Urychlená shoda s předpisy týkajícími se HIPAA

S blížícím se termínem naše bezpečnostní manažerka pomáhá kolegovi zodpovědnému za splnění požadavků stanoven...


S blížícím se termínem naše bezpečnostní manažerka pomáhá kolegovi zodpovědnému
za splnění požadavků stanovených úředním předpisem.

HIPAA. Všichni jsme byli nemocní nejen z této zkratky, ale i z toho, že lhůta
pro splnění požadavků tohoto zákona (Health Insurance Portability and
Accountability Act) se přiblížila. V organizaci, kde pracuji, strávil manažer
informační bezpečnosti posledních sedm měsíců psaním různých pravidel či
procedur. Rozdělil je do dvou skupin na "povinné" (to, co musíme udělat) a
"žádoucí" (požadavky, o jejichž splnění bychom měli uvažovat).
Když jsem se začala problémem zabývat, bylo šéfy agentury schváleno pouze jedno
z pravidel. Veškeré rozhodování je zde totiž postaveno na plné shodě pokud se
jednomu z manažerů nelíbí byť jen jedna jediná věta, je směrnice zamítnuta,
upravena a pak znovu předložena. Začala jsem mít z blížícího se termínu také
určitou obavu. Jestliže nemáme pravidla schválená, nemůžeme je ani
implementovat.
Udělala jsem to, co by za těchto okolností udělal každý slušný bezpečnostní
profesionál. Za prvé jsem požádala každého člena vedení o pomoc při schvalování
pravidel. Dále jsem se snažila nalézt vzor, který by byl všeobecně přijatelný,
ale zároveň jsem nechtěla celé kolečko absolvovat znovu. Proto jsem zašla na
web National Institute of Standards and Technology (NIST) a stáhla všechny
dostupné dokumenty, které souvisely s bezpečností a s HIPAA.
Šla jsem ale ještě dál a vzala si osnovu získanou z webu NIST a zadala ji do
softwaru Microsoft Project, definovala jsem hlavní cíle a přidělila zdroje,
přičemž výsledný graf jsem vyvěsila na zeď. Rovněž jsem vytiskla všechny
související dokumenty NIST a založila je do velkého pořadače.
Chtěla jsem kolegovi ukázat, jak plán projektu formulovat. Chtěla jsem, aby si
uvědomil, za co je odpovědný a jak málo času na implementaci je. Než jsem
ukázala plán nadřízeným, cítila jsem potřebu se mu za svůj "mikromanagement"
omluvit. Většinou totiž takto nepostupuji, ale považuji za nutné tomuto
spolupracovníkovi vysvětlit, že tohle je úroveň práce, kterou od něho
očekáváme. Nyní musí tento plán zrealizovat. Pokud na to nemá, pak by už
manažerem pro bezpečnost být neměl."

Na jedné lodi
Zjistila jsem, že spousta vládních organizací je na tom podobně. HIPAA od nich
vyžaduje jmenovat manažery informační bezpečnosti. Ale většina úřadů nemá v
oblasti bezpečnosti příliš mnoho odborných znalostí a řada jejich šéfů nahlíží
na takového pracovníka spíše jako na administrativní než technickou funkci. V
tom se ale mýlí. Bezpečnostní předpis HIPAA se svou implementací liší oproti
předpisu o soukromí tím, že vyžaduje dodatečné technické prostředky.
Je pravda, že většinu rozhodování provádějí úředníci, ale i přesto potřebujete
technické znalosti o tom, jak věci fungují. Nemůžete například provádět
stanovení rizik beze znalosti zranitelností síťového počítačového prostředí. A
bez toho, že pochopíte, jak dochází ke skutečným narušením bezpečnosti a jak to
lze detekovat, nemůžete na případný bezpečnostní incident ani reagovat. A když
dojde na plánování postupů následujících po nepředvídaných událostech,
potřebujete znát i analýzu vlivů jednotlivých jevů či plány pro obnovu po
katastrofě.
Nemůžete pouze sepsat pravidlo, založit jej do pořadače, označit jej jako
"Shoda s bezpečnostním předpisem HIPAA" a říct si, že to je pro dnešek vše.
Nemůžete ani předpokládat, že fyzická ochrana je ze své podstaty
administrativní záležitostí. Jak chcete například v oblasti kontroly zařízení a
médií zabránit někomu pomocí některého z malých USB flash zařízení vynést
chráněná elektronická zdravotní data? Zablokujete USB porty ve všech
počítačích? Nebo zakážete použití takovýchto zařízení přes Active Directory či
software třetích stran?
Když konečně přijde na technická opatření, musíte se zabývat takovými
záležitostmi, jako jsou kontrolní revize. Určení typu revizí, které budou
implementovány, a jaké aktivity přitom budou sledovány, může být v závislosti
na velikosti organizace poměrně náročným úkolem. Pak ale ještě musíte stanovit,
kam budou data z takového auditu ukládána, kdo k nim bude mít přístup a jak
budou chráněna proti zfalšování.
Naštěstí naše organizace má hned několik kvalifikovaných techniků, kteří, ač
bez přímých zkušeností s bezpečnostní problematikou, odvedli dobrou práci v
nastavení infrastruktury, takže nutné změny, které byly třeba udělat, byly
provedeny bezproblémově. A také nám pomohlo to, že hlavní systémy
zpracovávající většinu našich transakcí typu EPHI (Electronically Protected
Health Information) byly před dvěma lety outsourcovány a jsou certifikovány ve
shodě s HIPAA. Bez této karty na stole by byla hra asi ztracená.
Termín jsme stihli bez vážnějších potíží. Jsem ale vděčná institutu NIST za to,
že výše zmiňované pomocné informace poskytoval, a také své organizaci, že
rozhodla o outsourcingu ještě před mým zapojením.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.