ГОСТ Р 57301—2016
компонентами безопасности: аутентификацией партнера (клиент или сервер), целостностью данных и кон
фиденциальностью данных.
ABNT NBR ИСО.’МЭК 27001:2005. А. 10.9.2.
США
CCHIT SC 06.01
Технические службы
Система должна поддерживать защиту конфиденциальности всей закрытой медицинской информации
(ЗМИ). передаваемой по сети Интернет или другим открытым сетям, с использованием шифрования
посредством тройного стандарта шифрования DES (3DES) или продвинутого стандарта шифрования
(AES), а также таких открытых протоколов, как TLS. SSL. IPSec. шифрование XML или S/MIME или их
преемников.
Канада. Альберта 7.4.6.2 и 8.4.6.2 (технический):
ИСО/МЭК 15408. СС SFR: FCS_COP; FIPS 140-2:
NIST SP 800-53: SC-13 КРИПТОГРАФИЧЕСКИЕ ОПЕРАЦИИ:
HIPAA: 164.312(e) (1): 164.312(a) (2) (rv):
HITSPT17;
FIPS PUB 140-2.
CCHIT SC 06.03
Технические службы
Системы, которые предоставляют доступ к ПМД через интерфейс веб-браузера (г. е. HTML через HTTP),
должны включать в себя возможность шифрования данных, передаваемых по сети через SSL (HTML по
HTTPS).
П р и м е ч а н и е — Интерфейсы веб-браузера часто используются за пределами защищенной сети
предприятия
ИСО/МЭК 15408. СС SFR:AGD_ADM: HITSP/TP17:
HIPAA: 164.312(e)(1): 164.312(a)(2)(iv).
CCHIT IFR.07
Необходимо убедиться в том. что электронная медицинская информация не была изменена в процессе пе
редачи. и выявить изменения и удаление электронной медицинской информации и журналов аудита в соот
ветствии со стандартом, указанным в таблице 2В, строка 4.
Таблица 2В. строка 4. Проверка того, что электронная медицинская информация не была изменена в процес се
передачи: для проверки того, что электронная медицинская информация не была изменена в процессе
передачи, должен использоваться безопасный алгоритм хеширования. В качестве безопасного алгоритма
хеширования необходимо использовать SHA-1 или алгоритм более высокого уровня [например, публикация
(PUB) Федерального стандарта по обработке информации (FIPS) Стандарт по безопасному хэшированию
(SHS)FIPS PUB 180-31.
CCHIT SC 06.04
Технические службы
Система должна поддерживать защиту целостности всей закрытой медицинской информации (ЗМИ). пере
даваемой по сети Интернет или другим открытым сетям, через хеширование SHA-1 или SHA-256 или их
преемников, а также через такие открытые протоколы, как TLS. SSL IPSec. цифровая подпись XML или S/
MIME или их преемники.
ИСО/МЭК 15408. СС SFR: FPT_RCV: FIPS 140-2; SP800-53: SC-13 КРИПТОГРАФИЧЕСКИЕ ОПЕРАЦИИ;
HIPAA: 164.312(e) (1): HITSP Т17.
Канада
Требование безопасности 31 канадской медицинской организации Infoway
Кодирование ПМД в процессе передачи
В ходе передачи ПМД EHRi и системы POS, подключенные к инфоструктуре EHR. должны применять алго
ритмы и протоколы шифрования информации, соответствующие промышленным стандартам. Это делается
для поддержки конфиденциальности и целостности данных в тех случаях, когда передача данных происхо
дит за пределами границ физической защиты, обеспечивающей безопасность средств обработки информа
ции. поддерживающих серверы, приложения или данные EHR.
Обоснование — Перехват конфиденциальной информации представляет серьезный риск, а ее изменение в
процессе передачи приводит к серьезным последствиям. Обеспечение конфиденциальности и целостности
ПМД. передаваемых инфоструктурой EHR является минимальным требованием.
Медико-информационное законодательство не содержит конкретных инструкций относительно защиты ин
формации в процессе передачи, однако существуют некоторые общие требования. Например, согласно
медико-информационному законодательству провинции Онтарио хранителям информации требуется «пе
редавать» ПМД безопасным способом. Согласно медико-информационному законодательству провинции
Манитоба доверенному лицу, использующему электронные средства для осуществления запроса на раз-
69