Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesModèle
Modèle d'évaluation des risques HIPAA

Modèle d'évaluation des risques HIPAA

Introduction

L'analyse des risques est le problème de conformité HIPAA le plus aigu que le Département de la Santé et des Services Sociaux (HHS) pour le Bureau des Droits Civils (OCR) enquête. Une analyse inexacte ou incomplète peut entraîner de graves violations de la sécurité et de lourdes pénalités financières.

Mais l'analyse des risques peut être difficile à mettre en œuvre, surtout si votre département informatique n'a pas le personnel ou le temps à consacrer. Le modèle d'évaluation des risques fourni ici peut vous aider à réaliser un audit complet et précis de vos risques de sécurité ePHI afin que vous puissiez mettre en place les mesures d'atténuation appropriées.

Qu'est-ce qu'une évaluation des risques HIPAA ?

Une évaluation des risques HIPAA aide les organisations à déterminer et évaluer les menaces pour la sécurité des informations de santé protégées électroniques (ePHI), y compris le potentiel de divulgation non autorisée comme l'exige la Règle de confidentialité.

Si votre organisation crée, reçoit, maintient ou transmet des ePHI, même en utilisant un système de dossier de santé électronique (EHR) certifié, vous devez évaluer vos risques de sécurité pour vous assurer que vous avez pris les meilleures mesures possibles pour protéger vos ePHI. Une fois ces risques identifiés, vous devez mettre en place des mesures de sauvegarde administratives, physiques et techniques pour rester en conformité avec la Règle de Sécurité HIPAA.

Alors que les entités de soins de santé s'efforcent de se conformer à HIPAA, les outils d'analyse des risques et de gestion des risques peuvent être inestimables ; ils vous permettent souvent de protéger la confidentialité, l'intégrité et la disponibilité de votre ePHI de manière plus efficace et efficiente que vous ne pourriez le faire avec des processus manuels.

Adapter une évaluation des risques à votre organisation

Les exigences d'évaluation des risques HIPAA vous permettent d'adapter l'évaluation à l'environnement et aux circonstances de votre organisation, y compris :

  • La taille, la complexité et les capacités de votre organisation
  • L'infrastructure technique, le matériel et les capacités de sécurité de votre organisation
  • La probabilité et la criticité des risques potentiels pour les ePHI
  • Le coût des mesures de sécurité

Spécifications de mise en œuvre : obligatoires versus ajustables

Une évaluation des risques HIPAA contiendra de nombreuses spécifications de mise en œuvre, qui sont des instructions détaillées pour satisfaire une certaine norme. Certaines sont obligatoires, tandis que d'autres sont adaptables :

  • Les spécifications obligatoires décrivent les politiques ou procédures que chaque entité couverte et ses partenaires commerciaux doivent mettre en place. Un exemple en est l’analyse des risques.
  • Les spécifications «adressables» ne sont pas facultatives, mais les organisations disposent d’une certaine flexibilité pour choisir les processus ou contrôles appropriés afin de les respecter. Par exemple, la gestion des mots de passe est une spécification adressable, car il existe plusieurs façons de garantir que seules les personnes de confiance ont accès à vos systèmes. L’une de ces méthodes consiste à utiliser l’authentification multifactorielle.

Vous ne pouvez pas refuser d'adopter une spécification de mise en œuvre uniquement sur la base du coût.

