Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 21 июля 2022 года выложил на своём сайте для публичного обсуждения первоначальный проект 2-й редакции специальной публикации NIST SP 800-66r2 (Revision 2) «Реализация требований по безопасности закона HIPAA: Руководство по ресурсам по вопросам кибербезопасности» (Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide) объёмом 152 страницы, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf . Документ подготовлен Джефри Марроном (Jeffrey Marron, NIST).
Мой комментарий: Закон США о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Первая часть данного закона (Title I) защищает рабочих и членов их семей от потери медицинской страховки в случае смены или потери работы. Для специалистов по безопасности и по управлению документами и информацией представляет интерес вторая часть данного закона (Title II), известная как «Положения об административном упрощении» (Administrative Simplification provisions, AS), предписывающая создание национальных стандартов электронных транзакций в здравоохранении и введение национальных идентификаторов для поставщиков услуг, медицинских страховых полисов и сотрудников. В ряде положений этой же части закона рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. Эти стандарты должны повысить эффективность национальной системы здравоохранения за счёт широкомасштабного использования в отрасли электронного обмена данными. О законе HIPAA cм. также подборку постов на моём блоге http://rusrim.blogspot.ru/search/label/HIPAA
Электронная защищаемая медицинская информация, которую подпадающая под закон HIPAA организация создает, получает, поддерживает или передает, должна быть защищена от разумно ожидаемых угроз, опасностей, недопустимого использования и/или раскрытия.
В данном документе содержатся практические рекомендации и ресурсы, которые могут использоваться подпадающими под закон HIPAA организациями любого размера для защиты электронной защищаемой медицинской информации и для лучшего понимания концепций безопасности, обсуждаемых в «Правиле безопасности HIPAA».
Новая редакция документа:
- Включает краткий обзор «Правила безопасности HIPAA»,
- Содержит рекомендации для подпадающих под закон HIPAA организаций по оценке и управлению рисками для электронной защищаемой медицинской информации,
- Описывает типичные действия, возможность реализации которых в качестве части своей программы информационной безопасности регулируемая организация может рассмотреть,
- Перечисляет дополнительные ресурсы, которые могут оказаться полезными для регулируемых организаций могут при реализации «Правила безопасности HIPAA».
Публичное обсуждение проекта продлится до 21 сентября 2022 года. Текст документа и указания по представлению замечаний и предложений см. на сайте NIST.
Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-66/rev-2/draft
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf
Комментариев нет:
Отправить комментарий