Приложение С (справочное). Управление рисками. Национальный стандарт РФ ГОСТ Р ИСО/ТО 27809-2009 "Информатизация здоровья. Меры по обеспечению безопасности пациента при использовании медицинского программного обеспечения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14.09.2009 N 405-ст)

Приложение С
(справочное)

Управление рисками

С.1 Общие сведения

Если управление рисками должно использоваться в качестве контрольного мероприятия, то потребуются подкрепляющие его стандарты. В настоящем приложении рассмотрена приемлемость для этой цели уже существующих стандартов.

Примечание - Настоящий обзор предназначен только для целей настоящего стандарта, затрагивая и резюмируя только вопросы, имеющие к нему отношение. Он не должен использоваться в качестве полного руководства в каком-либо отношении и для какой-либо цели (в случае необходимости, следует обратиться к исходным документам и компетентным национальным органам).

С.2 Атрибуты, необходимые для успешного внедрения процессов управления рисками

Для успешного применения управления рисками к программным продуктам для сферы здравоохранения в стандартах, руководствах и инструментах должны присутствовать ключевые атрибуты, а именно:

- доступный для понимания базовый процесс, включающий логику вычисляемых результатов и не привлекающий внешний персонал и других специалистов;

- совокупность всех основных составляющих риска;

- возможность измерения и взвешивания элементов на языке здравоохранения и в контексте незавершенного исторического события и данных об инциденте, позволяющая реализацию количественного подхода;

- гибкость в терминах детализации анализа и рекомендаций по средствам контроля, соответствующих сложности программного продукта для сферы здравоохранения, вычисленным уровням риска и стадии разработки продукта;

- способность итерационного повторения и расширения возможностей по оценке и управлению рисками в ходе разработки программного продукта для сферы здравоохранения;

- поддержка составных процессов и сложной природы программных продуктов для сферы здравоохранения в форме баз знаний, чтобы помочь их использованию "неспециалистами".

Данные атрибуты были использованы для оценки разных кандидатов в стандарты.

С.3 Минимум компонентов, необходимых для эффективного управления рисками

Во многих областях, смежных с разработкой программных продуктов для сферы здравоохранения, таких как информационная безопасность, с определенным успехом внедрены процессы управления рисками (см. С.6). Однако существуют установленные на практике общие компоненты управления рисками, являющиеся полезными индикаторами приемлемого процесса при разработке программных продуктов для сферы здравоохранения:

- идентификация свойств компонентов программного продукта для сферы здравоохранения, а также факторов риска и уязвимости этих свойств;

- оценка влияния (на изготовителя, пользователя и пациента со стороны программного продукта для сферы здравоохранения);

- вероятность угроз и оценка степени защищенности;

- определение уровней рисков (как составного результата уровней влияния, угроз и степени защищенности);

- идентификация рекомендуемых средств контроля (т.е. обоснованных и соответствующих);

- сравнение с существующими средствами контроля для определения областей корректируемого риска;

- дополнительные возможности для обработки риска, включая прямое управление, признание, предотвращение, управляемый перевод риска и т.п.;

- планирование обработки риска (т.е. реализация контроля).

С.4 Процессы управление рисками на предприятии

С.4.1 Общие сведения

"Управление рисками на предприятии" - это новый термин, используемый для большего акцентирования комплексной природы процесса и, следовательно, применимости процесса к организации и осуществляемым ей действиям.

Можно ожидать, что стандарты по управлению рисками на предприятии являются высокоуровневыми документами, определяющими общую структуру, а не подробную модель процессов с сопутствующими базами знаний или экспертных знаний для поддержки анализа рисков и управления рисками от программных продуктов для сферы здравоохранения.

С.4.2 PD 6668:2000 "Управления рисками при корпоративном управлении"

Опубликованный документ PD 6668:2000 [58], в основном, содержит информацию по основам управления рисками и охватывает:

- корни движущих механизмов управления рисками;

- план более широкого рассмотрения корпоративного управления;

- описание структуры управления рисками;

- практическое руководство по формулировке бизнес-требований к управлению стратегическими рисками;

- вопросник для сравнения эффективности структур управления рисками на предприятиях.

