Controllo e creazione di report sulla
conformità HIPAA
Segmento: Settore sanitario/assicurativo
HIPAA è l'acronimo di Health Insurance Portability and Accountability Act del 1996. Si tratta di
una legge federale che è stata modificata nell'Internal Revenue Code del 1996. È stata concepita per migliorare la
portabilità e la continuità della copertura assicurativa sanitaria nei mercati di gruppo e individuali.
Conformità HIPAA, titolo I: l'HIPAA protegge la copertura assicurativa sanitaria
per i lavoratori e le loro famiglie quando cambiano o perdono il lavoro.
Conformità HIPAA, titolo-II: le disposizioni sulla semplificazione amministrativa
richiedono l'istituzione di standard nazionali per le transazioni elettroniche di assistenza sanitaria e di
identificatori nazionali per i fornitori, i piani di assicurazione sanitaria e i datori di lavoro. Le disposizioni
dell'AS riguardano anche la sicurezza e la privacy dei dati sanitari. Gli standard hanno lo scopo di migliorare
l'efficienza e l'efficacia del sistema sanitario nazionale incoraggiando l'uso diffuso dello scambio elettronico di
dati nel sistema sanitario statunitense.
Regolamentazione omnibus HIPAA (2013)
La norma finale HIPAA/HITECH Omnibus è entrata in vigore alla fine di marzo 2013, con un periodo
di conformità sicura di 180 giorni che si è concluso di recente il 23 settembre 2013. La norma migliora notevolmente
la protezione della privacy di un paziente, fornisce agli individui nuovi diritti sulle proprie informazioni
sanitarie e rafforza la capacità del governo di far rispettare la legge. Le norme sulla privacy e sulla sicurezza
HIPAA sono incentrate sui fornitori di assistenza sanitaria, sui piani sanitari e su altre entità che elaborano le
richieste di assicurazione sanitaria. Le modifiche annunciate oggi estendono molti dei requisiti ai business
associate di queste entità che ricevono informazioni sanitarie protette, come appaltatori e subappaltatori.
In breve:
- Implementare o aggiornare i criteri e le procedure di sicurezza.
- Stipulare o aggiornare gli accordi con i business associate.
- Aggiornare o implementare le politiche e le procedure sulla privacy.
- Aggiorna le informative sulla privacy HIPAA.
- Condurre una formazione sulla conformità HIPAA.
Parte 164 - Sicurezza e privacy
Nota: clicca sui numeri di sezione nella tabella seguente per visualizzare i vari
report di controllo ADAudit Plus che consentono di soddisfare una determinata clausola.
| Numero di sezione |
Descrizione |
Report |
| 164.308
(a) (3) (ii) (a) |
Implementare procedure per l'autorizzazione e/o la supervisione dei membri del personale che lavorano
con informazioni sanitarie protette elettroniche o in luoghi in cui potrebbero essere accessibili. |
- Autenticazione AD riuscita
- Autenticazione AD non riuscita
- Attività di accesso dei server
|
| 164.308
(a) (1) (ii) (d) / 164.312 (b) |
Implementare procedure per rivedere regolarmente i registri dell'attività del sistema informativo,
come i registri di controllo, i report di accesso e i report di monitoraggio degli incidenti di
sicurezza.
Implementare hardware, software e/o meccanismi procedurali che registrino ed esaminino l'attività nei
sistemi informativi che contengono o utilizzano informazioni sanitarie protette elettroniche.
