Az ok, amiért sokan nem ismerik fel a lehetőséget, az az, hogy az általában kemény munkának látszó overallban járkál. – Thomas A. Edisons
A “HIPAA-kompatibilis” kifejezéssel sokat dobálóznak a gyártók, tanácsadók, fejlesztők, auditok és mások. A probléma a kifejezés szabadon áramló jellegével az, hogy a “HIPAA-kompatibilis” kifejezés szubjektív. A megfelelőség bizonyításának egyetlen módja egy külső audit elvégzése – és annak sikeres elvégzése -, amelyet lehetőleg egy jó hírű, HIPAA-tapasztalattal rendelkező auditáló cég végez.
A HIPAA szubjektív jellege és az auditok változékonysága miatt (mint egykori info sec auditor, úgy érzem, alkalmas vagyok erre a kijelentésre), az érintett szervezeteknek nehézséget okoz a külső szállítók és a belső projektek (gondoljunk csak az innovációs csoportokra és a kutatásra) megfelelőségének és biztonságának értékelése. Az eredmény gyakran a kerék újbóli feltalálása minden alkalommal, amikor egy szállító új fedezett szervezetnek ad el, és minden alkalommal, amikor a fedezett szervezet egy új szállító biztonságát értékeli. Ez hihetetlenül kevéssé hatékony, és rengeteg lehetőséget rejt magában, hogy valamit kihagyjanak; a biztonság és a megfelelés terén a kihagyott dolgok jelentős kockázatnak teszik ki a fedezett szervezeteket. Lépjen be a HITRUST, egy iparági kezdeményezés, amelynek célja egy közös, tanúsítható keretrendszer szabványosítása, amely mind a szállítók, mind a fedezett szervezetek számára előnyös.
A HITRUST bemutatása
A HITRUST, azaz a Health Information Trust Alliance valójában nem is egy keretrendszer, hanem az a szervezet, amely létrehozta és fenntartja a Common Security Framework (közös biztonsági keretrendszer) vagy CSF. A CSF, amely jelenleg a 7. verzióban van, egy tanúsítható keretrendszer, amely számos más megfelelőségi keretrendszert és szabványt, köztük a HIPAA-t, a PCI-t, az ISO-t és a NIST-et foglalja össze, illetve harmonizál. A “harmonizálás” révén a CSF ezeket a szabványokat egymáshoz illeszti, a CSF pedig a központi leképező kulcs.
A honlapja szerint a HITRUST és a hozzá tartozó CSF “abból a meggyőződésből született, hogy az információbiztonságnak az egészségügyi információs rendszerek és információcserék széles körű elfogadásának egyik alappillérének, nem pedig akadályának kell lennie”. A biztonság és a megfelelőség az egészségügyi technológia sikerének kulcsfontosságú része; nem lehet figyelmen kívül hagyni vagy utólagosan kezelni. Egységes keretrendszer, folyamat és tanúsító testület nélkül a HIPAA gyakran akadályozza az egészségügyi technológiát. A HITRUST kísérletet tesz arra, hogy segítsen a szállítóknak jobban bizonyítani a biztonságukat, és hogy az érintett szervezetek racionalizálják a szállítók biztonsági és megfelelőségi felülvizsgálatát. A HITRUST ebben a kísérletében sikerrel jár. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. A legtöbb szervezetnél a különböző ellenőrzéseknek különböző végrehajtási szintjei vannak, és nem csak az 1., 2. vagy 3. szint az általános.
Azt hiszem, ez az a terület, ahol a legtöbb zűrzavar van a HITRUST-tal kapcsolatban, vagy legalábbis az a terület, ahol a legtöbb kérdést kapjuk a saját HITRUST CSF-tanúsítványunkkal kapcsolatban. Minden HITRUST-értékelés kezdetén – függetlenül az értékelés típusától (erről bővebben lásd lentebb a Biztonság fokozatait) – információt kell gyűjteni az értékelendő szervezetről. Ezeket az információkat a szervezet, a rendszer és az értékelésre vonatkozó szabályozási követelmények értékeléséhez használják fel. Fogalmilag az értékelés kockázatának vagy hatókörének meghatározása történik.
Ez a lépés a HIPAA-ban is szerepel, de a legtöbb értékelésnek nem része. A HIPAA lehetővé teszi az ésszerű és megfelelő ellenőrzéseket. A HHS szavaival élve An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program.
A legtöbb HIPAA-értékelés egy az egyben megfelel mindenkinek, mivel nincs keretrendszer a reasonable
és appropriate
értelmezésére; végső soron valószínűleg jó, hogy ezeket nem értelmezik.
A végrehajtási szint meghatározásakor a HITRUST dinamikusan határozza meg az egyes szervezetek és értékelések követelményeit. Mint a CSF tágabb értelemben, ez egy szabványosított folyamat a végrehajtási szint meghatározására.
CSF Degrees of Assurance
A HITRUST 3 különböző Degrees of Assurance-t kínál, amelyek lényegében az értékelés szintjei. A megbízhatósági fokozatok a költségekhez, az erőfeszítések szintjéhez, az időigényhez és a szigorhoz igazodnak. Minden szint az alatta lévőre épül. Referenciaként a Datica elvégezte a CSF tanúsított értékelést, ami a legmagasabb Bizonyossági Fokozat.
A Bizonyossági Fokozatokra a következő lehetőségek állnak rendelkezésre, kezdve a legkevesebb költséggel, erőfeszítéssel, idővel és szigorral.
-
Self Assessment. Ez egyszerűen azt jelenti, hogy a szervezet saját maga tölti ki a CSF-et. Ez azért értékes, jellemzően a szervezet belső eszközeként, mert ismét egy szabványosított keretrendszerben történik. Nincsenek külső felek, akik az értékelés bármely aspektusát ellenőrzik. Az eredmény egy HITRUST által kiadott CSF önértékelési jelentés.
-
CSF Validated. Ez, valamint az alábbi CSF Certified (CSF tanúsított) opció megköveteli, hogy egy harmadik fél CSF-értékelő ellenőrizze az értékelést végző szervezet által összegyűjtött információkat. A CSF-értékelőt a HITRUST hagyja jóvá. Ez a megbízhatósági szint megköveteli a CSF-értékelő helyszíni látogatását. A HITRUST felülvizsgálja az elvégzett és validált értékelést, és eredményként Validált jelentést állít ki.
-
CSF Certified A CSF Validált értékeléshez hasonlóan az értékelésen részt vevő szervezet HITRUST CSF tanúsítványt kap, amely két évig érvényes. A legfőbb különbség ennél a megbízhatósági foknál az, hogy a HITRUST CSF-tanúsítványt kapott szervezet megfelel a CSF összes tanúsítási követelményének. Ez a CSF Validated értékelésre épül, mivel a HITRUST felülvizsgálja és hitelesíti a szervezet bejegyzéseit és a harmadik fél értékelő hitelesítését. A Datica esetében a tanúsításnak ez a végső lépése 3-4 hónapot vett igénybe.
PCI for Healthcare
A HITRUST és a PCI között párhuzamosságok vannak. Azok számára, akik nem ismerik, a PCI a pénzügyi és pénzfeldolgozási iparág megfelelőségi keretrendszere. A PCI-megfelelőség elérése nagyon bonyolult, hasonlóan a tanúsított HITRUST-értékeléshez. Míg a HIPAA-t a szövetségi kormány (konkrétan a HHS) írta, és technikailag a szövetségi kormány hajtja végre, a CSF-et a HITRUST írta és tartja fenn, amelyet az egészségügyi ágazat képviseleti szerve irányít.
A HITRUST sok szempontból az egészségügyi ágazat kísérlete egy szabványosított, PCI-szerű tanúsítás létrehozására. Ami a végrehajtást illeti, a HHS-szel ellentétben az egészségügyi ágazatnak kell érvényt szereznie a HITRUST-nak azáltal, hogy az üzleti partnerek és alvállalkozók tanúsított értékelését követeli meg. Az egészségügyi ágazaton belül még mindig vannak hiányosságok az elfogadásban, de a tendencia egyértelműen fordul, mivel egyre több szervezet várja el a HITRUST CSF tanúsítványt a szállítóktól.
HITRUST vs. HIPAA
Amint fentebb említettük, a HITRUST a HIPAA-ra épül. A HIPAA-t, egy nem szabványosított és nem előíró megfelelési keretrendszert veszi alapul, és létrehoz egy szabványosított megfelelési keretrendszert, értékelési és tanúsítási folyamatot az egészségügyi ágazat számára. Eközben “harmonizálja” a HIPAA-t más megfelelőségi keretrendszerekkel, például a PCI-vel és a NIST-tel. A HITRUST a tanúsítási követelményeket is a szervezet kockázataihoz igazítja a szervezeti, rendszerbeli és szabályozási tényezők alapján.
A HIPAA-val ellentétben, amely a biztonság megsértése esetén meghatározott szankciókkal jár, a HITRUST betartatása magától az egészségügyi ágazattól függ, jellemzően az olyan fedezett szervezetektől, mint a kórházak és a kifizetők, amelyek megkövetelik a HITRUST CSF tanúsítást az eladóktól. A HITRUST gyorsan elterjedt az egészségügyben, és egyre inkább elvárásként jelenik meg a szállítókkal szemben. Bár a HITRUST nem mindig szükséges egy új technológia bevezetésének lépéseként, a HITRUST mindenképpen egyszerűsíti a biztonsági és megfelelőségi lépést a bevezetési folyamatban.
Mivel mind a HIPAA-ellenőrzésen, mind a tanúsított CSF-értékelésen átmentem, bizton állíthatom, hogy a HITRUST CSF-tanúsítás sokkal szigorúbb folyamat, és a tanúsítást elérni kívánó szervezetre nagyobb bizonyítási teher hárul, mint a HIPAA-ellenőrzésnél. A HITRUST CSF tanúsítás elérése lényegesen több időt, erőfeszítést és erőforrást igényel, mint egy HIPAA audit. A HITRUST CSF tanúsítás a biztonság és a megfelelőség szempontjából jelentősebb jelvénynek tekintendő, mint egy HIPAA audit elvégzése.
Ha fontolgatja a HITRUST értékelés elvégzését, vagy már elvégezte azt, bátran forduljon hozzánk kérdéseivel vagy visszajelzéseivel.