ГОСТ Р ИСО/ТС 22600-2-2009 Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 2. Формальные модели
4.4 Модель политики безопасности
Политика безопасности - это комплекс юридических, этических, социальных, организационных, психологических, функциональных и технических положений, призванных обеспечить высокую степень доверия к медицинским информационным системам. В политике формулируются концептуальные требования и условия для достоверного создания, хранения, обработки и использования важной информации.
Политика может быть представлена:
- в вербальной неструктурированной форме;
- в структурированной форме с использованием схем и шаблонов;
- в виде формальной модели.
Для обеспечения функциональной совместимости политика должна быть сформулирована и представлена в виде, обеспечивающем ее правильную интерпретацию и применение на практике. Поэтому на документы, определяющие политику, именуемые также объявлениями политики или соглашениями о политике (соглашения между участвующими партнерами), должны распространяться ограничения на используемые синтаксис, семантику, терминологию и действие.
Чтобы можно было надежно ссылаться на конкретную политику, ее экземпляр должен иметь уникальное имя и идентификатор. То же относится ко всем элементам политики - зоне, целям, действиям и их политикам, которым тоже следует присвоить наименования и уникально идентифицировать. В итоге характеристиками политики безопасности являются идентификатор политики, имя политики, уполномоченное лицо политики, идентификатор зоны, имя зоны, список целей, идентификатор цели, имя цели, объект цели, разрешенные действия и политики, связанные с данной политикой.
Для более наглядного представления в таблице 2 показаны все атрибуты политики, в том числе унаследованные от зоны. Предложенное определение типов данных схоже с определением типов данных в HL7, версия 3 [5].
Таблица 2 - Атрибуты базовой политики безопасности
Атрибут | Тип | Примечания |
policy_identifier (идентификатор политики) | SET <II> | Набор (SET) идентификаторов экземпляров |
policy_name (имя политики) | CS | Простое кодированное значение |
policy_authority_ID (идентификатор уполномоченного лица политики) | OID | Идентификатор объекта ИСО |
policy_authority_name (имя уполномоченного лица политики) | ST | Строка |
domain_identifier (идентификатор зоны) | SET <OID> | Набор (SET) идентификаторов объектов ИCO |
domain_name (имя зоны) | BAG <EN> | Пакет (BAG) имен сущностей |
target_list (список целей) | LIST <INT> | Список элементов типа INT |
target_ID (идентификатор цели) | SET <II> | Набор (SET) идентификаторов экземпляров |
target_name (имя цели) | EN | Имя сущности |
target_object (объект цели) | II | Идентификатор экземпляра |
operation_code (код действия) | CE | Кодированный тип данных с возможностью указания эквивалентов |
Policies (политики) | CD | Концептуальное описание |
Медицинские информационные системы, например электронный учет здоровья (ЭУЗ), должны, как минимум, иметь политику безопасности для пациентов, чтобы контролировать доступ к информации об их здоровье, политику с общими правилами доступа для организации, политики, отражающие требования законодательства и других нормативных документов, и по одной политике для каждой структурной роли и каждой функциональной роли.
Каждое создание, доступ или модификация компонента ЭУЗ должно подпадать под действие одной или нескольких политик. Согласно эталонной модели выписки из ЭУЗ, класс его компонента содержит атрибут идентификатора политики, чтобы обеспечить возможность ссылок на такие политики на любом уровне детализации в иерархии ЭУЗ. Политики, применяемые конкретно к ЭУЗ, включая любые связанные с ними политики, могут быть включены в выписку из ЭУЗ.
Как и к любым другим компонентам, к компонентам политики можно применять операции композиции и декомпозиции в соответствии с базовой компонентной моделью. Пользуясь определением типов данных из [5], классы политики могут быть определены как базовая политика, метаполитика и составная политика (см. рисунок 4). Эти классы подробно описаны в таблицах 2, 3 и 4 соответственно, см. [6].
Рисунок 4 - Диаграмма базовых классов политики безопасности
Конкретизации абстрактного класса составной политики сложным образом взаимосвязаны, что обозначено на диаграмме в виде простой ассоциации.
Таблица 3 - Типы базовой политики
Тип базовой политики | Назначение | Содержание |
Политики авторизации | Определяют разрешенные действия | Субъект (кроме ролей), цель, действие |
Политики обязательств | Управляются событиями и определяют действия, выполняемые агентами администратора | Субъект (кроме ролей), действие, событие |
Политики воздержания | Определяют действия, от совершения которых субъекты должны воздержаться | Субъект (кроме ролей), действие |
Политики делегирования | Определяют, какие полномочия кому могут быть делегированы | - |
Таблица 4 - Типы составной политики
Тип составной политики | Назначение |
Группы | Определяет область действия связанных политик, к которым может применяться ряд ограничений |
Роли | Определяет группу политик (политики авторизации, обязательств и воздержания) (подробнее о ролях см. 4.5 и приложение А) |
Взаимосвязи | Определяет группу политик, относящихся к взаимодействиям между ролями |
Другой способ декомпозиции политик представлен в спецификации сервисов безопасности, предложенной группой OMG, различающей следующие политики: