Приложение А (справочное). Пример оценки риска в службах удаленного технического обслуживания. Национальный стандарт РФ ГОСТ Р 56838-2015/ISO/TR 11633-2:2009 "Информатизация здоровья. Менеджмент информационной безопасности удаленного технического обслуживания медицинских приборов и медицинских информационных систем. Часть 2. Внедрение системы менеджмента информационной безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 28.12.2015 N 2226-ст)

Приложение А
(справочное)

Пример
оценки риска в службах удаленного технического обслуживания

В настоящем приложении приводится пример оценки риска СУО. Пример показан в таблице А.1. Нумерация строк в таблице А.1 такая же, как у соответствующих разделов ИСО/МЭК 27001.

Комментарии к таблице А.1 представлены сразу после окончания данной таблицы.

Таблица А.1 - Пример оценки риска СУО

Раздел ИСО/МЭК 27001:2005	Подраздел ИСО/МЭК 27001:2005	Цели	Средства управления для реализации целей	N	участок	Актив	Пример угрозы (К - конфиденциальность; Ц - целостность; Д - доступность)	Пример средств управления	У	В	П	О
А.5 Политика информационной безопасности	А.5.1 Направляющая роль руководства в сфере информационной безопасности	Обеспечить направляющую роль менеджмента и поддержку информационной безопасности в соответствии с требованиями бизнеса и соответствующими законодательными и регламентирующими требованиями.	Должен быть разработан, одобрен руководством, опубликован и доведен до персонала и соответствующих внешних сторон комплекс политик информационной безопасности.	-	-	-	-	-	-	-	-	-
			С тем, чтобы гарантировать постоянную пригодность, соответствие и результативность политик информационной безопасности, они должны пересматриваться через запланированные интервалы времени или когда произведены существенные изменения.	-	-	-	-	-	-	-	-	-
А.6 Организация системы информационной безопасности	А.6.1 Внутренняя организация	Осуществлять менеджмент информационной безопасности в рамках организации	Руководство должно активно поддерживать безопасность в пределах организации посредством четкого руководства, продемонстрированных обязательств, подробного распределения и признания ответственности за информационную безопасность.	-	-	-	-	-	-	-	-	-
			Деятельность по информационной безопасности должна быть скоординирована представителями различных частей организации с соответствующими ролями и рабочими функциями.	-	-	-	-	-	-	-	-	-
			Вся ответственность за информационную безопасность должна быть четко определена.	-	-	-	-	-	-	-	-	-
			Должен быть определен и реализован процесс менеджмента получений разрешения для новых средств, обрабатывающих информацию.	-	-	-	-	-	-	-	-	-
			Требования к конфиденциальности или соглашения о неразглашении, отражающие потребности организации в информационной безопасности, должны быть выявлены и должны регулярно анализироваться. Должны поддерживаться подходящие контакты с компетентными органами.	-	-	-	-	-	-	-	-	-
			Должны поддерживаться надлежащие контакты со специальными группами или другими форумами специалистов по защите, а также профессиональными ассоциациями.	-	-	-	-	-	-	-	-	-
			Подход организации к менеджменту информационной безопасности и ее реализации (т.е. цели управления, средства управления, политика, процессы и процедуры для информационной безопасности) должны независимо анализироваться через запланированные интервалы, или когда происходят значительные изменения в реализации защиты.	-	-	-	-	-	-	-	-	-
	А.6.2 Внешние стороны	Поддерживать в рабочем состоянии информационную безопасность организации и средства, обрабатывающие информацию, которые доступны внешним сторонам, обрабатываются внешними сторонами, сообщены внешним сторонам или управляются внешними сторонами.	Должны быть выявлены риски для информации организации и средств, обрабатывающих информацию, проистекающие из деловых процессов, вовлекающих внешние стороны, а перед предоставлением доступа должны быть реализованы надлежащие средства управления.	-	-	-	-	-	-	-	-	-
			Все выявленные требования защиты должны быть рассмотрены до того, как клиентам будет предоставлен доступ к информации или активам организации.	-	-	-	-	-	-	-	-	-
			Соглашения с третьими сторонами, включающие доступ, обработку, сообщение или менеджмент информации организации или средств, обрабатывающих информацию, или добавление изделий или услуг к средствам, обрабатывающим информацию, должны включать в себя все значимые требования защиты.	36	С1	m	Отказ (угроза Д) сетевого оборудования со стороны поставщика интернет-служб приводит к недоступности службы СУО.	Контракты на поставку сторонних услуг (обслуживание, проверка, резервное копирование) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	2	12 > 4
							Поврежденное (угроза Д) сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.	Контракты на поставку сторонних услуг (меры в случае аварии и планы по непрерывной работе) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	1	6 > 4
							Уничтожение (угроза Д) сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.	Контракты на поставку сторонних услуг (ключевой менеджмент) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	1	6 > 4
				37	С1	n	Отказ (угроза Д) или разъединение кабеля природоохранного средства от сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.	Контракты на поставку сторонних услуг (обслуживание, проверка, резервное копирование) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	1	6 > 4
							Поврежденное (угроза Д) природоохранного оборудования для сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.	Контракты на поставку сторонних услуг (меры в случае аварии и планы по непрерывной работе) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	1	6 > 4
							Уничтожение (угроза Д) природоохранного средства для сетевого оборудования со стороны поставщика интернет-служб приводит к потере Д к СУО.	Контракты на поставку сторонних услуг (ключевой менеджмент) предотвращают недоступность службы, указывая сферу ответственности со стороны поставщика интернет-служб.	3 > 2	2	1	6 > 4
А.7 Менеджмент активов	А.7.1 Ответственность за активы	Достичь и поддерживать в рабочем состоянии подходящую защиту организационных активов.	Все активы должны быть четко определены, и должен быть составлен и должен поддерживаться в рабочем состоянии реестр всех важных активов. Вся информация и активы, связанные со средствами, обрабатывающими информацию, должны "находиться во владении" назначенной части организации. Должны быть определены, документированы и внедрены правила для приемлемого использования информации и активов, связанных со средствами, обрабатывающими информацию.	-	-	-	-	-	-	-	-	-
	А.7.2 Классификация информации	Гарантировать, что информация обеспечена соответствующим уровнем защиты.	Информация должна быть классифицирована с точки зрения ее значения, законодательных требований, уязвимости и критичности для организации.	-	-	-	-	-	-	-	-	-
			В соответствии со схемой классификации, принятой организацией, должен быть разработан и реализован подходящий набор процедур маркировки и обработки информации.	-	-	-	-	-	-	-	-	-
А.8 Защита человеческих ресурсов	А.8.1 Перед наймом на работу А.8.2 Во время выполнения работы А.8.3 Завершение или изменение работы по найму	Гарантировать, что служащие, подрядчики и пользователи третьей стороны понимают свою ответственность и подходят для должностей, на которые они рассматриваются, а также снизить риск кражи, мошенничества или неправильного использования средств. Гарантировать, что все служащие, подрядчики и пользователи третьей стороны осознают угрозы информационной безопасности и хлопоты по защите информации, свою ответственность и свои обязательства, и оснащены для того, чтобы поддерживать организационную политику безопасности во время своей обычной работы, а также для того, чтобы снизить риск ошибки человека. Гарантировать, что служащие, подрядчики и пользователи третьей стороны уходят из организации или меняют службу в установленном порядке.	Роли и ответственность служащих, подрядчиков и пользователей третьей стороны в отношении безопасности должны быть определены и задокументированы в соответствии с политикой информационной безопасности организации.	-	-	-	-	-	-	-	-	-
			Проверки верификации в фоновом режиме по всем кандидатам в служащие, в подрядчики и в пользователи третьей стороны должны проводиться в соответствии с имеющими отношение к делу законами, нормами и этикой, и должны быть пропорциональны деловым требованиям, классификации информации, которая будет доступной, и предполагаемым рискам.	-	-	-	-	-	-	-	-	-
			Как часть договорного обязательства, служащие, подрядчики и пользователи третьей стороны должны согласиться и подписать сроки и условия договора личного найма, в котором должны быть указаны их ответственность за информационную безопасность и ответственность организации за информационную безопасность. Должна быть четко определена и назначена ответственность за осуществление окончания или изменения работы по найму.	11	А1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, неавторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением противозаконной работы. Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
				12	А1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, неавторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением противозаконной работы. Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
				19	А1	h	Подкуп приводит к раскрытию (угроза К) персональной медицинской информации.	Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов.	3 > 2	3	1	9 > 6
				28	В1	o
				28	В2
				48	D1
				51	Е1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, неавторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением противозаконной работы. Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
							Замена основным обслуживающим персоналом персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, приводит к нарушению Ц информации.	Управление конфиденциальностью информации (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным обслуживающим персоналом.	3	3	1	9
				52	Е1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации на локальном оборудовании центра удаленного технического обслуживания приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра СУО. Кроме того, неавторизованное использование техническим персоналом центра СУО может быть обнаружено в связи с ограничением противозаконной работы. Проверки конфиденциальности и прошлого опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО предотвращением противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
				52	Е1	а	Замена основным обслуживающим персоналом персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, приводит к нарушению Ц информации.	Управление конфиденциальностью информации (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов тех. персоналом центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
				53	Е1	с	Удаление или замена на участке лечащим врачом приводит к раскрытию нарушению К или угрозе Ц персональной медицинской информации.	Конфиденциальность может ограничить неавторизованное использование сдерживанием и предотвращением незаконных действий, однако сама по себе ее влияние незначительно.	3	3	1	9
				59	Е1	h	Подкуп приводит к раскрытию К персональной медицинской информации.	Проверки конфиденциальности и прошлого опыта могут ограничить неавторизованное использование вследствие подкупа посредством ограничения и предотвращения противозаконных действий операторов.	3 > 2	3	1	9 > 6
			Руководство должно требовать от сотрудников, подрядчиков и третьих сторон применять правила обеспечения защиты в соответствии с установленными организацией политиками и процедурами.	-	-	-	-	-	-	-	-	-
			Все служащие организации и, если это имеет отношение к делу, подрядчики и пользователи третьей стороны, должны получить подходящую подготовку по повышению осведомленности и регулярные обновления организационной политики и процедур, насколько это имеет отношение к их рабочим функциям.	19	А1	h	Неверный ввод (угроза Ц) и случайное удаление (угроза Д) ведут к перебою в Д к СУО.	Тренинги и выработка стандартных навыков могут предотвратить перебои в работе, вызванные неверным или случайным удалением, поддерживая и повышая квалификации операторов	3 > 2	3	2	18 > 12
				28	В1	0	Неверная установка (угроза К) приводит к неожиданному раскрытию (угроза К) персональной медицинской информации.	Тренинги и выработка стандартных навыков могут предотвратить перебои в работе, вызванные неверным или случайным удалением, поддерживая и повышая квалификации операторов.	3 > 2	3	2	18 > 12
				48	D1
				59	Е1	h	Неверный ввод (угроза Ц) и случайное удаление (угроза Д) ведут к перебою в Д к СУО.	Тренинги и выработка стандартных навыков могут предотвратить перебои в работе, вызванные неверным или случайным удалением, поддерживая и повышая квалификации операторов.	3 > 2	3	2	18 > 12