Структура включает в себя:

- классический подход к системам управления - планировать, исполнить, проверить и действовать (известный как PDCA);

- деятельность по управлению рисками на трех уровнях (стратегическом, управленческом, операционном);

- идентификацию угроз;

- оценку рисков;

- принятие решений о способах управления рисками;

- идентификацию ресурсов;

- планирование управления отдельными рисками;

- коммуникации;

- мониторинг и измерение.

Однако модель процесса дает только общее представление, несмотря на то, что концепция "правдоподобия" широко признана. Возникает путаница между угрозами и контрмерами, например, "неудачная попытка установить эффективные мероприятия в случае аварийной ситуации" приводится скорее в качестве примера угрозы, а не контрмеры.

Более того, применяемые матрицы основаны на оценках типа "Низкая", "Средняя" и "Высокая", что не позволяет классифицировать риски более чем по трем классам, что, в свою очередь, приведет к недостаточно специализированным структурам контроля.

Чрезвычайно важным для настоящего стандарта является тот факт, что руководство практически не содержит указаний по контрмерам. Также оно не описывает такие разделы, как списки угроз (они присутствуют только в виде примеров). Будучи документом высокого уровня, оно недостаточно всестороннее и специализированное для применения в секторе здравоохранения и не предоставляет механизмов по обеспечению безопасности пациентов при использовании программного обеспечения в сфере здравоохранения.

С.4.3 Стандарт Австралии и Новой Зеландии AS/NZS 4360:2004

Стандарт Австралии и Новой Зеландии AS/NZS 4360:2004 [59] был принят на национальном уровне организациями здравоохранения для целей корпоративного управления, включая Национальную службу здравоохранения Соединенного Королевства. Содержащиеся в нем понятия, такие как "обработка рисков", были взяты из других стандартов, основанных на рисках, таких как BS 7799-2:2002 (см. С.6.1). Он является еще одним высокоуровневым описанием необходимого процесса, хотя и с сопутствующим документом, содержащим руководства по управлению рисками. Данный документ является, скорее, справочником по возможным процессам, а не рекомендуемым подходом.

Данный стандарт определяет классический/типовой "процесс" управления рисками, независимый от конкретной отрасли промышленности или сектора экономики, но предполагающий необходимость гибкости при реализации.

В нем отмечается, что установление вероятности события и возможных последствий должно и может быть выполнено качественным, наполовину качественным или количественным образом, в зависимости от наличия статистики инцидентов. Однако данный стандарт содержит перечень уместных источников информации и технологий, которые могут быть применены. В стандарте содержатся руководства по следующим аспектам:

- выбор метода анализа (в зависимости от ситуации);

- реальные последствия и соответствующие градации вероятностей;

- типы шкал для измерения рисков, которые могут быть использованы;

- различные технологии для определения уровней рисков.

В области обработки рисков стандарт AS/NZS 4360 предоставляет подробную информацию по дополнительным возможностям обработки рисков с негативными последствиями (например, рисков для безопасности пациентов), относящуюся к следующим факторам:

- предотвращение риска посредством принятия решения не начинать или не продолжать некоторые действия;

- принятие мер по изменению вероятности отрицательных последствий;

- принятие мер, изменяющих последствия с целью уменьшения величины потерь, таких как страхование или планирование непредвиденных затрат;

- разделение рисков посредством контрактов и т.п., чтобы передать ответственность;

- фиксация/признание риска.

Более того, данный стандарт также содержит руководство по разработке планов обработки рисков, сопоставляющее стоимость обработки с приобретаемыми выгодами, чтобы обеспечить объективное признание риска. Однако, противореча таким планам и даже конфликтуя с ними, данный стандарт в то же время, в основном, направлен на снижение риска до практически разумного уровня (так называемый принцип ALARP). На практике очень часто получается, что данный принцип подменяется неприемлемой и неуместной точкой зрения "избегания рисков".

