяшческого обслуживания приводит к неа втор изо ванн ому использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.

Разработка управления маршрутом, чтобы принудительно установить путь и определить подключаемое оборудование.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Псдраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроз*

{К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.11

Управление доступом

А.11.4 Управление доступом к сети

Предотвращать неразрешенный доступ к сетевым услугам.

Автоматическая идентификация оборудования долина рассматриваться как средство аутенти-хации соединений с конкретных мест и оборудования.

Физический и логический доступ к портам диагностирования и конфигурации должен управляться.

21

В1

В2

i

Не сан кцион проездным вход {угроза К) три помощи атаки с «перебором по словарю» в сетевое оборудование центра удаленного техническою обслуживания. из здешнего источника любым л*щом. приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра уда-лздного техническою обслуживания, и к раскрытию (угроза К) информации.

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, выэвздною несанкционированным доступом.

Управление маршрутом (без подключения к оборудованию центра удаленною техническою обслуживания) предотвращает удаленное подключение к оборудованию центра удаленною техническою обслуживания. Обшие меры по администрированию сети для сетевою оборудования центра удаленною технического обслуживания включают в себя контроль доступа (информации для входа 8 систему), особенно на выходе центра удаленною техническою обслуживания. разделение

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


Раздел И СОМ ЭК 27001 2005

Педдеэдел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угроз*

{К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

сети / принудительным путь (FW) / фильтрацию и защиту порта удаленной диагностики.

41

D1

р

Несанкционироежньй вход {угроза К) гри помощи атаки с «перебором по словарю» е сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра удельного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводит к несанкционированному ис-польэоважю (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.

Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом.

Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Обшив моды по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают а себя контроль доступа (ин-формаши для входа а систему), оообежо на выходе центра удаленного технического обслуживажя, разделение сети / принудительный путь (FW) / фильтрацию и защиту порта удаленной диагностики.

3 >2

3

1

9 >6


ГОСТ Р 56838—2015


ю


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Группы информационных служб, пользователей и информационных систем должныбьпь разделены в сети.

А.11

Управление доступом

А.11.4 Управление доступом и сети

Предотвращать неразрешенный доступ к сетевым услугам.

Для совместно эксплуатируемых сетей, особенно тех, которые простираются за границы организации. возможность пользователей по подклкмензео к сети должна быть ограничена в соответствии с политикой управления доступом и требованиями деловых приложений.

Должны быть реализованы средства управлатия маршрутизацией для сетей, чтобы гарантировать, что компьютерные связи и информационные потоки не нарушают политику управления доступом деловых приложений.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

А.11.5 Управление доступом к операционной системе

Предотвращать неразрешенный доступ к операционным системам.

Доступ к операционным системам должен управляться гроцвдурой защищенного входа в систему.

Все пользователи должны иметь уникальный идентификатор (Ю пользователя) только для их персонального использования, и должна быть выбрана подходящая методика аутентификации для подтверждения заявленной личности пользователя.

Системы для управления паролями долины быть интер активными и догркны обеспет-вать качественные пароли.

Использование утилит. способных блокировать средства управления системы и приложений должно быть ограничено и допкно надежно управляться.


ГОСТ Р 56838—2015



Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Неактивные сеансы должны завершаться по истечении определенного периода бездействия.

Необходимо использовать ограничения по времени соединения для обеспечения дополнительной защиты в приложениях с высокой степенью риска.

А.11

Управление доступом

А.11.6 Угфэдле-ние доступом х приложениям и информации А.11.7 Мобильная обработка и телеобработка

Пред от вращать нераэре-шенньм доступ к информации, содержащейся в прикладоых системах.

Доступ пользователей и техническою персонала к информации и функ Ш1 ям и прикладной системы должен быть ограничен в соответствии с on редел ной политикой управления доступом.

Уязви мне системы должны иметь отдельную (иэогыро-ванную) компьютерную среду.


ГОСТ Р 56838—2015


100


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — *онфиденциальиосгь; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Обеспечить информационную безопасность при использовании средств мобильных обработки и телеобработки

Должна быть принята официальная политика и долины быть приняты надлежащие меры обеспечения защиты от рисков испольхаэ-ния мобильных компьютерных средств и средств связи.

