МЕЖГОСУДАРСТВЕННЫЙ СОВЕТ ПО СТАНДАРТИЗАЦИИ, МЕТРОЛОГИИ И СЕРТИФИКАЦИИ

(МГС)

INTERSTATE COUNCIL FOR STANDARDIZATION, METROLOGY AND CERTIFICATION

(ISC)

ГОСТ

ISO/TS 22600-3-

2013

Информатизация здоровья

УПРАВЛЕНИЕ ПРИВИЛЕГИЯМИ И КОНТРОЛЬ ДОСТУПА

Часть 3

Реализация

(ISO 22600-3:2009, ЮТ)

Издание официальное

Москва

Стандартинформ

2015

Предисловие

Цели, основные принципы и основной порядок проведения работ по межгосударственной стандартизации установлены ГОСТ 1.0-92 «Межгосударственная система стандартизации. Основные положения» и ГОСТ 1.2-2009 «Межгосударственная система стандартизации. Стандарты межгосударственные, правила и рекомендации по межгосударственной стандартизации. Правила разработки, принятия, применения, обновления и отмены»

Сведения о стандарте

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы», ФБУ «Консультационно-внедренческая фирма в области международной стандартизации и сертификации — «Фирма «ИНТЕРСТАНДАРТ» и Федеральным государственным учреждением «Центральный научно-исследовательский институт организации и информатизации здравоохранения Росздрава» (ЦНИИОИЗ Росздрава) на основе собственного аутентичного перевода на русский язык международного документа, указанного в пункте 5

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья» при ЦНИИОИЗ Минздрава — постоянным представителем ИСО ТК 215

3    ПРИНЯТ Межгосударственным советом по стандартизации, метрологии и сертификации (протокол от 5 ноября 2013 г. №61-П).

За принятие проголосовали:

Краткое наименование страны no МК (ИСО 3166) 004—97	Код страны по МК (ИСО 3166) 004—97	Сокращенное наименование национального органа по стандартизации
Армения	AM	Минэкономики Республики Армения
Беларусь	BY	Госстандарт Республики Беларусь
Киргизия	KG	Кыртызстандарт
Молдона	MD	Молдова-С тандарт
Россия	RU	Росстаидарт
Узбекистан	uz	Узстандарт

4    Приказом Федерального агентства по техническому регулированию и метрологии от 3 июня 2014 г. № 493-ст межгосударственный стандарт ГОСТ ISO/TS 22600-3—2013 введен в действие в качестве национального стандарта Российской Федерации с 1 июля 2015 г.

5    Настоящий стандарт идентичен международному стандарту ISO/TS 22600-3:2009 Health informatics — Privilege management and access control — Part 3: Implementations (Информатизация здоровья. Управление привилегиями и контроль доступа. Часть 3. Реализация).

Международный стандарт разработан Техническим комитетом Межгосударственной электротехнической комиссии \SOfTC 215 «Health informatics» (Информатизация здоровья).

Перевод с английского языка (еп).

Официальные экземпляры международного стандарта, на основе которого подготовлен настоящий межгосударственный стандарт, имеются в ФГУП «СТАНДАРТИНФОРМ».

Степень соответствия — идентичная (ЮТ)

6 ВВЕДЕН ВПЕРВЫЕ

3.28    список отозванных сертификатов (СОС) (certificate revocation list. CRL): Заверенный список сертификатов, которые издатель сертификатов считает недействительными.

Примечание — Наряду с СОС общего назначения могуг быть определены специфичные типы СОС для конкретных сфер применения. Существует опубликованный список приостановленных и отозванных сертификатов (заверенный электронной подписью центра сертификации).

3.29    порядковый номер сертификата (certificate serial number): Целочисленное значение, уникальное для данного центра сертификации, который может быть однозначно связан с выпущенным им сертификатом.

3.30    список приостановленных сертификатов (СПС) (certificate suspension list. CSL): Опубликованный список приостановленных сертификатов (заверенный электронной подписью центра сертификации).

3.31    пользователь сертификата (certificate user): Организация или лицо, которому необходимы точные данные публичного ключа другой организации или лица.

3.32    система применения сертификатов (certificate using system): Реализация тех функций, определенных в спецификации каталога, которые применяются пользователем сертификата.

3.33    подтверждение действительности сертификата (certificate validation): Процесс установления того, что на заданный момент сертификат является действительным, включая возможность создания и проверки пути сертификации и подтверждение того, что на этот момент времени все сертификаты данного пути действительны (т. е. не просрочены и не отозваны).

3.34    проверка сертификата (certificate verification): Проверка аутентичности сертификата.

3.35

3.35.1    орган сертификации (certification authority. СА): Уполномоченный орган, которому одна или несколько участвующих сторон доверили выпуск и присвоение сертификатов. Орган сертификации может факультативно генерировать ключи для доверяющих ему участников.

Примечание — Адаптация определения, приведенного о ISO/IEC 9594-8:2001.

3.35.2    орган сертификации (certification authority): Орган, выпускающий сертификаты, подписывая их своим секретным ключом.

Примечание — Слово «орган» в термине «орган сертификации» означает всего лишь доверенную сторону, а не какое-либо государственное лицензирование. Более удачным термином может быть «издатель сертификата*. но термин «орган сертификации» очень широко употребляется.

3.36    список отозванных центров сертификации (СОЦС) (certification authority revocation list. CARL): Список сертификатов открытого ключа, выпущенных для центров сертификации, которые издатель сертификатов считает недействительными.

3.37    путь сертификации (certification path): Упорядоченная последовательность сертификатов объектов в дереве информации каталога, которая может быть обработана с использованием открытого ключа первого объекта пути для получения последнего объекта пути.

3.38    шифротекст (ciphertext): Данные, получаемые в результате использования шифрования.

Примечание — Семантическое содержимое полученных в результате шифрования данных недоступно.

