ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
Одной из наиболее актуальных проблем, которые сегодня приходится решать медицинской организации при внедрении современных информационных технологий, является защита конфиденциальной информации.
Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, посылаться по почте или копироваться путем использования электронных средств, может быть представлена в видеоматериалах, на пленках или высказана в разговоре. Организации и их информационные системы и сети сталкиваются с угрозами для безопасности, исходящими из весьма разнообразных источников, включая компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство и воздействия, вызывающие отказ в обслуживании законных пользователей, становятся все более изощренными [39].Вне зависимости от того, в каком виде информация сохраняется, какими средствами она распространяется или хранится, она всегда должна быть надлежащим образом защищена. Каждый руководитель медицинской организации должен объективно оценивать текущее состояние информационных систем, видеть и понимать нужды в информационном обеспечении и существующие информационные проблемы. Тема создания системы управления информационной безопасностью медицинской организации остается одной из наиболее актуальных в сфере информатизации и построения системы управления, поскольку речь идет о наиболее критичных персональных данных — о состоянии здоровья людей [21,48,49]. К данной категории информации относятся все сведения из истории болезни, анамнез заболевания, детали о наследственности и другие данные медицинского характера, которые требуют максимального уровня защиты. Кроме этого, существует конфиденциальная информация, касающаяся деловой практики медицинской организации, защита которой — это охрана информации от большого разнообразия угроз, осуществляемая с целью обеспечения непрерывности ее деятельности, минимизации деловых рисков и максимизации возможностей в плане инновационного развития Защита информации в медицинской организации должна осуществляться путем реализации соответствующего набора средств управления, включая политику, процессы, процедуры, организационные структуры, программные и аппаратные функции. Эти элементы управления необходимо создать, внедрить, постоянно контролировать, анализировать и улучшать для выполнения конкретных организационных задач защиты деловой информации [22, 45].Системный подход к описанию информационной безопасности предлагает выделить несколько ее компонентов. Во-первых, это законодательная, нормативно-правовая и научная база. Во-вторых, структура и задачи подразделений, обеспечивающих безопасность ИТ. В-третьих, организационно-технические и режимные меры и методы (Политика информационной безопасности). В-четвертых, программно-технические способы и средства обеспечения информационной безопасности. Конечной целью реализации задачи построения информационной безопасности медицинской организации явилось построение Системы обеспечения информационной безопасности (СОИБ). Определяются общие положения, технические и организационные требования, составляющие Политику информационной безопасности медицинской организации. Для реализации требований Политики информационной безопасности должны быть внедрены соответствующие программно-технические способы и средства защиты информации, позволяющие выстроить систему менеджмента информационной безопасности (СМИБ) или системы менеджмента защиты информации (СМЗИ). В основе настоящего международного стандарта также лежит методология, известная как «цикл PDCA» (Plan-Do-Check-Act). При реализации международных требований рассматриваются общие принципы и концептуальные подходы к построению системы для организации внедрения СМИБ как проекта. Лучшей мировой практикой в области управления информационной безопасностью является стандарт ISO/IEC 27001:2005. Международный стандарт ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования» [35], разработанный Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. 'Мот стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии — Методы обеспечения безопасности — Практические правила управления информационной безопасностью» [74]. Стандарт ISO 27001 определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации» (рис. 51); кроме того, могут быть включены различные свойства, такие как подлинность, невозможность отказа от авторства, достоверность». ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертификации, а стандарт ISO/IEC 27002:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механизмов контроля, выбираемых организацией для уменьшения рисков информационной безопасности. Стандарт ISO/IEC 27001:2005 определяет цели и средства контроля, представляющие возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих рисков организации [73]. В общем виде модель системы менеджмента информационной безопасности представлена в стандарте (рис. 52). Однако разработку элементов системы необходимо рассматривать с позиции применимости для данной конкретной медицинской организации, с учетом отраслевой специфики. Для успешной реализации мероприятий по внедрению и сертификации системы менеджмента информационной безопасности (СМИБ) были определены цели проекта в медицинской организации:· повышение уровня безопасности информационных активов;
· сокращение количества инцидентов, связанных с информационной безопасностью и тяжестью их последствий;
· обеспечение уверенности потребителей медицинской организации (пациентов, их законных представителей и др.) в том, что вся конфиденциальная информация находится под защитой
Рис. 52. Концептуальная модель системы менеджмента информационной безопасности по 1SO/1EC 27001:2005
На конечной стадии проекта может быть определена цель получения сертификата по 1SO/IEC 27001 (ИСО/МЭК 27001).
