Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wskazówki zawarte w tym artykule ułatwiają orientację w szczegółach oraz udostępniają zalecenia dotyczące usług i funkcji w Microsoft Entra ID w celu wspierania zgodności z kontrolkami HITRUST. Skorzystaj z tych informacji, aby zrozumieć ramy Health Information Trust Alliance (HITRUST) i wspierać Twoją odpowiedzialność za zapewnienie zgodności organizacji z ustawą Health Insurance Portability and Accountability Act z 1996 r. (HIPAA). Oceny obejmują pracę z certyfikowanymi audytorami HITRUST, posiadającymi wiedzę na temat struktury i są zobowiązani, aby pomóc przejść przez proces i zrozumieć wymagania.
Akronimy
W poniższej tabeli wymieniono akronimy i ich pisownię w tym artykule.
| Akronim | Ortografia |
|---|---|
| CE | Jednostka objęta |
| płyn mózgowo-rdzeniowy (CSF) | Wspólna struktura zabezpieczeń |
| HIPAA | Ustawa o przenoszeniu i odpowiedzialności za ubezpieczenie zdrowotne z 1996 roku |
| Moduł HSR | Reguła zabezpieczeń HIPAA |
| HITRUST | Health Information Trust Alliance (Sojusz Zaufania Informacji o Zdrowiu) |
| Zarządzanie dostępem i tożsamościami | Zarządzanie tożsamością i dostępem |
| dostawca tożsamości | Dostawca tożsamości |
| ISO | Międzynarodowa Organizacja standaryzacji |
| ISMS | System zarządzania zabezpieczeniami informacji |
| JEA | Wystarczająca ilość dostępu |
| JML | Dołącz, przenieś, pozostaw |
| MFA | Microsoft Entra uwierzytelnianie wieloskładnikowe |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Chronione informacje o zdrowiu |
| PIM | Privileged Identity Management |
| logowanie jednokrotne | Jednokrotne logowanie |
| punkt dostępu terminalu | Dostęp tymczasowy |
Health Information Trust Alliance (Sojusz Zaufania Informacji o Zdrowiu)
Organizacja HITRUST ustanowiła common security framework (CSF), aby ustandaryzować i usprawnić wymagania dotyczące zabezpieczeń i prywatności dla organizacji w branży opieki zdrowotnej. HITRUST CSF założono w 2007 r., aby sprostać złożonym środowisku regulacyjnym, wyzwaniom związanym z bezpieczeństwem i prywatnością, przed którymi stoją organizacje podczas obsługi danych osobowych i chronionych danych dotyczących zdrowia (PHI). CsF składa się z 14 kategorii kontroli obejmujących 49 celów kontroli i 156 specyfiki kontroli. Został zbudowany na podstawowych zasadach Międzynarodowej Organizacji Standaryzacji (ISO) 27001 i ISO 27002.
Narzędzie HITRUST MyCSF jest dostępne w Azure Marketplace. Służy do zarządzania zagrożeniami bezpieczeństwa informacji, ładem danych, aby zapewnić zgodność z przepisami dotyczącymi ochrony informacji, a także przestrzegać krajowych i międzynarodowych standardów i najlepszych rozwiązań.
Uwaga / Notatka
ISO 27001 to standard zarządzania określający wymagania systemu zarządzania zabezpieczeniami informacji (ISMS). ISO 27002 to zestaw najlepszych rozwiązań do wybierania i implementowania mechanizmów kontroli zabezpieczeń w strukturze ISO 27001.
Reguła zabezpieczeń HIPAA
Zasada zabezpieczeń HIPAA (HSR, HIPAA Security Rule) ustanawia standardy ochrony elektronicznych informacji o zdrowiu osoby fizycznej utworzonych, otrzymanych, używanych lub utrzymywanych przez jednostkę objętą (CE), która jest planem zdrowia, rozliczeń opieki zdrowotnej lub dostawcą opieki zdrowotnej. Departament Zdrowia i Usług Ludzkich (HHS) USA zarządza HSR. HHS wymaga zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznej jednostki PHI.
