Безопасность IIS
       

Уведомление/Осведомленность


Уведомление – это термин, который знаком специалистам в области информационной безопасности. Многие системы, включая веб-сайты, предупреждают пользователей об аспектах безопасности. Таким уведомлением является баннер, отображающийся при входе в сеть и предупреждающий о том, что доступ в сеть имеют только авторизованные пользователи. Это может быть всплывающее окно на веб-сайте, информирующее посетителей о том, что вход на сайт подразумевает их согласие с условиями его использования. В контексте секретности в интернете уведомление означает, что посетителям веб-сайта предоставляются сведения о политике работы с получаемыми личными данными посетителей. В "Отчете для конгресса" о секретности в интернете Федеральная торговая комиссия приводит следующие заключения.

Потребителям необходимо представить уведомление о подходах к обработке их личной информации в конкретной организации. Без этого потребитель не сможет принять обоснованного решения о необходимости и возможной степени разглашения личной информации. Более того, остальные принципы имеют смысл лишь тогда, когда потребитель осведомлен о политике организации и о своих правах.

С практической точки зрения основным способом уведомления о секретности для посетителей сайтов является определение секретности, описанное ранее. Для простых сайтов, которые не устанавливают на компьютеры элементы cookie и не запрашивают у пользователей их личных данных, такое определение разработать достаточно просто. Чем более сложную и интерактивную структуру имеет сайт, тем больше усилий придется приложить к разработке определения, оговаривающего все необходимые моменты. Ниже приведены основные аспекты, которые должны присутствовать в определении.

  • Идентификация организации, осуществляющей сбор данных.
  • Идентификация целевого использования данных.
  • Идентификация любых потенциальных получателей данных.
  • Природа собираемых данных и методы их сбора, если они не очевидны (пассивные, посредством электронного мониторинга, или активные, посредством запроса у потребителя соответствующей информации).
  • Тот факт, является ли предоставление запрошенных данных добровольным или принудительным, а также последствия отказа в предоставлении запрошенной информации.
  • Шаги, предпринимаемые сборщиком данных для обеспечения их конфиденциальности, целостности и качества.


Разумеется, в обязанности администратора сайта не входит объединение всей этой информации воедино и разработка определения секретности; в последние годы многие крупные организации назначали ответственных за секретность сотрудников для наблюдения за созданием политик секретности веб-сайтов. Тем не менее, если администратор является ответственным за веб-сайт лицом, он может выполнить часть этой работы, например, документирование входа в систему, использования элементов cookie и отслеживания потоков данных.

Вход в систему. Необходимо, чтобы посетители сайта знали, используются ли автоматизированные средства для сбора информации об их посещениях. На многих сайтах в связи с этим приводятся заключения следующего содержания: "Мы обрабатываем данную информацию по мере накопления для определения наиболее посещаемых страниц сайта, наиболее часто загружаемых форм и других характеристик, связанных с производительностью сайта. Данная информация не идентифицирует вашу личность. Мы не отслеживаем и не записываем информацию о посетителях и их посещениях нашего сайта. Агрегируемые нами данные обрабатываются посредством программной утилиты. Исходные данные журнала сохраняются в течение трех месяцев, после чего уничтожаются".

Можно указать, какие именно данные фиксируются, например, следующие.

  • Домен интернета (например, www.earthlink.net) и IP-адрес (номер компьютера при работе в интернете).
  • Тип браузера и операционной системы, используемой для доступа к сайту.
  • Дата и время доступа к сайту.
  • Просмотренные страницы и пути, по которым осуществлялся переход на сайте.


Использование элементов Cookie. Если сайт IIS использует элементы cookie для расширения возможностей и улучшения работы посетителей, то об этом необходимо сообщить. Можно разделить элементы cookie на два типа: сеансовые cookie, срок действия которых истекает при закрытии браузера, и постоянные cookie, загружаемые на компьютер пользователя для дальнейшего использования при работе с сайтом. Необходимо предоставить на страницах сайта информацию, поясняющую, какие данные собираются постоянными элементами cookie, для чего они предназначены и каким образом используются.


Содержание раздела