ГОСТ Р 57301—2016
Требование 3.1.7 Управления информацией Великобритания
Система должна поддерживать активность пользовательского сеанса во время ее активного использования
пользователем. Это достигается за счет использования соответствующих функций регенерации маркера с
помощью API-интерфейса SSO. входящего в состав службы SSB.
Подобные функции регенерации, которые сбрасывают таймер бездействия в Spine, могут запускаться каж
дый раз. когда пользователь применяет функцию, которая взаимодействует с Spine (например, извлечение из
PDS) или при использовании локального таймера бездействия, который вызывает восстановление перед тем.
как активируется время ожидания активности Spine.
В.9.2 Время ожидания подключения
Канада
Требование безопасности 70 канадской медицинской организации Infoway
Ограничение времени установления соединения с приложениями инфоструктуры EHR
В соответствующих случаях инфоструктура EHR должна ограничивать длительность подключения к прикладным
службам инфоструктуры EHR для обеспечения дополнительной безопасности доступа к таким приложениям.
Обоснование — Иногда данное требование применяется для приложений с высоким уровнем безопасности
для обеспечения повторного подключения (и, следовательно, повторной аутентификации) в случаях,
когда соединение оставалось отрытым в течение длительного периода времени. Длительность периода
поддерж ки соединения меняется в зависимости от характера приложения и типов соединений (например, от
сервера к серверу или от клиента к серверу). Учитывая структуру обмена сообщениями, определенную
в макете EHRS. соединения с инфоструктурой EHR. как правило, длятся не более нескольких минут.
В.9.3 Безопасность сеанса
Бразилия
NGS1.03.02
Защита пользовательского сеанса от кражи
Сеанс связи должен быть обеспечен средствами контроля за безопасностью для предотвращения кражи
пользовательского сеанса.
П р и м е ч а н и е — Сеанс может быть «украден» даже во время защищенных сеансов (например. SSL/
TLS). Например, если сеанс отслеживается посредством файла cookie в URL (унифицированный локатор ресурса),
в некоторых ситуациях URL-сеанс пользователя может быть получен и использован другим пользователем путем
присвоения личности предыдущего пользователя.
ABNTNBR ИСО/МЭК 27001:2005. А.10.8.
В.10 Поддержание доступности данных
В.10.1 Резервное копирование и восстановление
Бразилия
NGS1.05.01
Резервное копирование/восстановление
Система EHR должна предусматривать создание резервных копий, которые отвечают следующим требованиям:
- необходимо экспортировать атрибуты безопасности вместе с данными:
- следует убедиться в том, что при восстановлении из резервной копии все атрибуты защиты и их ассоциа
ции были автоматически восстановлены без вмешательства администратора:
- следует убедиться в том. что производить экспорт и восстановление резервной копии может только пользо
ватель с ролью оператора резерва, гарантировав, что пользователь не имеет прямого доступа к информации.
ABNT NBR ИСО/МЭК 27001:2005. А. 10.5.
NGS 1.05.02
Проверка целостности при восстановлении данных
Необходимо обеспечить средство контроля, которое гарантирует проверху целостности информации при
создании и восстановлении резервной копии.
ABNT NBR ИСО/МЭК 27001:2005. А.10.5.
США
CCHIT SC 05.02
Технические службы
Система должна быть конфигурируемой для предотвращения порчи или потери уже введенных в систему
данных в случае сбоя системы (например, интеграция с UPS и т. д.).
ИСО/МЭК 15408. СС SFR: FPT_RCV:
HIPAA 164.312(c) (1).
CCHIT SC 08.01
Резервное копирование/восстановление
Система должна иметь способность создания резервных копий прикладных данных, наборов удостоверений
защиты, а также файлов журнала/результатов аудита.
67