А.8 Защита человеческих ресурсов	А.8.3 Завершение или изменение работы по найму	Гарантировать, что служащие, подрядчики и пользователи третьей стороны уходят из организации или меняют службу упорядоченно.	Все служащие, подрядчики и пользователи третьей стороны должны вернуть все активы организации, находящиеся в их владении, по окончании их работы по найму, договора или соглашения. Права доступа всех служащих, подрядчиков и пользователей третьей стороны к информации и средствам, обрабатывающим информацию, должны быть удалены по окончании срока их работы по найму, договора или соглашения, или же скорректированы при изменении.	51	Е1	а	Замена основным обслуживающим персоналом персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, приводит к нарушению Ц информации.	Управление конфиденциальностью информации (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
			Сотрудники, нарушившие правила конфиденциальности, подлежат формальному дисциплинарному процессу.	-	-	-	-	-	-	-	-	-
А.9 Физическая безопасность и охрана окружающей среды	А.9.1 Зона безопасности	Предотвратить несанкционированный физический доступ, нанесение ущерба и вмешательство в недвижимость и информацию организации.	Для защиты зон, в которых находятся информация и средства, обрабатывающие информацию, должны использоваться периметры безопасности (барьеры, такие как стены, управляемый картами турникет на входе или контролируемая человеком вахта).	51	Е1	а	Подглядывание (угроза К) экрана на участке третьими лицами, персоналом медицинского учреждения, сетевыми администраторами медицинского учреждения или основным персоналом других компаний приводит к неавторизованному использованию (нарушению К) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, и раскрытию информации.	Перегородки предотвращают незапланированные визиты случайных лиц	3 > 2	3	1	9 > 6
			Зоны безопасности должны быть защищены подходящими средствами управления входом, с целью гарантировать, что только персоналу, имеющему разрешение, позволен доступ.	11	А1	а	Несанкционированный вход в систему (угроза К) третьих лиц, персонала медицинского учреждения, сетевых администраторов медучреждения или основного технического персонала компании путем просматривания (угроза К) с экрана, словарной атакой на оборудование центра удаленного технического обслуживания или действием от имени авторизованного лица при помощи незаконным образом полученного пароля, приводит к неавторизованному использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию информации.	Управление входом в помещение может ограничить вход в помещение третьих лиц, персонала центра удаленного технического обслуживания или сетевых администраторов центра удаленного технического обслуживания, предотвращая таким образом просмотр с экрана, несанкционированный вход или фальсификацию авторизованного лица.	3 > 2	3	1	9 > 6
				13	А1	с	Если лечащий врач оставляет соответствующий актив в связи с ремонтом или по причине невозможности его отсоединения, то он может быть просмотрен (угроза К) или страницы могут быть удалены третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического обслуживания, приводя к раскрытию персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического обслуживания. Управление входом в помещение может ограничить вход третьими лицами, персоналу центра удаленного технического обслуживания или сетевым администраторам центра удаленного технического обслуживания и блокирует просмотр и удаление страниц.	3 > 2	3	1	9 > 6
				14	А1	d	Если соответствующий ресурс оставлен в связи с ремонтом или по причине невозможности его отсоединения, удаление страниц третьими лицами, персоналом центра удаленного технического обслуживания или сетевыми администраторами центра удаленного технического обслуживания приводит к раскрытию (угроза К) персональной медицинской информации.	Управление ключами защиты может предотвратить удаление дисков третьими лицами, персоналом центра удаленного технического обслуживания или администратором центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
				16	А1	f	Удаление оборудования центра удаленного технического обслуживания и дисков лицами, не являющимися персоналом центра удаленного технического обслуживания, приводит к раскрытию (угроза К) персональной медицинской информации.	Управление входом в помещение может предотвратить вход в помещение лиц, не являющихся персоналом центра удаленного технического обслуживания, а также пропажу оборудования и дисков.	3 > 2	3	1	9 > 6
				17	А1	f	Уничтожение (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
				18	А1	g	Уничтожение (угроза Д) природоохранной системы для оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением, предотвращая доступ к оборудованию неавторизованных лиц.
				22	В1	j	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление (угроза К) страниц лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания. Управление входом в помещение может ограничить вход в помещение третьих лиц, персонала центра удаленного технического обслуживания или сетевых администраторов центра удаленного технического обслуживания, предотвращая, таким образом, просмотр или удаление страниц, предотвращая присутствие неавторизованных лиц.	3 > 2	3	1	9 > 6
				23	В1	k	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление (угроза К) страниц лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Управление ключами защиты может предотвратить доступ и удаление дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ к дискам неавторизованных лиц.	3 > 2	3	1	9 > 6
				25	В1	m	Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Управление ключами защиты может предотвратить удаление сетевого оборудования, почтовых серверов или дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ неавторизованных лиц.	3 > 2	3	1	9 > 6
				26	В1 В2	m	Уничтожение (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
				27	В1 В2	n	Уничтожение (угроза Д) природоохранного средства для сетевого оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.
				42	D1	j	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление страниц (угроза К) лицами, не являющимися сетевыми администраторами медицинского учреждения, приводит к раскрытию персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц лицами, не являющимися сетевыми администраторами медицинского учреждения. Управление входом в помещение (аппаратной трассировки связи) может ограничить вход в помещение лиц, не являющихся сетевыми администраторами медицинского учреждения, и предотвращает просмотр или удаление страниц, предотвращая присутствие неавторизованных лиц.	3 > 2	3	1	9 > 6
				43	D1	k	Если соответствующий ресурс оставлен для ремонта или контроля, то удаление (угроза К) страниц лицами, не являющимися сетевыми администраторами медицинского учреждения, приводит к раскрытию персональной медицинской информации.	Управление ключами защиты может предотвратить доступ и удаление дисков лицами, не являющимися сетевыми администраторами медицинского учреждения, предотвращая доступ к диску неавторизованных лиц.	3 > 2	3	1	9 > 6
				45	D1	m	Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами медицинских учреждений, приводит к раскрытию персональной медицинской информации.	Управление входом в помещение может предотвратить вход в помещение лиц, не являющихся сетевыми администраторами медицинского учреждения, чтобы избежать удаления сетевого оборудования медицинского учреждения, почтовых серверов или их дисков предотвращая присутствие неавторизованных лиц.	3 > 2	3	1	9 > 6
							Уничтожение (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
				47	D1	n	Уничтожение (угроза Д) природоохранного средства для сетевого оборудования медицинского учреждения приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
				54	Е1	d	Если лечащий врач оставляет актив для дальнейшей работы, # удаление (угроза К) на участке третьими лицами, то персоналом медицинского учреждения, сетевыми администраторами медицинского учреждения, основного технического персонала других компаний, основного технического персонала или системного администратора медицинского учреждения приводит к раскрытию персональной медицинской информации.	Управление ключами защиты может предотвратить доступ к информационным носителям третьим лицам, персоналу медицинского учреждения, сетевым администраторам медицинского учреждения, основному техническому персоналу других компаний, основному техническому персоналу или системному администратору медицинского учреждения, чтобы избежать удаление информации на носителях.	3 > 2	3	1	9 > 6
				56	Е1	f	Удаление (угроза К) оборудования, подлежащего техническому обслуживанию лицами, не являющимися системными администраторами медицинского учреждения, и его дисков приводит к раскрытию персональной медицинской информации.	Удаление (угроза К) оборудования, подлежащего техническому обслуживанию, лицами, не являющимися системными администраторами медицинского учреждения, и его дисков приводит к раскрытию К персональной медицинской информации.	3 > 2	3	1	9 > 6
				57	Е1	f	Уничтожение (угроза Д) оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением оборудования, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
				58	Е1	g	Уничтожение (угроза Д) природоохранного средства для оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.	Управление ключами защиты может предотвратить недоступность службы, вызванную уничтожением, предотвращая доступ к оборудованию неавторизованных лиц.	3 > 2	2	1	6 > 4
			Должна быть разработана и применена физическая защита против ущерба от огня, наводнения, землетрясения, взрыва, общественных беспорядков и других форм естественного или искусственного бедствия.	-	-	-	-	-	-	-	-	-
			Должна быть разработана и применена физическая защита офисов, комнат и оборудования. Должна быть разработана и применена физическая защита и руководящие принципы для работы в зонах безопасности.	13	А1	с	Если соответствующий актив оставлен для ремонта или по причине невозможности его отсоединения, то удаление (угроза К) страниц техническим персоналом центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить технический персонал центра удаленного технического обслуживания от входа в помещения при отсутствии других членов, предотвращая удаление бумажных страниц.	3 > 2	3	1	9 > 6
				14	А1	d	Если соответствующий актив оставлен для ремонта или по причине невозможности его отсоединения, то удаление (угроза К) страниц техническим персоналом центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить технический персонал центра удаленного технического обслуживания от доступа к дискам при отсутствии других пользователей.	3 > 2	3	1	9 > 6
				16	А1	f	Удаление (угроза К) оборудования центра удаленного технического обслуживания и дисков техническим персоналом центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить удаление оборудования центра удаленного технического обслуживания и дисков сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ авторизованных лиц при отсутствии других пользователей.	3 > 2	3	1	9 > 6
				21	В1	i	Прослушивание (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Проверка внутреннего маршрута со стороны центра удаленного технического обслуживания, чтобы обнаружить следы прослушивания маршрута.	3 > 2	3	1	9 > 6
							Прослушивание (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Проверка внутреннего маршрута со стороны центра удаленного технического обслуживания несколькими лицами, чтобы обнаружить следы прослушивания маршрута несколькими лицами.	3 > 2	3	1	9 > 6
				21	В1	i	Подглядывание (угроза К) через сетевое оборудование центра удаленного технического обслуживания сетевым администратором центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания в отсутствии других лиц и предотвратить раскрытие персональной медицинской информации посредством сетевого оборудования центра удаленного технического обслуживания, предотвращая доступ авторизованных лиц к диску в отсутствии других лиц.	3 > 2	3	1	9 > 6
				22	В1	j	Если соответствующий актив оставлен для ремонта или контроля, удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление входом в помещение (с отдельной коммуникационной трассой) несколькими лицами может предотвратить вход в помещение сетевого администратора центра удаленного технического обслуживания при отсутствии других лиц, и ограничить удаление бумажных страниц, предотвращая вход в помещение авторизованных лиц в отсутствии других лиц.	3 > 2	3	1	9 > 6
				23	В1	k	Если соответствующий актив оставлен для ремонта или контроля, удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к раскрытию К персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания при отсутствии других лиц, предотвращая доступ авторизованных лиц к диску без присутствия других лиц.	3 > 2	3	1	9 > 6
				25	В1	m	Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков сетевым администратором центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ авторизованного лица при отсутствии других пользователей.	3 > 2	3	1	9 > 6
