Privacy is a fundamental concern in human societies. While not a new concept, its meaning has been renovated in modern age. From the social perspective, the new generation of people with “always connected” smart phones which can instantly share photos, videos, and voice records with a country-scale virtual society brings about lots of new privacy challenges. From the business perspective, the users' privacy has become a top demand, and challenging technological requirement which is sometimes in conflict with marketing techniques. And from the government perspective, surveillance is really confronting citizens' privacy. Privacy has been accepted as a fundamental right in the United Nations and many countries. In this talk, we will have a quick look to the needs, challenges, and solutions for privacy from an engineering perspective.

1. ‫الرحیم‬ ‫الرحمن‬ ‫ال‬ ‫بسم‬‫الرحیم‬ ‫الرحمن‬ ‫ال‬ ‫بسم‬
‫خصوصی‬ ‫حریم‬ ‫مهندسی‬‫خصوصی‬ ‫حریم‬ ‫مهندسی‬
))Privacy EngineeringPrivacy Engineering((
‫نوگورانی‬ ‫دری‬ ‫صادق‬‫نوگورانی‬ ‫دری‬ ‫صادق‬
‫بهشتی‬ ‫شهید‬ ‫دانشگاه‬ ‫ـ‬ ‫ایران‬ ‫رمز‬ ‫انجمن‬ ‫المللی‬‫بین‬ ‫کنفرانس‬ ‫سیزدهمین‬
۱۸‫شهریور‬۱۳۹۵‫تهران‬ ‫ـ‬

2. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲‫از‬۳۲
!‫هرجا‬ ‫در‬ ‫پراکنده‬ ‫شخصی‬ ‫اطلعات‬!‫هرجا‬ ‫در‬ ‫پراکنده‬ ‫شخصی‬ ‫اطلعات‬
·) ‫خصوصی‬ ‫حریم‬ ‫حفظ‬) ‫خصوصی‬ ‫حریم‬ ‫حفظ‬PrivacyPrivacy‫کنترل‬ (‫ها‬‫سازمان‬ ‫)یا‬ ‫افراد‬ ‫اینکه‬ ‫از‬ ‫اطمینان‬ :(‫کنترل‬ (‫ها‬‫سازمان‬ ‫)یا‬ ‫افراد‬ ‫اینکه‬ ‫از‬ ‫اطمینان‬ :(
...‫اینکه‬ ‫در‬ ‫هستند‬ ‫مؤثر‬ ‫یا‬ ‫کنند‬‫می‬...‫اینکه‬ ‫در‬ ‫هستند‬ ‫مؤثر‬ ‫یا‬ ‫کنند‬‫می‬
●‫شود؛‬ ‫ذخیره‬ ‫و‬ ‫آوری‬‫جمع‬ ‫خصوصشان‬ ‫در‬ ‫اطلعاتی‬ ‫چه‬
●‫شود؛‬ ‫ذخیره‬ ‫و‬ ‫آوری‬‫جمع‬ ‫کسانی‬ ‫چه‬ ‫توسط‬ ‫اطلعات‬
●.‫شود‬ ‫داده‬ ‫کسانی‬ ‫چه‬ ‫به‬ ‫اطلعات‬

3. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۳‫از‬۳۲
‫انداز‬ ‫چشم‬‫انداز‬ ‫چشم‬
·‫خصوصی‬ ‫حریم‬ ‫با‬ ‫آشنایی‬‫خصوصی‬ ‫حریم‬ ‫با‬ ‫آشنایی‬
-‫ها‬‫چالش‬ ،‫مخاطرات‬
-‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬
·‫مهندسی‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫برقراری‬‫مهندسی‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫برقراری‬
-‫مخاطره‬ ‫بر‬ ‫مبتنی‬ ‫چارچوب‬
-) ‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫چارچوب‬PbD(
·‫نوکیا‬ ‫شرکت‬ ‫عملی‬ ‫تجربه‬‫نوکیا‬ ‫شرکت‬ ‫عملی‬ ‫تجربه‬

4. ‫خصوصی‬ ‫حریم‬ ‫با‬ ‫آشنایی‬‫خصوصی‬ ‫حریم‬ ‫با‬ ‫آشنایی‬

5. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۵‫از‬۳۲
‫شخصی‬ ‫یا‬ ‫حساس‬ ‫اطلعات‬‫شخصی‬ ‫یا‬ ‫حساس‬ ‫اطلعات‬
·‫سلمت‬ ‫حوزه‬‫سلمت‬ ‫حوزه‬
-‫بیمه‬ ‫و‬ ‫دارویی‬ ‫های‬‫شرکت‬ ‫برای‬
-(‫اقوام‬ ،‫)افراد‬ ‫ژنتیکی‬ ‫اطلعات‬
·‫قضایی‬ ‫سوابق‬‫قضایی‬ ‫سوابق‬
-‫آشنایان‬ ،‫کار‬ ‫محل‬ ‫برای‬
·‫درآمد‬ ‫میزان‬‫درآمد‬ ‫میزان‬
-‫مشهور‬ ‫افراد‬ ‫و‬ ‫مسئولین‬ ‫خصوصا‬
·‫زمانی-مکانی‬ ‫اطلعات‬‫زمانی-مکانی‬ ‫اطلعات‬
-...‫وقت‬ ‫چه‬ ‫و‬ ‫کجا‬

6. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۶‫از‬۳۲
) ‫مکان-مبنا‬ ‫خدمات‬ :‫مثال‬) ‫مکان-مبنا‬ ‫خدمات‬ :‫مثال‬Location-based ServicesLocation-based Services((
·‫مکانی‬ ‫موقعیت‬ ‫اشتراک‬‫مکانی‬ ‫موقعیت‬ ‫اشتراک‬
-‫جایی‬ ‫به‬ ‫ورود‬ ‫از‬ ‫گاهی‬ ‫آ‬ ،‫سایرین‬ ‫محل‬ ‫یافتن‬ ،‫خود‬ ‫محل‬ ‫اعلم‬
·:‫کاربردها‬:‫کاربردها‬‫مکان-مبنا‬ ‫تبلیغات‬ ‫و‬ ‫جستجو‬‫مکان-مبنا‬ ‫تبلیغات‬ ‫و‬ ‫جستجو‬
-‫شما‬ ‫نزدیکی‬ ‫در‬ ...‫و‬ ،‫مترو‬ ‫ایستگاه‬ ،‫ها‬‫موزه‬ ،‫ها‬‫رستوران‬
-‫مکانی‬ ‫موقعیت‬ ‫به‬ ‫وابسته‬ ‫هدفمند‬ ‫تبلیغات‬
-‫اینترنت‬ ‫در‬ ‫موقعیت‬ ‫آن‬ ‫از‬ ‫تصاویر‬ ‫سایر‬ ‫یافتن‬
-‫هدایت‬ ‫و‬ ‫راهبری‬

7. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۷‫از‬۳۲
‫مکانی-زمانی‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫اهمیت‬‫مکانی-زمانی‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫اهمیت‬
8.00%
8.00%
32.00%
52.00%
‫اینترنت‬ ‫فقط‬
+ ‫اینترنت‬GPS‫اطلعات‬ ‫)بدون‬WiFi(
‫اطلعات‬ + ‫اینترنت‬WiFi‫)بدون‬GPS(
+ ‫اینترنت‬GPS‫اطلعات‬ +WiFi
‫به‬ ‫مربوط‬ ‫ردگیری‬ ‫با‬ ‫مرتبط‬ ‫مجوزهای‬ ‫برخی‬۲۵‫ایرانی‬ ‫کاربران‬ ‫میان‬ ‫در‬ ‫محبوب‬ ‫اندروید‬ ‫افزار‬‫نرم‬

8. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۸‫از‬۳۲
‫کوکی‬ ‫با‬ ‫وب‬ ‫در‬ ‫ردگیری‬ :‫مثال‬‫کوکی‬ ‫با‬ ‫وب‬ ‫در‬ ‫ردگیری‬ :‫مثال‬
‫کنیم‬ ‫مراجعه‬ ‫سایت‬ ‫به‬ ً‫ا‬‫مستقیم‬ ‫یا‬ ‫کنیم‬ ‫کلیک‬ ‫تبلیغ‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫نیست‬ ‫لزم‬
!‫کند‬ ‫جمع‬ ‫اطلعات‬ ‫ما‬ ‫از‬ ‫بتواند‬ ‫تا‬

9. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۹‫از‬۳۲
‫کوکی‬ ‫بدون‬ ‫وب‬ ‫در‬ ‫ردگیری‬ :‫مثال‬‫کوکی‬ ‫بدون‬ ‫وب‬ ‫در‬ ‫ردگیری‬ :‫مثال‬
·‫مرورگر‬ ‫از‬ ‫برداری‬ ‫انگشت‬ ‫اثر‬‫مرورگر‬ ‫از‬ ‫برداری‬ ‫انگشت‬ ‫اثر‬
-‫هستند؟‬ ‫آن‬ ‫انگشت‬ ‫اثر‬ ،‫مرورگر‬ ‫یک‬ ‫از‬ ‫هایی‬‫مؤلفه‬ ‫چه‬
https://panopticlick.eff.org

10. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۰‫از‬۳۲

11. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۱‫از‬۳۲
‫خصوصی‬ ‫حریم‬ ‫به‬ ‫تجاوز‬ ‫های‬‫آسیب‬‫خصوصی‬ ‫حریم‬ ‫به‬ ‫تجاوز‬ ‫های‬‫آسیب‬
·ٔ‫ندارم‬ ‫کردن‬ ‫پنهان‬ ‫برای‬ ‫»چیزی‬ ‫مناقشه‬ٔ‫ندارم‬ ‫کردن‬ ‫پنهان‬ ‫برای‬ ‫»چیزی‬ ‫مناقشه‬
-ٔ‫نیست‬ ‫بد‬ ‫یا‬ ‫زشت‬ ‫چیزهای‬ ‫کردن‬ ‫پنهان‬ ‫خصوصی‬ ‫حریم‬
-.‫است‬ ‫شخصی‬ ‫های‬‫داده‬ ‫بر‬ ‫کنترل‬ ‫و‬ ‫احاطه‬
·‫سرقت‬ ،‫تهدید‬ ،‫خواهی‬‫باج‬ :‫شده‬ ‫تجمیع‬ ‫اطلعات‬ ‫از‬ ‫استنتاج‬‫سرقت‬ ،‫تهدید‬ ،‫خواهی‬‫باج‬ :‫شده‬ ‫تجمیع‬ ‫اطلعات‬ ‫از‬ ‫استنتاج‬
-،‫سیاسی‬ ‫های‬‫گیری‬‫جهت‬ ،‫مذهبی‬ ‫باورهای‬ ،‫فردی‬ ‫های‬‫اولویت‬ ،‫ترجیحات‬ ،‫ها‬‫عادت‬ ‫افشای‬
... ،‫سلمت‬ ‫وضعیت‬
·‫فکری‬ ‫دهی‬‫جهت‬‫فکری‬ ‫دهی‬‫جهت‬
-) ‫قیمت‬ ‫تبعیض‬ ‫و‬ ‫تنظیم‬ :‫تجاری‬Price discrimination(
-‫خاص‬ ‫کالیی‬ ‫خرید‬ :‫تجاری‬
-‫مغزی‬ ‫شستشوی‬ ،‫خبری‬ ‫سانسور‬ :‫عقیدتی‬ ‫و‬ ‫سیاسی‬
·‫ملی‬ ‫امنیت‬ ‫تهدید‬‫ملی‬ ‫امنیت‬ ‫تهدید‬
D.J. Solove, “Why Privacy Matters Even If You Have 'Nothing to Hide,'”
http://chronicle.com/article/Why-Privacy-Matters-Even-if/127461/

12. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۲‫از‬۳۲
‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬
-‫امنیت‬ ‫از‬ ‫حراست‬
-‫شخصی‬ ‫مشارکت‬
-‫بودن‬ ‫باز‬
-‫پاسخگویی‬
-‫مقصود‬ ‫تعیین‬
-‫آوری‬‫جمع‬ ‫محدودسازی‬
-‫کاربرد‬ ‫محدودسازی‬
-‫ها‬‫داده‬ ‫کیفیت‬
) ‫توسعه‬ ‫و‬ ‫اقتصادی‬ ‫همکاری‬ ‫سازمان‬ ‫توسط‬) ‫توسعه‬ ‫و‬ ‫اقتصادی‬ ‫همکاری‬ ‫سازمان‬ ‫توسط‬OECDOECD.‫است‬ ‫شده‬ ‫ارائه‬ (.‫است‬ ‫شده‬ ‫ارائه‬ (
(Fair Information Processing Principles - FIPP)
.‫نداریم‬ ‫ویژه‬ ‫قانون‬ ‫هنوز‬ :‫ما‬ ‫کشور‬ ‫در‬.‫نداریم‬ ‫ویژه‬ ‫قانون‬ ‫هنوز‬ :‫ما‬ ‫کشور‬ ‫در‬

13. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۳‫از‬۳۲
) ‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬) ‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬۱۱((
·‫مقصود‬ ‫تعیین‬‫مقصود‬ ‫تعیین‬
-.‫باشد‬ ‫مشخص‬ ‫آوری‬‫جمع‬ ‫زمان‬ ‫در‬ ‫حداکثر‬ ‫باید‬ ‫شخصی‬ ‫اطلعات‬ ‫آوری‬‫جمع‬ ‫از‬ ‫مقصود‬
-.(‫اجازه‬ ‫با‬ ‫)مگر‬ ‫نشوند‬ ‫استفاده‬ ‫دیگری‬ ‫منظور‬ ‫به‬
·‫آوری‬‫جمع‬ ‫محدودسازی‬‫آوری‬‫جمع‬ ‫محدودسازی‬
-.‫باشد‬ ‫داشته‬ ‫وجود‬ ‫شخصی‬ ‫اطلعات‬ ‫آوری‬‫جمع‬ ‫برای‬ ‫حدی‬
-.‫باشند‬ ‫آمده‬ ‫دست‬ ‫به‬ ‫منصفانه‬ ‫و‬ ‫قانونی‬ ‫های‬‫روش‬ ‫از‬ ‫اطلعات‬ ‫این‬ ‫همه‬
-.‫باشند‬ ‫ها‬‫داده‬ ‫موضوع‬ ‫شخص‬ ‫آگاهی‬ ‫یا‬ ‫دانش‬ ‫با‬ ‫مقتضی‬ ‫موارد‬ ‫در‬
·‫کاربرد‬ ‫محدودسازی‬‫کاربرد‬ ‫محدودسازی‬
-‫شده‬ ‫آوری‬‫جمع‬ ‫برایشان‬ ‫که‬ ‫باشد‬ ‫مقاصدی‬ ‫همان‬ ‫به‬ ‫منحصر‬ ‫باید‬ ‫اطلعات‬ ‫به‬ ‫دسترسی‬
.‫است‬

14. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۴‫از‬۳۲
) ‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬) ‫منصفانه‬ ‫اطلعات‬ ‫پردازش‬ ‫اصول‬۲۲((
·...‫باشد‬ ‫داشته‬ ‫اجازه‬ ‫باید‬ ‫شخص‬ ‫هر‬ :‫شخصی‬ ‫مشارکت‬ ‫اصل‬...‫باشد‬ ‫داشته‬ ‫اجازه‬ ‫باید‬ ‫شخص‬ ‫هر‬ :‫شخصی‬ ‫مشارکت‬ ‫اصل‬
(1)‫اطلعات‬ ‫داشتن‬ ‫اختیار‬ ‫در‬ ‫تأییدیه‬ ،‫دیگری‬ ‫طریق‬ ‫یا‬ ‫داده‬ ‫کننده‬ ‫کنترل‬ ‫یک‬ ‫از‬
.‫بگیرد‬ ‫را‬ ‫خود‬ ‫مورد‬ ‫در‬ ‫شخصی‬
(2):‫کند‬ ‫دریافت‬ ‫را‬ ‫خود‬ ‫به‬ ‫مربوط‬ ‫های‬‫داده‬
‫فهم‬ ‫قابل‬ ‫و‬ ،‫معقول‬ ‫شکلی‬ ‫به‬ ،‫زمان‬ ‫در‬
‫متناسبی‬ ‫هزینه‬ ‫پرداخت‬ ‫با‬ ‫یا‬ ‫رایگان‬ ‫صورت‬ ‫به‬
(3)) ‫بندهای‬ ‫خصوص‬ ‫در‬ ‫درخواستی‬ ‫نشدن‬ ‫پذیرفته‬ ‫دلیل‬۱) ‫و‬ (۲‫آن‬ ‫بتواند‬ ‫و‬ ‫بداند‬ ‫را‬ (
.‫بکشد‬ ‫چالش‬ ‫به‬ ‫را‬
(4)‫موفق‬ ‫چالش‬ ‫این‬ ‫اگر‬ ‫و‬ ،‫بکشد‬ ‫چالش‬ ‫به‬ ‫دارد‬ ‫وجود‬ ‫خصوصش‬ ‫در‬ ‫که‬ ‫را‬ ‫ای‬‫داده‬
.‫شوند‬ ‫نظر‬ ‫تجدید‬ ‫یا‬ ،‫تکمیل‬ ،‫اصلح‬ ،‫پاک‬ ‫ها‬‫داده‬ ،‫باشد‬

