ГОСТ Р ИСО 17090-2—2010
Введение
Перед отраслью здравоохранения стоит проблема сокращения расходов с помощью перехода от
бумажного документирования процессов к электронному. В новых моделях оказания медицинской по
мощи особо подчеркивается необходимость совместного использования сведений о пациенте расши
ряющимся кругом медицинских специалистов, выходящего за рамки традиционных организационных
барьеров.
Персональная медицинская информация обычно передается с помощью электронной почты,
удаленногодоступа к базе данных, электронного обменаданными идругих приложений. Среда Интер
нет предоставляет высокоэффективные и доступные средства обмена информацией, однако она не
безопасна и при ее использовании необходимо принимать дополнительные меры обеспечения непри
косновенностиличности иконфиденциальности. Усиливаются такие угрозы безопасности, как случай
ный или преднамеренный несанкционированный доступ к медицинской информации, и системе
здравоохранения необходимо иметь надежные средства защиты, минимизирующие риск несанкцио
нированного доступа.
Какимже образом система здравоохранения может обеспечитьсоответствующую эффективную и
в тоже время экономичную защиту передачи данных через сеть Интернет? Решение этой проблемы мо
жет быть обеспечено с помощью технологии цифровых сертификатов и инфраструктуры с
открытым ключом (ИОК).
Для правильного применения цифровых сертификатов требуются сочетание технологических, ме
тодических и административных процессов, обеспечивающих защиту передачи конфиденциальных
данных в незащищенной среде с помощью «шифрования с открытым ключом», и подтверждение иден
тичности лица или объекта с помощью сертификатов. Всфере здравоохранения в этосочетание входят
средства аутентификации, шифрования и электронной подписи, предназначенные для выполнения ад
министративных и клинических требований конфиденциальности доступа и передачи медицинскихдо
кументов индивидуального учета. Многие из этих требований могут быть удовлетворены с помощью
служб, применяющих цифровые сертификаты (включая шифрование, целостность информации иэлек
тронные подписи). Особенно эффективно применение цифровыхсертификатов в рамкахофициального
стандарта защиты информации. Многие организации во всем мире начали использовать цифровые
сертификаты подобным образом.
Если обмен информацией должен осуществляться между медицинским прикладным програм
мным обеспечением разных организаций, в том числе относящихся к разным ведомствам (например,
между информационнымисистемами больницы иполиклиники, оказывающих медицинскую помощь од
ному и тому же пациенту), то интероперабельность технологий цифровых сертификатов и сопутствую
щих политик, регламентов и практических приемов приобретает принципиальное значение.
Для обеспечения интероперабельности различных систем, использующих цифровые сертифика
ты, необходимо создать систему доверительных отношений, с помощью которой стороны, ответствен
ные за обеспечение правличности на защиту персональной информации, могут полагаться на политики
и практические приемы и, в дополнение, на действительность электронных сертификатов, выданных
другими уполномоченными организациями.
Во многих странах система цифровых сертификатов используется для обеспечения безопасного
обмена информацией в пределах национальных границ. Если разработка стандартов такжеограничена
этими пределами, то это приводит к несовместимости политик и регламентов центров сертификации
(ЦС) и центров регистрации (ЦР) разных стран.
Технология цифровых сертификатов активно развивается в рамках определенных направлений,
не специфичныхдля здравоохранения. Непрерывно проводится важнейшая работа по стандартизации
и в некоторых случаях по правовому обеспечению такой технологии. В то же время поставщики меди
цинских услуг во многих странах уже используют или планируют использовать цифровые сертификаты.
Настоящий стандарт призван удовлетворить потребность в управленииданным интенсивным междуна
родным процессом.
Настоящий стандарт содержит общие технические, эксплуатационные и методические требова
ния, которые должны быть удовлетворены для обеспечения использования цифровых сертификатов в
целях обмена медицинской информацией в пределах одного домена, между доменами и за пределами
границ одной юрисдикции. Его целью является создание основ глобальной интероперабельности. Нас
тоящий стандарт изначальнопредназначендля поддержки трансграничного обменаданными наоснове
IV