Должны быть разработаны и внедрены политика, оперативные планы и процедуры для деятельности по телеобработке.

А.12 Приобретение, разработка и техническое обслуживание информационных систем

А.12.1 Требования к защите информационных систем А.122 Кор-рек-тая обработка е приложениях

Гарантировать, что защита является неотъемлемой частью информационных систем.

В формулировках деловых требований для новых информационных систем или улучшений существующих информационных систем должны быть определены требования к средствам управления защитой.

Избежать ошибок. потери, нваеториэо-ванного изменения или злоупотребления информации в приложениях.

Должно осуществляться подтверждение

соответствия данных, вводимых в приложения. чтобы убедиться, что эти данные являются верным) и применимыми.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Подтверждения соответствия должны быть включены в приложения, чтобы обнаруживать любое повреждение «н формации посредством обработки ошибок или сознательных действий.

Должны быть определены требования по обеспечению аутентичности и защиты целостности сообщений в приложениях. а также должны быть определены и реализованы надлежащие средства управления.

Выходше данные из приложений должны проходить подтверждение соответствия. чтобы гарантировать, что обработка хранимой информации является правильной и подходящей.


ГОСТ Р 56838—2015


102


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

А.123

Защитить кон-

Должна быть разра-

А2

ь

Ест стойкость

Применение аттесто-

3 > 2

3

1

9 >6

Управ

ление

фмденцтагъ-ность, аутен-

ботана и применена политика по исполь-

29

В2

(угроза К) алгоритма шифрования, метода

ванного алгоритма шифрования, ключа

доступом с использованием криптографии

ТТМНОСТЬ И(М целостность информации криптографическими средствами.

зованию криптографических средств управления защитой информации.

39

С1

передачи ключа недостаточна. то зашифрованные данные расшифровываются. что приводит к раскрытию (угроза К) персональной медицинской информации.

защиты и метода передачи ключа может предотвратить расшифровку закодированной персональной медицинской информации.

Должно быть принято распределение ключей, чтобы поддерживать использование организацией методов криптографии.

А. 12 Приобретение, разработка и техническое обслу-

А.12.4

Защита

системных

файлов

Гарантировать защиту системных файлов.

Должны быть приняты процедуры, чтобы управлять установкой программного обеспечения в операционных системах.

живание

информа

ционных

систем

Тестовые данные должны быть тщательно выбираться и управляться.

Доступ к исходному тексту профаммы должен быть ограничен.


ГОСТ Р 56838—2015


103

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде тва управления для реализации целей

$

ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

A.12S Защита а процессах разработки и поддержки

Обеспечивать защиту прикладного системного программного обеспечения и

Реализация изменений долина управляться путем использования формальных процедур управления изменениями.

информации.

При изменении операционных систем деловые критичные приложения деляны быть проанализированы и протестированы. чтобы гарантировать отсутствие неблагоприятного влияния на организационные операции или защиту.

Изменения а пакетах программ не должны поощряться. ДОГФКНЫ быть ограничены необходимыми изменениями. и все изменения должны строго управляться.

Должны предотвращаться возможности для утечки.

Разработка программного обеспечения. приобретаемого на стороне, должна быть под надзором и постоянным контролем организации.


ГОСТ Р 56838—2015


frOl


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — *онфиденциальиосгь; Ц — целостность.

Д— доступность»

Пример среде те управления

У

в

П

о

А.12.6 Менеджмент технической уязвимости

Снизить риски, возникающие из эксплуатации опубликовать» техжческих уязвимостей.

Должна получаться своевременная информация о технически уязвимых местах используемых информационных систем, должна оцениваться подверженность организации влиянию через такие уязвимые места, идогскныбыть федприняты подходящие меры для решения фоблемы связанного с этим риска.

А.13 Менеджмент инцидентов а системе информационной безопасности

А.13.1 Сообщение о со-бьпиях и слабостях е системе информационной безопасности

Гарантировать, что о событиях и слабостях в системе ин-формациожой безопасности, связанных с информационными системами, сообщает-ся способом, дающим возможность произвести своевременное корректирующее действие.

О событиях в системе информационной безопасности надо сообщать по соответствующим служебным каналам как момсно быстрее.

