ГОСТ Р 54472—2011/ISO/TS 13606-4:2009
XIII
- используемые механизмы и степень применения шифрования;
- используемый метод аутентификации.
Политики организации могут также утверждать разрешения доступа:
- к информации о конкретном пациенте;
- к архетипу;
- к запрошенной операции (чтение, запись, изменение, передача данных, запрос и т. д.).
Политики, специфичные для ЭМК, могут предоставлять разрешение или отказывать в нем:
а) поименованным/идентифицированным сторонам:
- для доступа к ЭМК в целом;
- для назначения конкретной функциональной или структурной роли (например, для указания пер-
сонального уполномоченного представителя в организации здравоохранения);
b) в зависимости от специфичных условий оказания медицинской помощи (например, отделение,
специальность);
c) специфичным функциональным ролям;
- для доступа к конкретным архетипам;
- для доступа к конкретным компонентам ЭМК;
- для доступа к данным определенной категории;
- для выполнения специфичных функций обработки ЭМК (например, чтение, запись, изменение,
передача информации, запрос);
d) специфичным целям доступа:
- например, непосредственное оказание медицинской помощи, обеспечение оказания медицин-
ской помощи, преподавание, исследовательская работа;
- требующим выполнения определенных условий (например, должно быть обеспечено формаль-
ное подписанное информированное согласие).
Спецификация всего спектра политик доступа, которые должны иметься в организации, выхо-
дит за рамки настоящего стандарта. Он определяет общую спецификацию представления и переда-
чи тех частей политики доступа, которые непосредственно связаны с содержанием любой заданной
ЭМК (целевые политики). Нередко они отражают волю пациента в части раскрытия персональной ин-
формации.
Передача специфичного информированного согласия и политик доступа, выражающих волю па-
циента или его представителей, является важным аспектом передачи ЭМК и интероперабельности.
Такие политики вносят свой вклад в общую процедуру принятия решения об удовлетворении запроса на
доступ к ЭМК и должны передаваться получателю результата запроса вместе с данными, извлечен-ными
из ЭМК, чтобы получатель мог применить эти политики для управления любым последующим
доступом к этим данным в своей организации.
Общаямодельпредставленияполитикинформированного согласияидоступа, выражающихволю
пациента или других сторон, определена в разделе 6 настоящего стандарта. Политики, специфичные
для ЭМК и которые должны быть включены в выписку EHR_EXTRACT, могут быть представлены с по-
мощью модели, описанной в разделе 6. Эта модель свободно расширяется, что позволяет обрабаты-
вать дополнительные спецификации политик, не предусмотренные настоящим стандартом. Поскольку
ИСО/ТС 22600-3 определяет интероперабельную модель политики доступа, которая может использо-
ваться для этой цели, то в разделе 6 описана также модель на языке UML, чтобы информационные
системы, удовлетворяющие настоящему стандарту, заодно удовлетворяли и ИСО/ТС 22600.
В эталонной информационной модели, описанной в стандарте ИСО 13606-1, каждый компонент
данных (RECORD_COMPONENT), содержащийся в выписке EHR_EXTRACT, включает в себя необя-
зательный атрибут идентификатора политики (Policy_ID), который можно использовать для ссылки на
такие политики с любой степенью детализации в иерархии структуры ЭМК. Поэтому каждый компонент
RECORD_COMPONENT может ссылаться на любое число политик доступа или деклараций инфор-
мированного согласия, определяющих привилегии и профили принципалов (пользователей, агентов,
компонентов программного обеспечения, устройств, делегированных действующих лиц и т. д.), которые
впоследствии потребуются для доступа к этому элементу.
Необходимо принять во внимание, что некоторые политики могут применяться к конкретному эле-
менту RECORD_COMPONENT, входящему в ЭМК, а другие — к ЭМК в целом.