Требования стандарта должны быть приняты как руководство к действию, обеспечивая понимание руководством медицинской организации основных направлений деятельности в области защиты информации, подходов к выбору инструментов управления и процедур [60]. В дальнейшем возможно прохождение аудита и получение сертификата. Предлагаемая модель системы менеджмента информационной безопасности должна быть построена на основе процессного подхода (рис. 53).Процессная модель разработана с учетом анализа содержания и семантики требований стандарта ГОСТ Р. 27001. Первым шагом в реализации данной модели стали разработка политики медицинской организации в области информационной безопасности, планирование данной деятельности, идентификация рисков, формирование реестра рисков, разработка методик оценки рисков в соответствии с отраслевой спецификой, управление рисками. Важнейшим разделом деятельности выделен внутренний аудит, с проведения которого начинается диагностика действующей системы менеджмента информационной безопасности. Проверенный практикой подход к внедрению СМИБ состоит из следующих этапов (рис. 54):Этап 1. Организация принимает решение по внедрению ISO 27001, определяются основные цели и задачи проекта. На данном этапе определены основные принципы и области применения системы управления информационной безопасностью. Назначено лицо, ответственное за разработку проекта, сформирована группа менеджеров по защите информации, распределены обязанности, выделены необходимые средства. На этом папе проведено обучение ключевых сотрудников организации, задействованных в проекте, которые в дальнейшем осуществляли совместное планирование мероприятий по проекту ISO/IEC 27001 (ИСО/МЭК 27001). Проведен диагностический аудит для понимания текущего состояния дел и определения степени соответствия медицинской организации требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Организация получила отчет о текущем состоянии системы менеджмента информационной безопасности.
Этап 2. Рабочей группой проведен анализ рисков в области применения СМИБ, разработана методика оценки рисков, принятие решений о путях управления указанными рисками.
Деятельность по обработке риска и рамках процесса менеджмента риска информационной безопасности осуществлялась в соответствии с требованиями стандарта (рис. 55).Для проведения полного анализа информационных рисков прежде всею необходимо построить полную модель информационной системы с точки зрения информационной безопасности. Эту задачу выполняли высококвалифицированные специалисты, учитывая сложность алгоритма анализа рисков, включающего, по меньшей мере, около ста параметров, который позволяет на выходе дать максимально точную оценку существующих в информационной системе рисков, основанную на глубоком анализе особенностей информационной системы. Процессы менеджмента риска являются обычно цикличными для оценки риска и действий по обработке рисков. Цикличный подход к проведению оценки риска может увеличить глубину и детали оценки при каждом новом цикле. Такой подход обеспечивает хорошее равновесие между уменьшением времени и усилием, гарантируя, что высокие риски оценены соответственно
Рис. 53. Модель системы менеджмента информационной безопасности медицинской организации
Рис. 54. Этапы внедрения СМИБ в медицинской организации
. В первую очередь устанавливается контекст рисков. После этого проводится оценка риска. Если предоставлено достаточно информации, чтобы определить эффективные действия, требуемые для изменения рисков до приемлемого уровня, тогда задача считается законченной, и проводится обработка риска. Если информации будет недостаточно, то следует другой цикл оценки риска с пересмотренным контекстом (например, критерии оценки риска). Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет немедленно приводить к приемлемому уровню остаточного риска.
В этой ситуации другой цикл оценки риска с измененными контекстными параметрами (например, оценка риска, принятие риска или критерии воздействия).
