HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
HHS OCR, NIST, HIPAA Siber Kılavuzunu Sonlandırdı; HSCC Güvenlik ve Gizlilik Kaynağını Sorunlandırıyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
19 Şubat 2024
Biri hükümet düzenleyicilerinden, diğeri ise endüstri konseyinden gelen iki yeni rehberlik kaynağı, sağlık sektörü şirketlerinin hassas hasta bilgilerini ve kritik BT sistemlerini korumaya yönelik yaklaşımlarını güçlendirmelerine yardımcı olmayı amaçlıyor. Yayınlar, Biden yönetiminin sektörü siber oyununu geliştirmeye ittiği bir dönemde geldi.
Ayrıca bakınız: Veri Dijital Dünyamızın Can Damarıdır
Belgelerden biri, Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Dairesi ve Ulusal Standartlar ve Teknoloji Enstitüsü tarafından Cuma günü yayınlanan “Özel Yayın 800-66 Revizyon 2, HIPAA Güvenlik Kuralının Uygulanması” adlı ortak yayındır.
Yine Cuma günü Sağlık ve Kamu Sağlığı Sektörü Koordinasyon Konseyi’nin Siber Güvenlik Çalışma Grubu tarafından yayınlanan diğer belge, sağlık sektörü kuruluşlarının genel uyumluluk ve operasyonel verimlilik ve etkinliği artırmak için gizlilik ve siber güvenlik işlevleri arasındaki “bağlantı kopukluklarını” daha iyi ele almalarına yardımcı olacak bir kılavuzdur. “
HIPAA/NIST CSF Yaya Geçidi Kılavuzu
Yeni ortak HHS OCR/NIST kaynağı, HIPAA kapsamındaki kuruluşların ve iş ortaklarının HIPAA Güvenlik Kuralı standartlarını ve uygulama özelliklerini NIST Siber Güvenlik Çerçevesi alt kategorileri ve SP 800-53r5 güvenlik kontrolleriyle eşleştirmesine yardımcı olmayı amaçlamaktadır.
Bu, Temmuz 2022’de yayımlanan HHS OCR ve NIST taslak kılavuzunun nihai halidir ve 2008’de yayımlanan daha önceki, giriş niteliğindeki NIST HIPAA kılavuzunun yerine geçer (bkz.: NIST, Siber Güvenlik Çerçevesini HIPAA Güvenlik Kuralıyla Eşleştiriyor).
Ortak rehberliğe ek olarak NIST, sağlık sektörü kuruluşlarının belirli konulara ilişkin siber güvenlik sorunlarını ele almasına yardımcı olmak için Cuma günü web sitesinde mevcut NIST kaynaklarının güncellenmiş bir listesini yayınladı. Bu kaynaklar tele sağlık, mobil cihazlar, Nesnelerin İnterneti, tıbbi cihazlar, fidye yazılımı ve kimlik avı, bulut hizmetleri ve uygulama güvenliğini ele alır.
Ortak HHS OCR/NIST kılavuzunun yayınlanması, HHS’nin Biden yönetiminin sağlık sektörü siber güvenliğini iyileştirmeye yönelik gelişen stratejisini destekleyen ve Aralık ayında bir konsept belgesinde ana hatları verilen en son eylemidir (bkz.: Biden Yönetimi Sağlık Sektörüne Yönelik Siber Stratejiyi Açıkladı).
Ocak ayında yine yönetimin stratejisinin bir parçası olarak HHS, sağlık sektörü için gönüllü “temel” ve “geliştirilmiş” siber güvenlik performans hedeflerini detaylandıran bir kılavuz belgesi yayınladı (bkz.: HHS, Sağlık Sektörüne Yönelik Yeni Siber Performans Hedeflerini Detaylandırıyor).
HHS OCR/NIST kılavuzunda, “Düzenlenen kuruluşlar, siber güvenlik uygulamalarının kullanılmasının, HIPAA tarafından düzenlenen bir kuruluşun Güvenlik Kuralına uymasına yardımcı olmakla kalmayıp, aynı zamanda diğer federal talimatlara uyum sağlamaya da yardımcı olabileceğini dikkate almalıdır.” ifadesine yer veriliyor.
“Bu diğer yükümlülükler arasında, Medicare mali cezalarından kaçınmak için yıllık risk değerlendirmesi gerektiren Medicare Teşvik Birlikte Çalışabilirlik Programı ve 2022 Kritik Altyapı için Siber Olay Raporlama Yasası uyarınca Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın gelecek siber olay raporlama talimatları yer alıyor. ” diyor belge.
HHS, baharda HIPAA Güvenlik Kuralı için önerilen bir güncellemenin yanı sıra diğer potansiyel yeni düzenleyici eylemleri yayınlamayı planladığını söyledi.
HSCC Gizlilik, Güvenlik Kılavuzu
400’den fazla sağlık sektörü kuruluşundan ve 19 devlet kurumundan oluşan bir kamu-özel sektör konseyi olan HSCC’nin yeni kılavuzu, kuruluşların gizlilik ve güvenlik çabaları arasındaki uyumsuzluğa katkıda bulunan faktörleri daha iyi ele almalarına yardımcı olmayı amaçlıyor.
HSCC yaptığı açıklamada, “Organizasyon yapısından çatışan önceliklere kadar değişen faktörler, Gizlilik ve Güvenlik arasındaki kopukluğa yol açarak kurumsal riski artırabilir.” dedi.
Kılavuzun hedef kitlesi sağlık hizmetleri gizliliği, güvenliği ve uyumluluk liderlerini; ekipleri; HSCC, ve diğerlerinin “gizlilik ve güvenlik programları ve politikaları için en iyi uygulamaları geliştirmek istediklerini” söyledi.
Yayın, sağlık sektörü kuruluşlarına, kuruluşların kurumsal gizlilik ve güvenlik disiplinleri arasındaki kesişimleri, karşılıklı bağımlılıkları ve düzenleyici ve operasyonel ayrımları belirlemelerine yardımcı olmak; gizlilik ve güvenlik işlevleri ve öncelikleri arasındaki boşluklardan ve yanlış hizalamalardan kaynaklanan zorlukların ve risklerin vurgulanması; ve bu sorunları çözmeye yönelik çerçeveler, en iyi uygulamalar ve önlemler için seçenekler önermek.
HSCC, kılavuzun sağlık sektörü kuruluşlarının gizlilik ve güvenlik kuruluşlarının daha “proaktif ve uyumlu” bir şekilde birlikte çalışmasına yardımcı olmak için “işbirlikçi uygulamalara ilişkin pratik öneriler sağladığını” söyledi.