Контрольный список соответствия HIPAA и инструменты для использования

Если вы работаете в сфере здравоохранения или каким-либо образом связаны с ИТ в этой отрасли, скорее всего, вы слышали о HIPAA. Закон о переносимости медицинского страхования существует уже несколько десятилетий, чтобы помочь защитить личные данные пациентов. Сегодня мы подробно рассмотрим HIPAA и рассмотрим несколько инструментов, которые могут помочь вам в получении или поддержании вашей сертификации HIPAA.

Мы начнем с краткого объяснения того, что такое HIPAA, а затем углубимся в некоторые из наиболее важных аспектов стандарта и обсудим некоторые из его основных правил. Далее мы представим наш контрольный список соответствия HIPAA. Список из трех шагов, которые необходимо предпринять для достижения и поддержания соответствия HIPAA. И, наконец, мы рассмотрим некоторые инструменты, которые вы можете использовать для обеспечения соответствия требованиям HIPAA.

Разъяснение HIPAA

Закон о переносимости и подотчетности медицинского страхования (HIPAA) был принят еще в 1996 году для регулирования обработки медицинских данных. Основополагающий принцип заключался в защите личных данных о пользователях системы здравоохранения. Точнее, он имеет дело с защищенной медицинской информацией (PHI) и медицинской информацией, защищенной электронным способом (ePHI). Когда они были приняты, были введены в действие общеотраслевые стандарты обработки данных, кибербезопасности и электронного выставления счетов.

Его главной целью было - и остается - обеспечить конфиденциальность личных медицинских данных и доступ к ним могут получить только те, кому он нужен. Конкретно это означает, что все записи о пациентах, хранящиеся в организации здравоохранения, должны быть защищены от доступа посторонних лиц или групп. Хотя это не единственное правило, связанное с HIPAA, это, безусловно, самое важное, и его идея заключается в защите медицинских данных от злонамеренного или мошеннического использования.

В наш век распределенных систем и облачных вычислений существует множество потенциальных точек доступа к медицинским данным, что делает их защиту сложной задачей. Короче говоря, все физические и виртуальные ресурсы и системы должны быть тщательно защищены от потенциальных атак, чтобы полностью защитить данные пациентов. Стандарт определяет, какие методы должны быть реализованы, но, что более важно, он требует создания водонепроницаемой сетевой инфраструктуры.

Более того, любая организация, которая не может обеспечить безопасность защищенных данных, сталкивается с серьезными финансовыми последствиями. Штрафы в размере до 50 000 долларов США в день за недобросовестные действия могут применяться с годовым пределом в 1,5 миллиона долларов США. Этого достаточно, чтобы сделать огромную дыру в бюджете любой организации. И что еще более усложняет ситуацию, соблюдение правил - это не просто вопрос заполнения нескольких форм. Необходимо предпринять конкретные шаги для эффективной защиты данных. Например, необходимо продемонстрировать проактивное управление уязвимостями.

В следующих разделах мы более подробно рассмотрим основные элементы соответствия HIPAA, чтобы помочь вам разобраться в этом сложном вопросе, насколько это возможно.

Правило конфиденциальности

В контексте информационных технологий наиболее важной частью HIPAA является Правило конфиденциальности. Он определяет, как можно получить доступ и обработать ePHI. Например, он требует, чтобы все медицинские организации, поставщики медицинских услуг и деловые партнеры (подробнее об этом позже) покрываемых организаций имели процедуры для активной защиты конфиденциальности данных пациентов. Это означает, что каждый объект, от исходного поставщика до центров обработки данных, в которых хранятся данные, и поставщиков облачных услуг, которые их обрабатывают, должен защищать данные. Но это еще не все, бизнес-партнер может также обратиться к любому подрядчику, предлагающему услуги вышеупомянутой организации, который также должен соответствовать требованиям HIPAA.

Хотя ясно, что основным требованием HIPAA является защита данных пациентов, есть еще один аспект. Организации также должны поддерживать права пациентов на эти данные. В частности, в соответствии с HIPAA есть три конкретных права, которые необходимо сохранить. Первый - это право разрешать (или не разрешать) раскрытие своих sPHI. Второй - право запросить (и получить) копию своей медицинской карты в любое время. И, наконец, есть право пациентов требовать исправления своих записей.

Чтобы разбить это дальше, правило конфиденциальности HIPAA гласит, что для раскрытия данных ePHI от пациента требуется согласие. В случае, если пациент запрашивает доступ к его данным, у организации есть 30 дней на то, чтобы ответить. Отсутствие своевременного ответа может привести к юридической ответственности предприятия и возможным штрафам.

