Безопасность IIS
       

Базовые принципы


Необходимо иметь в виду базовые принципы по нескольким практическим причинам. Во-первых, они представляют собой основу многих современных законодательных документов США, определяющих конкретные требования к секретности данных на веб-сайтах. Во-вторых, они стали основой законов о секретности данных во многих других странах. В некоторых странах базовые принципы секретности переросли в правовые акты, которые по умолчанию защищают личные данные.

В настоящее время в США используется избирательный подход к защите личной информации, который заключается в издании более тридцати законодательных актов, оговаривающих ситуации, связанные с секретностью записей о видеопрокате, школьных записей и данных водительского удостоверения (на уровне штатов реализована более сложная система законов). В недалеком будущем в США будет введена в действие обширная законодательная база, касающаяся секретности данных, а поскольку многие компании реализуют деловые взаимоотношения через интернет, ознакомление с принципами секретности позволит реализовать подход к ее обеспечению, отвечающий стандартам в любой сфере деятельности.

Оказывается, в США первый закон, связанный с секретностью компьютерных данных, был издан еще в начале 1970-х годов. Элиот Ричардсон, министр здравоохранения, образования и благополучия при Ричарде Никсоне, исследовал методы сбора информации в разных сферах. В результате появился отчет, широко известный под названием "HEW Report", явившийся основой для Акта о секретности, изданного в 1974 г., который определял меры защиты данных, обеспечиваемые федеральным правительством. Документ HEW Report (Отчет министерства здравоохранения, образования и благополучия) рекомендовал к применению федеральный документ "Свод законов о честных информационных взаимодействиях" по отношению ко всем автоматизированным системам обработки личных данных. Этот закон содержал пять принципов, по существу, являющихся "требованиями к защите", предъявляемыми к автоматизированным системам обработки личных данных.

  1. Не должно существовать засекреченных систем записи личных данных.
  2. Человек должен иметь возможность выяснить, какая информация о нем фиксируется, и каким образом она используется.
  3. Человек должен иметь возможность запретить использование информации, предоставленной им для конкретных целей, для достижения каких-либо иных целей без его личного разрешения.
  4. Человек должен иметь возможность корректировки или исправления записи, относящейся к информации о его личности.
  5. Любая организация, выполняющая действия по созданию, управлению, использованию или распространению записей персонально идентифицируемой информации, должна обеспечивать надежность данных при использовании их по назначению, а также принимать меры предосторожности для предотвращения нецелевого использования данных.



Содержание раздела