ГОСТ Р 57301—2016
ABNT NBR ИСО/МЭК 27001:2005. А. 10.10.3.
NGS1.08.03
Доступ к журналам аудита
Убедитесь в том. что доступ к журналам аудита предоставлен только пользователям, ответственным за про
ведение аудита.
ABNT NBR ИСО/МЭК 27001:2005. А. 10.10.1.
США
CCHIT SC 02.08
Аудит
Система должна запрещать всем пользователям доступ к чтению записей журнала аудита, за исключением
тех пользователей, которые получили явный доступ к чтению. Система должна защищать хранящиеся за
писи журнала аудита от несанкционированного удаления. Система должна предотвращать внесение изме
нений в данные журнала аудита.
ИСО/МЭК 15408. СС SFR: FAU_SAR. FAU_STG;
NIST SP 600-53: AU-9 ЗАЩИТА ИНФОРМАЦИИ ДЛЯ АУДИТА:
HIPAA: 164.312(a) (1): HITSP/TP15.
Канада
Требование безопасности 50 канадской медицинской организации Infoway
Защита доступа к журналам аудита инфоструктуры EHR
Система EHR должна защитить доступ к записям журнала аудита и должна ограничить доступ к системным
инструментам аудита и журналу аудита для того, чтобы предотвратить неправильное использование или
несанкционированное разглашение.
Обоснование — Эти требования являются минимальными для поддержания целостности системы и кон
фиденциальности информации, содержащейся в журнале аудита. Конфиденциальность имеет критическое
значение, так как третья сторона, получающая доступа к таким журналам, гложет вывести ПМД из записей
журнала аудита (например, из записи журнала с указанием обновления карты пациента пользователем в
центре онкологической помощи можно сделать вывод, что у пациента диагностирован рак).
Требование безопасности 51 канадской медицинской организации Infoway
Обеспечение журналов аудита защитой от несанкционированного вмешательства
Инфоструктура EHR должна обеспечивать соответствующие средства обеспечения безопасности для защи
ты журналов аудита от несанкционированного вмешательства.
Обоснование — Это требование является минимальным для поддержания целостности системы.
Великобритания
Требование 3.9.6 Управления информацией Великобритании
Система должна гарантировать, что записи в журнале аудита могут быть удалены только привилегирован
ным пользователем при определенных условиях, например, по судебному поручению. Следует отметить,
что предполагается, что такие удаления будут очень редкими, и поэтому важно, чтобы доступ к такой функ
ции строго контролировался. Возможность получения таких прав любым локальным пользователем, а также
возможность передачи таких прав любым локальным администратором любому локальному пользователю
недопустима. Любые попытки обновления или добавления записей в журнале аудита должны быть предот
вращены. насколько это возможно.
Требование 3.9.5 Управления информацией Великобритании
Национальный сборник ролей RBAC и действий опубликован в национальной базе данных (NRD) RBAC и
описывает действия, применимые к осуществлению доступа к контрольным журналам. Поставщики должны
гарантировать, что системы способны на поддержку последних версий вышеуказанного документа. Если по
ставщики не реализовали национальную модель RBAC. то локальные средства управления доступом долж ны
доказать, что только соответствующие роли могут получить доступ к контрольному журналу.
Российская Федерация
Рекомендация Министерства здравоохранения РФ 2009-12-23, тр. 6.2 (необязательное)
Подсистемы журнала аудита должны защищать контрольные журналы от непреднамеренного удаления или
изменения. Подсистемы журнала аудита должны осуществлять резервное копирование отдельных частей
контрольного журнала.
В.16.6 Хранение журнала аудита
Канада
Требование безопасности 44 канадской медицинской организации Infoway
Хранение журналов аудита
Вое организации, размещающие компоненты инфоструктуры EHR или подключенные к инфоструктуре EHR.
должны сохранять журнал в течение полного срока хранения записей, прошедших аудит. Это делается для
того, чтобы при необходимости обеспечить проведение расследования и предоставить доказательства.
Обоснование — Данное требование вытекает из требования конфиденциальности 19. требования конфи
денциальности 20 и требования конфиденциальности 21.