Antecedentes: Publicación especial (SP) 800-66 del NIST Las organizaciones de atención médica enfrentan muchos desafíos derivados de las amenazas a la ciberseguridad. Esto puede tener graves impactos en la seguridad de los datos de los pacientes, la calidad de la atención al paciente e incluso el estado financiero de la organización. Las organizaciones de atención médica también deben cumplir con los requisitos regulatorios, como la Regla de Seguridad de la Ley de Responsabilidad y Portabilidad del Seguro Médico de 1996 (HIPAA), que se enfoca en salvaguardar la información médica protegida electrónica (ePHI) en poder o mantenida por entidades y socios comerciales cubiertos por HIPAA (colectivamente). , ‘entidades reguladas’). El borrador de la publicación especial (SP) del NIST 800-66 Revisión 2 proporciona orientación práctica y recursos que pueden utilizar entidades reguladas de todos los tamaños para salvaguardar la ePHI. Con ese fin, el Borrador NIST SP 800-66 Revisión 2 tiene como objetivo ayudar a las organizaciones a mejorar su postura general de ciberseguridad, al mismo tiempo que cumplen con la Regla de Seguridad. ¿Qué cambios podemos esperar ver? En julio de 2022 se publicó un borrador de NIST SP 800-66 Revisión 2 para comentarios públicos y recibimos más de 250 comentarios únicos de varias docenas de personas y organizaciones. Nuestro objetivo es publicar una versión final a finales de este año. Con base en la adjudicación de los comentarios, se planean los siguientes cambios para la versión final de NIST SP 800-66 Revisión 2 (tenemos planes para pequeñas actualizaciones adicionales, pero esta lista cubre las más impactantes): Incluiremos recursos más específicos para entidades pequeñas y reguladas. Planeamos colaborar con otras entidades del sector público y privado para ayudar a crear estos recursos, que pueden incluir herramientas, casos de uso u orientación más específica. Consideramos el desarrollo de estos recursos como un esfuerzo independiente de la publicación final de NIST SP 800-66, pero permanezca atento para obtener más información sobre esto en los próximos meses. Aclararemos algunas áreas del documento. Muchos encuestados pidieron aclaraciones sobre los términos «análisis de riesgos» y «evaluación de riesgos». El término «análisis de riesgos» no se puede eliminar porque es el término utilizado en la Regla de Seguridad, y siempre nos referiremos al análisis de riesgos como lo que exige la Regla de Seguridad, es decir, una evaluación precisa y exhaustiva de las amenazas y vulnerabilidades. a ePHI. La evaluación de riesgos se referirá al proceso mediante el cual una entidad regulada puede determinar el nivel de riesgo para la ePHI. El borrador NIST SP 800-66 Revisión 2 proporciona un proceso de evaluación de riesgos que las entidades reguladas pueden usar (consulte la Sección 3) y las entidades pequeñas y reguladas pueden encontrar beneficios al usar la herramienta de evaluación de riesgos de seguridad (SRA) del HHS. También recibimos comentarios sobre el borrador NIST. SP 800-66 Revisión 2 hacía referencia a varias versiones de la herramienta SRA, lo que podría confundir a los lectores. La versión final apuntará constantemente a la página de inicio de la herramienta SRA. Ajustaremos los apéndices. Haremos que el Apéndice E: Estándares de reglas de seguridad y especificaciones de implementación para cruces peatonales sea más útil. El Apéndice E asigna los estándares y las especificaciones de implementación de la regla de seguridad a los controles de seguridad aplicables detallados en NIST SP 800-53, a las subcategorías del Marco de seguridad cibernética (CSF) y a otras publicaciones relevantes del NIST. Nuestro plan es eliminar la asignación del Apéndice E del borrador NIST SP 800-66 Revisión 2 y colocarlo en línea en el sitio web de la Herramienta de referencia de privacidad y ciberseguridad (CPRT) del NIST (todavía habrá un Apéndice E, pero simplemente contendrá un puntero a el mapeo almacenado en CPRT). Esto permitirá que el mapeo se actualice por separado del ciclo de actualización de SP 800-66. Además, fusionaremos el mapeo existente del Apéndice E con las tablas de actividades clave, descripciones y preguntas de muestra para entidades reguladas en la Sección 5. no eliminaremos las tablas de la Sección 5; seguirán siendo una referencia útil para los lectores. Pero el mapeo alojado en CPRT se fusionará con las tablas de la Sección 5, con algunas columnas agregadas para ilustrar a los lectores las subcategorías CSF relevantes, los controles SP 800-53 y otros recursos del NIST que se asignan a cada uno de los estándares y reglas de seguridad. especificaciones de implementación (así como las actividades clave, descripciones y preguntas de muestra). Ajustaremos el Apéndice F: Recursos de reglas de seguridad de HIPAA. Recibimos muchas sugerencias para extraer los Recursos, por lo que pensamos que los Recursos podrían alojarse en línea. Al igual que el Apéndice E, este cambio permitiría que los Recursos se mantengan actualizados separados del ciclo de actualización NIST SP 800-66. También hemos decidido reorganizar los recursos dentro de cada área temática para avanzar desde recursos más fundamentales a recursos más complejos. Esto permitirá que las entidades pequeñas y reguladas se centren en los recursos anteriores dentro de cada área temática. También planeamos agregar una lista completa de áreas temáticas al comienzo de la lista de recursos con enlaces activos que llevarán al lector directamente a cada área temática respectiva. Realmente apreciamos su apoyo, aliento y comentarios a lo largo de este viaje. No dude en comunicarse con cualquier pregunta o comentario a sp800-66-comments [at] nist.gov (sp800-66-comentarios[at]nist[dot]gov) (y síganos en @NISTcyber y suscríbase a nuestro blog Cybersecurity Insights para mantenerse actualizado en el futuro).