Warum ist die rollenbasierte Zugriffskontrolle in der Gesundheits-IT verbreitet?

Die klinische Arbeit ist um definierte Rollen herum organisiert, daher ist die Zuweisung von Berechtigungen zu Rollen und von Rollen zu Personen besser skalierbar als die individuelle Verwaltung des Zugriffs jedes Benutzers. Sie unterstützt auch das Prinzip des geringsten Privilegs, indem sie jeder Rolle nur den Zugriff gewährt, den ihre Funktion erfordert.

Authentifizierung, Autorisierung und Zugriffskontrolle in der Gesundheits-IT

Authentifizierung, Autorisierung und Zugriffskontrolle sind die technischen Schutzmaßnahmen, die darüber entscheiden, wer auf Gesundheitsinformationen zugreifen darf und was damit geschehen darf. Die Authentifizierung stellt fest, dass ein Benutzer (oder System) derjenige ist, der er vorgibt zu sein; die Autorisierung bestimmt, was ein authentifizierter Benutzer tun darf; und die Zugriffskontrolle setzt diese Berechtigungen durch, wenn Daten und Funktionen angefordert werden. Zusammen bilden sie die erste Verteidigungslinie für Vertraulichkeit und Integrität in Gesundheitsinformationssystemen.

Thema finden mit PaperMindDemnächstFind papers & topics

Tools & resources

Folien herunterladen

Learn & explore

VideoDemnächst

Definition

Authentifizierung ist der Prozess der Überprüfung einer beanspruchten Identität; Autorisierung ist der Prozess der Bestimmung der Aktionen und Ressourcen, die einer verifizierten Identität erlaubt sind; Zugriffskontrolle ist der Mechanismus, der Autorisierungsentscheidungen durch Zulassen oder Verweigern spezifischer Operationen auf geschützten Ressourcen durchsetzt.

Scope

Dieser Eintrag erläutert den Unterschied zwischen Authentifizierung und Autorisierung, gängige Authentifizierungsfaktoren und die Rolle der Multi-Faktor-Authentifizierung sowie die dominierenden Modelle der Zugriffskontrolle, insbesondere die rollenbasierte Zugriffskontrolle und ihre Erweiterungen, angewendet auf elektronische Gesundheitsakten und andere klinische Systeme. Er berührt auch die Spannung zwischen der Einschränkung des Zugriffs und der Unterstützung des klinischen Arbeitsablaufs. Es handelt sich um Referenzmaterial zu den Konzepten und ist keine Implementierungsanleitung oder Sicherheitskonfiguration für ein bestimmtes System.

Core questions

Wie stellt ein System fest, dass ein Benutzer derjenige ist, der er vorgibt zu sein?
Wie werden Berechtigungen strukturiert, damit Benutzer ihre Arbeit ohne übermäßig weitreichenden Zugriff erledigen können?
Welche Modelle gibt es für die Organisation von Zugriffsentscheidungen und wie unterscheiden sie sich?
Wie kann die Zugriffskontrolle sowohl Sicherheits- als auch klinische Arbeitsablaufanforderungen berücksichtigen?
Welche Rolle spielen Patienten bei der Kontrolle des Zugriffs auf ihre eigenen Akten?

Key concepts

Authentifizierung versus Autorisierung
Authentifizierungsfaktoren (Wissen, Besitz, Inhärenz)
Multi-Faktor-Authentifizierung
Rollenbasierte Zugriffskontrolle (RBAC)
Geringstes Privileg und Aufgabentrennung
Attributbasierte und kontextsensitive Zugriffskontrolle
„Break-the-Glass“-Notfallzugriff
Granulare, patientengesteuerte Zugriffspräferenzen

