Další pokyny k ochraně
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních předpisů HIPAA (Health Insurance Portability and Accountability Act of 1996). Aby předpisy HIPAA dodržovaly předpisy, je odpovědností společností implementovat bezpečnostní opatření pomocí těchto pokynů spolu s dalšími konfiguracemi nebo procesy, které jsou potřeba. Tento článek obsahuje pokyny pro dosažení dodržování předpisů HIPAA pro následující tři ovládací prvky:
- Sejf guard integrity
- Sejf guard pro ověřování osob nebo entit
- Zabezpečení přenosu Sejf guard
Pokyny k ochraně integrity
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Pro úpravu dat Sejf guard:
Chraňte soubory a e-maily na všech zařízeních.
Zjišťování a klasifikace citlivých dat
Zašifrujte dokumenty a e-maily, které obsahují citlivá nebo osobní data.
Následující obsah obsahuje pokyny k HIPAA následované tabulkou s doporučeními a pokyny Microsoftu.
HIPAA – integrita
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Doporučení | Akce |
|---|---|
| Povolení služby Microsoft Purview Information Protection (IP) | Objevte, klasifikujte, chraňte a řídíte citlivá data, která pokrývají úložiště a přenášená data. Ochrana dat prostřednictvím PROTOKOLU IP služby Microsoft Purview pomáhá určit šířku dat, zkontrolovat architekturu a provést aktivní kroky k identifikaci a ochraně vašich dat. |
| Konfigurace místního blokování Exchange | Exchange Online poskytuje několik nastavení pro podporu eDiscovery. Místní blokování používá specifické parametry pro to, které položky by se měly uchovávat. Rozhodovací matice může být založená na klíčových slovech, odesílatelích, účtech a datech. Řešení Microsoft Purview eDiscovery jsou součástí Portál dodržování předpisů Microsoft Purview a pokrývají všechny zdroje dat Microsoftu 365. |
| Konfigurace rozšíření Zabezpečená/Multipurpose Internet Mail v Exchangi Online | S/MIME je protokol, který se používá k odesílání digitálně podepsaných a šifrovaných zpráv. Je založen na asymetrickém párování klíčů, veřejném a privátním klíči. Exchange Online poskytuje šifrování a ochranu obsahu e-mailu a podpisů, které ověřují identitu odesílatele. |
| Povolte monitorování a protokolování. | Protokolování a monitorování jsou nezbytné pro zabezpečení prostředí. Informace slouží k podpoře vyšetřování a k detekci potenciálních hrozeb identifikací neobvyklých vzorů. Povolte protokolování a monitorování služeb, abyste snížili riziko neoprávněného přístupu. Auditování Microsoft Purview poskytuje přehled o auditovaných aktivitách napříč službami v Microsoftu 365. Pomáhá prošetření zvýšením uchovávání protokolů auditu. |
Pokyny k ochraně ověřování osob nebo entit
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Pro audit a osobu a entitu Sejf guard:
Ujistěte se, že deklarace identity koncového uživatele je platná pro přístup k datům.
Identifikujte a zmírníte všechna rizika pro uložená data.
Následující obsah obsahuje pokyny k HIPAA následované tabulkou s doporučeními a pokyny Microsoftu.
HIPAA – ověřování osob nebo entit
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Ujistěte se, že jsou autorizovaní uživatelé a zařízení, která přistupují k datům ePHI. Musíte zajistit, aby zařízení dodržovala předpisy a akce byly auditovány tak, aby označovaly rizika vlastníkům dat.
