ISO 27799-2025 PDF

Полное наименование и описание

ISO 27799:2025 — «Health informatics — Information security controls in health based on ISO/IEC 27002» (Информатика в здравоохранении — Контроли информационной безопасности в здравоохранении на основе ISO/IEC 27002). Стандарт описывает набор контролей безопасности и рекомендации по их внедрению применительно к организациям здравоохранения и хранителям персональной медицинской информации, включая специализированное ПО, медицинские устройства и облачные сервисы.

Аннотация

Новая редакция ISO 27799 даёт практические указания по выбору, внедрению и управлению контролями информационной безопасности в сфере здравоохранения, опираясь на положения ISO/IEC 27002:2022. Документ охватывает особенности защиты данных электронных медицинских карт, медицинских информационных систем, программного обеспечения медицинских устройств и сервисов, а также аспекты безопасности при дистанционной телемедицине и использовании облачных решений.

Общая информация

• Статус: Публикация (International Standard — опубликован).
• Дата публикации: декабрь 2025 (опубликован 18 декабря 2025).
• Организация-издатель: ISO (Международная организация по стандартизации), технический комитет ISO/TC 215.
• ICS / категории: 35.030; 35.240.80 (информатика в здравоохранении; информационная безопасность).
• Редакция / версия: Редакция 3 (ISO 27799:2025).
• Количество страниц: 72 страницы (ориентировочно — основная англоязычная версия).

Область применения

Стандарт применим ко всем организациям и структурам, которые предоставляют медицинские услуги или являются хранителями персональной медицинской информации независимо от формы хранения и передачи данных (бумажные носители, электронные системы, сети, мобильные и облачные сервисы). Он охватывает все физические и удалённые места оказания помощи (больницы, клиники, амбулаторные службы, машины скорой помощи, мобильные диагностические единицы и удалённая помощь). Рекомендации предназначены для организаций любого размера и профиля, включая поставщиков ПО и производителей медицинских устройств.

Ключевые темы и требования

• Соответствие и привязка контролей к структуре ISO/IEC 27002:2022 — адаптация общих ИБ-контролей под особенности здравоохранения.
• Управление активами медицинской информации (идентификация, классификация, жизненный цикл данных).
• Контроль доступа и аутентификация с учётом клинических процессов и роли пользователей.
• Шифрование, защита передачи и хранения медицинских данных, управление ключами.
• Управление уязвимостями и инцидентами информационной безопасности в клинических системах и медицинских устройствах.
• Особенности безопасности медицинских устройств, встроенного ПО и взаимодействия с информационными системами.
• Безопасность при использовании облачных сервисов, удалённой телемедицины и мобильных приложений.
• Управление поставщиками и цепочками поставок, включая требования к поставщикам услуг и ПО в здравоохранении.
• Конфиденциальность и защита персональных данных пациентов, поддержка требований регуляторов и принципов минимизации данных.
• Рекомендации по внедрению, проверке эффективности и мониторингу мероприятий по обеспечению ИБ в организациях здравоохранения.

Применение и пользователи

Основные пользователи стандарта — администрации и службы информационной безопасности лечебных учреждений, провайдеры электронных медицинских карт, разработчики и производители медицинского ПО и устройств, облачные провайдеры, консультанты по информационной безопасности, аудиторы и регуляторы здравоохранения. Стандарт полезен для формирования требований к закупкам, оценки рисков и управления соответствием требованиям защиты персональных данных.

Связанные стандарты

ISO 27799:2025 тесно привязан к ISO/IEC 27002 (версия 2022) и к ISO/IEC 27001 (системы управления информационной безопасностью). Предыдущие редакции ISO 27799 (2008 и 2016) были пересмотрены и заменены. Кроме того, для медицинских устройств и клинических информационных систем полезны ссылки на международные и отраслевые стандарты по безопасности медицинских устройств и управлению рисками.

Ключевые слова

информатика в здравоохранении; информационная безопасность; медицинская информация; ISO/IEC 27002; электронные медицинские карты; медицинские устройства; конфиденциальность; шифрование; управление рисками; телемедицина.

FAQ

В: Что это за стандарт?

О: Международный стандарт ISO 27799:2025 содержит набор контролей информационной безопасности и рекомендации по их применению в сфере здравоохранения, основанные на ISO/IEC 27002:2022.

В: Что он регулирует?

О: Стандарт не устанавливает юридические требования, но даёт руководство по выбору и внедрению технических и организационных мер защиты персональной медицинской информации, включая управление доступом, шифрование, управление инцидентами, поставщиками и безопасностью медицинских устройств.

В: Кто обычно использует?

О: Руководители ИТ и информационной безопасности медицинских организаций, разработчики и интеграторы клинических систем, производители медицинских устройств, аудиторы и консультанты по защите данных, а также регуляторы при формировании рекомендуемых практик.

В: Он актуален или заменён?

О: Редакция 2016 года официально отозвана: на её место выпущена новая версия ISO 27799:2025 (публикация в декабре 2025). Для практики актуальна именно редакция 2025 года.

В: Это часть серии?

О: Да. ISO 27799 является прикладным стандартом в области информатики в здравоохранении и служит дополнением к серии ISO/IEC 27000 (в частности ISO/IEC 27002 и ISO/IEC 27001). Разработка и поддержка осуществляются в рамках работы технического комитета ISO/TC 215.

В: Какие ключевые слова?

О: Информационная безопасность, здравоохранение, медицинская информация, конфиденциальность, ISO/IEC 27002, контроль доступа, шифрование, медицинские устройства, облачные сервисы.