Поделиться через


Рекомендации по настройке Microsoft Entra для элементов управления HITRUST

Руководство по этой статье помогает вам перемещаться по деталям и предоставлять рекомендации по службам и функциям в идентификаторе Microsoft Entra для поддержки выравнивания с элементами управления HITRUST. Используйте информацию, чтобы понять платформу Альянса здравоохранения (HITRUST) и поддержать вашу ответственность за обеспечение соответствия вашей организации требованиям Закона о переносимости и подотчетности медицинского страхования в 1996 году (HIPAA). Оценки включают работу с сертифицированными оценщиками HITRUST, которые хорошо знакомы с платформой и необходимы, чтобы помочь вам в процессе и понять требования.

Сокращения

В следующей таблице перечислены акронимы и их правописание в этой статье.

Сокращение Проверка орфографии
CE Покрытая сущность
CSF Common Security Framework
HIPAA Закон о переносимости медицинского страхования и подотчетности 1996 года
HSR Правило безопасности HIPAA
HITRUST Альянс доверия о работоспособности
IAM Управление удостоверениями и доступом
IdP Поставщик удостоверений
ISO Международная организация по стандартизации
ISMS Система управления информационной безопасностью
JEA Достаточно доступа
JML Присоединение, перемещение, выход
MFA Многофакторная проверка подлинности Microsoft Entra
NIST Национальный институт стандартов и технологий, отдел торговли США.
PHI Защищенные сведения о работоспособности
PIM Управление привилегированными пользователями
Единый вход Единый вход
КОСНИТЕСЬ Временный проход доступа

Альянс доверия о работоспособности

Организация HITRUST создала Common Security Framework (CSF) для стандартизации и оптимизации требований к безопасности и конфиденциальности для организаций в отрасли здравоохранения. CSF HITRUST был основан в 2007 году для решения сложных нормативных проблем, проблем безопасности и конфиденциальности, с которыми сталкиваются организации при обработке персональных данных и защищенных данных о работоспособности (PHI). CSF состоит из 14 категорий элементов управления, состоящих из 49 целей управления и 156 элементов управления. Он был построен на основных принципах Международной организации стандартизации (ISO) 27001 и ISO 27002.

Средство HITRUST MyCSF доступно в Azure Marketplace. Используйте его для управления рисками информационной безопасности, управлением данными для соблюдения нормативных требований по защите информации, а также соблюдать национальные и международные стандарты и рекомендации.

Примечание.

ISO 27001 — это стандарт управления, определяющий требования к системе управления информационной безопасностью (ISMS). ISO 27002 — это набор рекомендаций по выбору и реализации элементов управления безопасностью в платформе ISO 27001.

Правило безопасности HIPAA

Правило безопасности HIPAA (HSR) устанавливает стандарты для защиты электронной личной информации, созданной, полученной, используемой или поддерживаемой организацией (CE), которая является планом здравоохранения, очисткой здравоохранения или поставщиком услуг здравоохранения. Министерство здравоохранения и человеческих услуг США (HHS) управляет HSR. HHS требует административных, физических и технических гарантий для обеспечения конфиденциальности, целостности и безопасности электронных PHI.

HITRUST и HIPAA

HITRUST разработал CSF, который включает стандарты безопасности и конфиденциальности для поддержки медицинских правил. Элементы управления и рекомендации CSF упрощают задачу консолидации источников для обеспечения соответствия федеральному законодательству, безопасности HIPAA и правилам конфиденциальности. HISTRUST CSF — это сертифицированная платформа безопасности и конфиденциальности с элементами управления и требованиями для демонстрации соответствия HIPAA. Организации здравоохранения широко приняли платформу. Используйте следующую таблицу, чтобы узнать о элементах управления.

