Jump to content

Конфиденциальность

Разработка конфиденциальности — это развивающаяся область разработки, целью которой является создание методологий, инструментов и методов, обеспечивающих приемлемый уровень конфиденциальности в системах . Основное внимание уделяется организации и оценке методов выявления и решения проблем конфиденциальности при разработке информационных систем . [1]

В США приемлемый уровень конфиденциальности определяется с точки зрения соответствия функциональным и нефункциональным требованиям, изложенным в политике конфиденциальности , которая представляет собой договорный документ, показывающий соответствие контролирующих данные лиц законодательству, например, добросовестной информационной практике , здравоохранению. правила безопасности записей и другие законы о конфиденциальности . в ЕС Однако Общий регламент по защите данных (GDPR) устанавливает требования, которые необходимо соблюдать. В остальном мире требования меняются в зависимости от местных законов о конфиденциальности и защите данных .

Определение и сфера применения [ править ]

Определение обеспечения конфиденциальности, данное Национальным институтом стандартов и технологий (NIST), следующее: [2]

Основное внимание уделяется предоставлению рекомендаций, которые можно использовать для снижения рисков конфиденциальности и позволяют организациям принимать целенаправленные решения о распределении ресурсов и эффективном внедрении средств контроля в информационных системах.

В то время как конфиденциальность развивается как правовая область, разработка конфиденциальности по-настоящему вышла на передний план только в последние годы, поскольку необходимость реализации упомянутых законов о конфиденциальности в информационных системах стала определенным требованием к развертыванию таких информационных систем. Например, IPEN излагает свою позицию по этому поводу следующим образом: [3]

Одной из причин недостаточного внимания к вопросам конфиденциальности при разработке является отсутствие соответствующих инструментов и лучших практик. Разработчикам приходится работать быстро, чтобы минимизировать время вывода продукта на рынок и усилия, и они часто повторно используют существующие компоненты, несмотря на их недостатки в конфиденциальности. К сожалению, существует мало строительных блоков для приложений и сервисов, обеспечивающих конфиденциальность, а безопасность часто также может быть слабой.

Разработка конфиденциальности включает в себя такие аспекты, как управление процессами, безопасность , онтология и разработка программного обеспечения . [4] Фактическое их применение вытекает из необходимых требований законодательства, политики конфиденциальности и «манифестов», таких как Privacy-by-Design . [5]

Связь между PbD и разработкой конфиденциальности

На более высоких уровнях реализации при разработке конфиденциальности используются технологии повышения конфиденциальности , позволяющие анонимизировать и деидентифицировать данные. Проектирование конфиденциальности требует применения подходящих методов обеспечения безопасности, а некоторые аспекты конфиденциальности могут быть реализованы с использованием методов обеспечения безопасности. Оценка воздействия на конфиденциальность является еще одним инструментом в этом контексте, и ее использование не означает, что применяется технология обеспечения конфиденциальности.

Одной из проблемных областей является правильное определение и применение таких терминов, как персональные данные, информация, позволяющая установить личность, анонимизация и псевдоанонимизация, которым не хватает достаточного и достаточно подробного значения применительно к программному обеспечению, информационным системам и наборам данных.

Еще одним аспектом конфиденциальности информационных систем является этическое использование таких систем, при этом особое внимание уделяется наблюдению , сбору больших данных , искусственному интеллекту и т. д. Некоторые члены сообщества разработчиков конфиденциальности и конфиденциальности выступают за идею этической разработки или отвергают возможность инженерной разработки. конфиденциальность в системы, предназначенные для наблюдения.

Инженеры-программисты часто сталкиваются с проблемами при интерпретации правовых норм в современных технологиях. Законодательные требования по своей природе нейтральны по отношению к технологиям и в случае юридического конфликта будут интерпретироваться судом в контексте текущего состояния как технологий, так и практики конфиденциальности.

