Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2196 / 318 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 12:

Секретность данных в интернете

Средства построения и применения политик секретности

Специалисты в области информационной безопасности используют сетевые сканеры для обнаружения уязвимых мест сети. В настоящее время на рынке существуют также продукты и услуги, призванные помочь в применении и аудите политик секретности.

Продукты, предназначенные для обеспечения секретности в интернете

Мы уже упоминали средства построения политики, например, продукты организации Direct Marketing Association (DMA) и Организации экономического сотрудничества и развития (OECD). Генератор политики создает политику секретности, а другие продукты, описываемые в данном разделе, совершенствуют ее.

PrivacyRight

Компания PrivacyRight предлагает систему TrustFilter, упрощающую управление секретной информацией о клиентах. Она интегрируется со структурами управления информацией на предприятии, и основной ее функцией является разработка единой безопасной точки доступа к личной информации о клиенте. Пакет TrustFilter состоит из системы разрешений и сервера аудита. Система разрешения представляет собой промежуточную Java-платформу уровня предприятия, усиливающую контроль над секретностью посредством оценки запросов на данные и сопоставления их с наборами правил динамического контроля доступа. Система разрешений включает в себя набор правил секретности, созданных в соответствии с требованиями законов. Поддержка нескольких наборов правил делает возможной обработку ситуаций с конфликтующими законами (например, когда правила штата замещают федеральные правила).

Сервер аудита предназначен для IT-администраторов и потребителей, он управляет разрешениями и использованием данных. Он ведет запись функций системы TrustFilter, фиксирует детали аутентификации при запросах на раскрытие данных, а также разрешает и отклоняет эти запросы. Авторизованным пользователям по требованию представляется отчет аудита в виде твердой копии или в электронном виде. Администраторы могут просматривать отчеты с информацией об изменении политик и запросах на авторизацию, что помогает при вынесении положительных или отрицательных решений о доступе к данным.

IDcide

Семейство продуктов PrivacyWall от IDcide разработано для предотвращения нарушения сайтом секретности пользователей. PrivacyWall тщательно анализирует даже самые сложные веб-сайты и выводит отчет обо всех ключевых моментах, которые должны быть известны заинтересованному в секретности лицу. Например, отображает все личные вопросы, задаваемые на сайте, предупреждает о наличии веб-конструкций, вызывающих утечку секретных личных данных, выявляет веб-страницы со случайно опубликованными личными данными, а также обнаруживает веб-сайты, управление которыми осуществляется без разрешения руководства.

В семействе PrivacyWall представлено два продукта. Программа ProvacyWall Site Analyzer используется для удаленного анализа веб-сайтов либо самим администратором сайта, либо консультантом, лицензировавшим продукт. С помощью этой программы можно быстро разобраться в том, как на сайте реализована обработка личной информации, и разработать соответствующую политику секретности. Программа PrivacyWall Site Monitor обеспечивает необходимые инструменты для самостоятельной разработки средств обеспечения секретности и безопасности. Эта программа легко устанавливается в качестве пассивной части инфраструктуры и обеспечивает постоянный надзор за соответствием требованиям секретности.

IBM Tivoli Privacy Wizard

На сайте IBM можно бесплатно загрузить программу Tivoli Privacy Tool, предназначенную для преобразования письменной политики секретности в электронные правила секретности, которые могут использоваться предприятием и программным обеспечением для повышения уровня защиты или преобразовываться в стандартизированные наборы правил секретности, такие как P3P. С помощью этой программы можно импортировать имеющиеся политики или использовать графический интерфейс программы для создания и корректировки политик секретности согласно законам или требованиям организации. Данная программа определяет, кто может использовать данные, какие именно это данные, и с какими целями они могут быть использованы. В программе имеются автоматические ссылки на программное обеспечение, предназначенное для управления секретностью данных на предприятии.

