Медицинские информационные технологии. Категории безопасности

И защита информационных систем здравоохранения

 

В настоящем приложении приведено краткое описание европейского стандарта ENV [6].

 

Область применения

Настоящий европейский стандарт устанавливает методы классификации автоматизированных информационных систем здравоохранения с точки зрения безопасности. Принятые защитные меры обеспечивают предохранение доступности, конфиденциальности и целостности данных до приемлемого уровня. Приведено соответствие пакета защитных требований и требуемого уровня риска для каждой категории.

Настоящий европейский стандарт применяется ко всем автоматическим информационным системам здравоохранения. Сюда относятся системы, непосредственно связанные с лечением пациентов, например системы обработки результатов анализов лабораторий. Он также включает в себя статистические и административные системы, обеспечивающие оперативную поддержку самого учреждения здравоохранения, например платежные ведомости персонала, системы планирования и финансового учета. Однако системы, для которых важным требованием является конфиденциальность, в настоящем европейском стандарте не рассматривается. Данный стандарт предназначен для потребителей надежных информационных систем в здравоохранении и/или разработчиков/производителей таких систем. Внедрение терминов и положений, установленных в данном стандарте, способствует выполнению обязательств по национальному и европейскому законодательству в области здравоохранения, а также отвечает ожиданиям общества в соответствии со стандартами безопасности информации высокого уровня.

 

Содержание

1 Область применения

2 Нормативные ссылки

3 Термины и определения

4 Сокращения

5 Классификация информационных систем здравоохранения

6 Защитный профиль I (требования базового уровня)

7 Защитный профиль II

Требования базового уровня

Требования повышенного уровня

8 Защитный профиль lIl

Требования базового уровня

Требования повышенного уровня

9 Защитный профиль IV

Требования базового уровня

Требования повышенного уровня

10 Защитный профиль V

Требования базового уровня

Требования повышенного уровня

11 Защитный профиль VI

Требования базового уровня

Требования повышенного уровня

Приложение А (справочное) Подход к классификации системы

Приложение В (справочное) Рекомендации по использованию европейского стандарта

Приложение С (справочное) Примеры категорий информационных систем

Приложение D (справочное) Классификация информационных систем

Приложение Е (справочное) Источники угроз

Приложение F (справочное) Библиография

 

Приложение F

(справочное)

 

ТК 68 Банковские и другие финансовые услуги.

Руководящие указания по информационной безопасности

В настоящем приложении приведено краткое описание документа [7].

 

Область применения

Финансовые учреждения все чаще используют информационные технологии для успешного ведения бизнеса. Менеджмент риска является основным компонентом обеспечения качественных финансовых услуг. Финансовые учреждения управляют риском через эффективную практику бизнеса, внимательное заключение договоров, страхование и использование механизмов безопасности.

Финансовые учреждения испытывают потребность управления безопасностью информации в любых ситуациях. Настоящий документ не предлагает решений для всех ситуаций. Каждая ситуация должна быть исследована индивидуально. Настоящий документ содержит общие рекомендации.

Основными задачами настоящего документа являются:

- представление структуры программы информационной безопасности;

- представление руководства по выбору средств управления безопасностью, устанавливающего приемлемую практику ведения бизнеса,

- соответствие существующим стандартам, а также новым разработкам объективных и общепринятых критериев безопасности.

Настоящий документ предназначается для использования финансовыми учреждениями всех типов, которые желают применить экономную и коммерчески целесообразную программу обеспечения информационной безопасности. Он также полезен для тех, кто предоставляет услуги финансовым учреждениям. Настоящий документ может также служить в качестве первоисточника для преподавателей и издателей, обслуживающих финансовую деятельность.

