Andere veiligheidsrichtlijnen
Microsoft Entra ID voldoet aan identiteitsgerelateerde praktijkvereisten voor het implementeren van HIPAA-beveiliging (Health Insurance Portability and Accountability Act of 1996). Om HIPAA-compatibel te zijn, is het de verantwoordelijkheid van bedrijven om de beveiligingen te implementeren met behulp van deze richtlijnen, samen met eventuele andere configuraties of processen die nodig zijn. Dit artikel bevat richtlijnen voor het bereiken van HIPAA-naleving voor de volgende drie besturingselementen:
- Integriteitsbeveiliging
- Beveiliging van persoons- of entiteitsverificatie
- Overdrachtsbeveiliging
Richtlijnen voor integriteitsbeveiliging
Microsoft Entra ID voldoet aan de vereisten voor identiteitsgerelateerde praktijken voor het implementeren van HIPAA-beveiligingen. Als u HIPAA-compatibel wilt zijn, implementeert u de beveiliging met behulp van deze richtlijnen, samen met eventuele andere configuraties of processen die nodig zijn.
Voor de beveiliging van gegevenswijziging:
Beveilig bestanden en e-mailberichten op alle apparaten.
Gevoelige gegevens detecteren en classificeren.
Versleutel documenten en e-mailberichten die gevoelige of persoonlijke gegevens bevatten.
De volgende inhoud bevat de richtlijnen van HIPAA, gevolgd door een tabel met de aanbevelingen en richtlijnen van Microsoft.
HIPAA - integriteit
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Aanbeveling | Actie |
|---|---|
| Microsoft Purview Informatiebeveiliging (IP) inschakelen | Gevoelige gegevens detecteren, classificeren, beveiligen en beheren, die betrekking hebben op opslag en verzonden gegevens. Door uw gegevens te beveiligen via Microsoft Purview IP kunt u het gegevenslandschap bepalen, het framework controleren en actieve stappen ondernemen om uw gegevens te identificeren en te beveiligen. |
| In-place Exchange-bewaring configureren | Exchange Online biedt verschillende instellingen ter ondersteuning van eDiscovery. In-place bewaring maakt gebruik van specifieke parameters voor welke items moeten worden bewaard. De beslissingsmatrix kan worden gebaseerd op trefwoorden, afzenders, ontvangstbewijzen en datums. Microsoft Purview eDiscovery-oplossingen maken deel uit van de Microsoft Purview-nalevingsportal en omvat alle Microsoft 365-gegevensbronnen. |
| Beveiligde/multipurpose Internet Mail-extensie configureren in Exchange Online | S/MIME is een protocol dat wordt gebruikt voor het verzenden van digitaal ondertekende en versleutelde berichten. Deze is gebaseerd op asymmetrische sleutelkoppeling, een openbare en persoonlijke sleutel. Exchange Online biedt versleuteling en beveiliging van de inhoud van de e-mail en handtekeningen die de identiteit van de afzender verifiëren. |
| Schakel bewaking en logboekregistratie in. | Logboekregistratie en bewaking zijn essentieel voor het beveiligen van een omgeving. De informatie wordt gebruikt ter ondersteuning van onderzoeken en helpt potentiële bedreigingen te detecteren door ongebruikelijke patronen te identificeren. Schakel logboekregistratie en bewaking van services in om het risico op onbevoegde toegang te verminderen. Microsoft Purview-controle biedt inzicht in gecontroleerde activiteiten in alle services in Microsoft 365. Het helpt bij onderzoeken door het bewaren van auditlogboeken te vergroten. |
Beveiligingsrichtlijnen voor persoons- of entiteitsverificatie
Microsoft Entra ID voldoet aan de vereisten voor identiteitsgerelateerde praktijken voor het implementeren van HIPAA-beveiligingen. Als u HIPAA-compatibel wilt zijn, implementeert u de beveiliging met behulp van deze richtlijnen, samen met eventuele andere configuraties of processen die nodig zijn.
Voor de controle en de beveiliging van personen en entiteiten:
Zorg ervoor dat de claim van de eindgebruiker geldig is voor gegevenstoegang.
Identificeer en beperk eventuele risico's voor gegevens die zijn opgeslagen.
De volgende inhoud bevat de richtlijnen van HIPAA, gevolgd door een tabel met de aanbevelingen en richtlijnen van Microsoft.
