ГОСТ Р 57301—2016
- функциональные возможности восстановления системы должны приводить к возврату в полно
стью рабочее и безопасное состояние, которое включает восстановление данных приложения, набора
удостоверений защиты и журналов аудита в их прежнее состояние.
Ссылки:
ИСО 27799. ИСОУМЭК 15408 (все части). ИСО 18308. ИСО 27789.
5.3.11 Защита данных в ходе породачи
Клинические системы POS должны применять алгоритмы шифрования информации и протоколы,
соответствующие промышленным стандартам, для передачи ПМД по сети Интернет или другим откры
тым сетям для поддержки конфиденциальности и целостности данных.
Требование 42. Шифрование данных в ходе передачи. В клинической системе, состоящей
из компонентов, распределенных по нескольким компьютерам или системам, связь между этими ком
понентами должна (через Интернет или другие открытые сети) обладать следующими компонентами
защиты.
a) аутентификация участника (например, клиента или сервера):
b
) целостность данных;
c) конфиденциальность данных.
П р и м е р ы
1 Сеансы связи клинической сист емы POS между компонентом клиента и сервером происходят
через Интернет или другие от крытые сети с возможност ью аутентификации сервера, поддержки
целостности данны х и конф иденциальност и данных.
2 Сеансы связи клинической сист емы POS между клиентским браузером и Web<epeepoM происхо
дят через Интернет или другие открытые сети при наличии защиты на основе Web-технологии, на
пример, защиты транспортного уровня (TLS) для обеспечения аутентификации сервера, целостности
данных и конф иденциальност и данных.
Требование 43. Подтверждение получения данных. С целью гарантии того, что передаваемые
данные получены, клинические системы POS должны использовать средства управления безопасно
стью для подтверждения получения или доставки данных, если передача данных происходит за пре
делами внешних границ физической защиты, которая обеспечивает безопасность средств обработки
информации.
Обоснование
Перехват конфиденциальной персональной информации представляет серьезную угрозу для
здравоохранения, и ее злонамеренное изменение при передаче может привести к серьезным послед
ствиям. Обеспечение конфиденциальности и целостности ПМД. передаваемых клинической системой
POS. является минимальным требованием.
Юрисдикционные законодательные акты, касающиеся информации о состоянии здоровья, как
правило, не содержат конкретных направлений относительно криптографической защиты информации
при передаче, однако существует несколько общих требований, которые основаны на отраслевых стан
дартах по криптографии и криптографическим протоколам.
В случае необходимости, система должна получить подтверждение получения при передаче ПМД.
чтобы гарантировать, что передаваемые данные были получены.
Ссылки:
ИСО 27799. ИСОУМЭК 15408 (все части). ИСО 18308, ИСО 27789.
5.3.12 Защита данных при хранении
Требование 44. Защита эксплуатационных данных. Клинические системы POS должны сле
дить за тем. чтобы личные данные, журналы аудита и данные, связанные с безопасностью, например
профили пользователя, были полностью защищены от несанкционированного доступа и изменения в
процессе хранения а базе данных иУили файловых системах.
Требование 45. Защита данных на портативных носителях. При хранении ПМД на любых но
сителях или съемных и портативных приборах (например, флеш-накопитель. CD-ROM. PDA или порта
тивный компьютер) клинические системы POS должны поддерживать использование формата шифро
вания. соответствующего отраслевым стандартам.
Требование 46. Защита данных в хранилище данных. Клинические системы, хранящие следу
ющие типы данных, должны обеспечивать защиту этих данных от несанкционированного доступа:
а)персональная информация (например, персональные данные пациента или другая информа
ция. которая идентифицирует пациента):
18