«Первостепенная важность»: минимальные киберстандарты для защиты данных

Кибербезопасность имеет первостепенное значение в отрасли здравоохранения из-за конфиденциального характера медицинских данных и потенциальных последствий взлома. Таким образом, крайне важно иметь стандарты, которые можно будет применять во всей отрасли для лучшей защиты данных и безопасности пациентов.

Ниже приведены некоторые стандарты, которых следует придерживаться:

• Соответствие HIPAA: Закон о переносимости и подотчетности медицинского страхования (HIPAA) устанавливает национальные стандарты защиты конфиденциальной информации о здоровье пациентов. Организации здравоохранения должны применять физические, технические и административные меры безопасности для обеспечения конфиденциальности, целостности и доступности электронной защищенной медицинской информации (ePHI).
• Оценка рисков и управление рисками. Медицинские организации должны проводить регулярные оценки рисков для выявления потенциальных уязвимостей и угроз для своих систем и данных. На основе оценки рисков им следует реализовать соответствующие стратегии управления рисками, такие как политики, процедуры и технические средства контроля.
• Контроль доступа. Важно внедрить строгий контроль доступа, чтобы гарантировать, что только авторизованный персонал сможет получить доступ к конфиденциальным данным и системам. Сюда входят такие меры, как управление доступом на основе ролей, многофакторная аутентификация и регулярные проверки доступа пользователей.
• Шифрование. Все ePHI должны быть зашифрованы при хранении и передаче, чтобы защитить их от несанкционированного доступа или перехвата.
• Осведомленность и обучение вопросам безопасности. Медицинские организации должны предоставлять регулярные программы повышения осведомленности и обучения безопасности для всех сотрудников, чтобы гарантировать, что они понимают свои роли и обязанности по защите конфиденциальных данных и систем.
• Реагирование на инциденты и уведомление о нарушениях. Наличие плана реагирования на инциденты для обнаружения, реагирования и восстановления после инцидентов безопасности, включая утечки данных, имеет решающее значение.
• Безопасное удаление и уничтожение. Медицинские организации должны иметь политику и процедуры для безопасного удаления и уничтожения электронных носителей и бумажных записей, содержащих конфиденциальную информацию.
• Управление рисками третьих сторон. Важно оценивать и управлять рисками, связанными со сторонними поставщиками и деловыми партнерами, которые имеют доступ к конфиденциальным данным или обрабатывают их.
• Управление уязвимостями и управление исправлениями. Медицинские организации должны регулярно сканировать уязвимости в своих системах и приложениях и оперативно применять исправления и обновления для устранения выявленных уязвимостей.
• Сетевая безопасность. Организации должны обязательно внедрить соответствующие средства контроля сетевой безопасности, такие как брандмауэры, системы обнаружения/предотвращения вторжений и безопасную сегментацию сети.

Важно отметить, что это минимальные стандарты, и организациям здравоохранения может потребоваться внедрить дополнительные меры безопасности с учетом их конкретных рисков, нормативных требований и конфиденциальности данных, которые они обрабатывают.

Этот кусок был написан Джои Менесесом, техническим директором и директором отдела ИТ-операций и новых технологий детской больницы Акрона.