Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De richtlijnen van dit artikel helpen u bij het navigeren in details en bieden aanbevelingen voor services en functies in Microsoft Entra ID ter ondersteuning van afstemming met HITRUST-besturingselementen. Gebruik de informatie om inzicht te krijgen in het HITRUST-framework (Health Information Trust Alliance) en uw verantwoordelijkheid te ondersteunen om ervoor te zorgen dat uw organisatie voldoet aan de Health Insurance Portability and Accountability Act van 1996 (HIPAA). Evaluaties omvatten het werken met gecertificeerde HITRUST-beoordelaars die kennis hebben over het framework en die u moeten helpen bij het doorlopen van het proces en het begrijpen van de vereisten.
Acroniemen
De volgende tabel bevat de acroniemen en de spelling in dit artikel.
| Acroniem | Spelling |
|---|---|
| Na Christus | Gedekte entiteit |
| CB | Algemeen Beveiligingsraamwerk |
| HIPAA | Wet op de overdraagbaarheid en verantwoordelijkheid van ziektekostenverzekeringen van 1996 |
| HSR | HIPAA-beveiligingsregel |
| HITRUST | Health Information Trust Alliance (Gezondheidsinformatie Vertrouwens Alliantie) |
| IAM | Identiteits- en toegangsbeheer |
| Idp | Identiteitsdienstverlener |
| ISO | Internationale organisatie voor standaardisatie |
| ISMS | Informatiebeveiligingsbeheersysteem |
| JEA | Net genoeg toegang |
| JML | Deelnemen, verplaatsen, verlaten |
| MFA (Multi-Factor Authenticatie) | Meervoudige verificatie van Microsoft Entra |
| NIST | National Institute of Standards and Technology, US Dept. of Commerce |
| PHI | Beveiligde gezondheidsinformatie |
| PIM | Beheer van Bevoorrechte Identiteiten |
| Single Sign-On (Eenmalige Aanmelding) | Eenmalige aanmelding |
| KRAAN | Tijdelijke toegangspas |
Health Information Trust Alliance (Gezondheidsinformatie Vertrouwens Alliantie)
De HITRUST-organisatie heeft het Common Security Framework (CSF) opgericht om de beveiligings- en privacyvereisten voor organisaties in de gezondheidszorg te standaardiseren en te stroomlijnen. HITRUST CSF is opgericht in 2007 om tegemoet te komen aan de complexe regelgevingsomgeving, beveiligingsuitdagingen en privacyproblemen waarmee organisaties te maken krijgen bij het verwerken van persoonlijke gegevens en beschermde gezondheidsgegevens (PHI). Het CSP bestaat uit 14 controlecategorieën met 49 controledoelstellingen en 156 controlespecifieke kenmerken. Het werd gebouwd op de primaire principes van International Organization for Standardization (ISO) 27001 en ISO 27002.
Het hulpprogramma HITRUST MyCSF is beschikbaar in Azure Marketplace. Gebruik het om informatiebeveiligingsrisico's, gegevensbeheer te beheren, om te voldoen aan voorschriften voor gegevensbescherming, en om ook te voldoen aan nationale en internationale normen en best practices.
Opmerking
ISO 27001 is een beheerstandaard die de vereisten voor een INFORMATION Security Management System (ISMS) aangeeft. ISO 27002 is een set aanbevolen procedures voor het selecteren en implementeren van beveiligingscontroles in het ISO 27001-framework.
HIPAA-beveiligingsregel
De HIPAA-beveiligingsregel (HSR) stelt standaarden vast om de elektronische persoonlijke gezondheidsgegevens van een persoon te beschermen die zijn gemaakt, ontvangen, gebruikt of onderhouden door een gedekte entiteit (CE), een gezondheidsplan, een zorgverruimingsinstelling of gezondheidszorgprovider. Het U.S. Department of Health and Human Services (HHS) beheert de HSR. HHS vereist administratieve, fysieke en technische waarborgen om de vertrouwelijkheid, integriteit en beveiliging van elektronische PHI te waarborgen.
HITRUST en HIPAA
HITRUST ontwikkelde het CSF, dat beveiligings- en privacystandaarden omvat ter ondersteuning van gezondheidszorgvoorschriften. CsF-controles en best practices vereenvoudigen de taak van het consolideren van bronnen om naleving van federale wetgeving, HIPAA-beveiliging en privacyregels te garanderen. HITRUST CSF is een certificeerbaar beveiligings- en privacyframework met controles en vereisten om hipAA-naleving te demonstreren. Gezondheidszorgorganisaties hebben het framework breed toegepast. Gebruik de volgende tabel voor meer informatie over besturingselementen.
