пятница, 20 апреля 2018 г.

США: Начато публичное обсуждение публикации Конференции Седона о реагировании на инциденты, связанные с утечкой данных


19 марта 2018 года североамериканская «Конференция Седона» (Sedona Conference, авторитетный некоммерческий правовой идейный центр, в основном занимающийся вопросами э-раскрытия сохраняемой в электронном виде информации в ходе споров по гражданским делам) сообщила на своем сайте и в новостной рассылке о публикации варианта для публичного обсуждения своего нового документа – Руководства по реагированию на инциденты утечки данных.

«Конференция Седона» и её рабочая группа WG11 по защите неприкосновенности частной жизни и персональных данных (Working Group 11 on Data Security and Privacy) рады объявить о публикации для общественного обсуждения Руководства по реагированию на инциденты утечки данных (The Sedona Conference - Incident Response Guide).

Рабочая группа WG11 разработала данное Руководство в качестве всеобъемлющего и одновременно практичного руководства, которое поможет специалистам-практикам и организациям справиться с множеством юридических, технических и политических вопросов и проблем, возникающих всякий раз, когда случается несанкционированный доступ к данным.

Одним из вызовов в процессе подготовки Руководства был быстро меняющийся характер этой области права. Информация весьма быстро устаревает. В качестве примера можно упомянуть, что на момент начала работы над проектом документа такие штаты США, как Алабама, Нью-Мексико и Южная Дакота не имели законов об обязательном уведомлении о случаях несанкционированного доступа к данным. В момент, когда группа WG11 уже вплотную подошла к завершению работы над публикацией, в Нью-Мексико вступил в силу закон об уведомлении о случаях несанкционированного доступа к данным. Кроме того, 1 марта 2018 года похожий закон был одобрен Сенатом штата Алабама. Наконец, такое же законодательство было одобрено обеими палатами высшего органа законодательной власти Южной Дакоты и 9 марта 2018 года было передано на подпись губернатору штата - однако на данный момент законопроект ещё не был подписан и не стал законом.

Учитывая то, что документы рабочих групп готовятся на основе консенсуса, с этими изменениями пришлось разбираться пошагово, а не мгновенно. Редакционная группа намерена в полной мере отразить эти события в финальной версии Руководства по реагированию на инциденты, которое будет опубликовано по окончании трехмесячного периода общественного обсуждения.

Группа WG11 полагает, что читатель извлечёт больше пользы для себя по ходу процесса адаптации Руководства организацией принимающей для собственного использования, чем из включенного в него сборника соответствующих законов. Такой процесс ведёт к более эффективному реагированию на инциденты и способствует совместной ответственности служб и подразделений за заблаговременное, до наступления инцидента, планирование, которое имеет абсолютно критически-важное значение для реагирования на инцидент.

Вы можете скачать 77-страничное «Руководство по реагированию на инциденты» бесплатно (при условии предоставления персональных данных – Н.Х.) по адресу:
https://thesedonaconference.org/publication/sedona-conference-incident-response-guide-public-comment-version?

Публичное обсуждение Руководства продлится до 19 июня 2018 года. Приветствуются вопросы, замечания и предложения, которые следует направлять до 19 июня на адрес comments@sedonaconference.org . Редакционная группа внимательно рассмотрит все полученные замечания и предложения, и определит, какие редакционные изменения уместно внести в окончательную версию.

Дата проведения вебинара по Руководству по реагированию на инциденты будет названа в апреле 2018 года, и о неё будет объявлено по электронной почте и на веб-сайте «Конференции Седона». Участие в вебинаре даст Вам возможность задать вопросы, поделиться самому и получить дополнительные идеи и сведения по этой важной теме.

Мой комментарий: Руководства «Конференции Седона» интересны тем, что, в отличие от многочисленных национальных и международных стандартов, их пишут юристы, у которых несколько иная точка зрения, чем у специалистов по информационной безопасности. Документ учитывает требования действующего законодательства США и отдельных штатов. Содержание документа следующее:
I. Введение
II. Предварительно планирование
III. План реагирования на инциденты
IV. Приведение плана реагирования на инциденты в исполнение
V. Основные вспомогательные вопросы
VI. Базовые требования к уведомлению об инцидентах
VII. Анализ по завершении действий
VIII. Выводы
Приложение A: Типовой план реагирования на инциденты
Приложение B: Типовое письмо-уведомление
Приложение C: Типовое письмо-уведомление, штат Массачусетс
Приложение D: Типовое уведомление Генерального прокурора штата о несанкционированном доступе к данным, штат Мериленд
Приложение E: Типовое уведомление Генерального прокурора штата о несанкционированном доступе к данным, штат Коннектикут
Приложение F: Законы GLBA и HIPAA
Отмечу, что американский подход к защите персональных данных заметно отличается от европейского (и, на мой взгляд, больше соответствует нашему менталитету – ставить интересы общества выше интересов отдельных личностей), - а у нас есть возможность изучать оба и отбирать для себя лучшее.

Источник: сайт Конференции Седона
https://thesedonaconference.org/publication/sedona-conference-incident-response-guide-public-comment-version?

Комментариев нет:

Отправить комментарий