США: Национальный институт стандартов и технологий опубликовал проекты двух новых практических руководств по вопросам обеспечения конфиденциальности данных

Данная заметка американского специалиста Виктории Бэкман (Victoria Beckman - на фото) была опубликована в социальной сети LinkedIn 21 декабря 2023 года.

Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 13 декабря 2023 года опубликовал на своём сайте проекты двух специальных публикаций, связанных с аспектом обеспечения конфиденциальности данных (data confidentiality) в рамках усилий по обеспечению информационной безопасности:

• Проект практического руководства NIST SP 1800-28 «Конфиденциальность данных: Выявление и защита активов от утечек данных» (Data Confidentiality: Identifying and Protecting Assets Against Data Breaches) объёмом 153 страницы, см. https://www.nccoe.nist.gov/publications/practice-guide/data-confidentiality-identifying-and-protecting-assets-against-data (прямая ссылка: https://www.nccoe.nist.gov/sites/default/files/2023-12/dc-ip-nist-sp-1800-28-draft.pdf ); и
  
  
• Проект практического руководства NIST SP 1800-29 «Конфиденциальность данных: Обнаружение утечек данных, реагирование и восстановление после них» (Data Confidentiality: Detect, Respond to, and Recover from Data Breaches) объёмом 138 страниц, см. https://www.nccoe.nist.gov/publications/practice-guide/data-confidentiality-detect-respond-do-and-recover-data-breaches-nist (прямая ссылка: https://www.nccoe.nist.gov/sites/default/files/2023-12/dc-rr-nist-sp-1800-29-draft.pdf  ).

В этих руководствах содержатся рекомендации о том, как предотвратить утечку данных и устранить её последствия, включая соображения в отношения обеспечения кибербезопасности и защиты персональных данных; а также конкретные технические указания по их реализации.

Практическое руководство NIST SP 1800-28 призвано помочь организациям:

• Провести инвентаризацию мест хранения и потоков данных,
  
  
• Защититься от атак против конфиденциальности серверов, компонентов сети и корпоративной инфраструктуры,
  
  
• Защитить корпоративные данные при хранении, при передаче и при использовании,
  
  
• Настроить средства журналирования и аудита в соответствии с требованиями организации,
  
  
• Реализовать меры контроля над доступом пользователей к чувствительным данным,
  
  
• Реализовать механизмы аутентификации пользователей при получении доступа к серверам и сети,
  
  
• Составить перечень потоков данных и проблемных действий с данными в соответствии с концепцией NIST обеспечения неприкосновенности частной жизни (защиты персональных данных).

В свою очередь практическое руководство NIST SP 1800-29 содержит рекомендации для организаций в отношении того, как:

• Вести мониторинг активности корпоративных пользователей и данных,
  
  
• Выявлять несанкционированные потоки данных, поведение пользователей и доступ к данным,
  
  
• Передавать информацию о несанкционированной активности, связанной с пользователями и данными, находящихся как на хранении, так и в процессе передачи или использования, в централизованное программное обеспечение для мониторинга и информирования,
  
  
• Анализировать воздействие несанкционированного и злонамеренного поведения на сеть или конечные точки,
  
  
• Определить, имело ли место нарушение конфиденциальности данных, и смягчить его последствия, способствуя эффективному реагированию на ситуацию утечки данных,
  
  
• Ограничить последствия утечки данных, не допуская раскрытия большего количества данных,
  
  
• Способствовать восстановлению после утечки данных посредством предоставления подробной информации о масштабах и серьёзности утечки.

Виктория Бэкман (Victoria Beckman)

Источники: сайт LinkedIn / сайт NIST
https://www.linkedin.com/feed/update/urn:li:activity:7143347392191365120/