Журналы аудита и внедрение передовых методов HIPAA

Соответствие HIPAA требует контроля доступа, целостности информации, контроля аудита, аутентификации пользователя и безопасности передачи. Как и в случае с другими нормативными актами, необходимо использовать программное обеспечение, оборудование или другие методы, обеспечивающие мониторинг и сбор данных о действиях пользователей в информационных системах, содержащих или использующих электронную ЗМИ. Безопасность и целостность электронной PHI должны быть защищены от любого несанкционированного доступа, изменения и удаления.

«В соответствии с требованиями Конгресса HIPAA, Правило конфиденциальности распространяется на:

• Планы медицинского страхования

• Информационные центры здравоохранения

• Поставщики медицинских услуг, которые проводят определенные финансовые и административные операции в электронном виде. Эти электронные транзакции - это те, стандарты для которых были приняты Секретарем в соответствии с HIPAA, такие как электронные счета и переводы средств ».

Чтобы соответствовать требованиям HIPAA, организация должна постоянно проверять и сообщать обо всех попытках доступа и событиях, связанных с базами данных и объектами, которые содержат конфиденциальные записи PHI. В зависимости от структуры организаций медицинского учреждения надзорные органы периодически проводят проверку соответствия HIPAA, чтобы гарантировать эффективность. Частота проверки зависит от последнего отчета о проверке и реже в случае предыдущего или постоянного положительного соответствия HIPAA. Требования закона HIPAA не касаются строго методов обеспечения безопасности баз данных и ИТ. Однако в соответствии с нормативными требованиями по обеспечению целостности, конфиденциальности, конфиденциальности и доступности информации о здоровье пациента следующие шаги обеспечивают соблюдение HIPAA:

• Определите и задокументируйте необходимые разрешения для каждого сотрудника медицинского учреждения.

• Периодически проверяйте конфигурации разрешений для объектов базы данных и изменяйте права доступа, чтобы поддерживать целостность, конфиденциальность и точность записей PHI.

• Провести аудит системы, которая хранит и обеспечивает использование записей PHI.

• Анализировать информацию аудита, которая периодически показывает события, связанные с записями PHI, и принимать меры при необходимости.

Для соблюдения требований HIPAA рекомендуются следующие общие действия:

• Среда SQL Server, которая постоянно защищена и контролируется. Обеспечьте безопасность системы SQL Server с помощью непрерывного аудита системных событий, будь то внутренние или внешние события. Обеспечьте это, применяя строгие правила, которые не могут изменить неуполномоченные стороны. Примените правила ко всем объектам SQL Server, связанным с конфиденциальными данными PHI (учетные записи, базы данных, пользователи, таблицы и т. Д.)

После того, как правила установлены, проверяйте и периодически анализируйте все события, связанные с безопасностью - особенно обратите внимание на изменения разрешений для объектов SQL Server и доступ к базам данных / таблицам с записями PHI.

• Каким бы ни был источник пользователя (внутренний или внешний), его / ее действия должны отслеживаться и документироваться в соответствующих отчетах аудита, когда они связаны с изменениями прав доступа к базе данных / таблицам. Действия административного персонала также должны быть задокументированы - не должно быть разницы между обычными пользователями и администраторами, когда дело касается аудита.

• Используйте безопасное и официально проверенное оборудование и программное обеспечение. Обратите внимание на общие упущения в конфигурации безопасности, такие как логины и пароли по умолчанию, которые часто используются злоумышленниками при попытках атак.

Измените все параметры безопасности, предоставляемые системой по умолчанию на SQL Server. По возможности не используйте смешанный режим (включает аутентификацию как Windows, так и SQL Server), переключитесь только на аутентификацию Windows. При использовании для доступа к SQL Server проверка подлинности Windows обеспечивает политику паролей Windows - проверку истории паролей, а также длины и срока службы пароля. Наиболее важной особенностью политики паролей Windows является блокировка входа в систему - она ​​блокируется для дальнейшего использования после ряда последовательных неудачных попыток входа в систему.

• Любые изменения или подделка собранной аудиторской информации должны быть очевидны, независимо от того, было ли это сделано внешней или внутренней стороной. Мониторинг попыток взлома необходим с точки зрения соблюдения нормативных требований, предотвращения вторжений и расследования потенциальных нарушений безопасности.