ГОСТ Р 57301—2016
Обоснование — Данное требование вытекает из требования конфиденциальности 10 и требования конфи
денциальности 15. требования конфиденциальности 19. а также из общепринятой практики обеспечения
информационной безопасности.
Великобритания
Требование 3.9.4 Управления информацией Великобритании
Записи журнала аудита должны содержать как минимум следующую информацию:
- идентификационную информацию пользователя. Она включает в себя идентификатор пользователя, имя.
ролевой профиль (включая роль и организацию), значения атрибута, полученные из структуры сеанса поль
зователя:
- идентификационную информацию ответственного лица — лица, осуществляющего ввод или доступ к дан
ным. если он не является пользователем;
- дату и время события;
- подробности о характере события, подвергнутого аудиту, и идентификатор данных (например. ID пациента
или ID сообщения), которые связаны с событием, подвергнутым аудиту;
- порядковый номер для защиты от злоумышленных попыток повредить контрольный аудит, например, пу
тем изменения системной даты.
Записи в журнале аудита должны включать подробную информацию об оконечном устройстве (или системе),
связанном с записанным действием.
Требование 3.9.2 Управления информацией Великобритании
Данных, которые будут записаны в журналах аудита, должно быть достаточно для того, чтобы следить за
тем. используются ли средства контроля доступа по назначению и для выполнения запросов пациентов по
получению информации о том. кто осуществлял доступ к их конфиденциальным персональным данным или их
персональным данным (например, отображение на экране, распечатка, скачивание) или изменял их. когда и что
было отображено на экране или распечатано.
(требование Великобритании для конкретного случая)
Система должна также гарантировать, что хранящиеся журналы аудита записывают информацию обо всех
обменах данными с CRS NHS, включая, в частности:
- все попытки использования идентификатора SSO-маркера для осуществления доступа к приложению,
включая удачные и неудачные попытки. «Использование маркера» означает вызов SSOTokenManagement
API (управление SSO-маркерами) для проверки достоверности маркера:
- все случаи обмена сообщениями — отправка и получение;
- все случаи взаимодействия с SDS Spine.
Такие журналы аудита должны представлять отчет по безопасности для использования в ходе анализа на
рушений безопасности и политики, которые могут быть использованы в качестве доказательств при воз
никновении разногласий. Средства просмотра или восстановление любой личной карты пациента должны
использоваться те. которые применялись во все предыдущие дни.
В.16.4 Инструментальные средства анализа журнала аудита
США
CCHIT SC 02.05
Аудит
Система должна предоставлять авторизованному администратору возможность считывания информации по
аудиту из аудиторской документации одним из следующих способов:
1) система должна представлять отчеты таким способом, который позволит пользователю анализировать
информацию. Система должна предоставлять возможность создания отчетов на основе интервалов дат и
времени сбора отчетов о результатах аудита;
2) Система должна иметь возможность экспорта журналов в текстовый формат таким образом, чтобы обе
спечить связь со временем (например, синхронизация 1ГТС).
ИСО/МЭК 15408. СС SFR: FAU_GEN:
NIST SP 800-53: AU-3 CONTENT OF AUDIT RECORDS. AU-Ю NON-REPUDIATION:
HIPAA: 164.312(b): HITSP/TP15.
Канада
Требование безопасности 47 канадской медицинской организации Infoway
Отчет о кахщой попытке доступа к EHR пациента/попьзователя
Инфоструктура EHR должна идентифицировать всех пользователей, осуществляющих доступ или изменяю
щих карту определенного пациента/лица за определенный период времени.
Обоснование — Данное требование облегчает обнаружение случаев несанкционированного доступа и
помогает в применении последующих мер дисциплинарного или правового воздействия. Следует об
ратить внимание на то. что уникальные идентификаторы пользователей указаны в требовании безопас
ности 55.
79