что представляет собой стандарт iso iec 27799
Что представляет собой стандарт iso iec 27799
ГОСТ Р ИСО 27799-2015
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕНЕДЖМЕНТ ЗАЩИТЫ ИНФОРМАЦИИ В ЗДРАВООХРАНЕНИИ ПО ИСО/МЭК 27002
Health informatics. Information security management in health using ISO/IEC 27002
Дата введения 2016-11-01
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации» (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением «Консультационно-внедренческая фирма в области международной стандартизации и сертификации «Фирма «ИНТЕРСТАНДАРТ» на основе собственного аутентичного перевода на русский язык англоязычной версии международного документа, указанного в пункте 4
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2219-ст
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном приложении ДА
Введение
Это руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
Эффективный менеджмент IT-защиты в области здравоохранения становится все более необходимым при все более широком использовании беспроводных и интернет-технологий при предоставлении медицинских услуг. При ненадлежащем применении эти сложные технологии повысят риски для конфиденциальности, целостности и доступности медицинской информации. Независимо от размера, расположения и модели предоставления услуг, все медицинские организации должны иметь строгий контроль, чтобы защитить вверенную им медицинскую информацию. Тем не менее, многие специалисты в области здравоохранения работают как самостоятельные врачи или небольшие клиники, которые не имеют выделенных информационно-технологических ресурсов для управления защитой информации. Поэтому медицинские учреждения должны иметь четкое, сжатое и специфичное для здравоохранения руководство по выбору и реализации такого контроля. Это руководство должно быть адаптируемо к широкому диапазону размеров, мест применения и моделей предоставления услуг, имеющихся в здравоохранении. Наконец, с ростом электронного обмена персональной медицинской информацией между работниками здравоохранения в принятии общих рекомендаций для управления защитой информации в сфере здравоохранения имеются очевидные преимущества.
ИСО/МЭК 27002 уже широко используется для управления защитой информационных технологий для информатизации здоровья через национальные или региональные руководства в Австралии, Канаде, Франции, Нидерландах, Новой Зеландии, Южной Африке и Великобритании. В других странах также растет интерес к этому. Настоящий стандарт опирается на опыт, накопленный в ходе попыток стран обеспечить защиту персональной медицинской информации и предназначен в качестве документа, сопутствующего ИСО/МЭК 27002. Он не предназначен для замены ИСО/МЭК 27002 или ИСО/МЭК 27001. Он, скорее, является дополнением к этим более обобщенным стандартам.
Настоящий стандарт применяет ИСО/МЭК 27002 к области здравоохранения таким образом, чтобы тщательно рассмотреть вопрос о надлежащем применении мер безопасности в целях защиты персональной медицинской информации. Эти соображения, в некоторых случаях, привели авторов к выводу, что применение определенных целей контроля, указанных в ИСО/МЭК 27002, необходимо, если персональная медицинская информация должна быть защищена надлежащим образом. Поэтому настоящий стандарт устанавливает ограничения на применение определенных мер безопасности, указанных в ИСО/МЭК 27002. Это в свою очередь привело к включению в раздел 7 нескольких нормативных актов, согласно которым применение данного контроля безопасности является обязательным. Например, в 7.2.1 определено следующее:
«Организации, занимающиеся обработкой медицинской информации, в том числе личной медицинской информации, должны иметь политику по защите информации в письменном виде, одобренную руководством, опубликованную, а затем доведенную до всех сотрудников и соответствующих сторонних организаций».
В области здравоохранения организация (например, больница) может быть сертифицирована на соответствие ИСО/МЭК 27001, при этом не требуется сертификация или даже признание соответствия настоящему стандарту. Однако следует надеяться, что, ввиду того, что медицинские организации стремятся улучшить защиту персональной медицинской информации, а соответствие настоящему стандарту, как более строгому стандарту для здравоохранения, будет также иметь широкое распространение.
Все объекты контроля защиты, описанные в ИСО/МЭК 27002, имеют отношение к информатизации здоровья, но некоторые элементы управления требуют дополнительных разъяснений касательно того, каким образом они могут быть использованы, чтобы защитить конфиденциальность, целостность и доступность информации о состоянии здоровья. Существуют также дополнительные требования, характерные для сферы здравоохранения. Настоящий стандарт содержит дополнительные указания в формате, который лица, ответственные за защиту медицинской информации могут легко понять и применить.
