أمان HIPAA: 7 خطوات للامتثال لقانون الأمان

ما هي قواعد الأمان والخصوصية في قانون HIPAA؟

قواعد الأمان والخصوصية الخاصة بقانون HIPAA هي مكونات أساسية من قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA)، وهو قانون فيدرالي تم سنه في الولايات المتحدة عام 1996. هذه اللوائح تحدد المعايير لحماية خصوصية وأمان معلومات صحية معينة، وبالتحديد، المعلومات الصحية القابلة للتعريف الفردي.

قاعدة الخصوصية تحمي خصوصية المعلومات الصحية الشخصية، والمعروفة أيضًا باسم المعلومات الصحية المحمية (PHI). تنطبق القاعدة على جميع أشكال المعلومات الصحية المحمية، سواء كانت إلكترونية أو مكتوبة أو شفهية. تتطلب من مقدمي الرعاية الصحية، وخطط الصحة، والكيانات الأخرى المشمولة بقانون HIPAA تنفيذ تدابير لحماية خصوصية المعلومات الصحية المحمية وتحدد حدودًا وشروطًا لاستخدامات وإفصاحات هذه المعلومات دون إذن من المريض.

قاعدة الأمان هي جزء من قاعدة الخصوصية وتتعلق بشكل خاص بمعلومات الصحة الإلكترونية المحمية (ePHI). إنها تحدد معايير وطنية لحماية المعلومات الصحية الشخصية الإلكترونية للأفراد التي يتم إنشاؤها أو تلقيها أو استخدامها أو الاحتفاظ بها من قبل كيان مشمول. تتطلب قاعدة الأمان من الكيانات ضمان سرية وسلامة وأمان ePHI.

من هم الأشخاص المشمولون بقاعدة أمان HIPAA؟

تنطبق قاعدة أمان HIPAA على ما تعرفه التشريعات بـ "الكيانات المغطاة". تشمل هذه الكيانات مقدمي الرعاية الصحية، مثل المستشفيات والعيادات ودور التمريض والصيدليات والأطباء الذين ينقلون المعلومات الصحية إلكترونيًا في سياق معاملات معينة. كما تشمل شركات التأمين الصحي، ومنظمات إدارة الصحة، وخطط الصحة الخاصة بالشركات، والبرامج الحكومية التي تدفع مقابل الرعاية الصحية، مثل Medicare وMedicaid. بالإضافة إلى ذلك، تشمل القواعد مراكز معالجة المعلومات الصحية، مثل خدمات الفوترة، وأنظمة إدارة الصحة المجتمعية، وشركات إعادة التسعير.

يتعين على الشركاء التجاريين (BAs) لهذه الكيانات المشمولة الامتثال لقانون أمان HIPAA. هؤلاء الشركاء التجاريون هم مقدمو خدمات من طرف ثالث يقومون بأداء وظائف أو أنشطة نيابة عن، أو تقديم خدمات إلى، كيان مشمول تتضمن استخدام أو إفشاء المعلومات الصحية المحمية (PHI). ويشمل ذلك المقاولين، والاستشاريين، والبائعين، والمقاولين من الباطن. يفرض القانون على الكيانات المشمولة أن يكون لديها عقود أو ترتيبات أخرى مع الشركاء التجاريين لضمان أنهم يستخدمون ويكشفون عن المعلومات الصحية المحمية بشكل مناسب ويحافظون عليها.

ما هي المعايير الثلاثة لقانون أمان HIPAA؟

تحدد قاعدة أمان HIPAA ثلاثة أنواع من تدابير الأمان المطلوبة للامتثال: الإدارية، المادية، والتقنية. كل من هذه المعايير له مواصفات تنفيذ محددة يجب على الكيانات المغطاة والشركاء التجاريين الالتزام بها، لضمان سرية وسلامة وتوافر المعلومات الصحية الإلكترونية.

التدابير الإدارية لحماية المعلومات

الحمايات الإدارية هي إجراءات وسياسات إدارية لإدارة اختيار وتطوير وتنفيذ وصيانة تدابير الأمان لحماية المعلومات الصحية الإلكترونية المحمية (ePHI) وإدارة سلوك القوى العاملة للكيان المشمول فيما يتعلق بحماية تلك المعلومات.