(ISO 7498-2:1989)

3.39    заявитель (claimant): Организация или лицо, запрашивающее у контролера выполнение или предоставление чувствительного сервиса в соответствии с привилегиями, указанными в его сертификате атрибута или в расширении атрибутов каталога субъекта его сертификата открытого ключа.

3.40    конфиденциальность (confidentiality): Свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неуполномоченным лицам, логическим объектам или процессам.

(ISO 7498-2:1989)

3.41    информированное согласие (consent): Специальная политика, определяющая соглашение между организацией или лицом, выступающим в роли субъекта действия, и организацией или лицом, выполняющим это действие.

3.42    удостоверение (credential): Информация, описывающая атрибуты безопасности (идентичность или привилегию, либо и то, и другое), являющаяся необходимым условием/предпосылкой для назначения на роль или соответствия требованиям к назначению на роль.

Примечание — Удостоверения предьявляются при аутентификации либо делегировании и используются системой контроля доступа.

4

ГОСТ ISO/TS 22600-3—2013

3.43    точка распространения СОС (CRL distribution point): Элемент каталога либо иной источник распространения СОС.

Примечание — СОС. распространяющийся такой точкой, может содержать только подмножество сертификатов. отозванных одним центром сертификации, а также отозванные сертификаты, выпущенные несколькими центрами сертификации.

3.44    криптография (cryptography): Дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого либо предотвращения их не обнаруживаемой модификации или несанкционированного использования.

(ISO 7498-2:19891

3.45    криптографический алгоритм, шифр (cryptographic algorithm, cipher): Метод преобразования данных для сокрытия их информационного содержимого либо предотвращения их не обнаруживаемой модификации или несанкционированного использования.

(ISO 7498-2:1989]

3.46    криптографическая система, криптосистема (cryptographic system, cryptosystem): Совокупность преобразований из обычного текста в шифротекст и обратно, конкретные преобразования, применяемые в зависимости от ключей.

Примечание — Преобразования обычно задаются математическим алгоритмом.

3.47    служба конфиденциальности данных (data confidentiality): Служба, которая может использоваться для защиты данных от несанкционированного раскрытия.

Примечание — Служба конфиденциальности опирается на систему аутентификации. Она может использоваться для защиты данных от перехвата.

3.48    целостность данных (data integrity): Способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа.

(ISO 7498-2:1989]

3.49    аутентификация источника данных (data origin authentication): Подтверждение, что источник полученных данных именно тот, который объявлен.

(ISO 7498-2:1989]

3.50    дешифрование, дешифрация (decipherment, decryption): Процесс получения исходных данных из шифротекста.

Примечания

1    Шифротекст мог бытытовтормо зашифрован, и однократная расшифровка может не привести к получению исходных незашифрованных данных.

2    Адаптация определения из ISO/IEC 2382-8:1998.

3.51    делегирование (delegation): Передача привилегии от ее обладателя другому субъекту.

3.52    путь делегирования (delegation path): Упорядоченная последовательность сертификатов, которая может быть обработана наряду с аутентификацией идентичности заявителя привилегий для проверки аутентичности его привилегий.

3.53    разностный СОС (рСОС) (delta CRL, dCRL): Частичный список отозванных сертификатов, в котором перечислены только те сертификаты, чье состояние отзыва изменилось с момента выпуска базового СОС.

3.54    электронная подпись (digital signature): Электронная подпись — дополнительные данные или криптографическое преобразование (см. криптография) какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, получателя.

(ISO 7498-2:1989]

3.55    шифрование, шифрация (encipherment, encryption): Криптографическое преобразование данных (см. криптография) для получения шифротекста.

(ISO 7498-2:1989]

3.56    конечный субъект (end entity): Субъект сертификата, использующий свой секретный ключ для иных целей, нежели подпись сертификата, или доверяющий субъект.

3.57    список отзыва сертификатов атрибута конечных субъектов (САКС) (end-entity attribute certificate revocation list. EARL): Список отозванных сертификатов атрибута, признанных недействительными издателем сертификатов и выпущенных для владельцев сертификатов, не являющихся органами по присвоению атрибутов.

5

3.58    список отзыва сертификатов открытого ключа конечных субъектов (СОКС) (end-entity public key certificate revocation list, EPRL): Список отозванных сертификатов открытого ключа, выпущенных для владельцев сертификатов, не являющихся центрами сертификации, и признанных недействительными издателем сертификатов.

3.59    переменные среды (environmental variables): Положения политики, требуемые для принятия решений об авторизации, которые не входят в статические структуры, но могут быть предоставлены контролеру привилегий с помощью местных средств (например, время суток или текущий баланс счета).

3.60    полный СОС (full CRL): Полный список отозванных сертификатов, в котором перечислены все сертификаты, отозванные в определенной сфере действия.

3.61    функциональная роль (functional role): Роль, связанная с действием, которая может быть назначена для выполнения в процессе этого действия.

Примечания

1    Функциональные роли соответствуют понятию участия, определенного о справочной информационной модели RIM (Reference Information Model).

2    Адаптация определения из стандарта ISO/TS 21298:2008.

3    См. также структурную роль (3.105).

3.62    функция хэширования (hash function): Функция (математическая), которая отображает значения из большого домена (возможно, очень большого) на меньший диапазон значений.

Примечание — Функция хэширования считается «хорошей», если результат ее применения к значениям из (большого) подмножества домена равномерно (и практически случайным образом) распределяется по меньшему диапазону значений.

3.63    владелец (holder): Организация или лицо, которому делегированы некоторые привилегии либо непосредственно источником авторизации, либо косвенным образом другим органом по присвоению атрибутов.

3.64    идентификация (identification): Выполнение тестов, позволяющих системе обработки данных опознать субъект.

[ISO/IEC 2382-8:1998)

3.65    идентификатор (identifier): Информационный объект, используемый для объявления идентичности перед тем как получить подтверждение соответствия от определенного аутентификатора.