Рис. 55. Деятельность по обработке рисков по ISO 27001 в медицинской организации
Таблица 11
Процесс СМИБ | Процесс менеджмента рисков ИБ |
Планирование | Установление контекста |
Оценка риска | |
Планирование обработки риска | |
Принятие риска | |
Осуществление | Реализация плана обработки риска |
Проверка | Проведение непрерывного мониторинга и пересмотра рисков |
Действие | Поддержка и усовершенствование процесса менеджмента рисков информационной безопасности |
может в случае необходимости сопровождаться дальнейшей обработкой риска. Приемлемый уровень риска должен гарантировать, что остаточные риски приняты руководителями организации. В общем виде деятельность по управлению рисками нами предлагается рассматривать в виде основных шагов, представленных на рис. 56.В СМИБ установление контекста, оценка риска, разработка плана обработки риска и принятие риска являются частью фазы «планирование». В фазе «осуществление» СМИБ действия и средства контроля, требуемые для снижения риска до приемлемого уровня, реализуются в соответствии с планом обработки риска. Возможности современных средств обеспечения ИБ очень широки: защита инфраструктуры организации, защита от атак, контроль поведения абонентов, защита периметра сети, мониторинг ИБ, защита от спама, отражение вирусов, применение политик, аутентификация почты, контроль приложений и аудит сетевой безопасности. В фазе «проверка» СМИБ менеджеры определяют потребность в пересмотре обработки риска в свете инцидентов и изменений обстоятельств. В фазе «действие» осуществляются любые необходимые работы, включая повторное инициирование процесса менеджмента риска ИБ. В таблице 11 суммируются виды деятельности, связанной с менеджментом риска, значимые для четырех фаз процесса СМИБ.
Соотношение СМИБ и процесса менеджмента рисков информационной безопасности
Менеджмент риска информационной безопасности должен быть непрерывным процессом. Менеджмент риска связан с анализом того, что может произойти и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня. В этом контексте новый международный стандарт ISO/IEC 27005:2011 «Информационные технологии — Методы обеспечения безопасности — Управление рисками информационной безопасности» может помочь медицинским организациям в повышении уровня управления рисками информационной безопасности. Новый стандарт описывает процесс управления рисками информационной безопасности и соответствует общим принципам, перечисленным в стандарте ISO/IEC 27001:2005. Недостаток отечественной нормативной базы ИБ состоит в отсутствии российского ГОСТа по рискам. Иначе говоря, отечественные организации по стандартизации перевели только две части британского стандарта BS 7799 из трех — это ГОСТ 17799 и ГОСТ 27001. Таким образом, имеется ГОСТ 27001, в котором заданы требования к СУИБ, и ГОСТ 17799, где имеются примеры по среде и системам ИБ, но нет руководства по оценке и управлению рисками. Вместе с тем именно в стандарте ISO 27005 представлено общее руководство по управлению рисками информационной безопасности. Он поддерживает общие концепции, изложенные в ISO/IEC 27001, и предназначен для «содействия адекватному обеспечению информационной безопасности на основе риск-ориентированного подхода». Риск информационной безопасности (Information security risk) определен в стандарте как потенциальная угроза эксплуатации уязвимости актива или группы ценных свойств, которые могут нанести вред организации. Стандарт применим ко всем видам организаций (в том числе и организациям, действующим в системе здравоохранения), планирующим управлять рисками информационной безопасности. Этот интернациональный стандарт обеспечивает рекомендации по управлению рисками информационной безопасности в организации, поддерживающей требования СМИБ (системы менеджмента информационной безопасности) согласно 1SO/1EC 27001.
Рис. 56. Этапы и структура управленческих воздействий в области управлении рисками информационной безопасности
Далее производится анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей аудитор получает от уполномоченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники. Вопросы связаны с различными категориями ресурсов. Допускаются корректировка вопросов, исключение или добавление новых. Задаются часто вероятность возникновения каждой из выделенных угроз, степень уязвимости и ценности ресурсов. Все это используется в дальнейшем для расчета эффективное I и внедрения средств защиты. Необходимо идентифицировать все виды информации, представляющей ценность для медицинской организации. Идентифицируются все активы, задействованные в функционировании Бизнес процессов и имеющие влияние на ценную для организации информацию. Данные активы включают:
· человеческие ресурсы;
· информационные ресурсы (как в электронном, так и в бумажном виде);
· оборудование;
· программное обеспечение;
· услуги, оказываемые внутренним и внешним заказчикам.
Введенные группы ценной информации должны быть размещены пользователем на объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза — указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.
