Профессиональное решение
для специалистов строительной отрасли


ГОСТ Р ИСО 17090-1-2015

     

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информатизация здоровья

ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ

Часть 1

Общие свойства служб электронных сертификатов

Health informatics. Public key infrastructure. Part 1. Overview of digital certificate services



ОКС 35.240.80

Дата введения 2016-11-01

     

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации" ("Фирма "ИНТЕРСТАНДАРТ") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2217-ст

4 Настоящий стандарт идентичен международному стандарту ИСО 17090-1:2013* "Информатизация здоровья. Инфраструктура открытых ключей. Часть 1. Общие свойства служб электронных сертификатов" (ISO 17090-1:2013 "Health informatics - Public key infrastructure - Part 1: Overview of digital certificate services", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.


При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в справочном приложении ДА

5 ВВЕДЕН ВЗАМЕН ГОСТ Р ИСО/ТС 17090-1-2009

6 ПЕРЕИЗДАНИЕ. Декабрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение


Перед сферой здравоохранения стоит задача сокращения расходов путем перехода от бумажной документации к автоматизированному электронному учету. Новые модели предоставления услуг в сфере здравоохранения особо подчеркивают необходимость обмена информацией о пациенте между все расширяющимся кругом медицинских специалистов, выходящим за рамки традиционных организационных барьеров.

Медицинская информация, касающаяся отдельных граждан, обычно передается с помощью электронной почты, доступа к удаленной базе данных, обмена данными в электронном виде и других приложений. Интернет является высокоэффективным и доступным средством обмена информацией, однако это также небезопасная среда, требующая принятия дополнительных мер для соблюдения секретности и конфиденциальности информации. Угроза разглашения медицинской информации вследствие несанкционированного доступа (случайного или преднамеренного) возрастает. Системе здравоохранения необходимо иметь надежные средства защиты информации, минимизирующие риск такого доступа.

Как же в сфере здравоохранения обеспечивается соответствующая надежная и эффективная защита при передаче данных через Интернет? Технологии инфраструктуры открытых ключей (ИОК) и электронных сертификатов позволяют найти подход к решению данной проблемы.

Правильное внедрение электронных сертификатов требует сочетания технологических, методических и административных процессов, обеспечивающих обмен конфиденциальными данными в незащищенной среде при использовании метода "шифрования с открытым ключом" для защиты информации при передаче и "сертификатов" для подтверждения идентичности человека или подлинности объекта. В сфере здравоохранения в данной технологии применяются аутентификация, шифрование и электронные подписи для облегчения конфиденциального доступа и передачи индивидуальных медицинских документов, что отвечает как клиническим, так и административным потребностям. Службы, предоставляемые в случае внедрения электронных сертификатов (включая шифрование, целостность информации и электронные подписи), удовлетворяют многим требованиям к системам безопасности. Особенно эффективным является использование электронных сертификатов в сочетании с официальным стандартом защиты информации. Многие организации во всем мире приступили к использованию электронных сертификатов для этой цели.

Функциональная совместимость технологии электронных сертификатов и поддерживающих ее политик, процедур и практических приемов имеет принципиальное значение, если обмен информации должен происходить между организациями и медицинскими учреждениями разной подведомственности (например, между больницей и районным терапевтом, работающими с одним и тем же пациентом).

Обеспечение функциональной совместимости между разными схемами электронных сертификатов требует создания системы доверия, при которой стороны, ответственные за неприкосновенность личной жизни, могут опереться на методики и практические приемы и, как дополнение, на подлинность электронных сертификатов, выданных другими уполномоченными органами.

Многие страны внедряют электронные сертификаты для поддержки безопасного обмена информацией в пределах своих национальных границ. Несовместимость методик и практических приемов между органами, издающими сертификаты, и регистрационными органами разных стран проявляется, если деятельность по разработке стандартов ограничена пределами национальных границ.

Технология электронных сертификатов находится в стадии активного развития по определенным направлениям, которые не ограничиваются только здравоохранением. Непрерывно проводится важнейшая работа по стандартизации и, в некоторых случаях, по правовому обеспечению. С другой стороны, поставщики медицинских услуг во многих странах уже используют или планируют использовать электронные сертификаты. Настоящий стандарт призван удовлетворить потребность в управлении данным интенсивным международным процессом.