От всех служащих, подрядчиков и сторонних пользователей информашон-ных систем и услуг надо потребовать отмечать любые наблюдаемые или подозрительные слабости защиты в системах или услугах и сообщать о них.


ГОСТ Р 56838—2015


105

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

$

ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

А.13 2 Управление ИН1Я-дентами защиты информации и улучшениями

Обеспечить применение последовательною и эффективного подхода к управлению инцидентами в системе информационной безопасности.

Должны быть установлены ответственность руководства и процедуры, чтобы гарантировать быструю. результативную и упорядоченную реакцию на инциденты в системе информационной безопасности.

Должны быть приняты механизмы для тога, чтобы дать возможность опредашть количество типов, объемов и издержек инцидентов в системе информационной безопасности и постоянно их контролировать.

Если последующее действие против лица или организации после инцидента защиты информации включает судебное разбирательство (гражданское или уголовное), то необходимо собрать доказательства. сохранить и предоставить в соответствии с правилами изложения доказательств в соответствующей юрисдикции


ГОСТ Р 56838—2015


106


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

и

О

и

щ

£

О

S

х

<

Пример угрозы {К — еонфиденциальноегь; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

А.14 Менеджмент непрерывности биэнес-деягтель-ности

А.14.1 Аспекты информационной безопасности менеджмента непрерывности бизнеса

Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессыот влияния существенных сбоев информационных систем или бедствий, а также гарантировать свое еде менное возобновление деловых операций.

Должен быть разработан и должен поддерживаться в рабочем состоянии управляемый процесс для обеспечения непрерывности бизнеса для всей организации, который рассматривает требования защиты информации, необходимые для непрерывности бизнеса организации.

Должны быть выявлены события, которые могут вызвать лрерыважя деловых процессов, шесте с вероятностью и негативным влиянием таких прерываний и их последствж на информационную безопасность.

Должны быть разработаны и реализованы планы для поддержания в рабочем состоянии или восстановления операций и обеспечения доступности информации на требуемом уровне и

17

А1

f

Поврежденное оборудования центра удаленною техническою обслуживания (угроза Д) привадит к потере Д к СУО.

Аведийные меры и планы восстановлшия после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

3 >2

2

1

6 >4


ГОСТ Р 56838—2015


107

Раза ел и сом Эк

27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде г»а управления для реализации целей

$

и

О

и

щ

£

Актив

Пример угроза {К — конфиденциальность Ц — целостность.

Д— доступность»

Пример средств управления

у

в

П

о

в течение необходимых временных масал абое. следующих за прерыванием или сбоем е криттных деловых процессах.

16

А1

9

Поврежденное природоохранного средства {угроза Д) центра удаленного техническою обслуживания доводит к потере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

26

В1

В2

m

Поврежденное сетевое оборудование центра удаленного технического обслуживания (угроза Д) приводит к потере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

27

В1

82

п

Поврежденное природоохранное средство (угроза Д) для сетевою оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.

Аварийные меры и платы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

46

D1

m

Поврежденное сетевое оборудование медицинскою учреждения (угроза Д) приводит к потере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

47

01

0

Поврежденное природоохранное средство (угроза Д) для сетевого оборудования медицинскою учреждения приводит к потере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.


ГОСТ Р 56838—2015


106


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

псдраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

Ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — *онфид«нциальиосгь: Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

О

А.14 Менеджмент непрерывности биэнес-деягтель-ности

А.14.1 Аспекты информационной безопасности менеджмента непрерывности бизнеса

Противодействовать прерываниям в деловых о пера ях, защитить критичные деловые процессы от влияния существен ныхобо-ев икформаци-онных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.

Должны быть разработаны и реализованы планы для поддержания а рабочем состоянии иш восстановления опер81*1й и обесле-чения доступности информации на требуемом уровне и в течение необходимых временных масштабов. следующих за прерыванием или сбоем в критичных деловых процессах.

57

Е1

f

Поврежденное оборудование. подлежащее техническому обслуживанию (угроза Д). приводит к потере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

3 > 2

2

1

6 >4

58

Е1

g

Поврежденное природоохранное средство (угроза Д) оборудования. подлежащего техническому обслуживанию. приводит к патере Д к СУО.

Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.

