ГОСТ Р 57301—2016
в исключительных ситуациях. Затраты, необходимые для реализации САР в конкретном случав, должны быть
включены в отдельные бизнес-модель протраммы/проекта и программу ее реализации.
А.3.2 Область применения рассматриваемых систем
Любая система, независимо от медицинского учреждения, которая требует подключения к национальной
(EHR) системе, должна поддерживать процессы обеспечения качества. Существует более 80 систем, использую
щих процессы обеспечения безопасности во многих учреждениях, включая места оказания первичной медицин
ской помощи, неотложной медицинской помощи, социальной помощи, детские медицинские учреждения, места
проведения клинических лабораторных исследований, рентгенограммы.
А.3.3 Ряд включенных клинических, административных, нефункциональных требований и требова
ний к совместимости
Этот ряд зависит от того, что необходимо для решения, учитывая, что для конкретных услуг определены
конкретные требования. Тем не менее процесс обеспечения клинической безопасности является общим для всех, и
каждая система должна отвечать требованиям управления информацией для обеспечения безопасности и кон
фиденциальноети.
Соответствие следующим основополагающим модулям является необходимым условием для применения в
процессе сертификации для любых национальных служб EHR (бизнес-сфер), таких как выбор и регистрация, соот
ветствие реферера или электронные рецепты. Основополагающими модулями в порядке очередности являются:
- управления информацией (IG):
- инфраструктура системы медицинских карт (CRS) (например, центр National Spine) и стандарты:
- служба хранения персональных демографических данных (POS).
Данные модули содержат набор общих требований, применимых ко всем системам и стремящихся к соот
ветствию с бизнес-сферой. Все эти основополагающие модули являются обязательными.
Соответствие может требоваться для бизнес-сфер и основополагающих модулей вместе или гложет дости
гаться отдельно.
Требования принципов управления информацией (безопасность и конфиденциальность) охватывают:
- аутентификацию программы Spine — поддержку однократной идентификации и смарт-карт, интеграцию с
Spine Security Broker (посредником безопасности Spine) (SSB) CRS NHS и управление сеансом spine:
- локальную аутентификацию при отсутствии смарт-карт или SSB:
- ролевое управление доступом (RBAC) — поддержку национального сборника ролей и действий для осу
ществления санкционированного доступа к функциям системы и данным, где данные RBAC поступают от опера
торов SAML (язык разметки, предусматривающий защиту данных) и/или SDS и локальных требований RBAC при
отсутствии смарт-карт или SSB;
- согласие — для разрешения разглашения персональной конфиденциальной информации о пациенте, на
ходящейся в CRS NHS;
- службу родства, установленного законом (LRS) — для осуществления пользователем санкционированного
доступа к персональным медицинским картам;
- метод запечатанных конвертов — позволяет пациентам осуществлять выбор уровня «видимости» храни
мой информации о них:
- подтверждение содержания — допускает использование электронного аналога собственноручной подписи:
- ведение журнала аудита — записывает действия пользователя относительно личных данных CRS NHS;
- IT-безопасность — присвоение временных меток, хранение, тестирование, средства связи и средства
управления доступом;
- систему менеджмента информационной безопасности — предоставляет соответствующие структуры и
процессы управления.
А.3.4 Установление и поддержание требований, на соответствие которым проводится сертификация
Требования безопасности и конфиденциальности принадлежат команде IG SME технического отдела и об
новляются каждый год. так как обновляется справочная документация, включаются разъяснения, запрашиваемые
поставщиками, и должны учитываться технические изменения. Предлагаемые изменения в основном обуславли
ваются опытом использования процесса обеспечения безопасности по требованиям, хотя некоторые из этих изме
нений возникали в результате изменения политики вариантов согласия, предлагаемых пациентам, и т.д. Несколько
лет назад отправной точкой для этого послужил набор требований по управлению безопасностью и информацией,
изложенный в начале Национальной программы по ИТ.
А.3.5 Продолжительность сертификации и управление новыми версиями
Термин «сертификация» применяется к конкретной версии, он не зависит от времени. Ни одна система не
остается неизменной в течение долгого времени, изменения либо вносятся поставщиками, например для выпуска
версий с исправлением ошибок, либо служат для внесения дополнительных функциональных возможностей, свя
занных с программой Spine. В связи с этим САР принимает решения о том. до какой степени статус обеспечения
безопасности продукта должен быть повторно проверен. В будущем, когда значительные изменения, связанные с
CFH. смогут уменьшаться в числе и частоте поступления, будет целесообразно рассмотреть повторную проверку,
проводимую по времени.
36