Одним из значимых этапов являются определение и оценка рисков (risk assessment). В рамках анализа проводятся инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договорные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. В стоимость входят все потенциальные затраты, связанные с возможными воздействиями на защищаемые ресурсы. Следующим этапом анализа рисков является составление перечня значимых угроз и уязвимостей для каждого ресурса, а затем вычисляется вероятность их реализации. Стандарт допускает двоякое толкование понятия угрозы ИБ: как условие реализации уязвимости ресурса (в этом случае уязвимости и угрозы идентифицируются отдельно) и как общее потенциальное событие, способное привести к компрометации ресурса (когда наличие возможности реализации уязвимости и есть угроза). Не возбраняется разделение угроз ИБ на угрозы целостности, доступности и конфиденциальности.
Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой. Анализ риска может быть осуществлен с различной степенью детализации в зависимости от критичности активов, распространенности известных уязвимостей и прежних инцидентов, касавшихся организации. Методология измерения может быть качественной или количественной, или их комбинацией в зависимости от обстоятельств. На практике качественная оценка часто используется первой для получения общих сведений об уровне риска и выявления основных значений рисков. Позднее может возникнуть необходимость в осуществлении более специфичного или количественного анализа основных значений рисков, поскольку обычно выполнение качественного анализа по сравнению с количественным является менее сложным и менее затратным. В стандарте подробно описываются детали методологии оценки:
а. Качественная оценка использует шкалу квалификации атрибутов для описания величины возможных последствий (например, низкий, средний и высокий) и вероятности возникновения этих последствий. Преимущество качественной оценки заключается в простоте ее понимания всем соответствующим персоналом, а недостатком является зависимость от субъективного выбора шкалы. Такие шкалы могут быть адаптированы или скорректированы таким образом, чтобы удовлетворять требованиям обстоятельств, а для разных рисков могут использоваться разные описания. Качественная оценка может использоваться:
· как начальная деятельность по тщательной проверке для идентификации рисков, требующих более детального анализа;
· там где этот вид анализа является соответствующим для принятия решения;
· там, где числовые данные или ресурсы являются неадекватными для количественной оценки.
Количественная оценка использует шкалу с числовыми значениями (а не описательные шкалы, используемые в качественной оценке) последствий и вероятностей, включающую данные из различных источников. Качество анализа зависит от точности и полноты числовых значений и от обоснованности используемых моделей. В большинстве случаев количественная оценка использует фактические данные за прошлый период, обеспечивая я преимущество в том, что она может быть напрямую связана с целями информационной безопасности и проблемами организации. Недостатки количественного подхода могут иметь место тогда, когда фактические проверяемые данные недоступны, поэтому создается иллюзия ценности и точности оценки риска. BS 7799-3 допускает использование как количественных, гак и качественных методов оценки рисков, но, к сожалению, в документе пет обоснования и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ. Приложение к стандарту содержит единственный пример, который условно можно отнести к качественному методу оценки. Данный пример использует трех- и пятибалльные оценочные шкалы:
a. Оцениваются уровни стоимости идентифицированною ресурса по пятибалльной шкале: «незначительный», «низкий», «средний», «высокий», «очень высокий».
b. Оцениваются уровни вероятности угрозы по трехбалльной шкале: «низкий», «средний», «высокий».
c. Оцениваются уровни вероятности уязвимости: «низкий», «средний», «высокий».
d. По заданной таблице рассчитываются уровни риска.
e. Проводится ранжирование инцидентов по уровню риска.
После того, как риск оценен, должно быть принято решение относительно его обработки (risk treatment) — точнее, выбора и реализации мер и средств по минимизации риска. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровождение механизмов безопасности, политика руководства, простота реализации, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:
f. Уменьшение риска. Риск считается неприемлемым, и для его уменьшения выбираются и реализуются соответствующие меры и средства безопасности.
g. Передача риска. Риск считается неприемлемым и на определенных условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации.
h. Принятие риска. Риск в конкретном случае считается осознанно допустимым — организация должна смириться с возможными последствиями. Обычно это означает, что стоимость контрмер значительно превосходит финансовые потери в случае реализации угрозы либо организация не может найти подходящие меры и средства безопасности.
i. Отказ от риска. Отказ от бизнес-процессов организации, являющихся причиной риска. Например, отказ от электронных платежей по Сети.