Другие службы секретности

Если нет возможности заплатить за программы для обеспечения секретности, либо если в организации слишком мало сотрудников в этой области, можно привлечь кого-либо для частичной реализации поставленной задачи. Совет секретности предлагает услуги службы Privacy Scan для детальной проверки веб-сайта, в результате работы которой выявляется следующее:

  • перечень элементов cookie на сайте (включая расположения и сроки действия), а также наборы параметров и значений в формате P3P;
  • сравнение открытых действий элементов cookie с установленной политикой секретности;
  • представление журналов cookie, комбинаций элементов cookie и форм, а также информации, связанной с безопасностью cookie;
  • результаты тестирования безопасности и конкретные рекомендации относительно общих правил соблюдения секретности, особенно касательно политик P3P, а также информация об аспектах соответствия.

После сканирования специалисты Совета секретности анализируют данные относительно индустриальных законов и подходов, а также изучают установленную в компании политику секретности. Они создают отчет, в который включают все обнаруженные аспекты, конкретные рекомендации и инструкции по дальнейшим действиям. Аналогичные услуги предоставляют большие консалтинговые фирмы (например, PricewaterhouseCoopers и IBM Global Services) либо небольшие компании, такие как ePrivacy Group.

Логотипы секретности в интернете

В данном разделе приводится информация о программах, предусматривающих размещение на сайтах логотипов секретности. Основная цель этого размещения заключается в лицензировании логотипа у соответствующей ему организации, как правило, за определенную плату. Сайт приводится в соответствие стандартам, представляемым логотипом. Когда пользователь щелкает на логотипе, появляется сообщение, уведомляющее его об этом.

TRUSTe

Будучи некоммерческой организацией, созданной совместными усилиями многих крупнейших интернет-компаний, TRUSTe разработала широко известный сегодня логотип секретности. Программа логотипа секретности TRUSTe основана на трех основных элементах.

  • Программные принципы. Призваны обеспечить реализацию на сайте честных информационных взаимодействий.
  • Контроль. Меры, предпринимаемые TRUSTe для обеспечения соответствия лицензированных веб-сайтов установленным политикам секретности.
  • Резолюция. Роль, которую выполняет TRUSTe при обработке вопросов и жалоб, поступающих от потребителей в отношении сайта.

После прохождения формальностей для получения лицензии представитель TRUSTe проводит исследование сайта на соответствие принципам программы, требованиям секретности и использованию метки доверия. Представитель организации будет периодически контролировать сайт для проверки заявленной политики секретности, а также на наличие изменений.

TRUSTe "просеивает" веб-сайты, учитывая уникальные идентификаторы в базе данных сайтов. Без вашего ведома TRUSTe отправит на сайт информацию об уникальном пользователе и проведет отслеживание результатов для проверки того, соответствует ли процесс сбора и использования информации установленной политике. В дополнение к этому TRUSTe разработала удобную интерактивную форму отчетов, с помощью которой любой пользователь может сообщать о подозрениях в нецелевом использовании логотипа доверия. Ключевым моментом, обуславливающим успешную деятельность программы TRUSTe, является возможность сообщать обладателю лицензии о нарушениях установленных политик секретности, нецелевом использовании логотипа доверия TRUSTe или об определенных моментах, связанных с секретностью. Для получения более подробной информации посетите сайт http://truste.org.

BBBOnLine

Программа BBBOnLine Privacy предоставляет логотип секретности компаниям, сайты которых соответствуют стандартам, установленным в требованиях программы. Они включают в себя размещение онлайнового уведомления о секретности, всестороннее обеспечение секретности, отслеживание и обзор доверенной организации, а также участие в программах разрешения вопросов потребителей. За дополнительной информацией обратитесь к сайту http://bbbonline.com.

Специализированные логотипы

Имеются также логотипы Children’s Privacy (защита секретности информации, получаемой от детей), EU Safe Harbor и E-Health (секретность информации о состоянии здоровья) от компании TRUSTe. Для подтверждения доверия к сайту используется логотип BBBOnLine Reliability Seal (логотип надежности), подтверждающий надежность записей клиента интернет-магазина. Компания Health On the Net (http://www.hon.ch/), клиентами которой являются сайты медицинского и здравоохранительного направления, предоставляет логотип HONcode, подтверждающий надежность и доверие к информации о здравоохранении на веб-сайтах.