Recomendações de configuração do Microsoft Entra para controles HITRUST
As diretrizes deste artigo ajudam você a navegar por detalhes e fornece recomendações de serviços e recursos no Microsoft Entra ID para dar suporte ao alinhamento com controles HITRUST. Use as informações para ajudar a entender a estrutura da HITRUST (Health Information Trust Alliance) e dê suporte à sua responsabilidade de garantir que sua organização esteja em conformidade com a Lei americana HIPAA (Health Insurance Portability and Accountability Act) de 1996 As avaliações envolvem trabalhar com assessores HITRUST certificados que são experientes sobre a estrutura e são necessários para ajudar a orientar você durante o processo e entender os requisitos.
Acrônimos
A tabela a seguir lista os acrônimos e sua ortografia neste artigo.
| Acrônimo | Ortografia |
|---|---|
| CE | Entidade coberta |
| CSF | Common Security Framework |
| HIPAA | Lei americana HIPAA (Health Insurance Portability and Accountability Act) de 1996 |
| HSR | Regra de segurança de HIPAA |
| HITRUST | Health Information Trust Alliance |
| IAM | Gerenciamento de identidade e de acesso |
| IdP | Provedor de identidade |
| ISO | Organização Internacional de Normalização |
| ISMS | Sistema de gerenciamento de segurança da informação |
| JEA | Acesso suficiente |
| JML | Ingressar, mover, sair |
| MFA | Autenticação multifator do Microsoft Entra |
| NIST | National Institute of Standards and Technology (NIST), Departamento de Comércio Norte-Americano |
| PHI | Informações de saúde protegidas |
| PIM | Privileged Identity Management |
| SSO | Logon Único |
| TAP | Senha de acesso temporária |
Health Information Trust Alliance
A organização HITRUST estabeleceu o CSF (Common Security Framework) para padronizar e simplificar os requisitos de segurança e privacidade para organizações do setor de saúde. A CSF da HITRUST foi fundada em 2007 para lidar com o ambiente regulatório complexo, os desafios de segurança e as preocupações de privacidade que as organizações enfrentam ao lidar com dados pessoais e dados PHI (informações de saúde protegidas). O CSF consiste em 14 categorias de controle que compreendem 49 objetivos de controle e 156 especificações de controle. Foi criado com base nos princípios primários da ISO (Organização Internacional de Normalização) 27001 e da ISO 27002.
A ferramenta MyCSF do HITRUST está disponível no do Azure Marketplace. Use-a para gerenciar os riscos de segurança da informação, a governança de dados, para cumprir as normas de proteção de informações, também adere aos padrões nacionais e internacionais e às melhores práticas.
Observação
A ISO 27001 é uma norma de gerenciamento que especifica os requisitos para um ISMS (Sistema de gerenciamento de segurança da informação). A ISO 27002 é um conjunto de práticas recomendadas para selecionar e implementar controles de segurança na estrutura ISO 27001.
Regra de segurança de HIPAA
A HSR (Regra de segurança da HIPAA) estabelece padrões para proteger as informações de saúde pessoal eletrônicas de um indivíduo criadas, recebidas, usadas ou mantidas por uma CE (Entidade Coberta), que é um plano de saúde, uma central de informações sobre cuidados de saúde ou um provedor de cuidados de saúde. O padrão do inglês dos EUA O HHS (Departamento de Saúde e Serviços Humanos) gerencia a HSR. O HHS requer proteções administrativas, físicas e técnicas para garantir a confidencialidade, a integridade e a segurança do PHI eletrônico.
