القائمة الرئيسية

الصفحات

كيفية إجراء تقييم HIPAA ناجح للمخاطر

كيفية إجراء تقييم HIPAA ناجح للمخاطر

كيفية إجراء تقييم HIPAA ناجح للمخاطر

لا يزال الأمن السيبراني ، وتحديدًا برامج الفدية ، مصدر قلق لمتخصصي الرعاية الصحية حيث يعتقد 69٪ أنهم معرضون لخطر اختراق البيانات.


في الواقع ، تشير اتجاهات الأمان الحديثة إلى أن برامج الفدية لا تزال تمثل التهديد الأول الذي يواجه مقدمي الرعاية الصحية في عام 2021. وتتمثل إحدى الخطوات نحو الحفاظ على الصحة الإلكترونية الجيدة في إجراء تقييم مخاطر HIPAA.


باختصار ، هناك 5 خطوات رئيسية في إجراء تقييم ناجح لمخاطر HIPAA بما في ذلك تحديد المفاهيم الأساسية وتدفقات المعلومات ، وتحديد التهديدات ونقاط الضعف ، وإجراء تقييم أولي للمخاطر ، وتطوير توصيات الرقابة ، وإجراء تقييم المخاطر المتبقية.


في هذه المقالة ، سوف أتعمق في كل خطوة من خطوات عملية تقييم مخاطر HIPAA. في النهاية ، سيكون لديك المعرفة التي تحتاجها لتوجيه مؤسستك من خلال تقييم مخاطر HIPAA ناجح.


ما هو تقييم مخاطر HIPAA؟

ما هو تقييم مخاطر HIPAA؟


كل ما ورد في التاريخ المختصر لقانون HIPAA المذكور في المقدمة ، تحدد القاعدة الأمنية HIPAA متطلبات تقييم المخاطر.


يحدد ثلاثة أنواع من الضمانات الأمنية المطلوبة للامتثال:

  • إداري
  • فيزيائي
  • تقني

 

يساعد قانون تقييم مخاطر نقل التأمين الصحي والمسؤولية (HIPAA) المؤسسة على ضمان امتثالها للإجراءات الوقائية الأمنية الثلاثة من خلال توفير إرشادات حول كيفية تدقيق المعلومات الصحية الإلكترونية للمرضى (ePHI).


يتضمن تقييم المخاطر تدقيقًا شاملاً للمخاطر ونقاط الضعف المحتملة التي يمكن أن تؤثر على سرية وسلامة وتوافر ePHI الذي تحتفظ به منظمة الرعاية الصحية أو الكيان المشمول.


ما سبب أهمية الامتثال لقانون HIPAA؟

قانون محاسبة نقل المعلومات الصحية ، الذي يشار إليه عادة باسمه المختصر HIPAA ، تم سنه من قبل الكونجرس في عام 1996.


كان أحد الأهداف الرئيسية للتشريع هو تحسين إمكانية نقل تغطية التأمين الصحي ، وهو ضمان احتفاظ الموظفين بتغطية التأمين الصحي بين الوظائف.


كما جعلت HIPAA مؤسسات الرعاية الصحية مسؤولة عن البيانات الصحية وساعدت في ضمان أن تظل المعلومات الصحية للمرضى خاصة وسرية.


بعد عام 1996 ، أدت التحديثات التي تم إجراؤها على قانون HIPAA إلى ظهور قواعد فرعية ، مثل قاعدة خصوصية HIPAA و HITECH و HIPAA Security Rule.


 بعد 10 سنوات من التنقية ، أصبحت قاعدة تطبيق HIPAA سارية في عام 2006.


في عام 2013 ، تم تحديث القاعدة الأمنية HIPAA وتطلبت إجراء تقييم مخاطر HIPAA على الكيانات أو شركاء الأعمال المعمول به.


لا تهدف هذه المقالة إلى مراجعة كل تكرار تاريخي لقواعد HIPAA منذ بدايتها ، بل سنناقش أحد المكونات الأساسية لـ HIPAA التي يجب أن تقوم بها أي منظمة تتعامل مع البيانات المتعلقة بالصحة من أجل تلبية متطلبات الامتثال.


هذا المكون الأساسي هو تقييم مخاطر HIPAA.

في القسم التالي ، سنفحص 5 خطوات رئيسية لأداء تقييم مخاطر HIPAA بنجاح.


