ГОСТ Р 57508—2017
Таким образом, проблема состоит не только в определении, имеет ли пользователь разреше
ние на доступ к конкретным элементам данных, но еще и в том. имеет ли он разрешение на доступ с
определенной целью. Поэтому существенно знать, что контекст, в котором объявлен доступ и исполь
зование. является правильным. Когда цель (или использование, цель использования, контекст исполь
зования) точно определена, это помогает определить, что доступ к защищаемым элементам информа
ции разрешен авторизованным пользователям в соответствии с конкретной, подходящей и однозначно
трактуемой политикой. Явное объявление предполагаемой цели использования перед получением раз
решения на доступ помогает также гарантировать, что пользователи информированы о том. что такое
разрешение не подразумевает использование данных в иных, недекларированных или несовместимых
целях. Знание цели использования помогает внести ясность в ситуациях, когда существует несколько
потенциально конфликтующих контекстно-чувствительных политик разрешения одного и того же досту
па к идентичным элементам информации.
Предыстория
Общий архитектурный подход к службам применения политик и формальному определению по
литик описан в ИСО/ТС 22600-1. Однако, как и в случае других общих архитектур, для обеспечения
интероперабельности политик необходима конкретизация общего подхода. При описании области при
менения политик необходимо также указать, какие свойства информации должны приниматься во вни
мание при принятии решений о доступе. Требуется также описать высокоуровневую модель политик,
учитывающих эти свойства, которой должны соответствовать все экземпляры политик этого типа.
В ИСО/ТС 13606-4 такая модель политик описана для одного конкретного случая, а именно, для
запроса и предоставления выписок из электронной медицинской карты (ЭМК).
Даже если несколько сторон согласовали общую модель политики, этого недостаточно для ото
бражения политик (автоматического преобразования политик одной стороны в политики другой сто
роны): термины, в которых описано каждое свойство в общей модели политик должны быть взаимно
понятны потребителям и поставщикам медицинской информации. Другими словами, чтобы автомати
чески принимать решение о доступе, свойства и термины, использованные поставщиком в политике
получения (сбора) информации должны иметь вычисляемое соответствие терминам и политикам рас
крытия информации ее потребителем.
По историческим причинам использование данных классифицируется как первичное и вторичное.
Поскольку эти термины связаны, они приобретают смысл только в том случае, когда поставщику дан
ных известны намерения их потребителя. Доказать, что некоторые цели использования важнее других, не
всегда просто, и может оказаться, что вторичное использование данных в целях благосостояния
общества является важной целью. Поэтому предлагается заменить эти термины явными и нейтральны
ми. но информативными категориями. Данные, включаемые в ЭМК, изначально собираются для целей
оказания медицинской помощи, хотя затем могут использоваться для других целей. Явное указание
этих целей вместо общей характеристики «вторичное использование» улучшит информационное взаи
модействие. прозрачность и правильность использования данных.
Настоящий стандарт служит семантическим дополнением ИСОГГС 22600-1 и ИСО/ТС 13606-4. ко
торые предоставляют формальные архитектурные и моделируемые описания политик, но не содержат
словарь целей использования. Однако при этом не требуется, чтобы уполномоченный орган принял
какой-либо из этих двух стандартов, чтобы ввести в действие классификацию целей, предложенную в
настоящем стандарте.
Существуют другие стандарты, определяющие словари, которые предназначены для обеспече
ния интероперабельности и могут использоваться при конкретизации политик. В ИСО/ТС 13606-4 опре
делены словари категорий чувствительности медицинских данных и функциональных ролей. В
ИСО/ ТС 1298 определен словарь структурных ролей (и воспроизведен словарь функциональных
ролей из ИСО/ТС 13606-4). В ИСО 10181-3 предложено определение информации контроля доступа
ACI (access control information), существенное для определения политики контроля доступа.
Контекст определения целой использования данных
Определение целей использования данных является первым критичным шагом в цепочке дей
ствий по сбору данных и различной обработки этих данных. Только в том случае, когда цель использо
вания данных известна, можно оценить, является ли доступ к данным или другая деятельность по их
обработке допустимой, например:
2