HITRUST e HIPAA
A HITRUST desenvolveu o CSF, que inclui padrões de segurança e privacidade para dar suporte a regulamentos de saúde. Os controles e as práticas recomendadas do CSF simplificam a tarefa de consolidar fontes para garantir a conformidade com a legislação federal, a segurança HIPAA e as regras de privacidade. O CSF da HISTRUST é uma estrutura de segurança e privacidade certificável com controles e requisitos para demonstrar a conformidade do HIPAA. As organizações de saúde adotaram amplamente a estrutura. Use a tabela a seguir para saber mais sobre controles.
| Categoria de controle | Nome da categoria de controle |
|---|---|
| 0 | Programa de gerenciamento de segurança da informação |
| 1 | Controle de acesso |
| 2 | Segurança de recursos humanos |
| 3 | Gerenciamento de Riscos |
| 4 | Política de Segurança |
| 5 | Organização da segurança das informações |
| 6 | Conformidade |
| 7 | Gerenciamento de ativos |
| 8 | Segurança Física e Ambiental |
| 9 | Gerenciamento de Comunicações e Operações |
| 10 | Aquisição, desenvolvimento e manutenção de sistemas de informações |
| 11 | Gerenciamento de Incidentes de Segurança de Informação |
| 12 | Gerenciamento da Continuidade dos Negócios |
| 13 | Práticas de privacidade |
Saiba mais sobre se aPlataforma do Microsoft Azure é certificada por CSF do HITRUST, que inclui gerenciamento de identidade e acesso:
- Microsoft Entra ID, conhecido anteriormente como Azure Active Directory
- Gerenciamento de direitos com Microsoft Purview
- Autenticação multifator (MFA) do Microsoft Entra
Recomendações e categorias de controle de acesso
A tabela a seguir tem a categoria de controle de acesso para gerenciamento de identidade e acesso (IAM) e recomendações do Microsoft Entra para ajudar a atender aos requisitos de categoria de controle. Os detalhes são da MyCSF v11 do HITRUST, que se refere à regra de segurança HIPAA, adicionado ao controle correspondente.
| Controle HITRUST, objetivo e HSR | Orientação e recomendação do Microsoft Entra |
|---|---|
| CSF Control V11 01.b Registro de usuário Categoria de controle Controle de acesso – Registro e cancelamento de registro de usuário do controle de acesso Especificação de controle A organização usa um processo formal de registro e cancelamento de registro do usuário para habilitar a atribuição de direitos de acesso. Nome do objetivo Acesso autorizado a sistemas de informações Regra de segurança de HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
O Microsoft Entra ID é uma plataforma de identidade para verificação, autenticação e gerenciamento de credenciais, quando uma identidade entra no dispositivo, aplicativo ou servidor. É um serviço de gerenciamento de acesso e identidade baseado em nuvem com SSO (logon único), MFA e de Acesso Condicional para se proteger contra ataques de segurança. A autenticação garante que apenas as identidades autorizadas obtenham acesso a recursos e dados. Os Fluxos de trabalho do ciclo de vida fornecem governança de identidade para automatizar o ciclo de vida do JML ( joiner, mover, leaver). Eles centralizam o processo de fluxo de trabalho usando os modelos internos, ou você cria fluxos de trabalho personalizados. Essa prática ajuda a reduzir ou potencialmente remover tarefas manuais para requisitos de estratégia JML organizacional. No portal do Azure, navegue até Governança de Identidade no menu do Microsoft Entra para revisar ou configurar tarefas que se ajustem aos seus requisitos organizacionais. O Microsoft Entra Connect integra diretórios locais com o Microsoft Entra ID, dando suporte ao uso de identidades únicas para acessar aplicativos locais e serviços de nuvem, como o Microsoft 365. Ele orquestra a sincronização entre o Active Directory (AD) e o Microsoft Entra ID. Para começar a usar o Microsoft Entra Connect, examine os pré-requisitos. Observe os requisitos do servidor e como preparar seu locatário do Microsoft Entra para gerenciamento. O Microsoft Entra Connect Sync é um agente de provisionamento gerenciado na nuvem, que dá suporte à sincronização com o Microsoft Entra ID de um ambiente do AD desconectado e de várias florestas. Use os agentes leves com o Microsoft Entra Connect. Recomendamos a sincronização de hash de senha para ajudar a reduzir o número de senhas e proteger contra detecção de credenciais vazadas. |
