ГОСТ ISO/TS 22600-3—2013
ных как аутентификация, целостность, конфиденциальность, доступность, отчетность (включая веде
ние аудита и неоспоримость), а также службы удостоверения, то первый упомянутый механизм, а
именно, аутентификация, критичен для большей части остальных механизмов. Это справедливо и по
отношению кбезопасностиобработкиданных, где необходимы управлениедоступом, целостность, кон
фиденциальность, доступность, мониторинг действий, аудит ислужбы удостоверения.
Применениеданного стандартабудет вызыватьособуюсложностьв связистем, чтоучаствующие
стороны уже располагаютдействующими системами и не проявят особого желания немедленно обно
витьих илиполностью заменить. Поэтомуоченьважно, чтобы стороны подписали соглашениео полити
ке. в котором они подтверждаютнамерениекдвижению в сторонуприменения настоящегостандарта по
мере возникновения потребности в модификации этих систем.
Соглашениеополитикедолжно такжесодержатьописание выявленныхразличий всистемахобес
печенияинформационнойбезопасностии согласованныхмерпоихпреодолению. Например, при аутен
тификации права иобязанностиоднойстороны, запрашивающейдоступ к информациидругой стороны,
должны обеспечиваться в соответствии с согласованной политикой, записанной в соглашении между
сторонами. Для решения этой задачи необходимо обеспечить соответствующую группировку и класси
фикацию как пользователей и поставщиков информации и информационных услуг, так и самой инфор
мации и предоставляемых услуг. Такая классификация может служить основой для применения
механизмов обработки требований доступа, категорирования информации и информационных услуг, а
также механизмов описанияполитик контролядоступа и управленияими. Если все взаимодействующие
стороны не видят каких-либо угроз, взаимодействие существующих систем иобмен информацией мож но
начинатьсразуже после подписаниясоглашения о политике контролядоступа. Если угрозы настоль ко
существенны, что их надо исключить до начала обмена информацией, то эти угрозы надо описать в
соглашениио политике контролядоступа идобавитьк немуперечень мероприятийпоустранению угроз.
Соглашениедолжно содержать графиквыполненияэтихмероприятий иопределитьспособ ихфинанси
рования.
Процессдокументирования очень важен ислужит основойдля выработки соглашения о политике
контролядоступа. Настоящийстандарт состоит из трех частей:
- Часть 1: Обзор и управление общей политикой, содержащая описание сценариев и критичных
характеристик трансграничного обмена информацией. В ней также приводятся примеры необходимых
методов документирования, которые должны послужить основой соглашения о политике контроля
доступа.
- Часть 2: Формальные модели, содержащая болеедетальные описания архитектуры и моделей
привилегий и управления привилегиями, реализуемыхдля обеспечения защиты совместногодоступа к
информации. Этиописания, дополнены примерамишаблоновсоглашенийо политикеконтролядоступа.
- Часть 3: Применение, содержащая более детальные описания реализуемых спецификаций
механизмов безопасности обработки данных и инфраструктурных служб, использующие разные языки
спецификации.
Настоящийстандартпредставляет принципы и описывает сервисы, необходимыедля управления
привилегиями и контролядоступа. Криптографические протоколы не входят в областьего применения.
Данная часть стандарта ISO/TS 22600 тесно связана с другими международными стандартами в
этой предметной области, например, ISO/TS 17090. ISO/TS 21091 и ISO.TC 21298.
Данную часть стандарта ISO/TS 22600 следует рассматривать в сочетании с полным комплектом
связанных стандартов.
Распределенная архитектура совместно используемых медицинских информационных систем,
которая постепенно становится сервис-ориентированной и обеспечивающей ведение персональных
медицинскихзаписей, все вбольшейстепениоснованана применениивычислительныхсетей. Благода
ряощутимым выгодамдля пользователейприменениестандартизованныхинтерфейсовпользователя,
инструментальныхсредств ипротоколов, обеспечивающее платформенную независимостьпредлагае
мыхрешений, становится всеболее популярным, что запарупоследнихлет привелокощутимому росту
числа действительно открытых информационных систем, предназначенных для функционирования в
корпоративных вычислительныхсетях и вчастных виртуальныхсетях.
Настоящий стандарт предназначен для обеспечения потребности совместной обработки меди
цинской информации самостоятельными медицинскими работниками, организациями здравоохране
ния. медицинскими страховыми организациями, их пациентами, персоналом и контрагентами.
В настоящемдокументеучтена возможностьзапросов каксо стороны физическихлиц, так исосто
роны информационных систем.
Стандарт ISO/TS 22600 описывает методы управления авторизацией и контролем доступа к дан
ным илик функциям. В нем предусмотрена интеграция политик. В его основу положена концептуальная
VI