ГОСТ Р ИСО 17090-1—2015
Настоящий стандарт определяет необходимость многоуровневой защиты и устанавливает, что
для более высоких уровней безопасности защиту закрытого ключа следует осуществлять с помощью
аппаратных устройств. Управление закрытым ключом подробно описано в пунктах 7.6.2.7.6.3
ИС017090-3.
Для трансграничной и межрегиональной передачи персональной медицинской информации с
использованием незащищенной среды, например Интернет, при которой отправитель и получатель
раньше не вступали в контакт ине зналидругдруга лично, необходимы такие способы аутентификации
участвующих сторон, которые гарантируют, что передаваемая и хранящаяся информация остается
конфиденциальной, чтоона не измененапри передаче ичто ниодна изстороннесможетпозжеотрицать
факт отправки или получения информации. Это является основным требованием, предъявляемым
сферой здравоохранения к службам информационной безопасности, основанным на использовании
электронных сертификатов.
8 Применение электронных сертификатов
8.1 Необходимые компоненты
8.1.1 Общие положения
ИОК является инфраструктурой, содержащей перечисленные ниже компоненты.
8.1.2 Политика сертификата
ПС представляет собой поименованные правила, определяющие применимость сертификата в
определенных группах учреждений здравоохранения и/или в классе приложений с общими требова
ниями к обеспечению информационной безопасности. Сертификаты, основанные на ПС, которая
специально разработана для удовлетворения потребностей в медицинской информации, предназна
чены для использования службами, обеспечивающими авторизацию, контроль доступа и целостность
информации. Специфическиепотребностисистемы здравоохранения, описанные вразделе6. требуют,
чтобы электронные сертификаты были определены особым образом именно для нужд сферы
здравоохранения.
8.1.3 Свод правил по сертификации
Свод правил по сертификации (СПС) представляет собой формулировку правил, которые УЦ
использует при выпуске сертификатов в соответствии с ПС. Например, в СПС указаны действия,
которые необходимо предпринять, когда от органа управления здравоохранением поступает запрос на
выдачу сертификата медицинскому работнику.
8.1.4 Удостоверяющий центр
УЦ является доверенным органом, который подтверждает идентичность владельца сертификата
и присваивает ему «отличительное имя». УЦ также подтверждает правильность информации, отно
сящейся к идентифицированному владельцу сертификата, подписывая эту информацию и. таким
образом, подтверждаясвязьмеждуименами или идентичностью иоткрытыми ключами, которые вводят
в действие электронную подпись данного владельца сертификата. Некоторые из этих функций могут
быть делегированы ЦР (см. 8.1.5), например функции подтверждения идентичности и присвоения
отличительного имени, поскольку данные функции могут быть выполнены наилучшим образом на
местном уровне.
Закрытый ключ можетхраниться на компьютере субъекта или на внешнем носителе, например на
смарт-карте. Обычно доступ к ключу осуществляется владельцем сертификата посредством ввода
кодовой фразы.
Настоящий стандартдопускает, что органы управления здравоохранением могут получатьуслуги
обращения сертификатов разными способами. Некоторые могут осуществлять этудеятельностьсами,
другие могут передать полномочия на нее уполномоченным частным организациям. Кроме того, могут
существовать различные системы обращения сертификатов в зависимости от их назначения. Вла
дельцы сертификатовтакже могут иметь несколькосертификатов.
В зависимостиот способа организации обращения электронных сертификатов в сфере здравоох
ранения конкретной страны, может существовать несколько уровней УЦ, выпускающих сертификаты
для владельцев сертификатов в пределах медицинской организации, для всей системы здравоохра
нения или для любого жителяданной страны.
УЦдолженбытьзарегистрированнойорганизацией, обладающейсобственнойсистемой контроля
и процедурами, обеспечивающими требуемую степень доверия. Они должны, как минимум, соответ
ствовать ИСО/МЭК 27002 (или его аналогу) и по возможностидолжны соответствовать схеме безопас
ностиэлектронного сертификата, принятой натерриториидействия УЦ.
14