Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 56839-2015/IEC/TR 80001-2-1:2012 "Информатизация здоровья. Менеджмент рисков в информационно-вычислительных сетях с медицинскими приборами. Часть 2-1. Пошаговый менеджмент рисков медицинских информационно-вычислительных сетей. Практическое применение и примеры" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2227-ст)
- Приложение Е (справочное). Контроль эффективности ослабления риска
Приложение Е (справочное). Контроль эффективности ослабления риска
Приложение Е
(справочное)
КОНТРОЛЬ эффективности ослабления РИСКА
Е.1 Обзор
КОНТРОЛЬ представляет из себя непрерывный обзор всей деятельности МЕНЕДЖМЕНТА РИСКА и возможностей УПРАВЛЕНИЯ РИСКОМ, установленных для достижения допустимого РИСКА использования (на стадии эксплуатации) МЕДИЦИНСКОЙ ИТ СЕТИ(ЕЙ). Он предоставляет свидетельство того, что совокупный РИСК для ОСНОВНЫХ СВОЙСТВ МЕДИЦИНСКОЙ ИТ СЕТИ является допустимым. Результат действий КОНТРОЛЯ может привести к:
- восстановлению ухудшенных рабочих характеристик ОСНОВНЫХ СВОЙСТВ (сигнал для УПРАВЛЕНИЯ СОБЫТИЯМИ);
- улучшению мер УПРАВЛЕНИЯ РИСКОМ (запрос на изменение);
- внесению изменений в ПРОЦЕСС МЕНЕДЖМЕНТА РИСКА, критерии допустимости или политику.
Надлежащий КОНТРОЛЬ требует анализ:
- эффективности установленных мер по УПРАВЛЕНИЮ РИСКОМ (см. Е.2);
- эффективности проектирования и выполнения ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА (см. Е.3).
Е.2 Верификация эффективности мер по УПРАВЛЕНИЮ РИСКОМ
КОНТРОЛЬ затрагивает три возможности УПРАВЛЕНИЯ РИСКОМ (см. МЭК 80001-1:2010, пункт 4.4.2.4.1 "Анализ возможностей УПРАВЛЕНИЯ РИСКОМ"). Они представлены (в порядке предпочтения) ниже:
a) управление основным свойством, предусмотренное при проектировании (например, фильтрация пакетов на границе сети);
b) защитные меры (например, добавление сигнализации);
c) информация для обеспечения ОСНОВНЫХ СВОЙСТВ (например, предупреждения, документация пользователя, обучение).
Е.3 Верификация эффективности управления основным свойством, предусмотренного при проектировании
КОНТРОЛЬ мер по УПРАВЛЕНИЮ РИСКОМ, основанный на КОНТРОЛЕ, заложенном в проекте МЕДИЦИНСКОЙ ИТ СЕТИ, требует поиска любых еще не обнаруженных РИСКОВ в компонентах или в конфигурации МЕДИЦИНСКОЙ ИТ СЕТИ, чем напоминает послепродажный контроль.
a) ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ (ОО) воспринимает МЕДИЦИНСКИЕ ПРИБОР(Ы) и компоненты ИТ СЕТИ как черные ящики.
i) В соответствии с регламентом юрисдикции, ПРОИЗВОДИТЕЛИ МЕДИЦИНСКИХ ПРИБОРОВ могут осуществлять послепродажный контроль (PMS), обнаруживая любую проблему, связанную с проектированием, изготовлением или конфигурацией и информировать ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ о требующихся или предлагаемых действиях по решению данной проблемы (например, отзыв или уведомление безопасности).
ii) ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ должна соответствующим образом реагировать на любое уведомление от ПРОИЗВОДИТЕЛЯ.
iii) ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ должна информировать ПРОИЗВОДИТЕЛЯ о любых проблемах с их МЕДИЦИНСКИМ ПРИБОРОМ или компонентом ИТ СЕТИ, или конфигурацией, связанной с приборами, компонентами или конфигурацией, для того, чтобы ПРОИЗВОДИТЕЛЬ мог осуществлять послепродажный контроль.
