ГОСТРИСО 27799—2015
Организация должна тщательно оценить и установить время сохранения этих журналов аудита с
определенными ссылками на клинические профессиональные стандарты и правовые обязательства, с
целью сделать возможным проведение расследований при необходимости и представить доказатель
ства злоупотребления персональной медицинской информацией.
7.7.10.3 Использование системы мониторинга
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002, средство составления протоколов
информационной системы здравоохранения должно быть функционирующим каждый раз, когда ис
пользуется информационная система здравоохранения, подвергаемая аудиту.
Информационные системы здравоохранения, содержащие персональную медицинскую инфор
мацию. должны быть снабжены средствами для анализа протоколов и журналов аудита, которые:
a) позволяют идентифицировать всех пользователей системы, которые получали доступ к запи
сям об указанном объекте оказания медицинской помощи или вносили в них изменения за определен
ный период времени,
b
) позволяют идентифицировать все объекты оказания медицинской помощи, к чьим данным по
лучали доступ или вносили в них изменения определенные пользователи системы за определенный
период времени.
7.7.10.4 Защита информации в журналах
Контроль
Протоколы аудита должны быть защищенными от несанкционированного доступа. Доступ к ин
струментам аудита системы должен быть защищен для предотвращения злоупотребления или несанк
ционированного доступа.
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002, важно отметить, что доказа
тельная целостность протоколов аудита может сыграть важную роль при расследованиях коронеров,
расследованиях касательно врачебной ошибки и других судебных и квазисудебных расследованиях. В
таких расследованиях действия медицинских работников и временные привязки событий иногда
обусловлены изучением изменений и обновлений в персональной медицинской информации пациента.
7.7.10.5 Журналы регистрации администратора и оператора
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.7.10.6 Регистрация отказов
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.7.10.7 Синхронизация часов
Контроль
Информационные системы здравоохранения, поддерживающие критическую по времени дея
тельность по совместному уходу, должны предоставлять сервисы для синхронизации времени для
помощи при прослеживании и воссоздании временных рамок действий, когда это необходимо.
Руководство по внедрению
Помимо инструкций, указанных в ИСО/МЭК 27002. важно отметить, что хронометраж событий,
зарегистрированных в электронном виде в персональной медицинской информации и в журналах
аудита, может сыграть важную роль при таких процессах, как расследования коронеров, расследова
ния врачебной ошибки идругие судебные и квазисудебные расследования, где важно точно определить
клиническую последовательность событий.
7.8 Контроль доступа
7.8.1 Требования к контролю доступа в здравоохранении
7.8.1.1 Общие положения
Контроль
Организации, занимающиеся обработкой персональной медицинской информации, должны
осуществлять контроль доступа к такой информации. Обычно пользователи информационных систем
здравоохранения должны иметь доступ к персональной медицинской информации только в случаях,
когда:
a) существуют отношения в области здравоохранения между пользователем и субъектом данных
(объектом оказания медицинской помощи, чья персональная медицинская информация оценивается):
b
) пользователь выполняет действие от лица субъекта данных:
c) есть необходимость в особых данных для поддержки этой деятельности.
30