הערת רקע: המעבדה לטכנולוגיית מידע (ITL) במכון הלאומי לתקנים וטכנולוגיה (NIST) מקדמת את כלכלת ארה"ב ורווחת הציבור על ידי מתן מנהיגות טכנית לתשתית המדידה והסטנדרטים של המדינה. ITL מפתחת בדיקות, שיטות בדיקה, נתוני ייחוס, הוכחת יישומי קונספט וניתוחים טכניים לקידום הפיתוח והשימוש היצרני בטכנולוגיית המידע. האחריות של ITL כוללת פיתוח סטנדרטים והנחיות לניהול, מנהליים, טכניים ופיזיים לאבטחה ופרטיות חסכוניים של מידע הקשור לביטחון לאומי במערכות מידע פדרליות. מסמך זה מ- NIST מספק הדרכה מעשית ומשאבים שניתן להשתמש בהם על ידי גופים מוסדרים מכל הגדלים כדי להגן על EPHI ולהבין טוב יותר את מושגי האבטחה שנדונו כלל האבטחה HIPAA.
הודעת NIST ופרסום מיוחד*
הנחיות עדכוני NIST לאבטחת סייבר בתחום הבריאות
טיוטת פרסום מתוקנת נועדה לסייע לארגונים לציית לכלל האבטחה של HIPAA.
הודעה (21 ביולי 2022)
במאמץ לסייע לארגוני שירותי הבריאות להגן על המידע הרפואי האישי של המטופלים, המכון הלאומי לתקנים וטכנולוגיה (NIST) עדכן את הנחיות אבטחת הסייבר שלו לתעשיית הבריאות.
טיוטת הפרסום החדשה של NIST, שכותרתה רשמית יישום חוק היבילות ואחריות הדיווח של ביטוח בריאות (HIPAA) כלל אבטחה: מדריך משאבים Cybersecurity (פרסום מיוחד של NIST 800-66, גרסה 2), נועד לסייע לתעשייה לשמור על סודיות, שלמות וזמינות של מידע בריאותי מוגן אלקטרוני, או EPhI. המונח מכסה מגוון רחב של נתוני מטופלים, כולל מרשמים, תוצאות מעבדה ורשומות של ביקורי חולים וחיסונים.
"אחת המטרות העיקריות שלנו היא לעזור להפוך את הפרסום המעודכן ליותר מדריך משאבים", אמר ג'ף מרון, מומחה אבטחת סייבר של NIST. "התיקון ניתן לפעולה יותר כך שארגוני שירותי הבריאות יוכלו לשפר את תנוחת אבטחת הסייבר שלהם ולציית לכלל האבטחה."
חוק היבילות ואחריות הדיווח של ביטוח בריאות משנת 1996 (HIPAA) הוא חוק פדרלי המחייב יצירת תקנים לאומיים להגנה על מידע רגיש על בריאות המטופל מפני גילוי ללא הסכמת המטופל או ידיעתו. חלק מ- HIPAA הוא כלל האבטחה, המתמקד במיוחד בהגנה על EPHI שארגון בריאות יוצר, מקבל, מתחזק או מעביר. NIST אינו יוצר תקנות לאכיפת HIPAA, אך הטיוטה המתוקנת תואמת את המשימה של NIST לספק הדרכה בנושא אבטחת סייבר. ההנחיות המעודכנות של NIST מתוזמנות במיוחד מכיוון שמשרד הבריאות ושירותי האנוש האמריקני ציין עלייה במתקפות הסייבר המשפיעות על שירותי הבריאות.
NIST מחפשת הערות על טיוטת הפרסום עד 21 בספטמבר 2022.
אחת הסיבות העיקריות לכך ש- NIST פיתחה את התיקון היא לשלב אותה עם הנחיות אבטחת סייבר אחרות של NIST שלא היו קיימות כאשר הגרסה 1 פורסמה בשנת 2008. מאז, NIST פיתחה את מסגרת Cybersecurity הידועה שלה, והיא גם עדכנה שוב ושוב את אוסף בקרת האבטחה והפרטיות שלה (NIST SP 800-53) שארגונים יכולים להשתמש בהם כדי להתאים את גישות ניהול הסיכונים שלהם. טיוטת ההנחיה החדשה של כלל האבטחה של HIPAA יוצרת חיבורים מפורשים למשאבי אבטחת סייבר אלה ואחרים של NIST.
"מיפינו את כל האלמנטים של כלל האבטחה של HIPAA לקטגוריות המשנה של Cybersecurity Framework וכדי לשלוט בגירסה האחרונה של NIST SP 800-53", אמר מרון. "הגדלנו את הדגש שלנו על רכיב ניהול הסיכונים של ההדרכה, כולל שילוב מושגים לניהול סיכונים ארגוניים."
הטיוטה לוקחת בחשבון יותר מ 400 תגובות ייחודיות NIST קיבל לשיחת טרום הטיוטה שלה להערות בשנה שעברה. Marron מתאר את הטיוטה כמו יותר של רענון מאשר שיפוץ, כמו המבנה של המסמך השתנה רק מעט, אבל התוכן עודכן עם דגש מוגבר על הערכה וניהול של סיכון EPhI. רבים מהשינויים המשמעותיים משתמעים ב"הערה לסוקרים "של הפרסום, שמבקש מהקוראים מחשבות על סעיפים ספציפיים.
מארון אמר כי כמו בפרסומים רבים הקשורים ל- NIST בנושא אבטחת סייבר, הטיוטה המתוקנת לא נועדה להיות רשימת בדיקה לארגוני הבריאות לעקוב אחריהם, אלא להנחות אותם בשיפור ניהול הסיכון שלהם ל- EPHI.
"אנו מספקים משאב שיכול לסייע לך ביישום כלל האבטחה בארגון שלך, שעשוי להיות לו צרכים מסוימים", אמר. "המטרה שלנו היא להציע הדרכה ומשאבים שתוכל להשתמש בהם בפרסום קריא אחד."
NIST מקבלת הערות על הטיוטה עד 21 בספטמבר 2022, בדוא"ל לכתובת sp800-66-comments@nist.gov.
קרא את ההודעה המקורית.
פרסום מיוחד של NIST - טיוטה ציבורית ראשונית: יישום כלל האבטחה של HIPAA - מדריך משאבים בנושא אבטחת סייבר (PDF) - מעבר עכבר לגלילה
NIST - יישום כלל האבטחה של HIPAA - מדריך משאבים בנושא אבטחת סייבר
קרא את הפרסום המקורי.
*משותף באישור.
קריאה נוספת
מרחב בטוח? EDPB ו- EDPS מאמצים חוות דעת משותפת על הצעת שטח נתוני הבריאות האירופית
בסיס מוצק? NIST מפרסם סקירה של שיטות לזיהוי פלילי דיגיטלי
מקור: קומפלקס דיסקברי