В качестве общего руководства данный стандарт можно считать достаточно хорошо проработанным. Однако, его неполнота с точки зрения экспертных знаний и недостаточное отражение специфики программных продуктов для сферы здравоохранения делают его неподходящим, если взять его "как есть", для целей настоящего стандарта.

С.4.4 Рабочая группа ИСО/МЭК по управлению рисками

Совместная рабочая группа ИСО/МЭК (Технической дирекции) по управлению рисками [35] была сформирована в середине 2005 г. Задачей рабочей группы была разработка международного стандарта на основе существующих национальных стандартов с внесением изменений при необходимости. Рабочий проект стандарта был опубликован для обсуждения. Предполагается, что данный проект должен стать "высокоуровневым, обобщенным, руководящим документом", который "...обеспечивает поддержку существующих стандартов по конкретным приложениям, связанным с рисками...", и "...предоставляет определения и структуры, независимые от законодательных и регулятивных ограничений", но которые "...применимы с минимальными изменениями..." в качестве "...основы для деловой повседневной практики ...".

Данный документ был структурирован следующим образом:

- комплекс принципов успешной практики по управлению рисками;

- организационный контекст управления рисками;

- структура управления рисками, состоящая из:

- общения и консультаций;

- установления (делового) контекста;

- идентификации риска;

- оценки риска;

- обработки риска;

- мониторинга и анализа.

В отличие от аналогичных стандартов данная структура включает в себя оценку существующих средств контроля как части анализа рисков, не определяя, тем самым, "базовый" риск и фокусируясь на "сетевом риске". Причины, по которым было принято такое решение, неясны. Проект изложен, в основном, с использованием терминов рисков, относящихся к организации, а не к применению анализа рисков и управления рисками для безопасности программного продукта. Следовательно, он представляется неуместным в контексте обеспечения безопасности программных продуктов для сферы здравоохранения.

Что касается других стандартов высшего уровня, то данный рабочий проект содержит перечни примеров, но не предлагает окончательно установленного процесса с экспертной поддержкой.

С.4.5 Выводы в отношении стандартов по управлению рисками предприятия

Поскольку данные стандарты не ориентированы на здравоохранение, ни один из рассмотренных в данном разделе стандартов не обеспечивает достаточно четкой или определенной модели процесса, которую можно было бы применить для целей настоящего стандарта. Однако имеет место некоторый общий уровень унификации между предложенными в них процессами. Отдельные компоненты каждого из данных документов, особенно AS/NZS 4360, могут претендовать на их применение для программных продуктов для сферы здравоохранения.

С.5 Стандарты по управлению рисками, относящиеся к здравоохранению

С.5.1 ИСО 14971:2007 "Применение управления рисками к медицинским приборам"

ИСО 14971:2007 [36] является признанным международным стандартом по управлению рисками применительно к медицинским приборам. Стандарт по системам качества для медицинских приборов ИСО 13485:2003 [27], в частности, ссылается на ИСО 14971 по управлению рисками. FDA в 2001 г. также признало ИСО 14971 в качестве основного стандарта по управлению рисками для медицинских приборов.

В рекомендации 4 заключительного отчета Рабочей группы по технологиям здравоохранения (HTTF) при Объединении по мировым стандартам (WSC), опубликованного в 2006 г. [60], говорится:

"Следует отметить недавние усилия рабочей группы Технической дирекции ИСО по разработке более глобального стандарта по управлению рисками. WSC должно обеспечить, чтобы разработка более общего стандарта по управлению рисками не заменяла, не изменяла или не пересекалась с существующим международным стандартом ИСО 14971, широко применяемым в отношении медицинских приборов".

ИСО 14971 представляет обзор процесса управления рисками, предназначенного для использования как неотъемлемого элемента системы качества. Соответствие международному стандарту требует выполнения следующих действий:

- установить процесс управления рисками;

- установить политику по отношению к приемлемым рискам;

- нанять и подготовить квалифицированный персонал;

- провести анализ рисков;

- провести оценку рисков;

- осуществить контроль рисков;

- провести заключительный анализ управления рисками и предоставить информацию по остаточному риску;

- предоставить постпроизводственную информацию.