Примечание - Процедуры устанавливаются, как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА, и они лучше интегрируются с УПРАВЛЕНИЕМ ИЗМЕНЕНИЯМИ И ВЕРСИЯМИ и УПРАВЛЕНИЕМ СОБЫТИЯМИ.
b) Элементы конфигурации. КОНТРОЛЬ эффективности мер по УПРАВЛЕНИЮ РИСКОМ, который основан на конфигурации, может быть достигнут за счет:
i) контроля (критических) элементов конфигурации или контроль рабочей характеристики системы, которая основана на этих элементах конфигурации МЕДИЦИНСКОЙ ИТ СЕТИ. Как правило, такой контроль осуществляется, используя сетевые средства, например, контроля QoS, обнаружения проникновения. Единичное уведомление, поступившее от данных средств, является событием и должно быть перенаправлено в УПРАВЛЕНИЕ СОБЫТИЯМИ;
ii) анализа жалоб или проблем пользователя, которые обрабатывались процедурой УПРАВЛЕНИЯ СОБЫТИЯМИ. Это может указать на ухудшение ОСНОВНЫХ СВОЙСТВ и/или неправильное использование процедур пользователя МЕДИЦИНСКОЙ ИТ СЕТИ;
iii) периодического анализа событий для обнаружения тенденций или других признаков, указывающих на складывающийся РИСК для ОСНОВНЫХ СВОЙСТВ. Типичными признаками этого являются:
1) увеличение или уменьшение частоты возникновения событий;
2) возникновение событий, связанных с другими событиями или изменениями.
Частота периодического анализа должна быть установлена как параметр ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА.
Данные процедуры устанавливаются как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА и их лучше всего использовать вместе с управлением изменениями и версиями и УПРАВЛЕНИЕМ СОБЫТИЯМИ.
Е.4 Верификация эффективности мер защиты
КОНТРОЛЬ эффективности мер защиты, таких как сигналы тревоги, как правило, требует.
a) КОНТРОЛЯ (технической) эксплуатации мер защиты посредством:
i) КОНТРОЛЯ надлежащего выполнения мер по УПРАВЛЕНИЮ РИСКОМ (например, отправки сигнала об отказе в соединении, если это соединение является (частью) меры по УПРАВЛЕНИЮ РИСКОМ). Предполагаемый результат и требующееся действие, следующее за сигналом, должны быть утверждены как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА (при ОЦЕНКЕ РИСКА);
ii) испытания функции сигнала тревоги (например, при запуске перед использованием или при еженедельном испытании). Частоты выполнения таких испытаний должна быть утверждена как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА (в ОЦЕНКЕ РИСКА);
b) КОНТРОЛЯ эффективного использования мер защиты;
c) учета влияния человеческого фактора пользователей систем, которые предупреждают и сигнализируют о необходимости действия. Например, неподходящий интерфейс пользователя, нецелесообразные инструкции или окружение пользователя могут негативно сказаться на эффективности мер по УПРАВЛЕНИЮ РИСКОМ.
Периодический анализ удобства использования и учета человеческих факторов мер защиты, как правило, достигаются аудитом использования мер защиты. Частоты выполнения данных испытаний должна быть утверждена как часть ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА (при ОЦЕНКЕ РИСКА). Как правило, инструменты аудита могут включать в себя анкетирование, интервью и наблюдения. В приложении В приведен список причин и вопросов, указывающих на (возможные) ошибки пользователя.
Е.5 Верификация эффективности информации об ОСНОВНЫХ СВОЙСТВАХ для ослабления РИСКА
Анализ эффективности информации для ослабления РИСКА требует контроля использования данной информации. См. Е.4, перечисление b).
Е.6 ВЕРИФИКАЦИЯ проектирования и выполнения ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА
Целью является верификация способности установленной политики и системы МЕНЕДЖМЕНТА РИСКА точно оценить и обеспечить в течение продолжительного времени ОСТАТОЧНЫЙ РИСК на допустимых уровнях.
КОНТРОЛЬ осуществляется проверкой соответствия с МЭК 80001-1 и периодическими аудитами выполнения ПРОЦЕССА МЕНЕДЖМЕНТА РИСКА.
a) Соответствие с МЭК 80001-1 проверяется в процессе анализа ФАЙЛА МЕНЕДЖМЕНТА РИСКА.
b) Частота проведения аудитов должна устанавливаться средствами ОЦЕНКИ РИСКА.
i) В процессе аудита проверяется:
1) соответствие ПРОЦЕССОВ МЕНЕДЖМЕНТА РИСКА стандарту МЭК 80001-1 и местным требованиям;
2) соответствие выполняемых действий, входящих в МЕНЕДЖМЕНТ РИСКА, установленным ПРОЦЕССАМ и протоколам, описанным в ФАЙЛЕ МЕНЕДЖМЕНТА РИСКА.
Примечание - Типичные инструменты аудита включают в себя анкетирование, интервью и наблюдения.