среда, 16 октября 2019 г.

США: Национальный институт стандартов и технологий (NIST) скоро завершит разработку концепции защиты неприкосновенности частной жизни, часть 2


(Окончание, начало см. https://rusrim.blogspot.com/2019/10/nist-1.html )

Составные части концепции

Проект концепции защиты неприкосновенности частной жизни NIST состоит из трех частей:
  • «Базовый» раздел предназначен для того, чтобы помочь организациям вести диалог, в который вовлечены директора по информационной безопасности (CISO) и их группы; другие представители руководства организации; а также те, кто работает «в поле», как, например, инженеры и проектировщики, разрабатывающие продукты и услуги. Цель заключается в том, чтобы обеспечить встраивание защиты неприкосновенности частной жизни защиту конфиденциальности на всех уровнях организации, включая предлагаемые общественности продукты и услуги.

  • Раздел «Профили» должен помочь организациям установить приоритеты конечных результатов. Он также призван обеспечить принятие во внимание деловых потребностей организации и потребностей в защите неприкосновенности частной жизни наряду с рисками.

  • Раздел «Уровни зрелости реализации» должен поддерживать принятие решений и способствовать обмену информацией в интересах обеспечения достижения целей в плане защиты неприкосновенности частной жизни и наличия ресурсов, необходимых для менеджмента защиты персональных данных и риска.
«Задача концепции - помочь организациям заложить более совершенные основы для обеспечения неприкосновенности частной жизни, приведя соответствующий риск в соответствие с их более широким портфелем корпоративных рисков», - отмечается в последней версии проекта документа.

Одним из самых больших изменений в последней версии проекта стало появление «базового» раздела, который пересекается с Концепцией кибербезопасности NIST.

Лефковиц отмечает, что многие из тек, кто прислал в NIST свои замечания и предложения по более ранней версии проекта, хотели большей гибкости в основном разделе, с тем, чтобы их организации сами могли решить, каким из рекомендаций следовать.

«Эти люди сказали нам, что нам следует так спроектировать ядро концепции, чтобы оно, с одной стороны, соответствовало сегодняшнему положению дел в организациях, а с другой - обеспечило гибкость, позволяющую им «выбирать свой собственный путь», когда речь идет об одновременно использовании обоих концепций NIST», - сообщила Лефковиц.

Диаграмма, отражающая состав «ядра» концепции по защите неприкосновенности частной жизни NIST. Голубой круг – риски кибербезопасности, синий круг – риски для неприкосновенности частной жизни

Феннесси из IAPP отмечает, что как, с точки зрения организации, «ядро» вписывается в их планы, во многом зависит от того, насколько хорошо группы специалистов организации по кибербезопасности и защите персональных данных работают совместно, а также от зрелости планов организации по защите неприкосновенности частной жизни. По её словам, менее зрелые организации могут предпочесть внедрить больше элементов концепции, в то время как другие могут выбирать.

Возможно ли широкое внедрение концепции?

Один из основных вопросов, касающихся предложенной концепции, заключается в том, будет ли она столь же широко внедрена государственными органами и коммерческими организациями, как концепция кибербезопасности.

Феннесси прогнозирует, что новая концепция защиты неприкосновенности частной жизни будет широко внедряться как государственными органами, так и ИТ-отраслью.

«В настоящее время ИТ-отрасль ... уделяет пристальное внимание вопросам неприкосновенности частной жизни, включая меры по обеспечению исполнения законодательно-нормативных требований, которые мы наблюдаем в этом пространстве», - говорит она.
   
Одна из этих крупных технологических компаний - IBM - уже просигналила о своей поддержке концепции такого рода.

Перспективы в банковском секторе

Представитель Американской ассоциации банкиров (American Bankers Association, ABA) в интервью для ISMG сообщил, что ассоциация отслеживает развитие концепции в интересах своих членов. В начале этого года ABA вместе с Институтом банковской политики (Bank Policy Institute) и Ассоциацией отрасли ценных бумаг и финансовых рынков (Securities Industry and Financial Markets Association) направила в NIST письмо (см. https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/joint-ltr-privacy20190114-1.pdf ), в котором предложила дать свои замечания и предложения, отмечая при этом, что многие финансовые учреждения уже внедрили такого рода меры по обеспечению неприкосновенности частной жизни.

«При работе над концепцией необходимо использовать опыт и знания более зрелых отраслей с тем, чтобы улучшить результаты в области защиты неприкосновенности частной жизни во всех секторах экономики», - говорится в письме. «Данная концепция поможет тем секторам, на которые в настоящее время распространяются минимальные требования в отношении защиты неприкосновенности частной жизни, разработать более зрелые и надежные концепции для управления соответствующими рисками».

Независимо от того, будут ли отрасли и государственные органы внедрять концепцию целиком или выборочно, важно иметь общий язык и стандарты в сфере защиты персональных данных, подчёркивает Крис Пирсон (Chris Pierson), генеральный директор компании по кибербезопасности BlackCloak.

«Эта структура – нечто большее, чем просто набор правил; она даёт организациям возможность думать и делиться своей точкой зрения на защиту неприкосновенности частной жизни посредством единой терминологии, политик и целей управления, что в конечном итоге вызывают доверие у конечного потребителя», - говорит Пирсон в интервью ISMG.

«В течение многих лет идея запроектированной защиты неприкосновенности частной жизни (privacy by design) была мантрой частного сектора при включении этого вопроса, как и темы безопасности, в процесс определения приоритетов новых проектов в организациях», - отмечает он. «Данная концепция выводит запроектированную защиту на новый уровень, внедряя единые измеримые стандарты, позволяющие разрабатывать и совершенствовать программы защиты неприкосновенности частной жизни в масштабе всей организации, во многом аналогично Концепции кибербезопасности NIST» (см.: 'Privacy by Design': Building Better Apps, https://www.inforisktoday.com/interviews/privacy-by-design-building-better-apps-i-4452 ).

Скотт Фергюсон (Scott Ferguson)

Источник: сайт BankInfosecurity.com
https://www.bankinfosecurity.com/nist-to-finalize-privacy-framework-soon-a-13147

Комментариев нет:

Отправка комментария