Я имею дело с электронной защищенной медицинской информацией (ePHI или PHI), и правила HIPAA требуют, чтобы только авторизованные пользователи могли получить доступ к ePHI. Шифрование на уровне столбца может иметь значение для некоторых данных, но мне нужна возможность выполнять аналогичный поиск по некоторым полям PHI, таким как имя.
Прозрачное шифрование данных (TDE) - это функция SQL Server 2008 для шифрования файлов базы данных и журналов. Насколько я понимаю, это не позволяет тем, кто получает доступ к файлам MDF, LDF или резервным копиям, что-либо делать с файлами, потому что они зашифрованы. TDE есть только в корпоративных версиях SQL Server и для разработчиков, а в моем конкретном сценарии стоимость Enterprise слишком высока. Как я могу получить аналогичную защиту на SQL Server Standard? Есть ли способ зашифровать базу данных и файлы резервных копий (есть ли сторонний инструмент)? Или, что не менее хорошо, есть ли способ предотвратить использование файлов, если диск был подключен к другой машине (Linux или Windows)?
Доступ администратора к файлам с той же машины в порядке, но я просто хочу предотвратить любые проблемы, если диск был удален и подключен к другой машине. Какие существуют решения для этого?
Общее предложение для HIPAA - следовать Стандарт безопасности данных PCI (PCI-DSS), за исключением случаев, когда они говорят «Информация о держателе карты» или «Информация об учетной записи», вы говорите «PHI». Моя компания (отрасль здравоохранения, имеющая дело с PHI) использует PCI-DSS в качестве нашей основной отправной точки наряду со здоровой дозой здравого смысла (например, чтобы убедиться, что данные ОСТАЕТСЯ зашифрованные (или ограниченные безопасными сетями) в любое время).
Шифрование на уровне столбца почти всегда хорошая идея при работе с конфиденциальными данными, и, учитывая потенциальную стоимость судебного процесса, есть много вещей, которые следует учитывать.
Вам необходимо защитить PHI, что потребует шифрования данных в таблице базы данных. Шифрование данных на уровне столбца, если вам удобнее. Поиск по этим полям будет дорогостоящим, но это цена высокой безопасности.
Я говорю о различных вариантах шифрования данных в главе 2 моей книги "Обеспечение безопасности SQL Server"