ИСО и МЭК: Стандарты в области данных и пространств данных, часть 1

Одна из целевых групп технического подкомитета ИСО/МЭК JTC1/SC41 «Интернет вещей и взаимосвязанные технологии» в апреле 2024 года подготовила любопытный и весьма объёмный отчёт «Стандарты в области данных и пространств данных» (Data and data spaces standards), в котором попыталась дать обзор существующих стандартов ИСО/МЭК, касающихся данных и управления ими.

Во вводной части документа отмечается:

«Целью данного отчета является предоставление обзора стандартов, которые, возможно, придется учитывать в пространствах данных. Это живой документ, поскольку в нём приводятся сведения как об опубликованных стандартах, так и о стандартах, находящиеся в стадии разработки.

Отчёт структурирован в соответствии с аспектами использования и коллективного использования данных (метаданные, описание использования, представление, стратегическое управление, политики, защита персональных данных, безопасность, качество, надёжность и доверие, инфраструктура пространства данных и искусственный интеллект).

Данный отчёт может использоваться в качестве хранилища информации, поддерживающей анализ ландшафта данных и пространств данных.»

Экосистему стандартов авторы отчета видят следующим образом (см. рис.).

С моей точки зрения, самостоятельный интерес представляет содержание отчёта, представляющее собой перечень соответствующих стандартов (который я выверила по каталогу стандартов ИСО) – см. ниже.

1. Введение

2. Использование данных

2.1. ISO/IEC 5207:2024 «Информационные технологии - Использование данных - Терминология и варианты использования» (Information technology - Data usage - Terminology and use cases), см. https://www.iso.org/standard/80998.html (ПК JTC1/SC32)

2.2. ISO/IEC 5212:2024 «Информационные технологии - Использование данных - Руководство по использованию данных» (Information technology - Data usage - Guidance for data usage), см. https://www.iso.org/standard/80999.html (ПК JTC1/SC32)

3. Коллективное использование данных – Метаданные
 
3.1. ISO/IEC TR 19583-1:2019 «Информационные технологии - Концепции и использование метаданных - Часть 1: Концепции метаданных» (Information technology - Concepts and usage of metadata - Part 1: metadata concepts), см. https://www.iso.org/standard/67365.html (ПК JTC1/SC32)

3.2. ISO/IEC 11179-1:2023 «Информационные технологии - Регистры метаданных (РМД) - Часть 1: Концепция» (Information technology - Metadata registries (MDR) - Part 1: Framework), см. https://www.iso.org/standard/78914.html (ПК JTC1/SC32)

3.3. ISO/IEC 11179-3:2023 «Информационные технологии - Регистры метаданных (РМД) - Часть 3: Метамодель для общих средств реестра» (Information technology - Metadata registries (MDR) – Part 3: Metamodel for registry common facilities), см. https://www.iso.org/standard/78915.html (ПК JTC1/SC32)

3.4. ISO/IEC 11179-33:2023 «Информационные технологии - Регистры метаданных (РМД) - Часть 33: Метамодель для регистрации набора данных» (Information technology - Metadata registries (MDR) - Part 33: Metamodel for data set registration), см. https://www.iso.org/standard/81725.html (ПК JTC1/SC32)

3.5. ISO/IEC 19763-1:2023 «Информационные технологии - Концепция интероперабельности на основе метамоделей - Часть 1: Концепция» (Information technology - Metamodel framework for interoperability (MFI) - Part 1: Framework), см. https://www.iso.org/standard/84749.html (ПК JTC1/SC32)

3.6. ISO/IEC 19763-3:2020 + Amd 1:2024 «Информационные технологии - Концепция интероперабельности на основе метамоделей - Часть 3: Метамодель для регистрации онтологий» (Information technology - Metamodel framework for interoperability (MFI) - Part 3: Metamodel for ontology registration), см. https://www.iso.org/standard/76581.html (ПК JTC1/SC32)

3.7. ISO/IEC 19763-10:2023 «Информационные технологии - Концепция интероперабельности на основе метамоделей - Часть 10: Базовая модель и базисное отображение» (Information technology - Metamodel framework for interoperability (MFI) - Part 10: Core model and basic mapping), см. https://www.iso.org/standard/84750.html (ПК JTC1/SC32)