Настоящий стандарт содержит общие технические, эксплуатационные и методические требования, которые должны быть удовлетворены при использовании электронных сертификатов для защиты обмена медицинской информацией в пределах одной сети, между сетями и за пределами границ одной юрисдикции. Его основной целью является создание основы для глобального взаимодействия. Он изначально предназначен для поддержки трансграничного обмена данными на основе электронных сертификатов, однако может также служить руководством для внедрения электронных сертификатов в сфере здравоохранения на национальном или региональном уровне. Интернет все шире используется как средство передачи медицинских данных между организациями здравоохранения и является единственным реальным вариантом для трансграничного обмена данными в этой области.

Все части настоящего стандарта следует рассматривать как единое целое, поскольку каждая из них вносит свой вклад в определение того, как электронные сертификаты могут быть использованы для обеспечения служб безопасности в сфере здравоохранения, включая аутентификацию, конфиденциальность, целостность данных и технические возможности поддержки качества электронной подписи.

ИСО 17090-1 определяет основные принципы использования электронных сертификатов в сфере здравоохранения и определяет структуру требований по функциональной совместимости, необходимых для создания системы защищенного обмена медицинской информацией на основе электронных сертификатов.

ИСО 17090-2 определяет специфичные для сферы здравоохранения профили электронных сертификатов на основе X.509, профиль которого определен в IETF/RFC 3280 для разных типов сертификатов.

В ИСО 17090-3 освещены проблемы управления, возникающие при внедрении и эксплуатации электронных сертификатов в сфере здравоохранения. В нем определены структура и минимальные требования к политикам сертификатов, а также структура сопутствующих отчетов по практическому применению сертификации. ИСО 17090-3 основан на рекомендациях IETF/RFC 3647 и определяет принципы защиты информации в сфере здравоохранения при трансграничном взаимодействии. В нем также определен необходимый минимальный уровень безопасности применительно к аспектам, специфичным для здравоохранения.

Комментарии по содержанию настоящего стандарта, а также комментарии, предложения и информация по его применению могут направляться в секретариат ИСО/ТК 215.

     1 Область применения


Настоящий стандарт определяет основные понятия, связанные с использованием электронных сертификатов в сфере здравоохранения, и структуру требований по взаимной совместимости, необходимой для создания системы защищенного обмена медицинской информацией на основе электронных сертификатов. В нем также указаны основные стороны, обменивающиеся медицинской информацией, а также основные службы обеспечения безопасности, необходимые при обмене медицинской информацией, где могут потребоваться электронные сертификаты.

В настоящем стандарте представлены краткое введение в шифрование с открытым ключом и базовые компоненты, необходимые для внедрения электронных сертификатов в сфере здравоохранения. Кроме того, в нем определены разные типы электронных сертификатов: сертификаты идентичности участвующих сторон и связанные с ними сертификаты атрибутов, самоподписанные сертификаты удостоверяющего центра (УЦ), иерархии и связь структур удостоверяющих центров.

     2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты* (для датированных ссылок следует использовать указанное издание, для недатированных ссылок - последнее издание указанного документа, включая все поправки к нему):

_______________

* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.     


ISO 17090-2:2008, Health informatics - Public key infrastructure - Part 2: Certificate profile (Информатизация здоровья. Инфраструктура открытых ключей. Часть 2. Профиль сертификатов)

ISO 17090-3:2008, Health informatics - Public key infrastructure - Part 3: Policy management of certification authority (Информатизация здоровья. Инфраструктура открытых ключей. Часть 3. Управление политикой органов сертификации)

     3 Термины и определения


В настоящем стандарте также применены следующие термины с соответствующими определениями:

     3.1 Термины сферы здравоохранения

3.1.1 приложение (application): Идентифицируемый и выполняемый компьютером программный процесс, владеющий закрытым ключом шифрования.

Примечания

1 Приложением в данном контексте может быть любой программный процесс, используемый в медицинских информационных системах, включая процессы, не имеющие прямого отношения к лечению или диагностике.

