प्रमाणीकरण और प्राधिकरण में क्या अंतर है?

प्रमाणीकरण यह सत्यापित करता है कि कोई उपयोगकर्ता कौन है (उदाहरण के लिए, पासवर्ड और दूसरे कारक की जाँच करके), जबकि प्राधिकरण यह तय करता है कि उस सत्यापित उपयोगकर्ता को क्या करने की अनुमति है। प्रमाणीकरण पहले आता है; प्राधिकरण बाद के कार्यों को नियंत्रित करता है।

स्वास्थ्य सूचना प्रौद्योगिकी में भूमिका-आधारित अभिगम नियंत्रण सामान्य क्यों है?

नैदानिक कार्य परिभाषित भूमिकाओं के इर्द-गिर्द व्यवस्थित होता है, इसलिए भूमिकाओं को अनुमतियाँ और लोगों को भूमिकाएँ सौंपना प्रत्येक उपयोगकर्ता के अभिगम को व्यक्तिगत रूप से प्रबंधित करने की तुलना में बेहतर होता है। यह न्यूनतम विशेषाधिकार के सिद्धांत का भी समर्थन करता है, प्रत्येक भूमिका को केवल वही अभिगम देता है जिसकी उसके कार्य को आवश्यकता होती है।

स्वास्थ्य सूचना प्रौद्योगिकी में प्रमाणीकरण, प्राधिकरण और अभिगम नियंत्रण

प्रमाणीकरण, प्राधिकरण और अभिगम नियंत्रण वे तकनीकी सुरक्षा उपाय हैं जो यह तय करते हैं कि स्वास्थ्य संबंधी जानकारी तक कौन पहुँच सकता है और वे उसके साथ क्या कर सकते हैं। प्रमाणीकरण यह स्थापित करता है कि कोई उपयोगकर्ता (या प्रणाली) वही है जो वह होने का दावा करता है; प्राधिकरण यह निर्धारित करता है कि एक प्रमाणित उपयोगकर्ता को क्या करने की अनुमति है; और जब डेटा और कार्यों का अनुरोध किया जाता है तो अभिगम नियंत्रण उन अनुमतियों को लागू करता है। साथ मिलकर वे स्वास्थ्य सूचना प्रणालियों में गोपनीयता और अखंडता की अग्रिम पंक्ति हैं।

PaperMind से विषय खोजेंजल्द हीFind papers & topics

Tools & resources

स्लाइड डाउनलोड करें

Learn & explore

वीडियोजल्द ही

Definition

प्रमाणीकरण एक दावा की गई पहचान को सत्यापित करने की प्रक्रिया है; प्राधिकरण एक सत्यापित पहचान को अनुमत कार्यों और संसाधनों को निर्धारित करने की प्रक्रिया है; अभिगम नियंत्रण वह तंत्र है जो संरक्षित संसाधनों पर विशिष्ट संचालन की अनुमति या अस्वीकृति करके प्राधिकरण निर्णयों को लागू करता है।

Scope

यह प्रविष्टि प्रमाणीकरण और प्राधिकरण के बीच के अंतर, सामान्य प्रमाणीकरण कारकों और बहु-कारक प्रमाणीकरण की भूमिका, और अभिगम नियंत्रण के प्रमुख मॉडल, विशेष रूप से भूमिका-आधारित अभिगम नियंत्रण और उसके विस्तार, जैसा कि इलेक्ट्रॉनिक स्वास्थ्य रिकॉर्ड और अन्य नैदानिक प्रणालियों पर लागू होता है, की व्याख्या करती है। यह अभिगम को प्रतिबंधित करने और नैदानिक कार्यप्रवाह का समर्थन करने के बीच के तनाव को भी छूता है। यह अवधारणाओं पर संदर्भ सामग्री है और किसी विशिष्ट प्रणाली के लिए कार्यान्वयन मार्गदर्शिका या सुरक्षा कॉन्फ़िगरेशन नहीं है।

Core questions

एक प्रणाली यह कैसे स्थापित करती है कि कोई उपयोगकर्ता वही है जो वह होने का दावा करता है?
अनुमतियों को कैसे संरचित किया जाता है ताकि उपयोगकर्ता अत्यधिक व्यापक अभिगम के बिना अपना काम कर सकें?
अभिगम निर्णयों को व्यवस्थित करने के लिए कौन से मॉडल मौजूद हैं, और वे कैसे भिन्न हैं?
अभिगम नियंत्रण सुरक्षा और नैदानिक कार्यप्रवाह दोनों आवश्यकताओं का सम्मान कैसे कर सकता है?
अपने स्वयं के रिकॉर्ड तक पहुँच को नियंत्रित करने में रोगियों की क्या भूमिका है?