Должна поддерживаться в рабочем состоянии единая структура планов обеспечения непрерывности бизнеса, сцегъю гарантировать. что вое планы согласованы, с целью последовательного обращения к требованиям защиты информации и определения приоритетов для тестирования и поддержания в рабочем состоянии.


ГОСТ Р 56838—2015


109

Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде т*а управления для реализации целей

$

Ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

п

о

Планы обеспечения непрерывности бизнеса должны регулярно тестироваться и обновляться, с целью гарантировать, что они пополняются современными данными и результативны.

А. 15 Соответствие

А.15.1 Соответствие правовым требованиям

Избегать нарушений любых законодательных, устав шх. нормативных или договорных обязательств. и любых требований защиты.

Все имеющие отношение к делу требования зэсона, нормативные и договорные требования. а тэсже способ организации выполнить эти требования должны быть четко определены, документированы и должны пополняться последними данными для каждой информационной системы и организации.

Должны быть реализованы подходящие процедуры, чтобы третировать соответствие законодательным. нормативным и договорным требованиям по использованию материала. в от но шеи ют


ГОСТ Р 56838—2015


110


Продолжение таблицы А1

Раза ел и сом Эк 27001 2005

подраздел

исо/мэк

27001-2005

Цели

Средства управления для реализации целей

$

ж

О

и

щ

£

О

S

ж

<

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

которого могут иметься права на интеллектуальную собственность, и по использованию лицензионных программных продуктов.

А. 15 Соответствие

А.15.1 Соответствие правовым требованиям

Избегать нарушений любых законодательных, уставных, нормативных или договорных обязательств. и любых требований защиты.

Важные записи должны быть защищены от потери, уни-ломсежя и фальсификации, в соответствии с требованиях»! закона, нормативными, договорными и деловыми требованиями.

Защита и конфиденциальность данных должны быть гарантированы в соответствии с применимым законодательством, нормативами и. при наличы. договорными условиями.

Надо удерживать пользователей от использования средств, обрабатывающих информацию, для неразрешенных целей.


ГОСТ Р 56838—2015


Раза ел и сом Эк 27001 2005

Подраздел

исо/мэк

27001-2005

цели

Среде т*а управления для реализации целей

$

ж

О

и

щ

£

Актив

Пример угрозы {К — конфиденциальность; Ц — целостность.

Д— доступность»

Пример средств упрееления

У

в

П

о

Криптографические средства управления доступом должны использоваться с соблюдением всех соответствующих соглашений, законов и правил.

А.152 Соответствие политике и стандартам защиты.а также техническое соответствие

Гарантировать соответствие систем политикам и стандартам обеспечения защиты организации.

Менеджеры должны гарантировать, что асе процедуры защиты 8 пределах их зоны ответственности выполняются правильно, с целью достиг соответствия политике и стандартам защиты.

Информационные системы догокны регулярно проверяться на соответствие стандартам реализации системы защиты.

А.152 Комментарии к аудиту инфор-маиионных систем

Максимизировать результативность и минимизировать помехи для/от процесса аудита информационных систем.

Требования аудита и деятельность по аудиту, ек по чающая проверки в действующих системах, должны быть тщательно спланированы и согласованы. с целью минимизировать риск срыва деловых процессов.


ГОСТ Р 56838—2015


Раза ел

и сом эк 27001 2005

Подраздел

исо/мэк

27001-2005

Цели

Среде теа управления для реализации целей

2

Ж

0

и

щ

1

е

S

ж

<

Пример угрош {К — *онфиденциальиость; Ц — целостность.

Д— доступность»

Пример средств управления

У

в

П

о

Доступ к инструментальным средствам аудита информационных систем должен быть защищен, чтобы гредотерэ-тить любое возможное неправильное употребление или ком лр омета ф1ю.


ГОСТ Р 56838—2015


1 Заголовки столбцов таблицы

Заготовок

Значение

Раздел

Подраздел

Раздел, подраздел, задачи и средства управления для решения приведены из

Цель управления

ИСО/МЭК 27001:2005.

Средства управления

N9

Номер угрозы из приложения А. ИСО/ТО 11633-1.

