Modello di valutazione del rischio HIPAA
Introduzione
L'analisi dei rischi è il problema più acuto di conformità HIPAA che il Dipartimento della Salute e dei Servizi Umani (HHS) per l'Ufficio dei Diritti Civili (OCR) indaga. Un'analisi inaccurata o incompleta può portare a gravi violazioni della sicurezza e a pesanti sanzioni monetarie.
Ma l'analisi dei rischi può essere difficile da implementare, specialmente se il tuo reparto IT non ha il personale o il tempo da dedicare. Il modello di valutazione dei rischi fornito qui può aiutarti a eseguire un'audizione completa e accurata dei rischi per la sicurezza del tuo ePHI in modo da poter mettere in atto le misure di mitigazione appropriate.
Cos'è una valutazione del rischio HIPAA?
Una valutazione del rischio HIPAA aiuta le organizzazioni a determinare e valutare le minacce alla sicurezza delle informazioni sanitarie protette elettroniche (ePHI), inclusa la potenziale divulgazione non autorizzata come richiesto dalla Privacy Rule.
Se la tua organizzazione crea, riceve, mantiene o trasmette ePHI, anche utilizzando un sistema certificato di registrazione elettronica della salute (EHR), devi valutare i tuoi rischi per la sicurezza per assicurarti di aver preso le migliori misure possibili per proteggere il tuo ePHI. Una volta identificati tali rischi, devi implementare misure di salvaguardia amministrative, fisiche e tecniche per mantenere la conformità con la Normativa sulla Sicurezza HIPAA.
Mentre le entità sanitarie lavorano per ottenere la conformità con HIPAA, gli strumenti di analisi del rischio e di gestione del rischio possono essere inestimabili; spesso ti consentono di proteggere la riservatezza, l'integrità e la disponibilità del tuo ePHI in modo più efficace ed efficiente di quanto potresti con processi manuali.
Adattare una valutazione dei rischi alla tua organizzazione
I requisiti di valutazione del rischio HIPAA consentono di adattare la valutazione all'ambiente e alle circostanze della propria organizzazione, inclusi:
- La dimensione, la complessità e le capacità della vostra organizzazione
- L'infrastruttura tecnica, l'hardware e le capacità di sicurezza della vostra organizzazione
- La probabilità e la criticità dei potenziali rischi per l'ePHI
- Il costo delle misure di sicurezza
Specifiche di implementazione: obbligatorie versus facoltative
Un'analisi del rischio HIPAA conterrà molte specifiche di attuazione, che sono istruzioni dettagliate per soddisfare uno standard specifico. Alcune sono obbligatorie, mentre altre sono affrontabili:
- Le specifiche obbligatorie documentano le politiche o le procedure che ciascuna entità coperta e i suoi partner commerciali devono implementare. Un esempio è l’analisi dei rischi.
- Le specifiche addressable non sono opzionali, ma le organizzazioni hanno la flessibilità di scegliere processi o controlli appropriati per soddisfarle. Ad esempio, la gestione delle password è addressable, poiché ci sono diversi modi per garantire che solo persone fidate possano accedere ai tuoi sistemi. Un modo è utilizzare l'autenticazione a più fattori.
Non si può rifiutare di adottare una specifica di implementazione basandosi esclusivamente sul costo.
Terminologia chiave
Ecco le definizioni per termini comuni a HIPAA, adattati da NIST 800-30:
- ePHI (informazioni sanitarie protette elettroniche) — Dati relativi alla salute, al trattamento o alla fatturazione di un paziente che potrebbero identificarlo. L’ePHI è PHI conservata in formato elettronico; ha gli stessi requisiti di riservatezza di tutte le PHI, ma la facilità con cui può essere copiata e trasmessa richiede misure di sicurezza speciali per prevenire violazioni.
