Инфраструктуры открытых ключей
Вид материала | Документы |
- Программа выступлений на секциях конференции: Н. А. Богульская, 90.95kb.
- Поиск в Google Ключевые слова, 123.18kb.
- Шифрование почты, 689.07kb.
- Инфраструктура открытых ключей. Ssl, 56.57kb.
- Инструкция по обеспечению безопасности движения поездов при производстве работ по техническому, 752.1kb.
- Уважаемые организации – клиенты системы «СБиС++ Электронная отчетность», 31.48kb.
- Памятка для клиента по обеспечению безопасности при работе в Системе дбо, 30.25kb.
- Н. А. Поросятникова Информационная инфраструктура как одна из важнейших составляющих, 113.88kb.
- Это было одно из тех безобидных маленьких привидений, которые появляются ночью и никому, 491.6kb.
- Лекция рыночная инфраструктура региона определение, место и роль рыночной инфраструктуры, 468.16kb.
Политики доверия
Один из простейших, но не самых эффективных методов установления доверия в сфере электронных транзакций заключается в использовании прозрачных политик доверия. Политики доверия должны обеспечивать:
- конфиденциальность;
- корректное использование информации;
- реагирование в случае нарушения доверия;
- внутренние механизмы гарантирования непрерывности доверия;
- согласие пользователей.
Конфиденциальность
Политики конфиденциальности разрабатываются для того, чтобы пользователи правильно понимали, как данная компания будет обращаться с той персональной и деловой информацией, которую они ей предоставляют. Опубликованная на web-сайте компании политика конфиденциальности объясняет правила использования персональных данных и способствует установлению контакта с пользователями. Пользователи должны ознакомиться с этой политикой и подтвердить свое согласие с указанными правилами. Примером политики конфиденциальности может служить политика, опубликованная на сайте Yahoo [207].
Корректное использование информации
Другой аспект политик доверия - корректное использование информации. Это касается ситуаций, когда персональная информация может использоваться не в интересах человека, а, например, для оценки его финансовых возможностей (доходов, суммы медицинской страховки) как потенциального покупателя. В настоящее время некоторые компании практикуют отбор и классификацию потребителей определенных товаров и услуг, а затем продают эту информацию другим компаниям. Подобная практика приводит к тому, что люди начинают получать по почте нежелательные сообщения рекламного характера, спам, их вынуждают отвечать на телефонные звонки, пытаются привлечь в качестве потенциальных клиентов кредитных карточных систем и т.п.
Реагирование в случае нарушения доверия
Политика доверия должна предлагать некоторые финансовые гарантии, то есть страховать пользователя, на тот случай, когда невозможно обеспечить полную защиту его ресурсов. Достаточно часто в политиках содержится утверждение о том, что споры о нарушении конфиденциальности рассматриваются в арбитражном суде. Следует учитывать, что арбитражное разбирательство имеет гораздо менее серьезные последствия для стороны, нарушившей политику доверия, чем судебное. Очевидно, что в штате крупных компаний, заинтересованных в поддержке отношений доверия, должен присутствовать администратор информационной безопасности или ответственный за конфиденциальность персональных данных. К сожалению, на практике чаще всего единственным выходом для клиентов при нарушении конфиденциальности является прекращение использования сервисов данного web-сайта.
Непрерывность доверия
Политика доверия должна раскрывать внутренние механизмы доверия и демонстрировать, что доверие базируется не просто на обещаниях, а является важной составной частью деловых операций. Примерами внутренних механизмов доверия могут служить строгий контроль за уровнем подготовки и соблюдением служащими политики конфиденциальности, защищенность компьютерных систем и оборудования, а также аудит бизнес-процессов.
Согласие пользователей
Наконец, политика доверия должна предусматривать механизм получения согласия пользователей. Он обычно называется участием. Многие организации либо не дают возможности пользователям выражать согласие на участие, либо не обладают системами, позволяющими отслеживать и исполнять предпочтения пользователей. Часто компании автоматически предполагают согласие пользователя на участие, тем самым перекладывая на него ответственность за возможные последствия нарушения конфиденциальности.
Ассоциации доверия
В повседневной жизни люди часто допускают транзитивные отношения доверия. Например, если наш друг дает хорошую рекомендацию человеку, которого мы не знаем, то мы обычно склонны относится к этому незнакомцу с большим доверием, чем если бы познакомились с ним сами. В этом случае, поскольку мы доверяем своему другу, то полагаемся на правильность его мнения.
Точно так же в сфере электронных коммуникаций и Интернета появился ряд ассоциаций доверия, которые являются аффилиированными компаниями организаций, web-сайтов и кадровых агентств и в зависимости от направления деятельности осуществляют контроль соблюдения политики конфиденциальности, оценку безопасности и надежности программного и аппаратного обеспечения, занимаются аудитом систем и сертификацией специалистов и продуктов в сфере информационных технологий. Некоторые примеры таких ассоциаций приведены в табл. 1.2 [105].
Так, например, известные ассоциации доверия Better Business Bureau и TrustE знакомят другие компании с законами в области обеспечения конфиденциальности и помогают им разрабатывать собственные политики и правила [39]. Если компания выполняет все рекомендации ассоциации доверия, то получает ее "печать одобрения" (некоторый символ или логотип ассоциации) для размещения на своем web-сайте.
Таблица 1.2. Примеры ассоциаций доверия | |||
Общепринятое название | Тип | Формальное название | Описание |
BBB | Web-сайт | Better Business Bureau | Выдача компаниям свидетельств о соблюдении ими правил конфиденциальности |
CCSA | Кадры | Certification in Control Self-Assessments | Сертификация специалистов по аудиту информационных систем |
CISA | Кадры | Certified Information Systems Auditor | Сертификация специалистов по аудиту информационных систем |
CISSP | Кадры | Certified Information Systems Security Professional | Сертификация специалистов по безопасности информационных систем |
Common Criteria | Системы | Common Criteria | Оценка и сертификация безопасности и надеж-ности ИТ-продуктов |
CPP | Кадры | Certified Protection Professional | Сертификация специалистов в сфере безопасности |
GIAC | Кадры | Global Information Assurance Certification | Сертификация специалистов |
Good Housekeeping | Web-сайт | Good Housekeeping Web Certification | Контроль соблюдения конфиденциальности и сертификация |
SAS70 | Системы | Statement on Auditing Standards ¹ 70 | Аудит систем |
Trust E | Web-сайт | Trust E | Контроль соблюдения конфиденциальности, выдача компаниям свидетельств |
По существу эта печать идентифицирует доверие, связанное с рекомендациями авторитетных ассоциаций, и подтверждает обязательства владельцев сайта в отношении предоставленных посетителями сведений. Когда пользователь сталкивается с неизвестным сайтом и видит "печать одобрения" авторитетной ассоциации, то относится с большим доверием к компании-владельцу сайта. Ассоциации доверия берут на себя функции контроля за соблюдением политики конфиденциальности. Если проверка выявляет нарушение, то ассоциация уведомляет об этом компанию и рекомендует ей пересмотреть принятые правила - с тем чтобы либо правила отражали изменения в ее коммерческой деятельности, либо компания отказалась от подобной практики.