ГОСТР ИСО 27799—2015
тить, что обеспечение безопасности обмена электронными и мгновенными сообщениями может во
влекать процедуры для медицинского персонала, которые нельзя переложить на объекты оказания
медицинской помощи и посторонних людей.
Электронная переписка между медицинскими работниками, которая содержит персональную ме
дицинскую информацию, должна быть зашифрована в процессе передачи. Один из подходов к этому
включает в себя использование цифровых сертификатов. См. элемент «Библиография» для получения
информации о списке стандартов, связанных с использованием цифровых сертификатов в среде здра
воохранения.
См. также 7.12.2.2 для обсуждения получения разрешения перед общением за пределами орга
низации.
7.7.8.4 Информационные системы здравоохранения
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.7.9 Электронное обслуживание медицинской информации
7.7.9.1 Электронная торговля и сетевые транзакции
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. важно отметить осторожность, с
которой следует определять, содержат ли данные, используемые при электронной торговле и сетевых
транзакциях, персональную медицинскую информацию. Если это так. эта информация должна быть
надлежащим образом защищена. Особенно в здравоохранении следует обратить внимание на данные,
связанные с выставлением счетов, заявлениями о выплате страхового возмещения за получение ме
дицинских услуг, рядом инвойсов, требованиями идругими данными электронной торговли, из которых
можно получить персональную медицинскую информацию.
77.9.2 Общедоступная медицинская информация
Контроль
Общедоступная медицинская информация (в отличие от персональной медицинской информа
ции) должна архивироваться.
Целостность общедоступной медицинской информации должна сохраняться для предотвраще
ния несанкционированного внесения изменений.
Источник (авторство) общедоступной информации должен быть указан, а его целостность долж
на быть защищена.
7.7.10 Мониторинг
7.7.10.1 Общие положения
Среди всех требований по защите персональной медицинской информации, одними из самых
главных являются те требования, которые связаны с аудитом и ведением протоколов. Они гарантиру ют
подотчетность объектов оказания медицинской помощи, доверяющих свою информацию системам
электронных медицинских карт, а также дают пользователям стимул для соответствия политикам над
лежащего использования этих систем. Эффективный аудит и ведение протоколов могут помочь обна
ружить злоупотребление информационными системами здравоохранения или персональной медицин
ской информацией. Эти процессы также могут помочь организациям и объектам оказания медицинской
помощи получить компенсацию от пользователей, нарушающих права доступа.
7.7.10.2 Ведение контрольных журналов
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. организации, занимающиеся об
работкой персональной медицинской информации, должны создавать безопасные протоколы аудита
каждый раз. когда пользователь осуществляет доступ, создает, обновляет или архивирует персональ
ную медицинскую информацию через систему. Журнал аудита должен однозначно распознавать поль
зователя. однозначно распознавать субъект данных (т. е. объект оказания медицинской помощи), рас
познавать функцию, выполняемую пользователем (создание записи, доступ к ней. обновление записи и
т. д.), и отмечать дату и время, когда функция была выполнена.
Когда обновляется персональная медицинская информация, должна быть сохранена запись о
предыдущей версии содержания данных и связанный с ней протокол аудита (т. е. информация о том, кто
вводил данные и когда).
Системы обмена сообщениями, используемые для передачи сообщений, содержащих персональ
ную медицинскую информацию, должны вести журнал обмена сообщениями (такой журнал должен
содержать время, дату, отправителя и получателя сообщения, но не его содержание).
29