3.8. ISO/IEC 19763-12:2015 + Amd.1:2023 «Информационные технологии - Концепция интероперабельности на основе метамоделей - Часть 12: Метамодель регистрации информационной модели» (Information technology - Metamodel framework for interoperability (MFI) - Part 12: Metamodel for information model registration), см. https://www.iso.org/contents/data/standard/08/47/84750.html (ПК JTC1/SC32)

4. Коллективное использование данных – Описание использования

4.1. ISO/IEC 19944-1:2020 «Облачные вычисления и распределенные платформы - Поток данных, категории данных и их использование - Часть 1: Основные положения» (Cloud computing and distributed platforms - Data flow, data categories and data use - Part 1: Fundamentals), см. https://www.iso.org/standard/79573.html (ПК JTC1/SC38)

4.2. ISO/IEC 19944-2:2022 «Облачные вычисления и распределенные платформы - Поток данных, категории данных и их использование – Часть 2: Руководство по применению и расширяемости» (Cloud computing and distributed platforms - Data flow, data categories and data use - Part 2: Guidance on application and extensibility), см. https://www.iso.org/standard/79574.html (ПК JTC1/SC38)

5. Коллективное использование данных – Представление

5.1. ISO/IEC TR 9789:1994 «Информационные технологии – Рекомендации по организации и представлению элементов данных для обмена - Методы и принципы кодирования» (Information technology - Guidelines for the organization and representation of data elements for data interchange - Coding methods and principles), см. https://www.iso.org/standard/17651.html (ПК JTC1/SC32)

5.2. ISO/IEC 11404 «Информационные технологии - Типы данных общего назначения (GPD)» (General-Purpose Datatypes (GPD)), см. https://www.iso.org/standard/39479.html (ПК JTC1/SC32)

5.3. ISO/IEC 14957:2010 «Информационные технологии - Представление значений элементов данных - Обозначение формата» (Information technology - Representation of data element values - Notation of the format), см. https://www.iso.org/standard/55652.html (ПК JTC1/SC32)

5.4. ISO/IEC 30178 «Интернет вещей – Формат, значение и кодировка данных» (Internet of Things (IoT) - Data format, value and coding), см. https://www.iso.org/standard/53298.html (ПК JTC1/SC41)

(Окончание следует)

Источник: сайт ИСО

США: Нью-Йорк ужесточает требования в отношении хранения и уничтожения данных, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2024/04/1_01920765750.html )

Определение обязанностей по уничтожению непубличной информации

Как только подпадающая под требования организация выяснит, какая непубличная информация у неё имеется и где она хранится, ей нужно будет определить, какие законодательно-нормативные требования в отношении сроков хранения на неё распространяются.

До введения GDPR в 2016 году основным инструментом документирования требований в отношении сроков хранения непубличной информации был перечень видов документов с указанием сроков хранения и действий по их истечении (records retention schedule, RRS – далее «перечень»). Обычно в таком перечне:

• Перечисляются все виды используемых корпоративных документов (например, контракты),
  
  
• Приводятся шаблоны, включая типовые соглашения о неразглашении информации, генеральные соглашения об оказании услуг и контракты с поставщиками.
  
  Мой комментарий: Обычно перечни подобных шаблонов не содержат, сами шаблоны же – поскольку к срокам хранения они отношения не имеют и ведутся другими структурными подразделениями – хранятся отдельно.
  
  
• Устанавливаются сроки хранения – например, «1 год поле прекращения действия соглашения».
  
  
• Даются ссылки на соответствующие законы и нормативные акты, использованные для определения срока хранения.

После того, как закон GDPR обязал ввести ROPA-документацию, организациям пришлось определять цели сбора и обработки информации, чтобы затем установить сроки её хранения. Закон GDPR, примеру которого в этом отношении последовали почти все появившиеся позднее законы о защите персональных данных, требует, чтобы организации определили цели, для которых они собирают персональные данные (ПДн), и сохраняли ПДн только до тех пор, пока это будет необходимо для достижения заявленных целей, а затем уничтожали ПДн.

Для директоров по информационной безопасности в подпадающих под требования организациях сочетание перечня и сведений о целях обработки ПДн, по-видимому, значительно облегчит соблюдение требований подраздела 500.13. Тем не менее, как и в случае с CMBD и ROPA, у комбинации перечней и целей обработки имеются существенные недостатки, которые создают проблемы для директоров по информационной безопасности, стремящихся использовать их для соблюдения требований подраздела 500.13.