Авторы настоящего стандарта не намереваются писать пособие по компьютерной безопасности или заново формулировать то, что уже было написано в ИСО/МЭК 27002 или ИСО/МЭК 27001. Существует много требований безопасности, которые являются общими для всех систем, связанных с применением компьютерной техники, используемых в финансовом обслуживании, производстве, управлении производственными процессами или в любой другой организованной области деятельности. Были предприняты объединенные усилия для того, чтобы сосредоточиться на требованиях безопасности, необходимость которых вызвана уникальными задачами по предоставлению электронной медицинской информации, которая поддерживает оказание помощи.
Кому адресован настоящий стандарт?
Настоящий стандарт предназначен для тех, кто отвечает за контроль защиты медицинской информации, и для медицинских организаций и других хранителей медицинской информации, которым необходимо руководство по данной теме, а также для их советников по безопасности, консультантов, аудиторов, продавцов и третьих лиц, оказывающих услуги.
Преимущества использования настоящего стандарта
ИСО/МЭК 27002 является широким комплексным стандартом, и его рекомендации не адаптированы специально под требования здравоохранения. Настоящий стандарт позволяет последовательно применить ИСО/МЭК 27002 в условиях здравоохранения и при этом особое внимание уделить специальным задачам, поставленным сферой здравоохранения. Соответствие настоящему стандарту помогает медицинским организациям сохранять конфиденциальность и целостность вверенных им данных, обеспечивать доступность к основным информационным системам здравоохранения и распределять ответственность за медицинскую информацию.
Принятие настоящего стандарта медицинскими организациями в пределах одной юрисдикции и между юрисдикциями поможет взаимодействию и позволит безопасно внедрить новые совместные технологии оказания медицинской помощи. Безопасный и конфиденциальный обмен информацией может значительно улучшить результаты предоставления медицинских услуг.
Благодаря настоящему стандарту медицинские организации могут отметить снижение количества и тяжести инцидентов в системе безопасности, позволяя перераспределить ресурсы для более продуктивной деятельности. Защита IT позволит распределить ресурсы здравоохранения рентабельно и продуктивно. На самом деле, исследование, проведенное Форумом по защите информации и аналитиками рынка, показало, что хорошая разносторонняя защита может увеличить эффективность организации на целых 2%.
Наконец, последовательный подход к защите IT, понятный всем лицам и организациям, относящимся к здравоохранению, улучшит моральное состояние коллектива и повысит доверие общества к системам, хранящим персональную медицинскую информацию.
Как использовать настоящий стандарт
Читателям, еще не знакомым с ИСО/МЭК 27002, настоятельно рекомендуется ознакомиться с вводными разделами настоящего стандарта, прежде чем продолжить его изучение. Специалисты по внедрению настоящего стандарта должны сначала внимательно прочитать ИСО/МЭК 27002, так как в тексте ниже будут неоднократно делаться ссылки на соответствующие разделы этого стандарта. Настоящий стандарт не может быть полностью понят без знакомства с полным текстом ИСО/МЭК 27002.
Читателям, не знакомым с защитой медицинской информации и ее целями, задачами, и полным контекстом, будет полезно прочитать краткое введение, которое можно найти в разделе 5.
Читатели, интересующиеся руководством по внедрению ИСО/МЭК 27002 в область здравоохранения, найдут в разделе 6 применяемый на практике план действий. Данный раздел не содержит обязательных требований. Вместо этого даны общие советы и рекомендации о том, как лучше приступить к внедрению ИСО/МЭК 27002 в здравоохранение. Раздел выстроен вокруг цикла деятельности (планирование/действие/проверка/улучшение), который описан в ИСО/МЭК 27001, и который, в случае его выполнения, приведет к надежному внедрению системы менеджмента информационной безопасности.
Читатели, нуждающиеся в конкретных советах по одиннадцати разделам управления защитой и 39 основным категориям управления защитой, описанным в ИСО/МЭК 27002, смогут найти их в разделе 7. Этот раздел рассматривает каждый из одиннадцати разделов ИСО/МЭК 27002 по управлению защитой. При необходимости указываются минимальные требования, а в некоторых случаях изложены нормативные руководства по надлежащему применению определенных видов управления защитой для защиты медицинской информации, указанных в ИСО/МЭК 27002.
В конце настоящего стандарта даны три приложения. Приложение А описывает общие угрозы медицинской информации. Приложение В кратко описывает задачи и сопутствующие документы системы менеджмента информационной безопасности. В приложении С рассматриваются преимущества средств поддержки для оказания помощи при внедрении. В библиографии перечислены соответствующие стандарты в области защиты медицинской информации.
