Desencadenar una infracción de DLP para probar una política HIPAA en el ESA

Introducción

En este documento se describe cómo probar la prevención de pérdida de datos (DLP) de la ley de transferencia y responsabilidad del seguro médico (HIPAA) una vez que haya habilitado DLP en la política de correo saliente de su dispositivo de seguridad Cisco Email Security Appliance (ESA).

Desencadenar una infracción de DLP para probar una política HIPAA

Este artículo proporciona contenido real, que se ha modificado con el fin de proteger a las personas, para realizar pruebas frente a la política DLP de su ESA. Esta información está diseñada para activarse en la HIPAA y en la política de DLP de Health Information Technology for Economic and Clinical Health (HITECH), y también activa otras políticas de DLP como el número de la seguridad social (SSN), CA AB-1298, CA SB-1386, etc. Utilice la información cuando envíe un correo electrónico de prueba a través de su ESA o cuando utilice la herramienta trace.

Nota: Debe utilizar un SSN válido o mal utilizado en la salida donde está en negrita.

Nota: Para las políticas de HIPAA y HITECH DLP, asegúrese de haber configurado números de identificación personalizados como se recomienda. Números de identificación del paciente (personalización recomendada) O identificador de proveedor nacional de EE. UU. O número de la seguridad social de EE. UU. Y diccionarios de atención sanitaria. Debe tener esto configurado para que se active correctamente.

Procedure Notes
Progress Notes
Archie M Johnson Tue Jun 30, 2009 10:31 AM Pended
June 30, 2009
Patient Name: Gina, Lucas DOB: 01/23/1945
Telephone #: (559) 221-2345
SS#: [[[PLACE SSN HERE]]]
--------------------------------------------------------------------------------
Insurance: UHC
How was the patient referred to the office: *** ({:20})
Is a family member currently being seen by the requested physician? {YES/NO:63}
If yes, what is the family members name : ***
Previous PCP / Medical Group? ***
Physician Requested: Dr. ***
REASON:
1) Get established, no current problems: {YES/NO:63}
2) Chronic Issues: {YES/NO:63}
3) Specific Problems: {YES/NO:63}
Description of specific problem and/or chronic conditions:
{OPMED SYMPTOMS:11123} the problem started {1-10:5044} {Time Units:10300}.
Any Medications that may need a refill? {YES/NO:63}
Current medications: ***
--------------------------------------------------------------------------------
Archie M Johnson
Community Health Program Assistant Chief
Family Practice & Community Medicine
(559) 221-1234
Lucas Gina Wed Jul 8, 2009 10:37 AM Pended
ELECTIVE NEUROLOGICAL SURGERY
HISTORY & PHYSICAL
CHIEF COMPLAINT: No chief complaint on file.
HISTORY OF PRESENT ILLNESS: Mary A Xxtestfbonilla is a ***
Past Medical History
Diagnosis Date
• Other Deficiency of Cell-Mediated Immunity
Def of cell-med immunity
• Erythema Multiforme
• Allergic Rhinitis, Cause Unspecified
Allergic rhinitis
• Unspecified Osteoporosis 12/8/2005
DEXA scan - 2003
• Esophageal Reflux 12/8/2005
priolosec, protonix didn't work, lost weight
• Primary Hypercoagulable State
MUTATION FACTOR V LEIDEN
• Unspecified Glaucoma 1/06
• OPIOID PAIN MANAGEMENT 1/24/2007
Patient is on opioid contract - see letter 1/24/2007
• Chickenpox with Other Specified Complications 2002 

Verificación

Los resultados variarán en función de las acciones de mensajes que haya configurado para la política DLP. Configure y confirme sus acciones para su dispositivo con una revisión de la GUI: Políticas de correo > Personalizaciones de políticas DLP > Acciones de mensajes.

En este ejemplo, la Acción predeterminada se establece para poner en cuarentena las violaciones de DLP en la cuarentena de políticas y también para modificar la línea de asunto del mensaje con el prefijo "[VIOLACIÓN DE DLP]".

Los mail_logs deben tener un aspecto similar al siguiente cuando envíe el contenido anterior a través de como correo electrónico de prueba:

Wed Jul 30 11:07:14 2014 Info: New SMTP ICID 656 interface Management (172.16.6.165) 
address 172.16.6.1 reverse dns host unknown verified no
Wed Jul 30 11:07:14 2014 Info: ICID 656 RELAY SG RELAY_SG match 172.16.6.1 SBRS
not enabled
Wed Jul 30 11:07:14 2014 Info: Start MID 212 ICID 656
Wed Jul 30 11:07:14 2014 Info: MID 212 ICID 656 From: <my_user@gmail.com>
Wed Jul 30 11:07:14 2014 Info: MID 212 ICID 656 RID 0 To: <test_person@cisco.com>
Wed Jul 30 11:07:14 2014 Info: MID 212 Message-ID 
'<A85EA7D1-D02B-468D-9819-692D552A7571@gmail.com>'
Wed Jul 30 11:07:14 2014 Info: MID 212 Subject 'My DLP test'
Wed Jul 30 11:07:14 2014 Info: MID 212 ready 2398 bytes from <my_user@gmail.com>
Wed Jul 30 11:07:14 2014 Info: MID 212 matched all recipients for per-recipient 
policy DEFAULT in the outbound table
Wed Jul 30 11:07:16 2014 Info: MID 212 interim verdict using engine: CASE spam
negative
Wed Jul 30 11:07:16 2014 Info: MID 212 using engine: CASE spam negative
Wed Jul 30 11:07:16 2014 Info: MID 212 interim AV verdict using Sophos CLEAN
Wed Jul 30 11:07:16 2014 Info: MID 212 antivirus negative 
Wed Jul 30 11:07:16 2014 Info: MID 212 Outbreak Filters: verdict negative
Wed Jul 30 11:07:16 2014 Info: MID 212 DLP violation
Wed Jul 30 11:07:16 2014 Info: MID 212 quarantined to "Policy" (DLP violation)
Wed Jul 30 11:08:16 2014 Info: ICID 656 close

Desde la herramienta trace, debería ver resultados como esta imagen cuando utiliza contenido anterior en el cuerpo del mensaje:

Troubleshoot

Asegúrese de que ha seleccionado la política DLP necesaria en Políticas de correo > Gestor de políticas DLP > Agregar política DLP... en la GUI.

Revise la política DLP tal como se ha agregado y asegúrese de que ha especificado el clasificador de coincidencia de contenido y de que el patrón de expresión regular es válido. También asegúrese de tener la sección AND match with related words or phrases configurada. Los clasificadores son los componentes de detección del motor DLP. Se pueden utilizar de forma conjunta o individual para identificar contenidos sensibles.

Nota: Los clasificadores predefinidos no se pueden editar.

Si no ve el desencadenador DLP basado en el contenido, revise también Políticas de correo > Políticas de correo saliente > DLP y asegúrese de que tiene habilitada la política DLP necesaria.

Información Relacionada

• Dispositivo de seguridad Cisco Email Security Appliance: guías del usuario final
• PREGUNTAS FRECUENTES SOBRE ESA: ¿Cómo puedo depurar la forma en que el ESA procesa un mensaje?
• SSA.gov: uso indebido de números de la seguridad social
• Probador de regex online
• Soporte Técnico y Documentación - Cisco Systems