تشمل تحليل وإدارة المخاطر، وتدريب الموظفين، وتعيين مسؤول أمني، وإدارة الوصول، وأمن القوى العاملة، وتقييم السياسات والإجراءات الأمنية. الهدف هو إنشاء عملية إدارة أمنية رسمية، وتعيين مسؤول أمني مخصص، وزيادة الوعي الأمني وتدريب القوى العاملة، وتطوير خطط الطوارئ، من بين إجراءات أخرى.

الحمايات المادية

تشير الحماية المادية إلى التدابير والسياسات والإجراءات المادية لحماية أنظمة المعلومات الإلكترونية للكيان المغطى، والمباني والمعدات ذات الصلة من المخاطر الطبيعية والبيئية، والت intrusions غير المصرح بها.

تشمل هذه الضوابط التحكم في الوصول إلى المرافق، واستخدام محطات العمل والأمان، والتحكم في الأجهزة والوسائط. يجب على الكيانات المغطاة والشركاء التجاريين تنفيذ سياسات للحد من الوصول الفعلي إلى أنظمة المعلومات الإلكترونية والمرافق التي توجد فيها، مع ضمان السماح بالوصول المصرح به. يمكن أن يتضمن ذلك إجراءات للاستخدام الصحيح والوصول إلى محطات العمل والوسائط الإلكترونية، بالإضافة إلى سياسات تتعلق بنقل وإزالة والتخلص وإعادة استخدام الوسائط الإلكترونية.

الحمايات التقنية

تعتبر الحمايات التقنية هي التكنولوجيا والسياسات والإجراءات المتعلقة باستخدامها التي تحمي البيانات الصحية الإلكترونية المحمية (ePHI) وتتحكم في الوصول إليها. وهي توفر متطلبات التكنولوجيا والسياسات لحماية البيانات الصحية الإلكترونية، مع التركيز بشكل خاص على التشفير وفك التشفير، وضوابط الوصول، وضوابط التدقيق، وضوابط النزاهة.

تضمن ضوابط الوصول أن الأفراد المصرح لهم فقط يمكنهم الوصول إلى المعلومات الصحية الإلكترونية (ePHI). ضوابط التدقيق هي آليات مادية وبرمجية وإجرائية تسجل وتفحص الوصول والنشاطات الأخرى في أنظمة المعلومات. تضمن ضوابط النزاهة عدم تغيير أو تدمير المعلومات الصحية الإلكترونية (ePHI) بطريقة غير مصرح بها، بينما تحمي تدابير أمان النقل من الوصول غير المصرح به إلى المعلومات الصحية الإلكترونية (ePHI) التي يتم نقلها عبر شبكة إلكترونية.

7 خطوات حاسمة للامتثال لقوانين الخصوصية والأمان الخاصة بـ HIPAA

الامتثال الكامل لقوانين الخصوصية والأمان الخاصة بـ HIPAA معقد ولا يمكن تناوله بالكامل في هذه المقالة. ومع ذلك، سنستعرض أدناه سبع خطوات أساسية ستكون عادة جزءًا من جهود الامتثال لـ HIPAA في المنظمة.

1. إجراء تحليل للمخاطر

يتضمن تحليل المخاطر تحديد وتقييم المخاطر المتعلقة بسرية ونزاهة وتوافر المعلومات الصحية الإلكترونية (ePHI) داخل منظمتك. يجب أن يكون تحليل المخاطر شاملاً، ويغطي جميع الأنظمة والتطبيقات والعمليات التي تنشئ أو تستقبل أو تحافظ أو تنقل المعلومات الصحية الإلكترونية.

يجب أن يحدد تحليل المخاطر الثغرات المحتملة، مثل البرمجيات القديمة، وعدم وجود تشفير، ونقص في ضوابط الوصول، أو نقص في تدريب الموظفين. كما يجب أن يقيم التأثيرات المحتملة لهذه الثغرات، مع الأخذ في الاعتبار عوامل مثل حجم المعلومات الصحية الإلكترونية المحمية، ونوع المعلومات الصحية الإلكترونية المحمية، والأذى المحتمل للأفراد إذا تم اختراق المعلومات الصحية الإلكترونية المحمية.

بعد تحديد وتقييم المخاطر، الخطوة التالية هي ترتيبها حسب احتمالية حدوثها وتأثيرها المحتمل، وتطوير خطة لإدارة المخاطر. يجب أن تتضمن هذه الخطة التدابير التي سيتم تنفيذها لتقليل المخاطر إلى مستوى مقبول، والجدول الزمني لتنفيذها.