HITRUST i HIPAA
HITRUST opracował CSF, który obejmuje standardy zabezpieczeń i prywatności w celu wspierania przepisów dotyczących opieki zdrowotnej. Mechanizmy kontroli CSF i najlepsze rozwiązania upraszczają zadanie konsolidacji źródeł w celu zapewnienia zgodności z przepisami federalnymi, zabezpieczeniami HIPAA i zasadami ochrony prywatności. HITRUST CSF to wiarygodna struktura zabezpieczeń i prywatności z mechanizmami kontroli i wymagań w celu zademonstrowania zgodności z przepisami HIPAA. Organizacje opieki zdrowotnej powszechnie przyjęły ramy. Skorzystaj z poniższej tabeli, aby dowiedzieć się więcej o kontrolkach.
| Kategoria kontroli | Nazwa kategorii kontrolki |
|---|---|
| 0 | Program zarządzania zabezpieczeniami informacji |
| 1 | Access Control |
| 2 | Zabezpieczenia zasobów ludzkich |
| 3 | Zarządzanie ryzykiem |
| 4 | Zasady zabezpieczeń |
| 5 | Organizacja zabezpieczeń informacji |
| 6 | Zgodność |
| 7 | Zarządzanie zasobami |
| 8 | Bezpieczeństwo fizyczne i środowiskowe |
| 9 | Zarządzanie komunikacją i operacjami |
| 10 | Pozyskiwanie, opracowywanie i konserwacja systemów informatycznych |
| 11 | Zarządzanie zdarzeniami zabezpieczeń informacji |
| 12 | Zarządzanie ciągłością działalności biznesowej |
| 13 | Praktyki prywatności |
Dowiedz się więcej o certyfikacji HITRUST CSF platformy Microsoft Azure, która obejmuje zarządzanie tożsamościami i dostępem:
- Microsoft Entra ID, wcześniej znany jako Azure Active Directory
- Zarządzanie prawami w usłudze Microsoft Purview
- Uwierzytelnianie wieloskładnikowe Microsoft Entra (MFA)
Kategorie i zalecenia dotyczące kontroli dostępu
Poniższa tabela zawiera kategorię kontroli dostępu do zarządzania tożsamościami i dostępem (IAM) oraz zalecenia firmy Microsoft Entra, które pomagają spełnić wymagania kategorii kontroli. Szczegóły pochodzą z hiTRUST MyCSF v11, który odwołuje się do reguły zabezpieczeń HIPAA, dodanej do odpowiedniej kontrolki.
| Zarządzanie HITRUST, cel działania i HSR | Wskazówki i rekomendacje Microsoft Entra |
|---|---|
|
CSF, kontrolka V11 01.b Rejestracja użytkownika kategoria kontroli Kontrola dostępu — rejestracja użytkowników i De-Registration Specyfikacja kontrolki Organizacja używa formalnej rejestracji użytkownika i procesu wyrejestrowania, aby umożliwić przypisywanie praw dostępu. Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID to platforma tożsamości do weryfikacji, uwierzytelniania i zarządzania poświadczeniami, gdy tożsamość loguje się do urządzenia, aplikacji lub serwera. Jest to oparta na chmurze usługa zarządzania tożsamościami i dostępem z logowaniem jednokrotnym, uwierzytelnianiem wieloskładnikowym i dostępem warunkowym w celu ochrony przed atakami zabezpieczeń. Uwierzytelnianie gwarantuje, że tylko autoryzowane tożsamości uzyskują dostęp do zasobów i danych. Przepływy pracy cyklu życia umożliwiają zarządzanie tożsamościami w celu zautomatyzowania cyklu życia dołączania, przesuwania, opuszczania (JML). Centralizuje proces przepływu pracy, wykorzystując wbudowane szablony lub umożliwiając tworzenie niestandardowych przepływów pracy. Ta praktyka pomaga zmniejszyć lub potencjalnie usunąć zadania ręczne dla wymagań strategii JML organizacji. W witrynie Azure Portal przejdź do pozycji Zarządzanie identyfikatorami w menu Microsoft Entra ID, aby przejrzeć lub skonfigurować zadania pod kątem wymagań organizacji. Program Microsoft Entra Connect integruje katalogi lokalne z identyfikatorem Microsoft Entra ID, obsługując korzystanie z jednej tożsamości w celu uzyskiwania dostępu do lokalnych aplikacji i usług w chmurze, takich jak Microsoft 365. Organizuje synchronizację między usługą Active Directory (AD) i identyfikatorem Entra firmy Microsoft. Aby rozpocząć pracę z programem Microsoft Entra Connect, zapoznaj się z wymaganiami wstępnymi. Zwróć uwagę na wymagania dotyczące serwera i sposób przygotowania dzierżawy Entra firmy Microsoft do zarządzania. Microsoft Entra Connect Sync to agent aprowizacji zarządzany w chmurze, który obsługuje synchronizację z identyfikatorem Entra firmy Microsoft z odłączonego środowiska usługi AD z wieloma lasami. Używaj lekkich agentów z programem Microsoft Entra Connect. Zalecamy synchronizację skrótów haseł, aby zmniejszyć ryzyko związane z hasłami i chronić przed wykryciem wycieku poświadczeń. |