Участок

А1 — оборудование центра удаленного технического обслуживания (ЦОУ): А2 —А1 для ВЧП;

В1 — внутренняя сеть ЦОУ:

В2 — В1 для ВЧП:

С1 — внешняя сеть:

D1 — внутренняя сеть медицинского учреждения:

Актив

а — персонатъная медицинская информация в памяти, на диске и экране;

Ь — алгоритмы, ключи и метод распределения ключей шифрования; с— записи и распечатки персональной медицинской информации: d — средства резервного копирования персональной медицинской информации: е — программное обеспечение, работающее с персональной медицинской информацией:

(— оборудование, работающее с персональной медицинской информацией: g—природоохранные системы для оборудования, работающего с персональной медицинской информации;

h — операторы, работающие с персональной медицинской информации: i — персональная медицинской информации во внутренней сети ЦОУ;

1 — записи и распечатки коммуникационного следа персональной медицинской информации:

к — средства резервного копирования трассировки связи персональной медицинской информации:

1 — программное обеспечение сетевого оборудования: m — сетевое оборудование:

п — природоохранные системы сетевого оборудования:

о — операторы сетевого оборудования р: персонатъная мед.информация во внутренней сети медицинского учреждения.

Пример угрозы

Пример угрозы

Пример средств управления

Пример средств управления

У (Уязвимость)

Уровень конфиденциальности, целостности или доступности (таблицы А.2—А А ИСО/МЭК 27001).

Показан уровень до выбора средств управления и после

В(Влияние)

Уровень влияния (см. 5 ниже)

П (вероятность выхода из строя)

Уровень вероятности выхода из строя (см. 6 ниже)

О (Оценка)

Уровень оценки = уязвимость х влияние х вероятность выхода из строя. Показывается уровень до выбора средств управления и после

2 Уровни конфиденциальности

3

Серьезная уязвимость от подглядывания / кражи, несанкционированного входа / подлога или выноса

2

Средняя уязвимость от подглядывания / кражи, несанкционированного входа / подлога игы выноса

1

Незначительная уязвимость от подглядывания / кражи, несанкционированного входа / подлога или выноса

3 Уровни целостности

3

Серьезная уязвимость при выполнении или отказе 8 выполнении изменения, замены или удаления

2

Средняя уязвимость при выполнении или отказе в выполнении изменения, замены или удаления

1

Незначительная уязвимость при выполнении или отказе в выполнении изменения, замены или удаления

4 Уровни доступности

3

Серьезная уязвимость при обслуживании прерывания из-за отхаза, бедствия, кабельного разрыва или отказа службы

2

Средняя уязвимость при обслуживании прерывания из-за отказа, бедствия, кабельного разрыва или отказе службы

1

Незначительная уязвимость при обслуживании прерывания из-за отказа, бедствия, кабельного разрыва или отказа службы

5 Уровни влияния

3

Вероятность большого влияния на выполнение операций

2

Вероятность небольшого влияния на выполнение операций

1

Незначительное влияние на выполнение операций

6 Уровни вероятности выхода из строя

3

Высокая вероятность

2

Низкая вероятность

1

Незначительная вероятность

Библиография

[1J (ЭОЛЕС 9797-1:1999

Information technology — Security techniques — Message Authentication Codes {MACs) — Part 1: Mechanisms using a block cipher

[2]    iSOrtEC 13335-1:2004

information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management

(3]    1SO/1EC 27001:2005

Information technology — Security techniques — Information security management systems — Requirements

[4]    ISOrtEC 27002:2005

information technology — Security techniques — Code of practice for information security management

(5]    ISO/lEC Guide 73:2002

Risk management — Vocabulary — Guidelines for use in standards

УДК 004.61:006.354    ОКС 35.240.80

Ключевые слова: здравоохранение, информатизация здоровья, информационная безопасность, менеджмент безопасности, удаленное техническое обслуживание, медицинские устройства, медицинские информационные системы, реализация систем

Редактор А.Ф. Котин Технический редактор В.Н. Прусакова Корректор М.В. Бучная Компьютерная верстка ЕЛ. Кондрашовой

Сдано в Ms6op21.04.20t6. Подписано а печать 04.05.20)6. Формат 60*84’/» Гарнитура Ариел Уел. леч. п. 13.9S. Уч.-иад. л. !3.00. Тираж 30 а на За*. 1226.

Иадано и отпечатано во ФГУП «СТАНДАРТИНФОРМ». 12399S Мосхаа. Гранатный пер.. 4.