Rekomendasi konfigurasi Microsoft Entra untuk kontrol HITRUST
Panduan artikel ini membantu Anda menavigasi detail dan memberikan rekomendasi layanan dan fitur di ID Microsoft Entra untuk mendukung penyelarasan dengan kontrol HITRUST. Gunakan informasi untuk membantu memahami kerangka kerja Health Information Trust Alliance (HITRUST), dan mendukung tanggung jawab Anda untuk memastikan organisasi Anda mematuhi Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA). Penilaian melibatkan bekerja dengan penilai HITRUST bersertifikat yang berpengetahuan luas tentang kerangka kerja dan diharuskan untuk membantu memandu Anda melalui proses dan memahami persyaratan.
Akronim
Tabel berikut mencantumkan akronim dan ejaannya dalam artikel ini.
| Singkatan | Ejaan |
|---|---|
| CE | Entitas Tercakup |
| CSF | Kerangka Kerja Keamanan Umum |
| HIPAA | Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan 1996 |
| HSR | Aturan Keamanan HIPAA |
| HITRUST | Aliansi Kepercayaan Informasi Kesehatan |
| IAM | Pengelolaan identitas dan akses |
| IdP | IdP |
| ISO | Organisasi Internasional untuk Standardisasi |
| ISME | Sistem manajemen keamanan informasi |
| JEA | Akses yang cukup |
| JML | Gabung, pindah, tinggalkan |
| MFA | Autentikasi multifaktor Microsoft Entra |
| NIST | Institut Standar dan Teknologi Nasional, Departemen Perdagangan AS |
| PHI | Informasi kesehatan yang dilindungi |
| PIM | Privileged Identity Management |
| SSO | Akses menyeluruh |
| TEKAN | Kode akses sementara |
Aliansi Kepercayaan Informasi Kesehatan
Organisasi HITRUST menetapkan Common Security Framework (CSF) untuk menstandarkan dan menyederhanakan persyaratan keamanan dan privasi bagi organisasi di industri layanan kesehatan. HITRUST CSF didirikan pada tahun 2007 untuk mengatasi lingkungan peraturan yang kompleks, tantangan keamanan, dan masalah privasi yang dihadapi organisasi saat menangani data pribadi dan data informasi kesehatan yang dilindungi (PHI). CSF terdiri dari 14 kategori kontrol yang terdiri dari 49 tujuan kontrol, dan 156 spesifik kontrol. Ini dibangun berdasarkan prinsip-prinsip utama Organisasi Internasional untuk Standardisasi (ISO) 27001 dan ISO 27002.
Alat HITRUST MyCSF tersedia di Marketplace Azure. Gunakan untuk mengelola risiko keamanan informasi, tata kelola data, untuk mematuhi peraturan perlindungan informasi, juga mematuhi standar nasional dan internasional dan praktik terbaik.
Catatan
ISO 27001 adalah standar manajemen yang menentukan persyaratan untuk sistem manajemen keamanan informasi (ISMS). ISO 27002 adalah serangkaian praktik terbaik untuk memilih dan menerapkan kontrol keamanan dalam kerangka kerja ISO 27001.
Aturan Keamanan HIPAA
Aturan Keamanan HIPAA (HSR) menetapkan standar untuk melindungi informasi kesehatan pribadi elektronik individu yang dibuat, diterima, digunakan, atau dikelola oleh Entitas Tercakup (CE), yang merupakan rencana kesehatan, clearinghouse perawatan kesehatan, atau penyedia layanan kesehatan. Departemen Kesehatan dan Layanan Manusia AS (HHS) mengelola HSR. HHS memerlukan perlindungan administratif, fisik, dan teknis untuk memastikan kerahasiaan, integritas, dan keamanan PHI elektronik.