1 Область применения
1.1 Общие положения
Настоящий стандарт определяет руководства для помощи при толковании или внедрении ИСО/МЭК 27002 в информатизацию здоровья и является дополнением настоящему стандарту *.
* Данное руководство отвечает требованиям пересмотренного варианта ИСО/МЭК 27002:2005.
Настоящий стандарт устанавливает подробный набор элементов управления для управления защитой медицинской информации и предоставляет руководства по лучшим практикам для защиты медицинской информации. Внедряя настоящий стандарт, медицинские организации и другие хранители медицинской информации смогут обеспечить минимальный необходимый уровень защиты, соответствующий условиям организации и способный поддерживать конфиденциальность, целостность и доступность персональной медицинской информации.
Настоящий стандарт распространяется на информацию о здоровье во всех ее аспектах, независимо от формы представления информации (слова и цифры, звукозаписи, рисунки, видео и медицинские снимки), средств, используемых для ее хранения (напечатанная или написанная на бумаге или в электронном виде) и средств, используемых для ее передачи (вручную, по факсу, через компьютерные сети или по почте), так как информация всегда должна быть соответствующим образом защищена.
Настоящий стандарт и ИСО/МЭК 27002 в своей совокупности определяют, что требуется в рамках защиты информации в области здравоохранения; но не определяют то, как эти требования должны быть выполнены. Иными словами, настоящий стандарт в максимально возможной степени является технологически нейтральным. Нейтральность по отношению к внедрению технологий является важной особенностью. Технология защиты по-прежнему переживает бурное развитие, и темп этих изменений теперь измеряется в месяцах, а не в годах. В противоположность этому, ожидается, что стандарты в целом останутся в силе в течение многих лет, при том, что они подлежат периодическому пересмотру. Не менее важно и то, что технологическая нейтральность оставляет продавцам и поставщикам услуг возможность предлагать новые или развивающиеся технологии, отвечающие необходимым требованиям, которые описывает настоящий стандарт.
Как отмечалось во введении, для понимания настоящего стандарта необходимо сначала ознакомиться с содержанием ИСО/МЭК 27002.
1.2 Исключения из области применения
Следующие области защиты информации выходят за рамки настоящего стандарта:
a) методики и статистические испытания для эффективной анонимизации персональной медицинской информации;
b) методики псевдонимизации персональной медицинской информации (см. [10] для примера технической спецификации ИСО, непосредственно касающиеся данной темы);
c) качество работы сети обслуживания и методы измерения доступности сетей, используемых для информатизации здоровья;
d) качество данных (в отличие от целостности данных).
2 Нормативные ссылки
Следующие нормативные документы* являются обязательными для применения настоящего документа. Для датированных ссылок применяется только цитированное издание. Для недатированных ссылок применяется последнее издание ссылочного документа (включая все поправки).
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Термины здравоохранения
3.1.1 информатизация здоровья (health informatics): Научная дисциплина, которая занимается когнитивными задачами, задачами по обработке информации и коммуникационными задачами практики здравоохранения, задачами образования и исследованиями, в том числе в области информатики и информационных технологий, обеспечивающих выполнения этих задач.
[ИСО/ТР 18307:2001, определение 3.73]
3.1.2 информационная система здравоохранения (health information system): Хранилище информации о здоровье субъекта оказания медицинской помощи в удобном для машинной обработки виде, которая безопасно хранится и передается и является доступной для нескольких уполномоченных пользователей.
3.1.3 здравоохранение (healthcare): Любой вид услуг, предоставленных медицинскими работниками или средним медицинским персоналом и оказывающих влияние на состояние здоровья.
[Европейский парламент, 1998, согласно цитате ВОЗ]
3.1.4 медицинская организация (healthcare organization): Общий термин, используемый для описания многих видов организаций, предоставляющих медицинские услуги.
Что представляет собой стандарт iso iec 27799
ГОСТ Р ИСО/МЭК 17799-2005
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРАКТИЧЕСКИЕ ПРАВИЛА УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Information technology. Code of practice for information
security management
Дата введения 2007-01-01
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 17799:2000 «Информационная технология. Практические правила управления информационной безопасностью» (ISO/IEC 17799:2000 «Information technology. Code of practice for security management»)
Введение
Что такое информационная безопасность?
Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.
— конфиденциальность: доступ к информации только авторизованных пользователей;
— целостность: достоверность и полноту информации и методов ее обработки;
— доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
Необходимость информационной безопасности
Информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными.
Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.
Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие поставщиков, клиентов или акционеров. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.
Как определить требования к информационной безопасности
Организация должна определить свои требования к информационной безопасности с учетом следующих трех факторов.
