ГОСТ Р 57301—2016
NIST SP 800-53: АС-6 ОРГАНИЧЕНИЕ ПРАВ:
АС-5 РАЗДЕЛЕНИЕ ОБЯЗАННОСТЕЙ.
Канада
Требование безопасности 59 канадской медицинской организации Infoway
Выбор отдельной роли для каждого сеанса
Все системы POS, подключенные к инфоструктуре EHR. должны гарантировать, что каждый пользователь
будет осуществлять доступ к приложениям и службам инфоструктуры EHR на основании отдельной роли (т.
е. пользователи, которые имеют несколько разных ролей, должны использовать отдельную роль для каж дого
сеанса инфоструктуры EHR).
Обоснование — Пользователи, имеющие несколько несопоставимых ролей, должны использовать их по от
дельности. Например, врач общей практики, работающий в отделении неотложной помощи сельской боль
ница один день в неделю (и имеющий право обхода ограничения в случае чрезвычайных обстоятельств при
исполнении служебных обязанностей), должен четко указать в системе POS. что он действует в пределах
данных ему полномочий, перед тем как осуществить доступ к EHR пациента/’лица через инфоструктуру EHR.
Другим примером является пользователь инфоструктуры EHR, осуществляющий доступ к EHR в качестве
клинического врача, а также иногда в качестве исследователя.
Иерархическая структура ролей, включающая пользователей, которые часто выбирают между двумя роля ми.
каждая из которых относится к медицинской деятельности, позволит значительно снизить неудобство,
вызванное необходимостью напрасной смены одной роли на другую.
См. также: ИСО/МЭК 27001:2005. А.11.2.2.
Великобритания
Требование 3.3.4 Управления информацией Великобритании
Система, которая объединяет CRS NHS с моделью RBAC. должна позволять пользователю выбирать, какой из
присвоенных ему ролевых профилей он должен применять во время пользовательского сеанса с прило
жением. Если выбор не сделан, система должна применять тот ролевой профиль, который был выбран
во время первого входа в CRS NHS.
Требование 3.3.5 Управления информацией Великобритании
Система, которая объединяет CRS NHS с моделью RBAC. должна позволять пользователю выбирать, какой из
присвоенных ему ролевых профилей он должен применять во время пользовательского сеанса с прило
жением. Если выбор не сделан, система должна применять тот ролевой профиль, который был выбран во
время первого входа в CRS NHS.
В.7.4 Передача прав на доступ
Бразилия
NGS1.04.07
Передача полномочий
Делегирующим является лицо, отвечающее за передачу полномочий, а делегатом является лицо, которому
делегируются обязанности. Соответственно:
- делегирующий должен иметь предварительное разрешение на предоставление таких прав:
- передача полномочий должна регистрироваться в системе;
- при передаче должно быть указано следующее:
- делегирующий;
- делегат.
- причина;
- дата и время передачи;
- период времени, на который предоставляется разрешение.
П р и м е ч а н и е — Примером передачи полномочий является случай, при котором врач передает медсе
стре право на ввод информации о пациенте.
Канада
Требование безопасности 63 канадской медицинской организации Infoway
Предоставление доступа пользователем на основе связи
EHRi и все системы POS, подключенные к инфоструктуре EHR:
a) должны связывать пользователей (лечащих врачей) с картами пациента/лица и позволять дальнейший
доступ на основе этой связи; т. в. они должны предоставлять избирательный доступ к картам, основанный на
том. что зарегистрированный пользователь, который уже имеет разрешение на доступ к карте пациента (картам
пациентов), предоставляет права доступа к этим картам другому зарегистрированному пользова
телю. и
b
) не должны позволять пользователям предоставлять другим пользователям доступ к картам, если предо
ставляющие пользователи не располагают таким доступом по отношению к карте.
Необходимо обратить внимание на то. что предоставление доступа другим пользователям к медицинской
карте не отменяет ограничения ролевой модели управления доступом для других пользователей.
64