| Doporučení | Akce |
|---|---|
| Povolení vícefaktorového ověřování | Vícefaktorové ověřování Microsoft Entra chrání identity přidáním další vrstvy zabezpečení. Další vrstva poskytuje efektivní způsob, jak zabránit neoprávněnému přístupu. Vícefaktorové ověřování umožňuje během procesu ověřování požadavek na více ověření přihlašovacích údajů. Nastavení aplikace Authenticator poskytuje ověřování jedním kliknutím nebo můžete nakonfigurovat konfiguraci bez hesla Microsoft Entra. |
| Povolení zásad podmíněného přístupu | Zásady podmíněného přístupu pomáhají omezit přístup jenom na schválené aplikace. Microsoft Entra analyzuje signály z uživatele, zařízení nebo místa, kde automatizuje rozhodnutí a vynucuje zásady organizace pro přístup k prostředkům a datům. |
| Nastavení zásad podmíněného přístupu na základě zařízení | Podmíněný přístup pomocí Microsoft Intune pro správu zařízení a zásady Microsoft Entra můžou pomocí stavu zařízení udělit odepření přístupu ke službám a datům. Nasazením zásad dodržování předpisů zařízením určí, jestli splňuje požadavky na zabezpečení, aby se rozhodl buď povolit přístup k prostředkům, nebo je odepřít. |
| Použití řízení přístupu na základě role (RBAC) | RBAC v Microsoft Entra ID poskytuje zabezpečení na podnikové úrovni s oddělením povinností. Upravte a zkontrolujte oprávnění k ochraně důvěrnosti, ochrany osobních údajů a správy přístupu k prostředkům a citlivým datům pomocí systémů. Microsoft Entra ID poskytuje podporu předdefinovaných rolí, což je pevná sada oprávnění, která nelze upravit. Můžete také vytvořit vlastní role , kde můžete přidat přednastavený seznam. |
Pokyny k zajištění zabezpečení přenosu
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Šifrování:
Ochrana důvěrnosti dat
Zabránit krádeži dat
Znemožnit neoprávněný přístup k PHI.
Zajistěte úroveň šifrování dat.
Ochrana přenosu dat PHI:
Ochrana sdílení dat PHI
Chraňte přístup k datům PHI.
Ujistěte se, že jsou přenášená data šifrovaná.
Následující obsah obsahuje seznam pokynů k ochraně Sejf zabezpečení auditu a přenosů z pokynů HIPAA a doporučení Microsoftu, které vám umožní splnit požadavky na implementaci ochrany pomocí Microsoft Entra ID.
HIPAA – šifrování
Implement a mechanism to encrypt and decrypt electronic protected health information.
Ujistěte se, že jsou data ePHI šifrovaná a dešifrovaná pomocí kompatibilního šifrovacího klíče nebo procesu.
| Doporučení | Akce |
|---|---|
| Kontrola šifrovacích bodů Microsoftu 365 | Šifrování pomocí Microsoft Purview v Microsoftu 365 je vysoce zabezpečené prostředí, které nabízí rozsáhlou ochranu ve více vrstvách: fyzické datové centrum, zabezpečení, síť, přístup, aplikace a zabezpečení dat. Zkontrolujte seznam šifrování a v případě, že je vyžadováno další řízení, můžete ho změnit. |
| Kontrola šifrování databáze | Transparentní šifrování dat přidává vrstvu zabezpečení, která pomáhá chránit neaktivní uložená data před neoprávněným nebo offline přístupem. Šifruje databázi pomocí šifrování AES. Dynamické maskování dat pro citlivá data, které omezuje vystavení citlivých dat. Data maskuje neověřené uživatele. Maskování obsahuje určená pole, která definujete v názvu schématu databáze, názvu tabulky a názvu sloupce. Nové databáze jsou ve výchozím nastavení šifrované a šifrovací klíč databáze je chráněný integrovaným certifikátem serveru. Doporučujeme zkontrolovat databáze, abyste měli jistotu, že je šifrování nastavené na datových aktivech. |
| Kontrola bodů služby Azure Encryption | Funkce šifrování Azure pokrývá hlavní oblasti neaktivních uložených dat, modelů šifrování a správy klíčů pomocí služby Azure Key Vault. Projděte si různé úrovně šifrování a jejich shodu se scénáři ve vaší organizaci. |
| Vyhodnocení zásad správného řízení shromažďování a uchovávání dat | Správa životního cyklu dat Microsoft Purview umožňuje použít zásady uchovávání informací. Správa záznamů Microsoft Purview umožňuje použít popisky uchovávání informací. Tato strategie vám pomůže získat přehled o prostředcích napříč celými datovými aktivy. Tato strategie také pomáhá chránit a spravovat citlivá data napříč cloudy, aplikacemi a koncovými body. Důležité: Jak je uvedeno v 45 CFR 164.316: Časový limit (povinné). Zachovejte dokumentaci požadovanou odstavcem (b)(1) tohoto oddílu po dobu šesti let od data vytvoření nebo data, kdy byla naposledy platná, podle toho, co nastane později. |
HIPAA – ochrana přenosu dat PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Vytvořte zásady a postupy pro ochranu výměny dat, která obsahují data PHI.
