Приложение А (справочное). Пример результата анализа риска служб удаленного технического обслуживания. Национальный стандарт РФ ГОСТ Р 56837-2015/ISO/TR 11633-1:2009 "Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 1. Требования и анализ рисков" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.12.2015 N 2225-ст)

Приложение А
(справочное)

Пример результата анализа риска служб удаленного технического обслуживания

А.1 Активы и угрозы (оборудование центра удаленного обслуживания)

Активы	N	Угроза (К - конфиденциальность, Ц - целостность, Д - доступность)
Персональная медицинская информация (ПМИ) на карте памяти, диске и экране	11	Незащищенность данных [К] из-за ошибки удаления на участке [К], подсматривания [К]/кражи [К], неавторизованного доступа к оборудованию ЦУО [К] / обмана [К]
	12	Незащищенность данных [К] из-за кражи при передаче [К], неавторизованного доступа к оборудованию ЦУО [К] / обмана [К]
Записи и распечатки ПМИ	13	Незащищенность данных [К] из-за подсматривания в бумажные записи о ремонте [К], выноса [К]
Резервные носители ПМИ	14	Незащищенность данных [К] при выносе носителей информации на ремонт [К]
Программное обеспечение, обрабатывающее ПМИ	15	Незащищенность данных [К] из-за черного хода/установки программ, похищающих информацию [К]
Оборудование, обрабатывающее ПМИ	16	Незащищенность данных [К] из-за выноса [К], несанкционированного вмешательства [К], утечки электромагнитного излучения [К]
	17	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Оборудование, обрабатывающее ПМИ(а)	18	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Операторы, обрабатывающие ПМИ	19	Незащищенность данных из-за подкупа [К], отказа службы [Д] из-за неверного ввода информации [Ц]/отказа при удалении [Д]
Алгоритм шифрования, ключи и метод распределения ключей	1а	Незащищенность данных [К] из-за расшифровки зашифрованных данных [К]
(а) Указывает на средства аварийной защиты/силовое оборудование. Однако сетевое оборудование не включено.

А.2 Активы и угрозы (внутренняя сеть ЦУО)

Активы	N	Угроза (К - конфиденциальность, Ц - целостность, Д - доступность)
		без контрмер по VPN	с контрмерами по VPN
ПМИ во внутренней сети ЦУО	21	Незащищенность данных [К] из-за отслеживания пути [К], неавторизованного доступа к сетевому оборудованию ЦУО [К] / обмана [К], прослушивания [К]	Угрозы, не отмеченные знаком [Д], можно не учитывать
Записи и распечатки коммуникационного следа вышеуказанной информации	22	Незащищенность данных [К] из-за подсматривания в протокол контроля [К], выноса [К]
Среда резервного копирования коммуникационного следа вышеуказанной информации	23	Незащищенность данных [К] из-за выноса монитора при копировании носителей информации [К]
Программное обеспечение сетевого оборудования	24	Незащищенность данных [К] из-за черного хода/ установки программ, похищающих информацию [Ц]
Сетевое оборудование	25	Незащищенность данных [К] из-за выноса [К], несанкционированного вмешательства [К], влияния электромагнитного излучения [К]
	26	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Системы защиты окружающей среды сетевого оборудования(а)	27	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д], разрыва кабеля [Д]
Операторы сетевого оборудования	28	Незащищенность из-за подкупа [К], угрозы [К] неверной настройки [К]
Алгоритм шифрования, ключи и метод распределения ключей	29	Незащищенность данных [К] из-за расшифровки зашифрованных данных [К]
(а) Обозначает источники питания/средства аварийной защиты.