Во-первых, перечни обычно определяет сроки хранения только для документов, которые являются подмножеством непубличной информации. Почти все службы управления документами четко определяют, что можно считать документом, а что нет. В рамках установленной политики, перечни охватывают только документы. Например, проекты документов сами по себе не являются документами и, следовательно, не регламентируются перечнями.

Мой комментарий: Автор, к сожалению, использует устаревшие представления конца 20-века о документах и об управлении ими. Понятие «документа» (особенно в органах государственной власти США) трактуется неизмеримо более широко, да и практика э-раскрытия вынуждает те же коммерческие и некоммерческие организации охватывать управлением документами не только традиционные для 20-го века официальные административные и иные документы, но и многое другое, особенно электронную почту. В перечни в настоящее время сплошь и рядом включаются не только «официальные» документы, но и черновики и проекты, официальная и неофициальная переписка, информация, базы данных, контент веб-сайтов и т.д. – здесь многое зависит от самой организации.

Однако положения подраздела 500.13 не смотрят на то, представлена ли непубличная информация в форме черновой или же окончательной версии документа. Вся непубличная информация должна быть уничтожена, как только у организации больше не будет законодательно-нормативных обязательств по её сохранению. Таким образом, использование одних только перечней не позволит организации исполнить новые требования.

Во-вторых, существует разрыв между тем, как перечни смотрят на непубличную информацию на уровне документа, и тем, как цели обработки формулируются на уровне элементов данных. Например, с точки зрения перечня важно, является ли документ счетом или контрактом, в то время как с точки зрения цели обработки имеет значение, является ли элемент данных биометрическими данными или номером телефона. Директорам по информационной безопасности, стремящимся использовать перечни и цели обработки для управления уничтожением непубличной информации, затем потребуется создать перекрестные ссылки, чтобы обеспечить согласованное представление о своих законодательно-нормативных обязанностях по уничтожению непубличной информации. Сказать это легче, чем сделать. Согласование точек зрения специалистов по управлению документами и по защите ПДн, с тем, чтобы они могли видеть непубличную информацию с точки зрения друг друга, требует готовности изменить свой образ мышления, а также выделить значительные ресурсы для обновления и расширения политик и процедур, которые бы отражали более широкую точку зрения.

Уничтожение непубличной информации

Как только директор по информационной безопасности подпадающей под требования организации преодолеет проблемы установления того, какая непубличная информация у него есть, в каких системах, и в течение каких сроков она должна храниться, - он столкнётся с самой сложной задачей из всех: фактическим уничтожением непубличной информации в больших масштабах.

Обеспечить уничтожение непубличной информации сложно, поскольку большинство организаций никогда этого не делало и не имеет соответствующего опыта. Представители широкого круга заинтересованных сторон, которым следует собраться вместе и решить, как структурировать корпоративные усилия по уничтожению непубличной информации – это специалисты по управлению документами и защите ПДн, специалисты по ведению судебных разбирательств, ИТ-специалисты, специалисты по кибербезопасности, управлению данными и представители деловых подразделений - владельцев данных — в прошлом обычно не могли достичь консенсуса. Каждый из них предлагает разные и зачастую противоречивые взгляды на ценность непубличной информации, на риски чрезмерно длительного сохранения в сравнении с рисками, связанными с уничтожением, а также на уровень усилий, соразмерный уровню риска для организации.

Мой комментарий: В России эта «неподъёмная» проблема решается с помощью хорошо всем известных экспертных комиссий – и когда у заинтересованных сторон (особенно у высшего руководства) есть воля и желание решить вопрос, тот решается довольно быстро и эффективно.

Даже если эти заинтересованные стороны собираются вместе и приходят к согласию о том что непубличную информацию следует уничтожить после того, как исполнены требования законодательства в отношении её хранения, - неспособность согласовать надлежащий курс действий, роли и обязанности в деятельности по уничтожению непубличной информации, необходимые технологические и бюджетные требования  может привести к неудаче.

Мой комментарий: На практике обещание первого лица жёстко покарать всех саботажников в случае неудачи реально творит чудеса :)

Директора по информационной безопасности, ответственные за аттестацию по подразделу 500, должны работать над преодолением этой тупиковой ситуации и обеспечить комфортное прохождение аттестации. В противном случае им придется пометить аттестацию как проект высокого риска или вовсе отказаться от неё. Оба этих варианта приведут к разрушительным последствиям для соответствующих организаций.

Путь вперёд к исполнению требований подраздела 500.13

Директора по информационной безопасности подпадающих под требования организаций должны решать эти проблемы на двух фронтах, поддерживая реестр активов и обеспечивая возможность уничтожения непубличной информации.