				41	D1	Р	Прослушивание (угроза К) в сети медицинского учреждения из внутреннего источника лицом, не являющимся сетевым администратором медицинского учреждения, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию информации.	Проверка внутреннего маршрута со стороны медицинского учреждения обнаруживает следы прослушивания маршрута.	3 > 2	3	1	9 > 6
				41	D1	Р	Прослушивание (угроза К) в сети медицинского учреждения из внутреннего источника сетевым администратором медицинского учреждения приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Проверка внутреннего маршрута со стороны медицинского учреждения несколькими лицами обнаруживает следы прослушивания на маршруте несколькими лицами.	3 > 2	3	1	9 > 6
							Подглядывание (угроза К) посредством сетевого оборудования медицинского учреждения сетевым администратором медицинского учреждения приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевых администраторов медицинского учреждения в отсутствии других лиц и предотвратить раскрытие персональной медицинской информации посредством сетевого оборудования медицинского учреждения, предотвращая доступ авторизованных лиц к диску без присутствия других лиц.	3 > 2	3	1	9 > 6
				42	D1	j	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление бумажных страниц (угроза К) сетевым администратором медицинского учреждения приводит к раскрытию персональной медицинской информации.	Управление входом в помещение (с отдельной коммуникационной трассой) несколькими лицами может предотвратить вход в помещение сетевым администраторам медицинского учреждения при отсутствии других лиц и ограничить удаление бумажных страниц, предотвращая вход в помещение авторизованных лиц при отсутствии других лиц.	3 > 2	3	1	9 > 6
				43	D1	k	Если соответствующий актив оставлен для ремонта или контроля, то удаление (угроза К) бумажных страниц сетевым администратором медицинского учреждения приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания при отсутствии других лиц, предотвращая доступ авторизованных лиц к диску без присутствия других лиц.	3 > 2	3	1	9 > 6
				45	D1	m	Удаление (угроза К) сетевого оборудования, почтовых серверов и их дисков сетевым администратором медицинского учреждения приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам сетевыми администраторами медицинского учреждения, предотвращая доступ авторизованного лица при отсутствии других пользователей.	3 > 2	3	1	9 > 6
				54	Е1	d	Вынос (угроза К) или замена актива на участке лечащим врачом приводит к раскрытию или фальсификации персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить взаимодействие врача с информационной средой на диске в отсутствии других членов организации (в одиночку), чтобы, предотвратить авторизованному лицу взаимодействовать с информационной средой при отсутствии других лиц.	3 > 2	3	1	9 > 6
				56	Е1	f	Удаление (угроза К) или изменение (угроза Ц) оборудования, подлежащего техническому обслуживанию системными администраторами медицинского учреждения, и его дисков приводит к раскрытию или фальсификации персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить удаление оборудования, подлежащего техническому обслуживанию, и его дисков сетевыми администраторами медицинского учреждения, предотвращая доступ к дискам авторизованных лиц при отсутствии других лиц.	3 > 2	3	1	9 > 6
			Места доступа, такие как зоны поставки и загрузки, а также другие места, где не имеющие разрешения лица могут войти в помещения, должны управляться и, если возможно, должны быть изолированы от средств, обрабатывающих информацию, с целью избежать неразрешенного доступа.	-	-	-	-	-	-	-	-	-
А.9 Физическая безопасность и охрана окружающей среды	А.9.2 Защита оборудования	Предотвратить гибель, ущерб, кражу или рассекречивание активов и сбои в деятельности организации.	Оборудование должно быть размещено или защищено так, чтобы снизить риски от угроз и опасностей окружающей среды, а также количество возможностей неразрешенного доступа.	18	А1	f	Анализ (угроза К) утечки электромагнитных волн, исходящих от оборудования центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Обеспечивая наличие расстояния между местонахождением оборудования центра удаленного технического обслуживания и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн утечки.	3 > 2	3	1	9 > 6
				25	В1	m	Несанкционированное вмешательство (угроза К) в сетевое оборудование центра удаленного технического обслуживания приводит к непредвиденному раскрытию персональной медицинской информации.	Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.	3 > 2	3	1	9 > 6
							Анализ (угроза К) утечки электромагнитных волн, исходящих от сетевого оборудования центра удаленного технического обслуживания или кабелей, приводит к раскрытию персональной медицинской информации.	Обеспечивая наличие расстояния между местонахождением оборудования центра удаленного технического обслуживания и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн утечки.	3 > 2	3	1	9 > 6
				45	D1	m	Несанкционированное вмешательство (угроза К) в сетевое оборудование медицинского учреждения приводит к непредвиденному раскрытию персональной медицинской информации.	Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.	3 > 2	3	1	9 > 6
				45	D1	m	Анализ (угроза К) утечки электромагнитных волн от сетевого оборудования медицинского учреждения приводит к раскрытию персональной медицинской информации.	Обеспечивая наличие расстояния между местонахождением сетевого оборудования медицинского учреждения и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн утечки.	3 > 2	3	1	9 > 6
				56	Е1	f	Несанкционированное вмешательство (угроза К) в оборудование, подлежащее техническому обслуживанию, приводит к непредвиденному раскрытию персональной медицинской информации.	Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.	3 > 2	3	1	9 > 6
							Анализ утечки (угроза К) электромагнитных волн от оборудования, подлежащего техническому обслуживанию, приводит к раскрытию персональной медицинской информации.	Обеспечивая наличие расстояния между местонахождением оборудования, подлежащего техническому обслуживанию, и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн утечки.	3 > 2	3	1	9 > 6
			Оборудование должно быть защищено от нарушений энергоснабжения и других нарушений, вызванных сбоями во вспомогательном оборудовании.	-	-	-	-	-	-	-	-	-
			Источник энергии и кабели связи, по которым передаются данные или вспомогательные информационные услуги, должны быть защищены от перехвата или повреждения.	-	-	-	-	-	-	-	-	-
			Оборудование должно проходить соответствующее техническое обслуживание, чтобы гарантировать его долгосрочную доступность и целостность.	-	-	-	-	-	-	-	-	-
			Оборудование, информация или программное обеспечение не должны выноситься за пределы помещений организации без предварительного разрешения.	-	-	-	-	-	-	-	-	-
			Все единицы оборудования, содержащие носители информации, должны быть проверены, чтобы гарантировать, что любые уязвимые данные и лицензированное программное обеспечение было удалено или надежно перезаписано перед ликвидацией.	11	А1	а	Если технический персонал центра удаленного технического обслуживания забывает удалить персональную медицинскую информацию на участке, это приводит к непредвиденному раскрытию информации.	Автоматическое стирание во время выхода из системы устраняет необходимость напоминания техническому персоналу центра удаленного технического обслуживания об удалении персональной медицинской информации, таким образом, снижая риск ошибки, связанной с человеческим фактором.	3 > 2	3	1	9 > 6
А.9 Физическая безопасность и охрана окружающей среды	А.9.2 Защита оборудования	Избежать потерь, ущерба, краж или рассекречивания ресурсов и сбоев деятельности организации.	Оборудование, информация или программное обеспечение не должны выноситься за пределы помещений организации без предварительного разрешения. Защита должна быть применена к оборудованию вне помещений, с учетом различных рисков работы за пределами помещений организации. Необходимо применять политику чистого стола в отношении бумаг и накопителей информации, а также политику чистого экрана в отношении устройств обработки информации (А.11.3.3).	53	Е1	с	Если лечащий врач оставляет соответствующий актив для своей работы, то просмотр или удаление (угроза К) на участке третьими лицами, персоналом медицинского учреждения, системными администраторами медицинского учреждения, основным техническим персоналом других компаний, основным техническим персоналом или системными администраторами медицинского учреждения приводит к раскрытию персональной медицинской информации.	Очистка диска может предотвратить просмотр или удаление бумажных страниц третьими лицами, персоналом медицинского учреждения, системными администраторами медицинского учреждения, основным техническим персоналом других компаний, основным техническим персоналом или системными администраторами медицинского учреждения, предотвращая оставление ресурса без присмотра.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.1 Процедуры эксплуатации и ответственность	Гарантировать правильную и безопасную работу средств, обрабатывающих информацию.	Процедуры эксплуатации должны быть документированы, поддерживаться в рабочем состоянии, и быть доступными для всех пользователей, которым они нужны.	-	-	-	-	-	-	-	-	-
			Изменения в средствах и системах, обрабатывающих информацию, должны управляться.	15	А1	e	Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.	Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки или программы хищения информации.	3 > 2	3	2	18 > 12
				21	В1 В2	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любым лицом приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления ущерба, вызванного неавторизованным доступом. Контроль маршрута (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры администрирования сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации при входе в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
				24	В1	l	Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.	Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки или программы хищения информации.	3 > 2	3	2	18 > 12
				41	D1	p	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра удаленного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления ущерба, вызванного неавторизованным доступом. Общие меры администрирования сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации при входе в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
				44	D1	l	Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.	Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.	3 > 2	3	2	18 > 12
				55	Е1	е
			Обязанности и области ответственности должны быть разделены, с целью снизить количество возможностей неразрешенного или непреднамеренного изменения или неправильного использования активов организации.	-	-	-	-	-	-	-	-	-
			Средства разработки, испытания и эксплуатации должны быть разделены для снижения риска неавторизованного доступа или внесения изменений в операционную систему.	16	А1	f	Несанкционированный вход (угроза К) в оборудование центра удаленного технического обслуживания приводит к непредвиденному раскрытию персональной медицинской информации.	Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.2 Управление предоставлением услуг третьей стороной.	Реализовать и поддерживать подходящий уровень информационной безопасности и предоставления услуг в соответствии с соглашениями о предоставлении услуг третьей стороной.	Должно быть гарантировано, что средства управления безопасностью, описания услуг и уровни предоставления, включенные в соглашение о предоставлении услуг третьей стороны, реализуются, эксплуатируются и поддерживаются третьей стороной.	-	-	-	-	-	-	-	-	-
			Услуги, отчеты и записи, предоставляемые третьей стороной, должны постоянно контролироваться и анализироваться; регулярно должны проводиться аудиты.	-	-	-	-	-	-	-	-	-
			Должен осуществляться менеджмент изменений в предоставлении услуг, включая поддержание в рабочем состоянии и улучшение существующей политики, процедур и средств управления в области защиты информации, с учетом критичности вовлеченных деловых систем и процессов и переоценки рисков.	-	-	-	-	-	-	-	-	-
	А.10.3 Планирование и приемка систем	Минимизировать риск системных сбоев.	Использование ресурсов должно постоянно контролироваться, регулироваться, и должны делаться прогнозы будущих требований производительности, чтобы гарантировать требуемые характеристики работы системы.	-	-	-	-	-	-	-	-	-
			Должны быть созданы критерии приемки новых информационных систем, усовершенствований и новых версий, и должны быть выполнены подходящие испытания системы (систем) в ходе разработки и перед приемкой.	-	-	-	-	-	-	-	-	-
А.10 Менеджмент средств связи и эксплуатации	А.10.4 Защита от злонамеренного и мобильного кодирования	Обеспечить целостность программного обеспечения и информации.	Должны быть реализованы средства управления обнаружением, предотвращением и восстановлением, имеющие целью защитить от злонамеренного кодирования, а также надлежащие процедуры [повышения] осведомленности пользователей.	15	А1	e	Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.	Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.	3 > 2	3	2	18 > 12
