ГОСТРИСО 27789—2016
3.30 политика защищенности (security policy): План или образ действий, принятый для предо
ставления компьютерной защищенности.
3.31 _________________________________________________________________________________
субъект медицинской помощи (subject of саге): Лицо, которому запланирована медицинская
помощь, получающее или получившее медицинскую помощь.
(ИСО 18308:2011. определение 3.47]
3.32 пользователь (user): Человек, устройство или программа, использующая систему EHR для
обработки данных или обмена медицинской информацией.
4 Сокращения
EHR — Электронная медицинская карта (Electronic Health Record):
HL7 — Международная организация — разработчик стандартов по информатизации здоровья
(Health Level Seven International);
OID — Идентификатор объекта (Object Identifier);
UTC — Всемирное Скоординированное Время (Coordinated Universal Time).
5 Требования и использование данных аудита
5.1 Этические и формальные требования
5.1.1 Общие положения
У поставщиков медицинской помощи есть профессиональные этические обязанности. К ним от
носятся защита конфиденциальности объектов получения медицинской помощи и документирование
результатов идействий по уходу. Ограничение доступа к медицинским картам и обеспечение их надле
жащего использования являются важными требованиями здравоохранения, и во многих юрисдикциях
эти требования прописаны в законе.
Защищенные следы аудита по доступу к электронным медицинским картам могут поддерживать
соответствие с профессиональной этикой, организационной политикой и законодательством, но их са
мих недостаточно для того, чтобы оценить полноту электронной медицинской карты.
5.1.2 Политика доступа
Организация, ответственная за поддержание работоспособности журнала аудита, должна опре
делить политику доступа, регламентирующую все зарегистрированные случаи доступа.
Политика доступа должна соответствовать ИСО 27799:2008. 7.8.1.2. Политика контроля доступа.
П ри м ечания
1 Считается, что политика доступа должна определять структуру сегмента EHR.
2 В записи аудита политика доступа идентифицируется источником журнала аудита.
Руководство по определению и применению политик доступа можно найти в ИСО/ТС 22600 (6].
Поле «Participant object Permission Policy Set» определено в n. 7.6.6 для поддержки ссылок на действу
ющие политики в записи аудита.
5.1.3 Однозначная идентификация пользователей информационной системы
Аудиторские следы должны предоставлять достаточный объем данных для того, чтобы однознач
но определить всех авторизованных пользователей системы медицинской информации. Пользователя
ми информационной системы могут быть люди, а также другие сущности.
Аудиторские следы должны предоставлять достаточный объем данных для того, чтобы опреде
лить. какие авторизованные пользователи и внешние системы получили доступ и которым из них были
отправлены данные медицинских карт из системы.
5.1.4 Роли пользователей
Аудиторский след должен показывать роль пользователя при осуществления записанного дей
ствия по отношению к персональной медицинсхой информации.
Информационные системы, занимающиеся обработкой персональной медицинской информации,
должны поддерживать ролевой доступ, способный связывать каждого пользователя с одной или не-
4