ГОСТ ISO/TS 22600-3—2013
регистрируемых событиях. Непрерывный мониторинг записей журналов должен быть неотъемлемой частью экс
плуатационной фазы жизненного цикла разработки системы (19).
Архитектурабезопасностидолжна обеспечивать поддержкуразвертывания средств аудита на уровне прило
жения. учреждения или на уровне страны. Для выполнения требования длительного хранения аудиторской инфор
мации необходимо использовать долговременные системы хранения и архивирования данных. Это требование
устанавливает минимальный срок хранения (пять лет). Организации должны определять политики и процедуры для
управления ведением журналов, совместимым с принятыми стандартами [20).
Согласие пациента можетсчитаться одним из событий, требующих аудита. Поскольку необходимо регистри
ровать раскрытие информации о пациенте, то в настройках системы аудита это событие должно быть указано как
«обязательное». Архитектура безопасности обеспечивает централизованный сбор иобработкусведенийораскры
тии этой информации и выдачунеобходимыхотчетов Всоответствии сзаконодательством оперсональныхданных
для хранения сведений о подобном раскрытии информации может бытьустановлен более длительный срок, неже
ли для хранения сведений о простых событиях безопасности.
Системы обнаружения вторжений должны быть неотъемлемой частью распределенной архитектуры. Ком
мерчески доступные системы обнаружения вторжений предоставляют возможности быстрой подачи тревожных
сигналов, уведомляющих об определенных вторжениях. Вторжения можно подразделить на два основных класса:
несанкционированные и аномальные. К несанкционированным вторжениям относятся организованные атаки на
известные слабые места системы. Они могут быть обнаружены путем наблюдения за определенными действиями,
выполняемыми над определенными объектами. Аномальные вторжения вызывают отклонения от нормального
режима работы системы. Их можно обнаружить с помощью построения профиля работы мониторируемой системы и
регистрации значительных отклонений от этого профиля.
Применение промышленных стандартов позволяет создавать качественные подсистемы аудита. Промыш
ленные группы по разработке профилей стандартов, например. Integrating the Healthcare Enterpnse (IHE). публику ют
профили, которые описывают применение уже разработанных стандартов для улучшения совместного
использования медицинской информации при лечении пациентов. Организация IHE опубликовала несколько
интеграционных профилей, предназначенныхдля обеспечения безопасности и конфиденциальности, а том числе
ATNA (Audit Trail and Node AuthenticaUon — Журнал аудита и аутентификация узла). ВРРС (Basic Patient Privacy
Consents — базовое информированное согласие пациента), ВЫП (Document Digital Signature — электронная под пись
документа). EUA (Enterprise User Authentication — корпоративная аутентификация пользователей) и XUA (Cross-
enterprise User Assertion — передача объявлений идентичности пользователей между зонами безопаснос ти). Эти
интеграционные профили описывают меры безопасности, которые всочетании с политиками и процедура ми
безопасности позволяют обеспечить конфиденциальность информации о пациентах, целостность данных и
учетность (21). В профиле IHE ATNA описано ведение журнала аудита безопасности, совместимогос дополнени ем
95 к стандарту DiCOM «Сообщения журнала аудита» (DICOM Supplement 95: Audit Trail Messages. [22)).
A.9 Дополнительные сервисы инфраструктуры управления привилегиями
А.9.1 Размещение сервисов аудита
Сервисы аудита размещаются на конечных системах: рабочихстанциях. информационных серверах, шлюзо
вых и транслирующих системах, включая серверы безопасности (контроллеры доменов, прокси-серверы и т. д.).
Сервис аудита, размещенный на сервере, обеспечивает регистрацию активности по обработке данных. Сетевой
сервис аудита, размещенный, к примеру, в шлюзе, регистрирует информацию о получаемых сетевых пакетах.
Вместе с сервисом аудита могут размещаться средства управления безопасностью, обеспечивающие настройку и
обработкужурналов аудита и выдачу необходимыхотчетов. Эти средства могут также предоставлятьбазовые
дан ные. предназначенныедля обработки системой обнаружения вторжений.
А.9.2 Обнаружение вторжений
Вторжения можно подразделить на два основных класса: несанкционированные ианомальные. Кнесанкцио
нированным вторжениям относятся организованные атаки на известные слабые места системы, которые могут
быть обнаружены путем наблюдения за определенными действиями, выполняемыми над определенными объек
тами. Аномальные вторжения вызывают отклонения от нормального режима работы системы. Их можно обнару
житьс помощью построения профиля работы мониторируемойсистемы и регистрации значительныхотклонений от
этого профиля.
Система обнаружения вторжений (Intrusion Detection System — IDS) может также выполнять собственный
мониторинг и сохранять агрегированную статистику, характеризующую профиль использования системы. Данные
этойстатистики могутбытьсобраны изразных характеристикработысистемы, например, использование процессо
ра. интенсивность обменов с диском, использование памяти, активность пользователей, число попыток входа в
систему и т. д. Эта статистика должна постоянно обновляться и отражать текущее состояние работы системы. С
помощью сопоставления указанной статистики с внутренней моделью система обнаружения вторжений способна
определять, можно ли рассматривать ряддействий как попыткувторжения в систему. Модель можетописыватьряд
сценариев вторжения и может также кодировать профиль невозмущенной системы.
Серверная система обнаружения вторжений представляет собой программное обеспечение, которое выпол
няет мониторинг системных или прикладных журналов. При обнаружении попыток пользователя получить неавто
ризованный доступ кданным. файлам или сервисам оно подает тревожный сигнал или принимает контрмеры.
36