| Controlecategorie | Categorie-naam van besturingselement |
|---|---|
| 0 | Informatiebeveiligingsbeheerprogramma |
| 1 | Toegangsbeheer |
| 2 | Beveiliging van Personeelszaken |
| 3 | Risicobeheer |
| 4 | Beveiligingsbeleid |
| 5 | Organisatie van informatiebeveiliging |
| 6 | Voldoening aan regelgeving |
| 7 | Assetbeheer |
| 8 | Fysieke en omgevingsbeveiliging |
| 9 | Communicatie en Operations Management |
| 10 | Overname, ontwikkeling en onderhoud van informatiesystemen |
| 11 | Informatiebeveiligingsincidentbeheer |
| 12 | Bedrijfscontinuïteitsbeheer |
| 13 | Privacybeleid |
Meer informatie over het Microsoft Azure-platform is HITRUST CSF gecertificeerd, waaronder identiteits- en toegangsbeheer:
- Microsoft Entra-id, voorheen bekend als Azure Active Directory
- Rights Management met Microsoft Purview
- Meervoudige verificatie van Microsoft Entra (MFA)
Categorieën en aanbevelingen voor toegangsbeheer
De volgende tabel bevat de categorie toegangsbeheer voor identiteits- en toegangsbeheer (IAM) en Microsoft Entra-aanbevelingen om te voldoen aan de vereisten voor de controlecategorie. Details zijn afkomstig van de HITRUST MyCSF v11, die verwijst naar de HIPAA-beveiligingsregel, toegevoegd aan het bijbehorende besturingselement.
| HITRUST-controle, -doelstelling en HSR | Richtlijnen en aanbevelingen voor Microsoft Entra |
|---|---|
|
CSF Control V11 01.b Gebruikersregistratie Categorie besturingselement Toegangsbeheer : gebruikersregistratie en De-Registration Besturingselementspecificatie De organisatie maakt gebruik van een formeel gebruikersregistratie- en deregistratieproces om de toewijzing van toegangsrechten in te schakelen. Naam van doelstelling Geautoriseerde toegang tot informatiesystemen HIPAA-beveiligingsregel § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(3)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.308(a)(4)(ii)(B) § 164.308(a)(5)(ii)(D) § 164.312(a)(2)(i) § 164.312(a)(2)(ii) § 164.312(d) |
Microsoft Entra ID is een identiteitsplatform voor verificatie, verificatie en referentiebeheer wanneer een identiteit zich aanmeldt bij het apparaat, de toepassing of de server. Het is een cloudservice voor identiteits- en toegangsbeheer met eenmalige aanmelding (SSO), MFA en voorwaardelijke toegang voor beveiliging tegen beveiligingsaanvallen. Verificatie zorgt ervoor dat alleen geautoriseerde identiteiten toegang krijgen tot resources en gegevens. Met levenscycluswerkstromen kan identiteitsbeheer de levenscyclus van joiner, mover, leaver (JML) automatiseren. Het centraliseert het werkstroomproces met behulp van de ingebouwde sjablonen of u maakt aangepaste werkstromen. Deze procedure helpt bij het verminderen of mogelijk verwijderen van handmatige taken voor organisatie-JML-strategievereisten. Ga in Azure Portal naar ID-beheer in het menu Microsoft Entra ID om taken voor uw organisatievereisten te controleren of te configureren. Microsoft Entra Connect integreert on-premises mappen met Microsoft Entra ID, waarbij het gebruik van één identiteit wordt ondersteund voor toegang tot on-premises toepassingen en cloudservices zoals Microsoft 365. Hiermee wordt synchronisatie tussen Active Directory (AD) en Microsoft Entra ID gecoördineerd. Raadpleeg de vereisten om aan de slag te gaan met Microsoft Entra Connect. Let op de serververeisten en hoe u uw Microsoft Entra-tenant voorbereidt voor beheer. Microsoft Entra Connect Sync is een inrichtingsagent die wordt beheerd in de cloud, die synchronisatie met Microsoft Entra ID ondersteunt vanuit een niet-verbonden AD-omgeving met meerdere forests. Gebruik de lichtgewicht agents met Microsoft Entra Connect. We raden aan wachtwoord-hashsynchronisatie te gebruiken om het aantal wachtwoorden te verminderen en te beschermen tegen detectie van gelekte referenties. |
|
CSF Control V11 01.c Rechtenbeheer Categorie besturingselement Toegangsbeheer - Geprivilegieerde accounts Besturingselementspecificatie De organisatie zorgt ervoor dat geautoriseerde gebruikersaccounts worden geregistreerd, bijgehouden en periodiek worden gevalideerd om onbevoegde toegang tot informatiesystemen te voorkomen Naam van doelstelling Geautoriseerde toegang tot informatiesystemen HIPAA-beveiligingsregel § 164.308(a)(1)(i) § 164.308(a)(1)(ii)(B) § 164.308(a)(2) § 164.308(a)(3)(ii)(B) § 164.308(a)(3)(ii)(A) § 164.308(a)(4)(i) § 164.308(a)(4)(ii)(B) § 164.308(a)(4)(ii)(C) § 164.310(a)(2)(ii) § 164.310(a)(1) § 164.310(a)(2)(iii) § 164.312(a)(1) |