				24	В1	l
				44	D1
				55	Е1	e
			Если использование мобильного кодирования разрешено, то конфигурация должна гарантировать, что разрешенное мобильное кодирование работает в соответствии с четко определенной политикой защиты, а выполнение неразрешенного мобильного кодирования должно быть предотвращено.
	А.10.5 Резервное копирование данных	Поддерживать целостность и доступность информации и средств обработки информации.	Резервные копии информации и программного обеспечения должны регулярно сниматься и проверяться в соответствии с согласованной политикой резервного копирования.	17	А1	f	Отказ (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.	3 > 2	2	2	12 > 8
				18	А1	g	Отказ (угроза Д) оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				26	В1 В2	m	Отказ (угроза Д) сетевого оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				27	В1 В2	n	Отказ (угроза Д) или отсоединение кабеля (угроза Д) природоохранного средства от сетевого оборудования медицинского учреждения приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				46	D1	m	Отказ (угроза Д) сетевого оборудования медицинского учреждения приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				47	D1	n	Отказ (угроза Д) или отсоединение кабеля Д природоохранного средства от сетевого оборудования медицинского учреждения приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				57	Е1	f	Отказ (угроза Д) оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
				58	Е1	g	Отказ (угроза Д) природоохранного оборудования, для оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.	Техническое обслуживание, контрольные проверки и резервирование данных может предотвратить недоступность служб.
А.10 Менеджмент средств связи и эксплуатации	А.10.6 Менеджмент безопасности сети	Обеспечить информационную безопасность в сетях и защиту поддерживающей инфраструктуры.	Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для того, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в рабочем состоянии защиту для систем и приложений, использующих сеть, включая информацию в пути. Характеристики защиты, уровни услуги и требования менеджмента всех сетевых служб должны быть выявлены и включены в любое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне или берутся из внешних источников.	27	В2	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход лиц, не являющихся сетевыми администраторами центра удаленного технического обслуживания.	1	3	1	3
							Взлом (угроза К) сетевого оборудования центра удаленного технического обслуживания при помощи незаконно полученного пароля из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.
							Прослушивание (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Проверка внутреннего маршрута на стороне центра удаленного технического обслуживания, чтобы обнаружить следы прослушивания маршрута.
							Прослушивание (угроза К) в сети центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Проверка внутреннего маршрута на стороне центра удаленного технического обслуживания несколькими лицами, чтобы обнаружить следы прослушивания маршрута несколькими лицами.
							Подглядывание (угроза К) через сетевое оборудование центра удаленного технического обслуживания сетевым администратором центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам сетевым администраторам центра удаленного технического обслуживания в отсутствии других лиц и предотвратить раскрытие персональной медицинской информации посредством сетевого оборудования центра удаленного технического обслуживания, предотвращая, тем самым, доступ авторизованных лиц к диску без присутствия иных лиц.
А.10 Менеджмент средств связи и эксплуатации	А.10.6 Менеджмент безопасности сети	Обеспечить информационную безопасность в сетях и защиту поддерживающей инфраструктуры.	Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для того, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в рабочем состоянии защиту для систем и приложений, использующих сеть, включая информацию в пути. Характеристики защиты, уровни услуги и требования менеджмента всех сетевых служб должны быть выявлены и включены в любое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне или берутся из внешних источников.	22	В2	J	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление (угроза К) страниц лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания. Управление входом в помещение (с отдельной коммуникационной трассой) может ограничить вход в помещение лиц, не являющихся сетевыми администраторами центра удаленного технического обслуживания, и предотвратить просмотр или удаление страниц, предотвращая присутствие неавторизованных лиц.	1	3	1	3
							Если соответствующий актив оставлен для ремонта или контроля, то удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление входом в помещение (с отдельной коммуникационной трассой) несколькими лицами может предотвратить вход в помещение сетевого администратора центра удаленного технического обслуживания при отсутствии других лиц, и ограничить удаление бумажных страниц, предотвращая вход в помещение авторизованных лиц в отсутствии других лиц.
				23	В2	k	Если соответствующий актив оставлен для ремонта или контроля, удаление (угроза К) бумажных страниц лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию персональной медицинской информации.	Проверка внутреннего маршрута со стороны центра удаленного технического обслуживания, чтобы обнаружить следы прослушивания маршрута.
							Если соответствующий актив оставлен для ремонта или контроля, то удаление (угроза К) бумажных страниц сетевым администратором центра удаленного технического обслуживания приводит к раскрытию персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к дискам для сетевых администраторов центра удаленного технического обслуживания при отсутствии других лиц, предотвращая доступ авторизованных лиц к диску без присутствия других лиц.
				24	В2	l	Установка программных закладок или программ хищения информации (угроза Ц) приводит к раскрытию персональной медицинской информации.	Группа по расследованию инцидентов (ГРИ) быстро устраняет ущерб, вызванный программными закладками или программами хищения информации, благодаря противовирусным мерам. Противовирусные меры могут обнаружить и удалить программные закладки и программы хищения информации.	1	3	2	6
А.10 Менеджмент средств связи и эксплуатации	А.10.6 Менеджмент безопасности сети	Обеспечить информационную безопасность в сетях и защиту поддерживающей инфраструктуры.	Должны осуществляться адекватный менеджмент сети и адекватное управление сетью для того, чтобы сеть была защищена от угроз и для того, чтобы поддерживать в рабочем состоянии защиту для систем и приложений, использующих сеть, включая информацию в пути.	25	В2	m	Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию (угроза К) персональной медицинской информации.	Управление ключами защиты может предотвратить удаление сетевого оборудования, почтовых серверов или дисков центра удаленного технического обслуживания лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, предотвращая доступ неавторизованным лицам.	1	3	1	3
			Характеристики защиты, уровни услуги, и требования менеджмента всех сетевых служб должны быть выявлены и включены в любое соглашение по сетевым услугам, независимо от того, предоставляются ли эти услуги внутренне или берутся из внешних источников.	-	-	-	-	-	-	-	-	-
							Удаление (угроза К) оборудования центра удаленного технического обслуживания, почтовых серверов и их дисков сетевым администратором центра удаленного технического обслуживания приводит к раскрытию (угроза К) персональной медицинской информации.	Управление ключами защиты несколькими лицами может ограничить доступ к сетевому оборудованию, почтовым серверам и их дискам для сетевых администраторов центра удаленного технического обслуживания, предотвращая доступ неавторизованным лицам при отсутствии других лиц.
							Несанкционированное вмешательство (угроза К) в сетевое оборудование центра удаленного технического обслуживания приводит к непредвиденному раскрытию (угроза К) персональной медицинской информации.	Предусмотрено блокирование при обнаружении следов несанкционированного вмешательства.
							Анализ утечки электромагнитных волн (угроза К), исходящих от сетевого оборудования центра удаленного технического обслуживания или кабелей, приводит к раскрытию (угроза К), персональной медицинской информации.	Обеспечивая наличие расстояния между месторасположением сетевого оборудования центра удаленного технического обслуживания и дорогой, можно предотвратить раскрытие персональной медицинской информации, предотвращая прием электромагнитных волн утечки.
				28	В2	0	Неверная установка (угроза К) приводит к неожиданному раскрытию (угроза К) персональной медицинской информации.	Тренинги и стандарты навыков могут предотвратить перебои в работе, вызванные неверным вводом или случайным удалением, поддерживая и повышая квалификации операторов.
	А.10.7 Обработка носителей информации	Предотвращать неразрешенное разглашение, изменение, удаление или уничтожение активов, а также прерывание деловых операций.	Должны быть приняты процедуры менеджмента съемных носителей информации.	-	-	-	-	-	-	-	-	-
			Если носитель больше не требуется, то он должен быть ликвидирован надежно и безопасно, используя формальные процедуры.	13	А1	с	Если лечащий врач оставляет соответствующий актив для ремонта или по причине невозможности его отсоединения, то это может вызвать просмотр или удаление (угроза К) бумажных страниц третьими лицами, персоналом или сетевыми администраторами центра удаленного технического обслуживания, приводя к раскрытию (угроза К) персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц третьими лицами, персоналом или сетевыми администраторами центра удаленного технического обслуживания. Управление входом в помещение может ограничить вход в помещение третьих лиц, персонала или сетевых администраторов центра удаленного технического обслуживания и блокировать просмотр или удаление бумажных страниц.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.7 Обработка носителей информации	Предотвращать неразрешенное разглашение, изменение, удаление или уничтожение активов, а также прерывание деловых операций.	Если носитель больше не требуется, то он должен быть ликвидирован надежно и безопасно, используя формальные процедуры.	22	В1	j	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или удаление (угроза К) бумажных страниц лицами, не являющимися сетевыми администраторами центра удаленного технического обслуживания, приводит к раскрытию (угроза К) персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или удаление страниц сетевыми администраторами центра удаленного технического обслуживания. Управление входом в помещение (с отдельной коммуникационной трассой) может ограничить вход в помещение лицам, не являющимся сетевыми администраторами центра удаленного технического обслуживания и предотвратить просмотр или удаление страниц, не допуская присутствие неавторизованных лиц.	3 > 2	3	1	9 > 6
				42	D1	j	Если соответствующий актив оставлен для ремонта или контроля, то просмотр или изъятие бумажных страниц (угроза К) лицами, не являющимися сетевыми администраторами медицинского учреждения, приводит к раскрытию (угроза К) персональной медицинской информации.	Утилизация шредером может предотвратить просмотр или изъятие страниц лицами, не являющимися сетевыми администраторами медицинского учреждения. Управление входом в помещение (с отдельной коммуникационной трассой) может ограничить вход в помещение лиц, не являющихся сетевыми администраторами медицинского учреждения и предотвращает просмотр или изъятие страниц, не допуская присутствие неавторизованных лиц.	3 > 2	3	1	9 > 6
			Должны быть созданы процедуры для обработки и хранения информации, с целью защитить эту информацию от неразрешенного разглашения или неправильного использования.	-	-	-	-	-	-	-	-	-
			Системная документация должна быть защищена от неразрешенного доступа.	-	-	-	-	-	-	-	-	-
А.10 Менеджмент средств связи и эксплуатации	А.10.8 Обмен информацией А.10.9 Службы электронной торговли	Поддерживать защиту информации и программного обеспечения, обмениваемых в рамках организации и со сторонними компаниями. Гарантировать защиту услуг электронной торговли, а также их безопасное использование	Между организацией и внешними сторонами должны быть установлены соглашения для обмена информацией и программным обеспечением.	-	-	-	-	-	-	-	-	-
