<<
>>

ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ

Одной из наиболее актуальных проблем, которые сегодня приходится решать медицинской организации при внедрении современных информа­ционных технологий, является защита конфиденциальной информации.

Информация может существовать во многих формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, посы­латься по почте или копироваться путем использования электронных средств, может быть представлена в видеоматериалах, на пленках или высказана в разговоре. Организации и их информационные системы и сети сталкиваются с угрозами для безопасности, исходящими из весьма разно­образных источников, включая компьютеризированное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Причины ущерба, например, злонамеренный код, компьютерное хакерство и воздействия, вызывающие отказ в обслуживании законных пользователей, становятся все более изощренными [39].Вне зависимости от того, в каком виде информация сохраняется, каки­ми средствами она распространяется или хранится, она всегда должна быть надлежащим образом защищена. Каждый руководитель медицинской организации должен объективно оценивать текущее состояние информа­ционных систем, видеть и понимать нужды в информационном обеспече­нии и существующие информационные проблемы. Тема создания системы управления информационной безопасностью медицинской организации остается одной из наиболее актуальных в сфере информатизации и построения системы управления, поскольку речь идет о наиболее критичных персональных данных — о состоянии здоровья людей [21,48,49]. К данной категории информации относятся все сведения из истории болезни, анамнез заболевания, детали о наследственности и дру­гие данные медицинского характера, которые требуют максимального уровня защиты. Кроме этого, существует конфиденциальная информация, касающаяся деловой практики медицинской организации, защита которой — это охра­на информации от большого разнообразия угроз, осуществляемая с целью обеспечения непрерывности ее деятельности, минимизации деловых рисков и максимизации возможностей в плане инновационного развития Защита информации в медицинской организации должна осуществляться путем реализации соответствующего набора средств управления, включая политику, процессы, процедуры, организационные структуры, програм­мные и аппаратные функции.
Эти элементы управления необходимо соз­дать, внедрить, постоянно контролировать, анализировать и улучшать для выполнения конкретных организационных задач защиты деловой инфор­мации [22, 45].Системный подход к описанию информационной безопасности предла­гает выделить несколько ее компонентов. Во-первых, это законодательная, нормативно-правовая и научная база. Во-вторых, структура и задачи подразделений, обеспечивающих безопасность ИТ. В-третьих, организа­ционно-технические и режимные меры и методы (Политика информацион­ной безопасности). В-четвертых, программно-технические способы и средства обеспечения информационной безопасности. Конечной целью реализации задачи построения информационной безопасности медицин­ской организации явилось построение Системы обеспечения информа­ционной безопасности (СОИБ). Определяются общие положения, технические и организационные тре­бования, составляющие Политику информационной безопасности меди­цинской организации. Для реализации требований Политики информа­ционной безопасности должны быть внедрены соответствующие про­граммно-технические способы и средства защиты информации, позво­ляющие выстроить систему менеджмента информационной безопасности (СМИБ) или системы менеджмента защиты информации (СМЗИ). В осно­ве настоящего международного стандарта также лежит методология, известная как «цикл PDCA» (Plan-Do-Check-Act). При реализации между­народных требований рассматриваются общие принципы и концептуаль­ные подходы к построению системы для организации внедрения СМИБ как проекта. Лучшей мировой практикой в области управления информа­ционной безопасностью является стандарт ISO/IEC 27001:2005. Между­народный стандарт ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информа­ционной безопасностью — Требования» [35], разработанный Междуна­родной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) на основе британского стандарта BS 7799. 'Мот стандарт представляет собой дополнение к стандарту ISO/IES 17799:2005 «Информационные технологии — Методы обеспечения безопасности — Практические правила управления информационной безопасностью» [74].
Стандарт ISO 27001 определяет информационную безопасность как «сохранение конфиденциальности, целостности и доступности информации» (рис. 51); кроме того, могут быть включены различные свойства, такие как подлинность, невозможность отказа от авторства, достоверность». ISO/IEC 27001:2005 представляет собой перечень требований к системе менеджмента информационной безопасности, обязательных для сертифи­кации, а стандарт ISO/IEC 27002:2005 выступает в качестве руководства по внедрению, которое может использоваться при проектировании механиз­мов контроля, выбираемых организацией для уменьшения рисков инфор­мационной безопасности. Стандарт ISO/IEC 27001:2005 определяет цели и средства контроля, представляющие возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информа­ционной безопасности в контексте существующих рисков организации [73]. В общем виде модель системы менеджмента информационной безопас­ности представлена в стандарте (рис. 52). Однако разработку элементов системы необходимо рассматривать с позиции применимости для данной конкретной медицинской организации, с учетом отраслевой специфики. Для успешной реализации мероприятий по внедрению и сертификации системы менеджмента информационной безопасности (СМИБ) были опре­делены цели проекта в медицинской организации:

· повышение уровня безопасности информационных активов;

· сокращение количества инцидентов, связанных с информационной безопасностью и тяжестью их последствий;

· обеспечение уверенности потребителей медицинской организации (пациентов, их законных представителей и др.) в том, что вся конфиден­циальная информация находится под защитой

Рис. 52. Концептуальная модель системы менеджмента информационной безопасности по 1SO/1EC 27001:2005

На конечной стадии проекта может быть определена цель получения сертификата по 1SO/IEC 27001 (ИСО/МЭК 27001).

Требования стандарта должны быть приняты как руководство к действию, обеспечивая понима­ние руководством медицинской организации основных направлений дея­тельности в области защиты информации, подходов к выбору инструмен­тов управления и процедур [60]. В дальнейшем возможно прохождение аудита и получение сертификата. Предлагаемая модель системы менеджмента информационной безопас­ности должна быть построена на основе процессного подхода (рис. 53).Процессная модель разработана с учетом анализа содержания и семан­тики требований стандарта ГОСТ Р. 27001. Первым шагом в реализации данной модели стали разработка политики медицинской организации в области информационной безопасности, планирование данной деятельно­сти, идентификация рисков, формирование реестра рисков, разработка методик оценки рисков в соответствии с отраслевой спецификой, управле­ние рисками. Важнейшим разделом деятельности выделен внутренний аудит, с проведения которого начинается диагностика действующей систе­мы менеджмента информационной безопасности. Проверенный практикой подход к внедрению СМИБ состоит из следующих этапов (рис. 54):

Этап 1. Организация принимает решение по внедрению ISO 27001, определяются основные цели и задачи проекта. На данном этапе определе­ны основные принципы и области применения системы управления информационной безопасностью. Назначено лицо, ответственное за разра­ботку проекта, сформирована группа менеджеров по защите информации, распределены обязанности, выделены необходимые средства. На этом папе проведено обучение ключевых сотрудников организации, задействованных в проекте, которые в дальнейшем осуществляли совместное плани­рование мероприятий по проекту ISO/IEC 27001 (ИСО/МЭК 27001). Проведен диагностический аудит для понимания текущего состояния дел и определения степени соответствия медицинской организации требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Организация получила отчет о текущем состоянии системы менеджмента информационной безопасности.

Этап 2. Рабочей группой проведен анализ рисков в области примене­ния СМИБ, разработана методика оценки рисков, принятие решений о путях управления указанными рисками.

Деятельность по обработке риска и рамках процесса менеджмента риска информационной безопасности осу­ществлялась в соответствии с требованиями стандарта (рис. 55).

Для проведения полного анализа информационных рисков прежде всею необходимо построить полную модель информационной системы с точки зрения информационной безопасности. Эту задачу выполняли высо­коквалифицированные специалисты, учитывая сложность алгоритма анализа рисков, включающего, по меньшей мере, около ста параметров, кото­рый позволяет на выходе дать максимально точную оценку существующих в информационной системе рисков, основанную на глубоком анализе особенностей информационной системы. Процессы менеджмента риска являются обычно цикличными для оцен­ки риска и действий по обработке рисков. Цикличный подход к проведению оценки риска может увеличить глубину и детали оценки при каждом новом цикле. Такой подход обеспечивает хорошее равновесие между уменьшением времени и усилием, гарантируя, что высокие риски оценены соответ­ственно

Рис. 53. Модель системы менеджмента информационной безопасности медицинской организации

Рис. 54. Этапы внедрения СМИБ в медицинской организации

. В первую очередь устанавливается контекст рисков. После этого проводится оценка риска. Если предоставлено достаточно информации, чтобы определить эффективные действия, требуемые для изменения рисков до приемлемого уровня, тогда задача считается законченной, и про­водится обработка риска. Если информации будет недостаточно, то следу­ет другой цикл оценки риска с пересмотренным контекстом (например, критерии оценки риска). Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет немед­ленно приводить к приемлемому уровню остаточного риска.

В этой ситуа­ции другой цикл оценки риска с измененными контекстными параметрами (например, оценка риска, принятие риска или критерии воздействия).

Рис. 55. Деятельность по обработке рисков по ISO 27001 в медицинской организации

Таблица 11

Процесс СМИБ Процесс менеджмента рисков ИБ
Планирование Установление контекста
Оценка риска
Планирование обработки риска
Принятие риска
Осуществление Реализация плана обработки риска
Проверка Проведение непрерывного мониторинга и пересмотра рисков
Действие Поддержка и усовершенствование процесса менеджмента рисков информационной безопасности

может в случае необходимости сопровождаться дальнейшей обработкой риска. Приемлемый уровень риска должен гарантировать, что остаточные риски приняты руководителями организации. В общем виде деятельность по управлению рисками нами предлагается рассматривать в виде основных шагов, представленных на рис. 56.В СМИБ установление контекста, оценка риска, разработка плана обра­ботки риска и принятие риска являются частью фазы «планирование». В фазе «осуществление» СМИБ действия и средства контроля, требуе­мые для снижения риска до приемлемого уровня, реализуются в соответ­ствии с планом обработки риска. Возможности современных средств обес­печения ИБ очень широки: защита инфраструктуры организации, защита от атак, контроль поведения абонентов, защита периметра сети, монито­ринг ИБ, защита от спама, отражение вирусов, применение политик, аутен­тификация почты, контроль приложений и аудит сетевой безопасности. В фазе «проверка» СМИБ менеджеры определяют потребность в пере­смотре обработки риска в свете инцидентов и изменений обстоятельств. В фазе «действие» осуществляются любые необходимые работы, вклю­чая повторное инициирование процесса менеджмента риска ИБ. В табли­це 11 суммируются виды деятельности, связанной с менеджментом риска, значимые для четырех фаз процесса СМИБ.

Соотношение СМИБ и процесса менеджмента рисков информационной безопасности

Менеджмент риска информационной безопасности должен быть непре­рывным процессом. Менеджмент риска связан с анализом того, что может произойти и какими могут быть возможные последствия, прежде чем выра­ботать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня. В этом контексте новый международный стандарт ISO/IEC 27005:2011 «Информационные технологии — Методы обеспече­ния безопасности — Управление рисками информационной безопасности» может помочь медицинским организациям в повышении уровня управле­ния рисками информационной безопасности. Новый стандарт описывает процесс управления рисками информационной безопасности и соответству­ет общим принципам, перечисленным в стандарте ISO/IEC 27001:2005. Недостаток отечественной нормативной базы ИБ состоит в отсутствии рос­сийского ГОСТа по рискам. Иначе говоря, отечественные организации по стандартизации перевели только две части британского стандарта BS 7799 из трех — это ГОСТ 17799 и ГОСТ 27001. Таким образом, имеется ГОСТ 27001, в котором заданы требования к СУИБ, и ГОСТ 17799, где имеются примеры по среде и системам ИБ, но нет руководства по оценке и управле­нию рисками. Вместе с тем именно в стандарте ISO 27005 представлено общее руководство по управлению рисками информационной безопас­ности. Он поддерживает общие концепции, изложенные в ISO/IEC 27001, и предназначен для «содействия адекватному обеспечению информационной безопасности на основе риск-ориентированного подхода». Риск информа­ционной безопасности (Information security risk) определен в стандарте как потенциальная угроза эксплуатации уязвимости актива или группы ценных свойств, которые могут нанести вред организации. Стандарт применим ко всем видам организаций (в том числе и организациям, действующим в системе здравоохранения), планирующим управлять рисками информа­ционной безопасности. Этот интернациональный стандарт обеспечивает рекомендации по управлению рисками информационной безопасности в организации, поддерживающей требования СМИБ (системы менеджмента информационной безопасности) согласно 1SO/1EC 27001.

Рис. 56. Этапы и структура управленческих воздействий в области управлении рисками информационной безопасности

Далее производится анализ угроз безопасности и уязвимостей. Исход­ные данные для оценки угроз и уязвимостей аудитор получает от уполно­моченных представителей организации в ходе соответствующих интервью. Для проведения интервью используются специализированные опросники. Вопросы связаны с различными категориями ресурсов. Допускаются кор­ректировка вопросов, исключение или добавление новых. Задаются часто вероятность возникновения каждой из выделенных угроз, степень уязвимости и цен­ности ресурсов. Все это используется в дальнейшем для расчета эффектив­ное I и внедрения средств защиты. Необходимо идентифицировать все виды информации, представляющей ценность для медицинской организации. Идентифицируются все активы, задействованные в функционировании Бизнес процессов и имеющие влияние на ценную для организации информацию. Данные активы включают:

· человеческие ресурсы;

· информационные ресурсы (как в электронном, так и в бумажном виде);

· оборудование;

· программное обеспечение;

· услуги, оказываемые внутренним и внешним заказчикам.

Введенные группы ценной информации должны быть размещены пользова­телем на объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза — указание ущерба по каждой группе ценной информа­ции, расположенной на соответствующих ресурсах, по всем видам угроз.

Одним из значимых этапов являются определение и оценка рисков (risk assessment). В рамках анализа проводятся инвентаризация и категоризация защищаемых ресурсов, выясняются нормативные, технические, договор­ные требования к ресурсам в сфере ИБ, а затем с учетом этих требований определяется стоимость ресурсов. В стоимость входят все потенциальные затраты, связанные с возможными воздействиями на защищаемые ресур­сы. Следующим этапом анализа рисков является составление перечня зна­чимых угроз и уязвимостей для каждого ресурса, а затем вычисляется вероятность их реализации. Стандарт допускает двоякое толкование поня­тия угрозы ИБ: как условие реализации уязвимости ресурса (в этом случае уязвимости и угрозы идентифицируются отдельно) и как общее потен­циальное событие, способное привести к компрометации ресурса (когда наличие возможности реализации уязвимости и есть угроза). Не возбраня­ется разделение угроз ИБ на угрозы целостности, доступности и конфи­денциальности.

Оценивание риска проводится путем его вычисления и сопоставления с заданной шкалой. Анализ риска может быть осуществлен с различной степенью детализации в зависимости от критичности активов, распро­страненности известных уязвимостей и прежних инцидентов, касавших­ся организации. Методология измерения может быть качественной или количественной, или их комбинацией в зависимости от обстоятельств. На практике качественная оценка часто используется первой для получе­ния общих сведений об уровне риска и выявления основных значений рисков. Позднее может возникнуть необходимость в осуществлении более специфичного или количественного анализа основных значений рисков, поскольку обычно выполнение качественного анализа по сравне­нию с количественным является менее сложным и менее затратным. В стандарте подробно описываются детали методологии оценки:

а. Качественная оценка использует шкалу квалификации атрибутов для описания величины возможных последствий (например, низкий, средний и высокий) и вероятности возникновения этих последствий. Преимущество качественной оценки заключается в простоте ее понимания всем соответ­ствующим персоналом, а недостатком является зависимость от субъектив­ного выбора шкалы. Такие шкалы могут быть адаптированы или скорректированы таким образом, чтобы удовлетворять требованиям обстоятельств, а для разных рисков могут использоваться разные описания. Качественная оценка может использоваться:

· как начальная деятельность по тщательной проверке для идентифика­ции рисков, требующих более детального анализа;

· там где этот вид анализа является соответствующим для принятия решения;

· там, где числовые данные или ресурсы являются неадекватными для количественной оценки.

Количественная оценка использует шкалу с числовыми значениями (а не описательные шкалы, используемые в качественной оценке) последствий и вероятностей, включающую данные из различных источников. Качество анализа зависит от точности и полноты числовых значений и от обоснованности используемых моделей. В большинстве случаев количественная оценка использует фактические данные за прошлый период, обеспечивая я преимущество в том, что она может быть напрямую связана с целями информационной безопасности и проблемами организации. Недостатки количественного подхода могут иметь место тогда, когда факти­ческие проверяемые данные недоступны, поэтому создается иллюзия цен­ности и точности оценки риска. BS 7799-3 допускает использование как количественных, гак и качест­венных методов оценки рисков, но, к сожалению, в документе пет обосно­вания и рекомендаций по выбору математического и методического аппарата оценки рисков ИБ. Приложение к стандарту содержит единственный пример, который условно можно отнести к качественному методу оценки. Данный пример использует трех- и пятибалльные оценочные шкалы:

a. Оцениваются уровни стоимости идентифицированною ресурса по пятибалльной шкале: «незначительный», «низкий», «средний», «высо­кий», «очень высокий».

b. Оцениваются уровни вероятности угрозы по трехбалльной шкале: «низкий», «средний», «высокий».

c. Оцениваются уровни вероятности уязвимости: «низкий», «средний», «высокий».

d. По заданной таблице рассчитываются уровни риска.

e. Проводится ранжирование инцидентов по уровню риска.

После того, как риск оценен, должно быть принято решение относи­тельно его обработки (risk treatment) — точнее, выбора и реализации мер и средств по минимизации риска. Помимо оцененного уровня риска, при принятии решения могут быть учтены затраты на внедрение и сопровож­дение механизмов безопасности, политика руководства, простота реализа­ции, мнение экспертов и др. Предлагается одна из четырех мер обработки риска:

f. Уменьшение риска. Риск считается неприемлемым, и для его умень­шения выбираются и реализуются соответствующие меры и средства безопасности.

g. Передача риска. Риск считается неприемлемым и на определенных условиях (например, в рамках страхования, поставки или аутсорсинга) переадресуется сторонней организации.

h. Принятие риска. Риск в конкретном случае считается осознанно допустимым — организация должна смириться с возможными послед­ствиями. Обычно это означает, что стоимость контрмер значительно пре­восходит финансовые потери в случае реализации угрозы либо организа­ция не может найти подходящие меры и средства безопасности.

i. Отказ от риска. Отказ от бизнес-процессов организации, являющих­ся причиной риска. Например, отказ от электронных платежей по Сети.

В результате обработки риска остается так называемый остаточный риск, относительно которого принимается решение о завершении этапа обработки риска. Раздел 7 BS 7799-3 «Непрерывная деятельность по управ­лению рисками» затрагивает следующие две фазы менеджмента системы: контроль риска и оптимизация риска. Для контроля риска рекомендуются технические меры (мониторинг, анализ системных журналов и выполнения проверок), анализ со стороны руководства, независимые внутренние аудиты ИБ. Фаза оптимизации риска содержит переоценку риска и соответственно пересмотр политик, руководств по управлению рисками, корректировку и обновление механизмов безопасности. Процедуры контроля рисков и оптимизации, включая использование политик, мер и средств безопас­ности, идентификацию ресурсов, угроз и уязвимостей, документирование, гармонизированы с ISO 27001 и 27002. В стандарте в качестве приложений приведены примеры основных элементов оценки уязвимостей, угроз, рисков, вариант методики количест­венной и качественной оценки рисков и др. Результатом работ по анализу рисков информационной безопасности, как правило, являются:

· описание обследованных автоматизированных систем и сервисов, применяемых административных, организационных мер, программно-тех­нических средств обеспечения ИБ;

· карта рисков информационной безопасности;

· план обработки рисков, который включает комплекс внедряемых административных, организационных мер и программно-технических средств, направленных на снижение уровня рисков информационной безопасности, оценку стоимости внедрения, а также график мероприятий по внедрению мер обеспечения ИБ (а в некоторых случаях полученные данные могут быть представлены в виде эскизного проекта реализации системы информационной безопасности ИС организации).

В конечном итоге решение о внедрении в систему новых инструментов и механизмов информационной безопасности и усовершенствовании имеющихся принимает руководство медицинской организации, учитывая связанные с этим расходы, их приемлемость и конечную выгоду для деятельности. Использование международного стандарта ISO/IKC 27005:2011 позволяет руководству организовать данную деятельность на системной основе и защитить организацию от потери каких-либо ресурсов, а самое главное — потери деловой репутации.

В медицинской организации, как правило, выделяются 2 основных источника рисков: сеть Интернет и преднамеренные и непреднамеренные действия пользователей (сотрудников). Далее произведен анализ угроз безопасности и уязвимостей. Исходные данные для оценки угроз и уязви­мостей мы получали от уполномоченных представителей организации в ходе соответствующих интервью. На начальном этапе идентифицированы все виды информации, представляющей ценность для организации. Парал­лельно осуществлялись разработка необходимых процессов, процедур, положений, инструкций, форм записей (целей и средств контроля), согла­сование и утверждение разработанных документов.

Этап 3. Внедрение системы СМИБ, которое включало такие обязатель­ные мероприятия, как проведение инструктажей персонала организации, проведение внутренних аудитов информационной безопасности, а также проведение корректирующих действий по результатам внутреннего аудита.

Этап 4. Сопровождение системы менеджмента информационной без­опасности. В рамках этого этапа регулярно проводятся внутренний аудит СМЗИ, а также подготовка медицинской организации к аудиту третьей сто­роной (надзорному аудиту) на соответствие требованиям ISO/IEC 27001 (ИСО/МЭК 27001). Акты аудитов тщательно анализируются, разрабатыва­ются корректирующие действия, определяются сроки, ответственные и ресурсы для их реализации. Руководству представляется сводный отчет о результатах функционирования СМЗИ, на основе анализа которого в даль­нейшем разрабатываются планы развития медицинской организации в области менеджмента информационной безопасности [23].

Этап 5. Сертификация системы менеджмента информационной без­опасности на соответствие требованиям 1SO/IEC 27001 (ИСО/МЭК 27001).

Существует множество способов защиты соединения с Интернетом, основным являются межсетевые экраны NetDefend UTM DFL-1660, кото­рые обеспечивают законченное решение для управления, мониторинга и обслуживания безопасной сети [38]. Среди функций управления присут­ствуют: удаленное управление, политики управления полосой пропуска­ния, блокировка по URL/ключевым словам, политики доступа и SNMP. Также поддерживаются такие функции сетевого мониторинга, как уведом­ление по e-mail, системный журнал, проверка устойчивости и статистика в реальном времени. Межсетевые экраны NetDefend UTM оснащены систе­мой обнаружения и предотвращения, антивирусом и фильтрацией Web-со­держимого для проверки и защиты содержимого на 7-м уровне. Сервисы обновления IPS, антивируса и базы данных URL защищают офисную сеть от вторжений, червей, вредоносных кодов и удовлетворяют потребностям бизнеса по управлению доступом сотрудников к Интернету. Данные устройства помогают при атаках (реальных или потенциальных) значи­тельно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. Вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они, достигнут настольных или мобильных устройств. Фильтрация Web-содержимого помогает адми­нистраторам осуществлять мониторинг, управление и контроль использо­вания сотрудниками предоставленного им доступа к Интернету. Использу­ются политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web- сайтам для любой комбинации пользователей, интерфейсов и IP-сетей.