В ИСО 14971:2007 включены следующие технологии анализа риска:

- анализ видов и последствий отказов (FMEA-анализ);

- анализ дерева неисправностей (FTA-анализ);

- исследование опасности и работоспособности (HAZOP).

Не предусмотрено никаких средств или технологий оценки воздействия, и данный международный стандарт не обеспечивает четкого разделения понятий оценки воздействия, оценки угрозы и степени защищенности и средств контроля. Более того, в нем предполагается, что процесс принятия решений о приемлемости идентифицированных рисков, с учетом уменьшения их влияния, реализованного в процессе проектирования, должен представлять собой действие по оценке рисков. Это противоречит содержанию других стандартов, рассмотренных в настоящем приложении. Тем не менее, в данный стандарт включена полезная таблица по средствам контроля рисков.

С.5.2 Документ GHTF/SG3/NI5R8 "Принципы управления рисками и системы управления качеством"

В документе GHTF/SG3/NI5R8 [39] рассмотрена реализация принципов управления рисками и действий в рамках системы управления качеством. Утверждается, что изготовители медицинских приборов обычно должны (в соответствии, например, с регулятивными или законодательными требованиями) иметь на производстве систему управления качеством, а также установленные процессы, соответствующие рискам, связанным с приборами.

Поскольку процессы управления риском могут развиться до автономной системы управления, изготовителям медицинских приборов рекомендуется их интегрировать для снижения затрат, устранения избыточности и создания более эффективной системы управления. Данный документ предназначен для поддержки изготовителей медицинских приборов в части интеграции системы управления рисками или принципов и действий, установленных для управления рисками, в существующую у них систему управления качеством. Варианты интеграции иллюстрируются примерами с решениями.

В ИСО 15941:2007, приложение А, представлена матрица, связывающая серьезность наносимого вреда с вероятностью инцидента (точнее, с правдоподобием инцидента). Однако серьезность представлена в матрице просто как "низкая, средняя и высокая", а ячейки на пересечении столбцов и строк окрашены красным, желтым и зеленым цветами. Кроме того, приведено полезное, хотя и высокоуровневое, изображение технологического процесса управления рисками при проектировании и разработке. Отмечена также важность рассмотрения и согласования уровня допустимого риска на ранних стадиях данного процесса.

Однако принципы управления рисками, упомянутые в названии данного документа, не рассмотрены подробно, и маловероятно, что данный документ будет непосредственно использоваться кем-либо, кроме экспертов.

С.5.3 ИСО/МЭК 62304 "Процессы жизненного цикла программного обеспечения медицинских приборов"

ИСО/МЭК 62304 [61] был разработан совместной рабочей группой ИСО/МЭК, состоявшей из членов подкомитета 62А "Общие вопросы электрооборудования, применяемого в медицинской практике", технического комитета 62 МЭК "Электрооборудование в медицинской практике" и Технического комитета 210 ИСО "Управление качеством и соответствующие общие вопросы по медицинским приборам".

Данный стандарт объединяет требования к модели жизненного цикла программного обеспечения, установленные в ИСО 12207:1995 [30] и поправке к нему [31], с риском, основанным на подходе, установленном в ИСО 14971 [36]. ИСО 12207 относится к разработке и сопровождению программного обеспечения медицинских приборов, когда программное обеспечение само по себе является медицинским прибором или когда программное обеспечение является встроенным или неотъемлемой частью медицинского прибора. Данный международный стандарт не охватывает аттестацию и выпуск на рынок медицинского прибора, даже если медицинский прибор состоит исключительно из программного обеспечения.

В данном стандарте представлена структура процессов, действий и задач, необходимых для проектирования и сопровождения безопасных медицинских приборов. В данном международном стандарте средства контроля представлены только в общем виде.