- Vulnerabilità — Un difetto o debolezza nelle procedure di un sistema di sicurezza, nel design, nell'implementazione dei controlli interni che potrebbe essere innescato accidentalmente o sfruttato intenzionalmente, risultando in una violazione della sicurezza o della politica di sicurezza.
- Minaccia — La potenzialità che una fonte di minaccia possa innescare accidentalmente o sfruttare intenzionalmente una specifica vulnerabilità.
- Rischio — Si riferisce al rischio legato all'IT. Il rischio descrive l'impatto netto sul business basato sulla probabilità che una minaccia specifica attivi una particolare vulnerabilità. Include fattori come la responsabilità legale e la perdita di missione.
- Analisi dei rischi (o valutazione dei rischi) — Il processo di identificazione di tutti i rischi per la sicurezza del sistema, la probabilità che possano portare a danni e le misure di sicurezza che possono mitigare tale danno. È una parte della gestione del rischio.
- Gestione del rischio — Il processo di implementazione di misure e pratiche di sicurezza per ridurre adeguatamente rischi e vulnerabilità a un livello ragionevole per la conformità.
Passaggi nell'analisi del rischio
NIST 800-30 dettaglia i seguenti passaggi per una valutazione del rischio conforme a HIPAA:
Passo 1. Determinare l'ambito dell'analisi.
Un'analisi dei rischi considera tutti gli ePHI, indipendentemente dal mezzo elettronico utilizzato per creare, ricevere, mantenere o trasmettere i dati, o dalla posizione dei dati. Copre tutti i rischi e le vulnerabilità ragionevoli per la riservatezza, l'integrità e la disponibilità dei vostri ePHI.
Passaggio 2. Raccogliere informazioni complete e accurate sull'uso e la divulgazione dell'ePHI.
Questo processo include:
- Revisione di progetti passati ed esistenti
- Svolgimento di colloqui
- Revisione della documentazione
- Utilizzando altre tecniche di raccolta dati secondo necessità
- Documentare tutti i dati raccolti
Potreste aver già completato questo passaggio per conformarvi alla HIPAA Privacy Rule, anche se non era direttamente richiesto.
Passo 3. Identificare potenziali minacce e vulnerabilità.
Guarda i dati raccolti e considera quali tipi di minacce e vulnerabilità esistono per ogni pezzo di informazione.
Passaggio 4. Valuta le tue attuali misure di sicurezza.
Documentate le misure che avete già implementato per mitigare i rischi per il vostro ePHI. Queste misure possono essere tecniche o non tecniche:
- Le misure tecniche includono hardware e software dei sistemi informativi, come il controllo degli accessi, l’autenticazione, la crittografia, la disconnessione automatica e i controlli di audit.
- Le misure non tecniche includono controlli operativi e gestionali come politiche, procedure e misure di sicurezza fisiche o ambientali.
Quindi analizzare se la configurazione e l'uso di tali misure di sicurezza sono appropriati.
Passaggio 5. Determinare la probabilità di occorrenza della minaccia.
Valutare la probabilità che una minaccia possa innescare o sfruttare una specifica vulnerabilità. Prendere in considerazione ogni possibile combinazione di minaccia e vulnerabilità, e classificarle in base alla probabilità di un incidente. I metodi di valutazione comuni includono l'etichettare ogni rischio come Alto, Medio e Basso, o fornire un peso numerico che esprima la probabilità di occorrenza.
Passaggio 6. Determinare l'impatto potenziale dell'occorrenza della minaccia.
Considerate i possibili esiti di ogni minaccia ai dati, come:
- Accesso o divulgazione non autorizzati
- Perdita permanente o corruzione
- Perdita temporanea o indisponibilità
- Perdita del flusso di cassa finanziario
- Perdita di beni fisici
Stimate l'impatto di ogni risultato. Le misure possono essere qualitative o quantitative. Documentate tutti gli impatti ragionevoli e le valutazioni associate a ciascun risultato.
Passaggio 7. Determinare il livello di rischio.
