Настройка идентификатора Microsoft Entra для соответствия HIPAA

Службы Майкрософт, такие как Microsoft Entra ID, могут помочь вам соответствовать требованиям, связанным с управлением идентичностями, в рамках закона США о портативности и подотчетности медицинского страхования 1996 года (HIPAA).

Правило безопасности HIPAA (HSR) устанавливает стандарты для защиты электронных персональных данных отдельных лиц, созданных, полученных, используемых или поддерживаемых субъектом. HSR управляется Министерством здравоохранения и социальных служб США (HHS) и требует соответствующих административных, физических и технических гарантий для обеспечения конфиденциальности, целостности и безопасности электронной защищенной медицинской информации.

Требования и цели технической защиты определены в разделе 45 Кодекса федеральных правил (CFR). Часть 160 заголовка 45 предоставляет общие административные требования, а в подразделах A и C части 164 описываются требования к безопасности и конфиденциальности.

Подраздел § 164.304 определяет технические меры безопасности как технологии, а также политики и процедуры их использования, которые защищают электронную защищенную медицинскую информацию и контролируют доступ к ней. HHS также описывает ключевые области для медицинских организаций, которые следует учитывать при реализации технических гарантий HIPAA. От § 164.312 Технические гарантии:

  • Контроль доступа - Реализуйте технические политики и процедуры для электронных информационных систем, которые поддерживают электронную защищённую медицинскую информацию, чтобы разрешить доступ только тем лицам или программам, которым предоставлен доступ, как указано в § 164.308(a)(4).

  • Контроль аудита — реализуйте аппаратные, программные и/или процедурные механизмы, которые записывают и проверяют действия в информационных системах, содержащих или использующих электронную защищенную медицинскую информацию.

  • Элементы управления целостностью - Реализация политик и процедур для защиты защищённой электронной медицинской информации от неправильного изменения или уничтожения.

  • Аутентификация личности или субъекта — Реализуйте процедуры для проверки того, что человек или субъект, стремящиеся получить доступ к электронной защищенной медицинской информации, действительно являются теми, за кого себя выдают.

  • Безопасность передачи . Реализуйте технические меры безопасности для защиты от несанкционированного доступа к электронной защищенной информации о работоспособности, передаваемой через электронную сеть связи.

HSR определяет подпартии как стандартные, а также обязательные и адресные спецификации реализации. Все необходимо реализовать. Обозначение "адресуемое" указывает на то, что спецификация является разумной и подходящей. Адресуемость не означает, что техническое задание реализации является необязательным. Таким образом, подпартии, определенные как адресуемые, также требуются.

Остальные статьи в этой серии содержат рекомендации и ссылки на ресурсы, организованные ключевыми областями и техническими гарантиями. Для каждой ключевой области есть таблица с соответствующими средствами защиты, приведенными в списке, и ссылки на рекомендации Microsoft Entra для выполнения защиты.

Подробнее

Дальнейшие шаги