0
0
A nova versão preliminar da publicação do NIST, formalmente intitulada Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Um Guia de Recursos de Segurança Cibernética (Publicação Especial NIST 800-66, Revisão 2), foi projetado para ajudar a indústria a manter a confidencialidade, integridade e disponibilidade de informações de saúde eletrônicas protegidas, ou ePHI. O termo cobre uma ampla gama de dados dos pacientes, incluindo receitas médicas, resultados de laboratório e registros de visitas e vacinas hospitalares.
“Um de nossos principais objetivos é ajudar a tornar a publicação atualizada mais um guia de recursos”, disse Jeff Marron, um especialista em cibersegurança do NIST. “A revisão é mais acionável para que as organizações de saúde possam melhorar sua postura de segurança cibernética e cumprir a Regra de Segurança”.
A Health Insurance Portability and Accountability Act of 1996 (HIPAA) é uma lei federal que exige a criação de normas nacionais para proteger as informações sensíveis sobre saúde do paciente de serem divulgadas sem o consentimento ou conhecimento do paciente. Parte da HIPAA é a Regra de Segurança, que se concentra especificamente na proteção da ePHI que uma organização de saúde cria, recebe, mantém ou transmite. O NIST não cria regulamentos para impor a HIPAA, mas o esboço revisado está de acordo com a missão do NIST de fornecer orientação de segurança cibernética. A orientação atualizada do NIST é particularmente oportuna, pois o Departamento de Saúde e Serviços Humanos dos EUA observou um aumento dos ataques cibernéticos que afetam o sistema de saúde.
O NIST está procurando comentários sobre a minuta da publicação até 21 de setembro de 2022.
Uma das principais razões pelas quais o NIST desenvolveu a revisão é para integrá-la com outras diretrizes de cibersegurança do NIST que não existiam quando a Revisão 1 foi publicada em 2008. Desde então, o NIST desenvolveu sua conhecida Estrutura de Segurança Cibernética, e também atualizou repetidamente sua coleção de Controles de Segurança e Privacidade (NIST SP 800-53) que as organizações podem usar para adaptar suas próprias abordagens de gerenciamento de risco. O novo esboço de orientação das Regras de Segurança HIPAA faz conexões explícitas com estes e outros recursos de segurança cibernética do NIST.
“Mapeamos todos os elementos da Regra de Segurança HIPAA para as subcategorias da Estrutura de Segurança Cibernética e para os controles na última versão do NIST SP 800-53”, disse Marron. “Temos aumentado nossa ênfase no componente de gerenciamento de risco da orientação, incluindo a integração de conceitos de gerenciamento de risco empresarial“.
A minuta leva em conta mais de 400 respostas únicas que o NIST recebeu a sua solicitação de comentários pré-projeto no ano passado. Marron descreve a minuta como mais uma atualização do que uma revisão, já que a estrutura do documento mudou apenas ligeiramente, mas o conteúdo foi atualizado com maior ênfase na avaliação e gestão de risco para o ePHI. Muitas das mudanças significativas estão implícitas na “Nota aos Revisores” da publicação, que pede aos leitores que pensem em seções específicas.
Marron disse que, como em muitas publicações cibernéticas de segurança do NIST relacionadas, a minuta revisada não pretendia ser uma lista de verificação a ser seguida pelas organizações de saúde, mas sim guiá-las na melhoria de sua gestão de risco para a ePHI.
“Nós fornecemos um recurso que pode ajudá-lo a implementar a Regra de Segurança em sua própria organização, que pode ter necessidades particulares”, disse ele. “Nosso objetivo é oferecer orientação e recursos que você pode utilizar em uma publicação legível”.
NIST está aceitando comentários sobre o rascunho até 21 de setembro de 2022, por e-mail para sp800-66-comments@nist.gov.
FONTE: CRYPTOID