2. المسؤولية الأمنية المعينة

أحد متطلبات قاعدة أمان HIPAA هو تعيين مسؤول أمان مسؤول عن تطوير وتنفيذ السياسات والإجراءات المطلوبة بموجب القاعدة. يلعب هذا الفرد، الذي يُشار إليه غالبًا باسم مسؤول أمان HIPAA، دورًا حيويًا في الحفاظ على الامتثال لأمان HIPAA.

يجب أن يكون مسؤول أمن HIPAA لديه فهم شامل لقواعد أمن HIPAA، وقادرًا على إجراء تحليل للمخاطر، وتطوير وتنفيذ السياسات والإجراءات الأمنية، والإشراف على برامج التوعية والتدريب الأمني. يجب أن يكون أيضًا مسؤولًا عن إدارة الحوادث الأمنية والانتهاكات، وضمان استعداد المنظمة لتدقيق أو تحقيق HIPAA.

3. أمان محطات العمل والأجهزة

تشكل محطات العمل والأجهزة التي تخزن أو تعالج المعلومات الصحية الإلكترونية المحمية (ePHI) مخاطر كبيرة على الامتثال لأمن HIPAA. لذلك، من الضروري تنفيذ سياسات وإجراءات تحكم استخدام هذه المحطات والأجهزة، والتأكد من أنها محمية بشكل كاف.

يجب أن تكون محطات العمل موجودة في مناطق آمنة، ويجب استخدام شاشات التوقف أو ميزات تسجيل الخروج التلقائي لمنع الوصول غير المصرح به. يجب تشفير الأجهزة التي تخزن معلومات صحية إلكترونية، مثل أجهزة الكمبيوتر المحمولة أو الأجهزة المحمولة، وحمايتها بكلمات مرور. كما يجب تخزينها في مواقع آمنة عندما لا تكون قيد الاستخدام، ويجب مسحها أو تدميرها بشكل آمن عندما لم تعد مطلوبة.

4. تثبيت آليات للحد من الوصول إلى المعلومات الصحية الإلكترونية المحمية (ePHI)

يجب أن يكون الوصول إلى المعلومات الصحية الإلكترونية (ePHI) تحت سيطرة صارمة، حيث يُمنح الوصول فقط للأشخاص أو البرامج التي تم تفويضها بناءً على دورها أو وظيفتها. يتضمن ذلك تنفيذ تدابير تقنية مثل ضوابط الوصول، والمصادقة، والتشفير، بالإضافة إلى تدابير إدارية مثل سياسات وإجراءات الوصول.

يجب أن تضمن ضوابط الوصول أن الأفراد المصرح لهم فقط يمكنهم الوصول إلى المعلومات الصحية الإلكترونية المحمية (ePHI)، وأنهم يمكنهم الوصول فقط إلى الحد الأدنى من المعلومات اللازمة لأداء وظائفهم. يجب استخدام آليات المصادقة للتحقق من هوية أولئك الذين يسعون للوصول إلى ePHI، ويجب استخدام التشفير لحماية ePHI أثناء النقل والتخزين.

يجب أن توضح سياسات وإجراءات الوصول العملية الخاصة بمنح وتعديل وإلغاء الوصول، ويجب أن تحدد الأدوار والمسؤوليات للمستخدمين والمشرفين وضابط أمن HIPAA. كما يجب أن تحدد الإجراءات التي يجب اتخاذها في حالة انتهاك سياسات وإجراءات الوصول.

5. وضع خطط للتواصل الداخلي لأحداث الأمن السيبراني

التواصل الداخلي الفعال أمر حيوي لإدارة أحداث الأمن السيبراني، خاصة تلك التي تتعلق بالمعلومات الصحية الإلكترونية المحمية (ePHI). إن إنشاء خطة تواصل داخلية يضمن أن جميع الأفراد المعنيين يتم إبلاغهم ويعرفون أدوارهم في حالة حدوث حادث أمني. يجب أن تحدد هذه الخطة كيفية التواصل بشأن الانتهاكات المحتملة أو الفعلية داخل المنظمة، بما في ذلك قنوات الاتصال، وتدفق المعلومات، وأدوار ومسؤوليات كل عضو في الفريق.

يجب أن تتضمن الخطة تفاصيل الإجراءات الخاصة بالإبلاغ عن الانتهاكات المشتبه بها أو المؤكدة للمعلومات الصحية الإلكترونية المحمية (ePHI). ويشمل ذلك تحديد الأشخاص الذين يجب الإبلاغ لهم، ومدى سرعة الإبلاغ بعد الاكتشاف، والمعلومات المحددة التي يجب تضمينها في التقرير الأولي.

