Главная » Блоги Экспертов И ИТ-Компаний » Обзор документа NIST Privacy Framework

Обзор документа NIST Privacy Framework

16 января NISTопубликовал итоговую версию документа 1.0 Privacy Framework. Указанный документ представляется как добровольный инструмент (лучшая практика) которая поможет вам выполнять законодательство в области защиты персональных данных.
framework.jpg
Давайте посмотрим на самые интересные моменты данного документа, которые могут быть полезны при выполнении российского законодательства в области защиты ПДн либо европейского GDPR.
1.      Документ не является обязательным. Это скорее методический документ. В нем есть полезные вещи, которые можно использовать. Но одного этого документа недостаточно для того, чтобы взять и построить безопасные процессы обработки ПДн – нужно использовать ещё какие-то методики для анализа рисков, а потом придумывать, какие меры необходимо выбрать для нейтрализации конкретных рисков. Поэтому не корректно будет называть его готовым инструментом (tool). Но основой (framework) для дальнейшей работы он называется заслуженно.  
2.      Разъяснение актуальности проблемы и места Privacy
Значительная часть документа отведена на разъяснения:
·        Почему организациям необходимо заниматься приватностью данных (Privacy) / соблюдением прав субъектов ПДн (доверительные отношения с клиентом, comliance)
·        Про разницу между рисками кибербезопасности приватности
risk.png
·        Про то, что в начале от инцидентов с ПДн наносится вред субъекту, но в итоге это превращается в ущерб для организаций
privacy%2Borganization%2Brisk.png
·        Про необходимость оценки рисков приватности (Privacy Risk Assessment) / оценка вреда – но тут без конкретики
·        Про связь и разницу между мерами защиты от компьютерных инцидентов и мерами защиты приватности – есть общие меры, но для защиты приватности понадобятся и дополнительные -Pмеры
functions.png
·        Про то что в обеспечении приватности должны быть вовлечены работники организации всех уровней (высшее руководство, менеджеры, операционный уровень)
%25D0%25BE%25D1%2582%25D0%25B2%25D0%25B5%25D1%2582%25D1%2581%25D1%2582%25D0%25B2%25D0%25B5%25D0%25BD%25D0%25BD%25D0%25BE%25D1%2581%25D1%2582%25D1%258C.png
·        О том что в обработке одних данных может участвовать большое количество участников, и необходимо включать в договора требования или наоборот показывать как у вас в организации обеспечивается защита приватности – для того чтобы все общались на одном языке как раз и нужен NISTPrivacyFrameworkи его профили.
%25D0%25BF%25D0%25B0%25D1%2580%25D1%2582%25D0%25BD%25D0%25B5%25D1%2580%25D1%258B.png
3.      Каталог мер защиты приватности, разделенный на Функции (Functions), Категории (Categories), и Подкатегории (Subcategories) – это FrameworkCore
core.png
Отдельно отмечены меры идентичные мерам из Cybersecurity Framework и адаптированные из них
4.      Естественно, предполагается что организации будут применять не все меры, а те которые необходимо в следствии анализа рисков приватности, а также исходя из особенностей обработки данных. Для некого подмножества мер из Coreпридуман специальный термин - Профиль (Profile).
Предполагается что может быть текущий профиль (current profile) – набор мер, который организация выполняет сейчас и целевой профиль (target profile) – набор мер, который организация считает необходимым для обработки всех рисков.  Также framework предполагает, что организации не смогут одномоментно взять и внедрить все меры – на пути к целевому, ещё может быть целый ряд промежуточных профилей. 
profiles.png
Другие области применения профилей:
·        операторам облачных сервисов или аутсорсерам заказчики могут предъявлять требования в виде профилей
·        требования в виде профилей могут предъявляться разработчику системы или ПО
·        вышестоящая или головная организация может требовать от подконтрольных организаций соответствие определенному профилю
·        ассоциации и сообщества могут разрабатывать отраслевые профили приватности
Если проводить параллели с документами ФСТЭК, то меры из ПП1119 + 21 приказа – это аналог Core, а 4 уровня защищенности – это аналог 4х профилей защиты.
5.      Количество ресурсов, которые потрачены па реализацию одной и той же меры в разных Организациях может отличаться в разы, соответственно может отличаться и эффективность применения мер. Дляработысэтимв NIST Privacy Framework придуманы 4 уровняреализации (Implementation Tiers): Partial, Risk Informed, Repeatable, Adaptive
Для каждого уровня реализации даны характеристики в 4 направлениях (Privacy Risk Management Process, Integrated Privacy Risk Management Program, Data Processing Ecosystem Relationships, Workforce).
Tiers.png
Уровни реализации могут применяются как к отдельным мерам, так и ко всей организации в целом. Также можно оценивать текущий уровень и фиксировать целевой.
Все это похоже на уровни зрелости процессов ИБ (хотя NISTнигде не говорит про зрелость).
6.      Обеспечивать приватность предлагается по простой схеме “Ready, Set, Go
·        Ready – провести оценку рисков приватности (для РФ читай оценку возможного вреда), требования законодательства и вышестоящих организаций, определить границы приемлемых рисков.
·        Set – определить текущий профиль и целевой профиль. Разницу между ними оформить как план мероприятий.
·        Go – выполнить план и достигнуть целевого профиля Target profile
PS: всем неравнодушным предлагаю скачать и ознакомится с PrivacyFrameworkсамостоятельно. У рабочей группы там большой роадмап по новым документам.
PPS: почитать про другие лучшие практики ИБ можно в моем блоге
Планирую ещё несколько публикаций по NPF, для того чтобы не пропустить новые обзоры и аналитику подпишитесь в вашем любимом канале:
VK 


Источник: https://sborisov.blogspot.com/2020/01/nist-privacy-framework.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>