ГОСТ Р 55036—2012/ISO/TS 25237:2008
1
2) верификация/проверка дублирования записей данных (data duplicate record verification/validabon);
3) запросдополнительныхданных (request for additional data);
4) установление связи с источниками дополнительной информации (link to supplemental information
variables);
5) нормоконтроль (compliance audit);
6) передача значимых результатов (communicate significant findings);
7)дополнительное исследование (follow-upresearch).
Для контроля эти значениядолжны бытьуказаны при санкционированном восстановлении идентично
сти. Методы такого восстановления должны быть хорошо защищены, что можно обеспечить с помощью
использования доверенной службы генерации ключей расшифровки идентификаторов и управления этими
ключами. Доверенные службы могут безопасно определять критерии восстановления, автоматизировать
восстановление в соответствии сэтими критериями и управлять ими.
5.6 Характеристики службы псевдонимизации
Существуют два основных сценария применения служб псевдонимизации:
1) псевдонимы присваиваются одной организацией (илидля одной организации) либодля одной цели
— в этом случае обычно служба управляет идентификаторами, которые присвоены одной организацией
или известны этой организации:
2) псевдонимы предоставляются службами псевдонимизации — в этом случае обычно служба пред
ставляет псевдоидентификаторы нескольким независимым организациям, чтобы можно было связать меж
ду собой медицинскую информацию об одном и том же пациенте, собранную в этих организациях, и при
этом защитить идентичность пациента.
В обоих случаях служба должна функционировать таким образом, чтобы угроза несанкционированно
го восстановления идентичности субъектов этой службы была сведена к минимуму.
Служба, предназначенная для защиты идентичности пациентов, должна удовлетворять следующим
минимальным требованиямдоверенной практики:
- необходимо обеспечитьдоверие получателей медицинской помощи в том, что медицинская инфор
мационная система способна управлять конфиденциальностью их информации;
- необходимо, чтобы была обеспечена физическая защита службы;
- необходимо, чтобы была обеспечена безопасность функционирования службы;
- ключи восстановления идентичности, таблицы преобразования и меры защиты должны подвергать
ся независимому контролю нескольких лиц или нескольких организаций на предмет соответствия заявлен
ным гарантиям безопасности службы;
- служба должна контролироваться (например, по договору или в силу служебных обязанностей)
лицом, ответственным забезопасность исходных идентификаторов;
- в подтверждение заявленных уровней обеспечения конфиденциальностидолжны предоставляться
юридические и технические регламенты применения ключей восстановления идентичности и мер защиты;
- качество службы и ее доступностьдолжны бытьописаны и соответствующим образом обеспечены
при предоставлении информации и доступа;
- если некоторые идентификаторы не нужны для обработки персональных данных, то они могутбыть
заменены пустыми значениями:
- некоторые \дентификаторы могут быть искажены способом, соответствующим цели обработки пер
сональныхданных.
6 Процесс псевдонимизации (методы и реализация)
6.1 Критерии конструирования
При псевдонимизацииданных необходимо отделитьидентифицирующиеданные от обрабатываемых.
Разделение идентифицирующих и обрабатываемых данных в соответствии с заявленными уровнями
обеспечения конфиденциальности и построенной моделью угрозявляется ключевым шагом процесса псев
донимизации данных. В дальнейшем идентифицирующая часть подвергнется преобразованию, а обраба
тываемая останется без изменения. Процесс псевдонимизации преобразует заданные идентификаторы в
псевдоним. С точки зрения наблюдателя, результирующие псевдонимы не содержат идентифицирующую
информацию (чтоявляется основой криптографических преобразований).Такое преобразование может быть
осуществлено различными способами в зависимости от требований проекта. Псевдонимизация может:
15