http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final_updated-errata_05-01-2010.pdf ). Публичное обсуждение продлится до 2 сентября 2011 года.
В аннотации к документу отмечается, что «По мере растущей зависимости от информационных систем, масштабных достижений в области информационных технологий, и значительного расширения новых применений этих технологий в таких областях, как облачные вычисления, интеллектуальные вычислительные сети (smart grid) и мобильные вычисления, - значимость обеспечения информационной безопасности и неприкосновенности частной жизни в государственном и частном секторах поднимается на новый уровень.»
Неприкосновенность частной жизни, в том, что касается персональных данных, является одной из ключевых общественных ценностей, и она может быть достигнута только при наличии соответствующего законодательства, политик и связанных с ними мер контроля и управления, обеспечивающих исполнение установленных требований. В современном электронном мире, эффективная защита частной жизни физических лиц зависит от прочной основы в виде заложенных в информационные системы, обрабатывающие, хранящие и передающие персональные данные, средств обеспечения информационной безопасности. Меры и средства обеспечения безопасности и защиты персональных данных, используемые в федеральных информационных системах, программах и организациях, взаимно дополняют и усиливают друг друга в ходе достижения поставленных организацией целей в этих областях.
Приложение J «Каталог мер, обеспечивающих защиту персональных данных» (Privacy Control Catalog) является новым дополнением к семейству стандартов и руководств NIST, которые будут включены в новую, 4-ю редакцию Специальной публикации NIST SP 800-53, выход которой ожидается в декабре 2011 года. Учитывая важность и особый характер материала, содержащегося в данном приложении, его публичное обсуждение проводится отдельно от других изменений.
Данное приложение преследует четыре основные цели:
- Предложить основанный на международных стандартах и передовом опыте структурированный набор мер по защите персональных данных, которые помогут организациям обеспечить исполнение требований, вытекающих из федерального законодательства о защите неприкосновенности частной жизни, политик, правил, директив, стандартов и руководств;
- Установить взаимосвязи между мерами по обеспечению безопасности и мерами по защите персональных данных, в интересах обеспечения исполнения соответствующих требований, которые концептуально и в их реализации в федеральных информационных системах, программах и организациях могут перекрываться;
- Продемонстрировать применимость Концепции NIST по управлению рисками (NIST Risk Management Framework) для выбора, внедрения, оценки и мониторинга мер защиты персональных данных, развернуты в федеральных информационных системах, программах и организациях; а также
- Содействовать более тесному сотрудничеству между должностными лицами органов федерального правительства, отвечающими за вопросы безопасности и защиты персональных данных, с тем, чтобы способствовать достижению поставленных высшим руководством целей по обеспечении исполнения требований федерального законодательства о защите неприкосновенности частной жизни, политик, правил, директив, стандартов и руководств.
Проект «Каталога мер, обеспечивающих защиту персональных данных» объёмом 24 страницы доступен по адресу http://csrc.nist.gov/publications/drafts/800-53-Appdendix-J/IPDraft_800-53-privacy-appendix-J.pdf .
Описанные в данном документе меры защиты персональных данных, прежде всего, предназначены для использования должностными лицами организаций, отвечающими за обеспечение неприкосновенности частной жизни, при их взаимодействии с руководителями программ, разработчиками информационных систем, участниками проектов в сфере информационных технологий и персоналом службы информационной безопасности, - с тем, чтобы определить, как наилучшим образом внедрить эффективную практику и меры защиты персональных данных в соответствующие программы и/или системы. Эти меры будут содействовать усилиям организации по исполнению требований по защите персональных данных, распространяющихся на программы и/или системы, собирающие, использующие, поддерживающие, обменивающиеся и/или уничтожающие персональные данные.
Каждую из мер защиты персональных данных организация анализирует и применяет в контексте её специфической миссии и оперативных потребностей, основанных на установленных законодательством правах и обязательствах. В зависимости от итогов такого анализа, меры защиты персональных данных могут применяться по-разному. Это позволяет организации выявить как те практики работы с информацией, которые соответствуют требованиям закона и политике, так и те, которые требуют пересмотра. У организаций также есть возможность адаптировать меры защиты персональных данных к своим четко определенным, конкретным потребностям на организационном уровне, на уровне информационных систем, и на программном уровне. Организации, отвечающие за охрану правопорядка и/или государственной безопасности, принимают во внимание соответствующие требования, наряду с вопросами обеспечения неприкосновенности частной жизни, при определении того, как применять меры защиты персональных данных в их специфических условиях.
Интересно также отметить, что название специальной публикации NIST SP 800-53 предлагается изменить на « Меры обеспечения безопасности и защиты персональных данных, рекомендуемые для федеральных информационных систем и организаций » (Security and Privacy Controls for Federal Information Systems and Organizations).
Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-53-Appendix%20J
Описанные в данном документе меры защиты персональных данных, прежде всего, предназначены для использования должностными лицами организаций, отвечающими за обеспечение неприкосновенности частной жизни, при их взаимодействии с руководителями программ, разработчиками информационных систем, участниками проектов в сфере информационных технологий и персоналом службы информационной безопасности, - с тем, чтобы определить, как наилучшим образом внедрить эффективную практику и меры защиты персональных данных в соответствующие программы и/или системы. Эти меры будут содействовать усилиям организации по исполнению требований по защите персональных данных, распространяющихся на программы и/или системы, собирающие, использующие, поддерживающие, обменивающиеся и/или уничтожающие персональные данные.
Каждую из мер защиты персональных данных организация анализирует и применяет в контексте её специфической миссии и оперативных потребностей, основанных на установленных законодательством правах и обязательствах. В зависимости от итогов такого анализа, меры защиты персональных данных могут применяться по-разному. Это позволяет организации выявить как те практики работы с информацией, которые соответствуют требованиям закона и политике, так и те, которые требуют пересмотра. У организаций также есть возможность адаптировать меры защиты персональных данных к своим четко определенным, конкретным потребностям на организационном уровне, на уровне информационных систем, и на программном уровне. Организации, отвечающие за охрану правопорядка и/или государственной безопасности, принимают во внимание соответствующие требования, наряду с вопросами обеспечения неприкосновенности частной жизни, при определении того, как применять меры защиты персональных данных в их специфических условиях.
Интересно также отметить, что название специальной публикации NIST SP 800-53 предлагается изменить на « Меры обеспечения безопасности и защиты персональных данных, рекомендуемые для федеральных информационных систем и организаций » (Security and Privacy Controls for Federal Information Systems and Organizations).
Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-53-Appendix%20J
Наталья Александровна, как то «звучит» странно: «защита неприкосновенности частной жизни, политик, правил, директив, стандартов и руководств…» Может, что с переводом? Или они нацелились на то, что в свободном мире именуется тоталитализмом?... :) С уважением С.В. Дроков
ОтветитьУдалитьПеречтите, пожалуйста, ещё раз, Сергей Владимирович - всё предложение целиком :)
ОтветитьУдалитьА все-таки это стандарт или рекомендации?
ОтветитьУдалитьСудя по всему - всего лишь каталог или перечень, обзор... Хочешь применяешь, хочешь "пальцами слюнявишь", хочешь в воздухе потрясаешь
ОтветитьУдалитьСудя по всему - всего лишь каталог
ОтветитьУдалитьДа, и такие стандарты бывают. ISO/IEC 27002 видели? Нынче стандартов типа "делай раз, делай два" уже практически и не пишут! ;)