Terminologie clé

Voici des définitions pour les termes communs à HIPAA, adaptées de NIST 800-30 :

  • ePHI (informations de santé protégées électroniques) — Données concernant la santé d'un patient, son traitement ou sa facturation qui pourraient identifier ce patient. L'ePHI est une PHI sous forme électronique ; elle a les mêmes exigences de confidentialité que toute PHI, mais la facilité de copie et de transmission de l'ePHI nécessite des mesures de protection spéciales pour prévenir les violations.
  • Vulnérabilité — Un défaut ou une faiblesse dans les procédures d'un système de sécurité, la conception, la mise en œuvre des contrôles internes qui pourrait être déclenchée accidentellement ou exploitée intentionnellement, entraînant une violation de la sécurité ou une infraction à la politique de sécurité.
  • Menace — Le potentiel pour une source de menace de déclencher accidentellement ou d'exploiter intentionnellement une vulnérabilité spécifique.
  • Risque — Se réfère au risque lié à l'IT. Le risque décrit l'impact commercial net basé sur la probabilité qu'une menace spécifique déclenche une vulnérabilité particulière. Il inclut des facteurs tels que la responsabilité légale et la perte de mission.
  • Analyse des risques (ou évaluation des risques) — Le processus d'identification de tous les risques pour la sécurité du système, la probabilité qu'ils entraînent des dommages, et les mesures de protection qui peuvent atténuer ces dommages. Cela fait partie de la gestion des risques.
  • Gestion des risques — Le processus de mise en œuvre de mesures et de pratiques de sécurité pour réduire de manière adéquate les risques et les vulnérabilités à un degré raisonnable pour la conformité.

Étapes de l'analyse des risques

Le NIST 800-30 détaille les étapes suivantes pour une évaluation des risques conforme à la HIPAA :

Étape 1. Déterminez la portée de l'analyse.

Une analyse des risques prend en compte tous les ePHI, quel que soit le support électronique utilisé pour créer, recevoir, maintenir ou transmettre les données, ou l'emplacement des données. Elle couvre tous les risques et vulnérabilités raisonnables pour la confidentialité, l'intégrité et la disponibilité de vos ePHI.

Étape 2. Rassemblez des informations complètes et précises sur l'utilisation et la divulgation des ePHI.

Ce processus inclut :

  • Examen des projets passés et existants
  • Réalisation d'entretiens
  • Révision de la documentation
  • Utiliser d'autres techniques de collecte de données selon les besoins
  • Documentation de toutes les données recueillies

Il se peut que vous ayez déjà effectué cette étape pour vous conformer à la règle de confidentialité HIPAA, même si cela n'était pas directement exigé.

Étape 3. Identifiez les menaces et vulnérabilités potentielles.

Examinez les données recueillies et considérez quels types de menaces et de vulnérabilités existent pour chaque élément d'information.

Étape 4. Évaluez vos mesures de sécurité actuelles.

Documentez les mesures que vous avez déjà mises en œuvre pour atténuer les risques pour votre ePHI. Ces mesures peuvent être techniques ou non techniques :

  • Les mesures techniques comprennent le matériel et les logiciels des systèmes d’information, tels que le contrôle d’accès, l’authentification, le chiffrement, la déconnexion automatique et les contrôles d’audit.
  • Les mesures non techniques comprennent les contrôles opérationnels et de gestion, tels que les politiques, les procédures et les mesures de sécurité physiques ou environnementales.

Ensuite, analysez si la configuration et l'utilisation de ces mesures de sécurité sont appropriées.

Étape 5. Déterminez la probabilité d'occurrence de la menace.

Évaluez la probabilité qu'une menace déclenche ou exploite une vulnérabilité spécifique. Prenez en compte chaque combinaison de menace et de vulnérabilité potentielle, et classez-les selon la probabilité d'un incident. Les méthodes d'évaluation courantes incluent l'étiquetage de chaque risque comme Élevé, Moyen et Faible, ou la fourniture d'un poids numérique exprimant la probabilité d'occurrence.

Étape 6. Déterminez l'impact potentiel de la survenue de menaces.

Considérez les issues possibles de chaque menace de données, telles que :

  • Accès ou divulgation non autorisés
  • Perte permanente ou corruption
  • Perte temporaire ou indisponibilité
  • Perte de flux de trésorerie financier
  • Perte d'actifs physiques

Évaluez l'impact de chaque résultat. Les mesures peuvent être qualitatives ou quantitatives. Documentez tous les impacts raisonnables et les évaluations associées à chaque résultat.