 

Содержание

1 Введение

2 Управление безопасностью ИТ

3 Политика безопасности ИТ организации

4 Организация безопасности ИТ

4.1 Обязательства

4.2 Ответственность и полномочия

5 Анализ риска

5.1 Введение

5.2 Иллюстрированный процесс оценки риска

5.3 Угрозы

5.4 Уязвимости

5.5 Категории рисков

5.6 Идентификация и анализ функций организации

5.7 Процесс оценки риска

6 Рекомендации по обеспечению безопасности ИТ

6.1 Принятие риска

7 Выбор защитных мер по обеспечению безопасности

7.1 Классификация информации

7.2 Логическое управление доступом

7.3 След ревизии

7.4 Управление изменениями

8 Внедрение защитных мер

8.1 Компьютеры

8.2 Сети

8.3 Программное обеспечение

8.4 Голосовая, телефонная и другая взаимосвязанная аппаратура

8.5 Факсы и изображения

8.6 Электронная почта

8.7 Документы на бумажном носителе

8.8 Микроформы и другие способы хранение носителей информации

8.9 Карты финансовой транзакции

8.10 Автоматические ответчики

8.11 Электронные фонды и трансферты

8.12 Чеки

8.13 Электронная коммерция

8.14 Электронные деньги

8.15 Внесистемные средства

8.16 Страхование

8.17 Аудит

8.18 Обязательное соответствие

8.19 Планирование восстановления после стихийного бедствия

8.20 Внешние поставщики услуг

8.21 Криптографические операции

8 22 Секретность (защита частной информации)

8.23 Внедрение криптографических средств управления

9 Осведомленность о безопасности

9.1 Осведомленность об информационной безопасности

9.2 Человеческие факторы

10 Дальнейшее обеспечение безопасности

10.1 Техническое обслуживание

10.2 Соответствие безопасности

10.3 Мониторинг

10.4 Обработка инцидента

11 Ссылки

Приложение А (справочное) Образцы документации

Приложение В (справочное) Примеры базового уровня и обеспечение безопасности

 

Приложение G

(справочное)

 

Защита ценной информации, не подпадающей под действие законодательства

О государственной тайне. Рекомендации для автоматизированных рабочих мест

 

В настоящем приложении приведено краткое описание документа [8].

 

Область применения

Настоящий документ рекомендует специалистам организации меры по внедрению обеспечения защиты ценной информации, не подпадающей под действие законодательства о государственной тайне, которая обрабатывается, обращается и хранится с помощью компьютерных средств. Настоящие рекомендации в частности касаются:

- дорогостоящего программного обеспечения или хищений, ухудшения состояния или раскрытия информации, которые могут поставить организацию в затруднительное положение;

- ограниченного обращения или специфической конфиденциальной информации, которая при условии принятых обязательств сохранения профессиональной конфиденциальности, не должна разглашаться. Для информации более высокого уровня конфиденциальности, т.е. особо секретной информации, организация должна предусмотреть усиленные меры обеспечения безопасности, рекомендованные в настоящем документе.

Организация должна составлять свои внутренние инструкции на основе этих рекомендаций.

 

Содержание

Введение

1 Область применения

2 Административное управление и организация обеспечения безопасности

2.1 Партнеры по безопасности и их роль

2.2 Процедуры

3 Физическая безопасность

3.1 Местоположение

3.2 Инсталляция аппаратных средств ЭВМ

3.3 Управление доступом персонала к аппаратным средствам

3.4 Управление доступом персонала в здания

4 Безопасность, касающаяся персонала

4.1 Ответственность и процедуры

4.2 Обучение и осведомленность - повышенная осведомленность

5 Безопасность документов

5.1 Обращение и защита информации

5.2 Обращение и защита носителей информации

6 Безопасность компьютеров

6.1 Компьютерное оборудование

6.2 Управление доступом

6.3 Программное обеспечение

6.4 Файлы

6.5 Техническое обслуживание

6.6 Временный ремонт

6.7 Надзор и верификация

7 Процедура сохранения (резервирования) и порядка действий в непредвиденной ситуации

7.1 Процедура сохранения (резервирования) файлов данных

7.2 Процедура сохранения программного обеспечения

7.3 Процедура действий в непредвиденной ситуации: случай обычных неисправностей

7.4 Порядок действий в непредвиденной ситуации: случай логического воздействия (атаки)

7.5 Порядок действий в непредвиденной ситуации: случай "катастрофический"

8 Безопасный обмен информацией по средствам связи

8.1 Криптографическое обеспечение безопасности

8.2 Безопасность каналов и доступов передачи

9 Управление конфигурацией

Приложение А (справочное) Принятые обязательства

 

Приложение Н

(справочное)