ГОСТ Р 57301-2016/ISO/TS 14441:2013 Информатизация здоровья. Требования защиты и конфиденциальности систем EHR, используемые при оценке соответствия
5.4 Общие критерии
Общие критерии (ОК), опубликованные в ИСО/МЭК 15408, состоящем из трех частей, предоставляют общий набор требований к функциям обеспечения безопасности ИТ-продуктов и систем, а также к методам обеспечения достоверности и эффективности, применяемым к этим функциям в ходе оценки защиты.
Стандарт направлен на то, чтобы охватить все различные виды ИТ-продуктов и систем, и предоставляет широкий спектр требований, позволяя разработчику продукта или системы определить область применения, называемую объектом оценки (ОО), и выбрать набор требований, который применяется в конкретном случае.
Так как этот стандарт является международным и общеизвестным, он полезен при отображении связи между требованиями, представленными в настоящем стандарте, и классами ОК. Перекрестное сопоставление, предоставленное ниже, может помочь тем, кто уже знаком с общими критериями, лучше понять настоящий стандарт и наоборот.
Ниже приведен список классов ОК:
a) аудит безопасности (FAU);
b) связь (FCO);
c) криптографическая поддержка (FCS);
d) защита данных пользователя (FDP);
e) (G) идентификация и аутентификация (FIA);
f) (H) управление безопасностью (FMT);
g) (I) неприкосновенность частной жизни (FPR);
h) (J) защита функций безопасности объекта оценки TSF - TOE (FPT);
i) (K) использование ресурсов (FRU);
j) (L) доступ к объекту оценки (FTA);
k) доверенный маршрут/канал (FTP);
I) управление безопасностью:
- управление версиями;
- документация и методы;
- доступность;
- контроль времени;
m) неприкосновенность частной жизни;
n) защита функций безопасности;
о) управление доступом.
В таблице 1 приведено перекрестное сопоставление классов ОК с требованиями, установленными в предыдущем разделе.
Таблица 1 - Сравнение требований с общими критериями
Требование | Совпадение между требованием и классом ОК | Класс ОК |
1 Согласие субъекта данных на сбор, использование и разглашение персональных медицинских данных | - | Нет прямых совпадений для неприкосновенности частной жизни (не рассматривается в ОК) |
2 Ограничение использования и разглашения | - | Нет прямых совпадений для неприкосновенности частной жизни (не рассматривается в ОК) |
3 Доступ субъекта данных к личной информации и исправление недостоверных сведений | - | Нет прямых совпадений для неприкосновенности частной жизни (не рассматривается в ОК) |
4 Достоверность данных | Да | Защита данных пользователя. Целостность хранимых данных |
5 Идентификация и аутентификация пользователя | Да | Идентификация и аутентификация |
6 Управление доступом | Да | Доступ: политика контроля доступа, функции управления доступом |
7 Приемлемое использование | - | Нет прямых совпадений для неприкосновенности частной жизни (не рассматривается в ОК) |
8 Безопасность сеанса и время ожидания | Да | Доступ: блокировка и завершение сеанса |
9 Поддержка доступности данных | Да | Управление безопасностью |
10 Защита данных в ходе передачи | Да | Криптографическая поддержка: работа в режиме криптографической защиты |
11 Защита данных при хранении | Да | Защита данных пользователя |
12 Целостность данных. | Да | Защита данных пользователя: целостность хранимых данных |
13 Хранение записей | - | Нет прямых совпадений с категориями ОК |
14 Маркировка данных | Да | Доступ к объекту оценки |
15 Аудит | Да | Аудит безопасности |
16 Управление версиями программного обеспечения и документация | Да | Управление безопасностью |
17 Синхронизация времени и форматирование времени/даты | Да | Управление безопасностью |
18 Контроль инцидентов нарушения безопасности и конфиденциальности | - | Нет прямых совпадений с категориями ОК |
19 Цифровые сертификаты и электронно-цифровые подписи | Да | Криптографическая поддержка |