Sivil Haklar Ofisi (OCR) için Sağlık ve İnsan Hizmetleri Departmanı’nın (HHS) araştırmakta olduğu en akut HIPAA uyum sorunu Risk Analizidir. Doğru yapılamamış aksine, hatalı veya eksik yapılmış bir analiz, ciddi güvenlik sorunları oluşturur ve çok yüksek mali sorunlara yol açar. Mali kayıplardan kaçmak için HIPAA risk değerlendirme yapmalısınız.
BT departmanınızın yeterli zamanı yoksa ve çalışan sayısı yeterli değilse, risk analizini yapmak zor olacaktır. Bu yazımızda sizlere anlatacağımız risk değerlendirme şablonu, uygun azaltıcı önlemleri uygulayabilmeniz için ePHI güvenlik risklerinizin, eksiksiz ve doğru bir şekilde denetimini gerçekleştirmenize yardımcı olabilir.
HIPAA risk değerlendirme nedir?
HIPAA risk değerlendirme ile, kuruluşlara Privacy Rule’un gerektirdiği şekilde yetkisiz ifşa potansiyelini belirleme de dahil olmak üzere elektronik korumalı sağlık bilgilerinin (yazımızda bundan sonra kısaca ePHI olarak kullanacağız) güvenliğine yönelik tehditleri belirlenmesine ve değerlendirmesine yardımcı olur.
Kuruluşunuz ePHI oluşturur, bakımını veya iletimini yaparsa, Sertifikalı bir elektronik sağlık kaydı (EHR) sistemi kullanıyor olsanız bile, ePHI’nizi korumak için sağlam adımlar attığınızdan emin olmak için güvenlik risklerinizi değerlendirmelisiniz. Risklerinizi belirledikten sonra, HIPAA Security Rule ile uyumluluğu sürdürmek için idari, fiziksel ve teknik koruyucu önlemler uygulamalısınız.
Sağlık kurumları HIPAA ile uyumluluk sağlamak için çalışırken, risk analizi ve risk yönetimi araçları çok önemli ve kullanışlıdır. Çünkü, ePHI’nizin gizliliğini, bütünlüğünü ve kullanılabilirliğini manuel işlemlerle yapacağınızdan çok daha etkili ve verimli olacak şekilde korumanızı sağlar.
Risk değerlendirmesini kuruluşunuza uyarlama
HIPAA risk değerlendirme gereksinimleri, değerlendirmeyi kuruluşunuzun ortamına ve koşullarına göre uyarlamanıza olanak tanır:
- Kuruluşunuzun boyutu, karmaşıklığı ve yetenekleri
- Kuruluşunuzun teknik altyapısı, donanımı ve güvenlik yetenekleri
- ePHI için potansiyel risklerin olasılığı ve ciddiyeti
- Güvenlik önlemlerinin maliyeti
Uygulama özellikleri: Gerekenler vs Adreslenebilir
Bir HIPAA risk değerlendirmesi, belirli bir standardı karşılayabilmek adına detaylı talimatları olan birçok uygulama özelliklerini içerir. Bu özelliklerden bazıları gereklidir, bazıları ise adreslenebilir:
- Gerekli (Required) özellikler, kapsam dahilindeki her kuruluşun ve iş ortaklarının uygulaması gereken politika veya prosedürleri belgelemektedir. Örnek: Risk Analizi yapılması
- Adreslenebilir (Addressable) özellikler, isteğe bağlı olmaz, ancak kuruluşlar bunları karşılamak için uygun süreçleri veya kontrolleri seçme esnekliğine sahiptir. Örneğin, parola yönetimi yapmak adreslenebilir biz özelliktir çünkü, yalnızca güvenilir kişilerin sistemlerinize erişmesini sağlamanın birden çok yolu vardır bir başka yol ise çok faktörlü kimlik doğrulamayı kullanmaktır.
Yalnızca maliyete dayalı bir uygulama özelliğini kabul etmeyi reddedemezsiniz.