Analizzate i valori assegnati alla probabilità di occorrenza di ogni minaccia e all'impatto. Assegnate il livello di rischio basandovi sulla media delle probabilità assegnate e dei livelli di impatto.
Passaggio 8. Identificare le misure di sicurezza appropriate e finalizzare la documentazione.
Identificate le possibili misure di sicurezza che potreste utilizzare per ridurre ciascun rischio a un livello ragionevole. Per ogni misura, considerate:
- L'efficacia della misura
- Requisiti legislativi o normativi per l'implementazione
- Requisiti delle politiche e delle procedure organizzative
Documentate tutti i risultati per completare la vostra valutazione dei rischi.
Modello di valutazione del rischio HIPAA
Di seguito è riportato un modello di valutazione del rischio HIPAA con una descrizione e un esempio per ogni sezione. Si tratta di un modello generale che dovrà essere adattato alle specifiche esigenze della vostra organizzazione. Tutti i nomi di aziende e persone utilizzati in questo modello sono fittizi e sono utilizzati esclusivamente come esempi.
1. Introduzione
Spiega il motivo del documento.
Questo documento delinea l'ambito e l'approccio della valutazione del rischio per Allied Health 4 U, Inc. (d'ora in poi denominata Allied Health 4 U). Include l'inventario dei dati dell'organizzazione, la determinazione delle minacce e delle vulnerabilità, le misure di sicurezza e i risultati della valutazione del rischio.
1.1 Scopo
Spiegate perché avete bisogno di una valutazione del rischio.
Lo scopo della valutazione del rischio è identificare le aree di potenziale rischio, assegnare le responsabilità, caratterizzare le attività e i sistemi di mitigazione del rischio e guidare le procedure di azione correttiva per conformarsi allo Standard di Sicurezza HIPAA.
1.2 Ambito
Documentate il flusso dei dati dei pazienti all'interno della vostra organizzazione. Descrivete tutti i componenti del sistema, gli elementi, le sedi dei campi, gli utenti (incluso l'uso di una forza lavoro remota) e qualsiasi dettaglio aggiuntivo riguardo al sistema EHR.
Documentate e definite i vostri sistemi IT, componenti e informazioni, inclusi i supporti rimovibili e i dispositivi di calcolo portatili.
L'ambito di questo documento include i processi tecnici, fisici e amministrativi che governano tutte le ePHI ricevute, create, mantenute o trasmesse da Allied Health 4 U.
L'obiettivo è valutare e analizzare l'uso delle risorse e dei controlli, sia pianificati che implementati, per eliminare, mitigare o gestire lo sfruttamento delle vulnerabilità da minacce interne ed esterne al sistema di cartelle cliniche elettroniche (EHR).
Allied Health 4 U serve le esigenze di pazienti e professionisti presso Medical City a Regency Park, IL. Il centro medico correlato fornisce il firewall internet primario e la sicurezza fisica di base per la struttura. L'organizzazione fornisce tutte le altre necessità tecnologiche e di sicurezza per Allied Health 4 U, Inc.
Allied Health 4 U utilizza laptop, tablet e PC desktop per accedere all'ePHI dei pazienti. L'accesso remoto dall'esterno di Allied Health 4 U è severamente proibito. Tre server sono situati in una sala server chiusa a chiave con videosorveglianza attiva.
2. Approccio alla valutazione del rischio
Definisci i metodi che utilizzi per eseguire la valutazione dei rischi.
Allied Health 4 U esegue la valutazione dei rischi inventariando tutti i dispositivi fisici e i dati elettronici creati, ricevuti, mantenuti o trasmessi dall'organizzazione; intervistando gli utenti e gli amministratori del sistema EHR; e analizzando i dati del sistema per determinare potenziali vulnerabilità e minacce al sistema.
2.1 Partecipanti
Identificare i partecipanti, come tutto il personale IT e la direzione, responsabili o che interagiscono con l'EHR. Includere un elenco dei nomi dei partecipanti e dei loro ruoli, come Chief Information Officer o Asset Owner.
