Данная новость была опубликована на сайте NIST 15 августа 2017 года.
Информационные системы, - от коммуникационных платформ до подключенных к Интернету устройств, - для того, чтобы успешно функционировать и обеспечивать защиту своих пользователей в нашем все более сложном и взаимосвязанном мире, требуют наличия мер защиты безопасности и неприкосновенности частной жизни.
В этих целях Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) опубликовал проект новой 5-й редакции своей широко используемой специальной публикации SP 800-53 «Меры обеспечения безопасности и неприкосновенности частной жизни для информационных систем и организаций» (Security and Privacy Controls for Information Systems and Organizations). Проект пятой редакции SP 800-53, подготовленный совместной рабочей группой, состоящей из представителей гражданского, оборонного и разведывательного сообществ (см. http://csrc.nist.gov/publications/drafts/800-53/sp800-53r5-draft.pdf ) является результатом постоянных усилий по созданию единой концепции обеспечения информационной безопасности для органов федерального правительства США.
Этот проект, в отличие от предыдущих редакций, выходит за рамки как информационной безопасности, так и сферы деятельности федерального правительства, с тем, чтобы показать, как организации различных типов могут поддерживать безопасность и защищать неприкосновенность частной жизни в своих взаимосвязанных системах.
5-я редакция SP 800-53 «развивает руководство в новых направлениях - мы создаем каталог следующего поколения мер и средств контроля и управления, которые также могут применяться для защиты Интернета вещей», - говорит Рон Росс (Ron Ross), почетный член NIST (NIST fellow) и лидер совместной целевой группы, которая написала обновленный документ. Меры и средства контроля и управления - это предохранительные меры безопасности и защиты неприкосновенности частной жизни (персональных данных), - как технические, так и процедурные, - предназначенные для защиты систем, организаций и отдельных лиц.
В новом проекте вопросы защиты неприкосновенности частной жизни теперь полностью интегрированы, что сделано впервые в каталогах мер контроля и управления. «Данная редакция отражает пересечение вопросов безопасности и защиты персональных данных в системах, а также и их отличия друг от друга», - поясняет старший советник NIST по политики защиты неприкосновенности частной жизни Наоми Лефковиц (Naomi Lefkovitz). «Это также повышает способность двух профессиональных команд к сотрудничеству, одновременно сохраняя свои соответствующие полномочия». В 5-й редакция SP 800-53 добавлены два новых семейства мер, сфокусированных исключительно на защите персональных данных; прочие средства защиты неприкосновенности частной жизни интегрированы в остальные семейства мер и средств контроля и управления.
Например, одна из мер защиты персональных данных касается данных, собранных датчиками, такими, как те, что применяются в камерах слежения за дорожным движением «умных» городов. Рекомендуется настраивать эти датчики таким образом, чтобы минимизировать сбор данных о физических лицах, не являющихся необходимыми для выполнения системой мониторинга дорожного движения своей функции.
Хотя предыдущие редакции были адресованы федеральным органам исполнительной власти, многие другие организации, особенно в промышленности, добровольно применяли SP 800-53. Меры и средства контроля и управления были обновлены с тем, чтобы удовлетворить потребности более разнообразной группы пользователей, включая профессионалов в области обеспечения безопасности и защиты персональных данных на уровне предприятия, разработчиков компонентов и системных инженеров, которые в настоящее время занимаются обеспечением безопасности и защитой неприкосновенности частной жизни.
Например, ИТ-система может использовать камеры. Эксперты по безопасности определяют меры безопасности для датчика камеры, в то время как специалисты по защите персональных данных выбирают меры, обеспечивающие неприкосновенность частной жизни, например, прохожих. Кроме того, процесс выбора мер контроля и управления теперь отделен от каталога мер безопасности и включен в концепцию NIST управления рисками (NIST Risk Management Framework), описанную в специальной публикации NIST SP 800-37 ( http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf ), с тем, чтобы организациям вне сферы федерального правительства было проще использовать предлагаемые NIST меры в рамках ныне используемых ими концепций и систем, таких, как система менеджмента информационной безопасности ИСО 27001 и Концепция совершенствования кибербезопасноти критической инфраструктуры (Framework for Improving Critical Infrastructure Cybersecurity), также известная как «Концепция кибербезопасности» ( https://www.nist.gov/cyberframework ).
Авторы просят присылать замечания и предложения по проекту NIST SP 800-53 5-й редакции до 12 сентября 2017 года. Их следует направлять по электронной почте на адрес sec-cert@nist.gov , с указанием в теме письма: "Comments on Draft SP 800-53 Rev. 5".
Источник: сайт NIST
https://www.nist.gov/news-events/news/2017/08/nist-crafts-next-generation-safeguards-information-systems-and-internet
Комментариев нет:
Отправить комментарий