Оценка менеджмента ИБ организации определяется с помощью груп­повых и частных показателей ИБ. Очень полезным является опыт Цен­трального банка России, который внедрил собственный стандарт (ссылка) по системе менеджмента информационной безопасности и предлагает ряд показателей, позволяющих оценить степень выполнения требований ИБ для следующих областей:

— организация и функционирование службы ИБ организации;

— определение/коррекция области действия СМИБ;

—выбор/коррекция подхода к оценке рисков нарушения ИБ и проведе­ние оценки рисков нарушения ИБ;

— разработка планов обработки рисков нарушения ИБ;

—разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;

—принятие руководством организации решений о реализации и эксплуатации СМИБ;

— организация реализации планов обработки рисков нарушения ИБ;

—разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;

— организация обнаружения и реагирования на инциденты безопасности;

— организация обеспечения непрерывности бизнеса и его восстановле­ния после прерываний;

—мониторинг и контроль защитных мер;

— проведение самооценки ИБ;

— проведение внешнего аудита ИБ;

— анализ функционирования СМИБ;

— анализ СМИБ со стороны руководства организации;

— принятие решений по тактическим улучшениям СМИБ;

— принятие решений по стратегическим улучшениям СМИБ.

Необходимо разработать систему собственных критериев для оценки системы информационной безопасности для конкретной медицинской организации. Вариант такой оценки может быть представлен с описанием используемых способов защиты по разделам: вирусные атаки, несанкционированный доступ к информационным системам, несанкционированная рассылка (спам), атаки типа «отказ в обслуживании, хищение идентификационной информации, онлайновое мошенничество, вмешательство в работу программ, неисправность и полом оборудования, отсутствие достаточного набора средств информации ной защиты и др. Современные практики по управлению СМИБ базируются на международном стандарте ISO/IEC 27001. Выполнение требований ISO/II 27001:2005 позволяет медицинской организации формализован, и структурировать процессы управления информационной безопасностью следующим направлениям: разработка политики безопасности; opганизация информационной безопасности; организация управления внутренними активами и ресурсами, составляющими основу ключевых процесс деятельности; защита персонала и снижение внутренних угроз; физическая безопасность и безопасность окружающей среды; управление средствами связи и эксплуатацией оборудования; управление и кодами доступа; разработка и обслуживание аппаратно-программных сие к соответствие требованиям стандарта и соблюдение правовых норм безопасности. Основная выгода внедрения СМИБ — выявление наиболее серьезных угроз и экономия средств на создание эффективной системы обеспечения информационной безопасности. Проблемы IT-безопасности вышли на высший уровень управления, позволяя всесторонне оцениватьIT- риски заблаговременно их минимизировать. Основные результаты внедрения системы информационном безопасности в медицинской организации: все возможные риски уязвимости ресурсов идентифицированы, их уровни оценены; идентифицированы и их уровни оценены; контрмеры эффективны; расходы, связанные с ИБ, оправданы. Вирусные атаки отражаются к I00"«, зарегистрированы случаи несанкционированного доступа, заблокирована несанкционированная рассылка (100%), отсутствуют случаи атак, вмешательства в работу программ, неисправности или поломки оборудования.

