Приложение В (справочное). Примеры определения классов риска. Национальный стандарт РФ ГОСТ Р ИСО/ТС 25238-2009 "Информатизация здоровья. Классификация угроз безопасности от медицинского программного обеспечения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14.09.2009 N 404-ст)

Приложение В
(справочное)

Примеры определения классов риска

В.1 Введение

Данное приложение только иллюстрирует процесс определения классов риска для разных программных продуктов для сферы здравоохранения. В нем содержатся лишь примеры, поэтому его не следует использовать в качестве безусловного руководства по определению классов риска для таких продуктов.

В.2 Больничная система электронных предписаний с поддержкой принятия решений

При определении класса риска для больничных систем электронных предписаний с поддержкой принятия решений в первую очередь следует рассмотреть, какие последствия могут произойти в случае сбоя или неправильной работы системы или какие причины могут привести к непредусмотренному событию.

Непредусмотренным событием может быть назначение лекарства не тому человеку, не того лекарства, не той дозировки, а также, если указаны неверные периодичность, способ, время приема или применения, не предусмотрены взаимодействие лекарств, аллергическая реакция на лекарство.

Приведенные непредусмотренные события могли быть вызваны ошибкой в размещении десятичной запятой в выписанной дозе лекарства или назначением лекарства, вид или количество которого не годится для конкретного типа пациента, например для ребенка. Хотя многие из таких событий могут быть результатом неправильной работы системы, но более вероятно, что они произойдут из-за непреднамеренного ввода пользователем неверной информации по незнанию или при потере концентрации внимания. Подобные неблагоприятные события, однако, не могут быть просто списаны на ошибки пользователя, поскольку проектные решения подобных систем должны предусматривать выдачу соответствующих предупреждений при данных обстоятельствах. Возможность выдачи подобных потенциально опасных предписаний может, таким образом, быть вызвана как ошибкой или неадекватной реакцией системы поддержки принятия решений, так и просто ошибкой пользователя.

Разработчику недопустимо пренебрегать возможностью возникновения неблагоприятных событий, опираясь на убеждение, что его продукт так хорошо разработан, что подобные события не могут произойти. В недавнем исследовании [19] использовались 18 потенциально опасных сценариев для тестирования четырех хорошо обоснованных систем для врачей общей практики, применяемых 75% врачей общей практики в Великобритании. Системы были разработаны для выдачи предупреждений о взаимодействии лекарств. Однако ни одна из программ не выдала предупреждения для всех 18 сценариев: лучшая из них выдала семь предупреждений, а худшая - четыре. В случае назначения лекарств со сходными названиями ни одна из систем не выдала предупреждения для всех десяти тестовых пар лекарств. Производители всех систем, возможно, были уверены в том, что в их системах учтены все опасные обстоятельства, но оказалось, что это не так.

Следующим шагом является определение правдоподобия последствий неблагоприятных событий. В данном примере легко представить обстоятельства, при которых, в случае выдачи ошибочного назначения, последствия будут иметь форму летального исхода или недееспособности в течение длительного времени. Данные последствия относятся к категории "серьезных".

Следующим шагом является оценка правдоподобия возникновения последствий в форме летального исхода или недееспособности в "достаточно предсказуемых обстоятельствах". Подобные "достаточно предсказуемые обстоятельства" подразумевают рассмотрение цепочки событий, включающей передачу потенциально опасного предписания от дежурного врача к фармацевту, затем к ответственному за отпуск лекарств и, наконец, прием лекарства пациентом, после чего возникает реальное последствие. Поэтому оценка правдоподобия возникновения летального исхода или недееспособности включает разумную оценку того, будет ли ошибка в предписании замечена и скорректирована на какой-либо из стадий рассмотренной цепочки событий, а также того, можно ли, даже в случае приема пациентом выписанного лекарства, избежать летального исхода или недееспособности. Не допускается предполагать наличие наилучших или совершенных условий где-либо в данной цепочке событий. Например, нельзя предполагать, что все участники цепочки событий являются опытными высококвалифицированными врачами. С другой стороны, правдоподобие того, что в цепочке будут задействованы только полностью некомпетентные лица, может быть нереальным предположением. Однако именно требование того, что фактор, который при определении возможности может быть принят приемлемым, должен согласовываться с серьезностью рассматриваемого последствия, определяет, что критерий будет тем строже, чем серьезнее последствие. В данном примере возможное последствие является исключительно серьезным.

Из опыта известно, что при выдаче потенциально опасного предписания оно может привести и приводит к приему выписанного, результатом чего является летальный исход или недееспособность. Присвоенная категория правдоподобия, таким образом, определяется как "очень высокое" или "высокое". В соответствии с матрицей рисков комбинация "серьезной" категории последствия и "очень высокой" категории правдоподобия определяет принадлежность системы электронных предписаний с поддержкой принятия решений к классу А. Однако комбинация "серьезной" категории последствий и "высокой" категории правдоподобия определяет принадлежность к классу В. Решение об определении принадлежности к классу принимается в соответствии с требованием, что, "если имеется сомнение, к которой из двух категорий следует отнести правдоподобие последствия, оно должно быть отнесено к категории, соответствующей более высокому правдоподобию". Следовательно, данная система должна быть отнесена к классу А.

Проведения дальнейшего анализа (итераций) не требуется, поскольку анализ необходимо проводить "только до тех пор, пока в ходе итераций не будет обеспечена уверенность, что продукту присвоен наивысший из выявленных классов риска", а класса риска "выше", чем класс А, не существует.

