Мой комментарий: Мой пост о версии 1.0 «Концепции защиты неприкосновенности частной жизни» NIST см. по адресу https://rusrim.blogspot.com/2020/02/nist-10.html
Для справки: Документ для публичного обсуждения объёмом 51 страница был опубликован 14 апреля 2025 года по адресу https://doi.org/10.6028/NIST.CSWP.40.ipd . Обсуждение продлится до 13 июня 2025 года. Замечания и предложения предлагается направлять по адресу: privacyframework@nist.gov
Вместе с первоначальным проектом «Концепции» версии 1.1 выложены следующие материалы:
- Видео об основных особенностях «Концепции защиты неприкосновенности частной жизни» версии 1.1, доступное по адресу https://vimeo.com/1075421918/572caf1aa5?ts=0&share=copy . В нём кратко рассказывается о процессе разработки концепции и даётся анализ ключевых нововведений;
- Сопоставление ключевых положений версий 1.0 и 1.1 (см. https://www.nist.gov/document/pf-11-10-core-mapping ), помогающее организациям отследить изменения от версии к версии в основных категориях и подкатегориях.
Внесение изменений в «Концепцию защиты неприкосновенности частной жизни» (Privacy Framework, PFW) стало необходимым отчасти вследствие её взаимосвязи с широко используемой «Концепцией кибербезопасности NIST» (Cybersecurity Framework, CSF, https://www.nist.gov/cyberframework ), которая сама была обновлена в феврале 2024 года ( https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework ). Риски защиты ПДн тесно связаны с рисками кибербезопасности и часто пересекаются с ними. Ввиду этого обе концепции имеют одинаковую высокоуровневую структуру, что упрощает их совместное применение.
Одним из общих элементов обеих концепций является «Ядро» (Core) – становящийся всё более детализированным набор действий и результатов, который помогает организациям обсуждать управление рисками. Ядро проекта версии 1.1 «Концепции защиты неприкосновенности частной жизни» во многих местах заново согласовано с ядром версии 2.0 «Концепции кибербезопасности», что облегчает жизнь пользователям.
«Это скромное по масштабам, но важное обновление», - отмечает директор отдела прикладной кибербезопасности NIST Джули Чуа (Julie Chua). «Концепцию защиты неприкосновенности частной жизни можно использовать отдельно для управления рисками защиты ПДн, но мы также сохранили её совместимость с версией 2.0 «Концепции кибербезопасности», чтобы организации могли использовать обе концепции вместе для управления всем спектром рисков кибербезопасности и защиты ПДн».
В числе заметных изменений в проекте версии 1.1 «Концепции защиты неприкосновенности частной жизни» можно упомянуть:
- Нацеленные изменения в разделе «Ядро». При подготовке проекта новой версии «Концепции защиты неприкосновенности частной жизни» были внесены нацеленные изменения в его основную структуру и содержание. Некоторые изменения соответствуют положениям «Концепции кибербезопасности» 2.0, с упором на функцию «Стратегическое управление» (Govern Function - это стратегия и политики управления рисками) и функцию «Защита» (Protect Function - это меры кибербезопасности и защиты ПДн). Другие изменения вносят улучшения в качестве реакции ответ на отзывы заинтересованных сторон, собранные за последние пять лет по таким каналам, как рабочая группа NIST по вопросам защиты ПДн (NIST Privacy Workforce Public Working Group, см. https://www.nist.gov/privacy-framework/workforce-advancement/privacy-workforce-public-working-group ).
- Новый раздел об управлении рисками защиты ПДн в контексте технологий ИИ. Первоначальная версия «Концепции» появилась до того, как начали широко использоваться такие ИИ-инструменты, как чат-боты. В разделе 1.2.2 проекта «Концепции» кратко описано, как взаимосвязаны ИИ и риски защиты ПДн, и в также как версию 1.1 «Концепции» можно будет использовать для управления рисками защиты ПДн, связанными с ИИ.
- Перенос в интернет руководств по использованию Концепции. Те, кто ищет руководство по использованию «Концепцию защиты неприкосновенности частной жизни», могут теперь найти эту информацию в Интернете ( https://www.nist.gov/privacy-framework/using-privacy-framework-11 ), а не в разделе 3 документа, как прежде. Онлайн-материалы были структурированы как интерактивная страница ответов на часто задаваемые вопросы, что даёт пользователям возможность быстро находить нужные им ответы. Поддержание этого раздела в онлайн-режиме также позволит своевременно обновлять его в ответ на потребности пользователей.
В дополнение к интерактивным «Ответам на часто задаваемые вопросы» NIST также поддерживает Центр обучения PFW ( https://www.nist.gov/privacy-framework/getting-started-0/learning-center ), который включает руководства для начинающих на нескольких языках. На странице центра теперь выложено видео об основных особенностях «Концепции защиты неприкосновенности частной жизни» версии 1.1 (PFW 1.1 Highlights, https://vimeo.com/1075421918/572caf1aa5?ts=0&share=copy ), в котором содержатся более подробные сведения о нововведениях.
Национальный институт стандартов и технологий (NIST) будет принимать замечания и предложения на проект до 13 июня 2025 года по адресу privacyframework@nist.gov . Форму для подачи замечаний можно найти на веб-сайте NIST по адресу https://www.nist.gov/privacy-framework . После завершении публичного обсуждения NIST рассмотрит возможность внесения дополнительных изменений и позднее выпустит в 2025 году окончательную версию Концепции.
Источник: сайт NIST
https://www.nist.gov/news-events/news/2025/04/nist-updates-privacy-framework-tying-it-recent-cybersecurity-guidelines
https://csrc.nist.gov/pubs/cswp/40/nist-privacy-framework-11/ipd
Комментариев нет:
Отправить комментарий