Категория элементов управления Имя категории элемента управления
0 Программа управления информационной безопасностью
1 Управление доступом
2 Безопасность кадров
3 Управление рисками
4 Политика безопасности
5 Организация защиты информации
6 Соответствие нормативным требованиям
7 Управление активами
8 Физическая и экологическая безопасность
9 Управление коммуникациями и операциями
10 Приобретение информационных систем, разработка и обслуживание
11 Управление нарушениями информационной безопасности
12 Управление непрерывностью работы
13 Рекомендации по конфиденциальности

Дополнительные сведения о платформе Microsoft Azure сертифицированы CSF HITRUST, включая управление удостоверениями и доступом:

Категории и рекомендации по управлению доступом

В следующей таблице есть категория управления доступом для управления удостоверениями и доступом (IAM) и рекомендации Microsoft Entra, которые помогут удовлетворить требования к категории элементов управления. Подробные сведения см. в разделе HITRUST MyCSF версии 11, который ссылается на правило безопасности HIPAA, добавленное в соответствующий элемент управления.

Управление, цель и HSR HITRUST Руководство и рекомендации Microsoft Entra
Элемент управления CSF версии 11
Регистрация пользователей 01.b

Категория элементов управления
контроль доступа — регистрация пользователей и отмена регистрации

Спецификация элемента управления
Организация использует формальный процесс регистрации и отмены регистрации пользователей для предоставления прав доступа.

Имя цели
Авторизованный доступ к информационным системам

Правило безопасности HIPAA
§ 164.308(a)(3)(ii)(A)
§ 164.308(a)(4)(i)
§ 164.308(a)(3)(ii)(B)
§ 164.308(a)(4)(ii)(C)
§ 164.308(a)(4)(ii)(B)
§ 164.308(a)(5)(ii)(D)
§ 164.312(a)(2)(i)
§ 164.312(a)(2)(ii)
§ 164.312(d)
Идентификатор Microsoft Entra — это платформа удостоверений для проверки, проверки подлинности и управления учетными данными при входе удостоверения на устройство, приложение или сервер. Это облачная служба управления удостоверениями и доступом с единым входом (SSO), MFA и условным доступом для защиты от атак безопасности. Проверка подлинности обеспечивает доступ только авторизованных удостоверений к ресурсам и данным.

Рабочие процессы жизненного цикла позволяют управлению удостоверениями автоматизировать жизненный цикл соединения, mover, leaver (JML). Он централизованно выполняет процесс рабочего процесса с помощью встроенных шаблонов или создания пользовательских рабочих процессов. Эта практика помогает сократить или удалить задачи вручную для требований стратегии JML организации. В портал Azure перейдите в меню "Управление удостоверениями" в меню идентификатора Microsoft Entra ID, чтобы просмотреть или настроить задачи для требований организации.

Microsoft Entra Подключение интегрирует локальные каталоги с идентификатором Microsoft Entra, поддерживая использование отдельных удостоверений для доступа к локальным приложениям и облачным службам, таким как Microsoft 365. Он управляет синхронизацией между Active Directory (AD) и идентификатором Microsoft Entra. Чтобы приступить к работе с microsoft Entra Подключение, ознакомьтесь с предварительными условиями. Обратите внимание на требования к серверу и как подготовить клиент Microsoft Entra для управления.

Microsoft Entra Подключение Sync — это агент подготовки, управляемый в облаке, который поддерживает синхронизацию с идентификатором Microsoft Entra из отключенной среды AD в нескольких лесах. Используйте упрощенные агенты с Подключение Microsoft Entra. Мы рекомендуем синхронизировать хэш паролей, чтобы сократить количество паролей и защититься от обнаружения утечки учетных данных.
Элемент управления CSF версии 11
Управление привилегиями 01.c

Категория элементов управления
контроль доступа — привилегированные учетные записи

Спецификация элемента управления
Организация гарантирует, что авторизованные учетные записи пользователей регистрируются, отслеживаются и периодически проверяются, чтобы предотвратить несанкционированный доступ к информационным системам

Имя цели
Авторизованный доступ к информационным системам

Правило безопасности HIPAA
§ 164.308(a)(1)(i)
§ 164.308(a)(1)(ii)(B)
§ 164.308(a)(2)
§ 164.308(a)(3)(ii)(B)
§ 164.308(a)(3)(ii)(A)
§ 164.308(a)(4)(i)
§ 164.308(a)(4)(ii)(B)
§ 164.308(a)(4)(ii)(C)
§ 164.310(a)(2)(ii)
§ 164.310(a)(1)
§ 164.310(a)(2)(iii)
§ 164.312(a)(1)
управление привилегированными пользователями (PIM) — это служба в идентификаторе Microsoft Entra для управления, контроля и мониторинга доступа к важным ресурсам в организации. Это сводит к минимуму количество людей с доступом к безопасной информации, чтобы предотвратить доступ злоумышленников.

PIM имеет время и доступ на основе утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа. Он помогает выявлять и анализировать привилегированные учетные записи, чтобы обеспечить достаточно доступа (JEA) для пользователя, чтобы выполнить свою роль.

Мониторинг и создание оповещений предотвращают подозрительные действия, перечисляя пользователей и ролей, которые активируют оповещение, уменьшая риск несанкционированного доступа. Настройка оповещений для стратегии безопасности организации.

Проверки доступа позволяют организациям эффективно управлять назначениями ролей и членством в группах. Следите за безопасностью и соответствием, оценивая, какие учетные записи имеют доступ, и убедитесь, что доступ отменяется при необходимости, тем самым минимизируя риски от чрезмерных или устаревших разрешений.
Элемент управления CSF версии 11
0.1d Управление паролями пользователей

Категория элементов управления
контроль доступа — процедуры

Спецификация элемента управления
Чтобы убедиться, что авторизованные учетные записи пользователей регистрируются, отслеживаются и периодически проверяются, чтобы предотвратить несанкционированный доступ к информационным системам.

Имя цели
Авторизованный доступ к информационным системам

Правило безопасности HIPAA
§164.308(a)(5)(ii)(D)
Управление паролями является критически важным аспектом инфраструктуры безопасности. В соответствии с рекомендациями по созданию надежной позиции безопасности идентификатор Microsoft Entra помогает упростить работу с комплексной поддержкой стратегии: единый вход и MFA также бессерверная проверка подлинности, например ключи безопасности FIDO2 и Windows Hello для бизнеса (WHfB) снижает риск пользователя и оптимизирует взаимодействие с проверкой подлинности пользователей.

Защита паролей Microsoft Entra обнаруживает и блокирует известные слабые пароли. Он включает политики паролей и имеет гибкость в определении настраиваемого списка паролей и создании стратегии управления паролями для защиты использования паролей.

Требования к длине и надежности пароля HITRUST соответствуют требованиям Национального института стандартов и технологий NIST 800-63B, включающего не менее восьми символов для пароля или 15 символов для учетных записей с наибольшим привилегированным доступом. Меры сложности включают по крайней мере одно число и (или) специальный символ, а также по крайней мере одну букву верхнего и нижнего регистра для привилегированных учетных записей.
Элемент управления CSF версии 11
Процедуры безопасного входа 01.p

Категория элементов управления
контроль доступа — безопасный вход

Спецификация элемента управления
Организация управляет доступом к информационным ресурсам с помощью безопасной процедуры входа.

Имя цели
Контроль доступа операционной системы

Правило безопасности HIPAA
§ 164.308(a)(5)(i)
§ 164.308(a)(5)(ii)(C)
§ 164.308(a)(5)(ii)(D)
Безопасный вход — это процесс безопасной проверки подлинности удостоверения при попытке доступа к системе.

Элемент управления фокусируется на операционной системе, службы Microsoft Entra помогают укрепить безопасный вход.

Политики условного доступа помогают организациям ограничить доступ к утвержденным приложениям, ресурсам и обеспечить безопасность устройств. Идентификатор Microsoft Entra анализирует сигналы из политик условного доступа из удостоверений, расположений или устройств, чтобы автоматизировать решение и применить политики организации для доступа к ресурсам и данным.

Управление доступом на основе ролей (RBAC) помогает управлять доступом и управляемыми ресурсами в организации. RBAC помогает реализовать принцип наименьших привилегий, гарантируя, что у пользователей есть разрешения, необходимые для выполнения своих задач. Это действие сводит к минимуму риск случайной или преднамеренной неправильной настройки.