А.10 Менеджмент средств связи и эксплуатации	А.10.8 Обмен информацией А.10.9 Службы электронной торговли	Поддерживать защиту информации и программного обеспечения, обмениваемых в рамках организации и со сторонними компаниями. Гарантировать защиту услуг электронной торговли, а также их безопасное использование.	Носитель, содержащий информацию, должен быть защищен от неразрешенного доступа, неправильного использования или порчи в ходе транспортировки за физические границы организации.	-	-	-	-	-	-	-	-	-
			Информация, вовлеченная в сделки в режиме онлайн, должна быть защищена для того, чтобы предотвратить неполную передачу, неправильную маршрутизацию, неразрешенное изменение сообщения, неразрешенное разглашение, неразрешенное дублирование или повторное воспроизведение сообщения. Информация, вовлеченная в электронную торговлю, протекающая через общедоступные сети, должна быть защищена от мошеннической деятельности, споров по договору и неразрешенного разглашения и изменения.	-	-	-	-	-	-	-	-	-
			Должны быть приняты официальная политика обмена, процедуры обмена и средства управления обменом, чтобы защитить обмен информации через использование всех типов средств связи.	-	-	-	-	-	-	-	-	-
			Информация, включенная в электронный обмен сообщениями, должна быть защищена надлежащим образом. Целостность информации, сделанной доступной в общедоступной системе, должна быть защищена для того, чтобы предотвратить неразрешенное изменение.	-	-	-	-	-	-	-	-	-
			Должны быть разработаны и внедрены политика и процедуры, с целью защитить информацию, связанную с взаимозависимостью систем деловой информации.	-	-	-	-	-	-	-	-	-
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Контрольные журналы, записывающие деятельность пользователей, исключения и события в системе защиты информации, должны генерироваться и храниться в течение согласованного периода, с целью помочь в будущих расследованиях и в постоянном контроле над управлением доступом. Средства ведения журнала и информация журнала должны быть защищены от подделки и неразрешенного доступа. Деятельность системного администратора и системного оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анализироваться, и должно предприниматься соответствующее действие.	11	А1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации и оборудования центра удаленного технического обслуживания на участке приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации техническим персоналом центра удаленного технического обслуживания. Кроме того, может быть также обнаружено неавторизованное использование персональной медицинской информации техническим персоналом центра удаленного технического обслуживания, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Контрольные журналы, записывающие деятельность пользователей, исключения и события в системе защиты информации, должны генерироваться и храниться в течение согласованного периода, с целью помочь в будущих расследованиях и в постоянном контроле над управлением доступом.	12	А1	а	Неавторизованное использование (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания его техническим персоналом изнутри приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование техническим персоналом центра удаленного технического обслуживания. Кроме того, неавторизованное использование техническим персоналом центра удаленного технического обслуживания может быть также обнаружено, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом центра СУО посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты и т.д.) в сочетании с внутренним аудитом.
			Средства ведения журнала и информация журнала должны быть защищены от подделки и неразрешенного доступа. Деятельность системного администратора и системного оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анализироваться, и должно предприниматься соответствующее действие.
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Контрольные журналы, записывающие деятельность пользователей, исключения и события в системе защиты информации, должны генерироваться и храниться в течение согласованного периода, с целью помочь в будущих расследованиях и в постоянном контроле над управлением доступом. Средства ведения журнала и информация журнала должны быть защищены от подделки и неразрешенного доступа. Деятельность системного администратора и системного оператора должна вноситься в журнал. Неисправности должны регистрироваться в журнале, анализироваться, и должно предприниматься соответствующее действие.	51	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию основным персоналом на участке, приводит к некорректности информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным техническим персоналом.	3 > 2	3	1	9 > 6
				52	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания извне приводит к некорректности информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным техническим персоналом.	3 > 2	3	1	9 > 6
							Неавторизованное использование (угроза К) или замена (угроза Ц) терапевтами персональной медицинской информации из внутреннего источника в оборудование, подлежащее обслуживанию системными администраторами медицинского учреждения или основным персоналом, приводит к раскрытию (угроза К) или некорректности (угроза Ц) информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом. Кроме того, может быть также обнаружено неавторизованное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Должны быть созданы процедуры для постоянного контроля над использованием средств, обрабатывающих информацию, а результаты деятельности по постоянному контролю должны регулярно анализироваться.	11	А1	а	Неавторизованное использование (угроза К) техническим персоналом центра удаленного технического обслуживания персональной медицинской информации в оборудовании центра удаленного технического обслуживания участка приводит к угрозе раскрытия информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации техническим персоналом центра СУО. Кроме того, может быть обнаружено неавторизованное использование техническим персоналом центра СУО, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом СУО предотвращением противозаконной практики операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
				12	А1	а	Неавторизованное использование (угроза К) персональной медицинской информации в оборудовании СУО техническим персоналом СУО из внутреннего источника приводит к раскрытию информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации техническим персоналом центра СУО. Кроме того, может быть обнаружено неавторизованное использование техническим персоналом центра СУО, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование техническим персоналом СУО предотвращением противозаконной практики операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Должны быть созданы процедуры для постоянного контроля над использованием средств, обрабатывающих информацию, а результаты деятельности по постоянному контролю должны регулярно анализироваться.	51	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию основным техническим персоналом на участке, приводит к некорректности информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом. Кроме того, неавторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом может быть также обнаружено, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
				52	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания, действующим извне, приводит к некорректности информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
А.10 Менеджмент средств связи и эксплуатации	А.10.10 Постоянный контроль	Обнаруживать неавторизованную деятельность по обработке информации.	Должны быть созданы процедуры для постоянного контроля над использованием средств, обрабатывающих информацию, а результаты деятельности по постоянному контролю должны регулярно анализироваться.	52	Е1	а	Неавторизованное использование (угроза К) или замена (угроза Ц) терапевтами персональной медицинской информации из внутреннего источника в оборудовании, подлежащем обслуживанию, системными администраторами медицинского учреждения или основным персоналом, приводит к раскрытию (угроза К) или некорректности (угроза Ц) информации.	Внутренний аудит записей может обнаружить неавторизованное использование персональной медицинской информации врачами, системными администраторами медицинского учреждения или основным техническим персоналом. Кроме того, может быть также обнаружено неавторизованное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом, так как внутренний аудит запрещает осуществление противозаконной работы. Проверки конфиденциальности и накопленного опыта (подтверждение квалификации) могут ограничить неавторизованное использование врачами, системными администраторами медицинского учреждения или основным техническим персоналом посредством предотвращения противозаконной деятельности операторов. Ведение записей (лиц, запрашивающих действия, типы, даты, и т.д.) в сочетании с внутренним аудитом.	3 > 2	3	1	9 > 6
			Часы всех имеющих отношение к делу систем обработки информации в пределах организации или зоны безопасности должны быть синхронизированы с согласованным источником точного времени.	-	-	-	-	-	-	-	-	-
А.11 Управление доступом	А.11.1 Деловые требования К управлению доступом	Управлять доступом к информации.	На основе деловых требований и требований защиты к доступу должна быть создана, задокументирована и проанализирована политика управления доступом.	-	-	-	-	-	-	-	-	-
	А.11.2 Менеджмент доступа пользователей	Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.	Должна быть установлена формальная процедура регистрации и снятия с регистрации пользователей, с целью предоставлять и аннулировать доступ ко всем информационным системам и услугам.	12	А1	а	Несанкционированный вход (угроза К) третьими сторонами, персоналом и системными администраторами центра удаленного технического обслуживания при помощи атаки с "перебором по словарю" в оборудование центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию (угроза К) информации.	(Не требуется никаких мер)	3 > 2	3	1	9 > 6
				21	В1	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любого лица приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного неавторизованным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
							Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход лиц, не являющихся сетевыми администраторами центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.2 Менеджмент доступа пользователей	Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.	Должна быть установлена формальная процедура регистрации и снятия с регистрации пользователей с целью предоставлять и аннулировать доступ ко всем информационным системам и услугам.	21	В2	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любого лица приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного неавторизованным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
				41	D1	Р	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внешнего источника лиц, не входящих в состав персонала центра удаленного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного неавторизованным доступом. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
							Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внутреннего источника лиц, не являющихся сетевыми администраторами медицинского учреждения, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход лиц, не являющихся сетевыми администраторами медицинского учреждения.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.2 Менеджмент доступа пользователей	Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.	Должна быть установлена формальная процедура регистрации и снятия с регистрации пользователей с целью предоставлять и аннулировать доступ ко всем информационным системам и услугам.	51	Е1	а	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в оборудование, подлежащее техническому обслуживанию, третьих лиц, персонала медицинского учреждения, сетевых администраторов медицинского учреждения или основного технического персонала других компаний, любого лица из внешнего источника приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц, персонала и сетевого администратора медицинского учреждения или основного технического персонала других компаний, блокируя работу неавторизованного лица.	3 > 2	3	1	9 > 6
							Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию основным техническим персоналом, приводит к некорректности (угроза Ц) информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным техническим персоналом.	3 > 2	3	1	9 > 6
				52	Е1	а	Несанкционированный вход (угроза К) из внешнего источника при помощи атаки с "перебором по словарю" в оборудование, подлежащее техническому обслуживанию, технического персонала центра удаленного технического обслуживания других компаний приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой на оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход технического персонала центра удаленного технического обслуживания других компаний.	3 > 2	3	1	9 > 6
							Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания, действующим извне, приводит к некорректности (угроза Ц) информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