Создание и ведение реестра активов является наиболее ясной задачей, поскольку заинтересованными сторонами в первую очередь являются служба ИТ и владельцы деловых систем, а также ввиду того, что требуемая согласно подразделу 500.13 информация является узкой и находимой. Потребуется время на то, чтобы выявить десятки, сотни или тысячи систем, в которых хранится непубличная информация, а также найти людей, обладающих достаточными знаниями для заполнения реестра. Однако в конечном итоге это не что иное, как составление списка.

Уничтожение непубличной информации, с другой стороны, предусматривает осуществление крупномасштабных изменений, требующие от целого ряда подразделений и служб переосмысления своего понимания непубличной информации и того, как они с ней работают. Устоявшиеся предположения о ценности непубличной информации и связанных с ней рисках, о надлежащей подотчетности и ответственности за неё, а также масштабы взаимодействия служб и подразделений с непубличной информацией потребуется изменить, прежде чем избавляться от какой-либо части такой информации. И даже тогда организации потребуются многолетние усилия, затрагивающие почти каждую систему и влияющие на почти каждое подразделение.

Концептуальный подход к уничтожению непубличной информации

Директорам по информационной безопасности (CISO) в подпадающих под требования организациях необходимо внедрить концептуальный подход к уничтожению непубличной информации, охватывает все этапы этого пути, от необходимых политик и процедур до осуществления уничтожения непубличной информации в больших масштабах. Хотя детали могут различаться в зависимости от конкретной организации, ниже представлена дорожная карта, которая поможет организациям обеспечить успешное уничтожение непубличной информации и обеспечить уверенность CISO в соблюдении требований подраздела 500.13.

Подпадающие под требования организации должны начать с оценки своих возможностей стратегического управления информацией в плане уничтожения данных. Такая оценка может быть основана на ряде принятых в отрасли концепций, таких, например, как  концепции Конференции Седона (Sedona Conference, https://thesedonaconference.org/sites/default/files/publications/Commentary%20on%20Information%20Governance.pdf ), ассоциации ARMA International  ( https://www.arma.org/general/custom.asp?page=principles ), Международной организации по стандартизации ISO ( https://www.iso.org/standard/77915.html ) и американского Национального института стандартов и технологий NIST ( https://www.nist.gov/privacy-framework ).

После этого подпадающая под требования организация должна устранить пробелы в своих политиках и процедурах, связанных с уничтожением данных - например, в тех, владельцами которых являются службы управления документами, защиты персональных данных, ведения судебных разбирательства и управлению данными. Затем организация может выбрать технологические решения, подходящие для поддержки усилий, от решений для инвентаризации активов и э-раскрытия данных до специализированных инструментов, предназначенных для облегчения уничтожения данных в структурированных и неструктурированных системах.

Затем подпадающей под требования организации необходимо ранжировать по степени риска системы, в которых хранятся непубличные данные, чтобы принять хорошо продуманные, основанные на фактах решения о том, какие действия следует предпринять и в каком порядке. Это поможет сформировать план по проведению уничтожения непубличных данных. Поскольку уничтожение непубличных данных является многолетней задачей, данный план необходимо будет пересматривать по ходу процессов уничтожения, обеспечивая непрерывное улучшение соответствия организации требованиям подраздела 500.13 по мере её продвижения по пути снижения рисков.

Наконец, подпадающей под требования организации необходимо поэтапно выполнить уничтожение непубличной информации в больших масштабах, уничтожая ежеквартально ту непубличную информацию, сроки хранения которой истекли. Только в этот момент директор по информационной безопасности может вздохнуть спокойно и предпринять более обоснованные усилия в рамках должной осмотрительности, касающиеся исполнения требований раздела 500. Хотя, возможно, работа еще продолжается, но раз усилия организации по уничтожению непубличной информации налажены как следует, директора по информационной безопасности смогут с большей уверенностью дать заверения в том, что требования подраздела 500.13 соблюдаются последовательно и эффективно.

Джозеф Шепли (Joseph Shepley)

Источник: Издание CCI (Corporate Compliance Insights)
https://www.corporatecomplianceinsights.com/ciso-data-retention-disposal-nycrr/

ИСО и МЭК: Опубликована новая редакция стандарта ISO/IEC 27040:2024 «Безопасность хранения данных»

В январе 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, второй редакции стандарта ISO/IEC 27040:2024 «Информационные технологии – Методы обеспечения безопасности - Безопасность хранения данных» (Information technology - Security techniques - Storage security) объёмом 92 страницы, см. https://www.iso.org/standard/80194.html и  https://www.iso.org/obp/ui/en/#!iso:std:80194:en .

Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Он заменил ранее действовавшую редакцию ISO/IEC 27040:2015.

Во вводной части документа отмечается:

«Настоящий документ содержит подробные технические требования и рекомендации относительно того, как организации могут достичь надлежащего уровня смягчения рисков, используя хорошо зарекомендовавший себя последовательный подход к планированию, проектированию, документированию и реализации безопасности хранения данных.

Обеспечение безопасности хранения подразумевает защиту данных как во время их хранения в ИКТ-системах, так и во время их передачи по каналам связи, связанным с хранилищем. Безопасность хранилища включает в себя безопасность устройств и носителей; действия по контролю и управлению, связанные с устройствами и носителями; приложения и сервисы; а также контроль или мониторинг действий пользователей в течение срока службы устройств и носителей, а также после окончания использования или окончания срока службы.

Безопасность хранения актуальная для всех тех, кто владеет, эксплуатирует или использует устройства хранения данных, носители и сети. К ним относятся руководители высшего звена, закупщики продуктов и услуг хранения данных, а также другие руководители нетехнические подразделений и пользователи, - в дополнение к менеджерам и администраторам, у которых имеется конкретная ответственность за безопасность информации или хранилища, работы хранилища, или же которые отвечают за общую программу безопасности организации и за разработку политики безопасности. Безопасность хранения также актуальна для всех, кто участвует в планировании, проектировании и внедрении архитектурных аспектов безопасности сети хранения данных.

Данный документ включает обзор концепций безопасности хранения и соответствующих определений. Он включает требования и рекомендации по угрозам, проектированию и аспектам контроля и управления, связанным с типичными сценариями хранения и областями технологий хранения. Кроме того, в нём приведены ссылки на другие международные стандарты и технические отчеты, в которых рассматриваются существующие практики и методы, которые можно использовать для обеспечения безопасности хранения.»

Содержание документа следующее:

Предисловие
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Структура настоящего документа
6. Обзор и концепции
7. Организационные меры контроля и управления хранением
8. Кадровые меры контроля и управления хранением
9. Физические меры контроля и управления хранением
10. Технологические меры контроля и управления хранением
Приложение A: Краткая сводка мер и средств обеспечения безопасности хранения
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/80194.html
https://www.iso.org/obp/ui/en/#!iso:std:80194:en

США: Нью-Йорк ужесточает требования в отношении хранения и уничтожения данных, часть 1

Компании могут столкнуться с тем, что для обеспечения соответствия новым правилам потребуется провести доработку существующих систем.

Статья управляющего директора чикагской юридической фирмы «Alvarez & Marsal Disputes and Investigations» Джозефа Шепли (Joseph Shepley) была опубликована 19 февраля 2024 года на сайте «Аналитика корпоративного комплайнса» (CCI, Corporate Compliance Insights).

Недавние изменения, внесённые Департаментом финансовых услуг Нью-Йорка (New York Department of Financial Services) в часть 500 «Требования по кибербезопасности для компаний, оказывающих финансовые услуги» (Cybersecurity Requirements for Financial Services Companies) раздела 23 «Финансовые услуги» Свода кодексов, правила и положений Нью-Йорка (New York Codes, Rules and Regulations, NYCRR, см. https://govt.westlaw.com/nycrr/ ), которая пять лет назад коренным образом изменила требования к кибербезопасности для тысяч страховых компаний, финансовых и медицинских организаций, - грозят новыми потрясениями, связанными с добавлением новых требований. Джозеф Шепли из фирмы «Alvarez & Marsal» даёт свои рекомендации директорам по информационной безопасности в подпадающих под эти требования организациях.
 

«Требования по кибербезопасности для компаний, оказывающих финансовые услуги»  Департамента финансовых услуг Нью-Йорка (23 NYCRR Part 500, см. https://www.dfs.ny.gov/system/files/documents/2023/12/rf23_nycrr_part_500_amend02_20231101.pdf ) с 2017 года являются частью ландшафта обязательных требований для страховых компаний, финансовых и медицинских организаций. Эти требования изменили отношение к кибербезопасности подпадающих под них организаций, от чего выиграли потребители, сотрудники и другие субъекты данных, чьи персональные данные обрабатываются организациями.

