Требование удовлетворительных гарантий BAA
Правило конфиденциальности HIPAA требует, чтобы покрытые организации (больницы, медицинские планы, клиринговые палаты) заключали соглашения о деловых партнёрах с любыми поставщиками, которые получают доступ, используют или создают защищённую медицинскую информацию от их имени. BAA должно включать "удовлетворительные гарантии", что деловой партнёр реализует соответствующие меры безопасности для защиты PHI — в частности, административные, физические и технические требования к мерам безопасности, указанные в 45 CFR 164.308, 164.310 и 164.312.
Стандарт "удовлетворительных гарантий" не определён с конкретностью в регулировании. Руководство по обеспечению соблюдения OCR указывает, что гарантии должны основываться на документированных доказательствах, а не просто на контрактных заявлениях. Покрытая организация, подписывающая BAA, не получив доказательства того, что деловой партнёр действительно реализует требуемые меры безопасности, не может продемонстрировать должную осмотрительность, если деловой партнёр впоследствии нарушит BAA.
Анализ единой контрольной рамки ISACA 2024 показал, что сертификация ISO 27001 снижает дублирование аудитов в сфере здравоохранения на 60% — отражая степень, в которой контрольные меры ISO 27001 соответствуют требованиям безопасности HIPAA. Соответствие не идеально (HIPAA включает специфические для здравоохранения требования, которые ISO 27001 не охватывает), но охватывает большинство технических и организационных мер безопасности, требуемых для должной осмотрительности BAA.
Сопоставление контроля
Контроли приложения A ISO 27001 сопоставляются с требованиями Правила безопасности HIPAA по трем категориям мер безопасности:
Административные меры безопасности (164.308): Контроли ISO A.5 (политики информационной безопасности), A.6 (организация информационной безопасности), A.7 (безопасность человеческих ресурсов), A.8 (управление активами) в совокупности охватывают требования HIPAA к процессу управления безопасностью, назначенной ответственности за безопасность, безопасности рабочей силы, управлению доступом к информации, осведомлённости о безопасности и планированию на случай непредвиденных обстоятельств.
Физические меры безопасности (164.310): Контроли ISO A.11 (физическая и экологическая безопасность) охватывают контроль доступа к объектам, безопасность рабочих мест, контроль устройств и носителей.
Технические меры безопасности (164.312): Контроли ISO A.9 (контроль доступа), A.10 (криптография), A.12 (безопасность операций), A.13 (безопасность связи) в совокупности охватывают контроль доступа, контроль аудита, контроль целостности и безопасность передачи.
Случай использования региональной системы здравоохранения
Офис соблюдения крупной региональной системы здравоохранения, обновляющий оценки поставщиков, запрашивает доказательства "соответствующих мер безопасности" в соответствии с существующим BAA от делового партнёра, предоставляющего услуги по деидентификации PHI. Офицер по соблюдению запрашивает сертификат ISO 27001 и сводку контроля. Сертификат сопоставляется с требованиями HIPAA 164.308, 164.310 и 164.312 в документе о перекрестном сопоставлении контроля. Офицер по соблюдению документирует удовлетворительные гарантии в файле BAA — предоставляя доказательства, которые удовлетворяют требованиям аудита OCR без необходимости в индивидуальной оценке безопасности на 150 вопросов.
Источники: