четверг, 11 августа 2022 г.

США: Национальный институт стандартов и технологий начал публичное обсуждение новой редакции NIST SP 800-66r2 «Реализация требований по безопасности закона HIPAA»

Данная новость была опубликована на сайте и в новостной рассылке американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) 21 июля 2022 года.

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 21 июля 2022 года выложил на своём сайте для публичного обсуждения первоначальный проект 2-й редакции специальной публикации NIST SP 800-66r2 (Revision 2) «Реализация требований по безопасности закона HIPAA: Руководство по ресурсам по вопросам кибербезопасности» (Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide) объёмом 152 страницы, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf . Документ подготовлен Джефри Марроном (Jeffrey Marron, NIST).

Мой комментарий: Закон США о переносимости и подотчётности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA) был принят в 1996 году. Первая часть данного закона (Title I) защищает рабочих и членов их семей от потери медицинской страховки в случае смены или потери работы. Для специалистов по безопасности и по управлению документами и информацией представляет интерес вторая часть данного закона (Title II), известная как «Положения об административном упрощении» (Administrative Simplification provisions, AS), предписывающая создание национальных стандартов электронных транзакций в здравоохранении и введение национальных идентификаторов для поставщиков услуг, медицинских страховых полисов и сотрудников. В ряде положений этой же части закона рассматриваются вопросы защиты медицинских данных и защиты неприкосновенности личной жизни. Эти стандарты должны повысить эффективность национальной системы здравоохранения за счёт широкомасштабного использования в отрасли электронного обмена данными. О законе HIPAA cм. также подборку постов на моём блоге http://rusrim.blogspot.ru/search/label/HIPAA   

Как отмечается в извещении NIST, требования по безопасности закона HIPAA (т.н. «Правило безопасности HIPAA - HIPAA Security Rule) уделяют особое внимание защите конфиденциальности, целостности и доступности «электронной защищаемой медицинской информации» (electronic protected health information, ePHI), которая хранится или поддерживается подпадающими под закон HIPAA организациями, в соответствии с обязательным для этих организаций «Правилом безопасности HIPAA».

Электронная защищаемая медицинская информация, которую подпадающая под закон HIPAA организация создает, получает, поддерживает или передает, должна быть защищена от разумно ожидаемых угроз, опасностей, недопустимого использования и/или раскрытия.

В данном документе содержатся практические рекомендации и ресурсы, которые могут использоваться подпадающими под закон HIPAA организациями любого размера для защиты электронной защищаемой медицинской информации и для лучшего понимания концепций безопасности, обсуждаемых в «Правиле безопасности HIPAA».

Новая редакция документа:

  • Включает краткий обзор «Правила безопасности HIPAA»,

  • Содержит рекомендации для подпадающих под закон HIPAA организаций по оценке и управлению рисками для электронной защищаемой медицинской информации,

  • Описывает типичные действия, возможность реализации которых в качестве части своей программы информационной безопасности регулируемая организация может рассмотреть,

  • Перечисляет дополнительные ресурсы, которые могут оказаться полезными для регулируемых организаций могут при реализации «Правила безопасности HIPAA».

Публичное обсуждение проекта продлится до 21 сентября 2022 года. Текст документа и указания по представлению замечаний и предложений см. на сайте NIST.

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-66/rev-2/draft
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf

Комментариев нет:

Отправить комментарий