							Несанкционированный вход (угроза К) из внутреннего источника при помощи атаки с "перебором по словарю" в оборудование, подлежащее техническому обслуживанию, третьих сторон, персонала и сетевых администраторов медицинского учреждения приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц, персонала и сетевого администратора медицинского учреждения.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.2 Менеджмент доступа пользователей	Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.	Назначение и использование привилегий должно быть ограничено и должно управляться.	12	А1	а	Несанкционированный вход (угроза К) третьих сторон, персонала и сетевых администраторов центра удаленного технического обслуживания при помощи атаки с "перебором по словарю" в оборудование центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход третьих сторон, персонала или сетевых администраторов центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
				21	В1	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" из внутреннего источника лица, не являющегося сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранящейся в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить несанкционированный вход третьих сторон, персонала или сетевых администраторов центра удаленного технического обслуживания.
				41	D1	Р	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" из внутреннего источника лица, не являющегося сетевым администратором центра удаленного технического обслуживания, приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранящейся в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Разработка управления маршрутом, чтобы принудительно установить путь и определить подключаемое оборудование.	3 > 2	3	1	9 > 6
				51	Е1	а	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в оборудование, подлежащее техническому обслуживанию, третьих лиц, персонала медицинского учреждения, сетевых администраторов медицинского учреждения или основного технического персонала других компаний, любого лица из внешнего источника приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранящейся в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц, персонала и сетевых администраторов медицинского учреждения или основного технического персонала других компаний, блокируя работу неавторизованного лица.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.2 Менеджмент доступа пользователей	Гарантировать доступ зарегистрированного пользователя и предотвращать неразрешенный доступ к информационным системам.	Назначение и использование привилегий должно быть ограничено, и должно управляться.	51	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, основным техническим персоналом на участке приводит к некорректности (угроза Ц) информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов основным техническим персоналом.	3 > 2	3	1	9 > 6
				52	Е1	а	Замена (угроза Ц) персональной медицинской информации в оборудовании, подлежащем техническому обслуживанию, техническим персоналом центра удаленного технического обслуживания, выполненная извне, приводит к некорректности (угроза Ц) информации.	Управление привилегиями (контроль доступа) в сочетании с контролем доступа. Контроль доступа (защита записи и запрет стирания файла) может предотвратить замену файлов техническим персоналом центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
							Несанкционированный вход (угроза К) из внутреннего источника при помощи атаки с "перебором по словарю" оборудования, подлежащего техническому обслуживанию, третьими сторонами, персоналом или сетевыми администраторами медицинского учреждения приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранящейся в оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.	Управление привилегиями (вход в систему в качестве пользователя/ привилегированного пользователя) в сочетании с контролем доступа. Контроль доступа (информации для входа в систему) может предотвратить незаконный вход третьих лиц, персонала и сетевых администраторов медицинского учреждения.	3 > 2	3	1	9 > 6
			Назначение паролей должно управляться через формальный процесс менеджмента.	-	-	-	-	-	-	-	-	-
			Руководство должно анализировать права доступа пользователей через регулярные интервалы, используя формальный процесс.	-	-	-	-	-	-	-	-	-
А.11 Управление доступом	А.11.3 Ответственности пользователя	Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.	От пользователей надо потребовать следовать хорошим методам защиты при выборе и использовании паролей.	12	А1	а	Третьи лица, персонал или системные администраторы центра удаленного технического обслуживания при помощи незаконно полученного пароля из оборудования центра удаленного технического обслуживания, действующие от имени авторизованного пользователя, могут осуществить несанкционированное использование (угроза К) персональной медицинской информации в оборудовании центра удаленного технического обслуживания и раскрытие (угроза К) информации.	Периодическое изменение пароля предотвращает взлом оборудования центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
				21	В1	i	Взлом (угроза К) сетевого оборудования центра удаленного технического обслуживания, используя незаконно полученный пароль, любым лицом из внешнего источника, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.	3 > 2	3	1	9 > 6
							Взлом (угроза К) сетевого оборудования центра удаленного технического обслуживания, используя незаконно полученный пароль из внутреннего источника лицом, не являющимся сетевым администратором центра удаленного технического обслуживания, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.
					В2		Взлом (угроза К) сетевого оборудования центра удаленного технического обслуживания при помощи, используя незаконно полученный пароль, из внешнего источника любым лицом приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования центра удаленного технического обслуживания.
				41	D1	Р	Взлом (угроза К) сетевого оборудования медицинского учреждения, используя незаконно полученный пароль, из внешнего источника лицами, не входящими в состав персонала центра удаленного технического обслуживания, включая персонал центра удаленного технического обслуживания других компаний, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования медицинского учреждения.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.3 Ответственности пользователя	Предотвращать неразрешенный доступ пользователей, а также компрометацию или кражу информации и средств, обрабатывающих информацию.	От пользователей надо потребовать следовать хорошим методам защиты при выборе и использовании паролей.	41	D1	Р	Взлом (угроза К) сетевого оборудования медицинского учреждения, используя незаконно полученный пароль, из внутреннего источника лицами, не являющимися сетевыми администраторами медицинского учреждения, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом сетевого оборудования медицинского учреждения.	3 > 2	3	1	9 > 6
				51	Е1	а	Взлом (угроза К) при помощи незаконно полученного пароля из оборудования, подлежащего обслуживанию на участке третьими лицами, персоналом медицинского учреждения, сетевыми администраторами медицинского учреждения или основным техническим персоналом других компаний, приводит к несанкционированному использованию (угроза К) персональной медицинской информации оборудования, подлежащего обслуживанию, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом оборудования, подлежащего техническому обслуживанию.	3 > 2	3	1	9 > 6
				52	Е1	а	Взлом (угроза К) оборудования, подлежащего техническому обслуживанию техническим персоналом центра удаленного технического обслуживания других компаний, из внешнего источника при помощи незаконно полученного пароля, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом оборудования, подлежащего техническому обслуживанию.	3 > 2	3	1	9 > 6
							Использование незаконно полученного пароля из внутреннего источника или взлом (угроза К) врачами, третьими лицами, персоналом или системными администраторами медицинского учреждения приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в оборудовании, подлежащем техническому обслуживанию, и к раскрытию (угроза К) информации.	Периодическое изменение пароля предотвращает взлом оборудования, подлежащего техническому обслуживанию.	3 > 2	3	1	9 > 6
			Пользователи должны гарантировать, что оборудование, работающее в автоматическом режиме, имеет подходящую защиту.	-	-	-	-	-	-	-	-	-
А.11 Управление доступом	А.11.4 Управление доступом к сети	Предотвращать неразрешенный доступ к сетевым услугам.	Пользователям должен быть предоставлен доступ только к тем службам, на которые им выдано разрешение.	-	-	-	-	-	-	-	-	-
			Подходящие методы аутентификации должны использоваться для управления доступом дистанционных пользователей.	21	В1 В2	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания из внешнего источника любым лицом, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
				40	D1	Р	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра удаленного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводит к несанкционированному использованию (гроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
							Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внешнего источника техническим персоналом центра удаленного технического обслуживания других компаний или техническим персоналом центра удаленного технического обслуживания приводит к неавторизованному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Разработка управления маршрутом, чтобы принудительно установить путь и определить подключаемое оборудование.	3 > 2	3	1	9 > 6
А.11 Управление доступом	А.11.4 Управление доступом к сети	Предотвращать неразрешенный доступ к сетевым услугам.	Автоматическая идентификация оборудования должна рассматриваться как средство аутентификации соединений с конкретных мест и оборудования.	-	-	-	-	-	-	-	-	-
			Физический и логический доступ к портам диагностирования и конфигурации должен управляться.	21	В1 В2	i	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование центра удаленного технического обслуживания, из внешнего источника любым лицом, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети центра удаленного технического обслуживания, и к раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
				41	D1	Р	Несанкционированный вход (угроза К) при помощи атаки с "перебором по словарю" в сетевое оборудование медицинского учреждения из внешнего источника лицами, не входящими в состав персонала центра удаленного технического обслуживания, включая персонал центров удаленного технического обслуживания других компаний, приводит к несанкционированному использованию (угроза К) персональной медицинской информации, хранимой в сети медицинского учреждения, и раскрытию (угроза К) информации.	Создается группа по расследованию инцидентов (ГРИ) для ускорения восстановления от ущерба, вызванного несанкционированным доступом. Управление маршрутом (без подключения к оборудованию центра удаленного технического обслуживания) предотвращает удаленное подключение к оборудованию центра удаленного технического обслуживания. Общие меры по администрированию сети для сетевого оборудования центра удаленного технического обслуживания включают в себя контроль доступа (информации для входа в систему), особенно на выходе центра удаленного технического обслуживания, разделение сети/ принудительный путь (FW)/ фильтрацию и защиту порта удаленной диагностики.	3 > 2	3	1	9 > 6
			Группы информационных служб, пользователей и информационных систем должны быть разделены в сети.	-	-	-	-	-	-	-	-	-
А.11 Управление доступом	А.11.4 Управление доступом к сети	Предотвращать неразрешенный доступ к сетевым услугам.	Для совместно эксплуатируемых сетей, особенно тех, которые простираются за границы организации, возможность пользователей по подключению к сети должна быть ограничена в соответствии с политикой управления доступом и требованиями деловых приложений.	-	-	-	-	-	-	-	-	-
			Должны быть реализованы средства управления маршрутизацией для сетей, чтобы гарантировать, что компьютерные связи и информационные потоки не нарушают политику управления доступом деловых приложений.	-	-	-	-	-	-	-	-	-
	А.11.5 Управление доступом к операционной системе	Предотвращать неразрешенный доступ к операционным системам.	Доступ к операционным системам должен управляться процедурой защищенного входа в систему.	-	-	-	-	-	-	-	-	-
			Все пользователи должны иметь уникальный идентификатор (ID пользователя) только для их персонального использования, и должна быть выбрана подходящая методика аутентификации для подтверждения заявленной личности пользователя.	-	-	-	-	-	-	-	-	-
			Системы для управления паролями должны быть интерактивными и должны обеспечивать качественные пароли.	-	-	-	-	-	-	-	-	-
			Использование утилит, способных блокировать средства управления системы и приложений должно быть ограничено и должно надежно управляться.	-	-	-	-	-	-	-	-	-