Anahtar terminoloji
NIST 800-30’dan uyarlanmış, HIPAA’da ortak olan terimlerin tanımları aşağıda verilmiştir:
- ePHI (elektronik korumalı sağlık bilgileri) — Bir hastanın sağlığı, tedavisi veya faturası hakkında o hastayı tanımlayabilecek veriler. ePHI, elektronik biçimde tutulan PHI’dir; tüm PHI ile aynı gizlilik gereksinimlerine sahiptir, ancak ePHI’yi kopyalama ve iletme kolaylığı, ihlalleri önlemek için özel güvenlik önlemleri gerektirir.
- Güvenlik Açığı – Bir güvenlik sisteminin prosedürlerinde, tasarımında, iç kontrollerin uygulanmasında, yanlışlıkla tetiklenebilecek veya kasıtlı olarak istismar edilebilecek, bir güvenlik ihlali veya güvenlik politikasının ihlali ile sonuçlanan bir kusur veya zayıflık.
- Tehdit — Bir tehdit kaynağının belirli bir güvenlik açığını yanlışlıkla tetikleme veya kasıtlı olarak kullanma potansiyeli.
- Risk — BT ile ilgili riski ifade eder. Risk, belirli bir güvenlik açığını tetikleyen belirli bir tehdidin olasılığına dayalı net iş etkisini tanımlar. Yasal sorumluluk ve görev kaybı gibi faktörleri içerir.
- Risk analizi — Risk yönetiminin bir parçası olan risk analizi, sistemin güvenliğine yönelik tüm riskleri, bunların hasara yol açma olasılığını ve bu hasarı azaltabilecek güvenlik önlemlerini belirleme sürecine denir.
- Risk yönetimi — Uygunluk için riskleri ve güvenlik açıklarını en uygun seviyeye yeterli seviyede azaltmak için güvenlik önlemleri ve uygulamaları uygulama sürecine denir.
HIPPA Risk Analizindeki Adımlar
NIST 800-30, HIPAA uyumlu bir risk değerlendirmesi için aşağıdaki adımlardan oluşur:
Adım 1. Analizin kapsamını belirleyin.
Bir risk analizi, verileri oluşturmak, almak, sürdürmek veya iletmek için kullanılan elektronik ortamdan veya verilerin konumundan bağımsız olarak tüm ePHI’leri dikkate alır ve aynı zamanda gizliliğine, bütünlüğüne ve kullanılabilirliğine ilişkin tüm makul riskleri ve güvenlik açıklarını kapsar.
Adım 2. ePHI kullanımı ve ifşası hakkında eksiksiz ve doğru bilgiler toplayın.
Bu süreç şunları içerir:
- Geçmiş ve mevcut projelerin gözden geçirilmesi
- Röpartaj yapmak
- Belgelerin kontrol edilmesi
- Gerektiğinde diğer veri toplama tekniklerini kullanmak
- Toplanan tüm verilerin belgelenmesi
Doğrudan gerekli olmasa da HIPAA Privacy Rule’a uymak için muhtemelen bu adımı önceden tamamlamış olabilirsiniz.
Adım 3. Potansiyel tehditleri ve güvenlik açıklarını belirleyin.
Toplanan verileri inceleyin ve her bilgi parçası için oluşan tehditleri ve güvenlik açıklarını not alın.
Adım 4. Mevcut güvenlik önlemlerinizi değerlendirin.
ePHI’nize yönelik riskleri azaltmak için şuanda uyguladığınız önlemleri belgeleyin. Bu önlemler teknik veya teknik olmayabilir.
- Teknik önlemler, erişim kontrolü, kimlik doğrulama, şifreleme, otomatik oturum kapatma ve denetim kontrolleri gibi bilgi sistemi donanımını ve yazılımından oluşur.
- Teknik olmayan önlemler, politikalar, prosedürler ve fiziksel veya çevresel güvenlik önlemleri gibi operasyonel ve yönetim kontrollerinden oluşmaktadır.
Daha sonra bu güvenlik önlemlerinin yapılandırılmasının ve kullanımının uygun olup olmadığını analiz etmelisiniz.
Adım 5. Tehdit oluşma olasılığını belirleyin.
