Tausta Huomautus: Tietotekniikan laboratorio (ITL) National Institute of Standards and Technology (NIST) edistää Yhdysvaltoja. talous ja julkinen hyvinvointi tarjoamalla teknistä johtajuutta kansakunnan mittaus- ja standardiinfrastruktuurille. ITL kehittää testejä, testimenetelmät, vertailutiedot, todisteet konseptin toteutuksista, ja tekniset analyysit tietotekniikan kehityksen ja tuottavan käytön edistämiseksi. ITL: n vastuualueeseen kuuluu johtamisen kehittäminen, hallinnollinen, tekninen, ja fyysiset standardit ja ohjeet muiden kuin kansallisten turvallisuuteen liittyvien tietojen kustannustehokkaasta turvallisuudesta ja yksityisyydestä liittovaltion tietojärjestelmissä. Tämä NIST: n asiakirja tarjoaa käytännön ohjeita ja resursseja, joita kaiken kokoiset säännellyt yksiköt voivat käyttää suojaamaan ePhI: tä ja ymmärtämään paremmin HIPAA-suojaussäännössä käsiteltyjä turvallisuuskäsitteitä.
NIST-ilmoitus ja erikoisjulkaisu*
NIST päivittää terveydenhuollon kyberturvallisuuden ohjeita
Tarkistetun julkaisuluonnoksen tarkoituksena on auttaa organisaatioita noudattamaan HIPAA-tietoturvasääntöä.
Ilmoitus (21. heinäkuuta 2022)
Pyrkiessään auttamaan terveydenhuollon organisaatioita suojelemaan potilaiden henkilökohtaisia terveystietoja, Kansallinen standardi- ja teknologiainstituutti (NIST) on päivittänyt kyberturvallisuusohjeensa terveydenhuoltoalalle.
NIST: n uusi julkaisuluonnos, virallisesti otsikolla Sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskevan lain täytäntöönpano (HIPAA) Turvallisuussääntö: Kyberturvallisuusresurssiopas (NIST Special Publication 800-66, Versio 2), on suunniteltu auttamaan teollisuutta säilyttämään luottamuksellisuus, eheys ja saatavuus sähköisesti suojatut terveystiedot, tai ePhI. Termi kattaa laajan valikoiman potilastietoja, mukaan lukien reseptit, laboratoriotulokset, ja tiedot sairaalakäynneistä ja rokotuksista.
”Yksi päätavoitteistamme on auttaa tekemään päivitetystä julkaisusta enemmän resurssiopas”, sanoi NIST-kyberturvallisuusasiantuntija Jeff Marron. ”Tarkistus on käytännöllisempi, jotta terveydenhuollon organisaatiot voivat parantaa kyberturvallisuusastettaan ja noudattaa turvallisuussääntöä.”
Sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskeva laki 1996 (HIPAA) on liittovaltion laki, joka edellyttää kansallisten standardien luomista arkaluonteisten potilaiden terveystietojen suojaamiseksi paljastamiselta ilman potilaan suostumusta tai tietämystä. Osa HIPAA: sta on turvallisuussääntö, joka keskittyy erityisesti terveydenhuollon organisaation luomien ePhI: n suojaamiseen, vastaanottaa, ylläpitää tai lähettää. NIST ei luo sääntöjä HIPAA: n täytäntöönpanemiseksi, mutta tarkistettu luonnos on sopusoinnussa NIST: n tehtävän kanssa tarjota kyberturvallisuusohjeita. NIST: n päivitetyt ohjeet ovat erityisen ajankohtaisia, koska Yhdysvaltain terveys- ja henkilöstöministeriö on havainnut terveydenhuoltoon vaikuttavien kyberhyökkäysten lisääntymisen.
NIST hakee kommentteja julkaisuluonnoksesta 21. syyskuuta 2022 saakka.
Yksi tärkeimmistä syistä, miksi NIST on kehittänyt version, on integroida se muihin NIST-kyberturvallisuusohjeisiin, joita ei ollut olemassa, kun versio 1 julkaistiin vuonna 2008. Siitä lähtien NIST on kehittänyt tunnetun kyberturvallisuuskehyksen, ja se on myös toistuvasti päivittänyt tietoturva- ja yksityisyydenhallintakokoelmaansa (NIST SP 800-53), jonka avulla organisaatiot voivat räätälöidä omia riskienhallintamenetelmiään. Uusi HIPAA Security Rule -ohjeluonnos muodostaa nimenomaiset yhteydet näihin ja muihin NIST-kyberturvallisuusresursseihin.
”Olemme kartoittaneet kaikki HIPAA Security Rule -elementit Cybersecurity Framework -alaluokkiin ja valvontaan NIST SP 800-53: n uusimmassa versiossa”, Marron sanoi. ”Olemme korostaneet ohjauksen riskienhallintakomponenttia, mukaan lukien yritysriskienhallinnan konseptien integrointi.”
Luonnoksessa otetaan huomioon yli 400 ainutlaatuista vastausta, jotka NIST sai viime vuonna esitettyyn kommenttikyyntöönsä. Marron kuvailee luonnosta enemmän päivitykseksi kuin uudistukseksi, koska asiakirjan rakenne on muuttunut vain vähän, mutta sisältöä on päivitetty korostamalla enemmän EPhI: n riskien arviointia ja hallintaa. Monet merkittävistä muutoksista viittaavat julkaisun ”Huomautus arvioijille,”, Joka pyytää lukijoilta ajatuksia tietyistä osioista.
Marron sanoi, että kuten monien asiaan liittyvien NIST-kyberturvallisuusjulkaisujen kohdalla, tarkistettua luonnosta ei ollut tarkoitettu tarkistuslistaksi terveydenhuollon organisaatioille, vaan pikemminkin ohjata heitä parantamaan ePhI: n riskinhallintaa.
”Tarjoamme resurssin, joka voi auttaa sinua toteuttamaan turvallisuussäännön omassa organisaatiossasi, jolla voi olla erityistarpeita”, hän sanoi. ”Tavoitteenamme on tarjota opastusta ja resursseja, joita voit käyttää yhdessä luettavassa julkaisussa.”
NIST hyväksyy kommentteja luonnoksesta 21. syyskuuta 2022 asti sähköpostitse osoitteeseen sp800-66-comments@nist.gov.
Lue alkuperäinen ilmoitus.
NIST Special Publication - Alkuperäinen julkinen luonnos: HIPAA Security Rule -ohjelman täytäntöönpano - Kyberturvallisuuden resurssiopas (PDF) - Siirrä hiiren osoitus
NIST - HIPAA: n turvallisuussäännön täytäntöönpano - Kyberturvallisuuden resurssiopas
Lue alkuperäinen julkaisu.
* Jaettu luvalla.
Lisä lukeminen
Turvallinen tila? Euroopan tietosuojavaltuusehdotus ja Euroopan tietosuojavaltuusneuvosto hyväksyvät yhteisen lausunnon Euroopan terveyst
Vankka perusta? NIST julkaisee katsauksen digitaalisista rikosteknisistä menetelmistä
Lähde: CompleDiscovery