Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Идентификационные данные Microsoft Entra соответствуют требованиям безопасности, связанным с удостоверениями личности, для реализации положений Закона о переносимости и подотчетности медицинского страхования 1996 года (HIPAA). Чтобы обеспечить соответствие HIPAA, реализуйте меры безопасности, используя это руководство, с другими необходимыми конфигурациями или процессами.
Для контроля аудита:
Установите управление данными для хранилища персональных данных.
Определение и метка конфиденциальных данных.
Настройте сбор аудита и защиту данных журнала.
Настройте защиту от потери данных.
Включите защиту информации.
Для защиты:
Определите, где хранятся защищенная информация о здоровье (PHI).
Определение и устранение рисков для хранимых данных.
В этой статье представлены соответствующие формулировки по защитным мерам HIPAA, а также таблица с рекомендациями и руководством от Майкрософт, которые помогут обеспечить соответствие требованиям HIPAA.
Элементы управления аудитом
Ниже приведено руководство по защите от HIPAA. Найдите рекомендации Майкрософт для удовлетворения требований к реализации защиты.
Защита HIPAA — средства контроля аудита
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Рекомендация | Действие |
|---|---|
| Включение Microsoft Purview |
Microsoft Purview помогает управлять данными и отслеживать их, предоставляя управление данными. Использование Purview помогает свести к минимуму риски соответствия требованиям и соответствовать нормативным требованиям. Microsoft Purview на портале управления предоставляет единую службу управления данными , которая помогает управлять локальными, многооблачными и программными данными как услуга (SaaS). Microsoft Purview — это платформа, набор продуктов, которые совместно работают для обеспечения визуализации защиты жизненного цикла конфиденциальных данных для данных и предотвращения потери данных. |
| Включение Microsoft Sentinel |
Microsoft Sentinel предоставляет решения для управления безопасностью и событиями (SIEM) и оркестрации безопасности, автоматизации и реагирования (SOAR). Microsoft Sentinel собирает журналы аудита и использует встроенный ИИ для анализа больших объемов данных.
SIEM позволяет организации обнаруживать инциденты, которые могут оказаться незамеченными. |
| Настройка Azure Monitor | Использование журналов Azure Monitor собирает и упорядочивает журналы, расширяя их в облачные и гибридные среды. Он предоставляет рекомендации по ключевым областям защиты ресурсов в сочетании с Центром управления безопасностью Azure. |
| Включение ведения журнала и мониторинга |
Ведение журнала и мониторинг важны для защиты среды. Данные поддерживают исследования и помогают обнаруживать потенциальные угрозы, определяя необычные шаблоны. Включите ведение журнала и мониторинг служб, чтобы снизить риск несанкционированного доступа. Рекомендуется отслеживать журналы действий Microsoft Entra. |
| Сканирование среды на наличие электронных защищённых медицинских данных (ePHI) | Microsoft Purview можно включить в режиме аудита, чтобы проверить, какие ePHI содержатся в среде данных и какие ресурсы используются для хранения этих данных. Эта функция помогает установить классификацию и маркировку данных в зависимости от их чувствительности. |
| Создание политики защиты от потери данных (DLP) | Политики защиты от потери данных помогают создавать процессы, чтобы гарантировать, что конфиденциальные данные не будут потеряны, неправильно используются или получают доступ к неавторизованным пользователям. Это предотвращает утечки и кражу данных. Microsoft Purview DLP проверяет сообщения электронной почты в процессе работы. Перейдите на портал соответствия Microsoft Purview, чтобы ознакомиться с политиками и настроить их для вашей организации. |
| Включение мониторинга с помощью политики Azure | Политика Azure помогает применять стандарты организации и позволяет оценить состояние соответствия в среде. Этот подход обеспечивает согласованность, соответствие нормативным требованиям и мониторинг, предоставляя рекомендации по безопасности через Microsoft Defender для облака |
| Оценка требований к управлению устройствами | Microsoft Intune можно использовать для управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM). Microsoft Intune обеспечивает контроль над корпоративными и личными устройствами. Возможности включают управление способом использования устройств и применение политик, которые обеспечивают прямой контроль над мобильными приложениями. |
| Защита приложений | Microsoft Intune может помочь установить платформу защиты данных , которая охватывает приложения Office Microsoft 365 и включает их на разных устройствах. Политики защиты приложений гарантируют, что корпоративные данные остаются безопасными и содержатся в приложении на персональных устройствах (BYOD) на корпоративных устройствах. |
| Настройка управления внутренними рисками | Microsoft Purview Insider Risk Management сопоставляет сигналы для выявления потенциальных вредоносных или непреднамеренных внутренних рисков, таких как кража IP-адресов, утечка данных и нарушения безопасности. Управление внутренними рисками позволяет создавать политики для управления безопасностью и соответствием. Эта возможность основана на принципе конфиденциальности путем разработки, пользователи псевдонимизированы по умолчанию, а управление доступом на основе ролей и журналы аудита помогают обеспечить конфиденциальность на уровне пользователей. |
| Настройка соответствия требованиям к обмену данными | Microsoft Purview Communication Compliance предоставляет средства, помогающие организациям обнаруживать соответствие нормативным требованиям, таким как соответствие требованиям комиссии по ценным бумагам и биржам (SEC) или нормативным органам финансового сектора (FINRA). Средство отслеживает нарушения поведения бизнеса, такие как использование конфиденциальной или чувствительной информации, преследования или угрожающий язык, а также распространение контента для взрослых. Эта возможность создается с учетом конфиденциальности путем разработки, имена пользователей псевдонимируются по умолчанию, элементы управления доступом на основе ролей встроены, следователи выбираются администратором, а журналы аудита помогают обеспечить конфиденциальность на уровне пользователей. |
Защита элементов управления
Следующее содержимое содержит рекомендации по обеспечению безопасности из HIPAA. Найдите рекомендации Майкрософт по соответствию требованиям HIPAA.
HIPAA — защита
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Рекомендация | Действие |
|---|---|
| Сканирование окружения на данные ePHI |
Microsoft Purview можно включить в режиме аудита, чтобы проанализировать, какие ePHI находятся в пространстве данных, и какие ресурсы используются для хранения этих данных. Эта информация помогает установить классификацию данных и метку конфиденциальности данных. Кроме того, с помощью обозревателя содержимого предоставляется представление о расположении конфиденциальных данных. Эти сведения помогают начать путь маркировки от ручного добавления меток или применения рекомендаций по маркировке на стороне клиента к автоматической маркировке на стороне службы. |
| Включение Priva для защиты данных Microsoft 365 | Microsoft Priva оценивает данные ePHI, хранящиеся в Microsoft 365, проводит сканирование и оценку конфиденциальной информации. |
| Включение теста безопасности Azure | Microsoft Cloud Security Benchmark обеспечивает контроль защиты данных в службах Azure и предоставляет базовые показатели для реализации служб, которые хранят ePHI. Режим аудита предоставляет эти рекомендации и действия по исправлению для защиты среды. |
| Включение управления уязвимостями Defender | Управление уязвимостями Microsoft Defender — это встроенный модуль в Microsoft Defender для конечной точки. Модуль помогает выявлять и обнаруживать уязвимости и неправильные настройки в режиме реального времени. Модуль также помогает определить приоритеты представления результатов на панели мониторинга и отчетов на разных устройствах, виртуальных машинах и базах данных. |
Подробнее
Принцип нулевого доверия: устройства, данные, приложение, видимость, автоматизация и оркестрация
Принцип нулевого доверия: данные, видимость, автоматизация и оркестрация