Mechanisms

Zugriffsentscheidungen erfolgen in Stufen. Die Authentifizierung bindet zunächst eine Anfrage an eine Identität unter Verwendung eines oder mehrerer Faktoren: etwas, das der Benutzer weiß (ein Passwort), hat (ein Token oder Gerät) oder ist (eine Biometrie); die Kombination von Faktoren führt zur Multi-Faktor-Authentifizierung, die dem Diebstahl von Anmeldeinformationen besser widersteht als Passwörter allein. Nach der Authentifizierung bestimmt die Autorisierung die erlaubten Aktionen. Die rollenbasierte Zugriffskontrolle organisiert dies, indem sie Berechtigungen Rollen und Rollen Benutzern zuweist, sodass ein Kliniker den für seine Funktion angemessenen Zugriff erbt, anstatt individuell verwaltete Berechtigungen zu erhalten; dies stimmt natürlich mit dem Prinzip des geringsten Privilegs überein und erleichtert die Verwaltung in großen Organisationen (Sandhu et al., 1996; Ferraiolo et al., 2001). Erweiterungen fügen Attribute und Kontext hinzu (wie die Beziehung zum Patienten oder den Zeitpunkt des Zugriffs), und Notfall-„Break-the-Glass“-Bestimmungen ermöglichen eine kontrollierte Außerkraftsetzung mit erhöhter Protokollierung. Patienten selbst möchten möglicherweise eine granulare Kontrolle darüber ausüben, wer welche Teile ihrer Akte einsehen darf, was eine weitere Dimension der Zugriffsrichtlinie hinzufügt (Caine & Hanania, 2013). Die technischen Schutzmaßnahmen der HIPAA Security Rule erfordern Zugriffskontrolle und verwandte Kontrollen für elektronische geschützte Gesundheitsinformationen (HHS OCR, 2013).

Clinical relevance

Eine gut konzipierte Zugriffskontrolle schützt die Vertraulichkeit, während sie es den Pflegeteams ermöglicht, auf die benötigten Informationen zuzugreifen; schlecht konzipierte Kontrollen können entweder Daten offenlegen oder die klinische Arbeit behindern, was zu unsicheren Umgehungslösungen führt. Die Evidenz, dass Patienten eine feingranulare Kontrolle über ihre Akten wünschen, beeinflusst, wie Systeme Schutz und Autonomie ausbalancieren (Caine & Hanania, 2013). Dieser Eintrag beschreibt die Konzepte zu Referenz- und Bildungszwecken und ist keine Konfigurations- oder Sicherheitsanleitung für ein bestimmtes System.

Evidence & guidelines

Die konzeptionellen Grundlagen der rollenbasierten Zugriffskontrolle sind im wegweisenden Modellpapier (Sandhu et al., 1996) dargelegt und im vorgeschlagenen NIST-Standard (Ferraiolo et al., 2001) kodifiziert. Die technischen Schutzmaßnahmen der HIPAA Security Rule erfordern Zugriffskontrolle, Audit-Kontrollen, Integritätsschutz, Personen- oder Entitätsauthentifizierung und Übertragungssicherheit für elektronische geschützte Gesundheitsinformationen (HHS OCR, 2013). Spezifische Kontrollanforderungen hängen von der Risikoanalyse einer Organisation und den aktuellen offiziellen Standards ab.

History

Frühe Computersysteme basierten auf einfachen diskretionären und obligatorischen Zugriffskontrollmodellen. Die rollenbasierte Zugriffskontrolle entstand in den 1990er Jahren als ein besser handhabbarer Ansatz für große Organisationen, formalisiert im einflussreichen Modell von Sandhu und Kollegen (1996) und später als NIST-Standard vorgeschlagen (Ferraiolo et al., 2001). Die Einführung im Gesundheitswesen folgte, da klinische Rollen natürlich auf rollenbasierte Berechtigungen abgebildet werden können, und der Ansatz wurde seitdem mit attribut- und kontextsensitiven Mechanismen erweitert, um die Nuancen des klinischen Zugriffs zu handhaben.

Debates

Wie granular sollte die Patientenkontrolle über den Aktenzugriff sein?: Umfrageergebnisse deuten darauf hin, dass Patienten oft eine feingranulare Kontrolle darüber wünschen, wer bestimmte Teile ihrer elektronischen Akten einsehen kann, aber die Implementierung einer solchen Granularität kann den klinischen Zugriff und die Versorgungskoordination erschweren, was eine Designspannung zwischen Autonomie und Benutzerfreundlichkeit aufwirft.

Seminal works

sandhu-1996
ferraiolo-2001

Frequently asked questions

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?: Die Authentifizierung überprüft, wer ein Benutzer ist (zum Beispiel durch Überprüfung eines Passworts und eines zweiten Faktors), während die Autorisierung entscheidet, was dieser verifizierte Benutzer tun darf. Die Authentifizierung erfolgt zuerst; die Autorisierung regelt die darauf folgenden Aktionen.
Warum ist die rollenbasierte Zugriffskontrolle in der Gesundheits-IT verbreitet?: Die klinische Arbeit ist um definierte Rollen herum organisiert, daher ist die Zuweisung von Berechtigungen zu Rollen und von Rollen zu Personen besser skalierbar als die individuelle Verwaltung des Zugriffs jedes Benutzers. Sie unterstützt auch das Prinzip des geringsten Privilegs, indem sie jeder Rolle nur den Zugriff gewährt, den ihre Funktion erfordert.