Další pokyny k ochraně
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních předpisů HIPAA (Health Insurance Portability and Accountability Act of 1996). Aby byly společnosti v souladu s předpisy HIPAA, je jejich odpovědností implementovat ochranná opatření při využití tohoto vedení spolu s dalšími konfiguracemi nebo procesy, které jsou potřeba. Tento článek obsahuje pokyny pro dosažení dodržování předpisů HIPAA pro následující tři ovládací prvky:
- Ochrana integrity
- Ochrana ověřování osob nebo entit
- Bezpečnostní ochrana přenosu
Pokyny k ochraně integrity
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Pro Ochrana proti úpravám dat :
Chraňte soubory a e-maily na všech zařízeních.
Zjišťování a klasifikace citlivých dat
Zašifrujte dokumenty a e-maily, které obsahují citlivá nebo osobní data.
Následující obsah obsahuje pokyny k HIPAA následované tabulkou s doporučeními a pokyny Microsoftu.
HIPAA – integrita
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Doporučení | Akce |
|---|---|
| Povolení služby Microsoft Purview Information Protection (IP) | Objevte, klasifikujte, chraňte a spravujte citlivá data, zahrnující data v úložištích i přenášená data. Ochrana vašich dat prostřednictvím služby Microsoft Purview IP pomáhá určit datové prostředí, zkontrolovat rámec a provádět aktivní kroky k identifikaci a ochraně vašich dat. |
| Konfigurace místního blokování Exchange | Exchange Online poskytuje několik nastavení pro podporu eDiscovery.
Blokování na místě používá specifické parametry pro určení, které položky by měly být blokovány. Rozhodovací matice může být založená na klíčových slovech, odesílatelích, účtech a datech. řešení Microsoft Purview eDiscovery je součástí portálu microsoft Purview pro dodržování předpisů a pokrývá všechny zdroje dat Microsoftu 365. |
| Konfigurace rozšíření Zabezpečená/Multipurpose Internet Mail v Exchangi Online |
S/MIME je protokol, který se používá k odesílání digitálně podepsaných a šifrovaných zpráv. Je založen na asymetrickém párování klíčů, veřejném a privátním klíči. Exchange Online poskytuje šifrování a ochranu obsahu e-mailu a podpisů, které ověřují identitu odesílatele. |
| Povolte monitorování a protokolování. |
protokolování a monitorování jsou nezbytné pro zabezpečení prostředí. Informace slouží k podpoře vyšetřování a k detekci potenciálních hrozeb identifikací neobvyklých vzorů. Povolte protokolování a monitorování služeb, abyste snížili riziko neoprávněného přístupu. auditování Microsoft Purview poskytuje přehled o auditovaných aktivitách napříč službami v Microsoftu 365. Pomáhá prošetření zvýšením uchovávání protokolů auditu. |
Pokyny pro zajištění bezpečnosti při ověřování osob a entit
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Pro audit a ochranu osob a entit:
Ujistěte se, že deklarace identity koncového uživatele je platná pro přístup k datům.
Identifikujte a zmírníte všechna rizika pro uložená data.
Následující obsah obsahuje pokyny k HIPAA následované tabulkou s doporučeními a pokyny Microsoftu.
HIPAA – ověřování osob nebo entit
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Ujistěte se, že jsou autorizovaní uživatelé a zařízení, která přistupují k datům ePHI. Musíte zajistit, aby zařízení dodržovala předpisy a akce byly auditovány tak, aby označovaly rizika vlastníkům dat.