| CSF Control V11 01.c Gerenciamento de privilégios Categoria de controle Controle de acesso – Contas com privilégios Especificação de controle A organização garante que as contas de usuário autorizadas sejam registradas, controladas e validadas periodicamente para impedir o acesso não autorizado a sistemas de informações Nome do objetivo Acesso autorizado a sistemas de informações Regra de segurança de HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
PIM (Privileged Identity Management) é um serviço na ID do Microsoft Entra para gerenciar, controlar e monitorar o acesso a recursos importantes em uma organização. Ele minimiza o número de pessoas com acesso a informações seguras para ajudar a impedir que atores mal-intencionados tenham acesso. O PIM tem acesso baseado em tempo e aprovação, para atenuar os riscos de permissões de acesso excessivas, desnecessárias ou mal utilizadas. Ele ajuda a identificar e analisar contas privilegiadas para garantir que você forneça acesso suficiente (JEA) para que um usuário execute sua função. Monitoramento e geração de alertas impede atividades suspeitas, listando os usuários e funções que disparam o alerta, reduzindo o risco de acesso não autorizado. Personalize alertas para sua estratégia de segurança organizacional. Revisões de acesso permitem que as organizações gerenciem atribuições de função e associação de grupo com eficiência. Mantenha a segurança e a conformidade avaliando quais contas têm acesso e garanta que o acesso seja revogado quando necessário, minimizando os riscos de permissões excessivas ou desatualizadas. |
| CSF Control V11 0.1d Gerenciamento de senha do usuário Categoria de controle Controle de acesso – Procedimentos Especificação de controle Para garantir que as contas de usuário autorizadas sejam registradas, controladas e validadas periodicamente para impedir o acesso não autorizado a sistemas de informações. Nome do objetivo Acesso autorizado a sistemas de informações Regra de segurança de HIPAA §164.308(a)(5)(ii)(D) |
Gerenciamento de senhas é um aspecto crítico da infraestrutura de segurança. Alinhado às melhores práticas para criar uma postura de segurança robusta, o Microsoft Entra ID ajuda a facilitar um suporte estratégico abrangente: SSO e MFA também autenticação sem senha, como chaves de segurança FIDO2 e Windows Hello para Empresas (WHfB) reduzem o risco do usuário e simplificam a autenticação do usuário experiência. A Proteção de Senha do Microsoft Entra ID detecta e bloqueia senhas fracas conhecidas. Ele incorpora políticas de senha e tem a flexibilidade de definir uma lista de senhas personalizada e criar uma estratégia de gerenciamento de senhas para proteger o uso de senha. Os requisitos de comprimento e força da senha HITRUST se alinham com o National Institute of Standards and Technology NIST 800-63B, que inclui um mínimo de oito caracteres para uma senha ou 15 caracteres para contas com o acesso mais privilegiado. As medidas de complexidade incluem pelo menos um número e/ou caractere especial e pelo menos uma letra maiúscula e minúscula para contas privilegiadas. |
| CSF Control V11 01.p Procedimentos de logon seguro Categoria de controle Controle de acesso – Logon seguro Especificação de controle A organização controla o acesso a ativos de informações usando um procedimento de logon seguro. Nome do objetivo Controle de Acesso ao sistema operacional Regra de segurança de HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
A entrada segura é o processo para autenticar uma identidade com segurança quando há tentativa de acessar um sistema. O controle se concentra no sistema operacional. Os serviços do Microsoft Entra ajudam a fortalecer a entrada segura. As políticas de acesso condicional ajudam as organizações a restringir o acesso a aplicativos, recursos e a garantir que os dispositivos estejam seguros. O Microsoft Entra ID analisa os sinais das políticas de acesso condicional da identidade, local ou dispositivo para automatizar a decisão e impor políticas organizacionais para acesso a recursos e dados. RBAC (Controle de acesso baseado em função) ajuda você a gerenciar o acesso e os recursos gerenciados em sua organização. O RBAC ajuda a implementar o princípio do privilégio mínimo, garantindo que os usuários tenham as permissões necessárias para executar suas tarefas. Essa ação minimiza o risco de configuração incorreta acidental ou intencional. Conforme observado para o controle 0.1d Gerenciamento de senha do usuário, a autenticação sem senha usa biometria porque eles são difíceis de forjar, fornecendo assim autenticação mais segura. |
| CSF Control V11 01.q Identificação e autenticação do usuário Categoria de controle N/D Especificação de controle Todos os usuários devem ter um identificador exclusivo (ID de usuário) somente para uso pessoal e uma técnica de autenticação deve ser implementada para comprovar a identidade reivindicada de um usuário. Nome do objetivo N/D Regra de segurança de HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Use o provisionamento de conta no Microsoft Entra ID para criar, atualizar e gerenciar contas de usuário. Cada usuário e objeto recebem um UID (identificador exclusivo) chamado de ID do objeto. O UID é um identificador global exclusivo gerado automaticamente quando um usuário ou objeto é criado. O Microsoft Entra ID fornece suporte para provisionamento automatizado de usuários para sistemas e aplicativos. O provisionamento automatizado cria novas contas nos sistemas corretos quando as pessoas ingressam em uma equipe em uma organização. O desprovisionamento automatizado desativa as contas quando as pessoas saem. |
| CSF Control V11 01.u Limitação do tempo de conexão Categoria de controle Controle de acesso – Logon seguro Especificação de controle A organização controla o acesso a ativos de informações usando um procedimento de logon seguro. Nome do objetivo Controle de Acesso ao sistema operacional Regra de segurança de HIPAA § 164.312(a)(2)(iii) |
O controle se concentra no sistema operacional. Os serviços do Microsoft Entra ajudam a fortalecer a entrada segura. A entrada segura é o processo para autenticar uma identidade com segurança quando há tentativa de acessar um sistema. O Microsoft Entra autentica os usuários e tem recursos de segurança com informações sobre o usuário e o recurso. As informações incluem o token de acesso, o token de atualização e o token de ID. Configure de acordo com seus requisitos organizacionais para acesso ao aplicativo. Use essa orientação predominantemente para clientes móveis e de área de trabalho. As políticas de Acesso Condicional dão suporte a configurações para a restrição de sessões autenticadas do navegador da Web. O Microsoft Entra ID tem integrações entre sistemas operacionais, para fornecer uma melhor experiência do usuário e suporte para métodos de autenticação sem senha listados: SSO da Plataforma para macOS estende os recursos de SSO para macOS. Os usuários farão logon em um Mac usando credenciais sem senha ou gerenciamento de senha validado pelo Microsoft Entra ID. A experiência sem senha do Windows promove uma experiência de autenticação sem senhas em dispositivos ingressados no Microsoft Entra. O uso da autenticação sem senha reduz vulnerabilidades e riscos associados à autenticação tradicional baseada em senha, como ataques de phishing, reutilização de senha e interceptação de senhas do keylogger. A entrada na Web para Windows é um provedor de credenciais que expande os recursos de entrada na Web no Windows 11, abrangendo o Windows Hello para Empresas, o TAP (passe de acesso temporário) e as identidades federadas. A Área de Trabalho Virtual do Azure dá suporte ao SSO e à autenticação sem senha. Com o SSO, pode usar a autenticação sem senha e os provedores de identidade de terceiros (IdPs) que federam com o Microsoft Entra ID para entrar nos recursos da Área de Trabalho Virtual do Azure. Ela tem uma experiência de SSO ao autenticar no host da sessão. Ela configura a sessão para fornecer SSO aos recursos do Microsoft Entra na sessão. |
Próximas etapas
Configurar as proteções de controle de acesso HIPAA do Microsoft Entra
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de