Основные практики [ править ]

Поскольку эта конкретная область все еще находится в зачаточном состоянии и в ней доминируют юридические аспекты, в следующем списке лишь обозначены основные области, на которых базируется разработка конфиденциальности:

Несмотря на отсутствие целостного развития вышеуказанных областей, уже существуют курсы по обучению технике конфиденциальности. [8] [9] [10] Международный семинар по разработке конфиденциальности, проводимый совместно с симпозиумом IEEE по безопасности и конфиденциальности, предоставляет площадку для устранения «разрыва между исследованиями и практикой в ​​систематизации и оценке подходов к выявлению и решению проблем конфиденциальности при разработке информационных систем». [11] [12] [13]

Существует несколько подходов к обеспечению конфиденциальности. ЛИНДДУН [14] Методология использует риск-ориентированный подход к обеспечению конфиденциальности, при котором потоки персональных данных, подвергающиеся риску, выявляются, а затем защищаются с помощью средств контроля конфиденциальности. [15] [16] Руководство по интерпретации GDPR представлено в декламации GDPR. [17] которые были закодированы в инструмент принятия решений [18] который сопоставляет GDPR с силами разработки программного обеспечения [18] с целью определить подходящие шаблоны проектирования конфиденциальности. [19] [20] Еще один подход использует восемь стратегий обеспечения конфиденциальности — четыре технических и четыре административных — для защиты данных и реализации прав субъектов данных. [21]

Аспекты информации [ править ]

Разработка конфиденциальности особенно связана с обработкой информации по следующим аспектам или онтологиям и их связям. [22] их реализации в программном обеспечении:

  • Онтологии обработки данных
  • Онтологии типов информации (в отличие от PII или типов машин)
  • Понятия контроллера и процессора [23]
  • Понятия авторитета и идентичности (якобы источника(ов) данных)
  • Происхождение информации, включая понятие субъекта данных [24]
  • Цель информации, а именно: первичный или вторичный сбор.
  • Семантика информации и наборов данных (см. также шум и анонимизация )
  • Использование информации

В дополнение к этому, то, как вышеизложенное затем влияет на классификацию безопасности, классификацию рисков и, следовательно, на уровни защиты и поток внутри системы, затем может быть измерено или рассчитано.

Определения конфиденциальности [ править ]

Конфиденциальность — это область, в которой доминируют юридические аспекты, но она требует реализации с использованием, якобы, инженерных методов, дисциплин и навыков. Инженерия конфиденциальности как общая дисциплина основывается на рассмотрении конфиденциальности не только как юридического аспекта или инженерного аспекта и их унификации, но также на использовании следующих областей: [25]

  • Конфиденциальность как философский аспект
  • Конфиденциальность как экономический аспект, особенно теория игр
  • Конфиденциальность как социологический аспект

Правовая основа [ править ]

Стимул технологического прогресса в области обеспечения конфиденциальности исходит из общих законов о конфиденциальности и различных частных правовых актов:

См. также [ править ]

Примечания и ссылки [ править ]

