ГОСТ Р 54472—2011/ISO/TS 13606-4:2009
2.14 Подтверждение получения представления журнала аудита
Подтверждение получения представления журнала аудита, специфичное для здравоохранения,
не предлагается.
2.15 Создание записи в журнале аудита
См. 2.3.
3 Требования и технический подход
3.1 Исследование требований
Выполненные исследовательские работы, национальные и международные стандарты по интер-
операбельному обмену электронными медицинскими картами способствуют тому, чтобы разнородные
клинические информационные системы могли обмениваться электронными медицинскими картами па-
циентов или их частями стандартизованным способом, обеспечивающим точное и достаточно общее
представление значений данных, контекстуальной организации и медико-правовое происхождение
информации, возникающей в какой-либо из систем ведения ЭМК. Чувствительная информация, на-
пример, та, что обрабатывается системами ведения ЭМК, должна регистрироваться, храниться и пе-
редаваться безопасным, защищенным и надежным способом. Следовательно, передача ЭМК должна
удовлетворять требованиям безопасности, примерами которых могут служить:
- аутентификация субъектов (людей, компонентов программного обеспечения, устройств и т. д.),
которые на законных основаниях могут запрашивать или представлять данные электронных медицин-
ских карт;
- управление авторизацией, привилегиями и контроль доступа;
- обеспечение целостности хранимой, обрабатываемой и передаваемой информации, содержа-
щейся в ЭМК;
- категорирование информации, содержащейся в ЭМК;
- определение, согласование и отображение политик при взаимодействии субъектов, запраши-
вающих и предоставляющих данные ЭМК;
- обеспечение отчетности и отслеживания доступа, обработки и передачи информации;
- общие процедуры безопасности и обеспечения качества.
К числу основополагающих научно-исследовательских работ в этой области относятся такие ев-
ропейские проекты, как SEISMED, TrustHealth и HARP.
Большинство информационных систем организаций здравоохранения уже имеет системы и служ-
бы безопасности, предназначенные для защиты широкого спектра данных, связанных со здоровьем.
Передача ЭМК служит только одним примером. Кроме того, для обеспечения защиты информации о
здоровье активно разрабатываются общие подходы к описанию, реализации, профилированию и оцен-
ке постоянно усложняющихся служб безопасности. Многие требования, предъявляемые к передаче
ЭМК, равным образом применимы и к общему случаю передачи информации в здравоохранении.
3.2 Общие требования информационной безопасности в здравоохранении
IX
Наиболее широко признанные требования к обеспечению безопасности чувствительных и пер-
сональных данных изложены в стандарте ИСО/МЭК 27002. В нем указаны виды мер, которые должны
предприниматься для защиты таких активов, как ЭМК, и способы безопасной передачи данных в рас-
пределенной вычислительной среде. Руководство по применению этого общего стандарта в информа-
ционных системах здравоохранения опубликовано в стандарте ИСО 27799. Его применение упростит
формулирование общих политик информационной безопасности для учреждений здравоохранения и
будет способствовать распространению интероперабельных компонентов и служб безопасности.
Руководство по обеспечению трансграничной передачи ЭМК содержится в стандарте ИСО 22587.
Он может быть использован для разработки соответствующих спецификаций политик безопасности.
Требования по защите, которые должны выполняться каждым конкретным участником обмена
ЭМК, будут определяться национальными и местными политиками, обязательными для каждой уча-
ствующей стороны, а также для всех промежуточных узлов в цепочке обмена данными. Многие из этих
политик распространяются на все обмены данными в здравоохранении, но имеют отличия в зависи-
мости от стран и условий оказания медицинской помощи, поэтому они не регулируются настоящим
стандартом.