Sondages de vérification et mise en œuvre des meilleures pratiques HIPAA

Question

Existe-t-il des meilleures pratiques pour la mise en œuvre de piste d'audit pour HIPPA à partir de la conception de base de données.

Answer 1

La conformité HIPAA nécessite le contrôle d'accès, l'intégrité de l'information, le contrôle d'audit, l'authentification de l'utilisateur et la sécurité de la transmission. De même que pour les autres réglementations de conformité, il est nécessaire d'utiliser des logiciels, du matériel ou d'autres méthodes permettant de surveiller et de capturer les activités des utilisateurs dans des systèmes d'information contenant ou utilisant un PHI électronique. La sécurité et l'intégrité des PHI électronique doit être assurée contre tout accès non autorisé, la modification et la suppression

« Comme l'exige le Congrès en HIPAA, la règle de confidentialité couvre:

• Les plans de la santé

• Soins de santé chambres de compensation

• Les fournisseurs de soins de santé qui effectuent certaines transactions financières et administratives par voie électronique. Ces transactions électroniques sont celles pour lesquelles le Secrétaire a adopté les normes HIPAA, telles que la facturation électronique et les transferts de fonds. "

Pour pouvoir répondre aux exigences HIPAA, l'entité doit constamment auditer et rapporter toutes les tentatives d'accès et tous les événements. liés aux bases de données et aux objets contenant des enregistrements PHI sensibles En fonction de la structure des entités de l'établissement de santé, les superviseurs vérifient périodiquement la conformité HIPAA pour garantir son efficacité La fréquence de vérification dépend du dernier rapport de vérification, moins fréquente en cas de ou conformité HIPAA positive constante Les exigences de la loi HIPAA ne traitent pas strictement des méthodes de sécurité de la base de données et de la TI, mais conformément aux exigences de la caractère confidentiel, la confidentialité et la disponibilité des renseignements sur la santé des patients, les étapes suivantes fournissent la conformité HIPAA:

• Définir et documenter les autorisations requises pour chaque employé de l'établissement de santé

• configurations Périodiquement d'autorisation d'examen sur les objets de base de données et modifier l'accès droits afin de maintenir l'intégrité, la confidentialité et l'exactitude des RPS enregistre

• audit du système qui maintient et permet d'utiliser les enregistrements PHI

• Analyser les informations d'audit qui montrent des événements relat ed au PHI enregistre périodiquement, et prendre des mesures en cas de besoin

Les actions générales suivantes sont recommandées afin de se conformer à la réglementation HIPAA:

• Un environnement SQL Server qui est sécurisé et contrôlé en permanence. Fournissez la sécurité du système SQL Server avec un audit continu des événements système, que les événements soient internes ou externes. Assurez-vous en appliquant des règles strictes inchangeables par des parties non autorisées. Appliquez les règles à tous les objets SQL Server liés aux données PHI confidentielles (connexions, bases de données, utilisateurs, tables, etc.)

Une fois les règles définies, auditez et analysez périodiquement tous les événements liés à la sécurité, en particulier la permission. modifications sur les objets SQL Server et accès aux bases de données/tables avec enregistrements PHI

• Quelle que soit l'origine de l'utilisateur (interne ou externe), ses actions doivent être surveillées et documentées dans des rapports d'audit appropriés en rapport avec la base de données/changements d'autorisation d'accès à la table.Les actions du personnel administratif doivent également être documentées - il ne doit y avoir aucune différence entre les utilisateurs réguliers et les administrateurs en matière d'audit.

• Utilisez du matériel et des logiciels sécurisés et officiellement vérifiés. Prêtez attention aux omissions de configuration de sécurité courantes, telles que les connexions et mots de passe par défaut, souvent utilisées par les intrus dans les tentatives d'attaque.

Modifiez tous les paramètres de sécurité fournis par défaut par le système sur SQL Server. Si possible, n'utilisez pas le mode mixte (autorise l'authentification Windows et SQL Server), passez à l'authentification Windows uniquement. Lorsqu'elle est utilisée pour accéder à SQL Server, l'authentification Windows garantit la stratégie de mot de passe Windows - en vérifiant l'historique du mot de passe, la longueur du mot de passe et la durée de vie. La caractéristique la plus importante de la politique de mot de passe Windows est le verrouillage de connexion - il est verrouillé pour une utilisation ultérieure après un certain nombre de tentatives de connexion consécutives échouées

• Toute modification ou altération des informations d'audit capturées doit être évidente, que ce soit par une fête externe ou interne.