Обзор документа NIST Privacy Framework

16 января NIST опубликовал итоговую версию документа 1.0 Privacy Framework. Указанный документ представляется как добровольный инструмент (лучшая практика) которая поможет вам выполнять законодательство в области защиты персональных данных.

Давайте посмотрим на самые интересные моменты данного документа, которые могут быть полезны при выполнении российского законодательства в области защиты ПДн либо европейского GDPR.

1.      Документ не является обязательным. Это скорее методический документ. В нем есть полезные вещи, которые можно использовать. Но одного этого документа недостаточно для того, чтобы взять и построить безопасные процессы обработки ПДн – нужно использовать ещё какие-то методики для анализа рисков, а потом придумывать, какие меры необходимо выбрать для нейтрализации конкретных рисков. Поэтому не корректно будет называть его готовым инструментом (tool). Но основой (framework) для дальнейшей работы он называется заслуженно.  

2.      Разъяснение актуальности проблемы и места Privacy

Значительная часть документа отведена на разъяснения:

·        Почему организациям необходимо заниматься приватностью данных (Privacy) / соблюдением прав субъектов ПДн (доверительные отношения с клиентом, comliance)

·        Про разницу между рисками кибербезопасности приватности

·        Про то, что в начале от инцидентов с ПДн наносится вред субъекту, но в итоге это превращается в ущерб для организаций

·        Про необходимость оценки рисков приватности (Privacy Risk Assessment) / оценка вреда – но тут без конкретики

·        Про связь и разницу между мерами защиты от компьютерных инцидентов и мерами защиты приватности – есть общие меры, но для защиты приватности понадобятся и дополнительные -P меры

·        Про то что в обеспечении приватности должны быть вовлечены работники организации всех уровней (высшее руководство, менеджеры, операционный уровень)

·        О том что в обработке одних данных может участвовать большое количество участников, и необходимо включать в договора требования или наоборот показывать как у вас в организации обеспечивается защита приватности – для того чтобы все общались на одном языке как раз и нужен NIST Privacy Framework и его профили.

3.      Каталог мер защиты приватности, разделенный на Функции (Functions), Категории (Categories), и Подкатегории (Subcategories) – это Framework Core

Отдельно отмечены меры идентичные мерам из Cybersecurity Framework и адаптированные из них

4.      Естественно, предполагается что организации будут применять не все меры, а те которые необходимо в следствии анализа рисков приватности, а также исходя из особенностей обработки данных. Для некого подмножества мер из Core придуман специальный термин - Профиль (Profile).

Предполагается что может быть текущий профиль (current profile) – набор мер, который организация выполняет сейчас и целевой профиль (target profile) – набор мер, который организация считает необходимым для обработки всех рисков.  Также framework предполагает, что организации не смогут одномоментно взять и внедрить все меры – на пути к целевому, ещё может быть целый ряд промежуточных профилей. 

Другие области применения профилей:

·        операторам облачных сервисов или аутсорсерам заказчики могут предъявлять требования в виде профилей

·        требования в виде профилей могут предъявляться разработчику системы или ПО

·        вышестоящая или головная организация может требовать от подконтрольных организаций соответствие определенному профилю

·        ассоциации и сообщества могут разрабатывать отраслевые профили приватности

Если проводить параллели с документами ФСТЭК, то меры из ПП1119 + 21 приказа – это аналог Core, а 4 уровня защищенности – это аналог 4х профилей защиты.

5.      Количество ресурсов, которые потрачены па реализацию одной и той же меры в разных Организациях может отличаться в разы, соответственно может отличаться и эффективность применения мер. Для работы с этим в NIST Privacy Framework придуманы 4 уровня реализации (Implementation Tiers): Partial, Risk Informed, Repeatable, Adaptive

Для каждого уровня реализации даны характеристики в 4 направлениях (Privacy Risk Management Process, Integrated Privacy Risk Management Program, Data Processing Ecosystem Relationships, Workforce).

Уровни реализации могут применяются как к отдельным мерам, так и ко всей организации в целом. Также можно оценивать текущий уровень и фиксировать целевой.

Все это похоже на уровни зрелости процессов ИБ (хотя NIST нигде не говорит про зрелость).

6.      Обеспечивать приватность предлагается по простой схеме “Ready, Set, Go”

·        Ready – провести оценку рисков приватности (для РФ читай оценку возможного вреда), требования законодательства и вышестоящих организаций, определить границы приемлемых рисков.

·        Set – определить текущий профиль и целевой профиль. Разницу между ними оформить как план мероприятий.

·        Go – выполнить план и достигнуть целевого профиля Target profile

PS: всем неравнодушным предлагаю скачать и ознакомится с Privacy Framework самостоятельно. У рабочей группы там большой роадмап по новым документам.

PPS: почитать про другие лучшие практики ИБ можно в моем блоге

Планирую ещё несколько публикаций по NPF, для того чтобы не пропустить новые обзоры и аналитику подпишитесь в вашем любимом канале:

TWITTER 

FACEBOOK 

VK 

Telegram