Простой вопрос, на который я не могу найти ответа. Как вы знаете, Windows Server позволяет вам установить автоматический выход для сеансов RDP. Является ли полное отключение этого (позволяющее сеансам RDP существовать бессрочно) в виртуальной среде с ePHI угрозой безопасности / нарушением HIPAA?
Рассматриваемые виртуальные машины находятся за полностью настроенным межсетевым экраном Juniper с IP-ограничениями на доступ по RDP.
Мы не можем ответить о вашем окружении. Вам нужен специалист по комплаенсу для проверки вашей системы в целом.
Обратите внимание, что автоматический выход из системы прямо упоминается в регламенте:
АВТОМАТИЧЕСКИЙ ВЫХОД - § 164.312 (a) (2) (iii)
Если эта спецификация реализации является разумной и соответствующей защитой для охватываемого объекта, покрываемый объект должен:
«Внедрить электронные процедуры, которые прерывают электронный сеанс после заранее определенного времени бездействия».
И задумайтесь на минутку: это позволит пользователям показывать конфиденциальную информацию на экране неограниченное время. Учитывайте свою историю болезни. Если это нежелательно, как вы собираетесь с этим бороться?
Что еще более важно, серия статей по безопасности HIPPA описывает комплексную стратегию. Административные процессы, физическая безопасность, технические средства защиты, документация и управление рисками. Сетевая безопасность не принесет вам никакой пользы, если, скажем, сотрудники выкрикивают информацию в зал ожидания, а для этого нет технического решения.