Поделиться через


Настройка идентификатора Microsoft Entra для соответствия HIPAA

службы Майкрософт, например идентификатор Microsoft Entra, может помочь вам соответствовать требованиям, связанным с удостоверениями, для закона о переносимости медицинского страхования и подотчетности 1996 года (HIPAA).

Правило безопасности HIPAA (HSR) устанавливает стандарты для защиты электронных персональных данных отдельных лиц, созданных, полученных, используемых или поддерживаемых субъектом. HSR управляется Министерством здравоохранения и человеческих услуг США (HHS) и требует соответствующих административных, физических и технических гарантий для обеспечения конфиденциальности, целостности и безопасности электронной защищенной информации о работоспособности.

Требования и цели технической защиты определены в разделе 45 Кодекса федеральных правил (CFR). Часть 160 заголовка 45 предоставляет общие административные требования, а в подразделах A и C части 164 описываются требования к безопасности и конфиденциальности.

Вложенная часть § 164.304 определяет технические меры безопасности в качестве технологии и политик и процедур для его использования, которые защищают электронную защищенную информацию о работоспособности и контролируют доступ к нему. HHS также описывает ключевые области для медицинских организаций, которые следует учитывать при реализации технических гарантий HIPAA. От § 164.312 Технические гарантии:

  • Управление доступом . Реализуйте технические политики и процедуры для электронных информационных систем, которые поддерживают электронную защищенную информацию о работоспособности, чтобы разрешить доступ только тем лицам или программам программного обеспечения, которым предоставлен доступ, как указано в § 164.308(a)(4).

  • Элементы управления аудитом — реализуйте аппаратные, программные и/или процедурные механизмы, которые записывают и проверяют действия в информационных системах, содержащих или использующие электронную защищенную информацию о работоспособности.

  • Элементы управления целостностью. Реализация политик и процедур для защиты электронных защищенных сведений о работоспособности от неправильного изменения или уничтожения.

  • Проверка подлинности личности или сущности . Реализуйте процедуры для проверки того, что пользователь или сущность, стремящиеся получить доступ к электронной защищенной информации о работоспособности, является утверждением.

  • Безопасность передачи . Реализуйте технические меры безопасности для защиты от несанкционированного доступа к электронной защищенной информации о работоспособности, передаваемой через электронную сеть связи.

HSR определяет подпартии как стандартные, а также обязательные и адресные спецификации реализации. Все необходимо реализовать. Обозначаемое "адресное" обозначение обозначает спецификацию разумной и соответствующей. Адресная функция не означает, что спецификация реализации является необязательной. Поэтому также требуются подпартии, определенные как адресные.

Остальные статьи в этой серии содержат рекомендации и ссылки на ресурсы, организованные ключевыми областями и техническими гарантиями. Для каждой ключевой области есть таблица с соответствующими средствами защиты, приведенными в списке, и ссылки на рекомендации Microsoft Entra для выполнения защиты.

Подробнее

Следующие шаги