С.5.4 Документ FDA "Руководство по контролю проектирования для производителей медицинских приборов"

Документ FDA "Руководство по контролю проектирования для производителей медицинских приборов" [34], разработан для поддержки изготовителей медицинских приборов в понимании требований системы качества к контролю проектирования и применим как к проектированию медицинских приборов, так и к проектированию соответствующих технологических процессов. В данном руководстве вопросы рассматриваются в том же порядке, что и в директиве FDA по системам качества, которая вряд ли подойдет (напрямую) всем остальным пользователями. В документе представлено определение средств контроля проектирования и объяснено их значение. Отмечено, что управление рисками является процессом, который должен сопровождать весь процесс проектирования, однако данное положение практически не раскрыто.

С.5.5 Австралия и Канада

Австралийский документ "Руководство по медицинским приборам. Процедуры оценки соответствия" [62] и Канадская директива по соответствию медицинских приборов и его обеспечению [63] связаны с процедурами оценки соответствия, однако ни в одном из них в явном виде не приведено структурированное рассмотрение управления рисками.

С.5.6 Выводы по стандартам по управлению рисками, относящимся к здравоохранению

В рассмотренных стандартах, относящихся к здравоохранению, используются такие фразы и термины, как "анализ рисков", "оценка рисков" и "управление рисками". В большинстве стандартов данные термины используются для ссылки на классификацию медицинских приборов. Однако, как было показано, классы приборов (хотя они и могут явиться результатом формальной оценки) в значительной степени связаны с возможным влиянием на безопасность, а уровни угрозы и степени защищенности (объединяемые понятием "правдоподобие") не рассмотрены должным образом. Действительно, в большинстве рассмотренных стандартов и руководств часто встречаются такие фразы, как "например" и "включая", то есть в них не определяется процесс, который можно было бы использовать. Поэтому для эффективного использования данных документов требуются значительные усилия.

С другой стороны, в рассмотренных документах содержится достаточно данных, для того чтобы четко сформулировать, что понятия "медицинские приборы" и "программные продукты для сферы здравоохранения" не являются синонимами.

Более того, несмотря на то, что многие из предложенных средств контроля медицинских приборов могут быть применены и к программным продуктам для сферы здравоохранения, сама сущность программных продуктов может потребовать применения иных средств контроля. Использование некоторых средств контроля, представленных в рассмотренных документах, предписано, скорее, законодательными требованиями, нежели определенным или идентифицированным риском. В настоящем стандарте законодательные мероприятия не рассматриваются.

При разработке стандарта по обеспечению безопасности пациентов при использовании программных продуктов для сферы здравоохранения, наиболее полезными будут ИСО 14971 и GHTF/SG3/NI5R8, хотя отдельные положения могут быть заимствованы из большинства рассмотренных документов.

В совокупности рассмотренные документы дают полезное напоминание о необходимости анализа и управления рисками как в ходе проектирования, так и разработки, а также при контроле и поддержании соответствия в процессе всего жизненного цикла. Это особенно важно, поскольку программные продукты для сферы здравоохранения обычно чаще обновляются в форме выпуска новых модифицированных версий, чем медицинские приборы, которые обычно заменяются новыми изделиями.

С.6 Стандарты, связанные с управлением рисками

С.6.1 BS 7799-2:2002, ИСО/МЭК 17799:2005, ИСО/МЭК 27001:2005

В BS 7799-2:2002, ИСО/МЭК 17799:2005 [65] и ИСО/МЭК 27001:2005 [64] отражен передовой опыт в области управления информационной безопасностью, т.е. в области, к которой относятся программные продукты для сферы здравоохранения. Первоначально BS 7799 был разработан в 1995 г. и с тех пор регулярно обновлялся и становился все более признанным в международном масштабе. Поскольку приведенное в нем определение информационной безопасности включает в себя конфиденциальность, целостность и доступность, можно сказать, что в данном стандарте учтены многие аспекты критичности безопасности, особенно, когда безопасность пациента определяется качественной оценкой воздействия на него.

Данный Британский стандарт состоит из двух частей:

- часть 1 содержит совокупность общеприменимых целей контроля, скомпонованных в подгруппы, и главные задачи;

- часть 2 определяет концепцию системы управления информационной безопасностью (на протяжении жизненного цикла), согласованную с критичностью безопасности, качеством, информационными процедурами и защитой окружающей среды. Система управления информационной безопасностью также базируется на модели PDCA (планирование, исполнение, проверка и реализация).