15. ‫مهندسی‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫برقراری‬‫مهندسی‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫برقراری‬

16. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۶‫از‬۳۲
(‫دهندگان‬ ‫خدمت‬ ‫منظر‬ ‫)از‬ ‫چالش‬(‫دهندگان‬ ‫خدمت‬ ‫منظر‬ ‫)از‬ ‫چالش‬
·‫خصوصی‬ ‫حریم‬ ‫های‬‫مشی‬‫خط‬ ‫رعایت‬ ‫از‬ ‫اطمینان‬‫خصوصی‬ ‫حریم‬ ‫های‬‫مشی‬‫خط‬ ‫رعایت‬ ‫از‬ ‫اطمینان‬
-‫داخلی‬ ‫نظارت‬
-‫قانونی‬ ‫الزامات‬
·‫شخصی‬ ‫اطلعات‬ ‫با‬ ‫مرتبط‬ ‫های‬‫بخش‬ ‫همه‬ ‫در‬‫شخصی‬ ‫اطلعات‬ ‫با‬ ‫مرتبط‬ ‫های‬‫بخش‬ ‫همه‬ ‫در‬
-‫کارمندان‬
-‫نویسان‬ ‫برنامه‬
-‫ثالث‬ ‫های‬‫شرکت‬
-...

17. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۷‫از‬۳۲

18. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۸‫از‬۳۲
‫عمل‬ ‫تا‬ ‫مشی‬‫خط‬ ‫بین‬ ‫فاصله‬ ‫پرکردن‬‫عمل‬ ‫تا‬ ‫مشی‬‫خط‬ ‫بین‬ ‫فاصله‬ ‫پرکردن‬
·‫راهکار‬‫راهکار‬‫خصوصی‬ ‫حریم‬ ‫مهندسی‬ :‫خصوصی‬ ‫حریم‬ ‫مهندسی‬ :
-‫کار‬ ‫خصوصی‬ ‫های‬‫داده‬ ‫با‬ ‫که‬ ‫هایی‬‫سامانه‬ ‫و‬ ‫فرایندها‬ ‫در‬ ‫باید‬ ‫خصوصی‬ ‫حریم‬
‫مخاطرات‬ ‫از‬ ‫تا‬ ،‫تعبیه‬ ‫نیز‬ ‫کنند‬‫می‬‫پیشگیری‬.‫شود‬
‫خصوصی‬ ‫حریم‬ ‫ناقص‬ ‫پوشش‬‫خصوصی‬ ‫حریم‬ ‫ناقص‬ ‫پوشش‬ ‫خصوصی‬ ‫حریم‬ ‫کامل‬ ‫پوشش‬‫خصوصی‬ ‫حریم‬ ‫کامل‬ ‫پوشش‬

19. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۱۹‫از‬۳۲
‫خصوصی‬ ‫حریم‬ ‫مخاطره‬ ‫مدیریت‬ ‫چارچوب‬‫خصوصی‬ ‫حریم‬ ‫مخاطره‬ ‫مدیریت‬ ‫چارچوب‬NISTNIST

20. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۰‫از‬۳۲
‫خصوصی‬ ‫حریم‬ ‫مخاطره‬ ‫مدیریت‬ ‫چارچوب‬‫خصوصی‬ ‫حریم‬ ‫مخاطره‬ ‫مدیریت‬ ‫چارچوب‬NISTNIST
(NISTIR-8062-draft)

21. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۱‫از‬۳۲
‫مخاطره‬ ‫ارزیابی‬‫مخاطره‬ ‫ارزیابی‬

22. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۲‫از‬۳۲
‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫چارچوب‬‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫چارچوب‬
·‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫دیدگاه‬‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫دیدگاه‬
-.‫کرد‬ ‫برقرار‬ ‫ضوابط‬ ‫رعایت‬ ‫از‬ ‫اطمینان‬ ‫با‬ ‫فقط‬ ‫را‬ ‫خصوصی‬ ‫حریم‬ ‫توان‬‫نمی‬
-.‫شود‬ ‫تبدیل‬ ‫سازمان‬ ‫جاری‬ ‫رویه‬ ‫به‬ ‫باید‬ ‫خصوصی‬ ‫حریم‬ ‫از‬ ‫حفاظت‬
-.‫است‬ ‫سازمان‬ ‫های‬‫لیه‬ ‫همه‬ ‫با‬ ‫شدن‬ ‫ممزوج‬ ‫و‬ ‫سازی‬‫مجتمع‬ ‫نیازمند‬
-‫فیزیکی‬ ‫های‬‫طراحی‬ ،‫تجاری‬ ‫فرایندهای‬ ،‫فاوا‬ ‫با‬ ‫مرتبط‬ ‫های‬‫بخش‬ ‫در‬ ً‫ل‬‫مث‬
Privacy by Design (PbD)

23. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۳‫از‬۳۲
‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫بنیادی‬ ‫اصول‬‫طراحی‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬ ‫بنیادی‬ ‫اصول‬
‫بنیادی‬ ‫اصل‬‫عملی‬ ‫کاربرد‬
‫وقوع‬ ‫از‬ ‫قبل‬ ‫مشکلت‬ ‫کردن‬ ‫بینی‬‫پیش‬
‫حیات‬ ‫چرخه‬ ‫کل‬ ‫در‬ ‫حفاظت‬
۱(‫دستانه‬‫پیش‬‫نه‬ ‫و‬ (‫)پیشگیری‬‫تدافعی‬(‫)درمان‬
۲(‫عنوان‬ ‫به‬ ‫خصوصی‬ ‫حریم‬‫فرض‬‫پیش‬ ‫وضعیت‬
‫نباشد‬ ‫لزم‬ ‫و‬ ‫شود‬ ‫حفاظت‬ ‫ابتدا‬ ‫از‬ ‫شخصی‬ ‫اطلعات‬
.‫کنند‬ ‫اقدام‬ ‫حفاظت‬ ‫برای‬ ‫افراد‬
۳(‫خصوصی‬ ‫حریم‬‫نهفته‬‫طراحی‬ ‫در‬
‫باشد‬ ‫اصلی‬ ‫عملکردهای‬ ‫در‬ ‫خصوصی‬ ‫حریم‬ ‫از‬ ‫حفاظت‬
.‫شود‬ ‫افزوده‬ ً‫ا‬‫بعد‬ ‫نه‬ ‫و‬
۴(‫مثبت‬ ‫مجموع‬‫صفر‬ ‫مجموع‬ ‫نه‬ –
،‫امنیت‬ ‫و‬ ‫کرد‬‫عمل‬ ‫بهبود‬ ‫باعث‬ ‫خصوصی‬ ‫حریم‬ ‫حفظ‬
.‫باشد‬ ‫ها‬‫آن‬ ‫کاهنده‬ ‫نه‬ ‫و‬
۵(
‫تا‬ ‫ابتدا‬ ‫از‬ ‫داده‬ ‫حیات‬ ‫چرخه‬ ‫مراحل‬ ‫تمام‬ ‫در‬ ‫حفاظت‬
.‫شود‬ ‫انجام‬ ‫انتها‬
۶() ‫شفافیت‬ ‫و‬ ‫مشاهده‬ ‫قابلیت‬‫بودن‬ ‫باز‬(
،‫شود‬ ‫متوجه‬ ‫را‬ ‫ها‬‫داده‬ ‫از‬ ‫استفاده‬ ‫نحوه‬ ‫بتواند‬ ‫فرد‬ ‫هر‬
.‫باشد‬ ‫داشته‬ ‫وجود‬ ‫هم‬ ‫نظارت‬ ‫و‬
۷() ‫کاربر‬ ‫خصوصی‬ ‫حریم‬ ‫به‬ ‫احترام‬‫بودن‬ ‫محور‬ ‫کاربر‬(
‫آزادانه‬ ‫انتخاب‬ ‫و‬ ‫کنترل‬ ،‫است‬ ‫سازمان‬ ‫برای‬ ‫الزامات‬
‫افراد‬ ‫برای‬
http://www.privacybydesign.ca/index.php/about-PbD/7-foundational-principles

