إطار عمل تقييم الإنترنت: لماذا يجب على مؤسسات هيئة الخدمات الصحية الوطنية أن تتحرك الآن

يجب على مؤسسات هيئة الخدمات الصحية الوطنية ومقدمي الرعاية الصحية الآخرين في المملكة المتحدة أن يبدأوا في التفكير في إطار عمل تقييم الأمن السيبراني يتعين على مؤسسات NHS الآن التأكد من استعدادها الجيد للتقييم الأولي بحلول 30 يونيو 2025. ويسمح البدء الآن لمؤسسات NHS بمعالجة متطلبات الإطار بشكل منهجي، وتخصيص الموارد بشكل فعال، وضمان دمج متطلبات CAF في استراتيجيتها الشاملة للأمن السيبراني.

واصل القراءة لمعرفة المزيد حول إطار عمل CAF، وكيف سيؤثر على NHS Trusts وغيرها من منظمات الرعاية الصحية في المملكة المتحدة، وما عليك القيام به الآن لضمان الامتثال الناجح لإطار عمل CAF بحلول يونيو 2025.

فهم إطار عمل CAF

تم تطوير إطار عمل تقييم الأمن السيبراني (CAF) من قبل المملكة المتحدة المركز الوطني للأمن السيبراني (NCSC) لمساعدة المؤسسات على إدارة وتحسين مرونتها السيبرانية. وهو يستهدف بشكل خاص المؤسسات التي تشكل جزءًا من البنية التحتية الوطنية الحرجة في المملكة المتحدة أو التي تخضع لأنواع معينة من التنظيم السيبراني، مثل لوائح الشبكات وأنظمة المعلومات.

يوفر إطار التقييم السيبراني (CAF) أسلوبًا منظمًا لتقييم وإظهار مستوى مرونة المنظمة في مواجهة التهديدات السيبرانية. يتضمن مجموعة من الأهداف والمبادئ والنتائج ومؤشرات الممارسات الجيدة (IGPs) التي توجه المنظمات لتحقيق تدابير أمان سيبراني قوية.

تم إصدار النسخة الأولية من CAF في 30 أبريل 2018. أحدث نسخة منCAF هو الإصدار 3.2، والذي تم إصداره في 15 أبريل 2024.

الصناعات المتأثرة بالـ CAF

يؤثر إطار عمل CAF التابع للمركز الوطني للأمن السيبراني على العديد من الصناعات الرئيسية في المملكة المتحدة، وخاصة تلك التي تشارك في البنية التحتية الوطنية الحيوية والخدمات الأساسية. وتشمل هذه الصناعات الرعاية الصحية والطاقة والنقل وإمدادات المياه وتوزيعها والتمويل والاتصالات والعديد من الإدارات والوكالات الحكومية ومقدمي البنية التحتية الرقمية، مثل مراكز البيانات ومقدمي الخدمات السحابية.

ومن الأمور ذات الأهمية الخاصة التأثير الذي سيخلفه قانون CAF على الرعاية الصحية في المملكة المتحدة. ويتعين على مؤسسات هيئة الخدمات الصحية الوطنية وغيرها من مؤسسات الرعاية الصحية الالتزام بقانون CAF لحماية بيانات المرضى وضمان مرونة خدمات الرعاية الصحية.

تأثير CAF على مؤسسات NHS

إن الامتثال لإطار عمل CAF يتطلب من مستشفيات NHS Trust تخصيص الموارد، بما في ذلك الوقت والموظفين والاستثمارات المالية. على سبيل المثال، ستتطلب مستشفيات NHS التي تمتثل لإطار عمل CAF مجموعة متنوعة من الموارد، مثل:

• فريق عمل مؤهلسيكون خبراء الأمن السيبراني، والمتخصصون في تكنولوجيا المعلومات، واختصاصين حوكمة المعلومات ضروريين للتعامل مع الجوانب التقنية والتنظيمية لإطار التقييم السيبراني (CAF).
• برامج تدريبية: سيتطلب الامتثال لمعايير CAF تدريبًا مستمرًا للموظفين للبقاء على اطلاع دائم بأفضل ممارسات الأمن السيبراني ومتطلبات الامتثال.
• استثمار المالي: وسوف تحتاج مستشفيات NHS Trust إلى التأكد من حصولها على التمويل الكافي لدعم تنفيذ التقنيات الجديدة وبرامج التدريب من أجل تلبية متطلبات CAF الأوسع نطاقًا.
• التكنولوجيا والأدواتقد تحتاج مؤسسات الخدمات الصحية الوطنية إلى أدوات وتقنيات جديدة وأكثر تقدمًا للأمن السيبراني لمراقبة التهديدات السيبرانية واكتشافها والاستجابة لها بشكل فعال.
• أنظمة التوثيق والتقارير: قد تحتاج مؤسسات الخدمات الصحية الوطنية إلى ترقية أو تحسين أنظمتها لتوثيق جهود الامتثال، وإدارة عمليات التدقيق، وإنشاء التقارير اللازمة.

بالإضافة إلى ذلك، ستحتاج فرق تكنولوجيا المعلومات وأمن المعلومات في NHS Trust إلى التزام قوي ودعم من قيادة المستشفى لإعطاء الأولوية للأمن السيبراني وتخصيص الموارد اللازمة.

الجدول الزمني للامتثال لـ CAF

يجب على مؤسسات NHS الامتثال لإطار عمل CAF بحلول 30 يونيو 2025. هذا الامتثال هو جزء من إطار عمل CAF المحدث مجموعة أدوات حماية وأمن البيانات (DSPT)، والذي يتماشى مع إطار عمل CAF لتعزيز ضمان الأمن السيبراني عبر مؤسسات NHS ومنظمات الرعاية الصحية الأخرى.

العلاقة بين DSPT و CAF

بالطبع، فإن مؤسسات NHS ومقدمي الرعاية الصحية الآخرين في المملكة المتحدة على دراية بالفعل بـ DSPT ومتطلبات التقييم السنوي الخاصة به. ونتيجة لذلك، قد يكون لدى البعض أسئلة حول الاختلافات بين DSPT وCAF، وكذلك ما إذا كان CAF قد يحل محل DSPT أو كيف.

إن DSPT هي أداة تقييم ذاتي عبر الإنترنت تقدمها NHS Digital. وهي تسمح للمؤسسات، وخاصة تلك التي لديها إمكانية الوصول إلى بيانات مرضى NHS، بقياس أدائها وفقًا لمعايير أمن البيانات العشرة التي وضعها National Data Guardian.

تم إصدار DSPT لأول مرة في أبريل 2018. ومنذ ذلك الحين، خضعت العديد من التحديثات لتعزيز وظائفها ومواءمتها مع معايير الأمن السيبراني المتطورة.

ومع ذلك، فإن أهم شيء يجب معرفته هو أن أحدث إصدار من DSPT، الإصدار 7، والذي تم إصداره في 30 أغسطس 2024 قد اعتمد إطار عمل NCSC CAF للمنظمات من الفئة 1، والتي تشمل NHS Trusts، ومجالس الرعاية المتكاملة (ICBs)، ووحدات دعم التكليف (CSUs)، والهيئات المستقلة (ALBs). (لمزيد من المعلومات، راجع البيان المشترك بين NHS England و National Data Guardian، DSPT المتوافق مع CAF: تطور نموذج الضمان الخاص بنا.)

سيؤدي هذا التغيير إلى ظهور واجهة مختلفة لمؤسسات NHS وICBs وCSUs وALBs عند تسجيل الدخول. ستعرض هذه الواجهة المحدثة المتطلبات المتوافقة مع CAF من حيث الأهداف والمبادئ والنتائج. ستحتفظ المنظمات الأخرى بالواجهة الحالية وستستمر في الاستجابة لقائمة من الضوابط الإلزامية، والتي سيتم رسمها على المستوى الوطني "في الخلفية" مقابل ملف تعريف CAF.

