пятница, 21 февраля 2020 г.

США: Национальный институт стандартов и технологий (NIST) опубликовал версию 1.0 «Концепции защиты неприкосновенности частной жизни»


Данная заметка была опубликована 16 января 2020 года на сайте американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST).

Данный инструмент поможет оптимизировать полезное использование персональных данных при одновременном обеспечении защиты неприкосновенности частной жизни.

Нашему обществу, развитие которого зависит от данных, предстоит найти деликатный баланс: создавать использующие персональные данные инновационные продукты и услуги, но при этом по-прежнему защищая неприкосновенность частной жизни людей. Чтобы помочь организациям поддерживать этот баланс, Национальный институт стандартов и технологий (NIST) предлагает новый инструмент для управления рисками для неприкосновенности частной жизни.

16 января 2020 года институтом была опубликована версия 1.0 документа «Концепция NIST защиты неприкосновенности частной жизни: Инструмент совершенствования защиты неприкосновенности частной жизни посредством корпоративного менеджмента риска» (NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management, https://www.nist.gov/document/nist-privacy-frameworkv10pdf , объёмом 43 страницы).

Мой комментарий: Ранее на моём блоге уже были посты о работе над данной Концепцией:
  • «США: Национальный институт стандартов и технологий NIST начал работу над концепцией добровольной защиты неприкосновенности частной жизни в онлайн-среде», https://rusrim.blogspot.com/2018/12/nist.html

  • «США: Национальный институт стандартов и технологий (NIST) скоро завершит разработку концепции защиты неприкосновенности частной жизни», https://rusrim.blogspot.com/2019/10/nist-1.html
Концепция, разработанная в сотрудничестве с рядом заинтересованных сторон на основе её первоначальной версии (см. https://www.nist.gov/news-events/news/2019/09/nist-requests-comments-draft-privacy-framework ), содержит набор стратегий защиты неприкосновенности частной жизни, полезных для организаций, желающих совершенствовать свои подходы к использованию и защите персональных данных.

В документе также разъясняются понятия и концепции менеджмента рисков для неприкосновенности частной жизни, и взаимосвязь между Концепцией NIST защиты неприкосновенности частной жизни и Концепцией кибербезопасности NIST (NIST Cybersecurity Framework – это рекомендации, используемого руководителями федеральных органов исполнительной власти США, а также многими организациями частного сектора, для управления рисками кибербезопасности, см. https://www.nist.gov/cyberframework/framework  - Н.Х).

«Неприкосновенность частной жизни важна как никогда в современную цифровую эпоху», - говорит заместитель министра торговли США по стандартам и технологиям - директор NIST Уолтер Копан (Walter G. Copan). «Та сильная поддержка, которую уже получила разработка Концепции защиты неприкосновенности частной жизни, демонстрирует крайне острую потребность в инструментах, помогающих организациям создавать полезные продукты и услуги, одновременно защищая неприкосновенность частной жизни людей».

Персональные данные включают информацию о конкретных лицах (такую, например, как их адреса или номера социального страхования), которую компания может собирать и использовать в ходе повседневной деловой деятельности. Поскольку эти данные можно применять для идентификации предоставивших их людей, организация часто должна предпринимать определённые действия для того, чтобы исключить возможность такого их неправомерного использования, которое могло бы опорочить, поставить под угрозу или скомпрометировать её клиентов.

Концепция NIST защиты неприкосновенности частной жизни - это не закон или нормативный акт, а добровольно применяемый инструмент, способный помочь организациям управлять рисками для неприкосновенности частной жизни, возникающими в связи с их продуктами и услугами, а также доказать соблюдение ими законов, под действие которых они могут подпадать, таких, как Закон Калифорнии о защите неприкосновенности частной жизни потребителей (California Consumer Privacy Act, CCPA, https://oag.ca.gov/privacy/ccpa ) и «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR, https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en ) Евросоюза. Концепция помогает организациям определить желаемые цели в плане защиты неприкосновенности частной жизни, а затем установить приоритеты необходимых для этого действий.

«В Концепции Вы найдёте «строительные блоки», которые помочь Вам достичь Ваши цели в области зашиты неприкосновенности частной жизни, включая исполнение требований законов, которым должна следовать Ваша организация», - говорит Наоми Лефковиц (Naomi Lefkovitz), старший советник NIST по политике обеспечения неприкосновенности частной жизни и руководитель проекта разработки Концепции. «Если вы собираетесь подумать о том, как повысить доверие клиентов посредством внедрении продуктов или услуг, в большей степени обеспечивающих защиту неприкосновенности частной жизни, то Концепция поможет Вам в этом. Но, поскольку мы разработали её таким образом, чтобы она не зависела от каких-либо конкретных законов, она быть Вам полезной вне зависимости от Ваших целей».

В США неприкосновенность частной жизни как фундаментальное право имеет свои корни в Конституции США (см. https://constitutioncenter.org/interactive-constitution/amendment/amendment-iv ), однако подходы к реализации этого права в эпоху цифровых технологий всё ещё эволюционируют, - отчасти потому, что всё более ускоренными темпами меняются сами технологии. Регулярно появляются новые способы использования данных, особенно в контексте «Интернета вещей» и искусственного интеллекта, в совокупности потенциально способных выявлять и анализировать такие закономерности реального мира, которые ранее оставались незамеченными. Вместе с этими возможностями возникают и новые риски.

«Виды персональных данных, которые сегодня мы считаем малоценными, через пару лет могут найти себе совершенно новое применение», - отмечает Лефковиц, - «или же у Вас могут быть два вида данных, которые сами по себе не являются особенно конфиденциальными, - но если Вы объедините их, то они внезапно в совокупности могут стать весьма «чувствительными». Вот почему Вам нужна концепция менеджмента рисков, связанных с неприкосновенностью частной жизни, а не просто контрольный список задач. Вам нужен подход, который позволит Вам постоянно переоценивать риски и приспосабливаться к новым рискам».

Концепция NIST защиты неприкосновенности частной жизни версии 1.0 имеет всеохватывающую структуру, смоделированную по аналогии с широко используемой Концепцией кибербезопасности NIST  (см. https://www.nist.gov/cyberframework ), и эти две концепции разработаны таким образом, чтобы взаимно дополнять друг друга, а также обновляться с течением времени. Лефковиц подчеркнула, что защита неприкосновенности частной жизни и безопасность - это взаимосвязанные, но разные понятия, и налаживание хорошей практики в области безопасности не обязательно означает, что организация удовлетворяет все свои потребности в части защиты неприкосновенности частной жизни.

Как и ранее опубликованный проект, Концепция включает три ключевых раздела: Ядро, где описан набор действий по защите неприкосновенности частной жизни; Профили, помогающие определить, какие из описанных в Ядре действий организация должна постараться выполнять в интересах наиболее эффективного достижения своих целей; и Уровни внедрения (Implementation Tiers), способствующие оптимизации ресурсов, направляемых на менеджмент рисков для неприкосновенности частной жизни.

Авторы Концепции NIST планируют продолжать её развитие на основе уже проделанной работы в интересах пользователей Концепции. Менеджмент рисков для неприкосновенности частной жизни в цифровой среде является сравнительно новой концепцией, и, как сообщила Лефковиц, NIST получил много запросов о разъяснении природы таких рисков, а также о разработке дополнительных вспомогательных ресурсов и инструментов.

«Люди по-прежнему жаждут получить дополнительные рекомендации о том, как управлять рисками для неприкосновенности частной жизни», - говорит она. «Мы опубликовали сопутствующую Концепции дорожную карту, чтобы обозначить направления проведения дополнительных исследований, нацеленных на решение актуальных проблем защиты неприкосновенности частной жизни, и мы создаем централизованное хранилище руководств и рекомендаций, поддерживающих внедрение Концепции. Мы надеемся, что сообщество пользователей внесёт свой вклад в эту работу, с тем, чтобы усилились защиту неприкосновенности частной жизни на благо всех».

Источник: сайт NIST
https://www.nist.gov/news-events/news/2020/01/nist-releases-version-10-privacy-framework
https://rusrim.blogspot.com/2019/10/nist-1.html

Комментариев нет:

Отправить комментарий