			Неактивные сеансы должны завершаться по истечении определенного периода бездействия.	-	-	-	-	-	-	-	-	-
			Необходимо использовать ограничения по времени соединения для обеспечения дополнительной защиты в приложениях с высокой степенью риска.	-	-	-	-	-	-	-	-	-
А.11 Управление доступом	А.11.6 Управление доступом к приложениям и информации А.11.7 Мобильная обработка и телеобработка	Предотвращать неразрешенный доступ к информации, содержащейся в прикладных системах.	Доступ пользователей и технического персонала к информации и функциям и прикладной системы должен быть ограничен в соответствии с определенной политикой управления доступом.	-	-	-	-	-	-	-	-	-
			Уязвимые системы должны иметь отдельную (изолированную) компьютерную среду.	-	-	-	-	-	-	-	-	-
		Обеспечить информационную безопасность при использовании средств мобильных обработки и телеобработки	Должна быть принята официальная политика и должны быть приняты надлежащие меры обеспечения защиты от рисков использования мобильных компьютерных средств и средств связи.	-	-	-	-	-	-	-	-	-
			Должны быть разработаны и внедрены политика, оперативные планы и процедуры для деятельности по телеобработке.	-	-	-	-	-	-	-	-	-
А.12 Приобретение, разработка и техническое обслуживание информационных систем	А.12.1 Требования к защите информационных систем А.12.2 Корректная обработка в приложениях	Гарантировать, что защита является неотъемлемой частью информационных систем.	В формулировках деловых требований для новых информационных систем или улучшений существующих информационных систем должны быть определены требования к средствам управления защитой.	-	-	-	-	-	-	-	-	-
		Избежать ошибок, потери, неавторизованного изменения или злоупотребления информации в приложениях.	Должно осуществляться подтверждение соответствия данных, вводимых в приложения, чтобы убедиться, что эти данные являются верными и применимыми.	-	-	-	-	-	-	-	-	-
			Подтверждения соответствия должны быть включены в приложения, чтобы обнаруживать любое повреждение информации посредством обработки ошибок или сознательных действий.	-	-	-	-	-	-	-	-	-
			Должны быть определены требования по обеспечению аутентичности и защиты целостности сообщений в приложениях, а также должны быть определены и реализованы надлежащие средства управления.	-	-	-	-	-	-	-	-	-
			Выходные данные из приложений должны проходить подтверждение соответствия, чтобы гарантировать, что обработка хранимой информации является правильной и подходящей.	-	-	-	-	-	-	-	-	-
	А.12.3 Управление доступом с использованием криптографии	Защитить конфиденциальность, аутентичность или целостность информации криптографическими средствами.	Должна быть разработана и применена политика по использованию криптографических средств управления защитой информации.	1а	А2	b	Если стойкость (угроза К) алгоритма шифрования, метода передачи ключа недостаточна, то зашифрованные данные расшифровываются, что приводит к раскрытию (угроза К) персональной медицинской информации.	Применение аттестованного алгоритма шифрования, ключа защиты и метода передачи ключа может предотвратить расшифровку закодированной персональной медицинской информации.	3 > 2	3	1	9 > 6
				29	В2
				39	С1
			Должно быть принято распределение ключей, чтобы поддерживать использование организацией методов криптографии.	-	-	-	-	-	-	-	-	-
А.12 Приобретение, разработка и техническое обслуживание информационных систем	А.12.4 Защита системных файлов	Гарантировать защиту системных файлов.	Должны быть приняты процедуры, чтобы управлять установкой программного обеспечения в операционных системах.	-	-	-	-	-	-	-	-	-
			Тестовые данные должны быть тщательно выбираться и управляться.	-	-	-	-	-	-	-	-	-
			Доступ к исходному тексту программы должен быть ограничен.	-	-	-	-	-	-	-	-	-
	А.12.5 Защита в процессах разработки и поддержки	Обеспечивать защиту прикладного системного программного обеспечения и информации.	Реализация изменений должна управляться путем использования формальных процедур управления изменениями.	-	-	-	-	-	-	-	-	-
			При изменении операционных систем деловые критичные приложения должны быть проанализированы и протестированы, чтобы гарантировать отсутствие неблагоприятного влияния на организационные операции или защиту.	-	-	-	-	-	-	-	-	-
			Изменения в пакетах программ не должны поощряться, должны быть ограничены необходимыми изменениями, и все изменения должны строго управляться.	-	-	-	-	-	-	-	-	-
			Должны предотвращаться возможности для утечки.	-	-	-	-	-	-	-	-	-
			Разработка программного обеспечения, приобретаемого на стороне, должна быть под надзором и постоянным контролем организации.	-	-	-	-	-	-	-	-	-
	А.12.6 Менеджмент технической уязвимости	Снизить риски, возникающие из эксплуатации опубликованных технических уязвимостей.	Должна получаться своевременная информация о технически уязвимых местах используемых информационных систем, должна оцениваться подверженность организации влиянию через такие уязвимые места, и должны быть предприняты подходящие меры для решения проблемы связанного с этим риска	-	-	-	-	-	-	-	-	-
А.13 Менеджмент инцидентов в системе информационной безопасности	А.13.1 Сообщение о событиях и слабостях в системе информационной безопасности	Гарантировать, что о событиях и слабостях в системе информационной безопасности, связанных с информационными системами, сообщается способом, дающим возможность произвести своевременное корректирующее действие.	О событиях в системе информационной безопасности надо сообщать по соответствующим служебным каналам как можно быстрее.	-	-	-	-	-	-	-	-	-
			От всех служащих, подрядчиков и сторонних пользователей информационных систем и услуг надо потребовать отмечать любые наблюдаемые или подозрительные слабости защиты в системах или услугах и сообщать о них.	-	-	-	-	-	-	-	-	-
	А.13.2 Управление инцидентами защиты информации и улучшениями	Обеспечить применение последовательного и эффективного подхода к управлению инцидентами в системе информационной безопасности.	Должны быть установлены ответственность руководства и процедуры, чтобы гарантировать быструю, результативную и упорядоченную реакцию на инциденты в системе информационной безопасности.	-	-	-	-	-	-	-	-	-
			Должны быть приняты механизмы для того, чтобы дать возможность определить количество типов, объемов и издержек инцидентов в системе информационной безопасности и постоянно их контролировать.	-	-	-	-	-	-	-	-	-
			Если последующее действие против лица или организации после инцидента защиты информации включает судебное разбирательство (гражданское или уголовное), то необходимо собрать доказательства, сохранить и предоставить в соответствии с правилами изложения доказательств в соответствующей юрисдикции	-	-	-	-	-	-	-	-	-
А.14 Менеджмент непрерывности бизнес-деятельности	А.14.1 Аспекты информационной безопасности менеджмента непрерывности бизнеса	Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессы от влияния существенных сбоев информационных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.	Должен быть разработан и должен поддерживаться в рабочем состоянии управляемый процесс для обеспечения непрерывности бизнеса для всей организации, который рассматривает требования защиты информации, необходимые для непрерывности бизнеса организации.	-	-	-	-	-	-	-	-	-
			Должны быть выявлены события, которые могут вызвать прерывания деловых процессов, вместе с вероятностью и негативным влиянием таких прерываний и их последствий на информационную безопасность.	-	-	-	-	-	-	-	-	-
			Должны быть разработаны и реализованы планы для поддержания в рабочем состоянии или восстановления операций и обеспечения доступности информации на требуемом уровне и в течение необходимых временных масштабов, следующих за прерыванием или сбоем в критичных деловых процессах.	17	А1	f	Поврежденное оборудования центра удаленного технического обслуживания (угроза Д) приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.	3 > 2	2	1	6 > 4
				18	А1	g	Поврежденное природоохранного средства (угроза Д) центра удаленного технического обслуживания приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
				26	В1 В2	m	Поврежденное сетевое оборудование центра удаленного технического обслуживания (угроза Д) приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
				27	В1 В2	n	Поврежденное природоохранное средство (угроза Д) для сетевого оборудования центра удаленного технического обслуживания приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
				46	D1	m	Поврежденное сетевое оборудование медицинского учреждения (угроза Д) приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
				47	D1	n	Поврежденное природоохранное средство (угроза Д) для сетевого оборудования медицинского учреждения приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
А.14 Менеджмент непрерывности бизнес-деятельности	А.14.1 Аспекты информационной безопасности менеджмента непрерывности бизнеса	Противодействовать прерываниям в деловых операциях, защитить критичные деловые процессы от влияния существенных сбоев информационных систем или бедствий, а также гарантировать своевременное возобновление деловых операций.	Должны быть разработаны и реализованы планы для поддержания в рабочем состоянии или восстановления операций и обеспечения доступности информации на требуемом уровне и в течение необходимых временных масштабов, следующих за прерыванием или сбоем в критичных деловых процессах.	57	Е1	f	Поврежденное оборудование, подлежащее техническому обслуживанию (угроза Д), приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.	3 > 2	2	1	6 > 4
				58	Е1	g	Поврежденное природоохранное средство (угроза Д) оборудования, подлежащего техническому обслуживанию, приводит к потере Д к СУО.	Аварийные меры и планы восстановления после аварии могут снизить потери при аварии и обеспечить быстрое восстановление.
			Должна поддерживаться в рабочем состоянии единая структура планов обеспечения непрерывности бизнеса, с целью гарантировать, что все планы согласованы, с целью последовательного обращения к требованиям защиты информации и определения приоритетов для тестирования и поддержания в рабочем состоянии.	-	-	-	-	-	-	-	-	-
			Планы обеспечения непрерывности бизнеса должны регулярно тестироваться и обновляться, с целью гарантировать, что они пополняются современными данными и результативны.	-	-	-	-	-	-	-	-	-
А.15 Соответствие	А.15.1 Соответствие правовым требованиям	Избегать нарушений любых законодательных, уставных, нормативных или договорных обязательств, и любых требований защиты.	Все имеющие отношение к делу требования закона, нормативные и договорные требования, а также способ организации выполнить эти требования должны быть четко определены, документированы и должны пополняться последними данными для каждой информационной системы и организации.	-	-	-	-	-	-	-	-	-
			Должны быть реализованы подходящие процедуры, чтобы гарантировать соответствие законодательным, нормативным и договорным требованиям по использованию материала, в отношении которого могут иметься права на интеллектуальную собственность, и по использованию лицензионных программных продуктов.	-	-	-	-	-	-	-	-	-
А.15 Соответствие	А.15.1 Соответствие правовым требованиям	Избегать нарушений любых законодательных, уставных, нормативных или договорных обязательств, и любых требований защиты.	Важные записи должны быть защищены от потери, уничтожения и фальсификации, в соответствии с требованиями закона, нормативными, договорными и деловыми требованиями.	-	-	-	-	-	-	-	-	-
			Защита и конфиденциальность данных должны быть гарантированы в соответствии с применимым законодательством, нормативами и, при наличии, договорными условиями.	-	-	-	-	-	-	-	-	-
			Надо удерживать пользователей от использования средств, обрабатывающих информацию, для неразрешенных целей.	-	-	-	-	-	-	-	-	-
			Криптографические средства управления доступом должны использоваться с соблюдением всех соответствующих соглашений, законов и правил.	-	-	-	-	-	-	-	-	-
	А.15.2 Соответствие политике и стандартам защиты, а также техническое соответствие	Гарантировать соответствие систем политикам и стандартам обеспечения защиты организации.	Менеджеры должны гарантировать, что все процедуры защиты в пределах их зоны ответственности выполняются правильно, с целью достичь соответствия политике и стандартам защиты.	-	-	-	-	-	-	-	-	-
			Информационные системы должны регулярно проверяться на соответствие стандартам реализации системы защиты.	-	-	-	-	-	-	-	-	-
	А.15.3 Комментарии к аудиту информационных систем	Максимизировать результативность и минимизировать помехи для/от процесса аудита информационных систем.	Требования аудита и деятельность по аудиту, включающая проверки в действующих системах, должны быть тщательно спланированы и согласованы, с целью минимизировать риск срыва деловых процессов.	-	-	-	-	-	-	-	-	-
			Доступ к инструментальным средствам аудита информационных систем должен быть защищен, чтобы предотвратить любое возможное неправильное употребление или компрометацию.	-	-	-	-	-	-	-	-	-