Хотя все недавние поправки в «часть 500» были предметом активного обсуждения, изменения в подразделе 500.13 «Ограничения на сроки хранения данных» (Limitations on data retention,  см. https://govt.westlaw.com/nycrr/Document/I60c6444d0d5f11e79781d30ba488e782 ), вероятно, окажутся наиболее существенными, регламентируя, каким образом подпадающие под эти требования организации должны управлять (и проводить уничтожение) своей «непубличной информации» (non-public information, NPI), чтобы соответствовать нормативным требованиям.

Мой комментарий: Понятие «непубличная информация» охватывает как чувствительные данные о деловой деятельности, так и определённые персональные данные физических лиц.

Что нового в подразделе 500.13 «Ограничения на сроки хранения данных»?

До 1 ноября 2023 года положения подраздела 500.13 требовали периодического проведения защищённого уничтожения непубличной информации, когда она переставала быть нужной для деловых операций. Недавно внесённая поправка добавляет новое направление регулирования, обязывающее подпадающие под требования организации документировать и вести реестр активов для информационных систем, в которых хранятся их непубличная информация. Сюда входит отслеживание ключевой информации о каждом активе, включая сведения о владельце, местоположении, классификации, даты истечения срока поддержки и целевое время восстановления.

Таким образом, теперь, в дополнение к уничтожению непубличной информации после исполнения обязанности по её сохранению в течение установленных сроков, подпадающие под требования организации должны документировать системы, в которых хранится их непубличная информация. Для исполнения этого требования организации теперь должны знать, какие данные у них есть и где они хранятся.

Проблемы соответствия требованиям подраздела 500.13

Очевидны три существенные проблемы соблюдения этих требований:

• Знание того, какие системы хранят и управляют непубличной информацией,
  
  
• Установление законодательно-нормативных требований в отношении сроков хранения непубличной информации,
  
  
• Систематическое, последовательное и защитимое уничтожение непубличной информации, охватывающее все активы, где такая информация хранится и управляется.

Знание того, какие системы хранят и управляют непубличной информацией

До 2016 года наиболее распространенным способом узнать, какие системы имеются у подпадающей под требования организации, было использование базы данных управления конфигурациями (configuration management database, CMDB), своего рода реестра ИТ-систем, документировавшего их ключевые свойства, такие как назначение, операционная система, оборудование, сетевое расположение и владелец приложения. Обычно владеет базой данных CMDB и обслуживает её ИТ-служба, обеспечивая надлежащее управление и поддержку этих активов.

После 2016 года, с введением в Евросоюзе «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 – европейский закон о защите персональных данных – Н.Х.), от организаций потребовались разработка и ведение документации об обработки данных (records of processing activity, ROPA), которая документировала действия по обработке и системы, которые обрабатывали персональные данные субъектов данных. В отличие от баз данных CMDB, которые были ориентированы на поддержку деятельности ИТ, ROPA-документация ориентирована на исполнение законодательно-нормативных требований по защите персональных данных и содержат более полную информацию об активах и поддерживаемых ими деловых процессах.

Несмотря на использование баз данных CMDB и ROPA-документации, большинство организаций в лучшем случае имеют частичное представление о системах, которые управляют их непубличной информацией. В первую очередь такая ситуация связана с тем, что, хотя базы данных CMDB были важной частью хорошей практики оперативного использования ИТ - особенно при получении отраслевых сертификатов, таких как NIST-CSF, ISO 27001, HITRUST или SOC, - они не связаны напрямую с законодательно-нормативными требованиями. И наоборот, ориентация ROPA-документации на защиту персональных данных означала, что в неё были включены только системы, которые обрабатывали персональные данные. Это привело к тому, что в этой документации не были отражены большие объемы непубличной информации, не содержащие персональных данных, которые теперь, однако, подпадают под действие положений подраздела 500.13.

Директора по информационной безопасности (CISO), стремящиеся использовать существующие механизмы, такие как CMDB или ROPA, должны будут чем-то дополнить эти инструменты, чтобы обеспечить соответствие новым стандартам, установленным измененным подразделом 500.13.

(Окончание следует, см. http://rusrim.blogspot.com/2024/04/2_01145651150.html )

Джозеф Шепли (Joseph Shepley)

Источник: Издание CCI (Corporate Compliance Insights)
https://www.corporatecomplianceinsights.com/ciso-data-retention-disposal-nycrr/