Was ist HITRUST?

Aufgrund der subjektiven Natur des HIPAA und der Variabilität der Audits (als ehemaliger Info-Sec-Auditor fühle ich mich qualifiziert, dies zu sagen), haben die betroffenen Einrichtungen Schwierigkeiten, die Einhaltung und Sicherheit für externe Anbieter sowie für interne Projekte (z. B. Innovationsgruppen und Forschung) zu beurteilen. Das Ergebnis ist oft, dass das Rad jedes Mal neu erfunden werden muss, wenn ein Anbieter an eine neue betroffene Einrichtung verkauft wird und wenn eine betroffene Einrichtung die Sicherheit eines neuen Anbieters bewertet. Das ist unglaublich ineffizient und birgt die Gefahr, dass man etwas übersieht. Wenn man etwas bei der Sicherheit und der Einhaltung von Vorschriften übersieht, setzt man die betroffenen Einrichtungen einem erheblichen Risiko aus. Hier kommt HITRUST ins Spiel, ein von der Branche vorangetriebenes Projekt zur Standardisierung eines gemeinsamen, zertifizierbaren Rahmens, von dem sowohl Anbieter als auch betroffene Einrichtungen profitieren.

Einführung in HITRUST

HITRUST, die Health Information Trust Alliance, ist eigentlich gar kein Rahmenwerk, sondern die Organisation, die das Common Security Framework (CSF) geschaffen hat und pflegt. Das CSF, das sich derzeit in der Version 7 befindet, ist ein zertifizierbares Rahmenwerk, das mehrere andere Rahmenwerke und Standards für die Einhaltung von Vorschriften zusammenfasst oder harmonisiert, darunter HIPAA, PCI, ISO und NIST. Durch die „Harmonisierung“ bildet das CSF all diese Standards ab, wobei das CSF als zentraler Abbildungsschlüssel dient.

Nach Angaben auf der Website von HITRUST und dem dazugehörigen CSF „wurde das CSF aus der Überzeugung heraus geboren, dass die Informationssicherheit eine tragende Säule der breiten Einführung von Gesundheitsinformationssystemen und -austausch sein sollte und nicht ein Hindernis. Sicherheit und Compliance sind ein wesentlicher Bestandteil des Erfolgs der Gesundheitstechnologie; sie können nicht ignoriert oder als nachträglicher Gedanke behandelt werden. Ohne einen standardisierten Rahmen, Prozess und eine Zertifizierungsstelle ist HIPAA oft ein Hindernis für die Gesundheitstechnologie. HITRUST ist ein Versuch, Anbietern zu helfen, ihre Sicherheit besser nachzuweisen und den betroffenen Einrichtungen zu helfen, die Sicherheits- und Konformitätsprüfungen von Anbietern zu rationalisieren. Bei diesem Versuch ist HITRUST erfolgreich. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.

(Image credit: HITRUST CSF Assurance Program)

CSF Domains and Controls

The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.

• Information Protection Program
• Endpoint Protection
• Portable Media Security
• Mobile Device Security
• Wireless Protection
• Configuration Management
• Vulnerability Management
• Network Protection
• Transmission Protection
• Password Management
• Access Control
• Audit Logging & Monitoring
• Education, Training & Awareness
• Third Party Security
• Incident Management
• Business Continuity & Disaster Recovery
• Risk Management
• Physical & Environmental Security
• Data Protection & Privacy

In addition to the above domains, HITRUST has 135 specific controls.

CSF Levels of Implementation

For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. Die meisten Organisationen haben verschiedene Implementierungsstufen für verschiedene Kontrollen und sind nicht nur auf Stufe 1 oder 2 oder 3.

Ich denke, dies ist der Bereich, in dem es die meiste Verwirrung über HITRUST gibt, oder zumindest der Bereich, in dem wir am meisten über unsere eigene HITRUST CSF-Zertifizierung gefragt werden. Am Anfang jeder HITRUST-Bewertung, unabhängig von der Art der Bewertung (siehe Grad der Sicherheit weiter unten), steht das Sammeln von Informationen über die zu bewertende Organisation. Diese Informationen werden verwendet, um die Organisation, das System und die gesetzlichen Anforderungen für die Bewertung zu beurteilen. Konzeptuell wird das Risiko oder der Umfang der Bewertung bestimmt.

Dieser Schritt ist auch im HIPAA verankert, ist jedoch nicht Teil der meisten Bewertungen. HIPAA lässt Kontrollen zu, die angemessen und geeignet sind. In den Worten von HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. Die meisten HIPAA-Bewertungen sind eine Einheitsgröße für alle, weil es keinen Rahmen für die Interpretation von reasonable und appropriate gibt; am Ende ist es wahrscheinlich gut, dass diese nicht interpretiert werden.

Bei der Bestimmung der Implementierungsebene legt HITRUST dynamisch Anforderungen für jede Organisation und jede Bewertung fest. Wie beim CSF im Allgemeinen handelt es sich um ein standardisiertes Verfahren zur Bestimmung der Umsetzungsebene.

CSF Degrees of Assurance

HITRUST bietet 3 verschiedene Degrees of Assurance an, die im Wesentlichen Bewertungsebenen darstellen. Die Zuverlässigkeitsgrade orientieren sich an den Kosten, dem Aufwand, der Zeit und der Strenge. Jede Stufe baut auf der nächsthöheren auf. Zum Vergleich: Datica hat eine CSF-zertifizierte Bewertung abgeschlossen, die den höchsten Grad an Sicherheit darstellt.