| Doporučení | Akce |
|---|---|
| Povolení vícefaktorového ověřování | vícefaktorové ověřování Microsoft Entra chrání identity přidáním další vrstvy zabezpečení. Další vrstva poskytuje efektivní způsob, jak zabránit neoprávněnému přístupu. Vícefaktorové ověřování umožňuje během procesu ověřování požadavek na více ověření přihlašovacích údajů. Nastavení aplikace Authenticator poskytuje ověřování jedním kliknutím, nebo můžete nakonfigurovat bezheslovou konfiguraci Microsoft Entra. |
| Povolení zásad podmíněného přístupu | zásady podmíněného přístupu pomáhají omezit přístup jenom na schválené aplikace. Microsoft Entra analyzuje signály z uživatele, zařízení nebo místa, kde automatizuje rozhodnutí a vynucuje zásady organizace pro přístup k prostředkům a datům. |
| Nastavení zásad podmíněného přístupu na základě zařízení | Podmíněný přístup s Microsoft Intune pro správu zařízení a zásady Microsoft Entra můžou pomocí stavu zařízení buď udělit, nebo zamítnout přístup ke službám a datům. Nasazením zásad dodržování předpisů zařízením určí, jestli splňuje požadavky na zabezpečení, aby se rozhodl buď povolit přístup k prostředkům, nebo je odepřít. |
| Použití řízení přístupu na základě role (RBAC) |
RBAC v Microsoft Entra ID poskytuje zabezpečení na podnikové úrovni s oddělením povinností. Upravte a zkontrolujte oprávnění k ochraně důvěrnosti, ochrany osobních údajů a správy přístupu k prostředkům a citlivým datům pomocí systémů. Microsoft Entra ID poskytuje podporu pro předdefinované role, což je pevná sada oprávnění, která nelze upravit. Můžete také vytvořit vlastní role, do kterých můžete přidat přednastavený seznam. |
Pokyny k zajištění zabezpečení přenosu
Microsoft Entra ID splňuje požadavky na postupy související s identitou pro implementaci bezpečnostních opatření HIPAA. Pokud chcete dodržovat předpisy HIPAA, implementujte bezpečnostní opatření pomocí těchto pokynů spolu s dalšími potřebnými konfiguracemi nebo procesy.
Šifrování:
Ochrana důvěrnosti dat
Zabránit krádeži dat
Znemožnit neoprávněný přístup k PHI.
Zajistěte úroveň šifrování dat.
Ochrana přenosu dat PHI:
Ochrana sdílení dat PHI
Chraňte přístup k datům PHI.
Ujistěte se, že jsou přenášená data šifrovaná.
Následující obsah obsahuje seznam pokynů k ochraně zabezpečení auditu a přenosů z pokynů HIPAA a doporučení společnosti Microsoft, které vám umožní splnit požadavky na implementaci ochrany pomocí Microsoft Entra ID.
HIPAA – šifrování
Implement a mechanism to encrypt and decrypt electronic protected health information.
Ujistěte se, že jsou data ePHI šifrovaná a dešifrovaná pomocí kompatibilního šifrovacího klíče nebo procesu.
| Doporučení | Akce |
|---|---|
| Kontrola šifrovacích bodů Microsoftu 365 |
Šifrování pomocí Microsoft Purview v Microsoftu 365 je vysoce zabezpečené prostředí, které nabízí rozsáhlou ochranu ve více vrstvách: fyzické datové centrum, zabezpečení, síť, přístup, aplikace a zabezpečení dat.
zkontrolujte seznam šifrování a v případě potřeby prověďte změny pro lepší kontrolu. |
| Kontrola šifrování databáze |
Transparentní šifrování dat přidá vrstvu zabezpečení, která pomáhá chránit data v klidu před neoprávněným nebo offline přístupem. Šifruje databázi pomocí šifrování AES. dynamické maskování dat pro citlivá data, což omezuje vystavení citlivých dat. Data maskuje před neoprávněnými uživateli. Maskování obsahuje určená pole, která definujete v názvu schématu databáze, názvu tabulky a názvu sloupce. Nové databáze jsou ve výchozím nastavení šifrované a šifrovací klíč databáze je chráněn integrovaným certifikátem serveru. Doporučujeme zkontrolovat databáze, abyste měli jistotu, že je šifrování nastaveno na datové platformě. |
| Kontrola bodů služby Azure Encryption | Funkce šifrování Azure pokrývá hlavní oblasti jako uložená data v klidu, šifrovací modely a správa klíčů pomocí služby Azure Key Vault. Projděte si různé úrovně šifrování a jejich shodu se scénáři ve vaší organizaci. |
| Vyhodnocení zásad správného řízení shromažďování a uchovávání dat |
Microsoft Purview Správa životního cyklu dat umožňuje použít zásady uchovávání informací.
