Modelo de privacidade formal para controle de acesso

Transcrição

1 Roteiro Modelo de Privacidade Formal para Controle de Acesso Aluno: David Oliveira Lorente Departamento de Computação Universidade Federal de São Carlos Privacidade e Personalização, 2007

2 Roteiro Roteiro 1 Introdução 2 3

3 Roteiro Roteiro 1 Introdução 2 3

4 Roteiro Roteiro 1 Introdução 2 3

5 Introdução No caminho para uma sociedade de informação global, a privacidade individual está em risco. Na tentativa de garantir a privacidade os seguintes princípios básicos devem ser garantidos, quando dados pessoais são coletados ou processados: purpose binding (dados pessoais obtidos para um propósito não podem ser usados para outro propósito sem consentimento informado) necessidade de coleta de dados e processamento (a coleta e o processamento de dados pessoais devem apenas serem permitidos se eles forem necessários para a realização das tarefas, sob a responsabilidade da agência de processamento de dados)

6 Introdução No caminho para uma sociedade de informação global, a privacidade individual está em risco. Na tentativa de garantir a privacidade os seguintes princípios básicos devem ser garantidos, quando dados pessoais são coletados ou processados: purpose binding (dados pessoais obtidos para um propósito não podem ser usados para outro propósito sem consentimento informado) necessidade de coleta de dados e processamento (a coleta e o processamento de dados pessoais devem apenas serem permitidos se eles forem necessários para a realização das tarefas, sob a responsabilidade da agência de processamento de dados)

7 Introdução No caminho para uma sociedade de informação global, a privacidade individual está em risco. Na tentativa de garantir a privacidade os seguintes princípios básicos devem ser garantidos, quando dados pessoais são coletados ou processados: purpose binding (dados pessoais obtidos para um propósito não podem ser usados para outro propósito sem consentimento informado) necessidade de coleta de dados e processamento (a coleta e o processamento de dados pessoais devem apenas serem permitidos se eles forem necessários para a realização das tarefas, sob a responsabilidade da agência de processamento de dados)

8 Introdução Na Sociedade de Informação Global, a privacidade não pode ser eficientemente implementada apenas por meios legislativos. Um estudo recente da Autoridade de Proteção de Dados Alemã e da Comissão de Privacidade e Informação da província de Ontário/Canadá está explorando tecnologias que provêem anonimato e pseudônimo de usuários. Entretanto, os modelos de segurança de hoje não são apropriados para reforçar os requerimentos básicos de privacidade, tal como necessidade de coleta de dados e processamento.

9 Este modelo formal de privacidade baseado em tarefas é definido como uma máquina de estados. O modelo de privacidade contém variáveis de estado, invariantes, restrições (propriedades de privacidade) e função de transição de estado (regras do modelo)

10 Roteiro Introdução 1 Introdução 2 3

11 No modelo de privacidade, as seguintes variáveis de estado privacidade-relevância são definidas: Subjects S: Subjects são as entidades ativas do sistema (e.g.,processos). Active subject subj: identidade do subject corrente ativo e invocando uma função de transição. Objects O: Objects são entidades passivas (e.g., arquivos). Personal data objects OP O: Personal data objects são objects contendo dados pessoais. Personal data objects são dados sobre uma pessoa identificada ou passível de identificação.

12 Object-classes O class: Um object contendo dados pessoais que podem ser normalmente classificados por uma certa classe, e.g. arquivos de pacientes em hospital, dados de contas. O class = conjunto de diferentes object classes = {o class1, o class2, none...}. A classe sem dados pessoais é o conjunto de valor pre-definido none. Object-class function Class: cada object é classificado por um object-class. Uma função Class : O O class é definida, onde Class(O j ) é um object-class do objeto O j. O j O\OP : Class(O j ) = none. Tasks T: Um subject deve ter acesso permitido a um object somente para realizar uma tarefa. As tarefas devem ser definidas por cada aplicação.

13 Current Task CT : A tarefa corrente realizada por umsubject é chamada de tarefa corrente. Se um subject não está realizando realizando uma certa tarefa correntemente, sua tarefa corrente é definida pelo valor Nil. Uma função CT : S T {Nil} está definida, onde CT (S i ) é a tarefa corrente do subject S i. Authorised Tasks AT: AT é uma função que define um conjunto não vazio de tarefas para um subject que esse object esta autorizado a realizar. AT : S 2 T {Nil}, onde AT (S i ) é o conjunto de tarefas que S i esta autorizado a realizar. S i S : Nil AT (S i ).

