"Se la crittografia non è stata implementata, è stata implementata un'alternativa comparabile" [chiusa]

0

Che cosa costituisce un'alternativa comparabile alla crittografia? So che i custodi delle password e altri servizi non sono paragonabili e non sono considerati crittografia.

Se il contesto è solo accesso autorizzato, lo smontaggio delle unità offline in una posizione bloccata può essere considerato come un'alternativa comparabile, ad esempio.

Questo è nel contesto di HIPAA / URAC. Archiviazione dei dati, informazioni sugli utenti e informazioni sui tipi sensibili. Niente in termini di reti o comunicazioni sul traffico.

    
posta Jason 25.08.2015 - 18:51
fonte

1 risposta

1

di responsabilità; Non lavoro HIPAA da più di un decennio e la realtà può variare dalla storia. Accolgo con favore commenti e risposte alternative da parte di qualcuno che attualmente lavora nello spazio.

Le specifiche di crittografia di HIPAA sono " indirizzabile ", che è quello Diciamo, non sono "richiesti". Puoi scegliere di fare qualcos'altro finché documenti per iscritto che ritieni che la tua alternativa sia una "misura di sicurezza ragionevole e appropriata":

In meeting standards that contain addressable implementation specifications, a covered entity will do one of the following for each addressable specification:

(a) implement the addressable implementation specifications;

(b) implement one or more alternative security measures to accomplish the same purpose;

(c) not implement either an addressable implementation specification or an alternative.

The covered entity’s choice must be documented. The covered entity must decide whether a given addressable implementation specification is a reasonable and appropriate security measure to apply within its particular security framework.

Quindi, puoi scegliere di implementare la crittografia, o di bloccare le unità in un cassetto, o di non fare nulla - purché tu dimostri che è una "misura di sicurezza ragionevole e appropriata".

Ora, in realtà, vorrai implementare soluzioni che i tuoi revisori concordino siano ragionevoli e appropriate, oppure va sul rapporto come una lacuna. Il tuo management vorrebbe che non ci fossero lacune su eventuali audit, o se la loro suscettibilità alle multe salisse. E quando succede qualcosa di brutto, quei documenti che accettano il rischio di farlo diventano ancora più importanti.

Quindi la risposta migliore che posso darti è di ottenere un revisore affidabile per esaminare e approvare qualsiasi alternativa tu consideri. HIPAA è noto per essere difficile da implementare per questo motivo.

    
risposta data 25.08.2015 - 21:10
fonte

Leggi altre domande sui tag