L'ufficiale di sicurezza ePHI e il Risk Management Team sono responsabili della manutenzione e dell'esecuzione dell'analisi del rischio di sicurezza ePHI e del processo di gestione del rischio per Allied Health 4 U.
- Responsabile delle Informazioni: Bradley Gray, MD
- Responsabile della conformità: Jean Parker, MD
- Team di Valutazione dei Rischi: William Brown, Takisha Lutrelle e Lili Obrador
2.2 Tecniche utilizzate per raccogliere informazioni
Elenca i metodi utilizzati per identificare e inventariare i dati ePHI, i dispositivi fisici, i processi e le procedure.
Le seguenti tecniche vengono utilizzate per raccogliere informazioni per la valutazione del rischio:
- Interviste con il Chief Information Officer, il team di Risk Management, gli utenti
- Revisione della documentazione — Politiche e processi IT, rapporti di minacce e vulnerabilità, rapporti di incidenti, documenti di classificazione delle informazioni.
- Visite al sito — Località Regency Park, qualsiasi futura località
2.3 Sviluppo e Descrizione della Scala di Rischio
Descriva quando vengono eseguite le valutazioni dei rischi, la matrice dei livelli di rischio in uso, come vengono determinati i rischi e una classificazione dei rischi con almeno tre livelli.
Allied Health 4 U conduce valutazioni del rischio nei seguenti momenti:
- Dopo gli aggiornamenti software all'EHR
- Dopo l'implementazione di nuovo hardware, software o firmware
- Dopo la segnalazione di una violazione dei dati
Utilizza la seguente matrice di rischio per determinare l'entità del rischio:
|
Impatto |
||||
|
Basso (0,1) |
Medio (0,5) |
Alto (1.0) |
||
|
Probabilità di minaccia |
Basso (5) |
5 X 0,1 = 0,5 |
5 X 0,5 = 2,5 |
5 X 1,0 = 5 |
|
Medio (25) |
25 X 0,1 = 2,5 |
25 X 0,5 = 12,5 |
25 X 1,0 = 25 |
|
|
Alto (50) |
50 X 0,1 = 5 |
50 X 0,5 = 25 |
50 X 1,0 = 50 |
|
Scala del rischio:
- ALTO: >25 a 50
- MEDIO: >5 a 25
- BASSO: >0,5 a 5
3. Caratterizzazione del Sistema
Identificate i confini del sistema IT in esame e le risorse e le informazioni che costituiscono il sistema. La caratterizzazione stabilisce l'ambito dello sforzo di valutazione del rischio, mostra il percorso di autorizzazione o accreditamento e fornisce informazioni sulla connettività, responsabilità e supporto.
Il sistema EHR di Allied Health 4 U è composto da tutti i laptop, desktop, tablet, server e ePHI in essi contenuti.
3.1 Informazioni relative al sistema
Fornire informazioni correlate e una breve descrizione dell'ambiente di elaborazione.
|
Nome del sistema |
Allied Health 4 U EHR |
|
Proprietario del sistema |
Allied Health 4 U, Inc. |
|
Posizione fisica |
123 Main Street, Dept D, Regency Park, IL |
|
Funzione aziendale principale |
Archiviazione delle informazioni sanitarie |
|
Descrizione e componenti |
Sistema EHR, server, desktop, laptop, tablet, server, software |
|
Interfacce e confini |
Interfaccia utente su ogni dispositivo, connessione interna tramite WiFi, connessione esterna tramite cavo |
|
Sensibilità dei dati |
Alto |
|
Valutazione e classificazione complessiva della sensibilità IT |
Alto, Critico |
3.2 Utenti del sistema
Descrivi chi utilizza il sistema, includendo dettagli sulla posizione degli utenti e sul livello di accesso.
