Відео: Жизнь Ð’ РеальноÑти (Вересень 2024)
Порушення даних - це велика справа для організації охорони здоров’я, незалежно від типу інциденту. Справа з наслідками порушення або інцидентом із безпекою може бути складним, трудомістким і, найчастіше, хаотичним процесом. Радар, від людей, що цікавлять конфіденційність, в експертах з питань конфіденційності, допомагає організаціям створити план реагування на інцидент у разі порушення даних та відстежувати кожен крок у міру їх вирішення. Кібер-зловмисники можуть порушити мережу та отримати доступ до конфіденційних даних, або працівник випадково втратив ноутбук, що містить документи, що містять інформацію, пов’язану зі здоров’ям. Неправильно налаштований сервер може ненавмисно відкрити файли людям поза організацією, а працівник лікарні-шахрая може отримати доступ до записів пацієнтів та ділитися ним із сторонніми особами. Усі ці випадки підпадають під дію норм відповідності, державних і федеральних законів та галузевих стандартів; і Радар робить складний процес більш простим.
Експерти компанії ID позиціонують радари як інструмент "управління випадками конфіденційності", спеціально розроблений для організацій охорони здоров'я, таких як лікарні, клініки та плани охорони здоров'я. Платформа зосереджена на регламентах HIPAA (Закон про відповідальність за переносність медичного страхування) та HITECH (Інформаційна технологія охорони здоров'я для економічного та клінічного здоров'я), а також державних законах про повідомлення про порушення даних.
Radar схожий на системи Co3 в тому, що обидві платформи допомагають адміністраторам керувати порушеннями даних та визначати кроки для виявлення вади, виправлення проблеми, сповіщення жертв та перевірки усунення проблеми. Системи Co3 базуються на майстрах, охоплюють більш широкий спектр нормативних актів, ніж просто охорона здоров'я, і не обмежуються лише порушеннями даних.
RADAR відрізняється від інших платформ тим, що виконує оцінку ризику, що залежить від інциденту, наприклад, використовуючи чотири фактори від остаточного правила HIPAA, що вимагається федеральним та державним законодавством для їх дотримання. RADAR вклав ці правила оцінки в програмне забезпечення, що полегшує співробітникам приватної служби та дотримання правил послідовного оцінювання кожного інциденту.
Що робить Радар
Компанії, зосереджені на запобіганні порушень та витоків даних, часто забувають планувати найгірший сценарій, коли технологія та процеси безпеки відмовляються. Радар активно вирішує цю проблему, дозволяючи адміністраторам сформувати детальний план реагування на інциденти, щоб визначити кожен крок, який повинен відбутися.
Менеджери та команди безпеки відповідають на ряд питань щодо конкретного інциденту із безпекою чи конфіденційністю, і Radar повертає перелік державних законів та правил HIPAA / HITECH, що застосовуються до конкретних обставин. Програмне забезпечення ідентифікує всіх, кого потрібно повідомити.
Хоча я часто використовую терміни взаємозамінно, платформа розмежовує випадки та порушення. Інцидент стане працівником, який втратить ноутбук. Порушення було б, якби хтось знайшов загублений ноутбук та виявив дані пацієнта. Якби жорсткий диск був зашифрований, втрата залишилася б інцидентом, оскільки дані все ще були захищені. Якби я уточнив, що дані не були викриті (оскільки ноутбук потрапив в океан), Radar позначив би цей звіт "Тільки документацією" і не створив план реагування на інцидент. Якби я зазначив, що існує можливість, щоб хтось насправді натрапив на дані (у випадку втраченого ноутбука на конференції), Радар створив би план відповідей.
Враховуючи, що компанії, які зазнають порушення, повинні швидко реагувати, маючи змогу швидко генерувати індивідуальні плани реагування на інциденти, чітким робочим процесом означає, що організація може відповідати послідовно та ефективно. Платформа також використовує кольорові ключі, щоб визначити, які інциденти мають високий ризик та вплив на відповідність HITECH.
Введення інциденту в Radar ID Експерти дали мені доступ до Radar 2.7 та попередньо заповнили обліковий запис деякими готовими інцидентами. Після входу на платформу я натиснув кнопку «Документ новий інцидент», щоб створити подію, записавши те, що сталося, а потім пограв з модулем звітування.
У випадку втраченого ноутбука я заповнив детальну форму, в якій описував, що було втрачено, у якому форматі були дані, хто був залучений та скільки записів може бути порушено. Деякі розділи були детально розроблені, наприклад, з'ясування форми втрачених даних про електроніку - електронна пошта, переносний FTP-накопичувач та інші - чи було порушення шкідливим чи нешкідливим, і як це сталося.
Я також визначив, які елементи даних були втрачені, чи це була персональна ідентифікаційна інформація (PII), захищена інформація про здоров'я (PHI) або інша конфіденційна інформація. Було б добре просто мати можливість сказати "Всі PII" або "Всі PHI", а не спускатися вниз і натискати кожен прапорець, але це змушує адміністратора дійсно звертати увагу на те, які дані були втрачені.
Я міг би вказати типи даних, що піддаються впливу, такі як імена, записи про стан здоров’я, банківська інформація та інші. Усі підприємства різні, тому я зміг точно вказати правила дотримання, до яких я підлягав (або просто найкращі практики), і створив дуже індивідуальний план інцидентів. Далі: Управління надзвичайними ситуаціями за допомогою радара