خطوات إجراء تقييم مخاطر HIPAA

هناك 5 خطوات رئيسية لإجراء تقييم مخاطر HIPAA بما في ذلك

  • تحديد المفاهيم الأساسية وتدفق المعلومات
  • تحديد التهديدات ونقاط الضعف
  • إجراء تقييم أولي للمخاطر
  • تطوير توصيات المراقبة
  • إجراء تقييم المخاطر المتبقية

 


الخطوة 1: تحديد المفاهيم الأساسية وتدفق المعلومات

تحدد هذه الخطوة الأولية الأسلوب والنطاق العام للتقييم. تحدد هذه الخطوة أماكن وجود وأنواع الأصول التي قد تستخدمها المؤسسة لإنشاء أو نقل أو تخزين معلومات المرضى ePHI.


تشمل الأمثلة الهواتف الذكية أو أجهزة التخزين المحمولة أو تقنيات مثل البريد الإلكتروني الذي يرسل معلومات ePHI.


بمجرد أن يحدد المقيِّم الوسائط التي تنقل بها معلومات ePHI ، فإن تحديد من يمكنه الوصول إلى ePHI يعد أيضًا مكونًا مهمًا في هذه الخطوة.


ستساعد المعلومات التي تم الحصول عليها في هذه الخطوة المقيم على تحديد مجالات التأثير وتوثيق كيفية تدفق ePHI داخل المنظمة.


المفاهيم والخطوات الرئيسية المذكورة أدناه:

  • تحديد موقع ePHI في المؤسسة.
  • حدد من يمكنه الوصول إلى ePHI في المؤسسة.
  • منطقة تأثير المستند
  • تحديد وإنتاج مخطط (مخططات) تدفق أصول المعلومات
  •  مراجعة سياسة الأمن

 


الخطوة الثانية: تحديد التهديدات ونقاط الضعف

كما ذكرنا سابقًا ، تتطلب قاعدة أمان HIPAA تنفيذ إجراءات حماية أمنية لحماية معلومات المرضى ePHI.


من أجل تحديد نقاط الضعف بنجاح أو ما إذا كانت الحماية الأمنية كافية ، يجب أن يكون لدى المقيم معرفة عملية بالمصطلحات المرتبطة بضمانات الأمان الثلاثة المطلوبة للامتثال لقانون HIPAA - الإدارية والمادية والتقنية.


 في بعض الأحيان ، قد يضطر المقيم إلى التواصل مع الفرق الفنية في المنظمة التي تشرف على نشر الضمانات الأمنية ، وبالتالي ، فإن هذه الخطوة مهمة لنجاح التقييم.


راجع قائمة المصطلحات الشائعة أدناه التي يجب أن يفهمها المقيم:

  • تقني - متعمد
    • برامج الفدية
    • تهديد من الداخل
    • سرقة الكمبيوتر
    • كيلوجر
    • حصان طروادة
    • التصيد

 


  • تقني - غير مقصود
    • مستلم البريد الإلكتروني غير المقصود للبيانات الحساسة
    • سرقة الكمبيوتر - ترك الجهاز دون مراقبة في مكان عام
    • جهاز تخزين USB مفقود يحتوي على بيانات حساسة

 


  • عطل تقني
    • نقص التشفير
    • كلمات مرور ضعيفة
    • عدم وجود حماية من البرمجيات الخبيثة
    • أصول غير محددة
    • أنظمة غير مسبوقة
    • عدم وجود أذونات الملف
    • التخلص غير السليم من الوسائط

 


  • الأمن المادي
    • حراس الأمن
    • أجهزة إنذار المبنى
    • البولاردز
    • ضوابط الوصول إلى المبنى
    • شارات الوصول
    • كاميرات مراقبة

 


  • الهندسة اجتماعية
    • التصيد الالكتروني
    • التصيد عن طريق المكالمات الهاتفية
    • التصيد عن طريق رسائل SMS

 


  • أحداث الكوارث
    • الفيضانات
    • الأعاصير
    • تورنادو
    • الزلازل

 


الخطوة الثالثة: إجراء تقييم أولي للمخاطر

هذه الخطوة هي عنصر حاسم في التقييم. تساعد هذه الخطوة المقيم في تحديد جميع التهديدات التي تواجه سرية وسلامة وتوافر ePHI.


