Политики конфиденциальности недостаточно: нам нужна прозрачность программного обеспечения

Политики конфиденциальности недостаточно: нам нужна прозрачность программного обеспечения
Ann Cavoukian Участник IAPP Дон Ютла Участник, не являющийся участником Информационные и коммуникационные технологии (ИКТ) служат посредником в наших транзакциях и жизни.

Как мы можем доверять многочисленным устройствам, датчикам, операционным системам, приложениям, модулям, API, платформам, экосистемам, облакам и другим сетям, которые нас окружают и собирают, обрабатывают, передают и хранят так много личных данных? По мере того, как мы погружаемся в Интернет вещей, окруженные облачными вычислениями и большими данными, вопросы прозрачности и подотчетности приобрели общественное значение. От организаций всех видов все чаще требуется доказывать, что они выполняют обещания о конфиденциальности и избегают нарушений конфиденциальности. Кому-либо трудно подтвердить заявления о конфиденциальности, сделанные разработчиками технологий и поставщиками услуг. Политика конфиденциальности или заявление о прозрачности - хорошая отправная точка, но сами по себе они лишь выражают чаяния и намерения. Само собой разумеется, что задокументированные и поддающиеся независимой проверке заявления о конфиденциальности должны способствовать достижению целей соответствия, надежности и доверия. Для этого нам нужны стандартизированные методы и инструменты. Прозрачность и подотчетность укрепляют уверенность и доверие В 1999 году Лоуренс Лессиг написал в «Кодексе и других законах киберпространства», что ценности, интересы и политические решения встроены в программный код, который, в свою очередь, глубоко формирует пользователей. Важность наблюдений Лессига актуальна как никогда, особенно с учетом того, что программный «код» сегодня намного сложнее и непрозрачен, и его принятие зависит от уверенности пользователя. «Код» должен быть более прозрачным и подотчетным, чтобы ему можно было доверять. Технический комитет OASIS Privacy by Design для инженеров-программистов (PbD-SE) разработал проект спецификации, чтобы помочь документировать решения о конфиденциальности при разработке программного обеспечения, которые согласуются с Privacy by Design (PbD) и Принципами добросовестной информационной практики (FIPP). С 1990-х годов во всем мире было предпринято много усилий по разработке стандартизированных методов для разработки и оценки свойств конфиденциальности технологий, которые воплощают интересы конфиденциальности. Эти усилия расширились вместе с технологическими разработками и повышением роли профессионалов в области конфиденциальности как отдельной междисциплинарной практики. Известные примеры сторонних программ оценки и сертификации программного обеспечения включают публикацию 140-2 Федерального стандарта обработки информации для криптографических модулей, Управление национального координатора программы сертификации информационных технологий здравоохранения для технологий электронных медицинских карт и Европейскую печать конфиденциальности (евро приз) для ИТ-продуктов и ИТ-услуг. В идеале конфиденциальность должна иметь свой всемирно признанный знак доверия. Прозрачность и подотчетность для всех Прозрачность и подотчетность должны быть продемонстрированы растущему кругу заинтересованных сторон, не только потребителям / гражданам и регулирующим органам рынка, но также внутренним участникам проекта и акционерам, деловым партнерам, отраслевым группам, внимательным гражданским группам и группам по защите прав потребителей и для широкой публики. В области информационной безопасности стандарты оценки, аудита и сертификации для организаций стали быстро развиваться, особенно после появления требований о раскрытии информации о нарушениях. Общая тенденция подчеркивает прозрачность и подотчетность всей деятельности, предприятий и даже экосистем. Безопасность становится свойством, которое можно измерить и максимизировать. Теперь конфиденциальность должна наверстать упущенное. Privacy by Design предлагает основу для лучших в своем классе Семь основополагающих принципов, разработанных за последние полтора десятилетия в ответ на меняющийся мир и единогласно утвержденных в 2010 году в качестве международного стандарта Международной ассамблеей органов по вопросам конфиденциальности и защиты данных. PbD основаны на FIPP, но выходят за их рамки, чтобы предписать максимально возможный стандарт защиты конфиденциальности. Поскольку принципы PbD универсальны по своему охвату, основная задача с 2010 года заключалась в следующем: ввести в действие структуру PbD в определенных областях, во многом так же, как структура безопасности ISO 17799 реализуется с помощью средств управления серии 27000. Технический комитет по документации OASIS PbD для инженеров-программистов, созданный в конце 2012 года, разработал проект спецификации методологии, чтобы помочь инженерам моделировать и документировать требования PbD, преобразовывать принципы PbD в требования соответствия в рамках задач разработки программного обеспечения и создавать артефакты в качестве доказательства соответствия. Целевая аудитория - это в первую очередь инженеры-программисты, которым поручено реализовать и документировать функциональные требования к конфиденциальности, чтобы продемонстрировать соответствие принципам PbD. Однако, поскольку инженеры-программисты работают в более широком контексте, эта спецификация также должна быть интересна их руководителям проектов, бизнес-менеджерам и руководителям, разработчикам политики конфиденциальности, консультантам по конфиденциальности и безопасности, аудиторам, регулирующим органам, архитекторам и аналитикам ИТ-систем и другим разработчикам систем, которые собирать, хранить, обрабатывать, использовать, совместно использовать транспорт через границы, обмениваться, защищать, сохранять или уничтожать личную информацию. Мы верим, что у него будет широкий охват.
RELATED ARTICLES
2021-05-31
2021-05-31