Цели контроля тесно связаны с вопросами оценки рисков для безопасности пациентов. К ним относят:

- политику безопасности;

- организацию и управление безопасностью;

- классификацию и контроль ресурсов;

- безопасность персонала;

- физическую и экологическую безопасность;

- управление коммуникациями и действиями;

- контроль доступа;

- разработку и сопровождение систем;

- управление непрерывностью бизнеса;

- соответствие;

- управление инцидентами.

BS 7799-2 был принят в качестве международного стандарта ИСО/МЭК 27001, содержание которого было скорректировано с учетом предыдущего стандарта ИСО/МЭК 17799:2005. BS 7799-1 еще ранее был принят в качестве международного стандарта ИСО/МЭК 17799:2005, однако ожидается, что он будет включен в ИСО 27002. Кроме того, ожидается, что в ближайшем будущем в этой же серии появятся новые стандарты.

Важным для настоящего стандарта является центральная зависимость стандарта от сильно структурированной и всесторонней (и подробной) оценки риска бизнес-процессов, информационных сервисов и инфраструктур (аппаратное и программное обеспечение, носители данных, документация и т.д.), используемых в рамках системы управления информационной безопасностью.

Кроме юридических и регулятивных требований в ИСО/МЭК 27001:2005, подраздел 4.2, перечисление 1b, также дополнительно сделан акцент на рассмотрении контрактных обязательств на всех стадиях системы управления информационной безопасностью, особенно в отношении оценки рисков, обработки рисков, выбора средств контроля, контроля записей и ресурсов, мониторинга и анализа системы управления информационной безопасностью и требований к документации.

Более того, в будущем еще один документ, BS 7799-3:2006 [69], по управлению рисками в системе управления информационной безопасностью будет принят в качестве международного стандарта ИСО/МЭК 27005 [66]. В нем представлена информация, подобная приведенной в опубликованном документе Британского института стандартов PD 3002:2000. Этот документ содержит подробное описание проблем эффективной реализации управления рисками информационной безопасности, очень похожее по форме на перечень ключевых компонентов, представленный в С.3.

Комплекс стандартов ИСО 2700Х направлен на то же, что и стандарты МЭК 61508-3 и МЭК 61508-5 (см. С.6.2). Однако в нем снова отсутствуют всесторонние спецификации охватываемых процессов или вопросов, подлежащих рассмотрению. С другой стороны, область применения ИСО 27001 может быть в значительной мере использована в отношении оценок рисков для безопасности пациентов при использовании программных продуктов для сферы здравоохранения.

С.6.2 МЭК 61508 "Оценка критического риска для безопасности"

МЭК 61508 состоит из восьми частей. В части 0 представлен обзор. Основное содержание представлено в частях 1 - 4. Их проект был разработан в 1998 г., а проект части 2, содержащей требования к системам, связанным с безопасностью, был пересмотрен в 2000 г. Версии всех четырех частей, выпущенные в декабре 2005 г., в настоящее время являются предметом голосования в комитете. Части 5, 6 и 7 будут рассмотрены позже.

Стандарт применим к электрическим, электронным и программируемым электронным системам. Ранее возникал вопрос, должна ли область применения МЭК 61508 ограничиваться контроллерами с программируемой логикой. Однако последние разработки, например, охватывающие информационные сетевые системы, связанные с безопасностью, подключенные к Интернету, подчеркнули применимость стандарта ко всем программируемым системам, независимо от их конкретного применения.

МЭК 61508 предназначен для совместного применения с ИСО 9000 и основывается на следующих положениях:

- безопасность не может быть абсолютной (с нулевым риском);

- риски, создаваемые системами, должны быть выявлены;

- недопустимые риски должны быть снижены или исключены;

- уверенность в безопасности должна быть определена заранее, а не ретроспективным анализом проекта;

- безопасность должна быть демонстрируемой;

- разрушение веры в то, что "все, сделанное (т.е. построенное) хорошо, автоматически будет безопасным", имеет критическое значение;

- правильное функционирование не обязательно адекватно безопасности.