(ENV 13608-1:2007)

3.66    косвенный СОС (кСОС) (indirect CRL, iCRL): Список отозванных сертификатов, содержащий информацию об отзыве сертификатов, выпущенных органами, отличающимися от того, который выпустил этот список.

3.67    целостность (integrity): Свойство информации, согласно которому она случайно или преднамеренно не изменена.

(ISO 7498-2:1989)

3.68    ключ (key): Последовательность символов, управляющая операциями шифрования и дешифрования.

[ISO 7498-2:1989)

3.69    соглашение о ключе (key agreement): Метод соглашения о значении ключа без передачи значения ключа, даже в зашифрованной форме, например алгоритм Диффи-Хеллмана.

Примечани е — Дополнительную информацию о механизмах соглашения о ключе см. в ISO/1EC 11770-1.

3.70    управление ключами (key management): Генерация, сохранение, распределение, удаление, архивирование и применение ключей в соответствии с политикой безопасности.

(ISO 7498-2:1989)

3.71    протокол LDAP (Lightweight Directory Access Protocol. LDAP — облегченный протокол доступа к каталогам): Стандартный протокол доступа к каталогам, обеспечивающий публичный или контролируемый доступ к сертификатам и к другой информации, необходимой для инфраструктуры открытых ключей.

3.72    неоспоримость (non-repudiation): Услуга, обеспечивающая каждой из участвующих сторон доказательство целостности и происхождения данных (неразрывно друг от друга).

3.73    объектный идентификатор (ОИД) (object identifier, OID): Уникальный алфавитно-цифро-вой/цифровой идентификатор, зарегистрированный в соответствии со стандартом регистрации идентификаторов ISO и присвоенный конкретному объекту или классу объектов.

ГОСТ ISO/TS 22600-3—2013

Примечание — Объектный идентификатор служит именем политики сертификации, которое записано в поле каждого сертификата, выпущенного в соответствии с этой политикой.

3.74    метод объекта (object method): Действие, которое может быть осуществлено с ресурсом.

Пример — Файловая система может читать и записывать данные объекта, а также выполнять ого методы.

3.75    односторонняя функция (one-way function): Легко вычисляемая (математическая) функция. для которой по значению у в диапазоне возможных значений вычислительно сложно найти такое входное значение х. для которого f{x) = у.

Примечание — Может существовать небольшое число значений у, для которых поиск х не будет вычислительно сложным.

3.76    разрешение (permission): Разрешение выполнения операции над одним или несколькими объектами, защищенными в соответствии с ролевым управлением доступом.

3.77    политика (policy): Комплекс юридических, методических, организационных, функциональных и технических обязательств или запретов по обмену информацией и совместной деятельности.

3.78    соглашение о политиках (policy agreement): Письменное соглашение, в котором все участвующие стороны обязуются придерживаться определенного комплекса политик.

3.79    точка принятия решения о политике (ТРП) (policy decision point. PDP): Системный объект, выбирающий применяемую политику и предоставляющий решение об авторизации.

Примечания

1    Этот термин имеет иное определение в документе RFC 3198 [45].

2    Этот термин соответствует термину «Access Decision Function» (ADF. функция принятия решения о доступе). определенному в ISO 10181 -3:1996.

3.80    точка применения политики (ТПП) (policy enforcement point, PEP): Системный объект, выполняющий контроль доступа путем запросов на принятие решения о доступе и применения решений об авторизации.

Примечания

1    Это определение термина дано совместно рабочей группой Policy Framework Working Group организации IETF и рабочей группой DMTF/CIM (Distributed Management Task Force/Common Information Model) в документе RFC 3198.

2    Этот термин соответствует термину «Access Enforcement Function» (AEF. функция применения решения о доступе), определенному в IS010181-3:1996.

3.81    отображение политик (policy mapping): При условии, что центр сертификации (ЦС). действующий в одном домене, сертифицирует ЦС, действующий в другом домене, конкретная политика, определенная во втором домене, может считаться уполномоченным органом первого домена эквивалентной (но не обязательно идентичной во всех отношениях) некоторой политике, определенной в первом домене.

3.82    принципал (principal): Действующее лицо, способное реализовать определенные сценарии (пользователь, организация, система, устройство, прикладная программа, компонент, объект).

3.83    секретный ключ (private key): Ключ, используемый в асимметричном криптографическом алгоритме, обладание которым ограничено (обычно только одним субъектом).

[ISO/IEC 10181-1:1996]

3.84    привилегия (privilege): Право, предоставленное субъекту уполномоченным органом в соответствии с атрибутом этого субъекта.

3.85    заявитель привилегии (pnvilege asserter): Обладатель привилегии, использующий свой сертификат атрибута или сертификат открытого ключа для заявления о наличии привилегии.

3.86    инфраструктура управления привилегиями (ИУП) (privilege management infrastructure. PMI): Инфраструктура, способная поддерживать функцию управления привилегиями для обеспечения развитой службы авторизации во взаимодействии с инфраструктурой открытых ключей.

3.87    политика привилегий (privilege policy): Политика, описывающая условия, при которых контролер привилегий может предоставить/выполнить защищенный сервис в интересах заявителя привилегии.

Примечание — Политика привилегий определяется в терминах атрибутов, ассоциированных с сервисом. и атрибутов, ассоциированных с заявителем привилегии.

7

ГОСТ ISO/TS 22600-3—2013

3.88    контролер привилегий (pnvilege verifier): Субъект, подтверждающий соответствие сертификатов политике привилегий.

3.89    открытый ключ (public key): Ключ, используемый в асимметричном криптографическом алгоритме и допускающий его общедоступную реализацию.

(ISO/IEC 10181-1:1996]

3.90    сертификат открытого ключа (public key certificate. РКС): Сертификат открытого ключа (СОК), соответствующий стандарту Х.509 [Х.509], обеспечивающий связь идентичности с открытым ключом.

