ГОСТРИСО 27799—2015
a) контроль доступа, основанный на ролях, который полагается на документы о профессиональ
ной подготовке и занимаемой должности пользователей, установленные во время регистрации для
ограничения доступа только для тех. кто должен выполнять одну или несколько четко определенных
ролей;
b
) контроль доступа, основанный на рабочей группе, который полагается на принадлежность
пользователей к рабочим группам (таким как клинические группы) для определения того, к каким за
писям они могут иметь доступ;
c) произвольный контроль доступа, который позволяет пользователям информационных систем
здравоохранения, связанным с персональной медицинской информацией объекта оказания медицин
ской помощи на законных основаниях (например, семейный врач), предоставлять доступ другим поль
зователям. которые ранее установили связь с персональной медицинской информацией объекта ока
зания медицинской помощи (например, специалист).
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. информационные системы здра
воохранения. содержащие персональную медицинскую информацию, должны поддерживать контроль
доступа, основанный на ролях, способный присвоить каждому пользователю одну или несколько ро
лей. а каждой роли — одну или несколько функций.
Пользователь информационной системы здравоохранения, содержащей персональную меди
цинскую информацию, должен получать доступ к ее сервисам по одной роли (то есть, пользователи,
которые были зарегистрированы с несколькими ролями, должны указывать одну из ролей во время
каждого сеанса доступа к информационной системе здравоохранения).
Информационные системы здравоохранения должны объединять пользователей (включая меди
цинских работников, вспомогательного персонала и других) с записями об объектах оказания медицин
ской помощи, что позволяет в дальнейшем иметь доступ на основе этого объединения.
Дополнительные руководства по управлению полномочиями в здравоохранении можно найти в
ИСОДС 22600-1 и ИСОДС 22600-2.
7.8.2.3 Управление паролями пользователей
Дополнительных руководств по менеджменту защиты информации в здравоохранении нет. одна
ко стоит отметить, что ограниченность во времени, обнаруженная в ситуациях оказания медицинской
помощи, может помешать эффективно использовать пароли. Многие медицинские организации пред
почли внедрить альтернативные технологии аутентификации для решения данной проблемы
7.8 2.4 Проверка прав доступа пользователей
Помимо инструкций, указанных в ИСО/МЭК 27002, необходимо обратить особое внимание на
пользователей, от которых разумно ожидать предоставления неотложной помощи, так как им может
потребоваться доступ к персональной медицинской информации в экстренных ситуациях, когда объект
оказания медицинской помощи не может сообщить о своем согласии.
7.8.3 Обязанности пользователя
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. организации, занимающиеся
обработкой персональной медицинской информации, при определении обязанностей пользователя
должны уважать права и этические обязанности медицинских работников, как указано в законе и как
принято членами профессиональных медицинских организаций.
7.8.4 Контроль доступа к сети и контроль доступа к операционной системе
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.8.5 Контроль доступа к приложениям и информации
7.8.5.1 Ограничение доступа к информации
Контроль
Информационные системы здравоохранения, занимающиеся обработкой персональной меди
цинской информации, должны аутентифицировать пользователей и должны делать это посредством
аутентификации с использованием, по крайней мере, двух факторов.
Руководство по внедрению
Помимо инструкций, указанных в ИСО/МЭК 27002. необходимо обратить особое внимание на тех
нические мероприятия, по которым объект оказания медицинской помощи точно аутентифицируется
при доступе ко всей личной информации или к ее части (в тех системах информации, где это допусти
мо). Такое же внимание стоит уделить простоте использования таких мероприятий, особенно для объ-
32