Étape 7. Déterminez le niveau de risque.

Analysez les valeurs attribuées à la probabilité de survenue de chaque menace et à l'impact. Attribuez le niveau de risque en fonction de la moyenne des probabilités et des niveaux d'impact assignés.

Étape 8. Identifier les mesures de sécurité appropriées et finaliser la documentation.

Identifiez les mesures de sécurité possibles que vous pourriez utiliser pour réduire chaque risque à un niveau raisonnable. Pour chaque mesure, considérez :

  • L'efficacité de la mesure
  • Exigences législatives ou réglementaires pour la mise en œuvre
  • Exigences en matière de politique et de procédures organisationnelles

Documentez tous les résultats pour compléter votre évaluation des risques.

Modèle d'évaluation des risques HIPAA

Ci-dessous se trouve un modèle d'évaluation des risques HIPAA avec une description et un exemple pour chaque section. Il s'agit d'un modèle général que vous devrez adapter aux besoins spécifiques de votre organisation. Tous les noms d'entreprise et personnels utilisés dans ce modèle sont fictifs et sont utilisés uniquement à titre d'exemple.

1. Introduction

Expliquez la raison du document.

Ce document décrit la portée et l'approche de l'évaluation des risques pour Allied Health 4 U, Inc. (ci-après dénommée Allied Health 4 U). Il comprend l'inventaire des données de l'organisation, la détermination des menaces et des vulnérabilités, les mesures de sécurité et les résultats de l'évaluation des risques.

1.1 Objectif

Expliquez pourquoi vous avez besoin d'une évaluation des risques.

L'objectif de l'évaluation des risques est d'identifier les zones de risque potentiel, d'attribuer les responsabilités, de caractériser les activités et les systèmes d'atténuation des risques, et de guider les procédures d'action corrective pour se conformer à la norme de sécurité HIPAA.

1.2 Portée

Documentez le flux des données des patients au sein de votre organisation. Décrivez tous les composants du système, éléments, sites de terrain, utilisateurs (y compris l'utilisation d'une main-d'œuvre à distance) et tout détail supplémentaire concernant le système de DSE.

Documentez et définissez vos systèmes informatiques, composants et informations, y compris les supports amovibles et les appareils informatiques portables.

La portée de ce document inclut les processus techniques, physiques et administratifs régissant tous les ePHI reçus, créés, maintenus ou transmis par Allied Health 4 U.

L'objectif est d'évaluer et d'analyser l'utilisation des ressources et des contrôles, tant prévus qu'implémentés, pour éliminer, atténuer ou gérer l'exploitation des vulnérabilités par des menaces internes et externes au système de dossiers de santé électroniques (EHR).

Allied Health 4 U répond aux besoins des patients et des praticiens à Medical City dans Regency Park, IL. Le centre médical associé fournit le pare-feu Internet principal et la sécurité physique de base pour l'établissement. L'organisation fournit tous les autres besoins technologiques et de sécurité pour Allied Health 4 U, Inc.

Allied Health 4 U utilise des ordinateurs portables, des tablettes et des PC de bureau pour accéder aux ePHI des patients. L'accès à distance depuis l'extérieur de Allied Health 4 U est strictement interdit. Trois serveurs sont situés dans une salle serveur verrouillée avec vidéosurveillance activée.

2. Approche d'évaluation des risques

Définissez les méthodes que vous utilisez pour réaliser l'évaluation des risques.

Allied Health 4 U réalise l'évaluation des risques en inventorient tous les dispositifs physiques et les données électroniques créées, reçues, maintenues ou transmises par l'organisation ; en interrogeant les utilisateurs et les administrateurs du système de DSE ; et en analysant les données du système pour déterminer les vulnérabilités potentielles et les menaces pour le système.