Комментарии к таблице А.1

1 Заголовки столбцов таблицы

Заголовок	Значение
Раздел	Раздел, подраздел, задачи и средства управления для решения приведены из ИСО/МЭК 27001:2005.
Подраздел
Цель управления
Средства управления
N	Номер угрозы из приложения А, ИСО/ТО 11633-1.
Участок	А1 - оборудование центра удаленного технического обслуживания (ЦОУ); А2 - А1 для ВЧП; В1 - внутренняя сеть ЦОУ; В2 - В1 для ВЧП; С1 - внешняя сеть; - внутренняя сеть медицинского учреждения;
Актив	а - персональная медицинская информация в памяти, на диске и экране; b - алгоритмы, ключи и метод распределения ключей шифрования; с - записи и распечатки персональной медицинской информации; d - средства резервного копирования персональной медицинской информации; е - программное обеспечение, работающее с персональной медицинской информацией; f - оборудование, работающее с персональной медицинской информацией; g - природоохранные системы для оборудования, работающего с персональной медицинской информации; h - операторы, работающие с персональной медицинской информации; i - персональная медицинской информации во внутренней сети ЦОУ; j - записи и распечатки коммуникационного следа персональной медицинской информации; k - средства резервного копирования трассировки связи персональной медицинской информации; l - программное обеспечение сетевого оборудования; m - сетевое оборудование; n - природоохранные системы сетевого оборудования; о - операторы сетевого оборудования р: персональная мед. информация во внутренней сети медицинского учреждения.
Пример угрозы	Пример угрозы
Пример средств управления	Пример средств управления
У (Уязвимость)	Уровень конфиденциальности, целостности или доступности (таблицы А.2-А.4 ИСО/МЭК 27001). Показан уровень до выбора средств управления и после
В (Влияние)	Уровень влияния (см. 5 ниже)
П (вероятность выхода из строя)	Уровень вероятности выхода из строя (см. 6 ниже)
О (Оценка)	Уровень оценки = уязвимость х влияние х вероятность выхода из строя. Показывается уровень до выбора средств управления и после

2 Уровни конфиденциальности

3	Серьезная уязвимость от подглядывания/ кражи, несанкционированного входа/ подлога или выноса
2	Средняя уязвимость от подглядывания/ кражи, несанкционированного входа/ подлога или выноса
1	Незначительная уязвимость от подглядывания/ кражи, несанкционированного входа/ подлога или выноса

3 Уровни целостности

3	Серьезная уязвимость при выполнении или отказе в выполнении изменения, замены или удаления
2	Средняя уязвимость при выполнении или отказе в выполнении изменения, замены или удаления
1	Незначительная уязвимость при выполнении или отказе в выполнении изменения, замены или удаления

4 Уровни доступности

3	Серьезная уязвимость при обслуживании прерывания из-за отказа, бедствия, кабельного разрыва или отказа службы
2	Средняя уязвимость при обслуживании прерывания из-за отказа, бедствия, кабельного разрыва или отказа службы
1	Незначительная уязвимость при обслуживании прерывания из-за отказа, бедствия, кабельного разрыва или отказа службы

5 Уровни влияния

3	Вероятность большого влияния на выполнение операций
2	Вероятность небольшого влияния на выполнение операций
1	Незначительное влияние на выполнение операций

6 Уровни вероятности выхода из строя

3	Высокая вероятность
2	Низкая вероятность
1	Незначительная вероятность