Apa perbedaan antara autentikasi dan otorisasi?

Autentikasi memverifikasi siapa pengguna (misalnya, dengan memeriksa kata sandi dan faktor kedua), sementara otorisasi memutuskan apa yang diizinkan untuk dilakukan oleh pengguna yang terverifikasi tersebut. Autentikasi datang lebih dulu; otorisasi mengatur tindakan yang menyusul.

Mengapa kontrol akses berbasis peran umum dalam IT kesehatan?

Pekerjaan klinis diatur berdasarkan peran yang ditentukan, sehingga menetapkan izin ke peran dan peran ke orang akan lebih baik daripada mengelola akses setiap pengguna secara individual. Ini juga mendukung prinsip hak istimewa paling rendah, memberikan setiap peran hanya akses yang dibutuhkan oleh fungsinya.

Autentikasi, Otorisasi, dan Kontrol Akses dalam IT Kesehatan

Autentikasi, otorisasi, dan kontrol akses adalah pengamanan teknis yang menentukan siapa yang dapat mengakses informasi kesehatan dan apa yang dapat mereka lakukan dengannya. Autentikasi menetapkan bahwa pengguna (atau sistem) adalah seperti yang diklaimnya; otorisasi menentukan apa yang diizinkan untuk dilakukan oleh pengguna yang telah diautentikasi; dan kontrol akses memberlakukan izin tersebut ketika data dan fungsi diminta. Bersama-sama, ketiganya merupakan garis depan kerahasiaan dan integritas dalam sistem informasi kesehatan.

Temukan Topik dengan PaperMindSegeraFind papers & topics

Tools & resources

Unduh salindia

Learn & explore

VideoSegera

Definition

Autentikasi adalah proses verifikasi identitas yang diklaim; otorisasi adalah proses penentuan tindakan dan sumber daya yang diizinkan untuk identitas yang terverifikasi; kontrol akses adalah mekanisme yang memberlakukan keputusan otorisasi dengan mengizinkan atau menolak operasi spesifik pada sumber daya yang dilindungi.

Scope

Entri ini menjelaskan perbedaan antara autentikasi dan otorisasi, faktor-faktor autentikasi umum dan peran autentikasi multi-faktor, serta model kontrol akses yang dominan, terutama kontrol akses berbasis peran dan perluasannya, sebagaimana diterapkan pada rekam medis elektronik dan sistem klinis lainnya. Ini juga menyentuh ketegangan antara membatasi akses dan mendukung alur kerja klinis. Ini adalah materi referensi tentang konsep-konsep dan bukan panduan implementasi atau konfigurasi keamanan untuk sistem tertentu.

Core questions

Bagaimana sistem menetapkan bahwa pengguna adalah seperti yang diklaimnya?
Bagaimana izin disusun agar pengguna dapat melakukan pekerjaannya tanpa akses yang terlalu luas?
Model apa saja yang ada untuk mengatur keputusan akses, dan bagaimana perbedaannya?
Bagaimana kontrol akses dapat menghormati kebutuhan keamanan dan alur kerja klinis?
Peran apa yang dimiliki pasien dalam mengontrol akses ke rekam medis mereka sendiri?

Key concepts

Autentikasi versus otorisasi
Faktor autentikasi (pengetahuan, kepemilikan, inherensi)
Autentikasi multi-faktor
Kontrol akses berbasis peran (RBAC)
Hak istimewa paling rendah (least privilege) dan pemisahan tugas (separation of duties)
Kontrol akses berbasis atribut dan sadar konteks
Akses darurat 'break-the-glass'
Preferensi akses granular yang diarahkan pasien