Tipo di dati | Descrizione | Livello di Sensibilità |
|---|---|---|
|
ePHI |
Informazioni sanitarie elettroniche protette |
Alto |
|
Procedure mediche |
Copie delle procedure eseguite sul paziente |
Basso |
|
Risultati dei test |
Laboratorio, Radiologia |
Alto |
|
Inventario dei DPI |
Personal protective equipment inventory |
Low |
|
Billing data |
Insurance and billing information |
High |
4. Minacce e Vulnerabilità
Elenca tutte le minacce e vulnerabilità credibili per il sistema in fase di valutazione. Spesso è possibile fornire qui una breve descrizione e includere i risultati dettagliati in un’appendice o in un foglio di calcolo separato.
4.1 Identificazione delle Minacce
Sviluppa un catalogo delle minacce ragionevolmente prevedibili. La tua principale preoccupazione riguarda le minacce umane provenienti da ex dipendenti, criminali, fornitori, pazienti o chiunque altro abbia motivazione, accesso e conoscenza del sistema.
|
Threat Source |
Threat Action |
|
Disgruntled employee |
Unauthorized modification of billing data |
|
Hacker |
Threatened disclosure of ePHI for ransom |
|
Earthquake |
Damage or loss of power to EHR components |
4.2 Identificazione delle Vulnerabilità
Elenca tutte le vulnerabilità tecniche e non tecniche del sistema che le potenziali minacce potrebbero attivare o sfruttare. Includi politiche e procedure incomplete o in conflitto, misure di sicurezza insufficienti (sia fisiche che elettroniche) e altri difetti o punti deboli in qualsiasi parte del sistema.
Allied Health 4 U identifica le seguenti vulnerabilità:
|
Vulnerability |
Description |
|
Water-based fire suppressant system in the office and IT center |
Activated water sprinklers could create electrical shorts in EHR system components |
|
EHR firewall allows inbound access |
A user could access EHR from outside the premises of Allied Health 4 U and Medical City |
4.3 Misure di Sicurezza
Documenta e valuta l’efficacia di tutti i controlli tecnici e non tecnici che sono attualmente implementati o che saranno introdotti per mitigare i rischi.
|
Safeguard |
Control |
|
Technical safeguard: Secure passwords |
Control access to EHR system. |
|
Administrative safeguard: Sanctions |
Define and enforce appropriate sanctions, so employees understand the consequences of non-compliance with security policies and procedures. |
|
Physical safeguard: Locked offices |
Keep facility locked during non-business hours to prevent unauthorized entry for access or destruction of components or records. |
5. Risultati della Valutazione dei Rischi
Descrivi le osservazioni (le vulnerabilità e le minacce che possono attivarle), misura ciascun rischio e fornisci raccomandazioni per l’implementazione dei controlli o per le azioni correttive. I risultati dettagliati vengono spesso presentati in un’appendice o in un foglio di calcolo separato.
|
Observation number |
100011 |
|
Risk (vulnerability/threat pair) |
Terminated employee access not revoked |
|
Current control measures |
Send notification to IT on date of separation |
|
Probability with existing controls |
High |
|
Impact with existing controls |
High |
|
Initial risk level |
High |
|
Recommended action or control measure |
Technical safeguard: Automate revocation of system access upon employee termination |
|
Residual risk level |
Low |
|
Implementation method |
Sysadmin configures automated access revocation tied to employee termination in the HR system |
|
Supervisor |
Jane Smith |
|
Start date |
January 15, 2021 |
|
Target end date |
Target end date |
|
Date controls implemented |
February 10, 2021 |
6. Cronologia delle Revisioni
Tieni traccia di tutte le modifiche apportate alla tua valutazione dei rischi HIPAA.
|
Version |
Published |
Author |
Description |
|
1.0 |
01/01/2020 |
Jane Smith |
Original |
|
1.1 |
06/01/2020 |
Bill Jones |
Modification |
Condividi su