14 User Role: Subjects podem ser categorizados por certas funções segurança-relevância que os usuários podem usar. Role : S user role = {user, sec officer, data protection officer, tp manager,...}. Usuários, que são definidos como responsáveis por tarefas podem delegar essas tarefas a outros usuários. Portanto, a função responsável é definida por: Responsvel : T 2 S, onde Responsvel(T i ) é o conjunto de subjects que podem delegar tarefas T i. Purpose P: Toda tarefa deve servir a um propósito. Além disso, dados pessoais devem ser coletados para propósitos certos. O propósito deve ser definido para as aplicações do sistema. Purpose David Oliveira functions Lorente (DC -for UFSCar) tasksmodelo T-Purpose: de privacidade formal Cada para controle tarefa de acesso

15 Purpose functions for tasks T-Purpose: Cada tarefa serve exatamente para um propósito. (Todavia, cada propósito pode ser atingido pela realização de diferentes tarefas. Uma função T P urpose : T P é definida, onde T purpose(t i ) é o propósito da tarefa T i. Purpose function for object class O-Purposes: Cada object-class tem que ter propósitos especicados para os quais os dados pessoais são coletados. Uma função O P urposes : O class 2 P \ está definida, onde O P urposes(o class i ) são os propósitos para os quais O class i foi obtido.

16 Transformation Procedures TRANS: um subject não pode acessar um objeto arbitrariamente, se ele realiza uma tarefa, o acesso aos objetos deve ser realizado de modo controlado. Current Transformation Procedure CTP: Procedimento de transformação que é correntemente executado por um subject. Se um subject não executa um procedimento de transformação seu procedimento de transformação corrente recebe o valor Nil. CT P : S > T RANS {Nil}. Authorised Transformation Procedures ATP: Equanto realiza uma tarefa, um subject é autorizado a executar certos procedimentos de transformação. AT P : T 2 T RANS {Nil} \

17 Access rights A: Os direitos de acesso que um subject pode ter para acessar os dados pessoais de um object são definidos pelos atributos de acesso A = {read, write, append, delete, create}. Necessary accesses NA: para qualquer tarefa deve ser definido quais acessos a quais objects-classes rodando quais procedimentos de transformação são necessários para realizar essa tarefa. Isso é feito definindo o conjunto: NA O class T RANS A que consiste de triplas da forma: (T i, o class j, transp k, x), onde transp k Nil. (T i, o class j, transp k, x) NA significa que para realizar a tarefa T i é necessário ter o acesso x para objetos o class j rodando o procedimento de transformação transp k.

18 Current access set CA: Um acesso corrente x, onde x {read, write, append}, por um subject S i para um para um objeto O j no estado corrente é representado pela tripla (S i, O j, x). Consent C: O processamento e o uso de dados pessoais deve também ser admissível se o subject consentir. O conjunto C P O é definido como um conjunto de tuplas (P i, O j ).

19 Roteiro Introdução 1 Introdução 2 3

20 Introdução As seguintes invariantes definem as condições para um estado de sistema encontrar princípios específicos de privacidade (um estado chamado de privacidade-orientada). Elas definem formalmente as políticas de privacidade acima. A tarefa corrente de um subject deve ser autorizada para tal subject (propriedade de autorização de tarefa) S i S, CT (S i ) AT (S i ). Um procedimento de transformação corrente de um subject deve ser autorizada para a tarefa corrente do subject (propriedade de autorização TP): S i S, CT P (S i ) AT P (CT (S i )).