К настоящему стандарту имеют отношение следующие части МЭК 61508:

- Часть 1. Общие требования;

- Часть 3. Требования к программному обеспечению (т.е., к программным компонентам);

- Часть 5. Примеры методов для дифференцирования уровней целостности безопасности.

Эффективное использование стандарта, несомненно, требует понимания управления рисками, и текущая версия частей 1 - 4 частично отражает мнение, что некоторые процессы слишком сложны и неоднозначны.

В основе данного стандарта лежит концепция "уровней целостности безопасности", которые в чем-то аналогичны уровням рисков. Хотя конкретные процессы по установлению уровней целостности безопасности не представлены, в части 5 показан спектр альтернативных методов. Главной среди них является классификация рисков, основанная на отображении частоты и последствиях, на основании которых выбирается один из четырех классов риска. Поскольку в данном случае "частота" понимается как синоним "правдоподобия", то мы имеем дело с процессом, основанным на рисках, в чистом виде, и данный стандарт приходит к тем же выводам, что и GHTF/SG3/NI5R8 [39].

Однако, примеры, приведенные в части 5, остаются высокоуровневыми и не опускаются до подробных перечней критериев, подлежащих рассмотрению, или средств контроля, подходящих для применения. Также следует учесть относительное предпочтение стандарта к количественным мерам оценки рисков, хотя потенциальная роль качественной оценки в нем также признается. Разумеется, качественную оценку будет практически невозможно применить при отсутствии надежного или обширного банка статистики, на основании которого она могла бы быть сформирована.

Поскольку МЭК 61508 представляет совокупность понятий и принципов, которые могут быть учтены при оценке рисков для безопасности пациентов со стороны программных продуктов для сферы здравоохранения, механизмы, представленные в стандарте в настоящем виде, обычно рассматриваются в комплексе и едва ли могут быть реализованы подходящим образом. Поэтому, если какой-либо процесс оценки будущих рисков со стороны программных продуктов для сферы здравоохранения и мог бы использовать основные принципы, то это считается непригодным. Кроме того, особенно важно будет достичь общей согласованности со сферой медицинских приборов, где уже используется ИСО 14971 (см. С.5.1), и в которой используются разные, как правило, более практичные, механизмы.

С.6.3 Метод оценки риска информационной безопасности Правительства Великобритании CRAMM

CRAMM [40] является методом, распространяемым на коммерческой основе. В виде исключения он рассмотрен в настоящем стандарте с признанием того, что он является интеллектуальной собственностью правительства Великобритании, что он широко и успешно применяется многими организациями здравоохранения, а также внедрен в Национальной службе здравоохранения Великобритании.

Данный метод был разработан примерно 17 лет назад и регулярно развивался и пересматривался. В течение почти всего времени он поддерживался полуавтоматической сервисной программой, и известно, что более 600 копий данной сервисной программы были внедрены более чем в 25 странах.

Данный метод и его сервисная программа поддерживают:

- процесс управления информационной безопасностью по BS 7799/ИСО 27001;

- моделирование ресурсов и зависимостей;

- анализ и управление рисками информационной безопасности, включая обработку рисков;

- спецификацию требований к непрерывности и возвращению к норме;

- создание библиотеки многократно используемых моделей рисков и соответствия;

- итеративные оценки с использованием взаимодействующих уровней функциональности "экспресс" и "эксперт";

- формирование отчетов по рискам и соответствию;

- средства повышения безопасности и планирование реализации.

Информационная безопасность трактуется в CRAMM в соответствии с ИСО 27001. CRAMM содержит базы знаний/экспертные системы, включая:

- около 400 типов ресурсов (в т.ч. обработку информации, информационные сервисы, аппаратное и программное обеспечение, коммуникационные протоколы, носители данных и места размещения);

- 26 разных типов воздействия (в т.ч. проблемы с конфиденциальностью, целостностью и доступностью);

- оценку воздействия по 10-балльной количественной или качественной шкале;

- около 40 типов угроз и степеней защищенности (включая случайные, преднамеренные, технические, человеческие и т.п. факторы), а также вопросы, на которые необходимо ответить, чтобы оценить их;

- семь уровней риска;

- восемь зон информационной безопасности (программное и аппаратное обеспечение, коммуникации, персонал, документация, процедуры, физические аспекты и излучения);

- около 3500 контрмер (организованных в иерархические группы по мере возрастания конкретности и охвата программных принципов, задач, функций и действующих образцов), индексированных в соответствии с угрозами и ресурсами, адекватным ответом на которые они являются.

