Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 28 декабря 2015 г. N 2217-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ
ЧАСТЬ 1
ОБЩИЕ СВОЙСТВА СЛУЖБ ЭЛЕКТРОННЫХ СЕРТИФИКАТОВ
Health informatics. Public key infrastructure. Part 1.
Overview of digital certificate services
ISO 17090-1:2013
Health informatics - Public key infrastructure - Part 1:
Overview of digital certificate services
(IDT)
ГОСТ Р ИСО 17090-1-2015
ОКС 35.240.80
Дата введения
1 ноября 2016 года
Предисловие
1 ПОДГОТОВЛЕН Федеральным государственным бюджетным учреждением "Центральный научно-исследовательский институт организации и информатизации здравоохранения Министерства здравоохранения Российской Федерации" (ЦНИИОИЗ Минздрава) и Федеральным бюджетным учреждением "Консультационно-внедренческая фирма в области международной стандартизации и сертификации "Фирма "ИНТЕРСТАНДАРТ" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 468 "Информатизация здоровья" при ЦНИИОИЗ Минздрава - постоянным представителем ISO ТС 215 (Росстандарт)
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 28 декабря 2015 г. N 2217-ст
4 Настоящий стандарт идентичен международному стандарту ИСО 17090-1:2013 "Информатизация здоровья. Инфраструктура открытых ключей. Часть 1. Общие свойства служб электронных сертификатов" (ISO 17090-1:2013 "Health informatics - Public key infrastructure - Part 1: Overview of digital certificate services").
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в справочном приложении ДА
5 ВВЕДЕН ВЗАМЕН ГОСТ Р ИСО/ТС 17090-1-2009
Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Перед сферой здравоохранения стоит задача сокращения расходов путем перехода от бумажной документации к автоматизированному электронному учету. Новые модели предоставления услуг в сфере здравоохранения особо подчеркивают необходимость обмена информацией о пациенте между все расширяющимся кругом медицинских специалистов, выходящим за рамки традиционных организационных барьеров.
Медицинская информация, касающаяся отдельных граждан, обычно передается с помощью электронной почты, доступа к удаленной базе данных, обмена данными в электронном виде и других приложений. Интернет является высокоэффективным и доступным средством обмена информацией, однако это также небезопасная среда, требующая принятия дополнительных мер для соблюдения секретности и конфиденциальности информации. Угроза разглашения медицинской информации вследствие несанкционированного доступа (случайного или преднамеренного) возрастает. Системе здравоохранения необходимо иметь надежные средства защиты информации, минимизирующие риск такого доступа.
Как же в сфере здравоохранения обеспечивается соответствующая надежная и эффективная защита при передаче данных через Интернет? Технологии инфраструктуры открытых ключей (ИОК) и электронных сертификатов позволяют найти подход к решению данной проблемы.
Правильное внедрение электронных сертификатов требует сочетания технологических, методических и административных процессов, обеспечивающих обмен конфиденциальными данными в незащищенной среде при использовании метода "шифрования с открытым ключом" для защиты информации при передаче и "сертификатов" для подтверждения идентичности человека или подлинности объекта. В сфере здравоохранения в данной технологии применяются аутентификация, шифрование и электронные подписи для облегчения конфиденциального доступа и передачи индивидуальных медицинских документов, что отвечает как клиническим, так и административным потребностям. Службы, предоставляемые в случае внедрения электронных сертификатов (включая шифрование, целостность информации и электронные подписи), удовлетворяют многим требованиям к системам безопасности. Особенно эффективным является использование электронных сертификатов в сочетании с официальным стандартом защиты информации. Многие организации во всем мире приступили к использованию электронных сертификатов для этой цели.
Функциональная совместимость технологии электронных сертификатов и поддерживающих ее политик, процедур и практических приемов имеет принципиальное значение, если обмен информации должен происходить между организациями и медицинскими учреждениями разной подведомственности (например, между больницей и районным терапевтом, работающими с одним и тем же пациентом).
Обеспечение функциональной совместимости между разными схемами электронных сертификатов требует создания системы доверия, при которой стороны, ответственные за неприкосновенность личной жизни, могут опереться на методики и практические приемы и, как дополнение, на подлинность электронных сертификатов, выданных другими уполномоченными органами.
Многие страны внедряют электронные сертификаты для поддержки безопасного обмена информацией в пределах своих национальных границ. Несовместимость методик и практических приемов между органами, издающими сертификаты, и регистрационными органами разных стран проявляется, если деятельность по разработке стандартов ограничена пределами национальных границ.
Технология электронных сертификатов находится в стадии активного развития по определенным направлениям, которые не ограничиваются только здравоохранением. Непрерывно проводится важнейшая работа по стандартизации и, в некоторых случаях, по правовому обеспечению. С другой стороны, поставщики медицинских услуг во многих странах уже используют или планируют использовать электронные сертификаты. Настоящий стандарт призван удовлетворить потребность в управлении данным интенсивным международным процессом.
Настоящий стандарт содержит общие технические, эксплуатационные и методические требования, которые должны быть удовлетворены при использовании электронных сертификатов для защиты обмена медицинской информацией в пределах одной сети, между сетями и за пределами границ одной юрисдикции. Его основной целью является создание основы для глобального взаимодействия. Он изначально предназначен для поддержки трансграничного обмена данными на основе электронных сертификатов, однако может также служить руководством для внедрения электронных сертификатов в сфере здравоохранения на национальном или региональном уровне. Интернет все шире используется как средство передачи медицинских данных между организациями здравоохранения и является единственным реальным вариантом для трансграничного обмена данными в этой области.
Все части настоящего стандарта следует рассматривать как единое целое, поскольку каждая из них вносит свой вклад в определение того, как электронные сертификаты могут быть использованы для обеспечения служб безопасности в сфере здравоохранения, включая аутентификацию, конфиденциальность, целостность данных и технические возможности поддержки качества электронной подписи.
ИСО 17090-1 определяет основные принципы использования электронных сертификатов в сфере здравоохранения и определяет структуру требований по функциональной совместимости, необходимых для создания системы защищенного обмена медицинской информацией на основе электронных сертификатов.
ИСО 17090-2 определяет специфичные для сферы здравоохранения профили электронных сертификатов на основе X.509, профиль которого определен в IETF/RFC 3280 для разных типов сертификатов.
В ИСО 17090-3 освещены проблемы управления, возникающие при внедрении и эксплуатации электронных сертификатов в сфере здравоохранения. В нем определены структура и минимальные требования к политикам сертификатов, а также структура сопутствующих отчетов по практическому применению сертификации. ИСО 17090-3 основан на рекомендациях IETF/RFC 3647 и определяет принципы защиты информации в сфере здравоохранения при трансграничном взаимодействии. В нем также определен необходимый минимальный уровень безопасности применительно к аспектам, специфичным для здравоохранения.
Комментарии по содержанию настоящего стандарта, а также комментарии, предложения и информация по его применению могут направляться в секретариат ИСО/ТК 215.
1. Область применения
Настоящий стандарт определяет основные понятия, связанные с использованием электронных сертификатов в сфере здравоохранения, и структуру требований по взаимной совместимости, необходимой для создания системы защищенного обмена медицинской информацией на основе электронных сертификатов. В нем также указаны основные стороны, обменивающиеся медицинской информацией, а также основные службы обеспечения безопасности, необходимые при обмене медицинской информацией, где могут потребоваться электронные сертификаты.
В настоящем стандарте представлены краткое введение в шифрование с открытым ключом и базовые компоненты, необходимые для внедрения электронных сертификатов в сфере здравоохранения. Кроме того, в нем определены разные типы электронных сертификатов: сертификаты идентичности участвующих сторон и связанные с ними сертификаты атрибутов, самоподписанные сертификаты удостоверяющего центра (УЦ), иерархии и связь структур удостоверяющих центров.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты (для датированных ссылок следует использовать указанное издание, для недатированных ссылок - последнее издание указанного документа, включая все поправки к нему):
ИСО 17090-2:2008 Информатизация здоровья. Инфраструктура открытых ключей. Часть 2. Профиль сертификатов (ISO 17090-2:2008, Health informatics - Public key infrastructure - Part 2: Certificate profile)
ИСО 17090-3:2008 Информатизация здоровья. Инфраструктура открытых ключей. Часть 3. Управление политикой органов сертификации (ISO 17090-3:2008, Health informatics - Public key infrastructure - Part 3: Policy management of certification authority)
3. Термины и определения
В настоящем стандарте также применены следующие термины с соответствующими определениями:
3.1. Термины сферы здравоохранения
3.1.1 приложение (application): Идентифицируемый и выполняемый компьютером программный процесс, владеющий закрытым ключом шифрования.
Примечания
1 Приложением в данном контексте может быть любой программный процесс, используемый в медицинских информационных системах, включая процессы, не имеющие прямого отношения к лечению или диагностике.
2 В некоторых юрисдикциях к приложениям могут быть отнесены регистрируемые медицинские устройства.
3.1.2 устройство (device): Идентифицируемое устройство или прибор, управляемый компьютером и владеющий закрытым ключом шифрования.
Примечания
1 Данный термин относится также к классу регистрируемых медицинских устройств, соответствующих данному выше определению.
2 Устройством в данном контексте является любое устройство, используемое в медицинских информационных системах, включая устройства, не имеющие прямого отношения к лечению или диагностике.
Для просмотра документа целиком скачайте его >>>