في هذه الخطوة ، يتم تحديد المناطق المعرضة للخطر داخل المؤسسة والتي من المحتمل أن يتم استغلالها من قبل الجهات الفاعلة السيبرانية أو التهديد الداخلي أو خطأ المستخدم أو الأحداث الطبيعية.


بمجرد تحديد التهديدات ، يمكن استخدام هذه المعلومات لتطوير استراتيجية إدارة المخاطر لمعالجة المناطق المعرضة للخطر.


قائمة بالمناطق الرئيسية المعرضة للخطر التي قد تؤثر على مخاطر حماية ePHI:

  • الإنسان - متعمد
    • تهديد من الداخل (موظف ساخط)
    • سرقة معلومات الشركة
    • إفشاء معلومات الشركة
    • ترك الأبواب الخلفية على الأنظمة للوصول إليها لاحقًا

 


  • الإنسان - غير مقصود
    • النقر فوق ارتباط في رسالة بريد إلكتروني مخادعة
    • ترك المعلومات الحساسة في منطقة غير آمنة
    • عدم قفل وحدة تحكم الكمبيوتر عندما تكون بعيدًا
    • إرسال بريد إلكتروني حساس إلى مستلم (مستلمين) غير صحيحين

 


  • عطل فني في الأنظمة
    • نقص التشفير
    • كلمات مرور ضعيفة
    • عدم وجود حماية من البرمجيات الخبيثة
    • أصول غير محددة
    • أنظمة غير مسبوقة
    • عدم وجود أذونات الملف
    • التخلص غير السليم من الوسائط
    • عدم وجود نسخ احتياطية للتعافي من الكوارث

 


  • كارثة (طبيعية ومن صنع الإنسان)
    • مكتب يقع في منطقة الفيضانات
    • هزة أرضية
    • إعصار
    • اعصار
    • حريق مكتب
    • الهشيم

 


الخطوة الرابعة: تطوير توصيات المراقبة

إن فهم سيناريو التهديد ومعرفته هو أساس أي تحليل للمخاطر.


حسب التعريف ، يحدث سيناريو التهديد عندما يتصرف عامل التهديد على أحد الأصول من خلال استغلال الثغرات الأمنية داخل نظام معلومات أو شخص أو مبنى حيث يوجد أشخاص.


مثال على سيناريو التهديد هو منظمة تسمح لكلمات مرور ضعيفة بالوصول إلى موقع الويب الخاص بالمريض غير الآمن على الإنترنت.


يقوم وكيل التهديد أو المتسلل بتحديد موقع الموقع وسرقة كلمات مرور الموظفين وبيانات المرضى ، مما يضع الأساس لخرق ضخم للبيانات.


تقليل التأثير الذي يمكن أن يسببه سيناريو التهديد من خلال تطبيق الضوابط.


مثال على ذلك الموظف الساخط الذي لديه حق الوصول إلى السجلات الحساسة. يعد إنهاء الوصول إلى الأنظمة على الفور أحد الأمثلة على تقليل التأثير الناجم عن سيناريو التهديد المحتمل. بمجرد إلغاء حق الوصول لحساب المستخدم الخاص بالموظف ، لم يعد بإمكانه الوصول إلى موارد الشبكة.


يعد تقليل الوقت والخصوصية المتاحين لمصادر التهديد في النقاط الرئيسية داخل البنية التحتية أمرًا بالغ الأهمية.


مثال على ذلك هو المتسلل الذي يرسل إلى العاملين في المجال الطبي بريدًا إلكترونيًا مزيفًا به رابط إلى بطاقة هدايا. لحسن الحظ ، لا يعمل الرابط لأن برنامج مكافحة الفيروسات اكتشفه على الفور وأبلغ محلل الدعم ، وبالتالي ، قلل الوقت الذي يستغرقه مصدر التهديد للتسبب في حادث وكشف نشاطه السري.


تعزيز قدرات الاستجابة للحوادث هو عنصر تحكم بالغ الأهمية.


تهديدات اليوم مستهدفة ومصممة لإخفائها دون أن يتم اكتشافها. بمجرد حدوث الهجوم ، فإنه ينتشر عادة بشكل جانبي وبسرعة من خلال المنظمة.