24. ‫نوکیا‬ ‫شرکت‬ ‫عملی‬ ‫تجربه‬‫نوکیا‬ ‫شرکت‬ ‫عملی‬ ‫تجربه‬

25. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۵‫از‬۳۲
‫اولیه‬ ‫رویکرد‬‫اولیه‬ ‫رویکرد‬
·‫خصوصی‬ ‫حریم‬ ‫مهندسی‬ ‫به‬ ‫اولیه‬ ‫رویکرد‬‫خصوصی‬ ‫حریم‬ ‫مهندسی‬ ‫به‬ ‫اولیه‬ ‫رویکرد‬
-) ‫کاربرد‬ ‫موارد‬ ‫استخراج‬UC‫خصوصی‬ ‫حریم‬ ‫برای‬ (
-‫لیست‬ ‫چک‬ ‫ایجاد‬
-‫افزار‬‫نرم‬ ‫تولید‬ ‫فرایند‬ ‫با‬ ‫کردن‬ ‫ممزوج‬
-‫غیرکارکردی‬ ‫های‬‫نیازمندی‬ ‫قالب‬ ‫در‬ ‫نظارتی‬ ‫و‬ ‫بازرسی‬ ‫های‬‫روال‬
·‫عمل‬ ‫در‬ ‫مشکلت‬‫عمل‬ ‫در‬ ‫مشکلت‬
-‫سختی‬‫ارتباط‬(، ،‫مهندس‬ ،‫)حقوقدان‬ ‫مختلف‬ ‫های‬‫حوزه‬ ‫در‬ ‫افراد‬ ‫میان‬
-‫صحیح‬ ‫درک‬ ‫عدم‬‫ها‬‫نقش‬‫تو‬ :‫همچون‬ ‫)عباراتی‬‫فقط‬(.‫هستی‬ ‫مهندس‬ ‫یک‬
-‫هم‬ ‫کارگیری‬ ‫به‬ ‫در‬ ‫ضعف‬‫فنون‬‫قانونی‬ ‫هم‬ ‫و‬ ‫مهندسی‬
-‫گرایی‬‫آل‬‫ایده‬‫حد‬ ‫از‬ ‫بیش‬
-‫بر‬ ‫حد‬ ‫از‬ ‫بیش‬ ‫کید‬‫تأ‬‫ضوابط‬ ‫با‬ ‫انطباق‬)Compliance(

26. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۶‫از‬۳۲
‫حل‬ ‫راه‬‫حل‬ ‫راه‬
·:‫مهم‬ ‫نکته‬ ‫سه‬:‫مهم‬ ‫نکته‬ ‫سه‬
-‫ارتباطات‬ ‫تقویت‬
-‫سازی‬‫فرهنگ‬
-‫ها‬‫نقش‬ ‫تبیین‬

27. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۷‫از‬۳۲
‫استریل‬ ‫محدوده‬ ‫تمثیل‬‫استریل‬ ‫محدوده‬ ‫تمثیل‬
‫استریل‬
‫غیراستریل‬

28. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۸‫از‬۳۲
‫نهایی‬ ‫لیست‬ ‫چک‬‫نهایی‬ ‫لیست‬ ‫چک‬

29. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۲۹‫از‬۳۲
!‫اخلقی‬ ‫تذکر‬!‫اخلقی‬ ‫تذکر‬
‫زمان‬ ‫طول‬ ‫در‬ ‫پروژه‬ ‫پیشرفت‬
·ٔ‫شود‬ ‫متوقف‬ ‫ضوابط‬ ‫با‬ ‫انطباق‬ ‫عدم‬ ‫خاطر‬ ‫به‬ ‫تواند‬‫نمی‬ ‫پروژه‬ٔ‫شود‬ ‫متوقف‬ ‫ضوابط‬ ‫با‬ ‫انطباق‬ ‫عدم‬ ‫خاطر‬ ‫به‬ ‫تواند‬‫نمی‬ ‫پروژه‬
·‫جنبه‬ ‫یک‬ ‫خصوصی‬ ‫حریم‬‫جنبه‬ ‫یک‬ ‫خصوصی‬ ‫حریم‬) ‫ایمنی‬ ‫منظر‬ ‫از‬ ‫مهم‬) ‫ایمنی‬ ‫منظر‬ ‫از‬ ‫مهم‬Safety CtriticalSafety Ctritical((
.‫است‬.‫است‬

30. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۳۰‫از‬۳۲
‫بندی‬‫جمع‬‫بندی‬‫جمع‬
·‫قانون‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫به‬ ‫پرداختن‬ ‫ضرورت‬‫قانون‬ ‫منظر‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫به‬ ‫پرداختن‬ ‫ضرورت‬
-‫مهم‬ ‫های‬‫حوزه‬ ‫در‬ ‫حداقل‬
-‫مجازی‬ ‫فضای‬ ‫در‬ ً‫ا‬‫خصوص‬
·‫ها‬‫شرکت‬ ‫و‬ ‫ها‬‫سازمان‬ ‫جانب‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫رعایت‬‫ها‬‫شرکت‬ ‫و‬ ‫ها‬‫سازمان‬ ‫جانب‬ ‫از‬ ‫خصوصی‬ ‫حریم‬ ‫رعایت‬
-‫المللی‬‫بین‬ ‫های‬‫توصیه‬ ‫بهترین‬ ‫کارگیری‬ ‫به‬
-ٔ‫کرد‬ ‫باید‬ ‫وقوع‬ ‫از‬ ‫پیش‬ ‫واقعه‬ ‫علج‬
·‫اجرایی‬ ‫مدون‬ ‫راهکار‬ ‫تدوین‬‫اجرایی‬ ‫مدون‬ ‫راهکار‬ ‫تدوین‬
-‫سازمانی‬ ‫سازی‬‫فرهنگ‬
-‫ضوابط‬ ‫بر‬ ‫صرف‬ ‫تمرکز‬ ‫نه‬ ‫و‬ ‫کاربردی‬ ‫های‬‫لیست‬ ‫چک‬ ‫تهیه‬

31. ٣١
‫پایان‬‫پایان‬

32. ۱۳۹۵ ‫شهریور‬‫نوگورانی‬ ‫دری‬ ‫صادق‬ - ‫خصوصی‬ ‫حریم‬ ‫مهندسی‬۳۲‫از‬۳۲
‫منابع‬‫منابع‬
Lorrie Cranor, “Internet monitoring and web tracking,” Usable Privacy and Security Course, CMU,
Sep. 2014, Link: http://cups.cs.cmu.edu/courses/ups-sp14/
Lorrie Cranor, “Fair information practices and privacy principles,” Privacy Policy, Law, and
Technology Course, CMU, Sep. 2014, Link: http://cups.cs.cmu.edu/courses/ups-sp14/
I. Oliver, “Privacy Engineering from an engineer’s view,” presented at the DSummit, Stockholm,
Sweden, May 2016.
Link: http://www.slideshare.net/ianoliver79/privacy-engineerings-from-an-engineers-view
S. S. Shapiro et al., “Privacy Engineering Framework,” MITRE Privacy Community of Practice
(CoP) Technical Presentation, Jul. 2014.
Link: https://www.mitre.org/publications/technical-papers/privacy-engineering-framework
NIST Computer Security Division, “Privacy Engineering Objectives and Risk Model,” presented at
the NIST Privacy Engineering Workshop, Sep-2014.
Link: https://kantarainitiative.org/wp-content/uploads/2014/10/NIST-Privacy-Engineering-KI-IoT-Slides.pdf
DRAFT Privacy Risk Management for Federal Information Systems, NIST, USA, NISTIR 8062-
draft, May 2015.
Link: http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf