Точный
Статус документа
Статус документа

ГОСТ Р ИСО/ТС 17090-1-2009 Информатизация здоровья. Инфраструктура с открытым ключом. Часть 1. Структура и общие сведения

Введение


В индустрии здравоохранения возникла проблема сокращения расходов путем перехода от бумажной документации к автоматизированному электронному учету. Новые модели предоставления услуг в области здравоохранения особо подчеркивают необходимость обмена информацией о пациенте между все расширяющимся кругом медицинских специалистов, выходящего за рамки традиционных организационных барьеров.

Медицинская информация, касающаяся отдельных граждан, обычно передается посредством электронной почты, доступа к удаленной базе данных, обмена данными в электронном виде и других приложений. Интернет является высокоэффективным и доступным средством обмена информацией, однако это также небезопасная среда, требующая принятия дополнительных мер для соблюдения секретности и конфиденциальности информации. Возрастает угроза разглашения медицинской информации через несанкционированный доступ (случайный или преднамеренный). Системе здравоохранения необходимо иметь надежные средства защиты информации, минимизирующие риск несанкционированного доступа.

Как же в индустрии здравоохранения обеспечивается соответствующая надежная и эффективная защита при передаче данных через Интернет? Технологии инфраструктуры с открытым ключом (ИОК) позволяют найти подход к решению данной проблемы.

ИОК является сочетанием технологических, методических и административных процессов, обеспечивающих обмен конфиденциальными данными в незащищенной среде при использовании метода "шифрования с открытым ключом" для защиты информации при передаче и "сертификатов" для подтверждения личности человека или подлинности объекта. В сфере здравоохранения, в ИОК применяются аутентификация, шифрование и электронные подписи для облегчения конфиденциального доступа и передачи индивидуальных медицинских документов, что отвечает как клиническим, так и административным потребностям. Сервисы, предоставляемые ИОК (включая шифрование, целостность информации и электронные подписи), удовлетворяют многим требованиям к системам безопасности. Особо эффективно использование ИОК в сочетании с официальным стандартом защиты информации. Многие организации во всем мире приступили к использованию ИОК для этой цели.

Функциональная совместимость технологии ИОК и поддерживающих ее политик, процедур и практических приемов имеет принципиальное значение, если обмен информацией должен происходить между организациями и медицинскими учреждениями разной подведомственности (например, между больницей и районным терапевтом, работающими с одним и тем же пациентом).

Обеспечение функциональной совместимости между разными схемами ИОК требует создания системы доверия, при которой стороны, ответственные за защиту прав на неприкосновенность личной информации, могут опереться на методики и практические приемы и, как дополнение, на подлинность электронных сертификатов, выданных другими уполномоченными учреждениями.

Многие страны внедряют ИОК для поддержки безопасного обмена информацией в пределах своих национальных границ. Несовместимость методик и практических приемов между выдающими сертификаты учреждениями и регистрационными учреждениями разных стран проявляется, если деятельность по разработке стандартов ИОК ограничена пределами национальных границ.

Технология ИОК находится в стадии активного развития по определенным направлениям, которые не ограничиваются только здравоохранением. Непрерывно проводится важнейшая работа по стандартизации и, в некоторых случаях, по правовому обеспечению. С другой стороны, поставщики медицинских услуг во многих странах уже используют или планируют использовать ИОК. Настоящий стандарт призван удовлетворить потребность в управлении данным интенсивным международным процессом.

Настоящий стандарт содержит общие технические, эксплуатационные и методические требования, которые должны быть удовлетворены для обеспечения использования ИОК для защиты обмена медицинской информацией в пределах одной сети, между сетями и за пределами границ одной юрисдикции. Его основной целью является создание основы для глобального взаимодействия.

Он изначально предназначен для поддержки международного обмена данными на основе ИОК, однако может также служить руководством для создания национальных или региональных ИОК в области здравоохранения. Интернет все шире используется как средство передачи медицинских данных между организациями здравоохранения и является единственным реальным вариантом для международного обмена данными в этой области.

Настоящий стандарт должен рассматриваться как единое целое, поскольку каждая из трех его частей вносит свой вклад в определение того, как ИОК может быть использована для обеспечения сервисов безопасности в индустрии здравоохранения, включая аутентификацию, конфиденциальность, целостность данных и технические возможности поддержки качества электронной подписи.

ИСО/ТС 17090-1 определяет основные принципы ИОК в сфере здравоохранения и определяет структуру требований по функциональной совместимости, необходимых для создания системы защищенного обмена медицинской информацией на основе ИОК.

ИСО/ТС 17090-2 определяет специфичные для сферы здравоохранения профили электронных сертификатов на основе Международного стандарта Х.509, профиль которого определен в IETF/RFC 2459 для разных типов сертификатов.

ИСО/ТС 17090-3 относится к проблемам управления, возникающим при внедрении и эксплуатации ИОК в сфере здравоохранения. В нем определены структура и минимальные требования к политикам по сертификатам, а также структура сопутствующих отчетов по практическому применению сертификации. Данная часть базируется на рекомендациях IETF/RFC 2527 "Интернет Х.509: Политика сертификатов инфраструктуры с открытым ключом и основы практического применения сертификации" и определяет принципы защиты информации в сфере здравоохранения при международном взаимодействии. В ней также определен необходимый минимальный уровень безопасности применительно к аспектам, специфичным для здравоохранения.