Bir tehdidin belirli bir güvenlik açığını tetikleme veya istismar etme ihtimallerini değerlendirin. Muhtemel potansiyel tehdit ve güvenlik açığı kombinasyonlarını dikkate alın ve bunları bir olayın olasılığına göre derecelendirin. En çok kullanılan derecelendirme yöntemleri, her bir riski Yüksek, Orta ve Düşük olarak etiketlemeyi veya gerçekleşme olasılığını ifade eden sayısal bir ağırlık sağlar.
Adım 6. Tehdit oluşumunun potansiyel etkisini belirleyin.
Aşağıdakiler gibi her bir veri tehdidinin olası sonuçlarını dikkate alın:
- Yetkisiz erişim veya ifşa
- Kalıcı kayıp veya yolsuzluk
- Geçici kayıp veya kullanılamama
- Finansal nakit akışı kaybı
- Fiziksel varlıkların kaybı
Her sonucun etkisinin ne olabileceğini planlayın. Ölçüler niteliksel veya niceliksel olabilir. Her bir sonuçla ilgili tüm makul etkilerini ve derecelendirmelerini rapor edin.
Adım 7. Risk seviyesini belirleyin.
Her tehdidin oluşma olasılığına ve etkisine belirlenen değerleri analiz etmelisiniz ve risk düzeyini, belirlenen olasılıkların ve etki düzeylerinin ortalamasına göre belirleyin.
Adım 8. Uygun güvenlik önlemlerini belirleyin ve belgeleri sonlandırın.
Her riski en uygun düzeye indirmek için kullanabileceğiniz olası güvenlik önlemlerini oluşturun. Her önlem için aşağıdaki önerileri dikkate alın:
- Önlemin etkinliği
- Uygulama için yasal veya düzenleyici gereklilikler
- Organizasyonel politika ve prosedür gereksinimleri
Risk değerlendirmenizi tamamlamak için tüm sonuçları belgeleyin.
HIPAA Risk Değerlendirme Şablonu
Aşağıda, her bölüm için bir açıklama ve bir örnek içeren bir HIPAA risk değerlendirme şablonu anlatılmaktadır. Bu, kuruluşunuzun özel ihtiyaçlarına göre uyarlamanız gereken genel bir şablondur. Bu şablonda kullanılan tüm şirket ve kişi adları hayal ürünüdür ve yalnızca örnek olarak kullanılmıştır.
1. Giriş
Belgenin nedenini tanımlayın.
Örnek:
Bu belge, Allied Health 4 U, Inc. için risk değerlendirmesinin kapsamını ve yaklaşımını özetlemektedir. Kuruluşun veri envanterini, tehdit ve güvenlik açığı tespitini, güvenlik önlemlerini ve risk değerlendirme sonuçlarını içerir.
1.1 Amaç
Risk değerlendirmesine neden ihtiyacınız olduğunu belirtin.
Örnek:
Risk değerlendirmesinin amacı, potansiyel risk alanlarını belirlemek, sorumlulukları belirlemek, risk azaltma faaliyetlerini ve sistemlerini karakterize etmek ve HIPAA Güvenlik Standardına uyum için düzeltici eylem prosedürlerine rehberlik etmektir.
1.2 Kapsam
Kuruluşunuzda bulunan hasta verilerinin akışını rapor haline getirin. Bu belgede, tüm sistem bileşenlerini, öğelerini, saha yeri konumlarını, kullanıcıları, uzaktan bir işgücünün kullanımı da dahil ve EHR sistemiyle ilgili tüm ek ayrıntıları belirleyin.
Çıkarılabilir medya ve taşınabilir bilgi işlem cihazları da dahil, BT sistemlerinizi, bileşenlerinizi ve bilgilerinizi tanımlamalı ve belgelemelisiniz.
Örnek:
Bu belgenin kapsamı, Allied Health 4 U tarafından alınan, oluşturulan, sürdürülen veya iletilen tüm ePHI’yi yöneten teknik, fiziksel ve idari süreçleri içerir.