|
CSF, kontrolka V11 01.c Zarządzanie uprawnieniami kategoria kontroli Kontrola dostępu — uprzywilejowane konta Specyfikacja kontrolki Organizacja zapewnia, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) to usługa w usłudze Microsoft Entra ID do zarządzania, kontrolowania i monitorowania dostępu do ważnych zasobów w organizacji. Minimalizuje liczbę osób z dostępem do bezpiecznych informacji, aby zapobiec uzyskiwaniu dostępu przez złośliwych podmiotów. PIM zapewnia dostęp oparty na czasie i zatwierdzeniach, aby ograniczyć ryzyko nadmiernych, zbędnych lub niewłaściwie wykorzystywanych uprawnień dostępu. Ułatwia ona identyfikowanie i analizowanie kont uprzywilejowanych w celu zapewnienia wystarczającej ilości dostępu (JEA), aby użytkownik mógł wykonywać swoją rolę. Monitorowanie i generowanie alertów zapobiega podejrzanym działaniom, wyświetlanie listy użytkowników i ról, które wyzwalają alert, przy jednoczesnym zmniejszeniu ryzyka nieautoryzowanego dostępu. Dostosowywanie alertów dla strategii zabezpieczeń organizacji. Przeglądy dostępu umożliwiają organizacjom efektywne zarządzanie przypisaniami ról i członkostwem w grupach. Zachowaj bezpieczeństwo i zgodność, oceniając, które konta mają dostęp i zapewniają, że dostęp zostanie odwołany w razie potrzeby, co minimalizuje ryzyko związane z nadmiernymi lub nieaktualnymi uprawnieniami. |
|
CSF, kontrolka V11 0.1d Zarządzanie hasłami użytkowników kategoria kontroli Kontrola dostępu — procedury Specyfikacja kontrolki Aby zapewnić, że autoryzowane konta użytkowników są rejestrowane, śledzone i okresowo weryfikowane w celu zapobiegania nieautoryzowanemu dostępowi do systemów informacyjnych. Nazwa celu Autoryzowany dostęp do systemów informacyjnych Reguła zabezpieczeń HIPAA §164.308(a)(5)(ii)(D) |
Zarządzanie hasłami jest krytycznym aspektem infrastruktury zabezpieczeń. Aby dostosować się do najlepszych praktyk i stworzyć solidne podejście do zabezpieczeń, Microsoft Entra ID pomaga poprzez kompleksową obsługę strategii: SSO i MFA, a także uwierzytelnianie bez hasła, takie jak klucze zabezpieczeń FIDO2 i Windows Hello dla firm (WHfB), zmniejszają ryzyko użytkownika i usprawniają doświadczenie uwierzytelniania. Firma Microsoft Entra Password Protection wykrywa i blokuje znane słabe hasła. Obejmuje zasady dotyczące haseł i charakteryzuje się możliwością definiowania niestandardowej listy haseł oraz tworzenia strategii zarządzania hasłami, aby zabezpieczyć ich użycie. Wymagania dotyczące długości i siły hasła HITRUST są zgodne z National Institute of Standards and Technology NIST 800-63B, który zawiera co najmniej osiem znaków hasła lub 15 znaków dla kont z najbardziej uprzywilejowanym dostępem. Miary złożoności obejmują co najmniej jedną liczbę i/lub znak specjalny oraz co najmniej jedną górną i małą literę dla kont uprzywilejowanych. |
|
CSF, kontrolka V11 01.p Bezpieczne procedury logowania kategoria kontroli Kontrola dostępu — bezpieczne logowanie Specyfikacja kontrolki Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania. Nazwa celu Kontrola dostępu systemu operacyjnego Reguła zabezpieczeń HIPAA § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu. Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie. Zasady dostępu warunkowego pomagają organizacjom ograniczyć dostęp do zatwierdzonych aplikacji, zasobów i zapewnić bezpieczeństwo urządzeń. Microsoft Entra ID analizuje sygnały z zasad dostępu warunkowego z tożsamości, lokalizacji lub urządzenia, aby zautomatyzować decyzję i wymusić zasady organizacyjne dostępu do zasobów i danych. Kontrola dostępu oparta na rolach (RBAC) ułatwia zarządzanie dostępem i zasobami zarządzanymi w organizacji. Kontrola dostępu oparta na rolach pomaga zaimplementować zasadę najniższych uprawnień, zapewniając użytkownikom uprawnienia potrzebne do wykonywania zadań. Ta akcja minimalizuje ryzyko przypadkowej lub zamierzonej błędnej konfiguracji. Jak wspomniano w ramach kontroli zarządzania hasłami użytkowników w wersji 0.1d, uwierzytelnianie bezhasłowe wykorzystuje dane biometryczne, ponieważ trudniej je podrobić, zapewniając w ten sposób bardziej bezpieczne uwierzytelnianie. |
