web-dev-qa-db-ja.com

FileVault 2はHIPAAに準拠していますか?

FileVault 2はデスクにAES 256ビット暗号化を使用しているように見えます。それは、HIPAAの「保存データ」標準を満たしているということですか。他に確認する必要があるものはありますか?

3
Xodarap

はい、AES-256を使用したフルディスク暗号化は、HIPAA準拠の暗号化と見なされます。 FIPS 140-2準拠の暗号であり、 FIPS 140-2 cipersで暗号化されたデータは「暗号化された」と見なされますHIPAAセキュリティルールに基づいています。

これが「保存データ」に十分に適しているかどうかについては、HIPAA法のこの一見あいまいなセクションの組織の解釈次第です。

フルディスク暗号化は、物理的なセキュリティを支援する手段です。 「保存データ」とは、物理層(この場合、誰かがMacを盗んだ場合、データは暗号化されているため利用できない)と、ディスク上にある実際のデータファイルの可用性の両方を意味すると解釈できます。

たとえば、一部の組織では、ディスクの「休止データ」でアイドル状態にあるデータベースのバックアップを検討し、これらのファイルをパスワードで暗号化することを選択する場合があります。 AES-256で7Zipを使用します。一部の組織では、「保管データ」標準に十分なフルディスク暗号化を検討する場合があります。

HIPAAセキュリティルールに関しては、これは多くの議論の領域です。パスワードやPGP鍵などで暗号化されていないコンピューター上のファイルがあるのではないかと心配している場合は、暗号化を誤るのが最善です。 HIPAAの下では、暗号化されたデータが侵害された場合、第三者がデータにアクセスできないと想定される可能性があるため、報告/違反の開示要件を引き起こす必要はありません。暗号化されていないデータが危険にさらされている場合、これにはマルウェアがハッカーによるオンラインコンピュータからのファイルの持ち出しを含む場合フルディスク暗号化が有効になっている場合;これにより、レポート要件がトリガーされます。リスクを比較検討するのはあなた次第です。

4
Herringbone Cat