Pamatinformācija: Informācijas tehnoloģiju laboratorija (ITL) Nacionālajā standartu un tehnoloģiju institūtā (NIST) veicina ASV ekonomiku un sabiedrības labklājību, nodrošinot tehnisko vadību Nācijas mērījumu un standartu infrastruktūrai. ITL izstrādā testus, testēšanas metodes, atsauces datus, koncepcijas ieviešanas pierādījumus un tehniskās analīzes, lai veicinātu informācijas tehnoloģiju izstrādi un produktīvu izmantošanu. ITL pienākumos ietilpst pārvaldības, administratīvo, tehnisko un fizisko standartu un vadlīniju izstrāde federālajās informācijas sistēmās, kas nav saistītas ar valsts drošību, rentablu drošību un privātumu. Šis dokuments no NIST sniedz praktiskus norādījumus un resursus, ko var izmantot regulētās vienības visu izmēru, lai aizsargātu EPHI un labāk izprast drošības koncepcijas apspriesti HIPAA drošības noteikumu.
NIST paziņojums un īpašā publikācija*
NIST atjauninājumi vadlīnijas veselības aprūpes kiberdrošības
Pārskatītā publikācijas projekta mērķis ir palīdzēt organizācijām ievērot HIPAA drošības noteikumu.
Paziņojums (2022. gada 21. jūlijs)
Cenšoties palīdzēt veselības aprūpes organizācijām aizsargāt pacientu personīgo veselības informāciju, Nacionālais standartu un tehnoloģiju institūts (NIST) ir atjauninājis kiberdrošības vadlīnijas veselības aprūpes nozarei.
NIST jaunais publikācijas projekts, oficiāli nosaukts par Veselības apdrošināšanas pārnesamības un atbildības akta īstenošanu (HIPAA) Drošības noteikums: kiberdrošības resursu rokasgrāmata (NIST īpašā publikācija 800-66, 2. pārskatīšana), ir izstrādāta, lai palīdzētu nozarei saglabāt konfidencialitāti, integritāti un pieejamību elektronisku aizsargātu veselības informāciju vai EPHI. Termins aptver plašu pacientu datu klāstu, tostarp receptes, laboratorijas rezultātus un reģistrus par slimnīcu apmeklējumiem un vakcinācijām.
“Viens no mūsu galvenajiem mērķiem ir palīdzēt atjaunināto publikāciju padarīt vairāk par resursu ceļvedi,” sacīja Džefs Marrons, NIST kiberdrošības speciālists. “Pārskatīšana ir daudz iedarbīgāka, lai veselības aprūpes organizācijas varētu uzlabot savu kiberdrošības stāvokli un ievērot drošības noteikumus.”
1996. gada Veselības apdrošināšanas pārnesamības un atbildības akts (HIPAA) ir federālais likums, kas prasa izveidot valsts standartus, lai aizsargātu sensitīvu pacienta veselības informāciju no tiek izpausta bez pacienta piekrišanas vai zināšanām. Daļa no HIPAA ir drošības noteikums, kas īpaši koncentrējas uz EPHI aizsardzību, ko veselības aprūpes organizācija rada, saņem, uztur vai pārraida. NIST nerada noteikumus, lai īstenotu HIPAA, bet pārskatītais projekts atbilst NIST misijai sniegt kiberdrošības norādījumus. NIST atjauninātās vadlīnijas ir īpaši savlaicīgas, jo ASV Veselības un cilvēkresursu departaments ir atzīmējis kiberuzbrukumu pieaugumu, kas ietekmē veselības aprūpi.
NIST meklē komentārus par publicēšanas projektu līdz 21. septembrim., 2022.
Viens no galvenajiem iemesliem, kāpēc NIST ir izstrādājusi pārskatīšanu, ir integrēt to ar citām NIST kiberdrošības vadlīnijām, kas nepastāvēja, kad 2008. gadā tika publicēta 1. redakcija. Kopš tā laika NIST ir izstrādājis savu pazīstamo kiberdrošības sistēmu, kā arī vairākkārt atjauninājis savu drošības un privātuma kontroles (NIST SP 800-53) kolekciju, ko organizācijas var izmantot, lai pielāgotu savas riska pārvaldības pieejas. Jaunais HIPAA drošības noteikumu vadlīniju projekts sniedz skaidrus savienojumus ar šiem un citiem NIST kiberdrošības resursiem.
“Mēs esam kartējuši visus HIPAA drošības noteikuma elementus kiberdrošības sistēmas apakškategorijās un kontrolē NIST SP 800-53 jaunākajā versijā,” teica Marron. “Mēs esam palielinājuši savu uzsvaru uz vadlīniju riska pārvaldības komponentu, tostarp integrējot uzņēmuma riska pārvaldības koncepcijas.”
Projektā ir ņemtas vērā vairāk nekā 400 unikālas atbildes, kas saņemtas NIST uz iepriekšēju uzaicinājumu iesniegt komentārus pagājušajā gadā. Marron apraksta projektu kā vairāk atsvaidzināt nekā kapitālais remonts, jo dokumenta struktūra ir mainījusies tikai nedaudz, bet saturs ir atjaunināts ar pastiprinātu uzsvaru uz novērtējumu un riska pārvaldību EphI. Daudzas būtiskas izmaiņas ir netieši publikācijas “Piezīme recenzentiem”, kurā lasītājiem tiek lūgtas domas par konkrētām sadaļām.
Marron teica, ka, tāpat kā ar daudzām saistītām NIST kiberdrošības publikācijām, pārskatītais projekts nebija paredzēts kā kontrolsaraksts veselības aprūpes organizācijām sekot, bet gan, lai palīdzētu viņiem uzlabot savu riska pārvaldību EphI.
“Mēs piedāvājam resursu, kas var palīdzēt jums īstenot drošības noteikumu savā organizācijā, kam var būt īpašas vajadzības, "Viņš teica, ka. “Mūsu mērķis ir piedāvāt norādījumus un resursus, kurus varat izmantot vienā lasāmā publikācijā.”
NIST pieņem komentārus par projektu līdz septembrim 21, 2022, pa e-pastu uz sp800-66-comments@nist.gov.
Izlasiet sākotnējo paziņojumu.
NIST īpašā publikācija - sākotnējais publiskais projekts: HIPAA drošības noteikumu īstenošana - kiberdrošības resursu rokasgrāmata (PDF) - Mouseover, lai ritinātu
NIST - HIPAA drošības noteikumu ieviešana - kiberdrošības resursu ceļvedis
Izlasiet sākotnējo publikāciju.
*Kopīgota ar atļauju.
Papildus lasīšana
Droša telpa? EDAK un EDAU pieņem kopīgu atzinumu par Eiropas veselības datu telpas priekšlikumu
Solid Foundation? NIST publicē digitālās kriminālistikas metožu apskatu
Avots: ComplexDiscovery