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
Оценка рисков информационной безопасности
Требования к информационной безопасности определяются с помощью систематической оценки рисков. Решения о расходах на мероприятия по управлению информационной безопасностью должны приниматься, исходя из возможного ущерба, нанесенного бизнесу в результате нарушений информационной безопасности. Методы оценки риска могут применяться как для всей организации, так и для какой-либо ее части, отдельных информационных систем, определенных компонентов систем или услуг, а именно там, где это практически выполнимо и целесообразно.
— вероятного ущерба, наносимого бизнесу в результате нарушений информационной безопасности с учетом возможных последствий от потери конфиденциальности, целостности или доступности информации и других активов;
— вероятности наступления такого нарушения с учетом существующих угроз и уязвимостей, а также внедренных мероприятий по управлению информационной безопасностью.
Результаты этой оценки помогут в определении конкретных мер и приоритетов в области управления рисками, связанными с информационной безопасностью, а также внедрению мероприятий по управлению информационной безопасностью с целью минимизации этих рисков.
Может потребоваться неоднократное проведение оценки рисков и выбора мероприятий по управлению информационной безопасностью для того, чтобы охватить различные подразделения организации или отдельные информационные системы.
Важно периодически проводить анализ рисков в области информационной безопасности и внедренных мероприятий по управлению информационной безопасностью для того, чтобы учесть:
— изменения требований и приоритетов бизнеса;
— появление новых угроз и уязвимостей;
— снижение эффективности существующих мероприятий по управлению информационной безопасностью.
Уровень детализации такого анализа следует определять в зависимости от результатов предыдущих проверок и изменяющегося уровня приемлемого риска. Оценка рисков обычно проводится сначала на верхнем уровне, при этом ресурсы направляются в области наибольшего риска, а затем на более детальном уровне, что позволяет рассмотреть специфические риски.
Выбор мероприятий по управлению информационной безопасностью
Выбор мероприятий по управлению информационной безопасностью должен основываться на соотношении стоимости их реализации к эффекту от снижения рисков и возможным убыткам в случае нарушения безопасности. Также следует принимать во внимание факторы, которые не могут быть представлены в денежном выражении, например, потерю репутации.
Некоторые мероприятия по управлению информационной безопасностью, приведенные в настоящем стандарте, могут рассматриваться как руководящие принципы для управления информационной безопасностью и применяться для большинства организаций. Более подробно такие мероприятия рассматриваются ниже.
Отправная точка для внедрения информационной безопасности
Отдельные мероприятия по управлению информационной безопасностью могут рассматриваться как руководящие принципы для управления информационной безопасностью и служить отправной точкой для ее внедрения. Такие мероприятия либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.
Ключевыми мерами контроля с точки зрения законодательства являются:
— обеспечение конфиденциальности персональных данных (12.1.4);
— защита учетных данных организации (12.1.3);
— права на интеллектуальную собственность (12.1.2).
Мероприятия по управлению информационной безопасностью, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
— наличие документа, описывающего политику информационной безопасности (3.1);
— распределение обязанностей по обеспечению информационной безопасности (4.1.3);
— обучение вопросам информационной безопасности (6.2.1);
— информирование об инцидентах, связанных с информационной безопасностью (6.3.1);
— управление непрерывностью бизнеса (11.1).
Перечисленные мероприятия применимы для большинства организаций и информационных сред. Следует отметить, что, хотя все приведенные в настоящем стандарте мероприятия являются важными, уместность какой-либо меры должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка для внедрения мероприятий по обеспечению информационной безопасности, он не заменяет выбор мероприятий по управлению информационной безопасностью, основанный на оценке рисков.
Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:
— соответствие целей, политик и процедур информационной безопасности целям бизнеса;
— согласованность подхода к внедрению системы безопасности с корпоративной культурой;
— видимая поддержка и заинтересованность со стороны руководства;
— четкое понимание требований безопасности, оценка рисков и управление рисками;
— обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации;
— передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам;
— обеспечение необходимого обучения и подготовки;
— всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.
Разработка собственных руководств организации
Настоящий стандарт должен расцениваться как отправная точка для разработки руководства под конкретные нужды организации. Не все инструкции и мероприятия, приведенные в настоящем стандарте, могут быть применимыми.
Более того, могут потребоваться дополнительные меры, не включенные в настоящий стандарт. В этом случае может быть полезным сохранение перекрестных ссылок, которые облегчат проверку соответствия, проводимую аудиторами и партнерами по бизнесу.
1 Область применения
Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.