يجب أن تتضمن خطة الاتصالات أيضًا توضيحًا لعملية التواصل المستمر خلال عملية إدارة الحوادث، لضمان إبقاء الأطراف المعنية الرئيسة، بما في ذلك مسؤول أمان HIPAA وموظفي تكنولوجيا المعلومات، على اطلاع بالتطورات وجهود الاستجابة. بالإضافة إلى ذلك، يجب أن تتضمن الخطة أحكامًا لجلسات التقييم والتحليل بعد الحادث، مما يسمح للمنظمة بالتعلم وتحسين وضعها الأمني من كل حادث.

6. إنشاء بروتوكول لإخطار عن خرق

على الرغم من أفضل جهودك لحماية البيانات الصحية الإلكترونية (ePHI)، يمكن أن تحدث خروقات. لذلك، من الضروري وجود بروتوكول لإخطار الخروقات. يجب أن يحدد هذا البروتوكول الخطوات التي يجب اتخاذها في حالة حدوث خرق، بما في ذلك تحديد الخرق واحتوائه، وتقييم المخاطر المرتبطة بالخرق، وإخطار الأفراد المتأثرين ووزارة الصحة والخدمات الإنسانية (HHS).

يجب أن يحدد بروتوكول إشعار الاختراق الخطوات التي يجب اتخاذها لمنع حدوث اختراقات مستقبلية، مثل تنفيذ تدابير أمنية إضافية، مراجعة السياسات والإجراءات، أو توفير تدريب إضافي للموظفين.

7. احتفظ بسجلات شاملة لإثبات الامتثال في حالة التدقيق.

أحد الجوانب الرئيسية للامتثال لأمان HIPAA هو القدرة على إثبات الامتثال في حالة التدقيق أو التحقيق. يتضمن ذلك الاحتفاظ بسجلات لجميع السياسات والإجراءات الأمنية، وتقييمات المخاطر، ومواد التدريب، وجعلها متاحة لوزارة الصحة والخدمات الإنسانية عند الطلب.

يجب أن توفر هذه السجلات دليلاً على تنفيذ التدابير اللازمة، ويجب أن تُظهر أن المنظمة قد أجرت تحليلًا شاملاً للمخاطر، ونفذت خطة لإدارة المخاطر، وعينت مسؤول أمان وفقًا لقانون HIPAA، وقدمت تدريبًا لجميع الموظفين.

التوافق مع قانون HIPAA باستخدام Exabeam

يمكن أن يؤدي عدم الامتثال لقانون HIPAA إلى غرامات كبيرة من مكتب حقوق الإنسان وعواقب أخرى. عندما لا يتم تنفيذ إدارة التصحيحات، وضوابط الوصول، والمراقبة بشكل كامل مع مجموعة الحلول المناسبة، فإن ذلك يترك المؤسسة عرضة لهجمات الفدية وغيرها من أساليب الهجوم التي يمكن أن تؤثر على رعاية المرضى.

تجمع منصة عمليات الأمن من Exabeam بين السجلات والسياق، وخلاصات معلومات الأمن، وتحليلات الذكاء الاصطناعي لتحديد السلوكيات الشاذة التي تشير إلى هجمات محتملة. تُسهّل لوحات المعلومات المُعدّة مسبقًا إعداد تقارير الامتثال لقانون HIPAA. سواء كنت تستخدم إطار عمل مثل NIST أو إطار MITRE للهجوم والتكتيكات والتقنيات المشتركة (ATT&CK)^، فإن Exabeam تُقدّم مسارًا واضحًا لتتبع احتياجاتك من طلبات الامتثال والحوكمة، مع تحديد الوضع الطبيعي في بيئتك ولكل كيان مُسجّل دخوله.

تقدم أداة "Outcomes Navigator" رؤية مستمرة ورؤية حول تغطية الكشف والتحسينات التي تم إجراؤها، مما يوفر اقتراحات لتحسين تحليل السجلات، بالإضافة إلى إظهار أي المصادر والكشفات هي الأكثر فعالية ضد أي أجزاء من إطار عمل ATT&CK، وأي حالات استخدام تشير بشكل أكبر إلى اختراق الشبكة، والاستمرارية، والحركة الجانبية.