ГОСТ Р ИСО/ТС 17090-1-2009

Группа П85

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

ИНФРАСТРУКТУРА С ОТКРЫТЫМ КЛЮЧОМ

Часть 1

Структура и общие сведения

Health informatics. Public key infrastructure. Part 1. Framework and overview

ОКС 35.240.80

ОКСТУ 4002

Дата введения 2010-07-01

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Росздрава" (ЦНИИОИЗ Росздрава) и Государственным научным учреждением "Центральный научно-исследовательский и опытно-конструкторский институт робототехники и технической кибернетики" на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Росздрава - единоличным представителем ИСО ТК 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 14 сентября 2009 г. N 403-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/ТС 17090-1:2002* "Информатизация здоровья. Инфраструктура с открытым ключом. Часть 1. Структура и общие свойства" (ISO/TC 17090-1:2002 "Health informatics - Public key infrastructure - Part 1: Framework and overview").

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

В индустрии здравоохранения возникла проблема сокращения расходов путем перехода от бумажной документации к автоматизированному электронному учету. Новые модели предоставления услуг в области здравоохранения особо подчеркивают необходимость обмена информацией о пациенте между все расширяющимся кругом медицинских специалистов, выходящего за рамки традиционных организационных барьеров.

Медицинская информация, касающаяся отдельных граждан, обычно передается посредством электронной почты, доступа к удаленной базе данных, обмена данными в электронном виде и других приложений. Интернет является высокоэффективным и доступным средством обмена информацией, однако это также небезопасная среда, требующая принятия дополнительных мер для соблюдения секретности и конфиденциальности информации. Возрастает угроза разглашения медицинской информации через несанкционированный доступ (случайный или преднамеренный). Системе здравоохранения необходимо иметь надежные средства защиты информации, минимизирующие риск несанкционированного доступа.

Как же в индустрии здравоохранения обеспечивается соответствующая надежная и эффективная защита при передаче данных через Интернет? Технологии инфраструктуры с открытым ключом (ИОК) позволяют найти подход к решению данной проблемы.

ИОК является сочетанием технологических, методических и административных процессов, обеспечивающих обмен конфиденциальными данными в незащищенной среде при использовании метода "шифрования с открытым ключом" для защиты информации при передаче и "сертификатов" для подтверждения личности человека или подлинности объекта. В сфере здравоохранения, в ИОК применяются аутентификация, шифрование и электронные подписи для облегчения конфиденциального доступа и передачи индивидуальных медицинских документов, что отвечает как клиническим, так и административным потребностям. Сервисы, предоставляемые ИОК (включая шифрование, целостность информации и электронные подписи), удовлетворяют многим требованиям к системам безопасности. Особо эффективно использование ИОК в сочетании с официальным стандартом защиты информации. Многие организации во всем мире приступили к использованию ИОК для этой цели.

Функциональная совместимость технологии ИОК и поддерживающих ее политик, процедур и практических приемов имеет принципиальное значение, если обмен информацией должен происходить между организациями и медицинскими учреждениями разной подведомственности (например, между больницей и районным терапевтом, работающими с одним и тем же пациентом).

Обеспечение функциональной совместимости между разными схемами ИОК требует создания системы доверия, при которой стороны, ответственные за защиту прав на неприкосновенность личной информации, могут опереться на методики и практические приемы и, как дополнение, на подлинность электронных сертификатов, выданных другими уполномоченными учреждениями.

Многие страны внедряют ИОК для поддержки безопасного обмена информацией в пределах своих национальных границ. Несовместимость методик и практических приемов между выдающими сертификаты учреждениями и регистрационными учреждениями разных стран проявляется, если деятельность по разработке стандартов ИОК ограничена пределами национальных границ.

Технология ИОК находится в стадии активного развития по определенным направлениям, которые не ограничиваются только здравоохранением. Непрерывно проводится важнейшая работа по стандартизации и, в некоторых случаях, по правовому обеспечению. С другой стороны, поставщики медицинских услуг во многих странах уже используют или планируют использовать ИОК. Настоящий стандарт призван удовлетворить потребность в управлении данным интенсивным международным процессом.

