Nota de fundo: O Laboratório de Tecnologia da Informação (ITL) do Instituto Nacional de Padrões e Tecnologia (NIST) promove a economia e o bem-estar público dos EUA, fornecendo liderança técnica para a infraestrutura de medição e padrões do país. A ITL desenvolve testes, métodos de teste, dados de referência, implementações de prova de conceito e análises técnicas para avançar no desenvolvimento e uso produtivo da tecnologia da informação. As responsabilidades da ITL incluem o desenvolvimento de padrões e diretrizes gerenciais, administrativos, técnicos e físicos para a segurança e privacidade econômicas de outras informações que não relacionadas à segurança nacional em sistemas de informação federais. Este documento do NIST fornece orientações práticas e recursos que podem ser usados por entidades regulamentadas de todos os tamanhos para proteger ePHI e entender melhor os conceitos de segurança discutidos na Regra de Segurança HIPAA.
Anúncio e publicação especial do NIST*
O NIST atualiza as orientações para a segurança cibernética
A publicação preliminar revisada visa ajudar as organizações a cumprir a regra de segurança da HIPAA.
Anúncio (21 de julho de 2022)
Em um esforço para ajudar as organizações de saúde a proteger as informações pessoais de saúde dos pacientes, o Instituto Nacional de Padrões e Tecnologia (NIST) atualizou suas diretrizes de segurança cibernética para o setor de saúde.
A nova publicação preliminar do NIST, formalmente intitulada Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (Publicação Especial do NIST 800-66, Revisão 2), foi projetada para ajudar o setor a manter a confidencialidade, integridade e disponibilidade de informações eletrônicas protegidas de saúde, ou ePHI. O termo abrange uma ampla gama de dados de pacientes, incluindo prescrições, resultados de laboratório e registros de visitas hospitalares e vacinas.
“Um dos nossos principais objetivos é ajudar a tornar a publicação atualizada mais um guia de recursos”, disse Jeff Marron, especialista em segurança cibernética do NIST. “A revisão é mais acionável para que as organizações de saúde possam melhorar sua postura de segurança cibernética e cumprir a Regra de Segurança.”
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) é uma lei federal que exige a criação de padrões nacionais para proteger informações confidenciais de saúde do paciente de serem divulgadas sem o consentimento ou conhecimento do paciente. Parte da HIPAA é a Regra de Segurança, que se concentra especificamente na proteção da ePHI que uma organização de saúde cria, recebe, mantém ou transmite. O NIST não cria regulamentos para fazer cumprir a HIPAA, mas o rascunho revisado está de acordo com a missão do NIST de fornecer orientação de segurança cibernética. A orientação atualizada do NIST é particularmente oportuna, pois o Departamento de Saúde e Serviços Humanos dos EUA observou um aumento nos ataques cibernéticos que afetam os cuidados de saúde.
O NIST está buscando comentários sobre o rascunho da publicação até 21 de setembro de 2022.
Uma das principais razões pelas quais o NIST desenvolveu a revisão é integrá-la a outras orientações de segurança cibernética do NIST que não existiam quando a Revisão 1 foi publicada em 2008. Desde então, o NIST desenvolveu sua conhecida Estrutura de Segurança Cibernética e também atualizou repetidamente sua coleção de Controles de Segurança e Privacidade (NIST SP 800-53) que as organizações podem usar para adaptar suas próprias abordagens de gerenciamento de riscos. O novo esboço de orientação da regra de segurança da HIPAA faz conexões explícitas com esses e outros recursos de segurança cibernética do NIST
“Mapeamos todos os elementos da Regra de Segurança da HIPAA para as subcategorias do Cybersecurity Framework e para os controles na versão mais recente do NIST SP 800-53”, disse Marron. “Aumentamos nossa ênfase no componente de gerenciamento de riscos da orientação, incluindo a integração de conceitos de gerenciamento de riscos corporativos.”
O rascunho leva em consideração mais de 400 respostas únicas que o NIST recebeu à sua chamada de comentários pré-rascunho no ano passado. Marron descreve o rascunho como mais uma atualização do que uma revisão, já que a estrutura do documento mudou apenas ligeiramente, mas o conteúdo foi atualizado com uma ênfase maior na avaliação e gerenciamento de risco para a ePHI. Muitas das mudanças significativas estão implícitas na “Nota aos revisores” da publicação, que pede aos leitores que pensem sobre seções específicas.
Marron disse que, como acontece com muitas publicações relacionadas à segurança cibernética do NIST, o rascunho revisado não pretendia ser uma lista de verificação para as organizações de saúde seguirem, mas sim orientá-las na melhoria de sua gestão de risco para a ePHI.
“Fornecemos um recurso que pode ajudá-lo a implementar a Regra de Segurança em sua própria organização, que pode ter necessidades particulares”, disse ele. “Nosso objetivo é oferecer orientação e recursos que você possa usar em uma publicação legível.”
O NIST está aceitando comentários sobre o rascunho até 21 de setembro de 2022, por e-mail para sp800-66-comments@nist.gov.
Leia o anúncio original.
Publicação especial do NIST - Rascunho público inicial: Implementando a regra de segurança da HIPAA - Um guia de recursos de segurança cibernética (PDF) - Passe o mouse para rolar
NIST - Implementando a regra de segurança HIPAA - Um guia de recursos de cibersegurança
Leia a publicação original.
*Compartilhado com permissão.
Leitura adicional
Um espaço seguro? EDPB e AEPD adotam parecer conjunto sobre a proposta de espaço europeu de dados de saúde
Uma base sólida? NIST publica revisão de métodos forenses digitais
Fonte: ComplexDiscovery
