ГОСТРИСО 27789—2016
9.5 Доступ к данным аудита
Доступ к данным аудита должен тщательно контролироваться и сам должен подлежать проверке
аудитом. Доступ должен осуществляться подходящей информационной системой, способной обеспе
чивать осуществление этого контроля, а не самим аудиторским следом.
Средства осуществления аудита должны позволять анализ аудиторских следов по одному из за
кодированных или названных полей, определенных в разделе 7. с указанием даты/времени. по отдель
ности (где это возможно) или же в сочетании (например, все случаи осуществления доступа пользова
телем X. все события «delete» («удаление»), осуществленные пользователями роли Y. все события с
участием субъекта получения медицинской помощи Z за прошедший месяц и т.д.).
В некоторых случаях пользователь аудита может получить доступ к источникам информации в
дополнение к аудиторским следам, например для обнаружения шаблонов поведения (например, все
поиски детей, выполненные пользователем, не являющимся педиатром и не связанным с педиатрией).
26