Die folgenden Optionen gibt es für die Grade der Sicherheit, beginnend mit den geringsten Kosten, dem geringsten Aufwand, der geringsten Zeit und der geringsten Strenge.

1. Selbstbewertung. Hierbei handelt es sich einfach um eine Organisation, die den CSF selbst ausfüllt. Es ist ein wertvolles, typischerweise internes Werkzeug für die Organisation, weil es wieder ein standardisiertes Rahmenwerk ist. Es gibt keine externen Parteien, die irgendwelche Aspekte der Bewertung überprüfen. Das Ergebnis ist ein von HITRUST ausgestellter CSF-Selbstbewertungsbericht.

2. CSF Validated. Bei dieser und der nachfolgenden Option CSF Certified muss ein externer CSF-Assessor die von der Organisation, die die Bewertung durchführt, gesammelten Informationen verifizieren. Der CSF-Bewerter ist von HITRUST zugelassen. Für diesen Zuverlässigkeitsgrad ist ein Vor-Ort-Besuch des CSF-Bewerters erforderlich. HITRUST prüft die abgeschlossene und validierte Bewertung und stellt als Ergebnis einen Validated Report aus.

3. CSF Certified Ähnlich wie bei der CSF Validated-Bewertung erhält die Organisation, die die Bewertung durchläuft, eine HITRUST CSF-Zertifizierung, die für zwei Jahre gültig ist. Der Hauptunterschied besteht darin, dass die Organisation, die die HITRUST CSF-Zertifizierung erhält, alle Zertifizierungsanforderungen des CSF erfüllt. Dies baut auf der CSF Validated-Bewertung auf, da HITRUST die Einträge der Organisation und die Validierung des Drittanbieters überprüft und zertifiziert. Im Falle von Datica dauerte dieser letzte Schritt zur Zertifizierung 3-4 Monate.

PCI für das Gesundheitswesen

Es gibt Parallelen zwischen HITRUST und PCI. Für diejenigen, die damit nicht vertraut sind: PCI ist das Rahmenwerk für die Einhaltung von Vorschriften in der Finanz- und Zahlungsverkehrsbranche. Das Erreichen der PCI-Konformität ist sehr aufwendig, ähnlich wie eine zertifizierte HITRUST-Bewertung. Während HIPAA von der Bundesregierung (insbesondere HHS) verfasst wurde und technisch durchgesetzt wird, wurde das CSF von HITRUST verfasst und wird von einem repräsentativen Gremium der Gesundheitsbranche verwaltet.

In vielerlei Hinsicht ist HITRUST ein Versuch der Gesundheitsbranche, eine standardisierte, PCI-ähnliche Zertifizierung zu schaffen. Was die Durchsetzung betrifft, so soll die Gesundheitsbranche, im Gegensatz zum HHS, HITRUST durchsetzen, indem sie zertifizierte Bewertungen von Geschäftspartnern und Unterauftragnehmern verlangt. Es gibt immer noch Lücken in der Annahme innerhalb der Gesundheitsbranche, aber das Blatt wendet sich eindeutig, da immer mehr Einrichtungen erwarten, dass Anbieter HITRUST CSF-zertifiziert sind.

HITRUST vs. HIPAA

Wie oben erwähnt, baut HITRUST auf HIPAA auf. Es nimmt HIPAA, ein nicht standardisiertes und nicht präskriptives Rahmenwerk für die Einhaltung von Vorschriften, und schafft ein standardisiertes Rahmenwerk für die Einhaltung von Vorschriften, eine Bewertung und einen Zertifizierungsprozess für die Gesundheitsbranche. Dabei wird HIPAA mit anderen Compliance-Rahmenwerken wie PCI und NIST „harmonisiert“.

Im Gegensatz zu HIPAA, das Sanktionen für Sicherheitsverstöße vorsieht, hängt die Durchsetzung von HITRUST von der Gesundheitsbranche selbst ab, in der Regel von Einrichtungen wie Krankenhäusern und Kostenträgern, die eine HITRUST CSF-Zertifizierung von Anbietern verlangen. HITRUST hat sich im Gesundheitswesen schnell durchgesetzt, und wir beobachten, dass es von den Anbietern immer mehr erwartet wird. Auch wenn HITRUST nicht immer als Schritt bei der Implementierung einer neuen Technologie erforderlich ist, so vereinfacht es doch den Schritt der Sicherheit und Konformität im Implementierungsprozess.

Nachdem ich sowohl HIPAA-Audits als auch eine zertifizierte CSF-Bewertung durchlaufen habe, kann ich mit Sicherheit sagen, dass die HITRUST-CSF-Zertifizierung ein viel strengerer Prozess ist, bei dem die Organisation, die eine Zertifizierung anstrebt, eine höhere Beweislast zu tragen hat als bei einem HIPAA-Audit. Das Erreichen der HITRUST CSF-Zertifizierung erfordert wesentlich mehr Zeit, Aufwand und Ressourcen als ein HIPAA-Audit. Die HITRUST CSF-Zertifizierung sollte als ein bedeutenderes Abzeichen für Sicherheit und Konformität angesehen werden als der Abschluss eines HIPAA-Audits.

Wenn Sie eine HITRUST-Bewertung in Erwägung ziehen oder bereits abgeschlossen haben, können Sie sich bei Fragen oder Feedback gerne an uns wenden.