Настоящий стандарт содержит общие технические, эксплуатационные и методические требования, которые должны быть удовлетворены для обеспечения использования ИОК для защиты обмена медицинской информацией в пределах одной сети, между сетями и за пределами границ одной юрисдикции. Его основной целью является создание основы для глобального взаимодействия.

Он изначально предназначен для поддержки международного обмена данными на основе ИОК, однако может также служить руководством для создания национальных или региональных ИОК в области здравоохранения. Интернет все шире используется как средство передачи медицинских данных между организациями здравоохранения и является единственным реальным вариантом для международного обмена данными в этой области.

Настоящий стандарт должен рассматриваться как единое целое, поскольку каждая из трех его частей вносит свой вклад в определение того, как ИОК может быть использована для обеспечения сервисов безопасности в индустрии здравоохранения, включая аутентификацию, конфиденциальность, целостность данных и технические возможности поддержки качества электронной подписи.

ИСО/ТС 17090-1 определяет основные принципы ИОК в сфере здравоохранения и определяет структуру требований по функциональной совместимости, необходимых для создания системы защищенного обмена медицинской информацией на основе ИОК.

ИСО/ТС 17090-2 определяет специфичные для сферы здравоохранения профили электронных сертификатов на основе Международного стандарта Х.509, профиль которого определен в IETF/RFC 2459 для разных типов сертификатов.

ИСО/ТС 17090-3 относится к проблемам управления, возникающим при внедрении и эксплуатации ИОК в сфере здравоохранения. В нем определены структура и минимальные требования к политикам по сертификатам, а также структура сопутствующих отчетов по практическому применению сертификации. Данная часть базируется на рекомендациях IETF/RFC 2527 "Интернет Х.509: Политика сертификатов инфраструктуры с открытым ключом и основы практического применения сертификации" и определяет принципы защиты информации в сфере здравоохранения при международном взаимодействии. В ней также определен необходимый минимальный уровень безопасности применительно к аспектам, специфичным для здравоохранения.

     1 Область применения

Настоящий стандарт определяет основные понятия инфраструктуры с открытым ключом (ИОК) в сфере здравоохранения и определяет структуру требований по функциональной совместимости, необходимых для создания системы защищенного обмена медицинской информацией на основе ИОК. В нем также установлены основные стороны, обменивающиеся медицинской информацией, а также основные сервисы обеспечения безопасности, необходимые при обмене медицинской информацией, где может быть востребована ИОК.

В настоящем стандарте представлены краткое введение в шифрование с открытым ключом и базовые компоненты ИОК в сфере здравоохранения. Кроме того, в нем определены сертификаты различных типов, сертификаты подлинности открытого ключа и связанные с ними сертификаты атрибутов для участвующих сторон, самоудостоверенные сертификаты уполномоченных лиц по сертификации (УС), иерархии и объединяющие структуры уполномоченных лиц по сертификации.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты*:

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.

ИСО 7498-2:1989 Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты (ISO 7498-2:1989, Information processing systems - Open Systems Interconnection - Basic Reference Model - Part 2: Security Architecture)

ИСО/МКЭ 9594-8:2001 Информационные технологии. Взаимосвязь открытых систем. Директория. Часть 8. Структура сертификатов открытого ключа и атрибутов (ISO/IEC 9594-8:2001, Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks - Part 8)

ИСО/ТС 17090-2:2002 Информатизация здоровья. Инфраструктура с открытым ключом. Часть 2. Профиль сертификата (ISO/TS 17090-2:2002, Health informatics - Public key infrastructure - Part 2: Certificate profile)

ИСО/ТС 17090-3:2002 Информатизация здоровья. Инфраструктура с открытым ключом. Часть 3. Управление политиками уполномоченного лица по сертификации (ISO/TS 17090-3:2002, Health informatics - Public key infrastructure - Part 3: Policy management of certification authority)

ИСО/МКЭ 17799:2000 Информационные технологии. Свод правил по управлению защитой информации (ISO/IEC 17799:2000, Information technology - Code of practice for information security management)

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

     3.1 Термины сферы здравоохранения

3.1.1 приложение (application): Идентифицируемый и выполняемый компьютером программный процесс, владеющий секретным ключом шифрования.

