США: Опубликовано руководство NIST по обеспечению конфиденциальности персональных данных

В апреле 2010 года американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) выпустил специальную публикацию SP 800-122 «Руководство по защите конфиденциальности персонально идентифицируемой информации» (Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)).

Документ объёмом 59 страниц можно скачать по адресу: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf

Данный документ содержит рекомендации по использованию основанного на оценке риска подхода к защите конфиденциальности персональных данных. Эти рекомендации в первую очередь адресованы органам федерального правительства США и тем, кто ведет дела от их имени, но отдельные разделы документа могут быть полезны и другим организациям.

В документе используется «широкое» определение «персонально идентифицируемой информации» (персональных данных), для того, чтобы выявить максимально возможное число источников персональных данных (это могут быть, например, базы данных, общие сетевые диски, резервные ленты, сайты организаций-подрядчиков). К персональным данным относится любая сохраняемая государственным органом информация о физическом лице, в том числе (1) любая информация, которая может быть использована для выделения или отслеживания личности человека, такая как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические данные; и (2) любая другая информация, которая связана или может быть связана с личностью, такая, как медицинские, образовательные, финансовые данные и сведения о трудоустройстве.

В числе основных принципов обеспечения конфиденциальности персональных данных называются следующие:

• Организациям следует выявить все имеющиеся у них персональные данные;
• Организациям следует свести использование, сбор и сохранение персональных данных к тому минимуму, который необходим для выполнения их деловых целей и миссии;
• Организациям следует классифицировать персональные данные по уровню ущерба в случае их утечки;
• Организациям следует применять надлежащие меры защиты персональных данных, исходя из их классификации по уровню возможного ущерба.
• Организациям следует разработать план реагирования на инциденты, для действий в случае утечки персональных данных.

Организациям следует поощрять тесное сотрудничество между их ответственными за работу с персональными данными (chief privacy officers), высшими должностными лицами агентств, отвечающими за конфиденциальность персональных данных, руководителями информационных служб и служб информационной безопасности, а также юристами, при решении вопросов, связанных с персональными данными.

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsSPs.html#800-122