Правило безопасности

Правило безопасности HIPAA является частью предыдущего правила. В нем описывается, как следует управлять ePHI с точки зрения безопасности. По сути, это правило гласит, что предприятия должны « применять необходимые меры безопасности » для защиты данных о пациентах. Что делает это правило одним из самых сложных для управления и соблюдения, так это двусмысленность, проистекающая из терминов «необходимые гарантии». Чтобы упростить управление и соблюдение, это правило HIPAA разделено на три основных раздела: административные меры безопасности, технические меры безопасности и физические меры безопасности. Посмотрим, что влечет за собой каждый из них.

Административные гарантии

В соответствии с Правилом безопасности HIPAA административные меры безопасности определяются как «административные действия, а также политики и процедуры для управления выбором, разработкой, внедрением и поддержанием мер безопасности для защиты электронной информации о здоровье». Кроме того, правило гласит, что управление поведением персонала также является частью этой ответственности. Это делает организации ответственными за действия своих сотрудников.

Административные меры безопасности указывают на то, что организации должны внедрять административные процессы для контроля доступа к данным пациентов, а также проводить обучение, чтобы сотрудники могли безопасно взаимодействовать с информацией. Должен быть назначен сотрудник для управления политиками и процедурами HIPAA с целью управления поведением персонала.

Физические гарантии

В то время как административные гарантии связаны с процедурами и процессами, требования к физическим гарантиям иные. Все дело в защите помещений, в которых обрабатываются или хранятся данные пациентов, а также ресурсов, которые имеют доступ к этим данным. Контроль доступа - наиболее важный аспект этого раздела спецификации HIPAA.

Короче говоря, вам нужно принять меры для контроля доступа к тому, где данные пациентов обрабатываются и хранятся. Вам также необходимо защитить те устройства, на которых данные обрабатываются и хранятся, от несанкционированного доступа - например, с использованием таких методов, как двухфакторная аутентификация - и вам необходимо контролировать и / или перемещать устройства на территорию и из нее.

Технические гарантии

В этом разделе рассматриваются технические политики и процедуры, связанные с защитой данных пациентов. Есть несколько способов защиты этих данных, включая, помимо прочего, аутентификацию, контроль аудита, аудиторские отчеты, ведение записей, контроль доступа и автоматический выход из системы, и это лишь некоторые из них. Кроме того, должны быть приняты меры, чтобы гарантировать, что данные всегда хранятся в безопасности, независимо от того, хранятся ли они на устройстве, перемещаются между системами или между местоположениями.

Для выявления факторов риска и угроз безопасности данных ePHI необходимо выполнить оценку рисков. И не только это, необходимо принять конкретные меры для устранения любых выявленных рисков и / или угроз. Аспект технических гарантий HIPAA, вероятно, является наиболее сложным, и это та область, где помощь квалифицированного консультанта по соблюдению требований HIPAA может помочь любой организации гарантировать, что ни один камень не останется незамеченным.

Правило уведомления о нарушении

Следующее важное правило спецификации HIPAA - это правило уведомления о нарушениях. Его цель - указать, как организации должны реагировать на утечки данных или другие события безопасности. Среди прочего, в нем говорится, что в случае утечки данных организации должны уведомить отдельных лиц, средства массовой информации или министра здравоохранения и социальных служб.

Роль также определяет, что составляет нарушение. Это описывается как «недопустимое использование или разглашение в соответствии с правилом конфиденциальности, которое ставит под угрозу безопасность или конфиденциальность защищенной медицинской информации». В правиле также указано, что у организаций есть до 60 дней на то, чтобы уведомить необходимые стороны. Он идет еще дальше, требуя, чтобы указанное уведомление указывало, какие личные идентификаторы были раскрыты, лицо, которое использовало открытые данные, и были ли данные просто просмотрены или получены. Кроме того, в уведомлении также должно быть указано, был ли снижен риск или ущерб и как.

Еще одна неотъемлемая часть правила уведомления о нарушениях касается отчетности. О небольших нарушениях, затрагивающих менее 500 человек, необходимо сообщать через веб-сайт Health and Social Services на ежегодной основе. О более крупных нарушениях, затрагивающих более 500 пациентов, также необходимо сообщать средствам массовой информации. С такими требованиями быстро становится очевидным, что ключом к успеху ваших усилий по соблюдению требований HIPAA является тщательный мониторинг нарушений.