Key concepts

प्रमाणीकरण बनाम प्राधिकरण
प्रमाणीकरण कारक (ज्ञान, कब्ज़ा, अंतर्निहितता)
बहु-कारक प्रमाणीकरण
भूमिका-आधारित अभिगम नियंत्रण (RBAC)
न्यूनतम विशेषाधिकार और कर्तव्यों का पृथक्करण
विशेषता-आधारित और संदर्भ-जागरूक अभिगम नियंत्रण
ब्रेक-द-ग्लास आपातकालीन अभिगम
दानेदार, रोगी-निर्देशित अभिगम प्राथमिकताएँ

Mechanisms

अभिगम निर्णय चरणों में आगे बढ़ते हैं। प्रमाणीकरण पहले एक या अधिक कारकों का उपयोग करके एक अनुरोध को एक पहचान से जोड़ता है: कुछ ऐसा जो उपयोगकर्ता जानता है (एक पासवर्ड), उसके पास है (एक टोकन या उपकरण), या वह है (एक बायोमेट्रिक); कारकों के संयोजन से बहु-कारक प्रमाणीकरण प्राप्त होता है, जो अकेले पासवर्ड की तुलना में क्रेडेंशियल चोरी का बेहतर प्रतिरोध करता है। एक बार प्रमाणित होने के बाद, प्राधिकरण अनुमत कार्यों को निर्धारित करता है। भूमिका-आधारित अभिगम नियंत्रण अनुमतियों को भूमिकाओं और भूमिकाओं को उपयोगकर्ताओं को सौंपकर इसे व्यवस्थित करता है, ताकि एक चिकित्सक को व्यक्तिगत रूप से प्रबंधित अनुमतियाँ प्राप्त करने के बजाय उनके कार्य के लिए उपयुक्त अभिगम विरासत में मिले; यह स्वाभाविक रूप से न्यूनतम विशेषाधिकार के सिद्धांत के साथ संरेखित होता है और बड़े संगठनों में प्रशासन को आसान बनाता है (Sandhu et al., 1996; Ferraiolo et al., 2001)। विस्तार विशेषताओं और संदर्भ (जैसे रोगी से संबंध या अभिगम का समय) को जोड़ते हैं, और आपातकालीन 'ब्रेक-द-ग्लास' प्रावधान उच्च लॉगिंग के साथ नियंत्रित ओवरराइड की अनुमति देते हैं। रोगी स्वयं अपने रिकॉर्ड के किन हिस्सों को कौन देखता है, इस पर दानेदार नियंत्रण का प्रयोग करना चाह सकते हैं, जो अभिगम नीति में एक और आयाम जोड़ता है (Caine & Hanania, 2013)। HIPAA सुरक्षा नियम के तकनीकी सुरक्षा उपायों के लिए इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (HHS OCR, 2013) के लिए अभिगम नियंत्रण और संबंधित नियंत्रणों की आवश्यकता होती है।

Clinical relevance

अच्छी तरह से डिज़ाइन किया गया अभिगम नियंत्रण गोपनीयता की रक्षा करता है जबकि अभी भी देखभाल टीमों को आवश्यक जानकारी तक पहुँचने देता है; खराब डिज़ाइन किए गए नियंत्रण या तो डेटा को उजागर कर सकते हैं या नैदानिक कार्य को बाधित कर सकते हैं, जिससे असुरक्षित समाधानों को बढ़ावा मिलता है। इस बात के प्रमाण कि रोगी अपने रिकॉर्ड पर बारीक नियंत्रण चाहते हैं, इस बात पर निर्भर करता है कि सिस्टम स्वायत्तता के साथ सुरक्षा को कैसे संतुलित करते हैं (Caine & Hanania, 2013)। यह प्रविष्टि संदर्भ और शिक्षा के लिए अवधारणाओं का वर्णन करती है और किसी विशिष्ट प्रणाली के लिए कॉन्फ़िगरेशन या सुरक्षा मार्गदर्शिका नहीं है।