А.3 Активы и угрозы (внешняя сеть)

Активы	N	Угроза (К - конфиденциальность, Ц - целостность, Д - доступность) Предполагается наличие контрмер на VPN. Все угрозы, за исключением (Д) доступности, можно не принимать в расчет
ПМИ во внешней сети	31	Незначительная
Записи и распечатки коммуникационного следа вышеуказанной информации	32	Незначительная
Средства резервного копирования коммуникационного следа вышеуказанной информации	33	Незначительная
Программное обеспечение сетевого оборудования	34	Незначительная
Сетевое оборудование	35	Незначительная
	36	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Системы защиты окружающей среды сетевого оборудования(а)	37	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д], разрыва кабеля [Д]
Операторы сетевого оборудования	38	Незначительная
Алгоритм шифрования, ключи и метод распределения ключей	39	Незащищенность данных [К] из-за расшифровки зашифрованных данных [К]
(а) Обозначает источники питания/средства аварийной защиты.

А.4 Активы и угрозы (внутренняя сеть медицинского учреждения)

Активы	N	Угроза (К - конфиденциальность, Ц - целостность, Д - доступность)
ПМИ во внутренней сети медицинского учреждения	41	Незащищенность данных [К] из-за отслеживания пути [К], неавторизованного доступа к сетевому оборудованию медицинского учреждения [К]/обмана [К], прослушивания [К]
Записи и распечатки коммуникационного следа вышеуказанной информации	42	Незащищенность данных [К] из-за подсматривания в протокол контроля [К], выноса [К]
Средства резервного копирования коммуникационного следа вышеуказанной информации	43	Незащищенность данных [К] из-за выноса монитора при копировании носителей информации [К]
Программное обеспечение сетевого оборудования	44	Незащищенность данных [К] из-за черного хода / установки программ, похищающих информацию [Ц]
Сетевое оборудование	45	Незащищенность данных [К] из-за выноса [К], несанкционированного вмешательства [К], влияния электромагнитного излучения [К]
	46	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Системы защиты окружающей среды сетевого оборудования(а)	47	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д], разрыва кабеля [Д]
Операторы сетевого оборудования	48	Незащищенность из-за подкупа [К], угрозы [К], неверной настройки [К]
(а) Обозначает источники питания/средства аварийной защиты.

А.5 Активы и угрозы (обслуживание целевых приборов медицинских учреждений)

Активы	N	Угроза (К - конфиденциальность, Ц - целостность, Д - доступность)
ПМИ на карте памяти, диске и экране	51	Незащищенность данных [К] и их фальсификации из-за ошибки удаления на участке [К], подсматривания [К] / кражи [К], неавторизованного доступа к целевым устройствам обслуживания [К] / обмана [К], замены [Ц]
	52	Незащищенность данных [К] и их фальсификации [Ц] из-за кражи в пути передачи [К], неавторизованного доступа к целевым устройствам обслуживания [К]/обмана [К], замены [Ц]
Записи и распечатки ПМИ(а)	53	Незащищенность данных [К] и их фальсификации [Ц] посредством подглядывания в ведомости для работы [К], выноса [К], замены [Ц]
Резервные носители ПМИ(b)	54	Незащищенность данных [К] и их фальсификации [Ц] из-за подсматривания в протокол работы [К], замены [Ц]
Программное обеспечение, обрабатывающее ПМИ	55	Незащищенность данных [К] из-за черного хода / установки программ, похищающих информацию [К]
Оборудование, обрабатывающее ПМИ	56	Незащищенность данных [К] и их фальсификации [Ц] из-за замены [Ц], выноса [К], несанкционированного вмешательства [К], влияния электромагнитного излучения [К]
	57	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Системы защиты окружающей среды оборудования, обрабатывающего ПМИ(c)	58	Невозможность предоставления услуги [Д] из-за отказа [Д], аварии [Д], повреждения [Д]
Операторы, обрабатывающие ПМИ	59	Незащищенность данных из-за подкупа [К], неверного ввода информации [Ц], отказа службы [Д] при неверном удалении [Д]
(a) Вносимые документы и носители информации не включены. (b) Как и для большинства больниц, контроль входа в помещения не предполагается. (c) Обозначает источники питания/средства аварийной защиты.