Amaç, elektronik sağlık kayıtları (EHR) sistemine yönelik iç ve dış tehditler tarafından güvenlik açıklarının istismar edilmesini ortadan kaldırmak, azaltmak veya yönetmek için hem planlanan hem de uygulanan kaynakların ve kontrollerin kullanımını değerlendirmek ve analiz etmektir.
Allied Health 4 U, Regency Park, IL’deki Medical City’deki hastaların ve uygulayıcıların ihtiyaçlarına hizmet eder. İlgili tıp merkezi, tesis için birincil internet firewall hizmetini ve temel fiziksel güvenliği sağlar. Kuruluş, Allied Health 4 U, Inc. için diğer tüm teknoloji ve güvenlik ihtiyaçlarını sağlar.
Allied Health 4 U, hasta ePHI’sine erişmek için dizüstü bilgisayarlar, tabletler ve masaüstü bilgisayarlar kullanır. Allied Health 4 U dışından uzaktan erişim kesinlikle yasaktır. Video gözetimi etkinleştirilen kilitli bir sunucu odasında üç sunucu bulunur.
2. Risk Değerlendirme Yaklaşımı
Risk değerlendirmesini uygulamak için kullandığınız yöntemleri belirleyin.
Örnek:
Allied Health 4 U, kuruluş tarafından oluşturulan, alınan, bakımı yapılan veya iletilen tüm fiziksel cihazların ve elektronik verilerin envanterini çıkararak risk değerlendirmesini gerçekleştirir; EHR sistemi kullanıcıları ve yöneticileriyle görüşme yapmak ve sisteme yönelik olası güvenlik açıklarını ve tehditleri belirlemek için sistem verilerini analiz etmek.
2.1 Katılımcılar
EHR’den sorumlu olan veya EHR ile etkileşimde bulunan tüm BT personeli ve yönetimi gibi katılımcıları belirleyin. Katılımcıların isimlerini ve görevlerini içeren bir liste yapın örneğin; Baş Bilgi Sorumlusu veya Mülk Sahibi gibi.
Örnek:
ePHI güvenlik görevlisi ve Risk Yönetim Ekibi, Allied Health 4 U için ePHI güvenlik risk analizi ve risk yönetimi sürecini sürdürmekten ve yürütmekten sorumludur.
- Baş Bilgi Sorumlusu : Bradley Gray, MD
- Uyum Görevlisi : Jean Parker, MD
- Risk Değerlendirme Ekibi : William Brown, Takisha Lutrelle ve Lili Obrador
2.2 Bilgi Toplamak İçin Kullanılan Teknikler
ePHI verilerini, fiziksel cihazları, süreçleri ve prosedürleri tanımlamak ve envanterlemek için kullanılan yöntemlerin listelerini oluşturun.
Örnek:
Risk değerlendirmesi için bilgi toplarken aşağıdaki teknikler kullanılır:
- Bilişim Kurulu Başkanı, Risk Yönetim Ekibi, kullanıcılar ile görüşme yapılması
- Dokümantasyon İncelemesi — BT politikaları ve süreçleri, tehdit ve güvenlik açığı raporları, olay raporları, bilgi sınıflandırma belgeleri.
- Saha Ziyaretleri — Regency Park konumu, gelecekteki tüm konumlar
2.3 Risk Ölçeğinin Geliştirilmesi ve Tanımlanması
Risk değerlendirmelerinin ne zaman yapıldığını, kullanılan risk düzeyi matrisini, risklerin nasıl belirlendiğini ve en az üç seviyeli bir risk sınıflandırması hazırlayın.