Примечания

1 Приложением в данном контексте может быть любой программный процесс, используемый в медицинских информационных системах, включая процессы, не имеющие прямого отношения к лечению или диагностике.

2 В некоторых случаях в программные процессы могут быть включены управляемые медицинские устройства.

3.1.2 устройство (device): Идентифицируемый управляемый компьютером аппарат или прибор, владеющий секретным ключом шифрования.

Примечания

1 Данный термин относится также к классу управляемых медицинских устройств, соответствующих приведенному выше определению.

2 Устройством в данном контексте является любое устройство, используемое в медицинских информационных системах, включая устройства, не имеющие прямого отношения к лечению или диагностике.

3.1.3 участник системы здравоохранения (healthcare actor): Квалифицированный медицинский работник, вспомогательный работник здравоохранения, субсидируемый поставщик медицинских услуг, работник поддерживающей организации, пациент или потребитель медицинских услуг, организация здравоохранения, устройство или приложение, используемые в сфере здравоохранения и требующие сертификата для системы безопасности на основе ИОК.

3.1.4 организация здравоохранения (healthcare organization): Официально зарегистрированная организация, основная деятельность которой связана с предоставлением медицинских услуг и профилактикой здоровья.

Пример - Больницы, провайдеры веб-сайтов на тему здравоохранения в Интернете, медицинские исследовательские институты.

Примечания

1 Организация, которая признана несущей юридическую ответственность за свои действия, не обязана получать регистрацию на специфическую деятельность в области здравоохранения.

2 Составная часть организации называется отделением организации согласно Х.501.

3.1.5 вспомогательный работник здравоохранения (non-regulated health professional): Лицо, работающее в организации здравоохранения, но не являющееся медицинским работником.

Пример - Регистратор или секретарь в приемной, который назначает прием, или управляющий делами, который несет ответственность за подтверждение медицинской страховки пациента.

Примечание - Тот факт, что профессиональная компетенция работника не подтверждена официально независимым от работодателя органом, конечно, не подразумевает, что работник не является специалистом в сфере выполняемых им обязанностей.

3.1.6 пациент, потребитель (patient, consumer): Лицо, получающее медицинские услуги и являющееся участником медицинской информационной системы.

3.1.7 защита от несанкционированного доступа (privacy): Защита от вмешательства в частную жизнь или дела отдельной личности в случае неуместного или незаконного сбора и использования данных об этой личности [1].

3.1.8 квалифицированный медицинский работник (regulated health professional): Лицо с подтвержденной уполномоченным государственным органом квалификацией для предоставления определенных медицинских услуг.

Пример - Врачи, квалифицированные медсестры, фармацевты.

Примечания

1 Типы регистрирующих или выдающих аккредитацию органов различны в разных странах и для разных профессий. К уполномоченным государственным органам относятся местные или региональные правительственные агентства, независимые профессиональные ассоциации и другие официально и в государственном масштабе уполномоченные организации. Они могут быть как местными, так и межтерриториальными.

2 Термин "уполномоченный государственный орган" в данном определении не подразумевает существование единой подконтрольной государству системы профессиональной регистрации, но для содействия международному взаимодействию предпочтительным является наличие единого общенационального справочника органов, регистрирующих медицинских работников.

3.1.9 субсидируемый поставщик медицинских услуг (sponsored healthcare provider): Поставщик услуг в области здравоохранения, не являющийся официально признанным специалистом по роду своей деятельности, но работающий в сфере здравоохранения и субсидируемый официальной организацией здравоохранения.

Пример - Инспектор службы наркологического просвещения, работающий с определенной этнической группой, или медико-санитарный работник в развивающейся стране.

3.1.10 поддерживающая организация (supporting organization): Официально зарегистрированная организация, предоставляющая услуги организации здравоохранения, но не предоставляющая сама медицинских услуг.

Пример - Органы, финансирующие систему здравоохранения, например страховые компании, поставщики фармацевтических и других товаров.