HITRUST dan HIPAA
HITRUST mengembangkan CSF, yang mencakup standar keamanan dan privasi untuk mendukung peraturan layanan kesehatan. Kontrol CSF dan praktik terbaik menyederhanakan tugas mengonsolidasikan sumber untuk memastikan kepatuhan terhadap undang-undang federal, keamanan HIPAA, dan aturan privasi. HISTRUST CSF adalah kerangka kerja keamanan dan privasi yang dapat disertifikasi dengan kontrol dan persyaratan untuk menunjukkan kepatuhan HIPAA. Organisasi layanan kesehatan secara luas mengadopsi kerangka kerja. Gunakan tabel berikut untuk mempelajari tentang kontrol.
| Kategori kontrol | Nama kategori kontrol |
|---|---|
| 0 | Program Manajemen Keamanan Informasi |
| 1 | Access Control |
| 2 | Keamanan Sumber Daya Manusia |
| 3 | Manajemen risiko |
| 4 | Kebijakan Keamanan |
| 5 | Organisasi Keamanan Informasi |
| 6 | Kepatuhan |
| 7 | Manajemen Aset |
| 8 | Keamanan Fisik dan Lingkungan |
| 9 | Manajemen Komunikasi dan Operasi |
| 10 | Akuisisi, Pengembangan, dan Pemeliharaan Sistem Informasi |
| 11 | Manajemen Insiden Keamanan Informasi |
| 12 | Manajemen Kelangsungan Bisnis |
| 13 | Praktik Privasi |
Pelajari selengkapnya di platform Microsoft Azure bersertifikat HITRUST CSF, yang mencakup manajemen identitas dan akses:
- ID Microsoft Entra, sebelumnya dikenal sebagai Azure Active Directory
- Manajemen hak dengan Microsoft Purview
- Autentikasi multifaktor Microsoft Entra (MFA)
Kategori dan rekomendasi kontrol akses
Tabel berikut ini memiliki kategori kontrol akses untuk manajemen identitas dan akses (IAM), dan rekomendasi Microsoft Entra untuk membantu memenuhi persyaratan kategori kontrol. Detailnya adalah dari HITRUST MyCSF v11, yang mengacu pada aturan keamanan HIPAA, ditambahkan ke kontrol yang sesuai.
| Kontrol HITRUST, tujuan, dan HSR | Panduan dan rekomendasi Microsoft Entra |
|---|---|
| Kontrol CSF V11 01.b Pendaftaran Pengguna Kategori kontrol Kontrol Akses – Pendaftaran Pengguna dan De-Pendaftaran Spesifikasi kontrol Organisasi menggunakan proses pendaftaran dan deregistrasi pengguna formal untuk mengaktifkan penugasan hak akses. Nama objektif Akses Resmi ke Sistem Informasi Aturan Keamanan HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
MICROSOFT Entra ID adalah platform identitas untuk verifikasi, autentikasi, dan manajemen kredensial saat identitas masuk ke perangkat, aplikasi, atau server mereka. Ini adalah layanan manajemen identitas dan akses berbasis cloud dengan akses menyeluruh (SSO), MFA, dan Akses Bersyarat untuk melindungi dari serangan keamanan. Autentikasi memastikan hanya identitas resmi yang mendapatkan akses ke sumber daya dan data. Alur kerja siklus hidup memungkinkan tata kelola identitas untuk mengotomatiskan siklus hidup joiner, mover, leaver (JML). Ini mempusatkan proses alur kerja dengan menggunakan templat bawaan atau Anda membuat alur kerja kustom. Praktik ini membantu mengurangi, atau berpotensi menghapus, tugas manual untuk persyaratan strategi JML organisasi. Pada portal Azure, buka Tata Kelola Identitas di menu ID Microsoft Entra untuk meninjau atau mengonfigurasi tugas untuk persyaratan organisasi Anda. Microsoft Entra Koneksi mengintegrasikan direktori lokal dengan MICROSOFT Entra ID, mendukung penggunaan identitas tunggal untuk mengakses aplikasi lokal dan layanan cloud seperti Microsoft 365. Ini mengatur sinkronisasi antara Direktori Aktif (AD) dan ID Microsoft Entra. Untuk mulai menggunakan Microsoft Entra Koneksi, tinjau prasyarat. Perhatikan persyaratan server dan cara menyiapkan penyewa Microsoft Entra Anda untuk manajemen. Microsoft Entra Koneksi Sync adalah agen provisi yang dikelola di cloud, yang mendukung sinkronisasi ke ID Microsoft Entra dari lingkungan AD yang terputus multi-forest. Gunakan agen ringan dengan Microsoft Entra Koneksi. Kami menyarankan sinkronisasi hash kata sandi untuk membantu mengurangi jumlah kata sandi dan melindungi dari deteksi kredensial yang bocor. |