2.1 Participants

Identifiez les participants, tels que tout le personnel informatique et la direction, responsables de ou interagissant avec le DSE. Incluez une liste des noms et des rôles des participants, tels que Directeur des Systèmes d'Information ou Propriétaire d'Actif.

Le responsable de la sécurité des ePHI et l'équipe de gestion des risques sont responsables du maintien et de l'exécution de l'analyse des risques de sécurité des ePHI et du processus de gestion des risques pour Allied Health 4 U.

  1. Directeur des Systèmes d'Information: Bradley Gray, MD
  2. Responsable de la conformité: Jean Parker, MD
  3. Équipe d'évaluation des risques: William Brown, Takisha Lutrelle et Lili Obrador

2.2 Techniques utilisées pour recueillir des informations

Dressez la liste des méthodes utilisées pour identifier et inventorier les données ePHI, les dispositifs physiques, les processus et les procédures.

Les techniques suivantes sont utilisées pour recueillir des informations pour l'évaluation des risques :

  • Entretiens avec le Directeur des Systèmes d'Information, l'équipe de Gestion des Risques, les utilisateurs
  • Revue de la documentation — Politiques et processus informatiques, rapports de menaces et de vulnérabilités, rapports d'incidents, documents de classification des informations.
  • Visites du site — emplacement Regency Park, tous les futurs emplacements

2.3 Développement et description de l'échelle des risques

Décrivez quand les évaluations des risques sont effectuées, la matrice de niveau de risque utilisée, comment les risques sont déterminés, et une classification des risques avec au moins trois niveaux.

Allied Health 4 U réalise des évaluations des risques aux moments suivants :

  • Après les mises à jour logicielles du DSE
  • Après la mise en œuvre de nouveau matériel, logiciel ou micrologiciel
  • Après un rapport de violation de données

Utilisez la matrice de risque suivante pour déterminer l'ampleur du risque :

Impact

Faible (0,1)

Moyen (0,5)

Élevé (1.0)

Probabilité de menace

Faible (5)

5 X 0,1 = 0,5

5 X 0,5 = 2,5

5 X 1,0 = 5

Moyen (25)

25 X 0.1 = 2.5

25 X 0,5 = 12,5

25 X 1,0 = 25

Élevé (50)

50 X 0,1 = 5

50 X 0,5 = 25

50 X 1,0 = 50

Échelle de risque :

  • ÉLEVÉ : >25 à 50
  • MOYEN : >5 à 25
  • FAIBLE : >0,5 à 5

3. Caractérisation du système

Identifiez les limites du système informatique en question et les ressources ainsi que les informations qui le composent. La caractérisation établit l'ampleur de l'effort d'évaluation des risques, montre le chemin de l'autorisation ou de l'accréditation, et fournit des informations sur la connectivité, la responsabilité et le soutien.

Le système EHR de Allied Health 4 U est composé de tous les ordinateurs portables, ordinateurs de bureau, tablettes, serveurs et des ePHI qu'ils contiennent.

3.1 Informations liées au système

Fournissez des informations connexes et une brève description de l'environnement de traitement.

Nom du système

Allied Health 4 U EHR

Propriétaire du système

Allied Health 4 U, Inc.

Emplacement physique

123 Main Street, Dept D, Regency Park, IL

Fonction commerciale principale

Stockage des informations de santé

Description et composants

Système EHR, serveur, ordinateurs de bureau, ordinateurs portables, tablettes, serveurs, logiciels

Interfaces et frontières

Interface utilisateur sur chaque appareil, connexion interne via WiFi, connexion externe via câble

Sensibilité des données

Élevé

Évaluation et classification globales de la sensibilité informatique

Élevé, Critique

3.2 Utilisateurs du système

Décrivez qui utilise le système, en incluant des détails sur l'emplacement des utilisateurs et leur niveau d'accès.

