ГОСТ Р 57301-2016; Страница 85

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ ISO/IEC 15459-1-2016 Информационные технологии. Технологии автоматической идентификации и сбора данных. Идентификация уникальная. Часть 1. Индивидуальные транспортируемые единицы Information technology. Automatic identification and data capture techniques. Unique identification. Part 1. Individual transport units (В настоящем стандарте установлена уникальная строка знаков, предназначенная для идентификации индивидуальных транспортируемых единиц. Эта строка знаков используется для представления на этикетке с символом штрихового кода или ином носителе АИСД, прикрепляемом к объекту для обеспечения потребностей управления. Для обеспечения потребностей управления в соответствующих частях комплекса стандартов ISO/IEC 15459 рассматриваются различные типы объектов, что позволяет учитывать различные требования, предъявляемые к ключевым идентификаторам, связанным с каждым типом объекта. Правила уникальной идентификации индивидуальных транспортируемых единиц для отслеживания реальных логистических перемещений с использованием ключевого идентификатора, поддержание которого необходимо до окончания пребывания предметов в составе груза или окончания транспортирования как части груза, установлены в настоящем стандарте и сопровождаются примерами) ГОСТ Р 57309-2016 Руководящие принципы по библиотекам знаний и библиотекам объектов Guidelines for knowledge libraries and object libraries (Целями настоящего стандарта являются определение категорий библиотек знаний и заложение основ единообразной структуры и содержания таких баз данных, а также унификация их использования. Отсутствие подобных рекомендаций приводит к появлению новых ограничений при создании библиотек знаний, а их комплексное использование и связь друг с другом становятся достаточно сложными или невозможными) ГОСТ Р 57322-2016 Руководство по стратегическому развитию принципов стандартизации в области промышленной автоматизации Strategic development guidelines for the future standardization work in the field of industrial automation (Настоящий стандарт устанавливает стратегические принципы по стандартизации для использования техническими комитетами и подкомитетами по стандартизации, работающими в области промышленной автоматизации, и другими организациями, заинтересованными в работе этих комитетов. Кроме того, стандарт предназначен для формирования перспективных принципов стандартизации в указанной области)

Страница 85

Страница 1

Untitled document

ГОСТ Р 57301—2016

Требование безопасности 48 канадской медицинской организации Infoway

Сообщение пользователем о каждой попытке доступа

Инфоструктура EHR должна идентифицировать всех пациентов/лиц, к чьим картам был осуществлен доступ

или чьи карты были изменены за определенный период времени.

Обоснование — Данное требование значительно облегчает выявление подозрительных или неправомерных

случаев использования привилегий доступа.

Уникальные идентификаторы пользователей указаны в требовании безопасности 55.

Требование безопасности 49 канадской медицинской организации Infoway

Анализ журналов аудита инфоструктуры EHR для пациентое/лиц с повышенным риском

Инфоструктура EHR должна предоставлять функции для проведения анализа журналов аудита и контроль

ных журналов для того, чтобы обеспечить идентификацию всех пользователей, которые изменяли или осу

ществляли доступ к таким картам (карте) за определенный период времени.

Обоснование — Даннов требование облегчает обнаружение случаев несанкционированного доступа и по

могает в применении последующих мер дисциплинарного или правового воздействия.

Как отмечалось в требовании конфиденциальности 22а. карты определенных пациенгов/лиц (например, по

литики. знаменитые и известные личности) могут находиться под существенной угрозой осуществления до

ступа лицами, не имеющими служебной необходимости. Поэтому целесообразно разместить дополнитель

ные средства управления аудитом на этих картах для того, чтобы защитить конфиденциальность пациента.

Инфоструктура должна различать эту практическую реальность и способствовать быстрому и регулярному

проведению аудита доступа к этим записям (возможно, включая уведомление сотрудника по обеспечению

конфиденциальности о каждом доступе).

Даннов требование не должно рассматриваться как означающее, что информация в картах такого пациента/

лица некоторым образом является более конфиденциальной, чем информация обычных граждан, или что

эти карты как информационный ресурс являются более ценными, чем те. риск неприемлемого доступа к

которым не повышен. Наоборот, требование гарантирует наличие возможностей для быстрого выявления

чрезмерного интереса со стороны пользователей, которые не имеют законной необходимости ознакомления с

конфиденциальной информацией.

Для ознакомления с требованиями по обеспечению средств для обозначения пациентов/лиц с повышенным

риском см. требование безопасности 22а.

Требование безопасности 46 канадской медицинской организации Infoway

Выявление типов ненадлежащего использования

Инфоструктура EHR должна предоставлять автоматизированные инструменты анализа для содействия аудиторам

системы в выявлении и предотвращении ненадлежащего использования системы (например, в сйсре данных).

Обоснование — Согласно данному требованию необходимо активно использовать автоматизированные ин

струменты для поиска несоответствующих типов доступа.

Такое активное обнаружение несанкционированных проникновений является существенным признаком на

дежности систем безопасности.

В отличие от ретстрации аудита инструменты анализа не должны быть доступны постоянно. Достаточно,

чтобы такие инструменты были доступны при необходимости. Необходимость будет определяться при раз

работке системы и соответствующем анализе угроз и рисков.

Великобритания

Требование 3.9.3 Управления информацией Великобритании

Система должна предоставлять средства, позволяющие авторизованным пользователям (например, храните

лям Caldicott или специалистам по обеспечению конфиденциальности) просматривать и анализировать журна

лы аудита, чтобы обеспечить идентификацию всех пользователей системы, которые осуществляли доступ или

изменяли карты определенного пациента в течение заданного периода времени (такое изменение включает в

себя, например, архивирование карты пациента в системе GP в случаях, когда пациент больше не проходит

лечение). Все подобные случаи осуществления доступа также должны быть записаны в соответствующем жур

нале аудита. Это необходимо для поддержки обязательств, указанных в гарантии медицинской карты.

Такие средства для обеспечения возможности отображения частей журнала аудита основаны на идентифи

каторе пациента (как правило, это NHS-номер), идентификаторе пользователя, идентификаторе уполномо

ченного органа, дате и времени, а также порядковом номере.

Российская Федерация

Рекомендация Министерства здравоохранения РФ 2009-12-23, тр. 6.2 (необязательное)

Подсистема журнала аудита должна предоставлять инструменты для просмотра и анализа журнала аудита

с возможностью выделения по различным критериям.

В.16.5 Защита журнала аудита

Бразилия

NGS1.08.02

Целостность журнала аудита

Система должна защищать хранимые записи журнала аудита от несанкционированного удаления или из

менения.