2 В некоторых юрисдикциях к приложениям могут быть отнесены регистрируемые медицинские устройства.

3.1.2 устройство (device): Идентифицируемое устройство или прибор, управляемые компьютером и владеющий закрытым ключом шифрования.

Примечания

1 Данный термин относится также к классу регистрируемых медицинских устройств, соответствующих данному выше определению.

2 Устройством в данном контексте является любое устройство, используемое в медицинских информационных системах, включая устройства, не имеющие прямого отношения к лечению или диагностике.

3.1.3 участник системы здравоохранения (healthcare actor): Сертифицированный медицинский работник, вспомогательный работник здравоохранения, субсидируемый поставщик медицинских услуг, работник обеспечивающей организации, пациент или потребитель медицинских услуг, организация здравоохранения, устройство или приложение, используемые в сфере здравоохранения и требующие сертификат для предъявления системе безопасности на основе электронных сертификатов.

3.1.4 организация здравоохранения (healthcare organization): Официально зарегистрированная организация, основная деятельность которой связана с предоставлением медицинской помощи и обеспечением профилактики.

Пример - Больницы, провайдеры веб-сайтов на тему здравоохранения в Интернете, медицинские научно-исследовательские организации.

Примечания

1 Организация, юридически ответственная за свои действия, но не обязательно получающая лицензию на специфическую деятельность в сфере здравоохранения.

2 В настоящем стандарте составная часть организации называется организационной единицей согласно X.501.

3.1.5 вспомогательный работник здравоохранения (non-regulated health professional): Лицо, работающее в организации здравоохранения, но не являющееся сертифицированным медицинским работником.

Пример - Медрегистратор, организующий прием, или младшая медицинская сестра, участвующая в оказании медицинской помощи пациенту.

Примечание - Тот факт, что профессиональная компетенция работника не подтверждена уполномоченным органом, независимым от работодателя, конечно, не означает, что работник не является специалистом в сфере выполняемых им обязанностей.

3.1.6 работник организации (organization employee): Лицо, работающее в организации здравоохранения или в обеспечивающей организации.

Пример - Операторы по вводу медицинских документов, эксперты страховых медицинских организаций и операторы по вводу рецептов.

3.1.7 пациент, потребитель (patient, сonsumer): Лицо, получающее медицинскую помощь и участвующее в функционировании медицинской информационной системы.

3.1.8 неприкосновенность личной жизни (privacy): Защита от вмешательства в частную жизнь или деловые отношения отдельного лица, результатом которого являются неоправданный или незаконный сбор и использование персональных данных этого лица.

[ИСО/МЭК 2382-8:1998]

3.1.9 сертифицированный медицинский работник (regulated health professional): Лицо, имеющее сертификат уполномоченного национального органа на право ведения определенной медицинской деятельности.

Пример - Врачи, сертифицированные медсестры, провизоры.

Примечания

1 Типы органов, выдающих сертификаты, различаются в разных странах и для разных профессий. К уполномоченным национальным органам относятся в том числе местные или региональные правительственные агентства, независимые профессиональные ассоциации и другие организации, официально уполномоченные государством. Им может как принадлежать, так и не принадлежать исключительное право сертификации на данной территории.

2 Термин "уполномоченный национальный орган" в данном определении не подразумевает существование единственной подконтрольной государству системы профессиональной сертификации, но для содействия международному взаимодействию предпочтительным является наличие единого общенационального справочника органов, сертифицирующих медицинских работников.

3.1.10 субсидируемый поставщик медицинских услуг (sponsored healthcare provider): Поставщик услуг в области здравоохранения, не являющийся сертифицированным специалистом, но работающий в сфере здравоохранения и субсидируемый лицензированной организацией здравоохранения.

Пример - Инспектор службы наркологического просвещения, работающий с определенной этнической группой, или медико-санитарный работник в развивающейся стране.

3.1.11 обеспечивающая организация (supporting organization): Официально зарегистрированная организация, действующая в сфере здравоохранения, но не оказывающая медицинскую помощь.

Пример - Органы, финансирующие систему здравоохранения, например страховые медицинские организации, поставщики лекарственных и других товаров.