Наш контрольный список соответствия HIPAA

В ПОРЯДКЕ. Теперь, когда мы рассмотрели основы того, что такое HIPAA и каковы его основные требования, мы составили контрольный список различных шагов, которые организация должна предпринять для достижения или поддержания статуса соответствия. Как мы указывали ранее, настоятельно рекомендуется заручиться помощью опытного специалиста по соблюдению требований HIPAA. Это не только сделает процесс намного проще и менее напряженным, но и они должны иметь возможность тщательно проверять ваши методы и процессы безопасности и определять области, которые могут выиграть от улучшений.

1. Завершите оценку рисков.

Первый пункт в этом кратком контрольном списке, первое, что должен сделать каждый, готовясь к соблюдению требований HIPAA, - это полная оценка ваших текущих рисков и состояния готовности. Причина, по которой вы должны сделать это в первую очередь, заключается в том, что ваш текущий статус будет определять, какие дальнейшие шаги необходимо предпринять для достижения соответствия. Глобальная оценка рисков, которая определит, как обрабатываются данные PHI и ePHI, позволит вам выявить любые пробелы в ваших политиках и процедурах безопасности.

Это первое место, где внешний консультант творит чудеса. Во-первых, он, как правило, обладает обширным опытом в обеспечении готовности к соблюдению требований HIPAA, но, что, возможно, более важно, он будет смотреть на вещи с другой точки зрения. Кроме того, этот консультант будет хорошо разбираться в различных требованиях HIPAA и в том, как они применяются в вашей конкретной ситуации.

После завершения этапа оценки рисков вам останется список рекомендаций, которые помогут в достижении соответствия. Вы можете думать об этом списке как о списке дел для следующих шагов. Мы просто не можем не подчеркнуть, насколько важен этот шаг. Это, прежде всего, будет решающим фактором успеха.

2. Устранение рисков соответствия и уточнение процессов

Второй шаг намного проще первого. Что вам нужно сделать дальше, так это взять все рекомендации с первого шага и выполнить их. Это шаг, на котором вам нужно изменить свои процессы и процедуры. Скорее всего, здесь вы столкнетесь с наибольшим сопротивлением со стороны пользователей. Степень сопротивления, конечно, будет варьироваться в зависимости от того, насколько вы изначально были близки, сколько изменений нужно было внести, и от точного характера этих изменений.

Рекомендуется сначала решить более мелкую проблему соответствия. Например, внедрение таких базовых мер, как обучение ваших сотрудников основным методам кибербезопасности или обучение их использованию двухфакторной аутентификации, должно быть простым и помочь вам начать работу довольно быстро и без проблем.

После того, как вы выполнили простые задачи, вам необходимо установить цели исправления, поскольку они помогут вам расставить приоритеты для оставшихся задач. Например, если результаты первых шагов показывают, что вам необходимо внедрить какую-либо форму отчетности о соответствии, именно здесь вы должны начать покупать инструмент с автоматической отчетностью о соответствии. Это еще одна область, в которой внешний консультант может избавить вас от лишних хлопот, предоставив ценную информацию о том, какие изменения вам необходимо внести, чтобы добиться соответствия.

3. Текущее управление рисками

У вас может возникнуть соблазн подумать, что достижение соответствия HIPAA - это разовая сделка, и что как только вы ее получите, вы ее получите. К сожалению, это далеко от истины. Хотя достижение соответствия - это единовременное усилие, поддержание его - это каждодневное усилие. Вам нужно будет постоянно управлять рисками и следить за тем, чтобы данные пациента были в безопасности и не подвергались доступу или изменению каким-либо несанкционированным образом.

Конкретно, вы захотите проводить регулярное сканирование уязвимостей. Вам также необходимо внимательно следить за системными журналами, чтобы обнаружить любые признаки подозрительной активности, пока не стало слишком поздно. Вот где автоматизированные системы будут наиболее полезны. В то время как внешний консультант был вашим лучшим активом на первых двух этапах, теперь программные инструменты - это то, что вам нужно. Говоря о программных инструментах, у нас есть несколько, которые мы хотели бы порекомендовать.

Некоторые инструменты, помогающие соответствовать требованиям HIPAA

Различные типы инструментов могут помочь в соблюдении требований HIPAA. Два из них особенно полезны. Во-первых, инструменты управления конфигурацией и аудита могут гарантировать, что конфигурация вашей системы соответствует требованиям HIPAA или любой другой нормативной базы. Но они также могут постоянно следить за конфигурацией вашего оборудования и гарантировать, что никакие несанкционированные изменения не будут внесены, что любое санкционированное изменение не нарушит соответствие. В нашем списке есть пара таких инструментов.

