понедельник, 16 января 2017 г.

США: Национальный институт стандартов и технологий опубликовал отчет по обеспечению защиты персональных данных в федеральных системах


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) начал свою деятельность в новом, 2017 году с очередной публикации по тематике защиты неприкосновенности частной жизни / персональных данных.

Межведомственный отчет NIST Interagency Report (NISTIR) 8062 «Введение в инженерию обеспечения неприкосновенности частной жизни и управление рисками в федеральных системах» (An Introduction to Privacy Engineering and Risk Management in Federal Systems) объёмом 49 страниц доступен по адресу http://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf .

Во введении отмечается: «Проводимые NIST исследования в области информационных технологий, в том числе по вопросам кибербезопасности, облачных вычислений, больших данных, а также интеллектуальных вычислительных сетей (smart grid) и других компьютерно-физических систем, ставят своей целью содействовать инновациям и повышению конкурентоспособности, укрепляющих национальную и экономическую безопасность США и повышающих качество жизни.»

«Значительная часть исследований связана с возможность доверять этим информационным технологиям, а также системам, в которых они внедрены. Учитывая озабоченность по поводу того, как информационные технологии могут повлиять на неприкосновенность частной жизни, как на персональном уровне, так и на уровне общества, перед данной публикацией стоит задача дать общее предоставление о возможностях применения системной инженерии и управления рисками для создания более надежных и доверенных систем, в которые защита персональных данных заложена как неотъемлемое, внутренне присущее свойство.»

«Помимо этого, поправки, недавно внесенные Административно-бюджетным управлением (Office of Management and Budget, OMB) в Циркуляр А-130 (Circular No. A-130, https://www.whitehouse.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf , это циркуляр «Управление информацией как стратегическим ресурсом» - Managing Information as a Strategic Resource - Н.Х.) усиливают акцент на управлении рисками для персональных данных. Федеральные органы исполнительной власти нуждаются в руководствах и рекомендациях по типовых измеримым подходам, позволяющим преодолеть разрыв между принципами обеспечения неприкосновенности частной жизни и их эффективной реализацией в реальных системах.»

«Для целей настоящей публикации, под «инженерией обеспечения неприкосновенности частной жизни» (privacy engineering) понимается подраздел системной инженерии, обращающий основное внимание на устранение обстоятельств, способных создавать влекущие недопустимые последствия проблемы для частных лиц, возникающие в связи с обработкой системами их персональных данных. Такое определение является реперной точкой для выявления положительных, в плане защиты персональных данных,  последствий для федеральных систем; а также основой для анализа соответствующих рисков, которого в данной сфере недоставало.».

«Способствуя усилиям федеральных учреждений в части инженерии обеспечения неприкосновенности частной жизни, данная публикация устанавливает ряд целевых показателей - предсказуемость, управляемость и возможность обезличивания (disassociability) – давая тем самым возможность системным инженерам сосредоточиться на тех видах функциональных возможностей, которые необходимо иметь в системе для того, чтобы  продемонстрировать исполнение политики федерального органа и системных требований к защите персональных данных. Кроме того, в отчете описана модель риска для неприкосновенности частной жизни, позволяющая органам исполнительной власти более последовательно проводить оценку рисков на основе вероятности того, что выполняемая системой операция по обработке персональных данных создаст проблему для частных лиц - проблематичная обработка данных (problematic data action) – и возможных последствий такого рода инцидентов.»

«Завершается отчет общей «дорожной картой» для эволюции этих предварительных концепций в действенные исполнимые рекомендации – дополняя тем самым существующие руководства NIST по управлению рисками информационной безопасности, с тем, чтобы федеральные органы могли более эффективно выполнять свои обязательства, установленные Циркуляром A-130 и другими соответствующими политиками.»

Источник: сайт NIST
http://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf

Комментариев нет:

Отправить комментарий