Evidence & guidelines

भूमिका-आधारित अभिगम नियंत्रण की वैचारिक नींव सेमिनल मॉडल पेपर (Sandhu et al., 1996) में रखी गई है और प्रस्तावित NIST मानक (Ferraiolo et al., 2001) में संहिताबद्ध की गई है। HIPAA सुरक्षा नियम के तकनीकी सुरक्षा उपायों के लिए इलेक्ट्रॉनिक संरक्षित स्वास्थ्य जानकारी (HHS OCR, 2013) के लिए अभिगम नियंत्रण, ऑडिट नियंत्रण, अखंडता सुरक्षा, व्यक्ति-या-इकाई प्रमाणीकरण और संचरण सुरक्षा की आवश्यकता होती है। विशिष्ट नियंत्रण आवश्यकताएँ किसी संगठन के जोखिम विश्लेषण और वर्तमान आधिकारिक मानकों पर निर्भर करती हैं।

History

प्रारंभिक कंप्यूटर सिस्टम सरल विवेकाधीन और अनिवार्य अभिगम-नियंत्रण मॉडल पर निर्भर करते थे। भूमिका-आधारित अभिगम नियंत्रण 1990 के दशक में बड़े संगठनों के लिए एक अधिक प्रबंधनीय दृष्टिकोण के रूप में उभरा, जिसे संधू और सहयोगियों (1996) के प्रभावशाली मॉडल में औपचारिक रूप दिया गया और बाद में NIST मानक (Ferraiolo et al., 2001) के रूप में प्रस्तावित किया गया। स्वास्थ्य-देखभाल को अपनाया गया क्योंकि नैदानिक भूमिकाएँ स्वाभाविक रूप से भूमिका-आधारित अनुमतियों पर मैप करती हैं, और इस दृष्टिकोण को तब से नैदानिक अभिगम की बारीकियों को संभालने के लिए विशेषता- और संदर्भ-जागरूक तंत्रों के साथ विस्तारित किया गया है।

Debates

रिकॉर्ड अभिगम पर रोगी का नियंत्रण कितना दानेदार होना चाहिए?: सर्वेक्षण के साक्ष्य बताते हैं कि रोगी अक्सर अपने इलेक्ट्रॉनिक रिकॉर्ड के विशिष्ट हिस्सों को कौन देख सकता है, इस पर बारीक नियंत्रण चाहते हैं, लेकिन ऐसी दानेदारता को लागू करने से नैदानिक अभिगम और देखभाल समन्वय जटिल हो सकता है, जिससे स्वायत्तता और उपयोगिता के बीच एक डिजाइन तनाव पैदा होता है।

Seminal works

sandhu-1996
ferraiolo-2001

Frequently asked questions

प्रमाणीकरण और प्राधिकरण में क्या अंतर है?: प्रमाणीकरण यह सत्यापित करता है कि कोई उपयोगकर्ता कौन है (उदाहरण के लिए, पासवर्ड और दूसरे कारक की जाँच करके), जबकि प्राधिकरण यह तय करता है कि उस सत्यापित उपयोगकर्ता को क्या करने की अनुमति है। प्रमाणीकरण पहले आता है; प्राधिकरण बाद के कार्यों को नियंत्रित करता है।
स्वास्थ्य सूचना प्रौद्योगिकी में भूमिका-आधारित अभिगम नियंत्रण सामान्य क्यों है?: नैदानिक कार्य परिभाषित भूमिकाओं के इर्द-गिर्द व्यवस्थित होता है, इसलिए भूमिकाओं को अनुमतियाँ और लोगों को भूमिकाएँ सौंपना प्रत्येक उपयोगकर्ता के अभिगम को व्यक्तिगत रूप से प्रबंधित करने की तुलना में बेहतर होता है। यह न्यूनतम विशेषाधिकार के सिद्धांत का भी समर्थन करता है, प्रत्येक भूमिका को केवल वही अभिगम देता है जिसकी उसके कार्य को आवश्यकता होती है।