Другой полезный тип инструмента в контексте соответствия HIPAA связан с обнаружением утечек данных. С этой целью системы безопасности информации и управления событиями (SIEM) обеспечат вам уверенность в себе и гарантируют, что вы будете быстро уведомлены, если произойдет что-нибудь подозрительное. В нашем списке также есть несколько инструментов SIEM.

1. Монитор конфигурации сервера SolarWinds (БЕСПЛАТНАЯ пробная версия)

Когда дело доходит до мониторинга и аудита конфигураций серверов, то, что вам нужно, это SolarWinds Server Configuration Monitor или SCM . Это мощный и простой в использовании продукт, предназначенный для отслеживания изменений серверов и приложений в вашей сети. В качестве инструмента устранения неполадок он может предоставить вам необходимую информацию об изменениях конфигурации и их корреляции с замедлением производительности. Это может помочь вам найти основную причину некоторых проблем с производительностью, вызванных изменениями конфигурации.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: Монитор конфигурации сервера SolarWinds
• Официальная ссылка для скачивания: https://www.solarwinds.com/server-configuration-monitor/registration

Монитор конфигурации сервера SolarWinds является инструментом на основе агента, с агентом развернут на каждом контролируемом сервере. Преимущество этой архитектуры заключается в том, что агент может продолжать сбор данных, даже когда сервер отключен от сети. Затем данные отправляются в инструмент, как только сервер снова в сети.

По характеристикам этот продукт не оставляет желать лучшего. В дополнение к тому, что уже было упомянуто, этот инструмент автоматически обнаружит серверы, которые могут быть отслежены. Он поставляется с готовыми профилями конфигурации для наиболее распространенных серверов. Инструмент также позволит вам просматривать инвентаризацию оборудования и программного обеспечения, а также составлять отчеты о них. Вы можете легко интегрировать SCM в свое решение для системного мониторинга благодаря платформе Orion от SolarWinds. Это отличный инструмент, который можно использовать для мониторинга вашего локального физического и виртуального сервера, а также вашей облачной среды.

Цены на Монитор конфигурации сервера SolarWinds недоступны. Вам нужно будет запросить официальную цитату у SolarWinds. Однако для загрузки доступна 30-дневная ознакомительная версия .

2. Менеджер событий безопасности SolarWinds (БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД)

Когда дело доходит до информации о безопасности и управления событиями, вам нужен менеджер событий безопасности SolarWinds, ранее называвшийся менеджером журналов и событий SolarWinds . Инструмент лучше всего описать как инструмент SIEM начального уровня. Однако это одна из лучших систем начального уровня на рынке. В этом инструменте есть почти все, что вы можете ожидать от SIEM-системы. Это включает в себя отличные функции управления журналами и корреляции, а также впечатляющий механизм отчетов.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds Security Event Manager
• Официальная ссылка для скачивания: https://www.solarwinds.com/security-event-manager/registration

Инструмент также может похвастаться отличными функциями реагирования на события, которые не оставляют желать ничего лучшего. Например, подробная система реагирования в режиме реального времени будет активно реагировать на каждую угрозу. А поскольку он основан на поведении, а не на сигнатуре, вы защищены от неизвестных или будущих угроз и атак нулевого дня.

В дополнение к впечатляющему набору функций, панель управления SolarWinds Security Event Manager, возможно, является его лучшим активом. Благодаря простому дизайну у вас не будет проблем со знакомством с инструментом и быстрым обнаружением аномалий. Инструмент более чем доступен по цене от 4 500 долларов. А если вы хотите попробовать его и посмотреть, как он работает в вашей среде, вы можете загрузить бесплатную полнофункциональную 30-дневную пробную версию .

3. Netwrix Auditor для Windows Server

Следующим в нашем списке идет Netwrix Auditor для Windows Server , бесплатный инструмент отчетности Windows Server, который информирует вас обо всех изменениях, внесенных в конфигурацию Windows Server. Он может отслеживать такие изменения, как установка программного и аппаратного обеспечения, изменения служб, сетевых настроек и запланированных задач. Этот сбор будет отправлять сводки ежедневной активности с подробным описанием каждого изменения за последние 24 часа, включая значения до и после каждого изменения.

Netwrix утверждает, что Netwrix Auditor для Windows Server - это «бесплатное решение для мониторинга Windows Server, которое вы так долго искали». Продукт дополняет собственные решения для мониторинга сети и анализа производительности Windows. У него есть несколько преимуществ по сравнению со встроенными инструментами аудита, доступными в Windows Server. В частности, это повышает безопасность и предлагает более удобный поиск, консолидацию и представление данных аудита. Вы также оцените, насколько легко вы можете включить непрерывный ИТ-аудит с гораздо меньшими затратами времени и усилий и более эффективно контролировать изменения.

