Пароль становится скомпрометированным, когда он раскрывается в результате утечки данных и оказывается в даркнете, что позволяет другим лицам получить несанкционированный доступ к вашим учетным записям в...
Закон о переносимости данных и подотчетности медицинского страхования (HIPAA) — это закон США, созданный с целью установить национальные стандарты конфиденциальности и безопасности для защиты конфиденциальности медицинской информации пациентов и предотвращения утечек данных. Все организации, связанные со здравоохранением, включая компании медицинского страхования и деловые партнерства, подпадают под действие правил HIPAA, то есть должны соблюдать требования соответствия HIPAA.
В разделе, посвященном информированию о безопасности и обучению, HIPAA говорится, что организации должны иметь «процедуры создания, изменения и защиты паролей». Менеджер паролей помогает обеспечить соответствие вашей организации требованиям HIPAA, генерируя надежные пароли и надежно храня их в зашифрованном хранилище.
Читайте дальше, чтобы узнать больше о требованиях HIPAA к паролям и о том, как менеджер паролей может помочь им соответствовать.
Требования HIPAA к паролям
Хотя правила HIPAA не требуют использования менеджера паролей, они обязывают внедрить управление паролями в план соответствия требованиям HIPAA. Вот методы обеспечения безопасности учетных данных, которые соответствуют руководству Национального института стандартов и технологий (NIST) по требованиям HIPAA к паролям.
- Сложность паролей. HIPAA не предъявляет конкретных требований к сложности паролей, однако NIST рекомендует обеспечить понимание сотрудниками того, как создавать надежные и уникальные пароли и как их защитить.
- Ротация паролей. HIPPA в настоящее время не требует смены паролей, а NIST не рекомендует сотрудникам регулярно менять пароли. Однако NIST рекомендует немедленно менять пароли, если они были скомпрометированы.
- Многофакторная аутентификация (MFA). NIST рекомендует включать многофакторную аутентификацию при наличии.
- Обмен паролями. HIPAA не рассматривает конкретно обмен паролями, однако NIST настоятельно рекомендует запретить пользователям передавать пароли системам и данным, содержащим хранящуюся в электронном виде защищенную медицинскую информацию (ePHI).
- Мониторинг и ведение журнала. ИТ-администраторы должны отслеживать действия пользователей при входе в систему, чтобы последние не пытались получить доступ к записям или системам, не соответствующим их должностным обязанностям.
- Увольнение сотрудников. Организации должны иметь установленные процедуры увольнения сотрудников и немедленно отключать пароли и доступ к персональным данным о состоянии здоровья, когда они покидают компанию или меняют должность. NIST рекомендует применять различные процедуры для сотрудников, которые уходят добровольно, и для тех, кого увольняют не по их желанию.
Преимущества использования менеджера паролей для соответствия HIPAA
Вот несколько преимуществ использования менеджера паролей для соответствия HIPAA.
Создание надежных паролей
Одна из проблем, с которой сталкиваются многие — создание надежных паролей для различных учетных записей. Она часто приводит к тому, что люди используют ненадежные пароли, которые злоумышленникам легко угадать. Кроме того, пользователи повторно используют пароли для нескольких учетных записей, подвергая несколько учетных записей риску компрометации, если будет взломана только одна. Поскольку менеджеры паролей помогают создавать надежные пароли, пользователям больше не нужно делать это самостоятельно. Кроме того, организации могут рассчитывать на то, что каждый сотрудник будет использовать надежные пароли для защиты учетных записей и конфиденциальных данных.
Многофакторная аутентификация
Проконтролировать, что многофакторная аутентификация включена для каждой доступной учетной записи, может быть сложно. И хотя это необходимо для соответствия HIPAA, многие пользователи все еще этого не делают. С помощью менеджера паролей ИТ-администраторы могут принудительно использовать многофакторную аутентификацию для каждой учетной записи. Некоторые менеджеры паролей, такие как Keeper®, также могут хранить коды многофакторной аутентификации в безопасном цифровом хранилище, что упрощает процесс входа на веб-сайты и в системы, где включена многофакторная аутентификация.
Управление доступом на основе ролей (RBAC)
Некоторые из лучших менеджеров паролей позволяют ИТ-администраторам настраивать и применять средства контроля доступа на основе ролей. С помощью RBAC ИТ-администраторы могут легко регулировать уровни доступа и отключать учетные записи, если пользователи покидают организацию или меняют должностные обязанности. RBAC не только повышает уровень безопасности и соответствует требованиям HIPAA, но и помогает сократить затраты и административные расходы.
Безопасное хранение
Лучшие менеджеры паролей могут хранить не только пароли, но и ключи доступа, файлы и документы. Все, что хранится в менеджере паролей с нулевым разглашением, шифруется при хранении и передаче, чтобы доступ к этому могли получить только авторизованные пользователи. Это защищает данные от попадания в руки злоумышленников и соответствует требованию HIPAA о предоставлении доступа только тем, кто имеет соответствующие права доступа.
На что обратить внимание в менеджере паролей, соответствующем HIPAA?
Не все менеджеры паролей созданы одинаково. Вот на что следует обратить внимание вашей организации в менеджере паролей, соответствующем HIPAA.
Надежное шифрование
Менеджер паролей настолько надежен, насколько надежно шифрование, которое он предлагает. Менеджер паролей, который вы выбираете для защиты организации, должен быть и с нулевым доверием, и с нулевым разглашением, чтобы только авторизованные лица имели доступ к хранилищу менеджера паролей, а шифрование и расшифровка всегда происходили локально на устройстве пользователя. Кроме того, менеджер паролей также должен защищать данные с помощью 256-битного шифрования AES и шифрования на основе эллиптических кривых (ECC), которое считается самым надежным шифрованием в отрасли кибербезопасности.
Поддержка двухфакторной аутентификации
Выбранный вами менеджер паролей также должен поддерживать двухфакторную аутентификацию (2FA). Включение двухфакторной аутентификации в учетной записи менеджера паролей обеспечивает ее защиту дополнительным уровнем безопасности для предотвращения несанкционированного доступа. Менеджер паролей должен предлагать следующие варианты двухфакторной аутентификации:
- аутентификация единого входа;
- аппаратные ключи безопасности FIDO2 WebAuthn;
- ключи доступа;
- биометрическая аутентификация (например, FaceID, Touch ID, Windows Hello);
регистрация с помощью автоматической рассылки электронных писем.
Автоматическая инициализация посредством эл. почты позволяет предоставлять хранилища паролей тысячам пользователей с совпадением домена на адресах электронной почты. Это позволяет крупным организациям легко развертывать менеджер паролей для своих сотрудников.
Выберите Keeper в качестве менеджера паролей, совместимого с HIPAA
Менеджер паролей, такой как Keeper, может предложить вашей организации соблюдение требований HIPAA к паролям, генерируя надежные пароли, обеспечивая соблюдение и включение многофакторной аутентификации, внедряя контроль доступа на основе ролей и обеспечивая безопасное хранение. Поскольку Keeper ни при каких обстоятельствах не имеет доступ к данным пользователей, для соответствия HIPAA не требуется соглашение о деловом партнерстве (BAA).
Готовы защитить свою медицинскую организацию от утечек данных, связанных с паролями, и обеспечить соответствие HIPAA? Начните использовать бесплатную 14-дневную пробную версию для бизнеса Keeper.