Privileged Identity Management (PIM) is een service in Microsoft Entra ID voor het beheren, beheren en bewaken van de toegang tot belangrijke resources in een organisatie. Het minimaliseert het aantal personen met toegang tot beveiligde informatie om te voorkomen dat kwaadwillende actoren toegang krijgen. PIM heeft toegang op basis van tijd en goedkeuring, om de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen te beperken. Het helpt bij het identificeren en analyseren van bevoegde accounts om ervoor te zorgen dat u net genoeg toegang (JEA) biedt voor een gebruiker om zijn rol uit te voeren. Het bewaken en genereren van waarschuwingen voorkomt verdachte activiteiten, waarbij de gebruikers en rollen worden vermeld die de waarschuwing activeren, terwijl het risico op onbevoegde toegang wordt beperkt. Pas waarschuwingen aan voor uw beveiligingsstrategie van uw organisatie. Met toegangsbeoordelingen kunnen organisaties roltoewijzingen en groepslidmaatschap efficiënt beheren. Behoud beveiliging en naleving door te evalueren welke accounts toegang hebben en ervoor te zorgen dat de toegang zo nodig wordt ingetrokken, waardoor de risico's van overmatige of verouderde machtigingen worden geminimaliseerd. |
|
CSF Control V11 0.1d Gebruikerswachtwoordbeheer Categorie besturingselement Toegangsbeheer - Procedures Besturingselementspecificatie Om ervoor te zorgen dat geautoriseerde gebruikersaccounts zijn geregistreerd, bijgehouden en periodiek worden gevalideerd om onbevoegde toegang tot informatiesystemen te voorkomen. Naam van doelstelling Geautoriseerde toegang tot informatiesystemen HIPAA-beveiligingsregel §164.308(a)(5)(ii)(D) |
Wachtwoordbeheer is een essentieel aspect van de beveiligingsinfrastructuur. In overeenstemming met aanbevolen procedures voor het maken van een robuust beveiligingspostuur, helpt Microsoft Entra ID u bij een uitgebreide strategieondersteuning: SSO en MFA ook verificatie zonder wachtwoord, zoals FIDO2-beveiligingssleutels en Windows Hello voor Bedrijven (WHfB) beperken het gebruikersrisico en stroomlijnen de gebruikersverificatie-ervaring. Microsoft Entra Password Protection detecteert en blokkeert bekende zwakke wachtwoorden. Het bevat wachtwoordbeleid en heeft de flexibiliteit om een aangepaste wachtwoordenlijst te definiëren en een strategie voor wachtwoordbeheer te bouwen om het gebruik van wachtwoorden te beveiligen. HITRUST-wachtwoordlengte en -sterktevereisten zijn afgestemd op het National Institute of Standards and Technology NIST 800-63B, dat minimaal acht tekens voor een wachtwoord bevat, of 15 tekens voor accounts met de meest bevoegde toegang. Complexiteitsmetingen bevatten ten minste één cijfer en/of speciaal teken en ten minste één hoofdletter en kleine letter voor bevoegde accounts. |
|
CSF Control V11 01.p Veilige aanmeldingsprocedures Categorie besturingselement Toegangsbeheer – Aanmelding beveiligen Besturingselementspecificatie De organisatie beheert de toegang tot informatieassets met behulp van een veilige aanmeldingsprocedure. Naam van doelstelling Toegangsbeheer voor besturingssystemen HIPAA-beveiligingsregel § 164.308(a)(5)(i) § 164.308(a)(5)(ii)(C) § 164.308(a)(5)(ii)(D) |
Veilige aanmelding is het proces voor het veilig verifiëren van een identiteit wanneer ze toegang proberen te krijgen tot een systeem. Het besturingselement richt zich op het besturingssysteem, Microsoft Entra-services helpen de veilige aanmelding te versterken. Met beleid voor voorwaardelijke toegang kunnen organisaties de toegang tot goedgekeurde toepassingen, resources beperken en ervoor zorgen dat apparaten veilig zijn. Microsoft Entra ID analyseert de signalen van beleid voor voorwaardelijke toegang van de identiteit, locatie of het apparaat om de beslissing te automatiseren en organisatiebeleid af te dwingen voor toegang tot resources en gegevens. Op rollen gebaseerd toegangsbeheer (RBAC) helpt u bij het beheren van toegang en beheerde resources in uw organisatie. RBAC helpt het principe van minimale bevoegdheden te implementeren, zodat gebruikers over de machtigingen beschikken die ze nodig hebben om hun taken uit te voeren. Deze actie minimaliseert het risico op onbedoelde of opzettelijke onjuiste configuratie. Zoals vermeld voor beheer van 0.1d-gebruikerswachtwoorden, maakt verificatie zonder wachtwoord gebruik van biometrie omdat ze moeilijk te vervalsen zijn, waardoor veiligere verificatie mogelijk is. |