Mechanisms

Keputusan akses berlangsung secara bertahap. Autentikasi pertama-tama mengikat permintaan ke identitas menggunakan satu atau lebih faktor: sesuatu yang diketahui pengguna (kata sandi), dimiliki (token atau perangkat), atau merupakan bagian dari dirinya (biometrik); penggabungan faktor menghasilkan autentikasi multi-faktor, yang lebih tahan terhadap pencurian kredensial dibandingkan hanya kata sandi. Setelah diautentikasi, otorisasi menentukan tindakan yang diizinkan. Kontrol akses berbasis peran mengaturnya dengan menetapkan izin ke peran dan peran ke pengguna, sehingga seorang klinisi mewarisi akses yang sesuai dengan fungsinya daripada menerima izin yang dikelola secara individual; ini selaras secara alami dengan prinsip hak istimewa paling rendah (least privilege) dan memudahkan administrasi di organisasi besar (Sandhu et al., 1996; Ferraiolo et al., 2001). Perluasan menambahkan atribut dan konteks (seperti hubungan dengan pasien atau waktu akses), dan ketentuan darurat 'break-the-glass' memungkinkan pengesampingan terkontrol dengan pencatatan yang ditingkatkan. Pasien sendiri mungkin ingin menerapkan kontrol granular atas siapa yang melihat bagian mana dari rekam medis mereka, yang menambah dimensi lebih lanjut pada kebijakan akses (Caine & Hanania, 2013). Pengamanan teknis Aturan Keamanan HIPAA memerlukan kontrol akses dan kontrol terkait untuk informasi kesehatan yang dilindungi secara elektronik (HHS OCR, 2013).

Clinical relevance

Kontrol akses yang dirancang dengan baik melindungi kerahasiaan sambil tetap memungkinkan tim perawatan mengakses informasi yang mereka butuhkan; kontrol yang dirancang dengan buruk dapat mengekspos data atau menghambat pekerjaan klinis, mendorong solusi sementara yang tidak aman. Bukti bahwa pasien menginginkan kontrol yang terperinci atas rekam medis mereka memengaruhi bagaimana sistem menyeimbangkan perlindungan dengan otonomi (Caine & Hanania, 2013). Entri ini menjelaskan konsep-konsep untuk referensi dan pendidikan dan bukan panduan konfigurasi atau keamanan untuk sistem tertentu.

Evidence & guidelines

Dasar konseptual kontrol akses berbasis peran dijelaskan dalam makalah model seminal (Sandhu et al., 1996) dan dikodifikasi dalam standar NIST yang diusulkan (Ferraiolo et al., 2001). Pengamanan teknis Aturan Keamanan HIPAA memerlukan kontrol akses, kontrol audit, perlindungan integritas, autentikasi orang atau entitas, dan keamanan transmisi untuk informasi kesehatan yang dilindungi secara elektronik (HHS OCR, 2013). Persyaratan kontrol spesifik bergantung pada analisis risiko organisasi dan standar resmi saat ini.

History

Sistem komputer awal mengandalkan model kontrol akses diskresioner dan wajib yang sederhana. Kontrol akses berbasis peran muncul pada tahun 1990-an sebagai pendekatan yang lebih mudah dikelola untuk organisasi besar, diformalkan dalam model berpengaruh dari Sandhu dan rekan (1996) dan kemudian diusulkan sebagai standar NIST (Ferraiolo et al., 2001). Adopsi di bidang kesehatan menyusul karena peran klinis secara alami sesuai dengan izin berbasis peran, dan pendekatan ini sejak itu telah diperluas dengan mekanisme yang sadar atribut dan konteks untuk menangani nuansa akses klinis.

Debates

Seberapa granular seharusnya kontrol pasien terhadap akses rekam medis?: Bukti survei menunjukkan bahwa pasien sering menginginkan kontrol yang terperinci atas siapa yang dapat melihat bagian-bagian tertentu dari rekam medis elektronik mereka, tetapi mengimplementasikan granularitas semacam itu dapat mempersulit akses klinis dan koordinasi perawatan, menimbulkan ketegangan desain antara otonomi dan kegunaan.

Seminal works

sandhu-1996
ferraiolo-2001

Frequently asked questions

Apa perbedaan antara autentikasi dan otorisasi?: Autentikasi memverifikasi siapa pengguna (misalnya, dengan memeriksa kata sandi dan faktor kedua), sementara otorisasi memutuskan apa yang diizinkan untuk dilakukan oleh pengguna yang terverifikasi tersebut. Autentikasi datang lebih dulu; otorisasi mengatur tindakan yang menyusul.
Mengapa kontrol akses berbasis peran umum dalam IT kesehatan?: Pekerjaan klinis diatur berdasarkan peran yang ditentukan, sehingga menetapkan izin ke peran dan peran ke orang akan lebih baik daripada mengelola akses setiap pengguna secara individual. Ini juga mendukung prinsip hak istimewa paling rendah, memberikan setiap peran hanya akses yang dibutuhkan oleh fungsinya.