Kimlik doğrulama ile yetkilendirme arasındaki fark nedir?

Kimlik doğrulama, bir kullanıcının kim olduğunu doğrulamaktadır (örneğin, bir parola ve ikinci bir faktör kontrol edilerek), yetkilendirme ise doğrulanmış kullanıcının ne yapmasına izin verildiğini belirlemektedir. Kimlik doğrulama önce gelmekte; yetkilendirme ise bunu takip eden eylemleri yönetmektedir.

Sağlık bilişiminde rol tabanlı erişim kontrolü neden yaygındır?

Klinik çalışma tanımlanmış roller etrafında düzenlenmektedir, bu nedenle rollere izinler ve kişilere roller atamak, her kullanıcının erişimini ayrı ayrı yönetmekten daha iyi ölçeklenmektedir. Ayrıca, her role yalnızca işlevinin gerektirdiği erişimi vererek en az ayrıcalık ilkesini de desteklemektedir.

Sağlık Bilişiminde Kimlik Doğrulama, Yetkilendirme ve Erişim Kontrolü

Kimlik doğrulama, yetkilendirme ve erişim kontrolü, sağlık bilgilerine kimlerin erişebileceğini ve bu bilgilerle ne yapabileceklerini belirleyen teknik güvenlik önlemleridir. Kimlik doğrulama, bir kullanıcının (veya sistemin) iddia ettiği kişi olduğunu doğrulamaktadır; yetkilendirme, kimliği doğrulanmış bir kullanıcının ne yapmasına izin verildiğini belirlemektedir; ve erişim kontrolü, veri ve işlevler talep edildiğinde bu izinleri uygulamaktadır. Bunlar birlikte, sağlık bilişim sistemlerinde gizliliğin ve bütünlüğün ön saflarını oluşturmaktadır.

PaperMind ile konu bulYakındaMakale ve konu bul

Tools & resources

Slaytları indir

Learn & explore

VideoYakında

Tanım

Kimlik doğrulama, iddia edilen bir kimliği doğrulama sürecidir; yetkilendirme, doğrulanmış bir kimliğin yapmasına izin verilen eylemleri ve kaynakları belirleme sürecidir; erişim kontrolü ise korunan kaynaklar üzerindeki belirli işlemlere izin vererek veya bunları reddederek yetkilendirme kararlarını uygulayan mekanizmadır.

Kapsam

Bu madde, kimlik doğrulama ve yetkilendirme arasındaki ayrımı, yaygın kimlik doğrulama faktörlerini ve çok faktörlü kimlik doğrulamanın rolünü, ayrıca elektronik sağlık kayıtları ve diğer klinik sistemlere uygulandığı şekliyle erişim kontrolünün baskın modellerini, özellikle rol tabanlı erişim kontrolünü ve uzantılarını açıklamaktadır. Ayrıca, erişimi kısıtlama ile klinik iş akışını destekleme arasındaki gerilime de değinmektedir. Bu, kavramlar üzerine bir referans materyalidir ve belirli bir sistem için bir uygulama kılavuzu veya güvenlik yapılandırması değildir.

Temel sorular

Bir sistem, bir kullanıcının iddia ettiği kişi olduğunu nasıl doğrulamaktadır?
İzinler, kullanıcıların aşırı geniş erişim olmaksızın işlerini yapabilmeleri için nasıl yapılandırılmaktadır?
Erişim kararlarını düzenlemek için hangi modeller mevcuttur ve bunlar nasıl farklılaşmaktadır?
Erişim kontrolü hem güvenliği hem de klinik iş akışı ihtiyaçlarını nasıl karşılayabilmektedir?
Hastaların kendi kayıtlarına erişimi kontrol etmede ne gibi bir rolü bulunmaktadır?

Anahtar kavramlar

Kimlik doğrulama ve yetkilendirme
Kimlik doğrulama faktörleri (bilgi, sahiplik, içsel özellik)
Çok faktörlü kimlik doğrulama
Rol tabanlı erişim kontrolü (RBAC)
En az ayrıcalık ve görev ayrılığı
Nitelik tabanlı ve bağlam duyarlı erişim kontrolü
Acil durum 'camı kırma' erişimi
Ayrıntılı, hasta odaklı erişim tercihleri

