HIPAA Požadavky protokolování

Informace o zdraví Přenosnost a odpovědnost Act ( HIPAA ) pravidla pro zabezpečení vstoupila v konečném důsledku v roce 2006 vyžaduje 18 ochranná standardy , kterými se řídí , jak poskytovatelé zdravotní péče a pojišťovny správu informací o pacientovi . Všechny vztahuje subjekty musí být v naprostém souladu , nebo mohou čelit žalobám , ztrátu podnikání a - pro Medicare účastníků - sankce ze strany Centra pro Medicare Services. V roce 2009 , zákonAmerický zotavení a reinvestice posílil tlak na HIPAA souladu tím, že americkým ministerstvem zdravotnictví a sociálních služeb mandát podporovat rozvoj celostátní poskytovatele infrastruktury interoperabilní Zdraví IT Flexibilita

HIPAA Audit Ovládá pravidla stanovit , že " entity mají flexibilitu při implementaci standardu způsobem, který odpovídá jejich potřebám , jak to považuje za nezbytné analýzy jejich vlastní riziko . " To ponechává určitou šedou zónu , že každá dotčená strana nebo organizace musí rozhodnout sám za sebe při vývoji počítače přihlášení a odhlášení postupů , mimo jiné v oblasti informačních technologií postupy . Nicméně, s tolika zařízení a podniků pracujících s federální vládou dodržovat , společné normy se objevily .
Obecné Události

Informační systém servery musí být schopen zachytit a záznam dat protokolování pro dlouhodobé záznamy . Zejména události související s těžbou dřeva by měla zahrnovat úspěšné a neúspěšné pokusy o přihlášení , odhlášením , změny uživatelských účtů , změny úrovněmi výsad , využití privilegovaných účtů a utilit , časové limity , instance nadměrných neúspěšných přihlášení a všechny události , ve které jeden uživatel odhlásí a další záznamy v bezprostředně poté .
správci monitorovací aktivity

systém mají zvláštní odpovědnost , aby zajistily dodržování protokolování . Podezřelé události, jako je například více neúspěšných přihlášení nebo jakékoliv přihlásit útoky proti systému vyžadují další sledování vyšetřování . Uživatelé by měli být povinni mít velmi silné a obvykle složitých hesel . Podezřelé události by měla být přezkoumána s úředníky správy . Systémy by měly korelovat změny v systému a soubory uživatele, který provedl je .
General Controls

Organizace musí mít podrobné záznamy, které systém je schopen těžby dřeva , která ks informací . Rovněž je třeba , aby pečlivě sledovat , kteří uživatelé provádět , jaké úkoly , ve kterých systémy . Přihlášení by měla poskytnout systémovým administrátorům a manažerům organizace s auditu , který ukazuje , co každý uživatel udělal v každém systému .