Как отмечалось для управления 0.1d User Password Management, проверка подлинности без пароля использует биография метрики, так как они трудно подделать, обеспечивая более безопасную проверку подлинности.
Элемент управления CSF версии 11
01.q Идентификация пользователей и проверка подлинности

Категория элементов управления
Н/П

Спецификация элемента управления
У всех пользователей должен быть уникальный идентификатор (идентификатор пользователя) только для личного использования, а для подтверждения утверждения удостоверения пользователя необходимо реализовать метод проверки подлинности.

Имя цели
Н/П

Правило безопасности HIPAA
§ 164.308(a)(5)(ii)(D)
§ 164.310(a)(1)
§ 164.312(a)(2)(i)
§ 164.312(d)
Используйте подготовку учетных записей в идентификаторе Microsoft Entra для создания, обновления и управления учетными записями пользователей. Каждому пользователю и объекту присваивается уникальный идентификатор (UID), называемый идентификатором объекта. UID — это глобальный уникальный идентификатор, автоматически создаваемый при создании пользователя или объекта.

Идентификатор Microsoft Entra поддерживает автоматическую подготовку пользователей для систем и приложений. Автоматическая подготовка создает новые учетные записи в правильных системах при присоединении пользователей к команде в организации. Автоматическая отмена подготовки деактивирует учетные записи при выходе людей.
Элемент управления CSF версии 11
Ограничение 01.u для времени Подключение

Категория элементов управления
контроль доступа — безопасный вход

Спецификация элемента управления
Организация управляет доступом к информационным ресурсам с помощью безопасной процедуры входа.

Имя цели
Контроль доступа операционной системы

Правило безопасности HIPAA
§ 164.312(a)(2)(iii)
Элемент управления фокусируется на операционной системе, службы Microsoft Entra помогают укрепить безопасный вход.

Безопасный вход — это процесс безопасной проверки подлинности удостоверения при попытке доступа к системе.

Microsoft Entra проверяет подлинность пользователей и имеет функции безопасности с информацией о пользователе и ресурсе. Сведения включают маркер доступа, маркер обновления и маркер идентификатора. Настройте в соответствии с требованиями организации для доступа к приложениям. Используйте это руководство преимущественно для мобильных и классических клиентов.

Политики условного доступа поддерживают параметры конфигурации для ограничения веб-браузера прошедших проверку подлинности сеансов.

Идентификатор Microsoft Entra имеет интеграцию между операционными системами, чтобы обеспечить лучший пользовательский интерфейс и поддержку методов проверки подлинности без пароля, перечисленных:

Единый вход платформы для macOS расширяет возможности единого входа для macOS. Пользователи войдите в Mac с помощью учетных данных без пароля или управления паролями, проверенных идентификатором Microsoft Entra.

Интерфейс без пароля Windows способствует проверке подлинности без паролей на устройствах, присоединенных к Microsoft Entra. Использование проверки подлинности без пароля снижает уязвимости и риски, связанные с традиционной проверкой подлинности на основе паролей, такими как фишинговые атаки, повторное использование паролей и перехват паролей средства ведения журнала ключей.

Веб-вход для Windows — это поставщик учетных данных, который расширяет возможности веб-входа в Windows 11, охватывая Windows Hello для бизнеса, временный проход доступа (TAP) и федеративные удостоверения.

Виртуальный рабочий стол Azure поддерживает единый вход и проверку подлинности без пароля. С помощью единого входа можно использовать проверку подлинности без пароля и поставщиков удостоверений сторонних поставщиков удостоверений, которые федеративны с идентификатором Microsoft Entra id для входа в ресурсы виртуального рабочего стола Azure. Он имеет единый вход при проверке подлинности узла сеанса. Он настраивает сеанс для предоставления единого входа ресурсам Microsoft Entra в сеансе.

Следующие шаги

Настройка средств контроля доступа Microsoft Entra HIPAA