Microsoft Purview Records Management umožňuje používat retenční štítky. Tato strategie vám pomůže získat viditelnost nad prostředky napříč celou datovou infrastrukturou. Tato strategie také pomáhá chránit a spravovat citlivá data napříč cloudy, aplikacemi a koncovými body. Důležité: Jak je uvedeno v 45 CFR 164.316: Časový limit (povinné). Zachovejte dokumentaci požadovanou odstavcem (b)(1) tohoto oddílu po dobu šesti let od data vytvoření nebo data, kdy byla naposledy platná, podle toho, co nastane později. |
HIPAA – ochrana přenosu dat PHI
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Vytvořte zásady a postupy pro ochranu výměny dat, která obsahují data PHI.
| Doporučení | Akce |
|---|---|
| Posouzení stavu místních aplikací |
proxy aplikací Microsoft Entra implementace externě a bezpečně publikuje místní webové aplikace. proxy aplikace Microsoft Entra umožňuje bezpečně publikovat externí koncový bod adresy URL do Azure. |
| Povolení vícefaktorového ověřování | vícefaktorové ověřování Microsoft Entra chrání identity přidáním vrstvy zabezpečení. Přidání dalších vrstev zabezpečení je efektivní způsob, jak zabránit neoprávněnému přístupu. Vícefaktorové ověřování umožňuje během procesu ověřování požadavek na více ověření přihlašovacích údajů. Aplikaci Authenticator můžete nakonfigurovat tak, aby poskytovala ověřování jedním kliknutím nebo bez hesla. |
| Povolení zásad podmíněného přístupu pro přístup k aplikacím | zásady podmíněného přístupu pomáhají omezit přístup ke schváleným aplikacím. Microsoft Entra analyzuje signály z uživatele, zařízení nebo místa, kde automatizuje rozhodnutí a vynucuje zásady organizace pro přístup k prostředkům a datům. |
| Kontrola zásad Exchange Online Protection (EOP) |
Ochrana proti spamu a malwarem v Exchange Online poskytuje integrované filtrování malwaru a spamu. EOP chrání příchozí a odchozí zprávy a je ve výchozím nastavení povolená. Služby EOP také poskytují ochranu proti spoofingu, karanténu zpráv a možnost nahlásit zprávy v Outlooku.
Zásady je možné přizpůsobit tak, aby vyhovovaly nastavením pro celou společnost, mají přednost před výchozími zásadami. |
| Konfigurujte popisky citlivosti |
popisky citlivosti z Microsoft Purview umožňují klasifikovat a chránit data vaší organizace. Štítky poskytují nastavení ochrany v dokumentaci pro kontejnery. Nástroj například chrání dokumenty, které jsou uložené na webech Microsoft Teams a SharePointu, a nastavuje a vynucuje nastavení ochrany osobních údajů. Rozšiřte popisky na soubory a datové zdroje, jako jsou SQL, Azure SQL, Azure Synapse, Azure Cosmos DB a AWS RDS.
Nad rámec 200 předdefinovaných typů citlivých informací jsou k dispozici pokročilé klasifikátory, jako jsou názvové entity, vytrénovatelné klasifikátory a EDM pro ochranu vlastních citlivých typů. |
| Posouzení, jestli je pro připojení ke službám potřeba privátní připojení |
Azure ExpressRoute vytváří privátní připojení mezi cloudovými datacentry Azure a infrastrukturou, která se nacházejí místně. Data se nepřenesou přes veřejný internet.
Služba používá připojení vrstvy 3, připojuje hraniční směrovač a poskytuje dynamickou škálovatelnost. |
| Posouzení požadavků sítě VPN |
dokumentace k VPN Gateway umožňuje připojit místní síť k Azure prostřednictvím připojení site-to-site, point-to-site, VNet-to-VNet a připojení VPN ve více lokalitách. Služba podporuje hybridní pracovní prostředí tím, že zajišťuje zabezpečený přenos dat. |
Víc se uč
Pilíř nulové důvěry : Data
pilíř nulové důvěryhodnosti: identita, sítě, infrastruktura, data, aplikace