تعمل خطة الاستجابة الفعالة للحوادث عند تنفيذها بشكل صحيح على إخطار وتنبيه الفرق المناسبة إلى العمل لتقليل سطح الهجوم.


يعد تعزيز إمكانات استمرارية الأعمال والتعافي من الكوارث أمرًا أساسيًا لسمعة المؤسسة وبقائها.


يمكن أن يؤدي هجوم برنامج الفدية الذي تم استغلاله في بيئة الرعاية الصحية إلى الإضرار بسمعة المؤسسة.


أحد عناصر التحكم المستخدمة لتقليل المخاطر في هذا المجال هو التفكير في الاستثمار في حل النسخ الاحتياطي السحابي.


سيؤدي تنفيذ هذا التحكم إلى تعزيز فعالية خطط استمرارية الأعمال والتعافي من الكوارث من خلال تقليل احتمالية فقدان البيانات بالكامل.


الخطوة الخامسة: إجراء تقييم المخاطر المتبقية

من الأدوات المفيدة في توضيح العلاقة بين فئات مخاطر التقييم المقترنة بالعديد من التهديدات ونقاط الضعف إنشاء خريطة للتهديدات.


يمكّن هذا المخطط المقيم من إظهار مستوى المخاطر الموجودة حاليًا في البيئة بشكل مرئي وإظهار كيف تعمل الضوابط الحالية على تقليل المخاطر عبر الأصول المحددة.


يوضح الرسم البياني أدناه عينة من التهديدات ونقاط الضعف المرتبطة بها وأنواع الأصول والمخاطر والحل الموصى به لتقليل استغلال التهديد.

إجراء تقييم مخاطر hipaa


ستلاحظ أن بعض المصطلحات المدرجة في الرسم البياني قابلة للمقارنة بقائمة المصطلحات الرئيسية الموثقة في الخطوة 2.


كما يتيح الرسم البياني أعلاه للمقيم تحديد الفجوات والمخاطر المتبقية بعد تنفيذ عنصر التحكم. يتم تعريف هذه المخاطر المتبقية بعد تطبيق عنصر التحكم على أنها مخاطر متبقية.


إن فهم المخاطر المتبقية أمر بالغ الأهمية للتقييم.


لماذا هذا هو الحال؟


من المستبعد للغاية القضاء التام على المخاطر من الناحية العملية ، ومع ذلك ، فإن الهدف من تقييم المخاطر هو تحديد الثغرات في الأنظمة والمساعدة في تحديد الإجراءات التي تؤدي إلى تقليل المخاطر إلى أدنى مستوى مقبول تقبله المنظمة.


يوضح الرسم البياني أدناه المخاطر المتبقية وكيف يتم قياسها بمجرد تطبيق الضوابط الأمنية.


يقيس السهم الموجود على اليسار احتمالية تأثير تهديد على المنظمة.


توضح ضوابط الأمان على المحور Y تحديد أولويات المخاطر عند مستوى معين ، كما هو موضح في قيم معرّف المخاطر من 1 إلى 5.



لاحظ في الرسم البياني ، أن جميع معرّفات المخاطر لا يتم تجميعها معًا في منطقة واحدة. معرّف المخاطر 4 له أولوية منخفضة ، والمعرفات الأخرى منتشرة.

المخاطر المتبقية وكيف يتم قياسها بمجرد تطبيق الضوابط الأمنية


الأسئلة الشائعة حول تقييم مخاطر HIPAA

ما هو الفرق بين تقييم المخاطر HIPAA وتحليل المخاطر؟

يتضمن تقييم المخاطر العديد من الخطوات ويشكل العمود الفقري لخطتك الشاملة لإدارة المخاطر. يعد تحليل المخاطر إحدى تلك الخطوات - الخطوة التي تحدد فيها الخصائص المحددة لكل خطر وتعيين درجة لكل منها بناءً على النتائج التي توصلت إليها.


من المطلوب لإجراء تقييم مخاطر قانون نقل التأمين الصحي والمسؤولية (HIPAA)؟

تنطبق قاعدة أمان HIPAA ومعاييرها على الكيانات المشمولة (CEs) وشركاء الأعمال (BA). يتم سرد وصف لكل كيان أدناه.


الكيانات المشمولة

تتعامل الكيانات المشمولة بشكل مباشر وتتطرق إلى ePHI (معلومات صحة المريض الإلكترونية. يشمل الكيان المغطى المستشفيات ومقدمي الرعاية الصحية وشركات التأمين ومراكز المقاصة.


