США: Национальный институт стандартов и технологий начал публичное обсуждение проекта концепции управления рисками для персональных данных в федеральных информационных системах

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 28 мая 2015 года выложил для публичного обсуждения проект отчета NIST IR 8062  «Управление рисками для неприкосновенности частной жизни в федеральных информационных системах» (Privacy Risk Management for Federal Information Systems) объёмом 64 страницы, который доступен по адресу http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf  .

Отчет описывает концепцию управления связанными с персональными данными рисками, разработанную для федеральных информационных систем. Концепция обеспечивает основу для формирования общей терминологии, способствующей более глубокому пониманию таких рисков, информированию о них и эффективному внедрению принципов защиты неприкосновенности частной жизни в федеральных информационных системах.

Замечания и предложения предлагается присылать до 13 июля 2015 года по адресу privacyeng@nist.gov , используя типовую форму для замечаний, доступную по адресу http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft_comment_matrix.xls  .

В аннотации к документу также отмечается, что «Новые возможности, связанные с развитием облачных вычислений, большими данными и кибер-физическими системами (cyber-physical systems), кардинально изменят наши способы использования информационных технологий. Эти технологии укрепят национальную и экономическую безопасность США, повысят качество нашей жизни, но с ними также связаны риски для неприкосновенности частной жизни граждан.»

«В отчете NIST IR 8062 описана концепция управления рисками для персональных данных, направленная на прогнозирование рисков для неприкосновенности частной жизни граждан и принятие соответствующих мер. В частности, особое внимание в ней уделяется трем задачам ориентированного на защиту персональных данных проектирования  инженерных задач и модели рисков для персональных данных. В ходе разработки этого документа NIST провел ряд консультаций с общественностью и научных исследований. Мы просим заинтересованных лиц присылать свои замечания на этому проект с тем, чтобы получить дополнительную информацию, которая будет принята во внимание при подготовке окончательного варианта концепции.»

NIST предлагает следующие три инженерных принципа:

• Предсказуемость - позволяет заинтересованным сторонам (физическим лицам, владельцам, операторам) делать разумные предположения о персональных данных и их обработке в информационной системе;


• Управляемость - обеспечение возможности достаточно детального администрирования персональных данных, включая внесение изменений, уничтожение и выборочное раскрытие;


• Обезличенность (Disassociability) – создание возможностей для обработки персональных данных или событий без привязки их в большей степени, чем это необходимо для оперативного функционирования системы, к физическим лицам или устройствам.

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html
http://csrc.nist.gov/publications/drafts/nistir-8062/nistir_8062_draft.pdf