<< | >>
Источник: Князюк Н.Ф., Кицул И.С.. Методология построения интегрированной системы менеджмента медицинских организаций2013. - 321 c.. 2013

Еще по теме ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ:

  1. ОГЛАВЛЕНИЕ
  2. Часть 1 ГЛАВА 1. АНАЛИЗ ПОДХОДОВ К УПРАВЛЕНИЮ КАЧЕСТВОМ МЕДИЦИНСКОЙ ПОМОЩИ В СОВРЕМЕННЫХ УСЛОВИЯХ.
  3. ГЛАВА 3. МЕЖДУНАРОДНЫЕ ОРГАНИЗАЦИИ ПО СТАНДАРТИЗАЦИИ В ОБЛАСТИ КАЧЕСТВА. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ СЕРИИ ISO 9000
  4. ГЛАВА 4. ПОРЯДОК РАЗРАБОТКИ И ВНЕДРЕНИЯ СИСТЕМЫ МЕНЕДЖМЕНТА КАЧЕСТВА
  5. СТАНДАРТЫ ISO В ЗДРАВООХРАНЕНИИ
  6. Часть 2 ГЛАВА 12. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ОЦЕНКЕ КАЧЕСТВА УПРАВЛЕНИЯ МЕДИЦИНСКОЙ ОРГАНИЗАЦИЕЙ
  7. ГЛАВА 14. ОРГАНИЗАЦИОННО-МЕТОДИЧЕСКИЕ ПОДХОДЫ К ПРОЕКТИРОВАНИЮ И ВНЕДРЕНИЮ АДДИТИВНО ИНТЕГРИРОВАННОЙ ИСМ
  8. ГЛАВА 15.МОДЕЛИРОВАНИЕ АДДИТИВНО ИНТЕГРИРОВАННОЙ СИСТЕМЫ МЕНЕДЖМЕНТА МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
  9. ГЛАВА 16. МОДЕЛЬ СИСТЕМЫ МЕНЕДЖМЕНТА ПРОФЕССИОНАЛЬНОЙ БЕЗОПАСНОСТИ И ОХРАНЫ ТРУДА
  10. ГЛАВА 19. МЕТОДИЧЕСКИЕ ПОДХОДЫ К ВНЕДРЕНИЮ МЕЖДУНАРОДНОГО СТАНДАРТА ISO/IEC 27001:2005 ПРИ ПОСТРОЕНИИ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
  11. ГЛАВА 22.ОЦЕНКА ЗАТРАТ НА КАЧЕСТВО И АНАЛИЗ ЭКОНОМИЧЕСКОЙ ЦЕЛЕСООБРАЗНОСТИ ПРОЕКТА ВНЕДРЕНИЯ ИСМ В МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
  12. Перспективы применения в управлении качеством производства медицинских услуг стандартов ИСО 9000/2000
  13. Глава 1 Принятие решений о внедрении новых технологий в медицинских организациях: теория и опыт эмпирических исследований
- Акушерство и гинекология - Анатомия - Андрология - Биология - Болезни уха, горла и носа - Валеология - Ветеринария - Внутренние болезни - Военно-полевая медицина - Восстановительная медицина - Гастроэнтерология и гепатология - Гематология - Геронтология, гериатрия - Гигиена и санэпидконтроль - Дерматология - Диетология - Здравоохранение - Иммунология и аллергология - Интенсивная терапия, анестезиология и реанимация - Инфекционные заболевания - Информационные технологии в медицине - История медицины - Кардиология - Клинические методы диагностики - Кожные и венерические болезни - Комплементарная медицина - Лучевая диагностика, лучевая терапия - Маммология - Медицина катастроф - Медицинская паразитология - Медицинская этика - Медицинские приборы - Медицинское право - Наследственные болезни - Неврология и нейрохирургия - Нефрология - Онкология - Организация системы здравоохранения - Оториноларингология - Офтальмология - Патофизиология - Педиатрия - Приборы медицинского назначения - Психиатрия - Психология - Пульмонология - Стоматология - Судебная медицина - Токсикология - Травматология - Фармакология и фармацевтика - Физиология - Фтизиатрия - Хирургия - Эмбриология и гистология - Эпидемиология -