شركاء الأعمال

شركاء الأعمال هم متخصصون في مجال غير متخصص في الرعاية الصحية ويتمتعون بإمكانية الوصول إلى ePHI. قد يخدم هؤلاء المتخصصون CEs كبائعين تابعين لجهات خارجية. تشمل بكالوريس بائعي التكنولوجيا والاستشاريين وشركات المحاسبة والمحامين.


كم تكلفة تقييم المخاطر؟

يمكن أن تتراوح تكلفة التقييم الأمني ​​من 1000 دولار للاختبارات البسيطة إلى أكثر من 50000 دولار ، اعتمادًا على حجم العمل وعدد الأجهزة المتصلة بالشبكة وتعقيد العمليات ونطاق التقييم.


قبل أن تضع في اعتبارها مراجعة سنوية وتدفع لمعالجة نقاط الضعف لديك ، فإن الحد الأدنى الذي يمكنك توقع دفعه مقابل تقييم المخاطر الأمنية هو حوالي 15000 دولار أمريكي.


هل تقييم المخاطر إلزامي للامتثال لقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)؟

نعم. تتطلب القاعدة الأمنية لقانون نقل التأمين الصحي والمساءلة (HIPAA) أن تقوم CE (الكيان المغطى) وشريكها (شريك الأعمال) بإجراء تقييم للمخاطر لمؤسسة الرعاية الصحية الخاصة بهم.


كم مرة يجب إجراء تقييم للمخاطر؟

لا تحدد HIPAA عدد المرات التي يجب إجراء تقييمات المخاطر فيها. يتطلب القانون تحليل "منتظم" للضمانات ، على الرغم من أن المنظمات يمكن أن تفسر ذلك بعدة طرق. على الأقل ، تتطلب أفضل الممارسات إجراء تقييم سنوي للمخاطر ؛ غالبًا ما يتغير مشهد التهديد بما يكفي لتبرير المراجعة السنوية.


توصي HIPAA بأن يقوم CEs بإجراء تقييم واحد على الأقل للمخاطر كل عام. ومع ذلك ، هناك حالات تتطلب تقييمات مخاطر سنوية إضافية. على سبيل المثال ، يجب عليك إجراء تقييم جديد للمخاطر الأمنية في أي وقت توجد فيه لائحة رعاية صحية جديدة.


يُطلب من BAs أيضًا إجراء تقييمات سنوية للمخاطر الأمنية بموجب قانون HIPAA للأمان. مرة أخرى ، قد يكون من الضروري إجراء أكثر من تحليل مخاطر سنوي. على سبيل المثال ، إذا فشلت BAs في تقييم سابق للمخاطر أو خضعت مؤخرًا لعملية اندماج أو استحواذ ، فقد يكون من المناسب إجراء تحليل ثانٍ للمخاطر.


ما الذي يجب تضمينه في تقرير تقييم مخاطر الأمان HIPAA؟

بغض النظر عما إذا كان تقييم الأمان HIPAA يتم إجراؤه داخليًا أو خارجيًا ، يجب أن يتضمن تقييمًا لما يلي:

  • الضمانات الإدارية والمادية والفنية
  • أمن المرافق ومحطات العمل
  • بروتوكولات التشفير للبريد الإلكتروني والأجهزة وتخزين البيانات والاتصالات اللاسلكية والمزيد
  • الأجهزة والبرامج التي تخزن المعلومات الصحية المحمية
  • تغيير سياسات وإجراءات الإدارة
  • إتلاف البيانات والتخلص منها بشكل مناسب
  • تأمين المسؤولية
  • ثغرة ePHI ، والتي تقوم بتقييم مختلف المجالات التي تتواجد فيها المعلومات الصحية المحمية
  • إجراءات التهديد ، والتي تقوم بتقييم المخاطر المرتبطة بانقطاع التيار الكهربائي والتهديدات المتعلقة بالطقس والتهديدات المتعلقة بالأفراد وما شابه ذلك.

reaction:
Ahmed Taher
Ahmed Taher
مدون من العراق . احب البرمجة وكل ما يتعلق بالشبكات والسيرفرات وامن المعلومات . واسعى الى توفير جميع المصادر والمواد للامتحانات الدولية.

تعليقات