الفرق بين CAF وDSPT

يقدم CAF الجديد المتوافق مع DSPT العديد من الاختلافات الرئيسية مقارنة بالإصدارات السابقة من DSPT:

• محاذاة الإطار: لقد ابتعدت معايير أمن البيانات الجديدة عن معايير أمن البيانات العشرة التي وضعها حارس البيانات الوطني لتتوافق الآن مع الأهداف الأمنية الأربعة الشاملة لـ CAF ومبادئ الأمن السيبراني الأربعة عشر. والهدف من هذا التحول هو توفير نهج أكثر شمولاً للأمن السيبراني.
• النهج المبني على النتائج: تركز استراتيجية الأمن السيبراني المتوافقة مع CAF على تحقيق نتائج أمنية محددة بدلاً من وصف ضوابط مفصلة.
• تحسن تدريجي: يضع الإطار الجديد معايير عالية للإنجاز ويوفر خارطة طريق طويلة الأجل لتحسين تدريجي سنوي. وهذا يشجع على التحسين المستمر لممارسات الأمن السيبراني بمرور الوقت.
• نطاق معزز: في حين ركزت مبادئ توجيهية للأمن السيبراني في الأصل على حماية البيانات والسرية وحوكمة المعلومات، فإن مبادئ توجيهية للأمن السيبراني المتوافقة مع CAF تغطي جوانب أوسع للأمن السيبراني، بما في ذلك إدارة المخاطر والاستجابة للحوادث، مما يجعلها أكثر شمولاً من الإصدارات السابقة.
• المراجعات المستقلة: ركزت معايير DSPT في الأصل على التقييم الذاتي السنوي، ولكن مع معايير DSPT الجديدة المتوافقة مع إطار عمل CAF، هناك تركيز متزايد على عمليات التدقيق المستقلة وعمليات التدقيق على العينات الوطنية لضمان الامتثال والتحقق من فعالية تدابير الأمن السيبراني.
• متطلبات المصدر: وقد يتطلب الإطار الجديد تخصيص موارد أكبر، بما في ذلك الموظفين المهرة، والتقنيات المتقدمة، والتدريب المستمر لتلبية المعايير الأعلى التي وضعها إطار العمل المشترك.

تم تصميم هذه التغييرات لتعزيز وضع الأمن السيبراني العام لمؤسسات هيئة الخدمات الصحية الوطنية وغيرها من مؤسسات الرعاية الصحية. كما ستساعد في ضمان تجهيز مؤسسات هيئة الخدمات الصحية الوطنية بشكل أفضل للتعامل مع التهديدات السيبرانية المتطورة وحماية بيانات المرضى الحساسة.

تحديات الامتثال لـ NHS Trust CAF

بناءً على جميع التغييرات بين الإصدار السابق من DSPT وDSPT الجديد المتوافق مع CAF، تواجه مؤسسات NHS العديد من التحديات عند محاولة الامتثال لـ CAF:

• تعقيد المتطلبات: يقدم DSPT المتوافق مع CAF متطلبات امتثال جديدة مبنية حول الأهداف والمبادئ والنتائج. قد يكون هذا التعقيد مرهقًا لمؤسسات NHS حيث تحتاج إلى تقييم نفسها وتلبية مؤشرات مختلفة للممارسات الجيدة.
• تخصيص الموارد: إن ضمان الامتثال يتطلب موارد كبيرة، بما في ذلك الوقت والموظفين والاستثمار المالي. وقد تواجه هيئات الخدمات الصحية الوطنية صعوبة في تخصيص الموارد الكافية لتلبية المعايير الجديدة، وخاصة في ظل الضغوط الحالية على خدمات الرعاية الصحية.
• الخبرة الفنية:يتطلب إطار العمل المشترك مستوى عاليًا من الخبرة الفنية في مجال الأمن السيبراني وحوكمة المعلومات. وقد تحتاج مؤسسات هيئة الخدمات الصحية الوطنية إلى الاستثمار في التدريب أو توظيف متخصصين مهرة للتعامل مع الإطار الجديد بشكل فعال.
• تحسن مستمر: تؤكد CAF على التحسين المستمر وإدارة المخاطر الفعّالة. ولا ينبغي لمؤسسات NHS تحقيق الامتثال فحسب، بل يجب عليها أيضًا الحفاظ على ممارساتها وتحسينها بمرور الوقت. وقد يكون هذا أمرًا صعبًا في بيئة ديناميكية ومحدودة الموارد.
• التدقيق والتأكيد: إن متطلبات التدقيق المستقل والتدقيق على العينات الوطنية تضيف طبقة أخرى من التدقيق. يجب أن تكون مؤسسات هيئة الخدمات الصحية الوطنية مستعدة لهذه التدقيقات، مع ضمان توافر جميع الوثائق والأدلة اللازمة.

