[ новости /+++ | форум | теги | ]

Каталог документации / Раздел "Безопасность" / Оглавление документа

Введение

При продвижении к Глобальному Информационному Сообществу, индивидуальная секретность подвергается риску (см. [Fischer-Hubner 1997г]). Директива ЕС по защите информации, также как и законы о секретности многих западных государств требует, чтобы при сборе или обработке персональной информации гарантировались основные принципы секретности, типа:

• целенаправленность (личные данные, полученные для одной цели, не должны использоваться для другой цели, без уведомления об этом владельца данных)
• неизбежность сбора и обработки информации (сбор и обработка персональных данных допустимы только в том случае, если это необходимо для выполнения задач, входящих в обязанности агентства обработки данных).

Однако, помимо защиты приватности пользователей, также необходимы технологии, расширяющие секретность для защиты субъектов данных (так называемых usees). К сожалению, сегодняшние модели защиты в основном не соответствуют для внедрения основных требований секретности, таких, как обработка данных или взаимосвязанность целей.

Небезызвестная модель Bell - LaPadula предназначена для защиты секретной информации. Её политика Mandatory Access Control (MAC) ограничивает доступ к объектам, основываясь на важности содержащейся в объектах информации и благонадёжности субъектов. Между тем, личные данные не могут быть точно классифицированы, в зависимости от их важности, потому, что важность личных данных зависит от цели и контекста их использования. Для внедрения секретности должна осуществляться проверка, соответствует ли цель задания, выполняемого пользователем желающем получить личные данные, целям, для которых были получены эти личные данные (необходимость взаимосвязанности целей).

Discretionary Access Control (DAC) ограничивает доступ к объектам основываясь на тождестве субъектов и/или групп субъекта. DAC допускает предоставление и отмену доступа к данным, оставляя это на усмотрение пользователя с правами доступа, предоставляющими контроль над данными. Однако, в аспекте секретности, личные данные субъектов данных не должны "принадлежать" или "контролироваться" другим человеком. Для защиты секретности, решение контроля доступа должно быть определено не идентификатором пользователя, а задачей, которую индивидуальный пользователь в настоящее время выполняет. Личные данные должны быть доступны пользователю только тогда, когда доступ необходим для выполнения его/её текущего задания и если он/она авторизован для выполнения этого задания (неизбежная необходимость для обработки данных).

Более новые модели защиты, такие как модель Кларка-Уилсона [Clark/Wilson 1987] или модели Role-based Access Control (например, [Ferraiolo/Kuhn 1992]) могут назначать требования и аспекты защиты (например, целостность пользовательских данных, предоставление пользователям/ролям только тех права доступа, что необходимы для выполнения их обязанностей), которые больше подходят для защиты секретности личных данных. Однако, они не предназначены для непосредственного назначения таких принципов секретности, как взаимосвязанность целей.

В этом документе, обновлённая и дополненная версия формальной, задаче-ориентированной модели секретности, которая была представлена в [Fischer-Hubner 1994], [Fischer-Hubner 1995], должна быть представлена как вероятно используемая в целях технического предписания законных требований секретности в системе, тем самым демонстрируя реализацию политики секретности с другими политиками защиты в соответствии с Generalized Framework for Access Control (GFAC, см. [Abrams et al 1990], [LaPadula 1995]).

Партнёры:

Хостинг: