La bozza della pubblicazione speciale (SP) 800-66 Revisione 2 del NIST fornisce indicazioni pratiche e risorse che possono essere utilizzate da entità regolamentate di tutte le dimensioni per salvaguardare le informazioni sanitarie elettroniche protette (ePHI).

Le organizzazioni sanitarie devono affrontare molte sfide derivanti dalle minacce cyber che possono avere gravi ripercussioni sulla sicurezza dei dati dei pazienti, sulla qualità della cura dei pazienti e persino sullo stato finanziario dell’organizzazione. Inoltre, tali organizzazioni devono rispettare i requisiti normativi, come il Security Rule dell’Health Insurance Portability and Accountability Act del 1996 (HIPAA), che si concentra sulla salvaguardia delle informazioni sanitarie elettroniche protette (ePHI) possedute o conservate da entità e soci in affari coperti da HIPAA (collettivamente, «entità regolamentate»).

La bozza della pubblicazione speciale (SP) 800-66 Revisione 2 del NIST fornisce indicazioni pratiche e risorse che possono essere utilizzate da entità regolamentate di tutte le dimensioni per salvaguardare le ePHI.

A tal fine, la bozza NIST SP 800-66 Revisione 2 mira ad aiutare le organizzazioni a migliorare la loro cybersecurity posture complessiva, rispettando al tempo stesso le norme di sicurezza.

Quali cambiamenti possiamo aspettarci di vedere?

Una bozza del NIST SP 800-66 Revisione 2 è stata rilasciata per un commento pubblico nel luglio del 2022, ricevendo oltre 250 commenti unici da diverse dozzine di individui e organizzazioni. L’obiettivo del NIST è pubblicare una versione finale entro la fine dell’anno.

Sulla base di una valutazione dei commenti, sono previste le seguenti modifiche per la versione finale di NIST SP 800-66 Revisione 2 (sono in programma ulteriori piccoli aggiornamenti, ma questo elenco copre quelli di maggiore impatto):

  • Risorse più specifiche per le piccole entità regolamentate.

Il NIST ha in programma di collaborare con altri enti del settore pubblico e privato per contribuire a creare queste risorse, che possono includere strumenti, casi d’uso o indicazioni più specifiche. Il NIST considera lo sviluppo di queste risorse come uno sforzo separato dalla pubblicazione finale del NIST SP 800-66.

  • Chiarimenti su alcune aree del documento.

Molti intervistati hanno chiesto chiarimenti sui termini “risk analysis” e “risk assessment”. Il termine “risk analysis’” non può essere eliminato perché è il termine utilizzato nella norma di sicurezza e gli esperti del NIST si riferiranno costantemente alla risk analysis come ciò che è richiesto dalla norma di sicurezza, vale a dire una valutazione accurata e approfondita delle minacce e delle vulnerabilità all’ePHI. Risk assessment farà riferimento al processo attraverso il quale un’entità regolamentata può determinare il livello di rischio per le ePHI. La bozza NIST SP 800-66 Revisione 2 fornisce un processo di risk assessment che le entità regolamentate possono utilizzare e le piccole entità regolamentate potrebbero trarre vantaggio dall’utilizzo dello strumento HHS Security Risk Assessment (SRA).

La versione finale punterà costantemente alla pagina di destinazione dello strumento SRA.

  • Adeguamento delle appendici.

Il NIST renderà più utile l’Appendice E – Standard delle regole di sicurezza e specifiche di implementazione Crosswalk. L’Appendice E mappa gli standard e le specifiche di implementazione delle regole di sicurezza sui controlli di sicurezza applicabili dettagliati nel NIST SP 800-53, sulle sottocategorie del Cybersecurity Framework (CSF) e su altre pubblicazioni NIST pertinenti. Il piano è quello di rimuovere la mappatura dell’Appendice E dalla bozza NIST SP 800-66 Revisione 2 e inserirla online nel sito web CPRT (Cybersecurity and Privacy Reference Tool) del NIST (ci sarà ancora un’Appendice E, ma conterrà semplicemente un puntatore alla mappatura memorizzata nel CPRT). Ciò permetterà di aggiornare la mappatura separatamente dal ciclo di aggiornamento SP 800-66.

Inoltre, la mappatura esistente dell’Appendice E sarà unita con le tabelle delle attività chiave, delle descrizioni e delle domande di esempio per le entità regolamentate nella Sezione 5. Non saranno rimosse le tabelle della Sezione 5 (un utile riferimento per i lettori). Ma la mappatura ospitata nel CPRT verrà unita alle tabelle della Sezione 5, con alcune colonne aggiunte per illustrare ai lettori le sottocategorie CSF pertinenti, i controlli SP 800-53 e altre risorse NIST che corrispondono a ciascuno degli standard e delle regole di sicurezza specifiche di implementazione, nonché alle attività chiave, alle descrizioni e alle domande di esempio.

Modifica dell’Appendice F – Risorse sulle regole di sicurezza HIPAA. A seguito di molti suggerimenti per estrarre le risorse, il NIST ha pensato che le risorse possano essere ospitate online. Come l’Appendice E, questa modifica consentirebbe di mantenere aggiornate le risorse separatamente dal ciclo di aggiornamento NIST SP 800-66. Il NIST ha anche deciso di riorganizzare le risorse all’interno di ciascuna area tematica per passare da risorse più fondamentali a risorse più complesse. Ciò consentirà alle piccole entità regolamentate di concentrarsi sulle risorse precedenti all’interno di ciascuna area tematica. Inoltre, il NIST ha anche in programma di aggiungere un elenco completo di aree tematiche all’inizio dell’elenco delle risorse con collegamenti attivi che porteranno il lettore direttamente a ciascuna rispettiva area tematica.

Il NIST apprezza il tuo supporto e feedback e incoraggia a contattare per qualsiasi domanda o commento a sp800-66-comments@nist.gov.

 

https://www.nist.gov/blogs/cybersecurity-insights/nists-planned-updates-implementing-hipaa-security-rule-cybersecurity

Twitter
Visit Us
LinkedIn
Share
YOUTUBE