Примечание — Идентичность может быть использована для обеспечения принятия решений системой контроля доступа, основанной на использовании идентификации, которой клиент предоставляет доказательство обладания секретным ключом, соответствующим открытому ключу, содержащемуся в сертификате открытого ключа.

3.91    инфраструктура открытых ключей (ИОК) (public key infrastructure. PKI): Инфраструктура, используемая в отношениях между владельцем ключа и доверяющей стороной и позволяющая доверяющей стороне использовать сертификат, связанный с владельцем ключа по меньшей мере для одного приложения, использующего сервис безопасности, зависящий от открытого ключа.

Примечание — 8 ИОК входят центр сертификации, структура данных сертификата, средства, позволяющие доверяющей стороне получить текущую информацию о состоянии отзыва сертификата, политика сертификации и методы проверки практики сертификации.

3.92    доверяющая сторона (relying party): Получатель сертификата, доверяющий этому сертификату или электронной подписи, проверенной с помощью этого сертификата.

3.93    роль (role): Комплекс способностей и/или действий, связанный с выполнением работы.

Примечание — Для управления ролью могут быть определены связи между субъектами, структурными и функциональными ролями [ISO/TS 21298:2008].

3.94    сертификат назначения роли (role assignment certificate): Сертификат, содержащий атрибут роли, назначающий одну или более ролей владельцу сертификата.

3.95    сертификат роли (role certificate): Сертификат, назначающий привилегии роли, а не напрямую какому-либо лицу.

Примечание — Лица, которым назначена данная роль с помощью сертификата атрибута или сертификата открытого ключа, в котором это назначение указано в дополнении Subject Directory Attributes, косвенно обладают привилегиями, назначенные сертификатом роли.

3.96    сертификат спецификации роли (role specification certificate): Сертификат, содержащий назначение привилегий роли.

3.97    чувствительность (sensitivity): Характеристика ресурса с позиции его ценности или важности.

3.98    безопасность (security): Состояние защищенности, при котором обеспечиваются доступность, конфиденциальность, целостность и учетность.

3.99

3.99.1    политика безопасности (security policy): Утвержденный план или способ действий по обеспечению информационной безопасности.

[ISO/IEC 2382-8:1998]

3.99.2    политика безопасности (security policy): Свод правил, составленный уполномоченным органом по безопасности, регулирующий использование и предоставление сервисов и средств безопасности.

3.100    сервис безопасности (secunty service): Сервис, предоставляемый каким-либо уровнем взаимодействия открытых систем, который обеспечивает адекватную защиту систем или процедур передачи данных.

[ISO 7498-2:1989]

3.101    простая аутентификация (simple authentication): Аутентификация, основанная на применении паролей.

3.102    источник полномочий (source of authority, SoA): Орган по присвоению атрибутов, которому контролер привилегий доступа к определенному ресурсу доверяет как единственному лицу, уполномоченному назначать набор привилегий, либо специальный вид такого органа, которому контролер неограниченно доверяет.

8

ГОСТ ISO/TS 22600-3—2013

Примечание — Контролер доверяет источнику привилегий делегировать свою привилегию владельцам сертификатов, часть из которых, в свою очередь, могут делегировать ее другим владельцам сертификатов.

3.103    усиленная аутентификация (strong authentication): Аутентификация с помощью удостоверений. созданных с помощью криптографических методов.

3.104    структурная роль (structural role): Структурные роли описывают отношения между субъектами вчасти компетенции (роли, определенные в модели RIM). Они нередко отражают организационные или структурные отношения (иерархии).

(ISO/TS 21298:2008)

Примечание — См. определение функциональной роли (3.61).

3.105    цель(1агде1): Ресурс, к которому субъект запрашивает доступ.

Примечание — Чувствительность цели моделируется в данном документе как набор атрибутов, описанный либо нотацией ASN.1, либо в форме элементов на языке XML

3.106    доверие (trust): Качество, при наличии которого о субъекте говорят, что он «оказывает доверие» другому субъекту, т. е. он (первый субъект) предполагает, что второй субъект будет действовать в полном соответствии с ожиданиями первого субъекта.

Примечание — Понятие доверия может относиться только к некоторой специфичной функции. Ключевая роль доверия в данном контексте состоит в описании отношений между аутентифицирующимся субъектом и уполномоченным органом, субъект должен быть уверен, что он может доверять тому, что уполномоченный орган создает только валидные и надежные сертификаты.

3.107    третья сторона (third party): Сторона, выполняющаяся определенную функцию безопасности какчасть протокола обмена данными, но не являющаяся ни создателем, ни получателем данных.

3.108    доверенная третья сторона (ДТС) (trusted third party. ТТР): Третья сторона, которая при реализации протокола безопасности считается доверенной.

Примечание — Этот термин используется во многих стандартах ISO/IEC и в других документах, которые. в основном, описывают сервисы ЦС. Однако это понятие шире и включает в себя такие сервисы как штампы времени и. возможно, депонирование ключей. Третьи доверенные стороны обеспечивают базовые сервисы, инфраструктурные сервисы и дополнительные сервисы.

3.109    контролер (verifier): Субъект, ответственный за выполнение или предоставление чувствительного сервиса квалифицированным заявителям или за получение сервиса от таких заявителей.

Примечание — Контролер применяет политику привилегий. При проверке пути сертификации контролер является доверенной стороной определенного типа.

4 Список сокращений

В этом списке приведены сокращения, использованные в настоящем стандарте.

АА — орган по присвоению атрибутов (Attribute Authority):

AARL — список отзыва органов по присвоению атрибутов (Attribute Authonty Revocation List):

ACI — информация контроля доступа (Access Control Information):

ACRL — список отзыва сертификатов атрибута (Attribute Certificate Revocation List);

ADF    — функция принятия решения о доступе (Access Decision Function):

ADI — информация о решении контроля доступа (Access Control Decision Information):

AEF    — функция применения решения о доступе (Access Enforcement Function);

ANSI — Американский национальный институт стандартов (Amencan National Standards Institute): ARL — список отзыва уполномоченных органов (Authority Revocation List):

CA    — центр сертификации (Certification Authonty);

CARL — список отзыва центров сертификации (Certification Authonty Revocation List);

CIM — общая информационная модель (Common Information Model):

CORBA — общая архитектура брокера объектных запросов (Common Object Request Broker Architecture):

CRL — список отзыва сертификатов (Certificate Revocation List);

dCRL — разностный список отзыва сертификатов (Delta Certificate Revocation List);

DAP — протокол доступа к каталогам (Directory Access Protocol);

9

Информация об изменениях к настоящему стандарту публикуется в ежегодном информационном указателе « Национальные стандарты», а текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячном информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2015

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

III

ГОСТ ISO/TS 22600-3—2013

Содержание

1    Область применения...................................................1

2    Нормативные ссылки..................................................1

3    Термины и определения................................................2

4    Список сокращений....................................................9

5    Структуры и сервисы управления привилегиями и контроля доступа....................10

6    Интерпретация формальных моделей, определенных в ISO/TS 22600-2. для сферы

здравоохранения .................................................... 13

7    Представление понятий в информационных системах здравоохранения.................13

8    Согласие.........................................................17

9    Экстренный доступ...................................................17

10    Детализация модели контроля доступа.....................................18

11    Детализация модели делегирования.......................................18

Приложение А (справочное) Инфраструктура управления привилегиями..................19

Приложение В (справочное) Расширения структуры сертификата атрибута................48

Приложение С (справочное) Сравнение терминологии.............................50

Приложение D (справочное) Примеры управления политикой и представления политики........51

Приложение ДА (справочное) Сведения о соответствии ссылочных межгосударственных

стандартов международным стандартам (международным документам)........54

Библиография........................................................55

IV

ГОСТ ISO/TS 22600-3—2013

Введение

В лечебно-профилактических учреждениях нередко внедряются информационные системы разных поставщиков, каждая из которых требует от пользователя отдельной аутентификации и авторизации доступа, поскольку они реализуют эти функции по-разному. Интеграция этих функций требует значительных затрат на взаимные отображения сведений о пользователях и организациях. В такой ситуации ресурсы, необходимые для разработки и эксплуатации функций обеспечения безопасности, растут в геометрической прогрессии с увеличением числа информационных систем.

С другой стороны, если посмотреть на авторизацию с позиции учреждения здравоохранения, то будет очевидна потребность в гибкой модели ее реализации, поскольку в учреждениях постоянно происходят изменения. Одни подразделения закрываются, другие создаются, третьи объединяются.

Ситуация становится еще более сложной, когда для взаимодействия требуется пересечение периметров зон с разными политиками безопасности. Для преодоления различий между этими политиками необходимы взаимные соглашения о политиках между сторонами, обеспечивающими безопасность.

Другая сложность заключается в назначении пользователям функциональных и структурных ролей. В то время как пользователь может иметь две или более структурные роли одновременно, в конкретном запросе информации он может выступать в единственной функциональной роли. Политика определяет отношения между несколькими функциональными ролями, назначенными пользователю, включая отношения группировки, иерархии, комплексных структурных ролей, упорядоченности функциональных ролей и недопустимости определенных сочетаний ролей. Например, если врач общей практики является также и психиатром, то в политике может быть указано, что рол ь психиатра может сочетаться с другими структурными ролями со схожими привилегиями, что роль психиатра наследует привилегии, назначенные роли врача общей практики, что создается новая комплексная структурная роль или что эти две структурных роли не могут сочетаться. Примером ограничения последовательного выполнения функциональных ролей может служить конфликт обязанностей, который может быть запрещен действующим законодательством (например, лицо, получающее возмещение оплаты оказанной ему медицинской помощи, не имеет право подписывать платеж этого же возмещения). Кроме того, в организации здравоохранения могут быть определены различные должностные обязанности, учитывающие роли и деятельность пользователей. В разных странах или в разных условиях оказания медицинской помощи аналогичным категориям пользователей могут назначаться разные типы или уровни авторизации выполнения конкретных функций или доступа к информации.

Другой не менее важный и актуальный вопрос — как повысить качество обслуживания, используя информационные технологии (ИТ), не нарушая при этом права личности пациента. Чтобы врачи могли получать наиболее адекватную информацию о пациенте, необходимо иметь что-то вроде «виртуальной электронной медицинской карты», которая позволяет регистрировать всю медицинскую помощь, оказанную пациенту, независимо от того, где и кем она документировалась. При таком подходе необходима общая модель авторизации доступа или специальное соглашение об авторизации между сторонами, обеспечивающими безопасность.

Кроме необходимости учета многообразия ролей и обязанностей, типичного для любой крупной организации, решающее значение могут иметь и другие критичные аспекты медицинской помощи, например, этические или юридические, обусловленные особенностями используемой информации.

Необходимость в строго ограниченной авторизации актуальна и сейчас, но будет существенно возрастать в ближайшие пару лет в связи с ростом числа актов обмена информацией между прикладными программами, необходимых для удовлетворения потребностей врачей в получении все большего и большего объема информации о пациенте в целях обеспечения высокого качества и эффективности лечения.

За последнее десятилетие произошли заметные изменения в части сервисов информационной безопасности прикладных программ и передачи данных. Далее указаны некоторые факторы, способствующие этим изменениям:

-    переход от централизованных систем на базе больших компьютеров к распределенным системам на базе местных вычислительных ресурсов:

-    все бол ьше данных хранится в информационных системах, и тем ценнее они для пользователей;

-    пациенты становятся все более мобильными, и их медицинские данные требуются в разных местах пребывания.