الجداول الزمنية وتكرار عمليات تدقيق الامتثال لـ NHS Trust CAF

سوف تكون مستشفيات NHS Trust ملزمة بالخضوع لعمليات تدقيق مستقلة سنوية للامتثال لمعايير CAF. تشكل عمليات التدقيق هذه جزءًا من عملية DSPT المحدثة، والتي تتوافق الآن مع معايير CAF. تضمن عمليات التدقيق أن مؤسسات NHS تلبي باستمرار معايير الأمن السيبراني المطلوبة وتحسن وضعها الأمني ​​العام.

ستجري مؤسسات NHS أولى عمليات التدقيق الخاصة بها بحلول 30 يونيو 2025. ومع ذلك، يوصى بشدة أن تبدأ مؤسسات NHS في الاستعداد لإجراء أول عملية تدقيق DSPT متوافقة مع CAF الآن لضمان وجود جميع الوثائق والأدلة اللازمة. يجب على مؤسسات NHS أيضًا أن تبدأ في إجراء عمليات تدقيق داخلية خاصة بها لتحديد ومعالجة أي مشكلات محتملة قبل إجراء التدقيق الرسمي.

كيفية البدء في الاستعداد للامتثال لـ CAF الآن

يمكن لمستشفيات هيئة الخدمات الصحية الوطنية أن تبدأ في الاستعداد للامتثال لإطار العمل المجتمعي على الفور، ويجب عليها أن تبدأ في الاستعداد للامتثال له. وفيما يلي بعض الخطوات التالية الجيدة التي يجب عليك اتخاذها لإعداد مستشفاك:

• فهم متطلبات CAF: تعرف على إرشادات DSPT المتوافقة مع CAF. يتضمن ذلك فهم أهداف CAF وأغراضها والنتائج المتوقعة منها.
• إجراء تحليل الفجوة: قم بتقييم وضعك الحالي في مجال الأمن السيبراني وفقًا لمتطلبات CAF. حدد المجالات التي لا تلبي فيها مؤسستك المعايير وحدد أولويات هذه الفجوات من أجل معالجتها.
• تطوير خطة الامتثال: إنشاء خطة مفصلة لمعالجة الفجوات التي تم تحديدها. يجب أن تتضمن هذه الخطة جداول زمنية وأطرافًا مسؤولة وإجراءات محددة مطلوبة لتحقيق الامتثال.
• تعزيز إدارة المخاطر:تنفيذ ممارسات قوية لإدارة المخاطر. ويتضمن ذلك تحديد وتقييم وتخفيف المخاطر التي تهدد الوظائف الأساسية والبيانات الحساسة.
• تحسين تدابير الأمن السيبراني:عزز تدابير الأمن السيبراني لديك من خلال تبني أفضل الممارسات في اكتشاف التهديدات والاستجابة للحوادث وإدارة الثغرات الأمنية. تأكد من تأمين جميع الأجهزة والأنظمة المتصلة.
• طاقم القطار: توفير تدريب شامل لجميع أعضاء الفريق حول أفضل ممارسات الأمن السيبراني وأهمية الامتثال لمعايير CAF. يساعد هذا في بناء ثقافة واعية بالأمن داخل المنظمة.
• إجراء عمليات تدقيق وتقييم منتظمة: قم بإجراء عمليات تدقيق وتقييمات منتظمة لضمان الامتثال المستمر لمعايير الأمن السيبراني. استخدم هذه التقييمات لتحسين وضعك الأمني ​​السيبراني بشكل مستمر.
• التعامل مع الخبراء: فكر في التواصل مع خبراء أو مستشاري الأمن السيبراني الذين يمكنهم تقديم التوجيه والدعم لتحقيق الامتثال لمعايير CAF.

كيف تساعد Cylera في تمكين الامتثال لمعايير CAF لمؤسسات NHS

إنّ منصة سيليرا تم تصميمه لمساعدة مؤسسات NHS وغيرها من مؤسسات الرعاية الصحية في المملكة المتحدة على الامتثال لإطار عمل CAF من خلال توفير القدرات الرئيسية التالية:

• اكتشاف الجهاز وتحديد ملف تعريفه:تكتشف Cylera تلقائيًا كل إنترنت الأشياء للرعاية الصحية والأجهزة الطبية المتصلة وتحدد ملف تعريف لها، مما يضمن الرؤية الشاملة والتحكم في الشبكة. جرد شامل وهي خطوة أولى ضرورية لتحديد نقاط الضعف وإدارة المخاطر المرتبطة بإنترنت الأشياء في مجال الرعاية الصحية والأجهزة الطبية المتصلة.
• إدارة المخاطر والثغرات: تساعد منصة Cylera تحديد نقاط الضعف المعروفة والتخفيف منهامما يقلل من احتمالية استغلال الجهات الفاعلة للتهديدات لهذه نقاط الضعف. ويتماشى هذا مع التركيز الذي توليه مؤسسة CAF للتحسين المستمر وإدارة المخاطر الفعّالة.
• تقسيم الشبكة وحمايتها: سيليرا، من خلال محرك توليد سياسة تقسيم الشبكة والتكاملاتتوفر الدعم الآلي المطلوب لتمكين تقسيم الشبكة وأطر الثقة الصفرية. تتيح هذه القدرات للمستشفيات عزل البيانات الحساسة والأنظمة المهمة بشكل مناسب على الشبكة، مما يساعد بدوره في منع الوصول غير المصرح به والحد من انتشار البرامج الضارة أو التهديدات الإلكترونية الأخرى.
• كشف التهديدات والاستجابة لها: توفر Cylera تحسينًا الكشف عن التهديدات والاستجابة لها القدرات التي تمكن مؤسسات الرعاية الصحية من التعرف بسرعة على التهديدات السيبرانية والاستجابة لها. وهذا أمر بالغ الأهمية للحفاظ على أمن ومرونة خدمات الرعاية الصحية.
• دعم الامتثال: توفر Cylera أدوات وموارد لمساعدة مؤسسات الرعاية الصحية على تلبية احتياجاتها متطلبات الامتثال للمملكة المتحدة، بما في ذلك تلك الموضحة في إطار العمل التعاوني. ويشمل ذلك إنشاء الوثائق اللازمة و تقارير التدقيق.

ندعوك لمعرفة المزيد حول منصة Cylera لذكاء أصول إنترنت الأشياء للرعاية الصحية والأمن السيبراني وكيف يمكن لفرق تكنولوجيا المعلومات والأمن المعلوماتي الخاصة بك استخدام منصة Cylera للتحضير للامتثال لمعايير CAF في عام 2025.

تواصل معنا اليوم للتحدث مع أحد خبراء الأمن السيبراني في مجال الرعاية الصحية في المملكة المتحدة أو جدولة عرض مع أحد مهندسي المبيعات الفنيين لدينا. اكتشف بنفسك كيف تم تصميم Cylera بشكل فريد للمساعدة في ضمان استعداد NHS Trust الخاص بك بالكامل لإثبات امتثال CAF بنجاح قبل الموعد النهائي لعام 2025.