|
CSF Control V11 01.q Gebruikersidentificatie en -verificatie Categorie besturingselement Niet van toepassing. Besturingselementspecificatie Alle gebruikers hebben alleen een unieke id (gebruikers-id) voor persoonlijk gebruik en er wordt een verificatietechniek uitgevoerd om de geclaimde identiteit van een gebruiker te onderbouwen. Naam van doelstelling Niet van toepassing. HIPAA-beveiligingsregel § 164.308(a)(5)(ii)(D) § 164.310(a)(1) § 164.312(a)(2)(i) § 164.312(d) |
Gebruik accountinrichting in Microsoft Entra ID om gebruikersaccounts te maken, bij te werken en te beheren. Aan elke gebruiker en elk object wordt een unieke id (UID) toegewezen die de object-id wordt genoemd. De UID is een globaal unieke id die automatisch wordt gegenereerd wanneer een gebruiker of object wordt gemaakt. Microsoft Entra ID biedt ondersteuning voor geautomatiseerde inrichting van gebruikers voor systemen en toepassingen. Met geautomatiseerd account provisioning worden nieuwe accounts in de juiste systemen aangemaakt wanneer mensen bij een team in een organisatie komen. Geautomatiseerde deprovisioning deactiveert accounts als mensen vertrekken. |
|
CSF Control V11 01.u Beperking van verbindingstijd Categorie besturingselement Toegangsbeheer - Beveiligde aanmelding Besturingselementspecificatie De organisatie beheert de toegang tot informatieassets met behulp van een veilige aanmeldingsprocedure. Naam van doelstelling Toegangsbeheer voor besturingssystemen HIPAA-beveiligingsregel § 164.312(a)(2)(iii) |
Het besturingselement richt zich op het besturingssysteem, Microsoft Entra-services helpen de veilige aanmelding te versterken. Veilige aanmelding is het proces voor het veilig verifiëren van een identiteit wanneer ze toegang proberen te krijgen tot een systeem. Microsoft Entra verifieert gebruikers en heeft beveiligingsfuncties met informatie over de gebruiker en de resource. De informatie bevat het toegangstoken, het vernieuwingstoken en het id-token. Configureer in overeenstemming met de vereisten van uw organisatie voor toegang tot toepassingen. Gebruik deze richtlijnen voornamelijk voor mobiele en desktopclients. Beleid voor voorwaardelijke toegang biedt ondersteuning voor configuratie-instellingen voor webbrowserbeperkingen voor geverifieerde sessies. Microsoft Entra ID heeft integraties tussen besturingssystemen, om een betere gebruikerservaring en ondersteuning te bieden voor verificatiemethoden zonder wachtwoord: Platform SSO voor macOS breidt de Single Sign-On mogelijkheden voor macOS uit. Gebruikers melden zich aan bij een Mac met wachtwoordloze referenties of wachtwoordbeheer, gevalideerd door Microsoft Entra ID. Windows-ervaring zonder wachtwoord bevordert een verificatie-ervaring zonder wachtwoorden op apparaten die zijn toegevoegd aan Microsoft Entra. Het gebruik van verificatie zonder wachtwoord vermindert beveiligingsproblemen en risico's die gepaard gaan met traditionele verificatie op basis van wachtwoorden, zoals phishingaanvallen, wachtwoordhergebruik en het onderscheppen van wachtwoorden. Web-aanmelding voor Windows is een referentieprovider waarmee de mogelijkheden van web-aanmelding in Windows 11 worden uitgebreid, met informatie over Windows Hello voor Bedrijven, tijdelijke toegangspas (TAP) en federatieve identiteiten. Azure Virtual Desktop biedt ondersteuning voor eenmalige aanmelding en verificatie zonder wachtwoord. Met Single Sign-On kunt u wachtwoordloze authenticatie en identiteitsproviders van derden gebruiken die gefedereerd zijn met Microsoft Entra ID om in te loggen bij uw Azure Virtual Desktop-resources. Er is een SSO-ervaring bij het authenticeren naar de sessiehost. Hiermee configureert u de sessie voor eenmalige aanmelding bij Microsoft Entra-resources. |
Volgende stappen
Beveiliging van Microsoft Entra HIPAA-toegangsbeheer configureren