Örnek:
Allied Health 4 U, aşağıdaki zamanlarda risk değerlendirmeleri yapar:
- EHR’deki yazılım güncellemelerinden sonra
- Yeni donanım, yazılım veya bellenimin uygulanmasından sonra
- Bir veri ihlali raporundan sonra
Riskin ölçeğini belirlemek için aşağıdaki risk matrisini kullanın:
Etki | ||||
Düşük (0,1) | Orta (0.5) | Yüksek (1.0) | ||
Tehdit Olasılığı | Düşük (5) | 5 X 0.1 = 0.5 | 5 X 0,5 = 2,5 | 5 X 1.0 = 1 |
Orta (25) | 25 X 0.1 = 2.5 | 25 X 0,5 = 12,5 | 25 X 1.0 = 25 | |
Yüksek (50) | 50 X 0.1 = 5 | 50 X 0,5 = 25 | 50 X 1.0 = 50 |
Risk ölçeği:
- YÜKSEK: >25 ila 50
- ORTA: >5 ila 25
- DÜŞÜK: >0.5 ila 5
3. Sistem Karakterizasyonu
İncelenen BT sisteminin sınırlarını ve sistemi oluşturan kaynakları ve bilgileri belirleyin. Karakterizasyon, risk değerlendirme kapsamı çabasını belirler, yetkilendirme veya akreditasyon yolunu gösterir ve bağlantı, sorumluluk ve destek hakkında bilgi sağlar.
Örnek:
Allied Health 4 U EHR sistemi, içerdiği tüm dizüstü bilgisayarlar, masaüstü bilgisayarlar, tabletler, sunucular ve ePHI’den oluşur.
3.1 Sistemle İlgili Bilgiler
İlgili bilgileri ve işleme ortamının kısa bir açıklamasını hazırlayın.
Örnek:
Sistem adı | Müttefik Sağlık 4 U EHR |
Sistem sahibi | Müttefik Sağlık 4 U, Inc. |
Fiziksel konum | 123 Ana Cadde, D Bölümü, Regency Park, IL |
Başlıca iş fonksiyonu | Sağlık bilgileri depolama |
Açıklama ve bileşenler | EHR sistemi, sunucu, masaüstü bilgisayarlar, dizüstü bilgisayarlar, tabletler, sunucular, yazılım |
Arayüzler ve sınırlar | Her cihazda kullanıcı arayüzü, WiFi üzerinden dahili bağlantı, kablo üzerinden harici bağlantı |
Veri duyarlılığı | Yüksek |
Genel BT duyarlılık derecelendirmesi ve sınıflandırması | Yüksek, Kritik |
3.2 Sistem Kullanıcıları
Kullanıcı konumu ve erişim düzeyiyle ilgili ayrıntıları da dahil ederek sistemi kimin kullandığını tanımlayın.
Örnek:
Sistem adı | Müttefik Sağlık 4 U EHR |
Kullanıcı kategorisi | sistem yöneticisi |
Erişim düzeyi | 4 |
Kullanıcı sayısı | 2 |
Sistem sahibi | Müttefik Sağlık 4 U, Inc. |
Fiziksel konum | 123 Ana Cadde, D Bölümü, Regency Park, IL |
3.3 Veri Envanteri
Tüm ePHI’lerin nerede depolandığını, alındığını, korunduğunu veya iletildiğini raporlayın.
Örnek:
Veri Türü | Açıklama | Hassasiyet Seviyesi |
ePHI | Elektronik korumalı sağlık bilgileri | Yüksek |
Tıbbi prosedürler | Hasta üzerinde yapılan işlemlerin kopyaları | Düşük |
Test sonuçları | Laboratuvar, Radyoloji | Yüksek |
KKD envanteri | Kişisel koruyucu ekipman envanteri | Düşük |
Faturalama verisi | Sigorta ve fatura bilgileri | Yüksek |
4. Tehditler ve Güvenlik Açıkları
Değerlendirilme sürecinde olan sisteme yönelik tüm güvenlik tehditleri ve güvenlik açıklarını listeleyin. Ayrıca bu aşamada kısa bir açıklama ekleyebilir ve detaylı sonuçlarını bir ekte veya ayrı bir elektronik tabloda gösterebilirsiniz.
4.1 Tehdit Tanımlama
Mantıken gerçekleşmesi beklenen tehditlerden oluşan bir katalog hazırlayın. Sizi ilgilendiren en önemli sorunlar eski çalışanlardan, suçlulardan, satıcılardan, hastalardan veya erişimi ve sistem hakkında bilgisi olan herhangi birinden gelen insan tehditleridir.
