Министерство здравоохранения и социальных служб США и Рабочая группа по кибербезопасности Координационного совета сектора здравоохранения выпустили в среду новое руководство, призванное помочь государственному и частному секторам здравоохранения лучше привести свои программы информационной безопасности в соответствие со структурой кибербезопасности Национального института стандартов и технологий.
ПОЧЕМУ ЭТО ВАЖНО
Помощь государственному и частному секторам здравоохранения в предотвращении инцидентов в области кибербезопасности стала национальной проблемой защиты критической инфраструктуры.
Согласно заявлению HSCC, в этом духе NIST и другие федеральные агентства внесли существенный вклад в содержание нового Руководства по внедрению концепции кибербезопасности.
Это руководство дополняет более раннюю совместную публикацию программы HHS/HSCC 405(d) «Практики кибербезопасности в сфере здравоохранения», — сказал Эрик Декер, председатель рабочей группы HSCC по кибербезопасности и главный специалист по информационной безопасности Intermountain Healthcare, в заявлении совета.
«С помощью этого набора инструментов организации любого размера могут внедрять передовые методы кибербезопасности, защищать своих пациентов и повышать устойчивость сектора», — сказал Декер.
По словам Джона Ригги, национального советника Американской ассоциации больниц по кибербезопасности и рискам, новое руководство является своевременным после публикации Национальной стратегии Белого дома по кибербезопасности, призывающей к скоординированному подходу между правительством и частным сектором для защиты критически важной инфраструктуры.
«Соблюдение этой структуры может быть использовано для демонстрации реализации признанных практик кибербезопасности, чтобы претендовать на регулятивную помощь жертвам кибератак, предусмотренную публичным законом 116-321», — отметил Ригги в заявлении о новом руководстве по структуре кибербезопасности, размещенном на веб-сайте AHA.
Роберт Букер, директор по стратегии HITRUST, повторил своевременность и ценность руководства в отношении обеспечения проверки программы кибербезопасности в электронном письме Медицинские ИТ-новости вчера.
«Учреждения, регулируемые здравоохранением, такие как все отрасли критической инфраструктуры, могут ожидать запросов от регулирующих органов для дальнейшей демонстрации зрелой кибербезопасности», — сказал Букер.
«Использование этого руководства по внедрению и NIST Cybersecurity Framework может служить основой для оценки и демонстрации наличия средств контроля на предприятии и свидетельством активной и последовательной зрелости средств контроля, поскольку NIST Cybersecurity Framework признан признанными методами обеспечения безопасности, наряду с Практика кибербезопасности в сфере здравоохранения, разработанная Управлением гражданских прав HHS в соответствии с Законом о HITECH от 2021 года», — сказал он.
Брайан Клайн, главный научный сотрудник HITRUST и сопредседатель рабочей группы по оценке рисков рабочей группы HSCC по кибербезопасности, добавил, что обновления в новом руководстве по внедрению поддерживают анализ рисков на основе структуры управления, что позволяет организациям использовать такие ссылки, как NIST SP 800. -53 и HITRUST CSF, «чтобы значительно упростить требования HIPAA к анализу рисков».
«Постоянное и устойчивое лидерство в этой важной работе в частном и государственном секторах имеет решающее значение для организаций здравоохранения, стремящихся управлять киберрисками, выявлять возможности для улучшения и использовать принципы анализа рисков, важные для правила безопасности HIPAA наряду с NIST Cybersecurity Framework». он сказал.
БОЛЬШАЯ ТЕНДЕНЦИЯ
HICP, который следовал Закону о кибербезопасности 2015 года и соответствовал структуре NIST, служил «поваренной книгой» кибер-готовности с рецептами готовности и, как ожидается, будет развиваться с более поздним законодательством, влияющим на программу 405 (d).
«Это позволяет вам довольно быстро и лаконично погрузиться в глубокие детали, чтобы стать тактичным и сделать несколько блокировок и захватов», — сказал Декер. Медицинские ИТ-новости в 2019 году.
В то время как HICP и дополнительные материалы к нему были краеугольным камнем публикации 405 (d), в предисловии к новому руководству по внедрению Администрация HHS по стратегической готовности и реагированию ссылается на «недостаточное внимание к соблюдению нормативных требований, увеличивает риск оказания помощи». , в дополнение к штрафам и другим наказаниям».
«Многие, если не большинство, организаций здравоохранения испытывают затруднения с эффективным управлением кибербезопасностью. [OCR] Отраслевой отчет аудита HIPAA показал, что 86% подпадающих под действие организаций и 83% деловых партнеров (в совокупности 85%) не оправдали ожиданий в отношении оценки рисков», — говорится в сообщении ASPR.
«Что касается управления рисками, 94% CE и 88% BA (91% в совокупности) не оправдали ожиданий».
В декабре Грег Гарсия, исполнительный директор HSCC, заявил участникам форума HIMSS Healthcare Cybersecurity Forum, что защита здравоохранения как критической инфраструктуры является коллективной ответственностью, и отметил, что более 700 членов совета создали ряд бесплатных ресурсов для защиты от общеотраслевые проблемы, такие как кибератаки.
«Это необходимо реализовать. Это не запасные части», — сказал он.
В ЗАПИСИ
«Поскольку киберпреступники продолжают нападать на системы здравоохранения, чтобы украсть или удержать с целью получения выкупа конфиденциальные медицинские данные американских пациентов и поставить под угрозу повседневную деятельность поставщиков медицинских услуг, я рад видеть [HHS] выпустить новое добровольное руководство по укреплению кибербезопасности в сфере здравоохранения», — говорится в заявлении сенатора Марка Уорнера, штат Вирджиния.
«Я аплодирую [HSCC] Рабочая группа по кибербезопасности для работы по преобразованию киберпрактик в соответствующие стандарты для поставщиков медицинских услуг. Я с нетерпением жду продолжения работы с киберэкспертами, заинтересованными сторонами в области здравоохранения и официальными лицами в администрации Байдена, чтобы определить, какие добровольные меры нам необходимо начать требовать для обеспечения безопасности пациентов».
Андреа Фокс — старший редактор Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — это издание HIMSS Media.
