Безопасность IIS

       

План действий P3P


Сначала необходимо решить, будет ли сайт совместим с P3P. Если это так, следует определить, соответствует ли текущая политика секретности положениям документа P3P Guiding Principles (Основные принципы P3P); если нет, то нужно привести сайт в соответствие этим требованиям. (Если сайт не имеет политики секретности, можно изначально разработать политику, соответствующую этим требованиям.) Имейте в виду, что решение о соответствии P3P может привести к опасностям, о которых говорится в следующем разделе.

Для сбора информации P3P и ее документирования должен быть назначен ответственный за секретность. Необходимо обеспечить для него изучение структуры каталогов сайта для упрощения работы с инструкциями P3P по включению/исключению. Также необходимо выяснить состояние всех сторонних служб относительно P3P.

Перед запуском программы P3P Policy Generator следует обдумать дополнительный необязательный аспект P3P – возможность обработки жалоб пользователей. P3P позволяет (но не требует) обеспечить один или несколько методов резолюции. Обработкой жалоб может заниматься имеющийся в организации отдел по работе с клиентами, независимая организация, например, программа логотипа секретности TRUSTe, либо процессы, основывающиеся на нужном законе; например, в Великобритании этим законом является Акт о защите данных, изданный в 1998 г. Так как имеются веские причины для обработки жалоб, следует обеспечить этот процесс, приведя его в соответствие с P3P.



Содержание раздела