Аудиторские маршруты и реализация лучших практик HIPAA

Question

Есть ли какие-либо рекомендации по реализации контрольного маршрута для HIPPA, начиная с разработки базы данных.

Answer 1

Соответствие требованиям HIPAA требует контроля доступа, целостности информации, контроля аудита, аутентификации пользователей и безопасности передачи. Как и в случае с другими нормативными требованиями, необходимо использовать программное обеспечение, аппаратные средства или другие методы, которые обеспечивают мониторинг и захват пользовательских действий в информационных системах, которые содержат или используют электронную PHI. Безопасность и целостность электронного PHI должна быть обеспечена от любого несанкционированного доступа, изменения и удаления

«В соответствии с требованиями Конгресса в HIPAA, правило конфиденциальности охватывает:

• Здоровье планирует

• Здравоохранение клиринговые палаты

• Поставщики медицинских услуг, которые проводят определенные финансовые и административные операции в электронном виде. Эти электронные транзакции - это те, для которых стандарты были приняты Секретарем в соответствии с HIPAA, например, электронными биллингами и переводами средств »

Для того, чтобы соответствовать требованиям HIPAA, компания должна постоянно проверять и сообщать обо всех попытках и событиях доступа связанные с базами данных и объектами, которые содержат конфиденциальные записи PHI. В зависимости от структуры учреждений учреждений здравоохранения контролеры периодически выполняют проверку соответствия HIPAA для обеспечения его эффективности. Частота проверки зависит от последнего отчета о проверке, и она менее часто встречается в случае предыдущих или постоянное положительное соответствие HIPAA Требования к действию HIPAA не требуют строгого учета методов обеспечения безопасности баз данных и ИТ. Однако в соответствии с требованиями регулирования обеспечения целостности fidentiality, конфиденциальность и доступность информации о состоянии здоровья пациента, следующие шаги обеспечивают соблюдение HIPAA:

• Определить и документировать необходимые разрешения для каждого сотрудника медицинского учреждения

• Периодически конфигурации разрешений обзор на объекты базы данных и изменить доступ прав в целях сохранения целостности, конфиденциальности и точности PHI записи

• Аудит системы, которая сохраняет и обеспечивает использование PHI записи

• Анализ информации о ревизии, которые показывают события RELAT ред в PHI периодически записывает, и принять меры в случае необходимости

следующие общие действия рекомендуется в целях соблюдения правил HIPAA:

• среде SQL Server, что это безопасно и постоянно контролировать. Обеспечить безопасность системы SQL Server с непрерывным аудитом системных событий, независимо от того, являются ли события внутренними или внешними. Обеспечьте это, применяя строгие правила, неизменяемые неавторизованными сторонами. Примените правила ко всем объектам SQL Server, связанным с конфиденциальными данными PHI (логины, базы данных, пользователи, таблицы и т. Д.)

После того, как правила установлены, аудит и периодический анализ всех событий, связанных с безопасностью, - особенно обратите внимание на разрешение изменения в объектах SQL Server и доступ к базам данных/таблицам с записями PHI

• Независимо от происхождения пользователя (внутреннего или внешнего) его действия должны контролироваться и документироваться в соответствующих аудиторских отчетах, когда они связаны с базой данных/изменения разрешения доступа к таблице.Необходимо также документировать действия административного персонала - не должно быть разницы между обычными пользователями и администраторами, когда дело доходит до аудита.

• Используйте безопасное и официально подтвержденное аппаратное и программное обеспечение. Обратите внимание на общие пропуски конфигурации системы безопасности, такие как учетные записи по умолчанию и пароли, которые часто используются злоумышленниками при попытках атаки.

Измените все параметры безопасности, установленные системой по умолчанию на SQL Server. Если возможно, не используйте смешанный режим (включает как проверку подлинности Windows, так и SQL Server), переключитесь только на проверку подлинности Windows. При использовании для доступа к SQL Server проверка подлинности Windows обеспечивает политику паролей Windows - проверку истории паролей, длину пароля и продолжительность жизни. Наиболее важной особенностью политики паролей Windows является блокировка входа в систему - она ​​блокируется для дальнейшего использования после нескольких последовательных неудачных попыток входа в систему.

• Любые изменения или фальсификация захваченной аудиторской информации должны быть очевидными, независимо от того, было ли это сделано внешняя или внутренняя сторона. Мониторинг попыток нанесения помех требуется в отношении правил соблюдения, предотвращения вторжений и потенциальных расследований нарушений безопасности