"Si no se ha implementado el cifrado, se ha implementado una alternativa comparable" [cerrado]

0

¿Qué constituye una alternativa comparable al cifrado? Sé que los guardianes de contraseñas y otros servicios no son comparables y no se consideran encriptación.

Si el contexto es solo de acceso autorizado, al desmontar unidades sin conexión en una ubicación bloqueada, clasifíquelas como una alternativa comparable, por ejemplo.

Esto está en contexto con HIPAA / URAC. Almacenamiento de datos, información del usuario e información de tipo confidencial. Nada en términos de redes o comunicaciones de tráfico.

    
pregunta Jason 25.08.2015 - 18:51
fuente

1 respuesta

1

Descargo de responsabilidad; No he hecho el trabajo de HIPAA durante más de una década, y la realidad puede variar de la historia. Doy la bienvenida a los comentarios y respuestas alternativas de alguien que trabaja actualmente en el espacio.

Las especificaciones de cifrado de HIPAA son " direccionable ", que es por ejemplo, no son "requeridos". Puede elegir hacer otra cosa siempre que documente por escrito que cree que su alternativa es una "medida de seguridad razonable y apropiada":

  

En el cumplimiento de estándares que contienen implementación direccionable   especificaciones, una entidad cubierta hará una de las siguientes acciones para cada   especificación direccionable:

     

(a) implementar las especificaciones de implementación direccionables;

     

(b) implementar una o más medidas de seguridad alternativas para lograr el mismo propósito;

     

(c) no implementa una especificación de implementación direccionable o una alternativa.

     

La elección de la entidad cubierta debe estar documentada. La entidad cubierta   debe decidir si una especificación de implementación direccionable dada   es una medida de seguridad razonable y apropiada para aplicar dentro de su   Marco de seguridad particular.

Por lo tanto, puede elegir implementar el cifrado o bloquear las unidades en un cajón, o no hacer nada en absoluto, siempre que documente que su decisión es una "medida de seguridad razonable y apropiada".

Ahora, en realidad, querrá implementar soluciones que sus auditores estén de acuerdo que sean razonables y apropiadas, o que el informe aparezca como un vacío. Su administración querrá que no haya brechas en ninguna auditoría, o su susceptibilidad a las multas aumenta. Y cuando algo malo sucede, los documentos que aceptan el riesgo de hacerlo se vuelven aún más importantes.

Por lo tanto, la mejor respuesta que puedo darle es obtener un auditor acreditado para que revise y apruebe cualquier alternativa que considere. HIPAA es conocido por ser difícil de implementar por esta razón.

    
respondido por el gowenfawr 25.08.2015 - 21:10
fuente

Lea otras preguntas en las etiquetas