HIPAA : verificatie van personen of entiteiten
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Zorg ervoor dat gebruikers en apparaten die toegang hebben tot ePHI-gegevens, zijn geautoriseerd. U moet ervoor zorgen dat apparaten compatibel zijn en acties worden gecontroleerd om risico's aan de gegevenseigenaren te markeren.
| Aanbeveling | Actie |
|---|---|
| Meervoudige verificatie inschakelen | Microsoft Entra multi-factor authentication beschermt identiteiten door een extra beveiligingslaag toe te voegen. De extra laag biedt een effectieve manier om onbevoegde toegang te voorkomen. MFA maakt het mogelijk om tijdens het verificatieproces meer validatie van aanmeldingsreferenties te vereisen. Het instellen van de Authenticator-app biedt verificatie met één klik of u kunt de configuratie zonder wachtwoord configureren van Microsoft Entra. |
| Beleid voor voorwaardelijke toegang inschakelen | Beleid voor voorwaardelijke toegang helpt de toegang tot alleen goedgekeurde toepassingen te beperken. Microsoft Entra analyseert signalen van de gebruiker, het apparaat of de locatie om beslissingen te automatiseren en organisatiebeleid af te dwingen voor toegang tot resources en gegevens. |
| Beleid voor voorwaardelijke toegang op basis van apparaten instellen | Voorwaardelijke toegang met Microsoft Intune voor apparaatbeheer en Microsoft Entra-beleid kan de apparaatstatus gebruiken om toegang te verlenen tot uw services en gegevens. Door nalevingsbeleid voor apparaten te implementeren, wordt bepaald of het voldoet aan de beveiligingsvereisten om beslissingen te nemen om toegang tot de resources toe te staan of te weigeren. |
| Op rollen gebaseerd toegangsbeheer (RBAC) gebruiken | RBAC in Microsoft Entra ID biedt beveiliging op ondernemingsniveau, met scheiding van taken. Pas machtigingen aan en bekijk machtigingen om vertrouwelijkheid, privacy en toegangsbeheer voor resources en gevoelige gegevens te beschermen, met de systemen. Microsoft Entra ID biedt ondersteuning voor ingebouwde rollen. Dit is een vaste set machtigingen die niet kunnen worden gewijzigd. U kunt ook uw eigen aangepaste rollen maken, waar u een vooraf ingestelde lijst kunt toevoegen. |
Richtlijnen voor de beveiliging van transmissie
Microsoft Entra ID voldoet aan de vereisten voor identiteitsgerelateerde praktijken voor het implementeren van HIPAA-beveiligingen. Als u HIPAA-compatibel wilt zijn, implementeert u de beveiliging met behulp van deze richtlijnen, samen met eventuele andere configuraties of processen die nodig zijn.
Voor versleuteling:
Vertrouwelijkheid van gegevens beschermen.
Gegevensdiefstal voorkomen.
Onbevoegde toegang tot PHI voorkomen.
Zorg voor versleutelingsniveau voor gegevens.
Ter bescherming van de overdracht van PHI-gegevens:
Het delen van PHI-gegevens beveiligen.
Beveilig de toegang tot PHI-gegevens.
Zorg ervoor dat de verzonden gegevens zijn versleuteld.
De volgende inhoud bevat een lijst met de richtlijnen voor controle- en transmissiebeveiligingsbeveiliging van de HIPAA-richtlijnen en aanbevelingen van Microsoft om u in staat te stellen te voldoen aan de beveiligingsvereisten voor de implementatie met Microsoft Entra ID.
HIPAA - versleuteling
Implement a mechanism to encrypt and decrypt electronic protected health information.
Zorg ervoor dat ePHI-gegevens zijn versleuteld en ontsleuteld met de compatibele versleutelingssleutel/-proces.
| Aanbeveling | Actie |
|---|---|
| Microsoft 365-versleutelingspunten controleren | Versleuteling met Microsoft Purview in Microsoft 365 is een zeer veilige omgeving die uitgebreide beveiliging biedt in meerdere lagen: het fysieke datacenter, beveiliging, netwerk, toegang, toepassing en gegevensbeveiliging. Controleer de versleutelingslijst en wijzig deze als er meer controle nodig is. |
| Databaseversleuteling controleren | Transparante gegevensversleuteling voegt een beveiligingslaag toe om data-at-rest te beschermen tegen onbevoegde of offlinetoegang. De database wordt versleuteld met behulp van AES-versleuteling. Dynamische gegevensmaskering voor gevoelige gegevens, waardoor de blootstelling van gevoelige gegevens wordt beperkt. De gegevens worden gemaskeerd voor niet-geverifieerde gebruikers. De maskering bevat aangewezen velden die u definieert in een databaseschemanaam, tabelnaam en kolomnaam. Nieuwe databases worden standaard versleuteld en de databaseversleutelingssleutel wordt beveiligd door een ingebouwd servercertificaat. U wordt aangeraden databases te controleren om ervoor te zorgen dat versleuteling is ingesteld op de gegevensomgeving. |
| Azure Encryption-punten controleren | Azure-versleutelingsmogelijkheid omvat belangrijke gebieden van data-at-rest, versleutelingsmodellen en sleutelbeheer met behulp van Azure Key Vault. Bekijk de verschillende versleutelingsniveaus en hoe ze overeenkomen met scenario's binnen uw organisatie. |
| Beheer van gegevensverzameling en -retentie beoordelen | Microsoft Purview-levenscyclusbeheer kunt u bewaarbeleid toepassen. Microsoft Purview-recordbeheer kunt u retentielabels toepassen. Deze strategie helpt u inzicht te krijgen in assets in de hele gegevensomgeving. Deze strategie helpt u ook bij het beveiligen en beheren van gevoelige gegevens in clouds, apps en eindpunten. Belangrijk: Zoals vermeld in 45 CFR 164.316: Tijdslimiet (vereist). Behoud de documentatie die vereist is voor alinea b)(1) van deze sectie gedurende zes jaar vanaf de aanmaakdatum, of de datum waarop deze voor het laatst van kracht was, afhankelijk van wat later is. |
HIPAA - overdracht van PHI-gegevens beveiligen
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Stel beleidsregels en procedures in om gegevensuitwisseling met PHI-gegevens te beveiligen.
| Aanbeveling | Actie |
|---|---|
| De status van on-premises toepassingen beoordelen | Microsoft Entra-toepassingsproxy-implementatie publiceert on-premises webtoepassingen extern en op een veilige manier. Met de Microsoft Entra-toepassingsproxy kunt u veilig een extern URL-eindpunt publiceren in Azure. |
| Meervoudige verificatie inschakelen | Met meervoudige verificatie van Microsoft Entra worden identiteiten beschermd door een beveiligingslaag toe te voegen. Het toevoegen van meer beveiligingslagen is een effectieve manier om onbevoegde toegang te voorkomen. MFA maakt het mogelijk om tijdens het verificatieproces meer validatie van aanmeldingsreferenties te vereisen. U kunt de Authenticator-app configureren voor verificatie met één klik of verificatie zonder wachtwoord. |
| Beleid voor voorwaardelijke toegang inschakelen voor toegang tot toepassingen | Beleid voor voorwaardelijke toegang helpt de toegang tot goedgekeurde toepassingen te beperken. Microsoft Entra analyseert signalen van de gebruiker, het apparaat of de locatie om beslissingen te automatiseren en organisatiebeleid af te dwingen voor toegang tot resources en gegevens. |
| Beleid voor Exchange Online Protection (EOP) controleren | Exchange Online-spam- en malwarebeveiliging biedt ingebouwde malware en spamfilters. EOP beveiligt inkomende en uitgaande berichten en is standaard ingeschakeld. EOP-services bieden ook anti-adresvervalsing, quarantierende berichten en de mogelijkheid om berichten te rapporteren in Outlook. Het beleid kan worden aangepast aan de bedrijfsbrede instellingen. Deze hebben voorrang op het standaardbeleid. |
| Vertrouwelijkheidslabels configureren | Met vertrouwelijkheidslabels van Microsoft Purview kunt u gegevens van uw organisatie classificeren en beveiligen. De labels bieden beveiligingsinstellingen in documentatie voor containers. Het hulpprogramma beveiligt bijvoorbeeld documenten die zijn opgeslagen op Microsoft Teams- en SharePoint-sites om privacyinstellingen in te stellen en af te dwingen. Breid labels uit naar bestanden en gegevensassets, zoals SQL, Azure SQL, Azure Synapse, Azure Cosmos DB en AWS RDS. Naast de 200 out-of-the-box gevoelige informatietypen zijn er geavanceerde classificaties zoals namentiteiten, trainbare classificaties en EDM om aangepaste gevoelige typen te beveiligen. |
| Beoordelen of een privéverbinding is vereist om verbinding te maken met services | Azure ExpressRoute maakt privéverbindingen tussen azure-datacenters in de cloud en infrastructuur die zich on-premises bevindt. Gegevens worden niet overgedragen via het openbare internet. De service maakt gebruik van laag 3-connectiviteit, verbindt de edge-router en biedt dynamische schaalbaarheid. |
| VPN-vereisten evalueren | Vpn Gateway-documentatie verbindt een on-premises netwerk met Azure via site-naar-site-, punt-naar-site-, VNet-naar-VNet- en VPN-verbinding met meerdere locaties. De service ondersteunt hybride werkomgevingen door beveiligde gegevensoverdracht te bieden. |