Qualcuno può spiegare brevemente la conformità HIPAA?

Naviga le tue risposte
0

Ho lavorato nel web hosting per diversi anni, in particolare per la sicurezza. Ho familiarità con la conformità PCI e direi che la "breve e dolce" guida alla PCI per un negozio di e-commerce è la seguente:

  1. Il cliente va in banca e ottiene un account commerciante.
  2. Il commerciante dice al cliente di utilizzare un "fornitore di scansione autorizzato" (ASV) casuale (cioè TrustWave) per eseguire la scansione del server e del sito.
  3. L'ASV esegue una scansione automatica che trova una serie di "vulns" casuali come vecchie versioni del software o la possibilità di elencare le directory. I migliori esplorano effettivamente il sito per XSS e altri web vulns.
  4. Il client mi invia un PDF che descrive tutti i vulns.
  5. blocco il server e l'amp; segnala tutti i backport.
  6. L'ASV esegue di nuovo lo scanner e firma su di esso.
  7. UTILE!

Il modo in cui vedo il PCI è un tipo di cosa "Cover Your Ass". Un ASV autorizzato ha il diritto di dire che il sito è "sicuro", in tal modo deviando alcune responsabilità dal cliente.

Detto questo, come funziona la conformità HIPPA? Diciamo che il dottore Joe è venuto da me e ha detto "Rendi il mio ufficio conforme all'HIPPA". Conosco la sicurezza ma dove dovrei iniziare dal senso giuridico? Esistono organizzazioni HIPPA "autorizzate" che eseguono scansioni e firmano che l'organizzazione è sicura? Esistono regole hard coded (vale a dire che le password devono scadere PRIMA di n giorni)? Potrei persino aiutare Joe a uscire o devo essere certificato in qualche modo?

Si prega di spiegare brevemente la conformità HIPPA in senso pratico.

Non sto facendo nulla per un cliente, sono solo curioso dato che questo argomento è molto ambiguo e non ho esperienza in esso.

    
posta hippa-hippo 12.10.2013 - 03:50
fonte

1 risposta

2

La conformità HIPAA è un po 'più complicata. Esistono standard minimi di sicurezza per quanto riguarda la configurazione nei domini di rete, di sistemi e di sicurezza fisica che devono essere soddisfatti prima che l'organizzazione possa essere certificata "conforme HIPAA". Ci sono troppe cose da elencare qui, ma per darti un'idea, ecco alcuni elementi pubblicitari.

Sul lato rete, tali standard minimi di sicurezza includono:

  • Separa VLAN per cartelle cliniche / traffico di dispositivi medici
  • Elenchi di controllo degli accessi con negazione predefinita, limitando l'accesso alla VLAN medica
  • Norme di accesso con rifiuto predefinito (agli utenti deve essere concesso un accesso esplicito)

Dal lato dei sistemi:

  • Le workstation bloccano automaticamente i loro schermi dopo X minuti (solitamente < 15)
  • Gli utenti sono tenuti a cambiare le password ogni X giorni (in genere 90)
  • Autorizzazioni granulari per le condivisioni di rete, con default-nega

Sul lato fisico:

  • L'accesso fisico alle aree di manutenzione della rete / dei sistemi deve essere garantito tramite lock & tasto al minimo, preferito a due fattori
  • Le telecamere di sicurezza devono monitorare gli ingressi degli edifici e le sale server / di rete

Sul lato amministrativo:

  • Le credenziali dipendenti cessate devono essere revocate nello stesso giorno
  • I controlli sui dipendenti devono essere condotti da un'agenzia controllata

... e l'elenco va avanti e avanti. Questa è solo la punta dell'iceberg.

In generale, i requisiti di sicurezza della rete / sistema seguono le guide NIST SCAP: elenchi di controllo di sicurezza delle "migliori pratiche", che possono essere trovati qui :

NOTA: Ampie parti di questi siti Web non sono disponibili durante lo spegnimento del governo.

MODIFICA per aggiungere:

In senso giuridico, dovrai assicurarti di seguire tutte le linee guida. Questa è la "due diligence" per la conformità HIPAA. Vedi qui

Notare che se il Dipartimento della salute & Human Services ti controlla e trova i problemi di conformità della sicurezza, la tua organizzazione potrebbe trovarsi dalla parte sbagliata di più di un ente normativo.

EDIT 2: Si noti inoltre che la "certificazione" di una terza parte non assolve l'entità aziendale da qualsiasi responsabilità relativa alla conformità HIPAA.

    
risposta data 12.10.2013 - 08:15
fonte

Leggi altre domande sui tag

Come scegliere e adottare il modello di sicurezza delle informazioni [chiuso] Domanda SSL / TLS [chiusa]