| Kontrol CSF V11 01.c Privilege Management Kategori kontrol Kontrol Akses – Akun Istimewa Spesifikasi kontrol Organisasi memastikan akun pengguna yang berwenang terdaftar, dilacak, dan divalidasi secara berkala untuk mencegah akses tidak sah ke sistem informasi Nama objektif Akses Resmi ke Sistem Informasi Aturan Keamanan HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) adalah layanan di ID Microsoft Entra untuk mengelola, mengontrol, dan memantau akses ke sumber daya penting dalam organisasi. Ini meminimalkan jumlah orang dengan akses ke informasi yang aman untuk membantu mencegah aktor jahat mendapatkan akses. PIM memiliki akses berbasis waktu dan persetujuan, untuk mengurangi risiko izin akses yang berlebihan, tidak perlu, atau disalahgunakan. Ini membantu mengidentifikasi dan menganalisis akun istimewa untuk memastikan Anda menyediakan akses yang cukup (JEA) bagi pengguna untuk melakukan peran mereka. Memantau dan menghasilkan pemberitahuan mencegah aktivitas mencurigakan, mencantumkan pengguna dan peran yang memicu pemberitahuan, sekaligus mengurangi risiko akses yang tidak sah. Kustomisasi pemberitahuan untuk strategi keamanan organisasi Anda. Tinjauan akses memungkinkan organisasi mengelola penetapan peran dan keanggotaan grup secara efisien. Pertahankan keamanan dan kepatuhan dengan mengevaluasi akun mana yang memiliki akses dan pastikan akses dicabut saat diperlukan, sehingga meminimalkan risiko dari izin yang berlebihan atau kedaluarsa. |
| Kontrol CSF V11 Manajemen Kata Sandi Pengguna 0.1d Kategori kontrol Kontrol Akses - Prosedur Spesifikasi kontrol Untuk memastikan akun pengguna yang berwenang terdaftar, dilacak, dan divalidasi secara berkala untuk mencegah akses tidak sah ke sistem informasi. Nama objektif Akses Resmi ke Sistem Informasi Aturan Keamanan HIPAA §164.308(a)(5)(ii)(D) |
Manajemen kata sandi adalah aspek penting dari infrastruktur keamanan. Selaras dengan praktik terbaik untuk membuat postur keamanan yang kuat, MICROSOFT Entra ID membantu memfasilitasi dukungan strategi yang komprehensif: SSO dan MFA juga autentikasi tanpa kata sandi, seperti kunci keamanan FIDO2 dan Windows Hello untuk Bisnis (WHfB) mengurangi risiko pengguna dan menyederhanakan pengalaman autentikasi pengguna. Perlindungan Kata Sandi Microsoft Entra mendeteksi, dan memblokir kata sandi lemah yang diketahui. Ini menggabungkan kebijakan kata sandi dan memiliki fleksibilitas untuk menentukan daftar kata sandi kustom dan membangun strategi manajemen kata sandi untuk melindungi penggunaan kata sandi. Persyaratan panjang dan kekuatan kata sandi HITRUST selaras dengan National Institute of Standards and Technology NIST 800-63B, yang mencakup minimal delapan karakter untuk kata sandi, atau 15 karakter untuk akun dengan akses paling istimewa. Tindakan kompleksitas mencakup setidaknya satu angka dan/atau karakter khusus dan setidaknya satu huruf besar dan kecil untuk akun istimewa. |
| Kontrol CSF V11 Prosedur Log-on Aman 01.p Kategori kontrol Kontrol Akses – Masuk Aman Spesifikasi kontrol Organisasi mengontrol akses ke aset informasi menggunakan prosedur masuk yang aman. Nama objektif Kontrol Akses Sistem Operasi Aturan Keamanan HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Masuk yang aman adalah proses untuk mengautentikasi identitas dengan aman ketika mereka mencoba mengakses sistem. Kontrol berfokus pada sistem operasi, layanan Microsoft Entra membantu memperkuat proses masuk yang aman. Kebijakan Akses Bersyarat membantu organisasi membatasi akses ke aplikasi, sumber daya, dan memastikan perangkat aman. MICROSOFT Entra ID menganalisis sinyal dari kebijakan Akses Bersyarat dari identitas, lokasi, atau perangkat untuk mengotomatiskan keputusan dan menerapkan kebijakan organisasi untuk akses ke sumber daya dan data. Kontrol akses berbasis peran (RBAC) membantu Anda mengelola akses dan sumber daya terkelola di organisasi Anda. RBAC membantu menerapkan prinsip hak istimewa paling sedikit, memastikan pengguna memiliki izin yang mereka butuhkan untuk melakukan tugas mereka. Tindakan ini meminimalkan risiko kesalahan konfigurasi yang tidak disengaja atau disengaja. Seperti disebutkan untuk kontrol Manajemen Kata Sandi Pengguna 0.1d, autentikasi tanpa kata sandi menggunakan biometrik karena sulit dipalsukan, sehingga memberikan autentikasi yang lebih aman. |
| Kontrol CSF V11 01.q Identifikasi dan Autentikasi Pengguna Kategori kontrol T/A Spesifikasi kontrol Semua pengguna harus memiliki pengidentifikasi unik (ID pengguna) hanya untuk penggunaan pribadi mereka, dan teknik autentikasi harus diterapkan untuk membedakan identitas pengguna yang diklaim. Nama objektif T/A Aturan Keamanan HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Gunakan provisi akun di ID Microsoft Entra untuk membuat, memperbarui, dan mengelola akun pengguna. Setiap pengguna dan objek diberi pengidentifikasi unik (UID) yang disebut sebagai ID objek. UID adalah pengidentifikasi unik global yang dibuat secara otomatis saat pengguna atau objek dibuat. MICROSOFT Entra ID mendukung provisi pengguna otomatis untuk sistem dan aplikasi. Provisi otomatis membuat akun baru di sistem yang tepat saat orang bergabung dengan tim dalam organisasi. Pembatalan provisi otomatis menonaktifkan akun saat orang keluar. |
| Kontrol CSF V11 01.u Batasan Waktu Koneksi Kategori kontrol Kontrol Akses - Masuk Aman Spesifikasi kontrol Organisasi mengontrol akses ke aset informasi menggunakan prosedur masuk yang aman. Nama objektif Kontrol Akses Sistem Operasi Aturan Keamanan HIPAA § 164.312(a)(2)(iii) |
Kontrol berfokus pada sistem operasi, layanan Microsoft Entra membantu memperkuat proses masuk yang aman. Masuk yang aman adalah proses untuk mengautentikasi identitas dengan aman ketika mereka mencoba mengakses sistem. Microsoft Entra mengautentikasi pengguna dan memiliki fitur keamanan dengan informasi tentang pengguna dan sumber daya. Informasi tersebut mencakup token akses, token refresh, dan token ID. Konfigurasikan sesuai dengan persyaratan organisasi Anda untuk akses aplikasi. Gunakan panduan ini sebagian besar untuk klien seluler dan desktop. Kebijakan Akses Bersyar mendukung pengaturan konfigurasi untuk pembatasan browser web sesi yang diautentikasi. MICROSOFT Entra ID memiliki integrasi di seluruh sistem operasi, untuk memberikan pengalaman dan dukungan pengguna yang lebih baik untuk metode autentikasi tanpa kata sandi yang tercantum: SSO platform untuk macOS memperluas kemampuan SSO untuk macOS. Pengguna masuk ke Mac menggunakan kredensial tanpa kata sandi, atau manajemen kata sandi yang divalidasi oleh ID Microsoft Entra. Pengalaman tanpa kata sandi Windows mempromosikan pengalaman autentikasi tanpa kata sandi pada perangkat yang bergabung dengan Microsoft Entra. Menggunakan autentikasi tanpa kata sandi mengurangi kerentanan dan risiko yang terkait dengan autentikasi berbasis kata sandi tradisional, seperti serangan pengelabuan, penggunaan kembali kata sandi, dan intersepsi kata sandi pencatat kunci. Rincian masuk web untuk Windows adalah penyedia kredensial yang memperluas kemampuan masuk web di Windows 11, mencakup Windows Hello untuk Bisnis, kode akses sementara (TAP), dan identitas gabungan. Azure Virtual Desktop mendukung SSO dan autentikasi tanpa kata sandi. Dengan SSO, Anda dapat menggunakan autentikasi tanpa kata sandi dan IdP (IdP) pihak ketiga yang bergabung dengan ID Microsoft Entra untuk masuk ke sumber daya Azure Virtual Desktop Anda. Ini memiliki pengalaman SSO saat mengautentikasi ke host sesi. Ini mengonfigurasi sesi untuk menyediakan SSO ke sumber daya Microsoft Entra dalam sesi. |
Langkah berikutnya
Mengonfigurasi perlindungan kontrol akses Microsoft Entra HIPAA