ГОСТ Р ИСО 17090-1—2015
Электронные сертификаты используются также службами авторизации и контроля ролевого
доступа. Данные службы жизненно необходимы всфере здравоохранения, поскольку в ней существует
множество специальностей и множество ситуаций, требующих разныхуровней доступа к компонентам
персональноймедицинскойинформации взависимостиотситуации иролиучаствующегомедицинского
работника.
6.2.6 Авторизация
В сфере здравоохранения важно, чтобы права на доступ к персональной медицинской информа
ции предоставлялись только тем лицам, которым она необходима для оказания медицинской помощи
пациенту/потребителю, либо другим лицам, которымдано явное согласие пациента.
6.2.7 Контроль доступа
В сфере здравоохранения важно, чтобы имелись средства, обеспечивающие доступ к ресурсам
системы обработки данных только авторизованным лицам, авторизованными способами и для авто
ризованных целей или функций, поскольку последствия неавторизованного доступа могут быть необ
ратимыми.
Использование электронных сертификатов в соответствии со стандартом информационной
безопасности может значительно снизить риск неавторизованногодоступа к медицинской информации
пациента.
Целью настоящего стандарта является определение общих элементов процессов издания и
использования электронных сертификатов, которые обеспечат цепочку доверия при обмене меди
цинской информацией в межрегиональном или международном масштабе.
6.3 Потребности, специфичные для здравоохранения, и отделение аутентификации
от шифрования
В сфере здравоохранения существует выраженная потребность отделения функции подписи от
функции шифрования. Причина заключается в том, что авторизованным медицинским специалистам
может потребоваться доступ к медицинской карте пациента в срочных или особых ситуациях, когда
медицинский специалист, которомупредназначалосьсообщение, отсутствуетна местеили недоступен.
В системах информационной безопасности, рассчитанных на сферу здравоохранения, обычной
практикой является наличие личного идентификационного сертификата, используемого для аутенти
фикации, и сертификата организационнойединицы, используемогодля шифрования.
Настоящий стандарт рекомендует использовать отдельные сертификаты и связанные с ними
ключи для аутентификации и шифрования (обеспечивающих конфиденциальность). В нем также
подтверждена необходимость иметь отдельные сертификаты для установления идентичности и для
управления контролем доступа, привязанные к ключуаутентификации субъекта.
Если ключи используютдля шифрованияданных, тодля предотвращения потериданных вслучае
отсутствия доступа к ключам расшифрования необходимы определенные средства управления
ключами.
6.4 Управление информационной безопасностью в сфере здравоохранения с помощью
электронных сертификатов
Инфраструктура применения электронных сертификатов, необходимая для безопасного обмена
медицинской информацией и доступа к данным в национальном и международном масштабе, должна
обеспечиваться согласованными общими политиками управления информационной безопасностью.
Чтобы обеспечить уверенность в том, что данная инфраструктура функционирует безопасно, следует
установить нормы и правила поуправлению информационной безопасностью.
Стандарты, определяющие нормы и правила по управлению информационной безопасностью,
уже существуют и являются общепринятыми. ИСО/МЭК 27002 и спецификация COBIT (16) устанавли
вают правила идентификации рисков безопасности, а также правила применения соответствующих
средств управления этими рисками.
Подобные нормы и правила накладывают небольшие ограничения или не накладывают вообще
никакихограничений на службы, которыемогутбытьпредоставлены при внедрении электронныхсерти
фикатови даютподписывающемуили проверяющемулицууверенностьв том, что электронная подпись
не будет подвержена риску компрометации из-за плохого управления безопасностью.
Исходя из этого, настоящий стандарт ссылается на ИСО/МЭК 27002 при решении вопросов
обеспечения информационной безопасности, представленных в IETF/RFC 3647 (11).
11