|
Attività del sistema:
- Accesso
- Log di audit
- Modifiche ai file
- File eliminati
- Creazione di file
- Accesso ai file
|
|
164.308 (a) (4) / 164.308 (a) (1) |
Implementare politiche e procedure per prevenire, rilevare, contenere e correggere le violazioni della
sicurezza. (Modifiche non autorizzate). |
Modifiche agli oggetti in AD e oggetti Criteri di gruppo/File server |
| 164.308
(a) (5) (ii) (c) |
Procedure per il monitoraggio dei tentativi di accesso e la creazione di report sulle discrepanze. |
- Accesso/Disconnessione riusciti
- Accesso non riuscito
- Accesso ai Servizi Desktop remoto
|
| 164.308
(a) (4) (c) |
Implementare politiche e procedure che, in base ai criteri di autorizzazione all'accesso dell'entità,
stabiliscano, documentino, esaminino e modifichino il diritto di accesso di un utente a una workstation,
transazione, programma o processo. |
- Modifiche agli oggetti Criteri di gruppo
- Modifiche a diritti utente/opzioni di sicurezza
- Gestione utenti (modifiche agli attributi)
|
- Active Directory
- Microsoft Entra ID
- File server Windows
- File server NAS
- Server Windows
- Workstation
- E altro ancora
Report di audit in tempo reale da ADAudit Plus
Uno sguardo più ampio ai vari report di audit in ADAudit Plus, che soddisfano i requisiti di una
particolare categoria. I report garantiscono un monitoraggio approfondito e la creazione di report/avvisi, oltre a
report personalizzati e report basati sul profilo.
Esempi di report di audit di conformità in tempo reale
Vista Dashboard
Report di audit
Report di conformità
Report di audit dei file
164.308 (a) (3) (ii) (a)
Autenticazione
AD riuscita | Autenticazione AD non riuscita | Attività di accesso al server
Accessi non riusciti | Accessi non riusciti in base agli utenti | Errori dovuti a
password errata | Errori dovuti a un nome utente errato | Attività di accesso basata su controller di
dominio | Attività di accesso in base all'indirizzo IP | Attività di accesso al controller di
dominio | Attività di accesso al server membro | Attività di accesso alla workstation | Attività di
accesso utente | Attività di accesso utente recente | Ultimo accesso alle workstation | Ultimo accesso dell'utente |
Utenti che hanno effettuato l'accesso a più computer
Utenti attualmente connessi | Durata accesso | Accessi
locali non riusciti | Cronologia degli accessi | Attività Servizi Desktop remoto |
Durata dell'accesso degli utenti sui computer | Accesso interattivo non riuscito | Sessione utenti terminata |
Accesso RADIUS (NPS) non riuscito | Cronologia accessi RADIUS (NPS)
164.308 (a) (1) (ii) (d) /
164.312 (b)
Tutte le modifiche a file o cartelle | File creati |
File modificati | File eliminati | Accesso in lettura file riuscito
| Tentativo di lettura file non riuscito | Tentativo di scrittura file non
riuscito | Tentativo di eliminazione file non riuscito| Modifiche alle autorizzazioni
delle cartelle | Modifiche alle impostazioni di controllo delle cartelle (SACL) | File spostati (o) rinominati |
Modifiche in base agli utenti | Modifiche in base ai server | File copiati e incollati
164.308 (a) (4) / 164.308 (a) (1)
Modifiche agli oggetti in AD
Tutte le modifiche di AD | Tutte le modifiche di AD per utente | Tutte le modifiche di AD sui
controller di dominio | Gestione utenti | Gestione gruppi | Gestione computer | Gestione unità organizzative |
Gestione oggetti Criteri di gruppo | Azioni dell'utente amministrativo
164.308 (a) (5) (ii) (c)
Accesso/disconnessione riusciti | Accesso non riuscito | Accesso a Servizi Desktop remoto
Utenti attualmente connessi | Durata accesso | Accesso
locale non riuscito | Cronologia degli accessi | Attività Servizi Desktop remoto |
Durata dell'accesso degli utenti sui computer | Accesso interattivo non riuscito | Sessione utenti terminata |
Accesso RADIUS (NPS) non riuscito | Cronologia accessi RADIUS (NPS)
164.308 (a) (4) (c)
Modifiche a diritti
utente/opzioni di sicurezza | Modifiche ai criteri di audit locale
Modifiche alle autorizzazioni utente | Modifiche alle autorizzazioni a livello di
dominio | Modifiche alle impostazioni di Criteri di gruppo | Modifiche alla configurazione del computer | Modifiche