Mekanizmalar

Erişim kararları aşamalı olarak ilerlemektedir. Kimlik doğrulama, öncelikle bir isteği bir veya daha fazla faktör kullanarak bir kimliğe bağlamaktadır: kullanıcının bildiği bir şey (bir parola), sahip olduğu bir şey (bir jeton veya cihaz) veya olduğu bir şey (bir biyometrik); faktörlerin birleştirilmesi, yalnızca parolalara göre kimlik bilgisi hırsızlığına daha iyi direnen çok faktörlü kimlik doğrulamayı sağlamaktadır. Kimlik doğrulandıktan sonra, yetkilendirme izin verilen eylemleri belirlemektedir. Rol tabanlı erişim kontrolü (RBAC) bunu, rollere izinler ve kullanıcılara roller atayarak düzenlemektedir, böylece bir klinisyen, bireysel olarak yönetilen izinler almak yerine işlevine uygun erişimi devralmaktadır; bu, en az ayrıcalık ilkesiyle doğal olarak uyumlu olmakta ve büyük kuruluşlarda yönetimi kolaylaştırmaktadır (Sandhu et al., 1996; Ferraiolo et al., 2001). Uzantılar, nitelikler ve bağlam (hastayla ilişki veya erişim zamanı gibi) eklemekte, acil durum 'camı kırma' (break-the-glass) hükümleri ise artırılmış günlük kaydı ile kontrollü geçersiz kılmaya izin vermektedir. Hastaların kendileri, kayıtlarının hangi bölümlerini kimlerin göreceği üzerinde ayrıntılı kontrol uygulamak isteyebilmektedir, bu da erişim politikasına ek bir boyut katmaktadır (Caine & Hanania, 2013). HIPAA Güvenlik Kuralı'nın teknik güvenlik önlemleri, elektronik korunan sağlık bilgileri için erişim kontrolü ve ilgili kontrolleri gerektirmektedir (HHS OCR, 2013).

Klinik önem

İyi tasarlanmış erişim kontrolü, bakım ekiplerinin ihtiyaç duydukları bilgilere ulaşmasına izin verirken gizliliği korumaktadır; kötü tasarlanmış kontroller ise verileri ifşa edebilmekte veya klinik çalışmayı engelleyerek güvenli olmayan geçici çözümlere yol açabilmektedir. Hastaların kayıtları üzerinde ayrıntılı kontrol istediklerine dair kanıtlar, sistemlerin korumayı özerklikle nasıl dengelediğiyle ilgilidir (Caine & Hanania, 2013). Bu madde, referans ve eğitim amaçlı kavramları tanımlamakta olup, belirli bir sistem için bir yapılandırma veya güvenlik kılavuzu değildir.

Kanıt ve kılavuzlar

Rol tabanlı erişim kontrolünün kavramsal temelleri, çığır açan model makalesinde (Sandhu et al., 1996) ortaya konulmuş ve önerilen NIST standardında (Ferraiolo et al., 2001) kodlanmıştır. HIPAA Güvenlik Kuralı'nın teknik güvenlik önlemleri, elektronik korunan sağlık bilgileri için erişim kontrolü, denetim kontrolleri, bütünlük koruması, kişi veya varlık kimlik doğrulaması ve iletim güvenliği gerektirmektedir (HHS OCR, 2013). Belirli kontrol gereksinimleri, bir kuruluşun risk analizine ve mevcut resmi standartlara bağlıdır.

Tarihçe

Erken bilgisayar sistemleri, basit isteğe bağlı ve zorunlu erişim kontrolü modellerine dayanmaktaydı. Rol tabanlı erişim kontrolü, 1990'larda büyük kuruluşlar için daha yönetilebilir bir yaklaşım olarak ortaya çıkmış, Sandhu ve arkadaşlarının etkili modelinde (1996) resmileştirilmiş ve daha sonra bir NIST standardı olarak önerilmiştir (Ferraiolo et al., 2001). Sağlık hizmetleri tarafından benimsenmesi, klinik rollerin rol tabanlı izinlere doğal olarak eşleşmesi nedeniyle gerçekleşmiş ve bu yaklaşım o zamandan beri klinik erişimin inceliklerini ele almak için nitelik ve bağlam duyarlı mekanizmalarla genişletilmiştir.

Tartışmalar

Hastaların kayıt erişimi üzerindeki kontrolü ne kadar ayrıntılı olmalıdır?: Anket kanıtları, hastaların genellikle elektronik kayıtlarının belirli bölümlerini kimlerin görebileceği üzerinde ayrıntılı kontrol istediklerini göstermektedir, ancak bu tür bir ayrıntılı kontrolün uygulanması, klinik erişimi ve bakım koordinasyonunu karmaşıklaştırabilmekte, özerklik ve kullanılabilirlik arasında bir tasarım gerilimi yaratmaktadır.

İlgili konular

Temel eserler

sandhu-1996
ferraiolo-2001

Sıkça sorulan sorular

Kimlik doğrulama ile yetkilendirme arasındaki fark nedir?: Kimlik doğrulama, bir kullanıcının kim olduğunu doğrulamaktadır (örneğin, bir parola ve ikinci bir faktör kontrol edilerek), yetkilendirme ise doğrulanmış kullanıcının ne yapmasına izin verildiğini belirlemektedir. Kimlik doğrulama önce gelmekte; yetkilendirme ise bunu takip eden eylemleri yönetmektedir.
Sağlık bilişiminde rol tabanlı erişim kontrolü neden yaygındır?: Klinik çalışma tanımlanmış roller etrafında düzenlenmektedir, bu nedenle rollere izinler ve kişilere roller atamak, her kullanıcının erişimini ayrı ayrı yönetmekten daha iyi ölçeklenmektedir. Ayrıca, her role yalnızca işlevinin gerektirdiği erişimi vererek en az ayrıcalık ilkesini de desteklemektedir.