Вследствие необходимости защиты персональных данных, требуемой для исключения нежелательных личных и социальных последствий, эти изменения влекут за собой повышение требований к средствам защиты передачи и обработки медицинских данных. Эта защита должна распространяться как на обмен информацией, так и на ее обработку. Что касается таких механизмов защиты передачи дан-

ных как аутентификация, целостность, конфиденциальность, доступность, отчетность (включая ведение аудита и неоспоримость), а также службы удостоверения, то первый упомянутый механизм, а именно, аутентификация, критичен для большей части остальных механизмов. Это справедливо и по отношению к безопасности обработки данных, где необходимы управление доступом, целостность, конфиденциальность. доступность, мониторинг действий, аудит и службы удостоверения.

Применение данного стандарта будет вызывать особую сложность в связи с тем. что участвующие стороны уже располагают действующими системами и не проявят особого желания немедленно обновить их или полностью заменить. Поэтому очень важно, чтобы стороны подписали соглашение о политике, в котором они подтверждают намерение к движению в сторону применения настоящего стандарта по мере возникновения потребности в модификации этих систем.

Соглашение о политике должно также содержать описание выявленных различий в системах обеспечения информационной безопасности и согласованных мер по их преодолению. Например, при аутентификации права и обязанности одной стороны, запрашивающей доступ к информации другой стороны, должны обеспечиваться в соответствии с согласованной политикой, записанной в соглашении между сторонами. Для решения этой задачи необходимо обеспечить соответствующую группировку и классификацию как пользователей и поставщиков информации и информационных услуг, так и самой информации и предоставляемых услуг. Такая классификация может служить основой для применения механизмов обработки требований доступа, категорирования информации и информационных услуг, а также механизмов описания политик контроля доступа и управления ими. Если все взаимодействующие стороны не видят каких-либо угроз, взаимодействие существующих систем и обмен информацией можно начинать сразу же после подписания соглашения о политике контроля доступа. Если угрозы настолько существенны, что их надо исключить до начала обмена информацией, то эти угрозы надо описать в соглашении о политике контроля доступа и добавить к нему перечень мероприятий по устранению угроз. Соглашение должно содержать график выполнения этих мероприятий и определить способ их финансирования.

Процесс документирования очень важен и служит основой для выработки соглашения о политике контроля доступа. Настоящий стандарт состоит из трех частей:

-    Часть 1: Обзор и управление общей политикой, содержащая описание сценариев и критичных характеристик трансграничного обмена информацией. В ней также приводятся примеры необходимых методов документирования, которые должны послужить основой соглашения о политике контроля доступа.

-    Часть 2: Формальные модели, содержащая более детальные описания архитектуры и моделей привилегий и управления привилегиями, реализуемых для обеспечения защиты совместного доступа к информации. Эти описания, дополнены примерами шаблонов соглашенийо политике контроля доступа.

-    Часть 3: Применение, содержащая более детальные описания реализуемых спецификаций механизмов безопасности обработки данных и инфраструктурных служб, использующие разные языки спецификации.

Настоящий стандарт представляет принципы и описывает сервисы, необходимые для управления привилегиями и контроля доступа. Криптографические протоколы не входят в область его применения.

Данная часть стандарта ISO/TS 22600 тесно связана с другими международными стандартами в этой предметной области, например. ISO/TS 17090. ISO/TS 21091 и ISO.TC 21298.

Данную часть стандарта ISO/TS 22600 следует рассматривать в сочетании с полным комплектом связанных стандартов.

Распределенная архитектура совместно используемых медицинских информационных систем, которая постепенно становится сервис-ориентированной и обеспечивающей ведение персональных медицинских записей, все в большей степени основана на применении вычислительных сетей. Благодаря ощутимым выгодам для пользователей применение стандартизованных интерфейсов пользователя, инструментальных средств и протоколов, обеспечивающее платформенную независимость предлагаемых решений, становится все более популярным, что за пару последних лет привело к ощутимому росту числа действительно открытых информационных систем, предназначенных для функционирования в корпоративных вычислительных сетях и в частных виртуальных сетях.

Настоящий стандарт предназначен для обеспечения потребности совместной обработки медицинской информации самостоятельными медицинскими работниками, организациями здравоохранения. медицинскими страховыми организациями, их пациентами, персоналом и контрагентами.

В настоящем документе учтена возможность запросов как со стороны физических лиц, так и со стороны информационных систем.

Стандарт ISO/TS 22600 описывает методы управления авторизацией и контролем доступа к данным или к функциям. В нем предусмотрена интеграция политик. В его основу положена концептуальная

VI

ГОСТ ISO/TS 22600-3—2013

модель, в соответствии с которой местные серверы управления авторизацией и трансграничный сервер каталога участвуют в контроле доступа кразличным приложениям (программным компонентам). Сервер каталога предоставляет информацию о правилах доступа к различным прикладным функциям в зависимости от ролей и других атрибутов, назначенных отдельному пользователю. Разрешение доступа зависит от следующих аспектов:

-    аутентифицированная идентификация пользователя;

-    правила доступа, связанные со специфичным информационным объектом:

-    правила, использующие атрибуты авторизации, назначенные пользователю и предоставляемые сервером управления авторизацией:

-    функции специфичного приложения.

Настоящий стандарт может использоваться в широких масштабах от местного до регионального или национального применения. Одним из ключевых моментов такого применения должны быть организационные критерии в сочетании с профилями авторизации, согласованными между запрашивающей и предоставляющей стороной в письменном соглашении о политике.

В настоящем стандарте предусмотрена возможность взаимодействия нескольких авторизующих сторон, которые могут функционировать более чем в одной организации или в сфере действия политики.

Такое взаимодействие регламентируется соглашением о политике, подписанным всеми участвующими сторонами и создающим базовую платформу для их деятельности.

В качестве платформы соглашения о политике предлагается определенный формат ее документирования, позволяющий получить сопоставимую документацию от всех сторон, участвующих в обмене информацией.