Tehdit Kaynağı | Tehdit Eylemi |
Mutsuz çalışan | Fatura verilerinin yetkisiz olarak değiştirilmesi |
Hacker | Fidye (ransom) için ePHI ifşası tehdidi |
Deprem | EHR bileşenlerinde hasar veya güç kaybı |
4.2 Güvenlik Açığı Tanımlama
Potansiyel tehditlerin tetikleyebileceği veya yararlanabileceği, eksik veya çelişkili policyleri ve prosedürleri, yetersiz güvenlik önlemlerini ve sistemin herhangi bir bölümündeki diğer kusurları veya zayıflıkları dahil ederek tüm teknik ve teknik olmayan sistem güvenliği açıklarını sıralayın.
Allied Health 4 U, aşağıdaki güvenlik açıklarını tanımlar:
Güvenlik Açığı | Açıklama |
Ofis ve IT merkezinde su bazlı yangın söndürme sistemi | Etkinleştirilmiş su sprinklerleri, EHR sistem bileşenlerinde elektrik kısa devreleri oluşturabilir |
EHR firewall gelen erişime izin verir | Bir kullanıcı, Allied Health 4 U ve Medical City binalarının dışından EHR’ye erişebilir |
4.3 Güvenlik Önlemleri
Oluşabilecek riskleri azaltmak için uygulanmakta olan veya uygulanması planlanan tüm teknik ve teknik olmayan kontrollerin etkinliğini belgeleyin ve değerlendirin.
Safeguard (koruma) | Kontrol |
Teknik safeguard: Secure Passwords | EHR sistemine erişimi kontrol edin. |
İdari Safeguard: Yaptırımlar | Çalışanların güvenlik policylerine ve prosedürlerinin uygulanmamasının sonuçlarını anlayabilmeleri için uygun yaptırımları tanımlayın ve uygulayın. |
Fiziksel Safeguard: Kilitli ofisler | Bileşenlere veya kayıtlara erişim veya imha için yetkisiz girişi önlemek için tesisi mesai saatleri dışında kilitli tutun. |
5. Risk Değerlendirme Sonuçları
Güvenlik açıklarını ve onları tetikleyebilecek tehdit gözlemlerini tanımlayın. Her bir riski tek tek ölçün ve kontrol uygulaması veya düzeltici eylem için öneri hazırlayın. Ayrıntılı sonuçlar bir ekte veya ayrı bir elektronik tabloda daha kolay gösterilir.
Gözlem numarası | 100011 |
Risk (güvenlik açığı/tehdit çifti) | Sonlandırılan çalışan erişimi iptal edilmedi |
akım kontrol önlemleri | Ayrılma tarihinde BT’ye bildirim gönder |
Mevcut kontrollerin ihtimali | Yüksek |
Mevcut kontrollerle etki | Yüksek |
İlk risk seviyesi | Yüksek |
Önerilen eylem veya kontrol önlemi | Teknik koruma: Çalışanın işten çıkarılması üzerine sistem erişiminin iptalini otomatikleştirin |
Kalan risk seviyesi | Düşük |
Uygulama yöntemi | Sysadmin, İK sisteminde çalışanın işten çıkarılmasına bağlı otomatik erişim iptalini yapılandırır |
Süpervizör | Jane Smith |
Başlangıç tarihi | 15 Ocak 2021 |
Hedef bitiş tarihi | 15 Şubat 2021 |
Tarih kontrolleri uygulandı | 10 Şubat 2021 |
6. Revizyon Geçmişi
HIPAA risk değerlendirmenizdeki tüm değişiklikleri gözlemleyin.
Sürüm | Yayınlanan | Yazar | Açıklama |
1.0 | 01/01/2020 | Jane Smith | orijinal |
1.1 | 06/01/2020 | Bill Jones | değişiklik |
Bu yazımızda sizlerle HIPAA Risk Değerlendirme Şablonu ile ilgili yöntem ve uygulama önerilerini paylaştık. Umarım bu bilgiler işinize yarayacaktır.