Каким бы хорошим ни был Netwrix Auditor для Windows Server , это бесплатный инструмент с несколько ограниченным набором функций. Если вам нужна дополнительная функциональность, вы можете попробовать Netwrix Auditor Standard Edition. Это не бесплатный инструмент, но он имеет значительно расширенный набор функций. Хорошо то, что когда вы загружаете бесплатную Netwrix Auditor для Windows Server, она будет включать в себя все функции своего старшего брата в течение первых 30 дней, что позволит вам почувствовать ее вкус.

4. Безопасность предприятия Splunk

Splunk Enterprise Security - обычно называемый Splunk ES - вероятно, является одним из самых популярных инструментов SIEM. Он особенно известен своими аналитическими возможностями, и когда дело доходит до обнаружения утечек данных, это то, что имеет значение. Splunk ES отслеживает данные вашей системы в режиме реального времени, выявляя уязвимости и признаки аномальной и / или вредоносной активности.

В дополнение к отличному мониторингу, ответная реакция безопасности - еще одна из лучших функций Splunk ES. В системе используется концепция, называемая Adaptive Response Framework (ARF), которая интегрируется с оборудованием более чем 55 поставщиков средств безопасности. ARF выполняет автоматический ответ, ускоряя ручные задачи. Это позволит вам быстро одержать верх. Добавьте к этому простой и лаконичный пользовательский интерфейс, и вы получите выигрышное решение. Другие интересные функции включают функцию Notables, которая показывает настраиваемые пользователем предупреждения, и Asset Investigator для выявления вредоносных действий и предотвращения дальнейших проблем.

Поскольку Splunk ES действительно является продуктом корпоративного уровня, вы можете ожидать, что он будет стоить по цене корпоративного уровня. Информация о ценах, к сожалению, недоступна на веб-сайте Splunk, поэтому вам нужно будет связаться с отделом продаж компании, чтобы получить расценки. Обращение к Splunk также позволит вам воспользоваться бесплатной пробной версией, если вы захотите попробовать продукт.

5. Quest Change Auditor.

Quest Software - известный производитель средств сетевого администрирования и безопасности. Его инструмент мониторинга и аудита конфигурации сервера удачно называется Quest Change Auditor и предлагает безопасность в реальном времени и ИТ-аудит вашей среды Microsoft Windows. Этот инструмент дает вам полный ИТ-аудит в реальном времени, углубленную криминалистическую экспертизу и всесторонний мониторинг безопасности для всех ключевых конфигураций, изменений пользователей и администраторов для Microsoft Active Directory, Azure AD, Exchange, Office 365, Exchange Online, файловых серверов и более. Quest Change Auditor также отслеживает подробные действия пользователей по входам в систему, аутентификации и другим ключевым службам в организациях, улучшая обнаружение угроз и мониторинг безопасности. Он имеет центральную консоль, которая устраняет необходимость и сложность множества решений для ИТ-аудита.

Одной из замечательных функций этого инструмента является обнаружение угроз Quest Change Auditor, технология превентивного обнаружения угроз. Он может упростить обнаружение угроз для пользователей путем анализа аномальной активности для ранжирования пользователей с наибольшим риском в вашей организации, выявления потенциальных угроз и снижения шума от ложных срабатываний предупреждений. Инструмент также защитит от изменений критически важных данных на файловых серверах AD, Exchange и Windows, включая привилегированные группы, объекты групповой политики и конфиденциальные почтовые ящики. Он может создавать исчерпывающие отчеты о передовых методах безопасности и нормативных требованиях, включая GDPR, SOX, PCI-DSS, HIPAA, FISMA, GLBA и другие. Он также может сопоставлять разрозненные данные из многочисленных систем и устройств в интерактивную поисковую систему для быстрого реагирования на инциденты безопасности и криминалистического анализа.

Ценовая структура Quest Change Auditor довольно сложна, поскольку каждую отслеживаемую платформу необходимо приобретать отдельно. С другой стороны, для каждой поддерживаемой платформы доступна бесплатная пробная версия продукта.

В заключении

Хотя достижение соответствия HIPAA является серьезной проблемой, это отнюдь не невозможно. На самом деле, нужно просто выполнить несколько простых, но продуманных шагов и окружить вас нужными людьми и нужными технологиями, чтобы сделать это как можно проще. Только учтите, что некоторые требования HIPAA могут показаться довольно неоднозначными. Вот почему мы можем только порекомендовать вам получить помощь в виде опытного консультанта и специальных программных инструментов. Это должно помочь сделать переход максимально плавным.