Konfigurace ID Microsoft Entra pro dodržování předpisů HIPAA

služby Microsoft, jako je Microsoft Entra ID, vám může pomoct splnit požadavky související s identitou pro zákon o přenositelnosti a odpovědnosti za zdravotní pojištění z roku 1996 (HIPAA).

Pravidlo zabezpečení HIPAA (HSR) stanoví standardy pro ochranu elektronických osobních údajů jednotlivců, které jsou vytvořeny, přijímány, používány nebo udržovány pokrytou entitou. HSR spravuje ministerstvo zdravotnictví a lidských služeb (HHS) USA a vyžaduje odpovídající administrativní, fyzické a technické záruky k zajištění důvěrnosti, integrity a zabezpečení elektronických informací o zdraví.

Požadavky a cíle technické ochrany jsou definovány v hlavě 45 federálního řádu (CFR). Část 160 hlavy 45 obsahuje obecné administrativní požadavky a dílčí části A a C popisují požadavky na zabezpečení a ochranu osobních údajů.

V části § 164.304 jsou definovány technické záruky jako technologie a zásady a postupy pro jeho použití, které chrání elektronické chráněné zdravotní údaje a řídí přístup k ní. HHS také popisuje klíčové oblasti pro zdravotnické organizace, které je třeba zvážit při implementaci technických bezpečnostních opatření HIPAA. Od § 164.312 Technické záruky:

• Řízení přístupu – implementují technické zásady a postupy pro elektronické informační systémy, které udržují elektronické chráněné zdravotní údaje, aby umožňovaly přístup pouze těmto osobám nebo softwarovým programům, kterým byla udělena přístupová práva uvedená v § 164.308(a)(4).

• Kontrolní mechanismy auditu – Implementace hardwarových, softwarových a/nebo procedurálních mechanismů, které zaznamenávají a kontrolují činnost v informačních systémech, které obsahují nebo používají elektronické chráněné informace o stavu.

• Kontroly integrity – Implementujte zásady a postupy pro ochranu elektronických informací o stavu před nesprávnou změnou nebo zničením.

• Ověřování osob nebo entit – Implementujte postupy pro ověření, že osoba nebo entita, která hledá přístup k elektronickým chráněným zdravotním informacím, je ta, o kterou se jedná.

• Zabezpečení přenosu – Implementujte technická bezpečnostní opatření, která chrání před neoprávněným přístupem k elektronickým chráněným zdravotním informacím přenášeným přes síť elektronických komunikací.

HSR definuje dílčí části jako standardní spolu s požadovanými a adresovatelnými specifikacemi implementace. Všechny musí být implementovány. Označení "adresovatelné" označuje, že specifikace je rozumná a vhodná. Adresovatelné neznamená, že specifikace implementace je volitelná. Proto se vyžadují i dílčí části, které jsou definovány jako adresovatelné.

Zbývající články v této sérii poskytují pokyny a odkazy na zdroje uspořádané podle klíčových oblastí a technických bezpečnostních opatření. Pro každou klíčovou oblast je tabulka s příslušnými ochrannými opatřeními uvedenými a odkazuje na pokyny Microsoft Entra k zajištění ochrany.

Další informace

• HHS nulová důvěra (Zero Trust) ve zdravotnictví pdf

• Kombinované znění nařízení o všech nařízeních HIPAA Správa istrativních nařízení o zjednodušení 45 CFR 160, 162 a 164

• Code of Federal Regulations (CFR) Title 45 popisující část nařízení o veřejném blahu

• Část 160 popisující obecné správní požadavky hlavy 45

• Část 164 Dílčí části A a C popisující požadavky na zabezpečení a ochranu osobních údajů hlavy 45

• Nástroj HIPAA Security Risk Sejf guard

• NIST HSR Toolkit

Další kroky

• Pokyny k řízení přístupu Sejf guard

• Pokyny k řízení auditu Sejf guard

• Další pokyny pro Sejf guard

• Konfigurace ovládacích prvků HITRUST