Настройка идентификатора Microsoft Entra для соответствия HIPAA
службы Майкрософт, например идентификатор Microsoft Entra, может помочь вам соответствовать требованиям, связанным с удостоверениями, для закона о переносимости медицинского страхования и подотчетности 1996 года (HIPAA).
Правило безопасности HIPAA (HSR) устанавливает стандарты для защиты электронных персональных данных отдельных лиц, созданных, полученных, используемых или поддерживаемых субъектом. HSR управляется Министерством здравоохранения и человеческих услуг США (HHS) и требует соответствующих административных, физических и технических гарантий для обеспечения конфиденциальности, целостности и безопасности электронной защищенной информации о работоспособности.
Требования и цели технической защиты определены в разделе 45 Кодекса федеральных правил (CFR). Часть 160 заголовка 45 предоставляет общие административные требования, а в подразделах A и C части 164 описываются требования к безопасности и конфиденциальности.
Вложенная часть § 164.304 определяет технические меры безопасности в качестве технологии и политик и процедур для его использования, которые защищают электронную защищенную информацию о работоспособности и контролируют доступ к нему. HHS также описывает ключевые области для медицинских организаций, которые следует учитывать при реализации технических гарантий HIPAA. От § 164.312 Технические гарантии:
Управление доступом . Реализуйте технические политики и процедуры для электронных информационных систем, которые поддерживают электронную защищенную информацию о работоспособности, чтобы разрешить доступ только тем лицам или программам программного обеспечения, которым предоставлен доступ, как указано в § 164.308(a)(4).
Элементы управления аудитом — реализуйте аппаратные, программные и/или процедурные механизмы, которые записывают и проверяют действия в информационных системах, содержащих или использующие электронную защищенную информацию о работоспособности.
Элементы управления целостностью. Реализация политик и процедур для защиты электронных защищенных сведений о работоспособности от неправильного изменения или уничтожения.
Проверка подлинности личности или сущности . Реализуйте процедуры для проверки того, что пользователь или сущность, стремящиеся получить доступ к электронной защищенной информации о работоспособности, является утверждением.
Безопасность передачи . Реализуйте технические меры безопасности для защиты от несанкционированного доступа к электронной защищенной информации о работоспособности, передаваемой через электронную сеть связи.
HSR определяет подпартии как стандартные, а также обязательные и адресные спецификации реализации. Все необходимо реализовать. Обозначаемое "адресное" обозначение обозначает спецификацию разумной и соответствующей. Адресная функция не означает, что спецификация реализации является необязательной. Поэтому также требуются подпартии, определенные как адресные.
Остальные статьи в этой серии содержат рекомендации и ссылки на ресурсы, организованные ключевыми областями и техническими гарантиями. Для каждой ключевой области есть таблица с соответствующими средствами защиты, приведенными в списке, и ссылки на рекомендации Microsoft Entra для выполнения защиты.
Подробнее
Объединенный текст регулирования всех Администратор устанативных правил упрощения HIPAA, найденных в 45 CFR 160, 162 и 164
Кодекс федеральных нормативных актов (CFR) 45 , описывающий часть государственного благосостояния регулирования
Часть 160 , описывающая общие административные требования названия 45
Часть 164 Подпартии A и C, описывающая требования к безопасности и конфиденциальности заголовка 45