Uwaga w tle: Laboratorium Technologii Informacyjnych (ITL) w National Institute of Standards and Technology (NIST) promuje gospodarkę USA i dobrobyt publiczny, zapewniając techniczne przywództwo w krajowej infrastrukturze pomiarów i standardów. ITL opracowuje testy, metody testowe, dane referencyjne, dowód wdrożeń koncepcji, oraz analizy techniczne w celu przyspieszenia rozwoju i produktywnego wykorzystania technologii informacyjnych. Obowiązki ITL obejmują rozwój zarządzania, Administracyjny, techniczny, oraz fizyczne standardy i wytyczne dotyczące opłacalnego bezpieczeństwa i prywatności innych niż krajowe informacje związane z bezpieczeństwem w federalnych systemach informacyjnych. Ten dokument NIST zawiera praktyczne wskazówki i zasoby, które mogą być wykorzystywane przez regulowane podmioty różnej wielkości do ochrony ePhI i lepszego zrozumienia koncepcji bezpieczeństwa omówionych w regule bezpieczeństwa HIPAA.
Ogłoszenie NIST i publikacja specjalna*
NIST Aktualizacje Wskazówki dotyczące cyberbezpieczeństwa opieki zdrowotnej
Zmieniony projekt publikacji ma na celu pomóc organizacjom w przestrzeganiu zasady bezpieczeństwa HIPAA.
Ogłoszenie (Lipiec 21, 2022)
Aby pomóc organizacjom opieki zdrowotnej chronić osobiste informacje zdrowotne pacjentów, National Institute of Standards and Technology (NIST) zaktualizował wytyczne dotyczące cyberbezpieczeństwa dla branży opieki zdrowotnej.
Nowy projekt publikacji NIST, formalnie zatytułowany Wdrażanie ustawy o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA) Reguła bezpieczeństwa: Przewodnik po zasobach cyberbezpieczeństwa (NIST Special Publication 800-66, Revision 2), ma na celu pomóc branży zachować poufność, integralność i dostępność elektroniczne chronione informacje zdrowotne lub ePhI. Termin obejmuje szeroki zakres danych pacjentów, w tym recepty, wyniki laboratoryjne, oraz zapisy wizyt w szpitalu i szczepień.
„Jednym z naszych głównych celów jest uczynienie zaktualizowanej publikacji bardziej przewodnikiem po zasobach” - powiedział Jeff Marron, specjalista ds. cyberbezpieczeństwa NIST. „Zmiana jest bardziej praktyczna, aby organizacje opieki zdrowotnej mogły poprawić swoją postawę cyberbezpieczeństwa i przestrzegać zasady bezpieczeństwa”.
Ustawa o przenoszeniu i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r. (HIPAA) to prawo federalne, które wymaga stworzenia krajowych standardów w celu ochrony wrażliwych informacji zdrowotnych pacjenta przed ujawnieniem bez zgody lub wiedzy pacjenta. Częścią HIPAA jest zasada bezpieczeństwa, która w szczególności koncentruje się na ochronie EPHI, które tworzy organizacja opieki zdrowotnej, otrzymuje, utrzymuje lub przesyła. NIST nie tworzy przepisów egzekwujących HIPAA, ale zmieniony projekt jest zgodny z misją NIST polegającą na dostarczaniu wskazówek dotyczących cyberbezpieczeństwa. Zaktualizowane wytyczne NIST są szczególnie aktualne, ponieważ Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych odnotował wzrost liczby cyberataków wpływających na opiekę zdrowotną.
NIST poszukuje uwag na temat projektu publikacji do 21 września 2022 r.
Jednym z głównych powodów, dla których NIST opracował tę rewizję, jest zintegrowanie jej z innymi wytycznymi NIST dotyczącymi cyberbezpieczeństwa, które nie istniały, gdy wersja 1 została opublikowana w 2008 roku. Od tego czasu NIST opracował dobrze znane ramy cyberbezpieczeństwa, a także wielokrotnie aktualizował swoją kolekcję kontroli bezpieczeństwa i prywatności (NIST SP 800-53), które organizacje mogą wykorzystać do dostosowania własnych podejść do zarządzania ryzykiem. Nowy projekt wytycznych dotyczących zasad bezpieczeństwa HIPAA zawiera wyraźne powiązania z tymi i innymi zasobami cyberbezpieczeństwa NIST.
„Zmapowaliśmy wszystkie elementy reguły bezpieczeństwa HIPAA do podkategorii Cybersecurity Framework i kontroli w najnowszej wersji NIST SP 800-53” - powiedział Marron. „Zwiększyliśmy nacisk na komponent zarządzania ryzykiem w wytycznych, w tym na integrację koncepcji zarządzania ryzykiem w przedsiębiorstwie”.
Projekt uwzględnia ponad 400 unikalnych odpowiedzi, które NIST otrzymała na swój wstępny projekt zaproszenia do zgłaszania uwag w zeszłym roku. Marron opisuje projekt jako bardziej odświeżenie niż remont, ponieważ struktura dokumentu zmieniła się tylko nieznacznie, ale treść została zaktualizowana ze zwiększonym naciskiem na ocenę i zarządzanie ryzykiem dla ePhI. Wiele znaczących zmian jest sugerowanych w publikacji „Uwaga dla recenzentów,”, Która prosi czytelników o przemyślenia na temat konkretnych sekcji.
Marron powiedział, że tak jak w przypadku wielu powiązanych publikacji dotyczących cyberbezpieczeństwa NIST, poprawiony projekt nie miał być listą kontrolną dla organizacji opieki zdrowotnej do naśladowania, ale raczej poprowadzić ich w poprawie zarządzania ryzykiem dla EPhI.
„Zapewniamy zasób, który może pomóc w wdrożeniu reguły bezpieczeństwa we własnej organizacji, która może mieć szczególne potrzeby” - powiedział. „Naszym celem jest oferowanie wskazówek i zasobów, których możesz użyć w jednej czytelnej publikacji”.
NIST przyjmuje uwagi do projektu do 21 września 2022 r., pocztą elektroniczną na adres sp800-66-comments@nist.gov.
Przeczytaj oryginalne ogłoszenie.
Specjalna publikacja NIST - Wstępny projekt publiczny: Wdrażanie zasady bezpieczeństwa HIPAA - Przewodnik po zasobach cyberbezpieczeństwa (PDF) - Najechanie myszą, aby przewijać
NIST - Wdrażanie reguły bezpieczeństwa HIPAA - Przewodnik po zasobach cyberbezpieczeństwa
Przeczytaj oryginalną publikację.
* Udostępnione za zgodą.
Dodatkowy odczyt
Bezpieczna przestrzeń? EIOD i EIOD przyjmują wspólną opinię w sprawie wniosku dotyczącego europejskiej przestrzeni danych dotyczących zdrowia
Solidny fundament? NIST publikuje przegląd cyfrowych metod kryminalistycznych
Źródło: complexDiscovery