| Doporučení | Akce |
|---|---|
| Posouzení stavu místních aplikací | Implementace proxy aplikací Microsoft Entra publikuje místní webové aplikace externě a bezpečně. Proxy aplikace Microsoft Entra umožňuje bezpečně publikovat externí koncový bod adresy URL do Azure. |
| Povolení vícefaktorového ověřování | Vícefaktorové ověřování Microsoft Entra chrání identity přidáním vrstvy zabezpečení. Přidání dalších vrstev zabezpečení je efektivní způsob, jak zabránit neoprávněnému přístupu. Vícefaktorové ověřování umožňuje během procesu ověřování požadavek na více ověření přihlašovacích údajů. Aplikaci Authenticator můžete nakonfigurovat tak, aby poskytovala ověřování jedním kliknutím nebo bez hesla. |
| Povolení zásad podmíněného přístupu pro přístup k aplikacím | Zásady podmíněného přístupu pomáhají omezit přístup ke schváleným aplikacím. Microsoft Entra analyzuje signály z uživatele, zařízení nebo místa, kde automatizuje rozhodnutí a vynucuje zásady organizace pro přístup k prostředkům a datům. |
| Kontrola zásad Exchange Online Protection (EOP) | Exchange Online spam a ochrana proti malwaru poskytuje integrované filtrování malwaru a spamu. EOP chrání příchozí a odchozí zprávy a je ve výchozím nastavení povolená. Služby EOP také poskytují protipoofing, karanténní zprávy a možnost hlásit zprávy v Outlooku. Tyto zásady je možné přizpůsobit tak, aby vyhovovaly nastavením pro celou společnost. Tyto zásady mají přednost před výchozími zásadami. |
| Konfigurace popisků citlivosti | Popisky citlivosti z Microsoft Purview umožňují klasifikovat a chránit data vaší organizace. Popisky poskytují nastavení ochrany v dokumentaci ke kontejnerům. Nástroj například chrání dokumenty, které jsou uložené na webech Microsoft Teams a SharePointu, a nastavuje a vynucuje nastavení ochrany osobních údajů. Rozšíření popisků na soubory a datové prostředky, jako jsou SQL, Azure SQL, Azure Synapse, Azure Cosmos DB a AWS RDS. Kromě 200 předefinovaných typů citlivých informací existují pokročilé klasifikátory, jako jsou entity názvů, vytrénovatelné klasifikátory a EDM pro ochranu vlastních citlivých typů. |
| Posouzení, jestli je pro připojení ke službám potřeba privátní připojení | Azure ExpressRoute vytváří privátní připojení mezi cloudovými datacentry Azure a infrastrukturou, která se nacházejí místně. Data se nepřenesou přes veřejný internet. Služba používá připojení vrstvy 3, připojí hraniční směrovač a poskytuje dynamickou škálovatelnost. |
| Posouzení požadavků sítě VPN | Dokumentace ke službě VPN Gateway připojuje místní síť k Azure prostřednictvím připojení site-to-site, point-to-site, VNet-to-VNet a připojení VPN ve více lokalitách. Služba podporuje hybridní pracovní prostředí tím, že zajišťuje zabezpečený přenos dat. |