Министерство национальной безопасности США (The Department of Homeland Security, DHS) выпустило руководство с требованиями по безопасности мобильных приложений, разрабатываемых министерством и для министерства, сообщает FCW. Документ датирован 30 марта и подписан руководителем службы обеспечения конфиденциальности информации DHS Карен Нейман (Karen Neuman).
В руководстве указано, что в таких приложениях правила защиты персональных данных должны быть легко доступными – как до, так и после установки программы.
Также документ требует, чтобы руководители проектов оповещали официальных лиц, ответственных за конфиденциальность данных, и офис IT-директора до начала работы над приложением — все равно, для внутреннего или для публичного пользования.
Разработчики должны «прогнать» свои программы через специальный сервис, сканирующий и тестирующий исходный код, а также предоставляющий обслуживание в течение срока эксплуатации приложения. До того, как приложение будет внедрено, результаты сканирования будут изучены лично Нейман — на предмет наличия надлежащей защиты данных.
Приложения DHS не могут собирать персональные данные, идентифицирующие пользователя (вроде номеров соцстрахования), «за исключением случаев, когда это необходимо для конкретных целей DHS», указано в документе. Такие случаи должны быть обоснованы, и руководители проекта обязаны хранить информацию, позволяющую установить личность, по установленным для этого правилам.
Персональные данные, затребованные приложениями DHS, должны передаваться в зашифрованном виде и «немедленно отправляться в защищенную внутреннюю систему министерства, отвечающую текущей политике обеспечения информационной безопасности DHS».
В руководстве указано, что это основные требования ИБ — для конкретных приложений могут потребоваться дополнительные методы защиты.
