вторник, 15 октября 2019 г.

США: Национальный институт стандартов и технологий (NIST) скоро завершит разработку концепции защиты неприкосновенности частной жизни, часть 1


В настоящее время NIST собирает замечания и предложения по последнему проекту документа.

Данная заметка Скотта Фергюсона (Scott Ferguson – на фото), директора по новостям медиагруппы «Информационная безопасность» (Information Security Media Group, ISMG), была опубликована 25 сентября 2019 года на сайте BankInfosecurity.com

Специалисты Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) планируют к концу этого года опубликовать  долгожданную концепцию защиты неприкосновенности частной жизни (её сентябрьский 2019 года проект объёмом 43 страницы доступен по адресу  https://www.nist.gov/sites/default/files/documents/2019/09/09/nist_privacy_framework_preliminary_draft.pdf ).
Мой комментарий: Ранее я уже писала на блоге о работе NIST над этой концепцией, см. http://rusrim.blogspot.com/2018/12/nist.html . Напомню также, что для американцев защита неприкосновенности частной жизни, когда речь идёт об информационных технологиях, означает то же самое, что для нас защита персональных данных.

NIST недавно выложил доработанный текст проекта концепции и до 24 октября собирает замечания и предложения по нему. Представитель NIST подтвердил, что завершить работу над версией 1.0 планируется в этом году.


Мой комментарий: Название документа – «Концепция NIST защиты неприкосновенности частной жизни: Инструмент совершенствования защиты неприкосновенности частной жизни посредством корпоративного менеджмента риска» (NIST Privacy Framework: A Tool For Improving Privacy Through Enterprise Risk Management). Содержание документа следующее:
Комментарии для рецензентов
Краткое содержание для руководства
Благодарности
1. Введение в концепцию защиты неприкосновенности частной жизни
2. Основные положения концепции защиты неприкосновенности частной жизни 
3. Как использовать концепцию
Приложение A: Ключевые элементы концепции (функции, категории и подкатегории)
Приложение B: Глоссарий
Приложение C: Сокращения
Приложение D: Практика менеджмента рисков для неприкосновенности частной жизни
Приложение E: Уровни зрелости реализации концепции
Приложение F: Дорожная карта
Приложение G: Библиография
По словам старшего советника NIST по политике защиты неприкосновенности частной жизни г-жи Наоми Лефковиц (Naomi Lefkovitz, см. https://www.nist.gov/blogs/cybersecurity-insights/preliminary-draft-nist-privacy-framework-here ), одним из наиболее значительных изменений в последней версии концепции является дополнительная гибкость, позволяющая пользователям самим решать, каким путём они будут достигать цели по обеспечению защиты персональных данных и неприкосновенности частной жизни своих клиентов.

К примеру, как отмечает NIST, некоторые организации могут предпочесть использовать для защиты данных криптографию, в то время как другие могут пойти по пути применения методов де-идентификации, помогающих ограничить возможность делать выводы на основе поведения людей в Интернете. NIST также собирает мнения заинтересованных сторон о том, как новейшие технологии, такие как устройства интернета вещей и искусственный интеллект, меняют представления о неприкосновенности частной жизни, а также подходы к сбору и защите данных.

Текст проекта также был доработан с целью согласовать ряд аспектов концепции защиты неприкосновенности частной жизни с Концепцией кибербезопаности NIST (NIST Cybersecurity Framework) - рекомендуемого руководства (см. https://www.whitehouse.gov/presidential-actions/presidential-executive-order-strengthening-cybersecurity-federal-networks-critical-infrastructure/ ), используемого руководителями федеральных органов исполнительной власти, а также многими организациями частного сектора, для управления рисками кибербезопасности.

«Наша цель состояла в том, чтобы разработать инструмент, который мог бы помочь организациям лучше учитывать риски для неприкосновенности частной жизни при разработке и развертывании продуктов и услуг; а также предлагать более эффективные решения, способные привести к лучшим результатам в плане защиты неприкосновенности частной жизни и облегчить организациям исполнение касающихся их законодательно-нормативных требований», - отметила Лефковиц.

Является ли концепция прелюдией к появлению закона о неприкосновенности частной жизни?

Хотя концепция защиты неприкосновенности частной жизни NIST будет применяться на добровольной основе, ряд экспертов по вопросам безопасности и защиты персональных данных считает, что это руководство может заложить основу для национального законодательства о защите персональных данных - американской версии закона Евросоюза по защите персональных данных GDPR (General Data Protection Regulation - «Общие правила защиты персональных данных») - которое имело бы большую юридическую силу, чем законы отдельных штатов, пытавшихся самостоятельно закрыть этот пробел в законодательстве (примером последних могут служить Закон о защите прав потребителей в Калифорнии - California Consumer Privacy Act,  https://oag.ca.gov/privacy/ccpa ; или закон SHIELD штата Нью-Йорк, см. https://www.nysenate.gov/legislation/bills/2019/s5575 ).

«Это событие будет иметь колоссальное значение, поскольку данная концепция защиты неприкосновенности частной жизни предназначена как для США, так и для международной аудитории», - говорит Кейтлин Феннесси (Caitlin Fennessy), член Международной ассоциацией специалистов по вопросам неприкосновенности частной жизни (International Association of Privacy Professionals, IAPP, https://iapp.org/ ) которая ранее работала по этой тематике в Министерстве торговли США, ведомстве, которому подчиняется NIST.

«Когда мы думаем о потенциальном федеральном законодательстве, мы должны понимать, что NIST предпочёл написать концепцию в терминах мер и средств обеспечения неприкосновенности частной жизни, с тем, чтобы она была намного ближе к практике такой защиты... И NIST сфокусировал своё внимание на том, чтобы транслировать принципов защиты неприкосновенности частной жизни в принципы оперативной работы, - отметила Феннесси в интервью Security Media Group.  «Таким образом, с моей точки зрения, если и когда мы доберемся до введения федерального законодательства, мы сможем сфокусировать внимание на доведении этих принципов защиты неприкосновенности частной жизни до уровня оперативной деятельности».

(Окончание следует, см. https://rusrim.blogspot.com/2019/10/nist-2.html )

Скотт Фергюсон (Scott Ferguson)

Источник: сайт BankInfosecurity.com
https://www.bankinfosecurity.com/nist-to-finalize-privacy-framework-soon-a-13147

Комментариев нет:

Отправка комментария