  1. ^ Гюрсес, Седа и Хосе М. Дель Аламо. «Инженерия конфиденциальности: формирование новой области исследований и практики». Безопасность и конфиденциальность IEEE 14.2 (2016): 40–46.
  2. ^ «Инженерия конфиденциальности в НИСТ» . НИСТ . Проверено 3 мая 2015 г.
  3. ^ «Предыстория и цель» . Проверено 9 мая 2015 г.
  4. ^ Оливер, Ян (июль 2014 г.). Инженерия конфиденциальности: поток данных и онтологический подход (1-е изд.). CreateSpace. ISBN  978-1497569713 . Архивировано из оригинала 14 марта 2018 года . Проверено 3 мая 2015 г.
  5. ^ Гюрсес, Седа; Тронкосо, Кармела; Диас, Клаудия (2011). Инженерная конфиденциальность благодаря дизайну (PDF) . Книга Международной конференции по конфиденциальности и защите данных (CPDP) . Проверено 11 мая 2015 г.
  6. ^ Деннеди, Фокс, Финнеран (23 января 2014 г.). Манифест инженера по конфиденциальности (1-е изд.). Пресс. ISBN  978-1-4302-6355-5 . {{cite book}}: CS1 maint: несколько имен: список авторов ( ссылка )
  7. ^ MITRE Corp. «Инженерная основа конфиденциальности» . Архивировано из оригинала 4 мая 2015 года . Проверено 4 мая 2015 г.
  8. ^ «МСИТ-Конфиденциальность Инжиниринг» . Университет Карнеги-Меллон.
  9. ^ «Инженерия конфиденциальности» . cybersecurity.berkeley.edu . Калифорнийский университет, Беркли.
  10. ^ Оливер, Ян (17 марта 2015 г.). «Введение в конфиденциальность и разработку конфиденциальности» . Летняя школа EIT, Брайтонский университет. Архивировано из оригинала 18 мая 2015 года . Проверено 9 мая 2015 г.
  11. ^ «Международный семинар по инженерии конфиденциальности» . Безопасность IEEE.
  12. ^ «Симпозиум IEEE по безопасности и конфиденциальности» . Безопасность IEEE.
  13. ^ Гурсес, Дель Аламо (март 2016 г.), «Инженерия конфиденциальности: формирование новой области исследований и практики» , том. 14, Безопасность и конфиденциальность IEEE
  14. ^ "ДОМ" . ЛИНДДУН .
  15. ^ «Среда для анализа угроз конфиденциальности в процессах идентификации и аутентификации на основе LINDUN». Компьютеры и безопасность .
  16. ^ Вуйтс, К., и Джусен, В. (2015). Моделирование угроз конфиденциальности LINDUN: учебное пособие. Об этом сообщает CW . доступ 10 декабря 2019 г.
  17. ^ «Положения GDPR (Общие правила защиты данных)» .
  18. Перейти обратно: Перейти обратно: а б «Инструмент GDPR» .
  19. ^ Колески, М.; Деметзу, К.; Фрич, Л.; Герольд, С. (01 марта 2019 г.). «Помощь архитекторам программного обеспечения в ознакомлении с Общими правилами защиты данных» . Международная конференция IEEE по программной архитектуре Companion (ICSA-C) 2019 года . стр. 226–229. дои : 10.1109/ICSA-C.2019.00046 . ISBN  978-1-7281-1876-5 . S2CID   155108256 .
  20. ^ Ленхард, Дж.; Фрич, Л.; Герольд, С. (01 августа 2017 г.). «Литературное исследование по исследованию моделей конфиденциальности». 2017 г. 43-я конференция Euromicro по программной инженерии и передовым приложениям (SEAA) . стр. 194–201. дои : 10.1109/SEAA.2017.28 . ISBN  978-1-5386-2141-7 . S2CID   26302099 .
  21. ^ Колески, М.; Хоепман, Дж.; Хиллен, К. (01 мая 2016 г.). «Критический анализ стратегий обеспечения конфиденциальности». Семинары IEEE по безопасности и конфиденциальности (SPW) , 2016 г. стр. 33–40. дои : 10.1109/SPW.2016.23 . ISBN  978-1-5090-3690-5 . S2CID   15713950 .
  22. ^ Стэнфордская энциклопедия философии. «Семантические концепции информации» . Проверено 9 мая 2015 г.
  23. ^ Статья 29 Рабочая группа по защите данных (16 февраля 2010 г.), Мнение 1/2010 о понятиях «контроллер» и «процессор» , том. 00264/10/RU WP 169 {{citation}}: CS1 maint: числовые имена: список авторов ( ссылка )
  24. ^ Поль Грот, Люк Моро. «Обзор семейства документов PROV» . W3C . Проверено 10 мая 2015 г.
  25. ^ Гурсес, Седа; дель Аламо, Хосе М. (март 2016 г.). «Инженерия конфиденциальности: формирование новой области исследований и практики» . Безопасность и конфиденциальность IEEE . 14 (2): 40–46. дои : 10.1109/MSP.2016.37 . ISSN   1540-7993 . S2CID   10983799 .
  26. ^ «Конфиденциальность по замыслу | Карлстадский университет» . www.kau.se.
  27. ^ Фишер-Хюбнер, Симона; Мартуччи, Леонардо А.; Фрич, Лотар; Пуллс, Тобиас; Герольд, Себастьян; Ивая, Леонардо Х.; Альфредссон, Стефан; Зуккато, Альбин (2018). «МООК по дизайну конфиденциальности и GDPR» (PDF) . В Древине, Линетт; Теохариду, Марианти (ред.). Образование в области информационной безопасности – на пути к кибербезопасному обществу . ИФИП: Достижения в области информационных и коммуникационных технологий. Том. 531. Международное издательство Спрингер. стр. 95–107. дои : 10.1007/978-3-319-99734-6_8 . ISBN  978-3-319-99734-6 .
  28. ^ «Программа обеспечения конфиденциальности Университета Карнеги-Меллон» .
  29. ^ «Блоги и работы студентов по вопросам конфиденциальности CMU» .
Retrieved from "https://en.wikipedia.org/w/index.php?title=Privacy_engineering&oldid=1213744500"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 42b5507a7ae7ec629e81d92ea093e304__1710442440
URL1:https://arc.ask3.ru/arc/aa/42/04/42b5507a7ae7ec629e81d92ea093e304.html
Заголовок, (Title) документа по адресу, URL1:
Privacy engineering - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)