Type de données


Description


Niveau de sensibilité

ePHI

Informations de santé protégées électroniques

Élevé

Procédures médicales

Copies des procédures effectuées sur le patient

Faible

Résultats des tests

Laboratoire, Radiologie

Élevé

Inventaire des EPI

Inventaire de l'équipement de protection individuelle

Faible

Données de facturation

Informations sur l'assurance et la facturation

Élevé

4. Menaces et vulnérabilités

Dressez la liste de toutes les menaces et vulnérabilités crédibles du système évalué. Souvent, vous pouvez fournir une brève description ici et présenter les résultats détaillés dans une annexe ou un tableau séparé.

4.1 Identification des menaces

Développez un catalogue de menaces raisonnablement anticipées. Votre préoccupation la plus significative est les menaces humaines provenant d'ex-employés, de criminels, de fournisseurs, de patients ou de toute autre personne ayant la motivation, l'accès et la connaissance du système.

Source de menace

Action de menace

Employé mécontent

Modification non autorisée des données de facturation

Hacker

Divulgation menacée d'ePHI contre rançon

Tremblement de terre

Dommages ou perte de puissance des composants EHR

4.2 Identification des vulnérabilités

Dressez la liste de toutes les vulnérabilités systémiques techniques et non techniques que des menaces potentielles pourraient déclencher ou exploiter. Incluez les politiques et procédures incomplètes ou contradictoires, les mesures de protection insuffisantes (tant physiques qu'électroniques) et d'autres défauts ou faiblesses dans n'importe quelle partie du système.

Allied Health 4 U identifie les vulnérabilités suivantes :

Vulnérabilité

Description

Système de suppression d'incendie à base d'eau dans le bureau et le centre informatique

Des gicleurs d'eau activés pourraient provoquer des courts-circuits électriques dans les composants du système EHR

Le pare-feu EHR autorise l'accès entrant

Un utilisateur pourrait accéder au dossier de santé électronique depuis l'extérieur des locaux de Allied Health 4 U et Medical City

4.3 Mesures de sécurité

Documentez et évaluez l'efficacité de tous les contrôles techniques et non techniques actuellement ou qui seront mis en œuvre pour atténuer les risques.

Protégez

Contrôlez

Mesure de sécurité technique : Sécurisez les mots de passe

Contrôlez l'accès au système de dossiers de santé électroniques.

Mesure de sauvegarde administrative : Sanctions

Définissez et appliquez des sanctions appropriées, afin que les employés comprennent les conséquences du non-respect des politiques et procédures de sécurité.

Mesure de protection physique : Bureaux verrouillés

Gardez l'installation verrouillée en dehors des heures d'ouverture pour empêcher l'entrée non autorisée pour l'accès ou la destruction de composants ou de documents.

5. Résultats de l'évaluation des risques

Décrivez les observations (les vulnérabilités et les menaces qui peuvent les déclencher), mesurez chaque risque et proposez des recommandations pour la mise en œuvre de contrôles ou des actions correctives. Les résultats détaillés sont souvent mieux présentés en annexe ou dans un tableau séparé.

Numéro d'observation

100011

Risque (paire vulnérabilité/menace)

Accès d'employé licencié non révoqué

Current control measures

Envoyez une notification au service informatique à la date de séparation

Probabilité avec les contrôles existants

Élevé

Impact avec les contrôles existants

Élevé

Niveau de risque initial

Élevé

Mesure de contrôle ou action recommandée

Mesure de sécurité technique : Automatisez la révocation de l'accès système lors de la cessation d'emploi d'un employé

Niveau de risque résiduel

Faible

Méthode d'implémentation

L'administrateur système configure la révocation automatique de l'accès liée à la cessation d'emploi dans le système RH

Supervisor

Jane Smith

Date de début

January 15, 2021

Target end date

Target end date

Date controls implemented

February 10, 2021

6. Historique des révisions

Suivez toutes les modifications apportées à votre évaluation des risques HIPAA.

Version

Published

Author

Description

1.0

01/01/2020

Jane Smith

Original

1.1

06/01/2020

Bill Jones

Modification

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management