it-swarm.com.de

Ist es für unseren IT-Support-Vertragspartner in Ordnung, ohne Autorisierung zu remote?

Wir sind ein IT-Unternehmen im Gesundheitswesen. Auf meinem Computer befindet sich PHI. Unser IT-Auftragnehmer fragte mündlich, ob er meinen Drucker per Fernzugriff reparieren könne, also sagte ich sicher. Ich hatte erwartet, dass eine Art Eingabeaufforderung dies zulässt, aber er war gerade dabei. Eine Form von VNC, denke ich.

Ist das okay? In Bezug auf HIPAA?

24

Die HIPAA geht nicht auf bestimmte Richtlinien ein. Der Kern davon besteht darin, dass die Organisation über ausreichende Kontrollen verfügen muss, um Daten zu schützen. An einer unaufgeforderten Übernahme aus Sicht der HIPAA ist nichts grundsätzlich Falsches, solange andere Kontrollen (Authentifizierung, Autorisierung, Zugriffssteuerungslisten, Zugriffsprotokollierung und -prüfung, Antimalware auf dem Support-PC, rechtliche Vereinbarungen zwischen der Support-Organisation und Ihrer Organisation) etc) vorhanden sind.

Ohne zu wissen, was Ihr Unternehmen in Bezug auf IT-Sicherheitsrichtlinien, -prozesse und -verfahren hat, können Sie dies nicht beurteilen.

Ob unaufgeforderte Übernahmen eine gute Sache sind, nein, sie sind es nicht. Sie möchten wirklich eine Warnung erhalten, wenn jemand Ihren PC zur Unterstützung übernimmt oder sogar auf Ihren Bildschirm schaut.

28
GdD

Sie haben nicht genügend Details angegeben, um dies auf die eine oder andere Weise zu sagen. Die Tatsache, dass Sie keine Authentifizierungsaufforderung gesehen haben, schließt nicht aus, dass es eine gibt.

Für die RAS-Tools I , die in meinem Job verwendet werden (der sich auch mit HIPAA befasst), muss ich mich sowohl mit meinen Anmeldeinformationen für den Domänenadministrator authentifizieren als auch die Benutzer nicht zur Annahme auffordern die Verbindung, weil ich sie so konfiguriert habe.

56
HopelessN00b

Verwendung des vom Autor bevorzugten Restatements im Kommentar:

Ist es für unseren IT-Support-Auftragnehmer in Ordnung, die Möglichkeit zu haben, ohne Autorisierung remote zu arbeiten?

Unter normalen Umständen ja.

Lassen Sie uns über die spezifischen Schlüsselwörter sprechen.

Remote: Angenommen, Sie arbeiten nicht von zu Hause aus. Denken Sie daran, dass die IT-Administratoren am Ende des Tages auf Ihrem Stuhl sitzen und sich an Ihren Arbeitsstationen anmelden, Updates installieren und anschließend ein neues Image Ihres Computers erstellen können Sie verlassen die Firma. Sie haben bereits vollen Zugriff auf Ihren Computer und können (normalerweise) alles darauf anzeigen. Möglicherweise haben sie auch Zugriff auf die Unternehmensdatenbanken und Gesundheitsakten. Daher können sie während einer Remotesitzung möglicherweise nichts auf Ihrem Bildschirm sehen, auf das sie außerhalb der Remotesitzung nicht bereits Zugriff hätten, wenn sie dies beschlossen hätten Schau es dir an. Wenn dies der Fall ist, kann das Anfordern Ihrer Erlaubnis vor der Übernahme Ihres Computers eher als Höflichkeit denn als gesetzliche Anforderung angesehen werden.

Auftragnehmer: Viele Auftragnehmer arbeiten als Erweiterung des Unternehmens und müssen NDAs, HIPAA-Angaben unterzeichnen, an Schulungen teilnehmen und dieselben Regeln und Gesetze in Bezug auf Sicherheit, Datenschutz und Ethik befolgen wie alle Mitarbeiter tun. Selbst in einer Situation, in der ein Auftragnehmer nicht aufgefordert wurde, etwas zu unterschreiben, würde dies ihm nicht die Erlaubnis erteilen, gegen das Gesetz zu verstoßen.

Anmerkung: Diese Aussagen sind Verallgemeinerungen, die für die Gesundheitsbranche gelten können, aber nicht unbedingt für alle Branchen. In der Verteidigungsbranche können Sie beispielsweise einer IT-Person möglicherweise nicht erlauben, ohne Benutzerinteraktion auf eine Maschine zuzugreifen, wenn der Benutzer ein Dokument anzeigt, das über der Freigabestufe der IT-Person liegt. (Dies ist jedoch kein Problem, wenn es spezielle Räume mit Maschinen gibt, die speziell zum Anzeigen streng geheimer Dokumente dienen.)

1
TTT

Dies hängt stark von dem Land ab, in dem Sie leben, da dies eher eine rechtliche Frage ist. In einigen Staaten ist dieser Ansatz rechtlich korrekt, wenn Sie ihn in Ihrem Arbeitsvertrag unterzeichnet haben, in anderen Staaten ist dieser Vorgang aus Datenschutzgründen vollständig verboten.

0
licklake