В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа обработки риска. Раздел 7 BS 7799-3 «Непрерывная деятельность по управлению рисками» затрагивает следующие две фазы менеджмента системы: контроль риска и оптимизация риска. Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации риска содержит переоценку риска и соответственно пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности. Процедуры контроля рисков и оптимизации, включая использование политик, мер и средств безопасности, идентификацию ресурсов, угроз и уязвимостей, документирование, гармонизированы с ISO 27001 и 27002. В стандарте в качестве приложений приведены примеры основных элементов оценки уязвимостей, угроз, рисков, вариант методики количественной и качественной оценки рисков и др. Результатом работ по анализу рисков информационной безопасности, как правило, являются:
· описание обследованных автоматизированных систем и сервисов, применяемых административных, организационных мер, программно-технических средств обеспечения ИБ;
· карта рисков информационной безопасности;
· план обработки рисков, который включает комплекс внедряемых административных, организационных мер и программно-технических средств, направленных на снижение уровня рисков информационной безопасности, оценку стоимости внедрения, а также график мероприятий по внедрению мер обеспечения ИБ (а в некоторых случаях полученные данные могут быть представлены в виде эскизного проекта реализации системы информационной безопасности ИС организации).
В конечном итоге решение о внедрении в систему новых инструментов и механизмов информационной безопасности и усовершенствовании имеющихся принимает руководство медицинской организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для деятельности. Использование международного стандарта ISO/IKC 27005:2011 позволяет руководству организовать данную деятельность на системной основе и защитить организацию от потери каких-либо ресурсов, а самое главное — потери деловой репутации.
В медицинской организации, как правило, выделяются 2 основных источника рисков: сеть Интернет и преднамеренные и непреднамеренные действия пользователей (сотрудников). Далее произведен анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязвимостей мы получали от уполномоченных представителей организации в ходе соответствующих интервью. На начальном этапе идентифицированы все виды информации, представляющей ценность для организации. Параллельно осуществлялись разработка необходимых процессов, процедур, положений, инструкций, форм записей (целей и средств контроля), согласование и утверждение разработанных документов.
Этап 3. Внедрение системы СМИБ, которое включало такие обязательные мероприятия, как проведение инструктажей персонала организации, проведение внутренних аудитов информационной безопасности, а также проведение корректирующих действий по результатам внутреннего аудита.
Этап 4. Сопровождение системы менеджмента информационной безопасности. В рамках этого этапа регулярно проводятся внутренний аудит СМЗИ, а также подготовка медицинской организации к аудиту третьей стороной (надзорному аудиту) на соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Акты аудитов тщательно анализируются, разрабатываются корректирующие действия, определяются сроки, ответственные и ресурсы для их реализации. Руководству представляется сводный отчет о результатах функционирования СМЗИ, на основе анализа которого в дальнейшем разрабатываются планы развития медицинской организации в области менеджмента информационной безопасности [23].
Этап 5. Сертификация системы менеджмента информационной безопасности на соответствие требованиям 1SO/IEC 27001 (ИСО/МЭК 27001).
Существует множество способов защиты соединения с Интернетом, основным являются межсетевые экраны NetDefend UTM DFL-1660, которые обеспечивают законченное решение для управления, мониторинга и обслуживания безопасной сети [38]. Среди функций управления присутствуют: удаленное управление, политики управления полосой пропускания, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведомление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени. Межсетевые экраны NetDefend UTM оснащены системой обнаружения и предотвращения, антивирусом и фильтрацией Web-содержимого для проверки и защиты содержимого на 7-м уровне. Сервисы обновления IPS, антивируса и базы данных URL защищают офисную сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям бизнеса по управлению доступом сотрудников к Интернету. Данные устройства помогают при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. Вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они, достигнут настольных или мобильных устройств. Фильтрация Web-содержимого помогает администраторам осуществлять мониторинг, управление и контроль использования сотрудниками предоставленного им доступа к Интернету. Используются политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web- сайтам для любой комбинации пользователей, интерфейсов и IP-сетей.
Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ. Очень полезным является опыт Центрального банка России, который внедрил собственный стандарт (ссылка) по системе менеджмента информационной безопасности и предлагает ряд показателей, позволяющих оценить степень выполнения требований ИБ для следующих областей:
— организация и функционирование службы ИБ организации;
— определение/коррекция области действия СМИБ;
—выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;
— разработка планов обработки рисков нарушения ИБ;
—разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;
—принятие руководством организации решений о реализации и эксплуатации СМИБ;
— организация реализации планов обработки рисков нарушения ИБ;
—разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;
— организация обнаружения и реагирования на инциденты безопасности;
— организация обеспечения непрерывности бизнеса и его восстановления после прерываний;
—мониторинг и контроль защитных мер;
— проведение самооценки ИБ;
— проведение внешнего аудита ИБ;
— анализ функционирования СМИБ;
— анализ СМИБ со стороны руководства организации;
— принятие решений по тактическим улучшениям СМИБ;
— принятие решений по стратегическим улучшениям СМИБ.
