ГОСТ Р ИСО/ТС 22600-1—2009
Введение
В лечебно-профилактических учреждениях нередко внедряются информационные системы раз
ных поставщиков, каждая из которых требует от пользователя отдельной аутентификации и авториза
ции доступа, поскольку они реализуют эти функции по-своему. Интеграция этих функций требует
значительныхзатрат на взаимныеотображениясведенийо пользователяхи организациях. Втакойситу
ации ресурсы, необходимыедляразработки иэксплуатациифункцийобеспечения безопасности, растут
в геометрической прогрессиис увеличением числа информационных систем.
Сдругой стороны, еслирассматриватьавторизацию сточки зренияучреждения здравоохранения,
то будеточевидна потребностьвгибкоймоделиее реализации, посколькув учрежденияхпостояннопро
исходят изменения. Одни подразделения закрываются, другие создаются, третьи объединяются.
Ситуациястановитсяещеболеесложной, когдадля взаимодействиятребуется пересечениепери
метров зон с разными политиками безопасности. Для преодоления различий между этими политиками
необходимы взаимныесоглашения о политиках междусторонами, обеспечивающими безопасность.
Другая сложность состоит в назначении пользователям ролей. Пользователь может исполнять
различные роли в разное время и даже две или более роли одновременно. Например, пользователь
может работатьдва месяца в роли медсестры, а следующиедва — какакушерка, илиже совмещатьэти
роли.
Более того, в учреждении здравоохранения могут быть идентифицированы разные обязанности в
зависимости от выполняемой роли и рода деятельности пользователей. При переезде в другую страну
или при переходе вдругое медицинскоеучреждениедля пользователей одних итехжекатегорий может
менятьсятипили уровеньавторизации, необходимойкакдлявыполнениякаких-либодействий, такидля
получения доступа к информации.
Другой не менее важный актуальный вопрос — как повысить качество обслуживания, используя
информационные технологии, не нарушая при этом прав личности пациента. Чтобы врачи могли полу
чать наиболее адекватную информацию о пациенте, необходимо наличие «виртуальной электронной
историиболезни», которая позволялабы регистрироватьвсюмедицинскуюпомощь, оказанную пациен
ту, независимооттого, где икем онадокументировалась. При таком подходе необходимаобщая модель
авторизации или специальное соглашение об авторизации между сторонами, обеспечивающими безо
пасность.
Кроме необходимости учета многообразия ролей и обязанностей, типичных для любой крупной
организации, решающее значение имеют идругие аспекты медицинской помощи, например, этические
или юридические, обусловленныеособенностями используемой информации.
Необходимостьвстрогоограниченнойавторизацииактуальна исейчас, нобудетсущественновоз
растать в ближайшиедва года в связи сувеличением обмена информацией между приложениями, что
бы удовлетворить потребность врачей в получении все большего и большего объема информации о
пациенте в целях обеспечения высокого качества иэффективности лечения.
За последнее десятилетие произошли заметные изменения в части сервисов информационной
безопасностиприкладныхпрограмми передачиданных. Нижеуказаны некоторыефакторы, способству
ющие этим изменениям:
- переход от централизованных систем на базе больших компьютеров к распределенным систе
мам на базе местных вычислительных ресурсов;
- все большеданныххранитсяв информационныхсистемах. и том ценнееонидляпользователей:
- пациенты становятся более мобильными, и их медицинские данные требуются в разных местах
пребывания.
В связис необходимостью защитыперсональныхданных, требуемойдляисключениянежелатель
ных личных и социальных последствий, эти изменения влекут за собой повышение требований к сре
дствам защитыпередачииобработки медицинскихданных. Эта защитадолжнараспространяться какна
обменинформацией, такинаееобработку. Что касаетсятакихмеханизмовзащитыобменаданными, как
аутентификация, целостность, конфиденциальность, доступность, отслеживаемость (включая трасси-
руемостьи невозможностьотказа от авторства), контрольдоступа к вычислительным ресурсам, а также
службы удостоверения, именно аутентификация критична для большей части остальных механизмов.
Этосправедливо ипоотношению кбезопасностиобработкиданных, где необходимы управлениедосту
пом кданным ифункциям программ, исполняемыхна вышеуказанныхвычислительныхресурсах, целос
тность, конфиденциальность, доступность, отслеживаемость, различимость ислужбы удостоверения.
Применениенастоящегостандарта будет вызыватьособую сложность всвязистем.что участвую
щие стороны уже располагают действующими системами и не проявят особого желания немедленно
обновить их или полностью заменить. Поэтому очень важно, чтобы стороны подписали соглашение о
IV