21 Introdução Um subject deve apenas ter acesso corrente aos dados pessoais de um objeto, se o acesso pela execução de um procedimento de transformação para objetos dessa classe for necessário para realizar a tarefa corrente (necessidade de processamento de dados): S i S, O j OP : (S i, O j, x) CA (CT (S i ), Class(O j ), CT P (S i ), x) NA. Um subject pode apenas ter acesso aos dados pessoais de um objeto, se o propósito da tarefa corrente corresponde ao propósito para o qual o objeto dessa classe foi obtido ou se há consentimento do subject (purpose binding): S i S, O j OP : (S i, O j, x) CA T P urpose(ct (S i )) O P urposes(class(o j )) (T P urpose(ct (S i )), O j ) C

22 Exemplo Introdução O seguinte exemplo mostra a diferença entre necessidade de processamento de dados e o conceito de purpose binding: Num hospital, "dados de diagnósticos"são coletados para o propósito "tratamento médico". Para um pesquisador pode ser necessário fazer uma análise estatística, através de um programa estatístico com acesso de leitura sobre os dados de diagnósticos. Portanto, um correspondente acesso necessário pertencente a NA, poderia ser definido. Todavia, a tarefa análise estatística serve ao propósito pesquisa. Consequentemente, o princípio de purpose binding permite o acesso as dados de diagnósticos de um paciente para propósito de pesquisa apenas, se o paciente consentir com isso.

23 Roteiro Introdução 1 Introdução 2 3

24 Os princípios de privacidade de necessidade de processamento de dados e purpose binding devem também serem reforçados se dados pessoais forem criados ou apagados.

25 Introdução Um individuo pode criar dados pessoais de um objeto apenas se isso for necessário para a execução de sua tarefa corrente: (CT (sub j ), o classk, CT P (sub j ), create) / NA O j / OP O j / OP class(o j ) o class k Um individuo pode deletar dados pessoais de um objeto apenas se isso for necessário para a execução de sua tarefa corrente:(ct (sub j ), Class(O j ), CT P (sub j ), delete) / NA O J OP O j OP

26 Introdução Um individuo pode criar dados pessoais de um objeto apenas se o propósito de sua tarefa corrente corresponde ao propósito do o class k (purpose binding): T P urpose(ct (S i )) / O P urposes(o class k ) O j / OP O j / OP class (O j ) o class k Um individuo pode criar dados pessoais de um objeto apenas se o propósito de sua tarefa corrente corresponde ao propósito do o class k ou se há consentimento dos individuos portadores dos dados.(purpose binding) T P urpose(ct (S i )) / O P urposes(class(o j )) (T P urpose(ct (S i )), O j ) / C O j OP O j OP.

27 Roteiro Introdução 1 Introdução 2 3

28 No modelo de privacidade, um individuo pode acessar um objeto se o propósito de sua tarefa corrente está contido no conjunto de propósito para os quais os dados do object-class são obtidos. A figura abaixo ilustra um fluxo de informação ilegal. Um indivíduo realizando a tarefa T 1 poderia ler o objeto O 1 e escrever dados de O 1 para O 2, como consequência outro indivíduo realizando a tarefa T 2 (com T-Purpose AD) poderia então ler dados de O 1 (com O-Purposes(class(O 1 ) = {MT}) que foi escrito para O 2. Violação do princípio de purpose binding.

29 Roteiro Introdução 1 Introdução 2 3

30 Estas funções descrevem todas as possíveis mudanças de variáveis de estado, essas mudanças são definidas pelas ações get access, release access, create object, delete object, change current task, execute transformation procedure, exit transformation procedure. Além disso, funções privilegiadas são necessárias para definir ou mudar o controle de acesso à informação. Essas funções devem ser executadas por um oficial de segurança em cooperação com outra pessoa que cuide dos direitos de privacidade dos dados dos indivíduos. Tal esquema é definido através da introdução de outra variável de sistema: Um Ticket TKT(S i, function-type, parameter-list) é requerido por um indivíduo S i e enviado para o o gerente de segurança (usuário no papel sec-officer).

31 Significa que S i pede ao gerente de segurança para executar uma certa função com certos parâmetros. O requerimento do ticket é feito por um usuário no papel de gerente de proteção de dados ou um usuário responsável por uma tarefa. Com o ticket apropriado, o gerente de segurança pode executar uma função privilegiada correspondente.

32 Referências Introdução Simone Fischer-Hübner, Amon Ott, "From a Formal Privacy Model to its Implementation", Proceedings of the 21st National Information Systems Security Conference, Arlington, VA, October 5-8, 1998 Simone Fischer-Hübner, "A Formal Task-based Privacy Model and its Implementation: An updated Report", in: Arto Karila, Timo Aalto (Eds.), Proceedings of the Second Nordic Workshop on Secure Computer Systems NORDSEC 97, Helsinki, November 6-7, 1997