Для определения необходимых моделей ограничений сконструирована трехмерная архитектурная модель, основанная на уже упомянутом процессе унификации. Размерностями этой Общей компонентной модели служат ось предметной области, ось композиции/декомпозиции и ось. описывающая общее представление о системе и ее компонентах. Чтобы такая модель была развиваемой, устойчивой, гибкой, переносимой и масштабируемой, представлены только процесс ограничений и полученные в его результате метамодели, относящиеся к информационной безопасности. Конкретизация и реализация модели, например, описание механизмов контроля доступа и определения необходимых справочников и классификаторов, представляют собой длительный процесс, который должен найти свое отражение в других стандартах и проектах, инициируемых производителями и поставщиками.

После краткого обзора основ, изложенных в стандарте ISO/TS 22600-2. будут обсуждены различные способы представления разных уровней зрелости с разными уровнями интероперабельности, не достигающими идеала семантической интероперабельности.

Для таких разных условий и уровней настоящий стандарт описывает примеры конкретизации и применения формальных высокоуровневых моделей архитектурных компонентов, основанных на стандарте ISO/IEC 10746 и определенных в стандарте ISO/TS 22600-2. Эти примеры и описания соответствующих сервисов сгруппированы в отдельных приложениях.

Определения даются на языках SAML (Security Assertion Markup Language — язык разметки объявлений безопасности) и XACML (extensible Access Control Markup Language — расширяемый язык разметки контроля доступа), сконструированных организацией OASIS на базе расширяемого языка разметки XML (extensible Markup Language). Дополнительные определения представлены с использованием традиционного синтаксиса Абстрактной синтаксической нотации ASN. 1.

Настоящий стандарт в существенной мере гармонизирован со стандартом ASTM Е2595-07.

VII

МЕЖГОСУДАРСТВЕННЫЙ СТАНДАРТ

Информатизация здоровья УПРАВЛЕНИЕ ПРИВИЛЕГИЯМИ И КОНТРОЛЬ ДОСТУПА Часть 3 Реализация

Health informatics. Privilege management and access control. Part 3. Implementations

Дата введения — 2015—07—01

1    Область применения

Настоящий стандарт конкретизирует требования к хранилищам политик контроля доступа и требования к инфраструктуре управления привилегиями в сфере информационных систем здравоохранения. В нем предложены примеры применения формальных моделей, описанных в стандарте ISO/TS 22600-2.

Настоящий документ тесно связан с другими документами, разрабатываемыми Техническим комитетом 215 ISO, например, ISO 17090, ISO 22857 и ISO/TS 21091. Он также связан со стандартом ISO/TS 21298.

Настоящий стандарт не содержит платформенно-зависимых деталей и других деталей применения. В нем не специфицированы технические сервисы безопасности передачи данных, методы аутентификации и протоколы, описанные в других стандартах, например. ISO 7498-2, ISO/IEC 10745 (ITU-T Х.803), ISO/IEC TR 13594 (ITU-T X.802). ISO/IEC 10181-1 (ITU-T X.810), ISO/IEC 9594-8 «Основы аутентификации» (эквивалентен стандарту ITU-T Х.509), ISO/IEC 9796, ISO/IEC 9797 и ISO/IEC 9798.

Стандарт ISO/TS 22600 определяет службы управления привилегиями и контроля доступа, требуемые для передачи и использования распределенной медицинской информации между организациями здравоохранения и периметрами безопасности В стандарте ISO/TS 22600 описаны принципы построения и спецификации служб, необходимых для управления привилегиями и контроля доступа. Он описывает необходимые понятия, связанные с использованием компонентов, и предназначен для обеспечения их технической реализации. Стандарт не содержит указаний по применению этих понятий в конкретных лечебно-диагностических процессах и не касается вопросов безопасности пациентов, связанных с их применением.

В то время как стандарт ISO/TS 22600-1 содержит общее описание проблемы согласования политик в контексте обмена данными между организациями и совместного использования этих данных, стандарт ISO/TS 22600-2 определяет общий процесс анализа, конструирования, реализации и семантической гармонизации информационных систем здравоохранения. Сервисы информационной безопасности, необходимые для выполнения юридических, социальных, организационных, пользовательских, функциональных и технических требований, должны быть встроены в развитую и устойчивую архитектуру систем, отвечающую парадигме информационной безопасности.

2    Нормативные ссылки

Для применения настоящего стандарта необходимы приводимые далее ссылочные документы. Для датированных ссылок применяют только указанное издание ссылочного документа, для недатированных ссылок применяют последнее издание ссылочного документа (включая все его изменения)

Издание официальное

ISO 8601:2004. Data elements and interchange formats — Information interchange — Representation of dates and times (Элементы данных и форматы обмена. Информационный обмен. Представление дат и времени)

ISO/IEC 9594-8:2001. Information technology — Open Systems Interconnection — The Directory: Public-key and attribute certificate frameworks (Информационная технология. Взаимодействие открытых систем. Каталог: платформы открытых ключей и атрибутов сертификата)

ISO/IEC 10181-3:1996, Information technology — Open Systems Interconnection — Security frameworks for open systems: Access control framework (Информационная технология. Взаимодействие открытых систем. Платформы безопасности для открытых систем. Платформа управления доступом) ISO/TC 21298:2008. Health informatics — Functional and structural roles (Информатизация здоровья. Функциональные и структурные роли)

ASTM Е2595-07, Standard Guide for Privilege Management Infrastructure (Стандартное руководство по инфраструктуре управления привилегиями)

ASTM Е1762-07, Standard Guide for Electronic Authentication of Healthcare Information (Стандартное руководство no электронной аутентификации информации в здравоохранении)

ASTM Е1986-98, Standard Guide for Information Access Privileges to Health Information (Стандартное руководство no привилегиям информационного доступа к медицинской информации)

