Приложение С (справочное). Потенциальная польза и требуемые свойства инструментов поддержки. Национальный стандарт РФ ГОСТ Р ИСО 27799-2015 "Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.12.2015 N 2219-ст)

Приложение С
(справочное)

Потенциальная польза и требуемые свойства инструментов поддержки

С.1 Потенциальная польза инструментов поддержки

Хотя инструменты для баз данных никоим образом не являются обязательными, свидетельства неоднократно показали, что они приносят значительную пользу.

Существует широкий спектр доступных инструментов, от простых и дешевых до сложных и более дорогих. При рассмотрении вопроса о внедрении инструментов медицинские организации должны искать свидетельства успешного использования инструмента другими организациями и должны тщательно обдумать связанные с этим расходы на подготовку персонала и техническое обслуживание, хотя это вряд ли будет основным критерием.

Вероятно, национальные медицинские организации захотят максимально усилить соответствие при минимизации затрат. Очевидно, что для сотни больниц не является необходимым выполнять в целом те же самые оценки риска. Для решения этой проблемы Национальная служба здравоохранения Великобритании, например, разработала пакет, охватывающий универсальные модели рисков в типичных средах здравоохранения. Впоследствии использование инструмента в местном масштабе фокусируется на создании индивидуального решения в соответствии с местными условиями, сохраняя соответствие с центрально определенной моделью. Аналогичный подход также может быть использован для этапов процесса ИСО/МЭК 27002.

Потенциальной пользой инструментальной поддержки является:

a) упрощенный ввод данных и ведение данных;

b) отчеты в заданном формате и другие выходные данные;

c) упрощенное управление версиями;

d) оптимизированное повторное использование данных во время процесса;

e) последовательность подхода;

f) возможность повторного использования данных и результатов в последующих задачах;

g) возможность сравнения результатов;

h) всесторонний подход;

i) надежность третьих сторон, в особенности аудиторов;

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

) видимость последствий от принятия решений;

k) поддержка принятия решений и другие процессы управления;

I) способность предпринимать поиск и делать запросы;

m) значительно сниженные затраты, связанные с человеческими ресурсами;

n) относительно легкая передача материала последователям.

С.2 Требуемые свойства инструментов поддержки

Требуемыми свойствами таких инструментов являются:

a) обладающий хорошей репутацией производитель;

b) доступность поддержки и подготовки персонала;

c) поддержание содержания в соответствии с изменениями в стандарте;

d) эффективное объединение с другими офисными инструментами обеспечения производительности;

е) эффективное объединение с операционной системой;

f) эффективный, интуитивно понятный и типичный или графический веб-интерфейс;

g) возможность настройки содержания и выходных данных (в идеале);

h) многопользовательский вспомогательный процесс (в идеале).

С.3 Поддержка инструментов для процесса ИСО/МЭК 27002

Поддержка инструментов для процесса ИСО/МЭК 27002 должна распространяться:

a) на составление определения области применения и описания области применения;

b) анализ пробелов и отчеты по результатам анализа пробелов;

c) определение активов и отчет о состоянии и движении активов;

d) создание плана по безопасному улучшению, ведение записей о предоставлении отчетов и статусе внедрения;

е) ведение записей и создание отчетов по заявлению о применимости;

f) безопасное определение и предоставление отчетов по ресурсам.

Стоит отметить, что все эти процессы взаимодействуют и должны быть в состоянии функционировать между собой.

С.4 Поддержка инструментов для процесса анализа рисков

Функциональность анализа рисков и управления рисками, которые могут быть поддержаны инструментами, охватывают все минимальные процессы, определенные в С.3. Тем не менее более сложные средства дополнительно имеют одно или несколько следующих свойств:

a) библиотечная поддержка модели риска;

b) библиотека активов;

c) инструменты оценки активов;

d) поддержка моделирования зависимостей;

e) группирование активов для эффективности оценки;

f) методологии оценки угроз/активов/воздействия для высокой целостности в пределах оценки;

g) многоуровневая оценка угроз и уязвимостей для соответствия различным потребностям;

h) библиотеки контрмер;

i) функциональные средства назначения приоритетов;

j) оценка затрат масштабирования времени улучшений;

k) поддержка документации по безопасности;

I) функции поддержки принятия решений;

m) поддержка проведения аудита;

n) создание отчетов по обработке рисков;

о) возможность моделирования аварии при проектировании;

р) создание графических отчетов.

Опять же, стоит отметить, что многие из этих процессов взаимодействуют и должны быть в состоянии функционировать между собой.