Konfigurowanie identyfikatora Entra firmy Microsoft pod kątem zgodności hipaa

Usługi firmy Microsoft, takie jak Microsoft Entra ID, mogą pomóc w spełnieniu wymagań związanych z tożsamościami dla ustawy Health Insurance Portability and Accountability Act of 1996 (HIPAA).

Zasada zabezpieczeń HIPAA (HSR) ustanawia standardy ochrony elektronicznych danych osobowych osób, które są tworzone, odbierane, używane lub utrzymywane przez jednostkę objętą ochroną. HSR jest zarządzany przez Departament Zdrowia i Usług Ludzkich (HHS) USA i wymaga odpowiednich zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznych chronionych informacji zdrowotnych.

Wymagania i cele dotyczące zabezpieczeń technicznych są zdefiniowane w tytule 45 Kodeksu Przepisów Federalnych (CFR). Część 160 tytułu 45 zawiera ogólne wymagania administracyjne, a części podrzędne A i C części 164 opisują wymagania dotyczące zabezpieczeń i prywatności.

Podpart § 164.304 definiuje zabezpieczenia techniczne jako technologię oraz zasady i procedury do stosowania, które chronią elektroniczne chronione informacje o zdrowiu i kontrolują dostęp do niego. HHS przedstawia również kluczowe obszary dla organizacji opieki zdrowotnej, które należy wziąć pod uwagę podczas wdrażania zabezpieczeń technicznych HIPAA. Od § 164.312 Zabezpieczenia techniczne:

• Kontrola dostępu — implementowanie zasad technicznych i procedur elektronicznych systemów informacyjnych, które utrzymują elektroniczne informacje o zdrowiu chronione w celu umożliwienia dostępu tylko tym osobom lub programom, którym udzielono praw dostępu określonych w § 164.308(a)(4).

• Kontrole inspekcji — implementowanie sprzętu, oprogramowania i/lub mechanizmów proceduralnych, które rejestrują i badają działania w systemach informacyjnych, które zawierają lub używają elektronicznych informacji o ochronie zdrowia.

• Mechanizmy kontroli integralności — zaimplementuj zasady i procedury w celu ochrony elektronicznych chronionych informacji o zdrowiu przed niewłaściwą zmianą lub zniszczeniem.

• Uwierzytelnianie osoby lub jednostki — zaimplementuj procedury w celu sprawdzenia, czy osoba lub jednostka ubiegająca się o dostęp do elektronicznych chronionych informacji zdrowotnych jest faktycznie tym, za kogo się podaje.

• Bezpieczeństwo transmisji — zaimplementuj środki bezpieczeństwa technicznego, aby chronić przed nieautoryzowanym dostępem do elektronicznych informacji zdrowotnych przesyłanych za pośrednictwem sieci komunikacji elektronicznej.

HSR definiuje podczęści jako standardowe wraz z wymaganymi i adresowalnymi specyfikacjami implementacji. Wszystko musi być zaimplementowane. Oznaczenie "adresowalne" oznacza, że specyfikacja jest rozsądna i odpowiednia. Możliwość adresowania nie oznacza, że specyfikacja wdrożenia jest opcjonalna. W związku z tym wymagane są również części podrzędne zdefiniowane jako adresowalne.

Pozostałe artykuły z tej serii zawierają wskazówki i linki do zasobów, zorganizowane według kluczowych obszarów i zabezpieczeń technicznych. Dla każdego kluczowego obszaru znajduje się tabela z odpowiednimi zabezpieczeniami wymienionymi i linki do wskazówek firmy Microsoft Entra w celu zapewnienia bezpieczeństwa.

Dowiedz się więcej

• HHS Zero Trust in Healthcare pdf

• Tekst łącznego rozporządzenia wszystkich przepisów HIPAA w sprawie uproszczenia administracyjnego znaleziono w 45 CFR 160, 162 i 164

• Kodeks przepisów federalnych (CFR) Tytuł 45 opisujący część rozporządzenia w zakresie opieki społecznej

• Część 160 opisująca ogólne wymagania administracyjne tytułu 45

• Część 164 Podparty A i C opisujące wymagania dotyczące zabezpieczeń i prywatności w tytule 45

• Narzędzie ochrony przed ryzykiem bezpieczeństwa HIPAA

• Zestaw narzędzi NIST HSR

Dalsze kroki

• wskazówki dotyczące ochrony kontroli dostępu

• Wskazówki dotyczące zabezpieczeń mechanizmów kontroli inspekcji

• Inne wskazówki dotyczące zabezpieczeń

• Konfigurowanie kontrolek HITRUST