ГОСТ РИСО/ТС 22600-1—2009
Н А Ц И О Н А Л Ь Н Ы ЙС Т А Н Д А Р ТР О С С И Й С К О ЙФ Е Д Е Р А Ц И И
Информатизация здоровья
УПРАВЛЕНИЕ ПОЛНОМОЧИЯМИ И КОНТРОЛЬ ДОСТУПА
Ч а с т ь 1
Общие сведения и управление политикой
Health informatics. Privilege management and access control.
Part 1. Overview and policy management
Дата введения — 2010—07—01
1 Область применения
Целью настоящегостандарта является обеспечение поддержки потребностей совместногодосту
па к медицинской информации различных административно независимых поставщиков медицинской
помощи, учреждений здравоохранения, страховых медицинскихорганизаций, ихпациентов, персонала
и коммерческихпартнеров. Крометого, настоящий стандарт предназначендля обеспечения поддержки
запросов информации, поступающих какот отдельныхлиц, так и от информационных систем.
В настоящем стандарте определены методы управления авторизацией иконтроля доступа к дан
ным и/или функциям. Он обеспечивает согласование политик контроля доступа и основан на концепту
альной модели, по которой для управления доступом к информации, осуществляемым различными
прикладными программами (программными компонентами), могут использоваться локальные серверы
авторизации и службы распределенного каталога и репозитория политик контроля доступа. Репозито
рий политикпредоставляетинформациюо правилахдоступа кразным прикладным функциям.основан
ным на использовании ролей и других атрибутов. Служба каталога обеспечивает идентификацию
отдельных пользователей. Предоставлениедоступа должно осуществляться на основе:
- аутентифицированной идентификации пользователя:
- правилдоступа, относящихся к конкретному информационномуобъекту;
- правил относительно атрибутов авторизации, заданных менеджером авторизации для пользо
вателя;
- функций конкретного приложения.
Настоящий стандарт в перспективедолжен применяться как на локальном, так и на региональном
или национальном уровне. Одним из ключевых моментов его применения является включение в пись
менное соглашениео политике контролядоступа организационныхкритериев ипрофилейавторизации,
согласованных запрашивающими ипредоставляющими доступ сторонами.
Настоящий стандарт поддерживает взаимодействие междунесколькими менеджерами авториза
ции. которые могутдействовать независимо от организационных и политических границ.
Правилавзаимодействияопределяются в соглашениио политике контролядоступа, подписанном
всеми участвующими организациями, ислужат основойдля дальнейшей работы.
В качестве основы соглашения о политике контроля доступа предложен формат документации,
дающий возможность получения сопоставимой документации от всех сторон, участвующих в обмене
информацией.
Настоящий стандартне включаетв себядетали, связанные с конкретными платформами и реали
зациями. В нем не определяются сервисы и протоколы защиты технической передачи данных, опреде
ленные вдругих стандартах, например в ENV13608, атакже методы аутентификации.
Издание официальное
1