ГОСТ Р ИСО/ТС 22600-1—2009
разработке окончательногостандарта посогласованию политик. Модельролей представлена в подраз
делах 4.6—4.9 ИСО/ТС 22600-2.
4.11 Права аттестации
В соглашенииополитикедолжны бытьперечисленылица, имеющиеправоназначатьроли изасви
детельствованные полномочия сотрудникам организации. Уполномоченный сотрудник имеет право
категорировать медицинскую информацию.
4.12 Делегирование прав
В повседневной работе нередко возникает потребность в делегировании прав. Для управления
этим процессомделегирование правдолжно бытьопределено в соглашении, так каккрайнетрудноточ
нознать, кто наделен какими правами внутри своей зоны безопасности ивдругих зонах. Делегирование
должно быть хорошо структурированным, чтобы его можно было отслеживать. Модель
делегирования рассматривается в подразделе4.8 ИСО/ТС 22600-2.
4.13 Срокдействия
Авторизация, роли, права аттестации и делегирование прав должны иметь четко определенные
срокидействия поотношению к правамдоступа кинформации каквнутри своейзоны безопасности, так и
вдругихзонах. Эти срокидолжны быть указаны в соглашении.
4.14 Аутентификация пользователей и ролей
В качестве метода аутентификации рекомендуется использовать инфраструктуру открытых клю
чей. В настоящем стандарте определен ряд условий, которые должны быть выполнены, если между
зонами безопасности не может быть достигнуто соглашение о единой стандартизованной системе
аутентификации.
4.15 Доступ
Обстоятельства, при которыхразрешаетсядоступ кинформации вдругой зонебезопасности, опи
саны в подразделе4.7 ИСО/ТС 22600-2.
Правиладля правдоступа должны бытьсогласованы и установлены в соглашении.
4.16 Срокдействия соглашения
В соглашении должен быть установлен срок его действия. Соглашение должно также содержать
пункт, определяющий процедуру прекращения действия соглашения как по окончании срока его
действия, таки досрочно. Должны бытьопределены законныеоснованиядля расторжения соглашения.
В соглашении также должны быть определены штрафные санкции в случае его досрочного растор
жения.
4.17 Этические принципы
Нормы и правила никогда не охватывают все возможные ситуации. Поэтому должны учитываться
этические принципы, идолженбытьсформулирован меморандум, позволяющий каждомуполучитьчет
кое понимание рамоксвоей ответственности, в которых он должендействовать.
4.18 Защищенный регистрационный журнал
Какбыло указано выше, всетранзакциидолжны регистрироваться в журнале. В соглашениидолж
нобытьуказано, как это будетделаться и с какой степеньюдетализации. Регистрация транзакций явля
ется ключевым факторомдоверия пациентов к системе.
Чтобы гарантировать высокое качество ведения регистрационного журнала, необходимо исполь
зовать метки времени. Все информационные транзакции должны иметь метку времени. Это может
потребоватьсущественного перепрограммированияболеестарыхсистем и.следовательно, может ока
заться невозможным по экономическим причинам. В этом случае стороны, подписывающие соглаше
ние. должны решить, что можно сделать в существующих обстоятельствах и какие меры должны быть
приняты для исправления ситуации. План реализации этих мерявляется частью соглашения.
4.19 Аудиторская проверка
В соглашении должно быть оговорено, когда, кем и каким образом должны проверяться файлы
регистрационногожурнала ипредприниматься надлежащиедействия.
4.20 Анализ рисков
При наличии каких-либо рисков все стороны должны совместно оценить их и решить, приемлемы
они или нет. Рискидолжны быть задокументированы в соглашении о политике. Если риски приемлемы,
то все стороны должны одобритьсоглашение о политике. Если риски не приемлемы, то в соглашение
о политике должен быть включен план, детализирующий требования к ресурсам, обеспечивающим
сни жение рисков.
4.21 Непрерывность иуправление чрезвычайными ситуациями
В соглашении о политике должны быть определены подробные процедуры для поддержания
непрерывности бизнес-процессов, восстановления работоспособности и управления чрезвычайными
ситуациями в случае сбоев.
8