Мне интересно, что для этого делают другие.
У меня есть клиент, которому необходимо соответствовать требованиям HIPAA Security Compliance. Меня интересуют две вещи.
Мне нужно зашифровать все ноутбуки, которые покидают этот офис. Некоторые пользователи время от времени меняют ноутбуки, что затрудняет использование пароля шифрования. Как вы думаете, было бы разумно заставить все ноутбуки использовать один и тот же пароль для шифрования или, может быть, просто дополнительный пароль? Как Устройство-1 = PassA, Устройство-2 = PassB?
У врачей есть домашние ПК, они используют эту VPN в офисе. С моей точки зрения, это также должно быть зашифровано на случай кражи. Мы используем программное обеспечение, которое не хранит никаких пользовательских данных локально. Как вы думаете, мне еще стоит шифрование?
Спасибо за помощь!
Не сообщайте пароли и не делайте пароли «предсказуемыми» в зависимости от машины. Каждая достойная система шифрования диска должна позволять использовать несколько парольных фраз для разблокировки диска - ключ, который на самом деле шифрует диск, не основан на введенной парольной фразе, он хранится на диске и зашифрованный с паролем. Одна из парольных фраз должна быть парольной фразой «переопределить администратор», а другие могут быть установлены для каждого человека, которому нужно использовать машину.
Если врачи не могут загрузить конфиденциальные данные из приложения, клиентский компьютер не нужно шифровать, однако это огромный "если". Лучше зашифровать и перестраховаться, чем сожалеть. Вы захотите применить к VPN надежные двухфакторные меры аутентификации и безопасности конечных точек, чтобы это было как минимум разумный Препятствие на пути злоумышленника, который хочет взломать VPN.
И, наконец, посоветуйтесь со специалистом. Я не говорю это часто, но это беспорядок, и в нем трудно разобраться, а медицинские записи людей не круты в Интернете.