ASTM Е2212-02а. Standard Practice for Healthcare Certificate Policy (Общепринятая практика для политики сертификатов в здравоохранении)

OASIS, extensible Access Control Markup Language (XACML) v2 0. February 2005 (Расширяемый язык разметки по управлению доступом)

OASIS, XACML Profile for Role Based Access Control (RBAC): Committee Draft 01 (normative: 13 February 2004) (Профиль управления ролевым доступом в языке XACML)

OASIS, Security Assertion Markup Language (SAML), Version 2.0. March 2005 OASIS 200306, Service Provisioning Markup Language (SPML), VI .0. October 2003 (Язык разметки для объявлений безопасности)

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    контроль доступа (access control): Средства, с помощью которых ресурсы системы обработки данных предоставляются только авторизованному субъекту в соответствии с установленными правами на доступ. (ISO/IEC 2382-8:1998]

3.2    функция принятия решения о доступе (access control decision function, ADF): Специализированная функция, применяющая правила политики контроля доступа к требуемому действию для принятия решения о доступе.

3.3    функция применения решения о доступе (access control enforcement function, AEF): Специализированная функция, обеспечивающая запрашивающей стороне доступ к требуемому ресурсу в соответствии с решением, принятым функцией принятия решения о доступе.

3.4    информация, используемая для управления доступом (access control information): Любая информация, используемая для целей контроля доступа, в том числе контекст.

3.5    учетность (accountability): Свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.

(ISO 7498-2:1989)

3.6    асимметричный алгоритм шифрования (asymmetric cryptographic algonthm): Алгоритм, используемый для шифрования и расшифрования информации, в котором ключи шифрования и расшифрования различаются.

(ISO/IEC 10181-1:1996]

3.7    орган по присвоению атрибутов, ОА (attribute authority, АА): Уполномоченное лицо, назначающее привилегии путем выдачи сертификатов атрибута.

(ISO/IEC 9594-8:2001]

3.8    список отозванных сертификатов органов по присвоению атрибутов (attribute authority revocation list, AARL): Список отозванных сертификатов, содержащий ссылки на сертификаты, выпущенных для ОА, которые признаны недействительными центром сертификации.

3.9    сертификат атрибута (attribute certificate): Информационный объект, содержание которого заверено цифровой подписью ОА, привязывающий некоторые значения атрибута к идентификации его владельца.

(ISO/IEC 9594-8:2001]

2

ГОСТ ISO/TS 22600-3—2013

3.10    список отозванных сертификатов атрибута (attnbute authority revocation list. AARL): Список отозванных сертификатов, содержащий ссылки на сертификаты атрибута, которые признаны недействительными органом сертификации.

3.11    аутентификация (authentication): Процесс надежной идентификации субъекта информационной безопасности путем защищенной ассоциации, установленной между идентификатором и субъектом.

Примечание — См. также аутентификацию источника данных (3.50).

(ISO 7498-2:1989)

3.12    токен аутентификации (authentication token): Информация, передаваемая процедуре усиленной аутентификации и предназначенная для аутентификации ее отправителя.

3.13    уполномоченный орган (authority): Субъект, ответственный за выпуск сертификатов.

Примечание — В настоящем стандарте даны определения двум катеториям органов сертификации: ортану. выпускающему сертификаты открытых ключей, и органу, выпускающему сертификаты атрибута.

3.14    сертификат уполномоченного органа (authonty certificate): Сертификат, выпущенный для органа сертификации или органа по присвоению атрибутов.

Примечание — Адаптация определения, приведешого в ISO/IEC 9594-8.2001.

3.15    список отозванных сертификатов уполномоченных органов (authority revocation list, ARL): Список отозванных сертификатов открытого ключа, выпущенных для уполномоченных органов, которые признаны недействительными органом сертификации.

3.16    авторизация (authorization): Процесс предоставления субъекту привилегий, в том числе предоставление доступа на основе привилегий доступа или путем передачи привилегий от субъекта, обладающего более высокими привилегиями, субъекту с меньшими привилегиями.

Примечание — Адаптация определения, приведенного в ISO 7498-2:1989.

3.17    удостоверение авторизации (authorization credential): Подписанное объявление атрибутов разрешений, выданных пользователю.

3.18    доступность (availability): Свойство доступности и возможности беспрепятственного использования авторизованным субъектом.

(ISO 7498-2:1989)

3.19    базовый список отозванных сертификатов (base CRL): Список отозванных сертификатов. который служит основой для выпуска разностных списков отозванных сертификатов.

3.20    соглашение деловых партнеров (business partner agreement): Документ, используемый для разграничения юридической, этической и практической ответственности между подписчиками защищаемой медицинской информации (ЗМИ) и между взаимодействующими реализациями ЗМИ.

3.21    сертификат центра сертификации (СА certificate): Сертификат центра сертификации, выпущенный другим центром сертификации.

3.22    сертификат (certificate): Сертификат открытого ключа.

3.23    распространение сертификатов (certificate distnbution): Акт публикации сертификатов и их передачи принципа безопасности.

3.24    владелец сертификата (certificate holder): Организация или лицо, указанное субъектом в действительном сертификате.

3.25    управление сертификатами (certificate management): Процедуры, имеющие отношение к сертификатам: генерация сертификатов, распространение сертификатов, архивирование и отзыв сертификатов.

3.26    политика сертификатов (certificate policy): Именованный свод правил, описывающих применимость сертификата в конкретном кругу субъектов и/или класс приложений с общими требованиями к информационной безопасности.

Пример — В конкретной политике сертификатов может быть указана применимость некоторого типа сертификатов для аутентификации транзакций электронного обмена данными в целях торговли товарами определенного ценового диапазона.

3.27    отзыв сертификата (certificate revocation): Акт аннулирования достоверной связи между сертификатом и его владельцем, поскольку сертификату больше нельзя доверять, хотя его срок и не истек.

3