Присвоение класса А системам электронных предписаний с поддержкой принятия решений оправданно, поскольку легко понять, что в случае плохой проработки подобных систем они могут нанести серьезный вред пациентам. Любые руководства, стандарты или нормативные документы, относящиеся к средствам контроля, применяемые при проектировании и производстве программных продуктов для сферы здравоохранения, должны быть наиболее строгими в отношении программных продуктов данного типа (относящихся к классу А) из-за их потенциальной возможности нанести серьезный вред, если на них не будет обращено особое внимание.

В.3 Система отслеживания истории болезни по штрих-коду

В данном примере рассмотрена система, производящая наклейку со штрих-кодом, который однозначно идентифицирует папку с историей болезни пациента, с тем чтобы при передаче истории болезни между отделениями больницы ее можно было отслеживать на входе и выходе из отделения посредством устройства считывания штрих-кода, чтобы идентифицировать ее текущее местоположение.

В первую очередь следует рассмотреть, какие последствия могут иметь место в случае, если система будет неправильно работать или вызовет непредвиденное событие.

Одним из случаев неправильной работы системы может быть невозможность прослеживать некоторое множество историй болезни, что приведет к невозможности определения их местоположения и недоступности для врача, когда они понадобятся. Последствие данного обстоятельства будет зависеть от клинической ситуации, имеющей место в тот момент, когда история болезни не может быть найдена.

Даже с учетом того, что врач средней квалификации может проявить осторожность и не предпримет действий до получения достаточной информации, подтвержденной каким-либо образом, последствия серьезной или значительной категории все равно могут иметь место, но правдоподобие их возникновения будет "очень низким". Это указывает на класс С.

Кому-то такое решение может показаться излишне строгим, поскольку на практике подобные последствия скорее будут относиться к категории существенных или незначительных последствий со средним или низким правдоподобием. Это бы указало на класс D или Е.

Потребуется дальнейший анализ, включая, возможно, исследование опубликованных источников, чтобы окончательно определиться с классом (С, D или Е), что представляется вполне обоснованным. Любые руководства, стандарты или нормативные документы, относящиеся к средствам контроля, применяемым при проектировании и производстве программных продуктов для сферы здравоохранения, относящихся к классам С, D или Е, вряд ли будут предъявлять к ним такие же серьезные требования, как к системе электронных предписаний с поддержкой принятия решений (относящейся к классу А).

В.4 Исследовательская система для болезней, передаваемых половым путем

В данном примере представлена система собственной разработки, предназначенная для хранения и анализа данных по заболеваниям, передаваемым половым путем. В системе хранятся личные данные пациентов.

В первую очередь следует рассмотреть, что может произойти в случае сбоя или неправильной работы системы.

Данная система не используется для непосредственного лечения пациентов, и потому для нее не рассматриваются события, вызывающие такие последствия, как смерть, серьезные или незначительные травмы. Однако проблемы с должной защитой конфиденциальных данных о пациенте могут иметь место, например, при недостаточном или отсутствующем контроле доступа либо недостаточно строгих требованиях к паролю. Таким образом, отождествление пациента с болезнью, передаваемой половым путем, например ВИЧ, может быть осуществлено неавторизованным лицом или лицами. Из-за психологической травмы, нанесенной в связи с этим пациенту, данное последствие будет относиться к категории "существенных".

Следующим шагом является рассмотрение правдоподобия реально возникающих последствий. Психологическая травма у пациента не возникнет, если пациент не узнает о том, что конфиденциальность информации о нем была нарушена. Это зависит от обстоятельств несанкционированного доступа. Если несанкционированный доступ был осуществлен врачом, который непреднамеренно просмотрел конфиденциальную информацию, то такой врач вряд ли будет передавать кому-либо данную информацию в силу своего долга сохранять врачебную тайну. Однако случайный или несанкционированный доступ к информации со стороны лица, не связанного врачебными обязательствами, может привести к бездумному или умышленному разглашению информации, особенно если данный пациент известен в местном сообществе. Тем не менее до момента, когда пациент узнает о данном инциденте, пройдет длинная цепочка событий, поэтому правдоподобие может быть оценено от среднего до низкого. В любом случае данная система относится к классу D.

Дополнительное рассмотрение следует произвести, если в системе ведется журнал регистрации событий, в котором был отмечен факт несанкционированного доступа. "Владелец" системы в подобных обстоятельствах может быть обязан уведомить пациента о том, что утечка информации имела место. Это означает, что правдоподобие последствия становится "очень высоким". Однако здраво предположить, что психологическая травма, наносимая пациенту, может быть уменьшена, если его информирует и консультирует опытный врач. Психологическая травма, таким образом, может быть оценена как "незначительная" вместо "существенная". В результате система может быть отнесена к классу С.

В соответствии с приведенными аргументами система может быть отнесена к классу С или D. Если имеются существенные сомнения, к какому классу отнести систему, то система должна быть отнесена к более высокому классу, т.е. к классу С.

Примечание - В отношении исследовательской системы, содержащей менее деликатные данные о здоровье, наихудшим последствием, которого можно ожидать, является незначительное психологическое расстройство (если таковое вообще будет иметь место) с низким или очень низким правдоподобием, т.е. такая система относится к классу Е.

Неудивительно, что система, хранящая персональные данные о здоровье весьма деликатного характера, например данные о болезнях, передаваемых половым путем, должна быть отнесена к относительно "высокому" классу. Следует ожидать, что любые руководст