Как защитить чувствительные (HIPAA) стандартные данные и файлы журналов SQL Server

Question

Как защитить чувствительные (HIPAA) стандартные данные и файлы журналов SQL Server

Я имею дело с электронной защищенной медицинской информацией (ePHI или PHI), а правила HIPAA требуют, чтобы только авторизованные пользователи имели доступ к ePHI. Шифрование на уровне столбцов может иметь значение для некоторых данных, но мне нужна возможность выполнять поиск в некоторых полях PHI, таких как имя.

Прозрачное шифрование данных (TDE) - это функция SQL Server 2008 для шифрования базы данных и файлов журналов. Насколько я понимаю, это препятствует тому, чтобы кто-то, кто получает доступ к файлам MDF, LDF или резервным копиям, мог что-либо делать с файлами, потому что они зашифрованы. TDE используется только в корпоративных версиях и версиях SQL Server для разработчиков, а для моего конкретного сценария корпоративная цена является непомерно высокой. Как я могу получить аналогичную защиту на SQL Server Standard? Есть ли способ зашифровать базу данных и файлы резервных копий (есть сторонний инструмент)? Или так же хорошо, есть ли способ предотвратить использование файлов, если диск был подключен к другой машине (Linux или Windows)?

Доступ администратора к файлам с той же машины в порядке, но я просто хочу предотвратить любые проблемы, если диск был удален и подключен к другой машине. Какие есть решения для этого, которые существуют?

12

security windows-server-2008-r2 sql-server hipaa

Источник

Quesi 23 июн '11 в 19:33

2 ответа

Решение

Вам необходимо защитить PHI, которая потребует шифрования данных в таблице базы данных. Шифрование данных на уровне столбца, если это лучшая ставка. Поиск в этих полях будет дорогостоящим, но это цена высокого уровня безопасности.

Я расскажу о различных вариантах шифрования данных в главе 2 моей книги " Защита SQL Server"

3

Источник

mrdenny 23 июн '11 в 19:49

Другие вопросы по тегам security windows-server-2008-r2 sql-server hipaa

voretaq7 23 июн '11 в 20:20 2011-06-23 20:20 · Accepted Answer · 2011-06-23 20:20

Общее предложение для HIPAA - следовать стандарту безопасности данных PCI (PCI-DSS), кроме тех случаев, когда они говорят "Информация о держателе карты" или "Информация об учетной записи", а "PHI". Моя компания (отрасль здравоохранения, занимающаяся вопросами PHI) использует PCI-DSS в качестве нашей основной отправной точки, наряду со здоровой дозой здравого смысла (например, следя за тем, чтобы данные всегда оставались зашифрованными (или ограниченными безопасными сетями)).

Шифрование на уровне столбцов какого-либо рода почти всегда является хорошей идеей при работе с конфиденциальными данными, и, учитывая потенциальную стоимость судебного разбирательства, в нем есть что подумать.