США: Публичное обсуждение проекта руководства NIST IR 8496 по классификации данных

Данная новость была опубликована 15 ноября 2023 года на сайте американского Национального института стандартов и технологий (NIST).

Американский Национальный центр компетенции по вопросам кибербезопасности (National Cybersecurity Center of Excellence, NCCoE) при Национальном институте стандартов и технологий (NIST) опубликовал для публичного обсуждения проект отчёта NIST IR 8496 «Концепции классификации данных и соображения по улучшению защиты данных» (Data Classification Concepts and Considerations for Improving Data Protection) объёмом 17 страниц, см. https://csrc.nist.gov/pubs/ir/8496/ipd (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf ). Публичное обсуждение документа продлится до 9 января 2024 года.

В аннотации на документ отмечается следующее:

«Классификация данных - это процесс, который организация использует для характеризации своих активов данных с помощью постоянных меток, с тем, чтобы этими активами можно было правильно управлять.

Классификация данных жизненно важна для защиты данных организации в больших масштабах, поскольку она даёт возможность реализовывать требования по обеспечению кибербезопасности и защиты персональных данных применительно к информационным активам организации.

В настоящей публикации определяется базовая терминология и объясняются фундаментальные понятия и концепции классификации данных, формируя тем самым общий язык, которым могут пользоваться все.

Данная публикация также может помочь организациям улучшить качество и эффективность своих подходов к защите данных благодаря лучшему пониманию вопросов классификации данных и принятию их во внимание в сценариях использования в деловой деятельности и при выполнении миссии организаций (таких, как безопасный обмен данными, мониторинг и отчетность об исполнении законодательно-нормативных требований, архитектура с нулевым доверием и большие языковые модели).»

Содержание документа следующее:

1. Введение
2. Предыстория
3. Функции классификации данных
Литература
Приложение А: Список обозначений, сокращений и акронимов
Приложение B: Глоссарий

Комментируя 16 ноября 2023 года эту новость в своём посте в социальной сети LinkedIn, британский специалист в области управления документами и защиты персональных данных Лючия Стефан (Lucia Stefan – на фото) написала следующее:

«Несмотря на тенденцию называть всё на свете «данными», в отчёте не удалось избежать ненавистного слова «документ» (document - также переводится как элемент контента, файл – Н.Х.), под которым понимается контейнер для неструктурированных данных, представленных в различной форме (текст, видео, изображение и т.д.).

Современные стандарты ИСО продвигают именно термин «документ», а не «документированная информация» (documented information).

Фактически, в отчёте полностью избегают слова «информация». Мне интересно, что думают об этом документе апостолы стратегического управления информацией (information governance). Похоже, что существует негласный конфликт между сторонниками терминов «данные» и «информация» в сфере всего, что касается управления активами знаний.»

Со своей стороны, я вижу следующие недостатки в публикации:

• Предельно примитивное (и даже в этом случае не вполне корректное) представление о жизненном цикле данных, уместное лишь в отношении наименее ценных данных. Жизненный цикл данных, в представлении авторов публикации, включает 4 этапа: выявление (!) актива данных (даже не создание/получение!), использование (в т.ч. по иному назначению), сохранение и уничтожение/передача;
  
  
• Крайне спорное и в какой-то степени бредовое (см. упоминание «физической модели» в определении структурированных данных, строки 515-516) представление о том, что следует считать структурированными (по сути, для авторов это базы данных), полуструктурированными (сюда попали данные в форматах XML и JSON!) и неструктурированными данными;
  
  
• Неверное истолкование понятия «стратегическое управление данными» (data governance) – как «действия, которые организация должна выполнить, чтобы обеспечить правильное управление её активами данных» (и чем это отличается от «просто» управления данными?!);
  
  
• Игнорирование других профессий и групп, также заинтересованных в классификации данных, информации, документов и знаний (и активно осуществляющих её в своих целях), таких, как деловые подразделения, юридическая служба, ИТ, ИБ, управление документами и контентом, стратегическое управление информацией, управление знаниями и многие другие, - что, несомненно, никак не способствует сотрудничеству представителей различных информационных профессий;
  
  
• Примитивное представление о том, как следует проводить классификацию. Показательным примером является следующее утверждение (строки 364-365): «В идеале классификация данных может быть осуществлена на основе имеющихся метаданных, таких как имя файла, расширение файла, автор, дата создания и местоположение». Даже если не хочется анализировать контент, для осмысленной классификации всё же требуется куда больше метаданных (я даже не буду поднимать вопрос о том, кого эти люди собираются считать «автором» на основе метаданных).
  
  
• Примитивное представление о происхождении данных, сводящееся к вопросу о том, «кем или чем был создан актив данных» (см. стр. 505-506). На самом деле под «происхождением» понимается история создания и дальнейшей эволюции, использования и ответственного хранения информационного актива, достаточно детальная для того, чтобы пользователь данных мог судить об их аутентичности, целостности и надёжности.

Ну что же, оказывается, и NIST порой может выпускать халтуру …

Источник: сайт NIST / сайт LinkedIn
https://csrc.nist.gov/News/2023/open-for-public-comment-draft-nist-ir-8496
https://www.linkedin.com/posts/luciastefan_nist-ir-8496-ipd-activity-7131190178869641216-rDIl?utm_source=share&utm_medium=member_desktop