Безопасность персданных по версии США

Безопасность персданных по версии США
NIST выпустил проект документа по защите персональных данных для американских государственных структур - "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)" ( SP 800-122 ). Почему же они умеют писать документы, а наши специалисты нет? Выкрик в пустоту... Во-первых, американцы расписали, что такое ущерб субъекту ПДн с учетом градации (низкий, средний, высокий). Может быть эти толкования и не столь детальны как хотелось бы, но они есть. Кроме того, там описаны факторы, влияющие на уровень ущерба, чего в документах ФСТЭК даже не предполагалось. А уж приведенные примеры в документах NIST - это вообще сказка. Чтобы было понятно всем и сразу, что имели ввиду авторы документа. Что характерно, в России почему-то не принято в тексты официальных документов вставлять примеры, существенно облегчающие понимание того или иного пассажа. А вот американцы видимо понимают, что важна не форма документа, а его содержание. Защитные меры продуманы тоже не в пример ФСТЭКовским. Тут и реагирование на инциденты, и повышение осведомленности и тренинги, и различные оргмеры. Такой жесткой концентрации на технических мерах нет. Более того, NIST поступил очень грамотно - не стал расписывать все технические меры, а отослал на разработанные ранее рекомендации (SP 800-53 "Recommended Security Controls for Federal Information Systems"). Понимая, что проще обезличить ПДн, чем заниматься их защитой, в документе прописаны различные механизмы вроде включения в ПДн шума, усреднение данных, обобщение и т.п. Т.е. с данными по прежнему можно работать, но вот уровень их защиты может быть не такой серьезный. Это не только облегчает жизнь, но и дает возможность существенно сэкономить. И, наконец, больше половины документа занимают приложения: как идентифицировать ПДн в различных сценариях (работа из дома, тестирование систем, апгрейд систем и т.д.)FAQ по защите персданныхразличные определения ПДн (со ссылками на нормативные акты). Это очень важное приложение, которое существенно уменьшает число толкований термина "персональные данные".ключевые принципы защиты ПДни т.д. Надо признать, что документ NIST на несколько порядков лучше и грамотнее документов ФСТЭК. И хотя они не являются обязательными к применению в России, я бы мог их порекомендовать к применению у нас. По крайней мере некоторые разделы из них более чем полезны в реальнй жизни. Например, обезличивание ПДн с целью ухода от жестких защитных требований.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!