Одитни пътеки и прилагане на най-добрите практики на HIPAA [затворено]

Съответствието с HIPAA изисква контрол на достъпа, цялост на информацията, одитен контрол, удостоверяване на потребителя и сигурност на предаването. Подобно на други разпоредби за съответствие, необходимо е да се използва софтуер, хардуер или други методи, които осигуряват наблюдение и улавяне на потребителски дейности в информационни системи, които съдържат или използват електронни PHI. Сигурността и целостта на електронните PHI трябва да бъдат гарантирани срещу всякакъв неоторизиран достъп, модификация и изтриване

„Както се изисква от Конгреса в HIPAA, правилото за поверителност обхваща:

• Здравни планове

• Клирингови къщи за здравеопазване

• Доставчици на здравни услуги, които извършват определени финансови и административни транзакции по електронен път. Тези електронни транзакции са тези, за които са приети стандарти от секретаря съгласно HIPAA, като електронно фактуриране и парични преводи."

За да може да изпълни изискванията на HIPAA, субектът трябва постоянно да одитира и докладва всички опити за достъп и събития, свързани с базите данни и обектите, които съдържат чувствителни PHI записи. В зависимост от структурата на субектите на здравната институция надзорните органи периодично извършват проверка на съответствието с HIPAA, за да гарантират, че ефективност. Честотата на проверката зависи от последния доклад за проверка и е по-рядка в случай на предишно или постоянно положително съответствие с HIPAA. Изискванията на закона HIPAA не се отнасят стриктно към методите за база данни и ИТ сигурност. Въпреки това, съгласно изискванията на регламента за осигуряване на цялостност, поверителност, поверителност и наличност на информация за здравето на пациента, следните стъпки осигуряват съответствие с HIPAA:

• Дефиниране и документиране на необходимите разрешения за всеки служител на здравно заведение

• Периодично преглеждайте конфигурациите на разрешения за обекти на база данни и променяйте правата за достъп, за да поддържате целостта, поверителността и точността на PHI записите

• Одитирайте системата, която съхранява и предоставя използването на PHI записите

• Периодично анализирайте информацията от одита, която показва събития, свързани с PHI записите, и предприемайте действия, когато е необходимо

Препоръчват се следните общи действия, за да се спазят разпоредбите на HIPAA:

• Среда на SQL Server, която е защитена и контролирана постоянно. Осигурете сигурност на системата на SQL Server с непрекъснат одит на системни събития, независимо дали събитията са вътрешни или външни. Осигурете това, като наложите строги правила, които не могат да се променят от неоторизирани лица. Приложете правилата към всички обекти на SQL Server, свързани с поверителни PHI данни (влизания, бази данни, потребители, таблици и т.н.)

След като правилата са зададени, проверявайте и периодично анализирайте всички събития, свързани със сигурността - особено обърнете внимание на промените в разрешенията на обектите на SQL Server и достъпа до бази данни/таблици с PHI записи

• Какъвто и да е произходът на потребителя (вътрешен или външен), неговите/нейните действия трябва да бъдат наблюдавани и документирани в подходящи отчети за одит, когато са свързани с промени в разрешенията за достъп до база данни/таблица. Действията на административния персонал също трябва да бъдат документирани – не трябва да има разлика между обикновените потребители и администраторите, когато става въпрос за одит

• Използвайте защитен и официално проверен хардуер и софтуер. Обърнете внимание на често срещаните пропуски в конфигурацията на сигурността, като влизане и пароли по подразбиране, които често се използват от нарушители при опити за атака

Променете всички системни параметри за сигурност на SQL Server по подразбиране. Ако е възможно, не използвайте смесен режим (разрешава удостоверяване както на Windows, така и на SQL Server), превключете само на удостоверяване на Windows. Когато се използва за достъп до SQL Server, удостоверяването на Windows гарантира правилата за пароли на Windows - проверка на хронологията на паролите, както и дължината и продължителността на живота на паролата. Най-важната характеристика на правилата за парола на Windows е блокирането на влизане – то се заключва за по-нататъшна употреба след няколко последователни неуспешни опита за влизане

• Всички промени или манипулиране на уловената одиторска информация трябва да бъдат очевидни, независимо дали са направени от външна или вътрешна страна. Необходим е мониторинг на опитите за подправяне по отношение на разпоредбите за съответствие, предотвратяване на проникване и разследвания на потенциални нарушения на сигурността