суббота, 14 сентября 2013 г.

ИСО: Подход к идентификации в сети, уважающий неприкосновенность нашей частной жизни


Данная статья была опубликована 2 сентября 2013 года на странице Международной организации по стандартизации (ИСО) в Facebook под заголовком «Online identities that respect our privacy»

Как установить доверие в Интернете? По мере того, как всё больше и больше транзакций выполняется через Интернет - от платежей до электронного голосования – предъявление своих идентификационных данных, своей «электронной личности» (identity) может показаться простым способом завоевать доверие. Однако что мы понимаем под  идентификационными данными/электронной личностью, и как можно защитить свои персональные данные в Интернете?

При традиционном подходе основное внимание обращается на процедурные элементы, связанные с идентификацией. Например, при выполнении транзакций в сфере «электронного правительства», ответственность за такие действия, как, например, заполнение и сдача налоговой деклараций должно нести конкретное лицо. Однако по мере того, как всё больше аспектов жизни публикуется и обрабатывается в Интернете, такого рода глобальная идентификация создает проблемы, поскольку люди в качестве граждан и потребителей подергаются рискам чрезмерной прозрачности, эксплуатации и утраты неприкосновенности их личной жизни. Поэтому у людей должна быть возможность поддерживать различные (возможно, частичные) электронные личности – наборы идентификационных данных, используемые в различном контексте (чат в социальной сети, заказ лекарств или других «чувствительных» продуктов, или онлайн-продажа подержанных вещей).


Этот проблемный вопрос рассматривается в стандарте ISO/IEC 24760 «Информационные технологии - Методы обеспечения безопасности - Концепция управления идентификационными данными» (Information technology - Security techniques - A framework for identity management) . Решается задача обеспечения безопасного, надежного и уважающего неприкосновенность частной жизни управления идентификационной информацией, с учётом потребностей как физических лиц, так и организаций. Опубликованная в 2011 году первая часть стандарта «Терминология и понятия» (Terminology and concepts, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=57914 ) включает углубленное обсуждение различных концепций электронной личности и управления идентификацией, а также взаимосвязанных вопросов  доверия.

Стандарт ISO/IEC 24760 предлагает универсально применимое определение электронной личности (identity) как «набор атрибутов, относящихся к определенному лицу», охватывающее также понятие частичных электронных личностей (partial identities). Не предполагается, что электронная личность позволит однозначно отличать одного субъекта  от другого в определенной области. Скорее, такое свойство связано с понятием «идентификатор» (identifier) .

Тот факт, что ISO/IEC 24760 явно допускает существование частичных электронных личностей, а также четко различает понятия «личность» и «идентификатор», делает его наиболее дружественным по отношению к неприкосновенности частной жизни опубликованным стандартом управления идентификационными данными.

В настоящее время идёт работа над другими частями ISO/IEC 24760. Они будут посвящены вопросам эталонной архитектуры, требованиям, хорошей практике (например, на основе модели жизненного цикла идентификационных данных), а также будут способствовать проектированию, внедрению и эксплуатации систем управления идентификационными данными (identity management systems).
Для справки: В настоящее время в ИСО идёт работа над следующими проектами:
  • ISO/IEC CD 24760-2 «Информационные технологии - Методы обеспечения безопасности - Концепция управления идентификационными данными – Часть 2: Эталонная архитектура и требования»  (Information Technology - Security Techniques - A Framework for Identity Management - Part 2: Reference architecture and requirements), http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=57915

  • ISO/IEC WD 24760-3 «Информационные технологии - Методы обеспечения безопасности - Концепция управления идентификационными данными – Часть 3: Практика»  (Information Technology - Security Techniques - A Framework for Identity Management - Part 3: Practice), http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=57916
Данная заметка представляет собой выдержку из публикации в журнале  ISO Focus+  (апрельский номер 2013 года) «Управление идентификационными данными в интернете – Как добиться уважения  неприкосновенность нашей частной жизни» (Online identity management - Make it respect our privacy), подготовленной Каем Ранненбергом (Kai Rannenberg – на фото слева)  и Хосе Фернандо Карвахаль Вийоном (José Fernando Carvajal Vión - справа). Полный текст статьи доступен по адресу: http://www.iso.org/iso/isofocusplus_2013-04  (номер журнала в формате PDF можно скачать по адресу http://www.iso.org/iso/livelinkgetfile-isocs?nodeid=16297321 )

Источник: страница ISO в Facebook
https://www.facebook.com/notes/iso-international-organization-for-standardization/online-identities-that-respect-our-privacy/562638103772929

Комментариев нет:

Отправить комментарий