Поделиться через


Health Information Trust Alliance (HITRUST) общая инфраструктура безопасности

Общие сведения о HITRUST CSF

Альянс доверия медицинской информации (HITRUST) — это организация, управляемая представителями отрасли здравоохранения. HITRUST создала и поддерживает Common Security Framework (CSF), сертифицированную платформу, чтобы помочь организациям здравоохранения и их поставщикам продемонстрировать свою безопасность и соответствие требованиям согласованно и упрощенно.

CSF основывается на HIPAA и Законе HITECH, которые являются законами США о здравоохранении, которые установили требования к использованию, раскрытию и защите индивидуально идентифицируемой информации о здоровье, и которые обеспечивают несоответствие. HITRUST предоставляет стандартную платформу соответствия требованиям, оценку и процесс сертификации, на основе которой поставщики облачных служб и охваченные сущности здравоохранения могут измерять соответствие требованиям. CsF также включает в себя специальные медицинские требования к безопасности, конфиденциальности и другие нормативные требования из таких существующих платформ, как стандарт безопасности данных индустрии платежных карт (PCI-DSS), стандарты управления информационной безопасностью ISO/IEC 27001 и минимальные допустимые стандарты риска для обменов (MARS-E).

CSF разделен на 19 различных доменов, включая защиту конечных точек, безопасность мобильных устройств и управление доступом. HITRUST сертифицирует ИТ-предложения для этих элементов управления. HITRUST также адаптирует требования к сертификации с учетом рисков организации на основе организационных, системных и нормативных факторов.

Health Information Trust Alliance (HITRUST) общая инфраструктура безопасности

HITRUST предлагает три степени надежности или уровни оценки: самостоятельная оценка, проверка CSF и сертификация CSF. Каждый уровень строится с большей строгостью на том, который ниже. Организация с наивысшим уровнем, сертифицированным CSF, соответствует всем требованиям к сертификации CSF. Microsoft Azure и Office 365 являются первыми гипермасштабируемыми облачными службами, которые получили сертификацию для HITRUST CSF. Coalfire, компания-эксперт HITRUST, провела оценку на основе того, как Azure и Office 365 реализовать требования безопасности, конфиденциальности и нормативных требований для защиты конфиденциальной информации. Корпорация Майкрософт поддерживает программу общей ответственности HITRUST.

Узнайте, как ускорить развертывание HITRUST с помощью схемы безопасности и соответствия требованиям Azure.

Скачайте схему Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) версии 9.0d

Затрагиваемые облачные платформы и службы Майкрософт

Azure, Dynamics 365 и HITRUST

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в предложении Azure HITRUST.

Office 365 и HITRUST

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Служба веб-канала действий, службы Bing, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди карточка, SharePoint Online, Skype для бизнеса, Windows Ink

Аудит, отчеты и сертификаты Office 365

Сертификация HITRUST CSF Office 365 действительна в течение двух лет.

Вопросы и ответы

Почему некоторые Office 365 службы не входят в область этой сертификации?

Корпорация Майкрософт предоставляет наиболее полные предложения по сравнению с другими поставщиками облачных служб. Чтобы не отставать от наших широких предложений по соответствию требованиям в разных регионах и отраслях, мы включаем услуги в область наших усилий по обеспечению на основе рыночного спроса, отзывов клиентов и жизненного цикла продукта. Если служба не включена в текущую область конкретного предложения по соответствию требованиям, ваша организация несет ответственность за оценку рисков на основе ваших обязательств по соответствию и определение способа обработки данных в этой службе. Мы постоянно собираем отзывы клиентов и работаем с регуляторами и аудиторами, чтобы расширить охват соответствия требованиям для удовлетворения ваших потребностей в области безопасности и соответствия требованиям.

Означает ли сертификация Майкрософт, что если моя организация использует Office 365, она соответствует требованиям HITRUST CSF?

При хранении данных в SaaS, например Office 365, корпорация Майкрософт и ваша организация несут общую ответственность за обеспечение соответствия требованиям. Корпорация Майкрософт управляет большинством элементов управления инфраструктурой, включая физическую безопасность, элементы управления сетью, элементы управления на уровне приложений и т. д., и ваша организация несет ответственность за управление средствами управления доступом и защиту конфиденциальных данных. Сертификация Office 365 HITRUST демонстрирует соответствие платформы управления Майкрософт. Исходя из этого, вашей организации необходимо реализовать и поддерживать собственные элементы управления защитой данных в соответствии с требованиями HITRUST CSF.

Предоставляет ли корпорация Майкрософт рекомендации для моей организации по реализации соответствующих элементов управления при использовании Office 365?

Да, вы можете найти рекомендуемые действия клиентов в диспетчере соответствия требованиям, облачных решениях между Майкрософт, которые помогают вашей организации выполнять сложные обязательства по соответствию при использовании облачных служб. В частности, для HITRUST CSF рекомендуется выполнять оценку рисков с помощью оценок NIST 800-53 и NIST CSF в диспетчере соответствия требованиям. В оценках мы предоставляем пошаговые рекомендации и решения Майкрософт, которые можно использовать для реализации элементов управления защитой данных. Дополнительные сведения о диспетчере соответствия требованиям см. в Microsoft Purview Compliance Manager.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. Узнайте, как создавать оценки и управлять ими в диспетчере соответствия требованиям.

Ресурсы