Důvod, proč mnoho lidí nerozpozná příležitost, je ten, že obvykle chodí v montérkách a vypadá jako tvrdá práce. – Thomas A. Edisons
Termínem „v souladu s HIPAA“ se ohání spousta lidí – dodavatelé, konzultanti, vývojáři, auditoři a další. Problémem volně plynoucího charakteru tohoto termínu je, že „HIPAA compliant“ je subjektivní. Jediný způsob, jak prokázat shodu, je absolvovat – a úspěšně projít – externí audit, nejlépe audit provedený renomovanou auditorskou firmou se zkušenostmi se systémem HIPAA.
Vzhledem k subjektivní povaze systému HIPAA a variabilitě auditů (jako bývalý auditor informačního zabezpečení se cítím kvalifikován toto tvrdit), mají kryté subjekty problém s hodnocením shody a zabezpečení u externích dodavatelů i interních projektů (myslím inovační skupiny a výzkum). Výsledkem je často opětovné vynalézání kola pokaždé, když dodavatel prodává nový krytý subjekt, a pokaždé, když krytý subjekt posuzuje bezpečnost nového dodavatele. Je to neuvěřitelně neefektivní a plné příležitostí k přehlédnutí věcí; přehlédnutí věcí v oblasti bezpečnosti a dodržování předpisů vystavuje kryté subjekty značnému riziku. Na scénu přichází HITRUST, průmyslem řízené úsilí o standardizaci společného, certifikovatelného rámce, z něhož budou mít prospěch jak dodavatelé, tak kryté subjekty.
Úvod do HITRUST
HITRUST neboli Health Information Trust Alliance vlastně vůbec není rámec, ale organizace, která vytvořila a udržuje společný bezpečnostní rámec neboli CSF. CSF, v současné době ve verzi 7, je certifikovatelný rámec, který sdružuje nebo harmonizuje několik dalších rámců a standardů shody včetně HIPAA, PCI, ISO a NIST. Harmonizací CSF mapuje všechny tyto standardy dohromady, přičemž CSF je ústředním mapovacím klíčem.
Podle svých webových stránek se HITRUST a jemu odpovídající CSF „zrodil z přesvědčení, že bezpečnost informací by měla být základním pilířem, nikoli překážkou širokého přijetí systémů a výměn zdravotnických informací“. Bezpečnost a dodržování předpisů jsou klíčovou součástí úspěchu zdravotnických technologií; nelze je ignorovat nebo považovat za vedlejší. Bez standardizovaného rámce, procesu a certifikačního orgánu je HIPAA pro zdravotnické technologie často překážkou. HITRUST je pokusem pomoci dodavatelům lépe prokázat jejich zabezpečení a pomoci krytým subjektům zefektivnit kontroly dodavatelů z hlediska bezpečnosti a shody s předpisy. V této snaze je HITRUST úspěšný. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. Většina organizací má různé úrovně implementace pro různé kontrolní mechanismy a nejedná se plošně pouze o úroveň 1, 2 nebo 3.
Myslím si, že toto je oblast, ve které panuje největší zmatek ohledně certifikace HITRUST, nebo alespoň oblast, na kterou se nás nejvíce ptají v souvislosti s naší vlastní certifikací HITRUST CSF. Na začátku každého hodnocení HITRUST, bez ohledu na typ hodnocení (více viz níže Stupně zabezpečení), je shromáždění informací o hodnoceném subjektu. Tyto informace slouží k posouzení organizace, systému a regulačních požadavků na posouzení. Koncepčně se určuje riziko nebo rozsah posouzení.
Tento krok je také zapsán v systému HIPAA, ale není součástí většiny posouzení. HIPAA umožňuje kontroly, které jsou přiměřené a vhodné. Slovy HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program.
Většina hodnocení HIPAA je univerzální, protože neexistuje rámec pro výklad reasonable
; nakonec je pravděpodobně dobře, že tyto nejsou vykládány.
Při určování úrovně implementace HITRUST dynamicky stanovuje požadavky pro každou organizaci a každé hodnocení. Stejně jako v případě širšího rámce CSF jde o standardizovaný proces určování úrovně implementace.
Stupně zabezpečení CSF
HITRUST nabízí 3 různé stupně zabezpečení, což jsou v podstatě úrovně hodnocení. Stupně zabezpečení odpovídají nákladům, úrovni úsilí, množství času a přísnosti. Každý stupeň navazuje na ten následující. Pro srovnání, společnost Datica dokončila hodnocení CSF Certified, což je nejvyšší stupeň zabezpečení.
Existují následující možnosti stupňů zabezpečení, počínaje nejnižšími náklady, mírou úsilí, časem a přísností.
-
Samostatné hodnocení. Jedná se jednoduše o organizaci, která si CSF doplňuje sama. Je cenné, obvykle jako interní nástroj organizace, protože se opět provádí podle standardizovaného rámce. Nejsou zde žádné externí strany, které by ověřovaly nějaké aspekty hodnocení. Jeho výsledkem je zpráva o sebehodnocení CSF vydaná organizací HITRUST.
-
CSF Validated. Tato možnost, stejně jako níže uvedená možnost CSF Certified, vyžaduje, aby informace shromážděné organizací provádějící posouzení ověřila třetí strana – CSF Assessor. CSF Assessor je schválen společností HITRUST. Tento stupeň zajištění vyžaduje návštěvu CSF Assessora na místě. HITRUST přezkoumá dokončené a ověřené posouzení a jako výsledek vydá zprávu Validated Report.
-
CSF Certified Podobně jako u posouzení CSF Validated je organizaci podstupující posouzení udělena certifikace CSF HITRUST, která má platnost dva roky. Hlavní rozdíly u tohoto stupně zabezpečení spočívají v tom, že organizace, které byla udělena certifikace HITRUST CSF, splňuje všechny certifikační požadavky CSF. Navazuje na hodnocení CSF Validated v tom smyslu, že HITRUST přezkoumává a certifikuje záznamy organizace a ověření hodnotitele třetí strany. V případě společnosti Datica trval tento závěrečný krok pro certifikaci 3-4 měsíce.
PCI for Healthcare
Mezi HITRUST a PCI existují paralely. Pro ty, kteří nejsou obeznámeni, PCI je rámec shody pro odvětví zpracování finančních a platebních transakcí. Dosažení shody s PCI je velmi náročné, podobně jako certifikované posouzení HITRUST. Zatímco HIPAA byl sepsán a je technicky vynucován federální vládou (konkrétně HHS), CSF byl sepsán a je udržován organizací HITRUST, která je řízena reprezentativním orgánem z oblasti zdravotnictví.
V mnoha ohledech je HITRUST pokusem zdravotnického průmyslu vytvořit standardizovanou certifikaci podobnou PCI. Pokud jde o prosazování, zdravotnický průmysl, na rozdíl od HHS, má prosazovat HITRUST tím, že vyžaduje certifikované hodnocení obchodních partnerů a subdodavatelů. V rámci zdravotnického průmyslu stále existují mezery v zavádění, ale příliv se zjevně obrací, protože stále více subjektů očekává, že dodavatelé budou mít certifikaci HITRUST CSF.
HITRUST vs. HIPAA
Jak bylo uvedeno výše, HITRUST navazuje na HIPAA. Přebírá HIPAA, nestandardizovaný a nepředpisový rámec shody, a vytváří standardizovaný rámec shody, hodnocení a certifikační proces pro zdravotnický průmysl. V tomto procesu „harmonizuje“ HIPAA s dalšími rámci shody, jako jsou PCI a NIST. HITRUST také přizpůsobuje požadavky na certifikaci rizikům organizace na základě organizačních, systémových a regulačních faktorů.
Na rozdíl od HIPAA, který má definované sankce za porušení bezpečnosti, závisí prosazování HITRUST na samotném zdravotnickém průmyslu, typicky na pokrytých subjektech, jako jsou nemocnice a plátci, kteří vyžadují od dodavatelů certifikaci HITRUST CSF. Systém HITRUST se ve zdravotnictví rychle prosadil a stále častěji se setkáváme s tím, že je od dodavatelů očekáván. I když není vždy vyžadován jako krok při zavádění nové technologie, HITRUST rozhodně zefektivňuje krok zabezpečení a shody s předpisy v procesu zavádění.
Pokud jsem prošel jak audity HIPAA, tak certifikovaným hodnocením CSF, mohu s jistotou říci, že certifikace HITRUST CSF je mnohem přísnější proces s větším důkazním břemenem kladeným na organizaci, která se snaží certifikace dosáhnout, než audit HIPAA. Získání certifikace HITRUST CSF vyžaduje podstatně více času, úsilí a zdrojů než audit HIPAA. Získání certifikace HITRUST CSF by mělo být vnímáno jako významnější odznak za bezpečnost a shodu s předpisy než absolvování auditu HIPAA.
Pokud zvažujete nebo jste absolvovali hodnocení HITRUST, neváhejte se na nás obrátit s dotazy nebo zpětnou vazbou.