alla configurazione utente | Modifiche ai criteri password | Modifiche ai criteri di blocco dell'account | Modifiche
alle impostazioni di sicurezza | Modifiche ai modelli amministrativi | Modifiche all'assegnazione dei diritti utente
| Modifiche alle impostazioni di Windows | Modifiche alle autorizzazioni di Criteri di gruppo | Modifiche alle
preferenze di Criteri di gruppo | Cronologia delle impostazioni di Criteri di gruppo | Modifiche estese agli
attributi | Modifiche all'oggetto dominio: Modifiche ai criteri di dominio | Modifiche all'oggetto
DNS del dominio | Modifiche alle autorizzazioni a livello di dominio
Modifiche ai criteri locali (report di
controllo del server)
Report sintetico | Monitoraggio dei processi | Modifiche ai criteri | Eventi di
sistema | Gestione degli oggetti | Attività pianificata
Alcuni degli altri report di
conformità preconfigurati in tempo reale
Attività di accesso utente recente | Accessi non riusciti | Attività Servizi Desktop
remoto | Durata accesso | Modifiche ai criteri di dominio | Cronologia degli accessi | Gestione utenti |
Gestione gruppi | Gestione computer | Gestione unità organizzative | Gestione oggetti Criteri di gruppo |
Azioni dell'utente amministrativo | Tutte le modifiche a file o cartelle
Attività di accesso utente recente | Accessi non riusciti | Attività Servizi Desktop
remoto | Cronologia degli accessi | Azioni dell'utente amministrativo | Tutte le modifiche a file o cartelle
| Cronologia degli accessi RADIUS (NPS) | Accesso in lettura ai file riuscito | Modifiche alle
autorizzazioni delle cartelle | Modifiche alle impostazioni di controllo delle cartelle
Modifiche alle impostazioni di controllo delle cartelle | Modifiche alle autorizzazioni
delle cartelle | Accesso in lettura file riuscito | Tutte le modifiche a file o cartelle | Gestione degli
oggetti Criteri di gruppo | Gestione utenti | Gestione gruppi | Modifiche ai criteri di dominio | Durata
accesso | Accesso locale non riuscito | Attività Servizi Desktop remoto
Attività Servizi Desktop remoto | Accessi locali non riusciti | Cronologia degli accessi |
Gestione gruppi | Gestione utenti | Azioni dell'utente amministrativo | Gestione computer | Gestione unità
organizzative | Tutte le modifiche a file o cartelle | Tentativo di scrittura file non riuscito | Tentativo
di eliminazione file non riuscito
-
ADAudit Plus ci ha aiutato a soddisfare determinati requisiti di
conformità SOX e PCI. Mi piacciono i report mensili automatizzati per SOX, la facilità d'uso,
l'implementazione e la soluzione molto conveniente.
Jeffrey O'Donnell
Direttore IT,
Uncle Bob's Self Storage
-
Abbiamo concluso con ADAudit Plus di ManageEngine principalmente
per i nostri report di audit SOX e penso che lo strumento, con il suo output facile da
comprendere, sia molto interessante e che il prezzo altamente competitivo abbia contribuito ad
attirare la nostra attenzione.
Andreas Ederer
Cosma International
-
Siamo un fornitore di servizi sanitari di emergenza. Riteniamo
che il software sia un modo per evitare i rischi con alcune buone pratiche di gestione dei
rischi e ci aiuti a soddisfare la conformità HIPAA. Abbiamo scelto ADAudit Plus, che funziona 24
ore su 24, 7 giorni su 7, 365 giorni all'anno come noi.
JT Mason
Direttore IT
California Transplant Donor Network (CTDN)
-
Abbiamo valutato diversi software; ADAudit Plus è estremamente
facile da implementare e rappresenta una soluzione conveniente che ci ha aiutato a superare
diversi controlli di sicurezza del settore, test di controllo PEN approfonditi e soddisfare le
linee guida di sicurezza HIPAA.
Renee Davis
CIO
Life Management Center
-
Siamo un'organizzazione senza scopo di lucro e dovevamo
soddisfare i requisiti HIPAA; abbiamo scelto ADAudit Plus che ci ha aiutato a vedere quali
modifiche sono state apportate e chi le ha apportate nel nostro AD.
CMenendez
Responsabile delle operazioni di rete
Kendal
-
ADAudit Plus è stato il più semplice e pertinente tra i diversi
prodotti che abbiamo provato per monitorare gli accessi non riusciti degli utenti, la pulizia
dell'account, per tenere sotto controllo le attività dannose e soddisfare la conformità PCI-DSS.
Bernie Camus
Responsabile IT
Iglu.com