Необходимо разработать систему собственных критериев для оценки системы информационной безопасности для конкретной медицинской организации. Вариант такой оценки может быть представлен с описанием используемых способов защиты по разделам: вирусные атаки, несанкционированный доступ к информационным системам, несанкционированная рассылка (спам), атаки типа «отказ в обслуживании, хищение идентификационной информации, онлайновое мошенничество, вмешательство в работу программ, неисправность и полом оборудования, отсутствие достаточного набора средств информации ной защиты и др. Современные практики по управлению СМИБ базируются на международном стандарте ISO/IEC 27001. Выполнение требований ISO/II 27001:2005 позволяет медицинской организации формализован, и структурировать процессы управления информационной безопасностью следующим направлениям: разработка политики безопасности; opганизация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процесс деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и кодами доступа; разработка и обслуживание аппаратно-программных сие к соответствие требованиям стандарта и соблюдение правовых норм безопасности. Основная выгода внедрения СМИБ — выявление наиболее серьезных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности. Проблемы IT-безопасности вышли на высший уровень управления, позволяя всесторонне оцениватьIT- риски заблаговременно их минимизировать. Основные результаты внедрения системы информационном безопасности в медицинской организации: все возможные риски уязвимости ресурсов идентифицированы, их уровни оценены; идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданы. Вирусные атаки отражаются к I00"«, зарегистрированы случаи несанкционированного доступа, заблокирована несанкционированная рассылка (100%), отсутствуют случаи атак, вмешательства в работу программ, неисправности или поломки оборудования.
Еще по теме ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ:
- ОГЛАВЛЕНИЕ
- Часть 1 ГЛАВА 1. АНАЛИЗ ПОДХОДОВ К УПРАВЛЕНИЮ КАЧЕСТВОМ МЕДИЦИНСКОЙ ПОМОЩИ В СОВРЕМЕННЫХ УСЛОВИЯХ.
- ГЛАВА 3. МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ ПО СТАНДАРТИЗАЦИИ В ОБЛАСТИ КАЧЕСТВА. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ СЕРИИ ISO 9000
- ГЛАВА 4. ПОРЯДОК РАЗРАБОТКИ И ВНЕДРЕНИЯ СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА
- СТАНДАРТЫ ISO В ЗДРАВООХРАНЕНИИ
- Часть 2 ГЛАВА 12. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ОЦЕНКЕ КАЧЕСТВА УПРАВЛЕНИЯ МЕДИЦИНСКОЙ ОРГАНИЗАЦИЕЙ
- ГЛАВА 14. ОРГАНИЗАЦИОННО-МЕТОДИЧЕСКИЕ ПОДХОДЫ К ПРОЕКТИРОВАНИЮ И ВНЕДРЕНИЮ АДДИТИВНО ИНТЕГРИРОВАННОЙ ИСМ
- ГЛАВА 15.МОДЕЛИРОВАНИЕ АДДИТИВНО ИНТЕГРИРОВАННОЙ СИСТЕМЫ МЕНЕДЖМЕНТА МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
- ГЛАВА 16. МОДЕЛЬ СИСТЕМЫ МЕНЕДЖМЕНТА ПРОФЕССИОНАЛЬНОЙ БЕЗОПАСНОСТИ И ОХРАНЫ ТРУДА
- ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
- ГЛАВА 22.ОЦЕНКА ЗАТРАТ НА КАЧЕСТВО И АНАЛИЗ ЭКОНОМИЧЕСКОЙ ЦЕЛЕСООБРАЗНОСТИ ПРОЕКТА ВНЕДРЕНИЯ ИСМ В МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
- Перспективы применения в управлении качеством производства медицинских услуг стандартов ИСО 9000/2000
- Глава 1 Принятие решений о внедрении новых технологий в медицинских организациях: теория и опыт эмпирических исследований