|
CSF, kontrolka V11 01.q Identyfikacja i uwierzytelnianie użytkowników kategoria kontroli N/A Specyfikacja kontrolki Wszyscy użytkownicy mają unikatowy identyfikator (identyfikator użytkownika) tylko do użytku osobistego, a technika uwierzytelniania jest wdrażana w celu uzasadnienia tożsamości żądanej przez użytkownika. Nazwa celu N/A Reguła zabezpieczeń HIPAA § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Użyj udostępniania kont w Microsoft Entra ID, aby tworzyć i aktualizować konta użytkowników oraz nimi zarządzać. Każdy użytkownik i obiekt mają przypisany unikatowy identyfikator (UID) określany jako identyfikator obiektu. Identyfikator UID jest globalnie unikatowym identyfikatorem, który generowany jest automatycznie podczas tworzenia użytkownika lub obiektu. Identyfikator Entra firmy Microsoft obsługuje automatyczną aprowizację użytkowników dla systemów i aplikacji. Automatyczne wdrażanie tworzy nowe konta w odpowiednich systemach, gdy ludzie dołączają do zespołu w organizacji. Automatyczne anulowanie aprowizacji dezaktywuje konta, gdy ludzie odejdą. |
|
CSF, kontrolka V11 01.u Ograniczenie czasu połączenia kategoria kontroli Kontrola dostępu — bezpieczne logowanie Specyfikacja kontrolki Organizacja kontroluje dostęp do zasobów informacji przy użyciu bezpiecznej procedury logowania. Nazwa celu Kontrola dostępu systemu operacyjnego Reguła zabezpieczeń HIPAA § 164.312(a)(2)(iii) |
Kontrola koncentruje się na systemie operacyjnym, usługi Microsoft Entra pomagają wzmocnić bezpieczne logowanie. Bezpieczne logowanie to proces bezpiecznego uwierzytelniania tożsamości podczas próby uzyskania dostępu do systemu. Firma Microsoft Entra uwierzytelnia użytkowników i ma funkcje zabezpieczeń z informacjami o użytkowniku i zasobie. Informacje obejmują token dostępu, token odświeżania i token identyfikacyjny. Skonfiguruj zgodnie z wymaganiami organizacji dotyczącymi dostępu do aplikacji. Skorzystaj z tych wskazówek głównie dla klientów mobilnych i stacjonarnych. Zasady dostępu warunkowego obsługują ustawienia konfiguracji przeglądarki internetowej dla ograniczenia uwierzytelnionych sesji. Identyfikator Entra firmy Microsoft oferuje integrację w różnych systemach operacyjnych, aby zapewnić lepsze środowisko użytkownika i obsługę metod uwierzytelniania bez hasła wymienionych: Platformowe SSO dla systemu macOS rozszerza możliwości SSO dla systemu macOS. Użytkownicy logują się do komputera Mac, używając poświadczeń bez hasła lub poświadczeń do zarządzania hasłami, które są weryfikowane przez Microsoft Entra ID. Doświadczenie bez hasła w systemie Windows promuje środowisko uwierzytelniania bez haseł na urządzeniach połączonych z Microsoft Entra. Użycie uwierzytelniania bez hasła zmniejsza luki w zabezpieczeniach i zagrożenia związane z tradycyjnym uwierzytelnianiem opartym na hasłach, takie jak ataki wyłudzania informacji, ponowne użycie hasła i przechwytywanie haseł przez rejestrator kluczy. Logowanie internetowe dla systemu Windows to dostawca poświadczeń, który rozszerza możliwości logowania internetowego w systemie Windows 11, obejmujące usługę Windows Hello dla firm, dostęp tymczasowy (TAP) i tożsamości federacyjne. Usługa Azure Virtual Desktop obsługuje logowanie jednokrotne i uwierzytelnianie bez hasła. Za pomocą logowania jednokrotnego (SSO) możesz użyć uwierzytelniania bez hasła i dostawców tożsamości innych firm zintegrowanych z Microsoft Entra ID, aby zalogować się do zasobów usługi Azure Virtual Desktop. Zapewnia doświadczenie logowania jednokrotnego podczas uwierzytelniania na serwerze sesji. Konfiguruje sesję, aby zapewnić jednokrotne logowanie (SSO) do zasobów Microsoft Entra. |
Dalsze kroki
Konfigurowanie zabezpieczeń kontroli dostępu firmy Microsoft Entra HIPAA