Из изложенного выше следует, что подход, близкий к CRAMM или основанный на нем, может достаточно эффективно использовать оценку безопасности пациентов при использовании программных продуктов для сферы здравоохранения посредством систематизации существующих экспертных знаний, делающей информацию и процессы общедоступными, и упрощения их использования не экспертами.

С.6.4 Выводы по стандартам, связанным с управлением рисками

Все стандарты, рассмотренные в настоящем разделе, имеют прямое отношение к обеспечению безопасности пациентов при использовании программных продуктов для сферы здравоохранения, хотя ни один из них не может быть использован в его настоящем виде.

Совместное использование ИСО 27001 и CRAMM дает почти действующий образец того, что могло бы быть достигнуто при использовании метода и инструментальных средств, соответствующих концепциям, изложенным в МЭК 61508.

С.7 Общие выводы по стандартам по управлению рисками

Приведенный обзор показывает, что существует множество документов, стандартов и инструментальных средств по управлению рисками, многие из которых относятся к законодательным и регулятивным требованиям (которые не являются предметом рассмотрения в настоящем стандарте) или медицинским приборам (которые по своей сути отличаются от программных продуктов). Что касается стандартов по медицинским приборам, то в область применения некоторых из них включены программные продукты, хотя и как эффективные добавки к самим медицинским приборам.

Данный обзор стандартов показал, что они носят либо очень общий характер, либо слишком сложны для непосредственного применения для целей настоящего стандарта, то есть для решения конкретных проблем безопасности пациентов при применении программных продуктов для сферы здравоохранения неспециалистами (с определенной степенью уверенности в точности результата).

Учитывая, что четкие нормативные материалы появятся только после завершения разработки стандарта совместной рабочей группой ИСО/МЭК [35], следует понимать, что уже достигнуты существенная унифицированность и консенсус по ключевым компонентам эффективного управления рисками.

Многие компоненты рассмотренных стандартов, особенно примеры реализации, могут оказаться очень полезными, если их объединить. Однако подобное объединение все равно не обеспечит всестороннего освещения проблем, то есть потребуется их дальнейшая проработка.

Тем не менее, при разработке любого стандарта по обеспечению безопасности пациентов при использовании программных продуктов для сферы здравоохранения все рассмотренные нормативные документы могут оказаться полезными.

Основываясь на рассмотренных нормативных документах и их практическом применении для высокоуровневых определений и конкретных реализаций, сложно предположить, что один нормативный документ сможет охватить все понятия и экспертные знания, необходимые для обеспечения безопасности пациентов при использовании программных продуктов для сферы здравоохранения. Даже если это могло бы быть достигнуто, то весьма маловероятно, что такой документ может быть также эффективно использован в реальных условиях без привлечения дополнительных средств поддержки.

Объединение ИСО 27001 и CRAMM создает почти рабочий образец того, что могло бы быть достигнуто.

Общий вывод заключается в том, что если управление рисками должно войти в перечень требований по обеспечению безопасности при использовании программных продуктов для сферы здравоохранения, то:

- требуется новый стандарт, согласованный на высоком уровне с результатами совместной рабочей группы ИСО/МЭК, ИСО 14971 и ИСО 61508, разработанный специально для программных продуктов для сферы здравоохранения. Такой стандарт должен воплощать концепции, изложенные в GHTF/SG3/NI5R8, и основываться на опыте использования CRAMM и ИСО/МЭК 17799;

- новый стандарт должен быть подкреплен руководством по реализации, предназначенным специально для программных продуктов для сферы здравоохранения.