المسودة الأولية لإطار عمل الخصوصية NIST هنا!

مدير عام12 سبتمبر 2020آخر تحديث :
المسودة الأولية لإطار عمل الخصوصية NIST هنا!

الخصوصية و NIST في عناوين الأخبار اليوم وبطريقة جيدة! يسعدنا أن نعلن عن إصدار المسودة الأولية لإطار خصوصية NIST: أداة لتحسين الخصوصية من خلال إدارة مخاطر المؤسسة للتعليق العام.

منذ ورشة العمل الافتتاحية في أكتوبر 2018 ، في أوستن ، تكساس ، قدمنا ​​طلبًا للحصول على معلومات وقمنا بالسفر في جميع أنحاء البلاد لإجراء سلسلة من ورش العمل والموائد المستديرة للاستماع إلى أصحاب المصلحة حول تحدياتهم في حماية الخصوصية وكيف يمكننا ذلك تطوير إطار عمل الخصوصية إلى أداة تساعد. هذه المسودة الأولية هي نتيجة هذه المحادثات. كان هدفنا تقديم أداة يمكن أن تساعد المؤسسات على التواصل بشكل أفضل حول مخاطر الخصوصية عند تصميم المنتجات والخدمات ونشرها ، وتقديم حلول أكثر فعالية يمكن أن تؤدي إلى نتائج خصوصية أفضل ، وتسهيل الامتثال لالتزاماتها القانونية. حان دورك الآن لإعلامنا إذا حققنا هذا الهدف.

بالطبع ، لن يكون الأمر ممتعًا كثيرًا إذا لم يكن هناك القليل من الإثارة أثناء عملية التطوير. احتلت المناقشات القوية حول كيفية وصف العلاقة بين الخصوصية والأمن السيبراني مركز الصدارة. كيف نجعل إدارة مخاطر الخصوصية متكافئة مع إدارة مخاطر الأمن السيبراني ، وكذلك مع محافظ المخاطر المؤسسية الأوسع للمؤسسات؟ كيف نعالج التداخل بين أمن البيانات وانتهاكات الخصوصية بطرق فعالة من حيث التكلفة وعملية؟ أين يلعب إطار الأمن السيبراني دورًا؟

حسنًا ، إنها ليست مادة مطابقة للقفص تمامًا ، ولكن إذا أردنا إحراز تقدم ملموس في تحسين الاستخدامات المفيدة للبيانات مع تقليل العواقب السلبية للأفراد (أو المجتمع ككل) ، فنحن بحاجة إلى التعامل مع هذه المشكلات. منذ البداية ، سمعنا من أصحاب المصلحة رغبة في تصميم هيكل إطار الخصوصية بعد إطار عمل الأمن السيبراني ، مثل استخدام بنية Core مع وظائفها عالية المستوى ، ومجموعة متزايدة من أنشطة الحماية ونتائجها. ولكن كانت هناك ردود متباينة حول ما إذا كان يجب أن يكون لإطار الخصوصية وإطار عمل الأمن السيبراني وظائف متداخلة فيما يتعلق بأمن البيانات ، لذلك قررنا تنظيم ورشة عمل لهما. اقترحنا خيارين لـ Privacy Framework Core لمناقشتهما في ورشة العمل الثالثة في Boise ، أيداهو: أحد الخيارات تضمن وظائف من إطار عمل الأمن السيبراني لمعالجة أمن البيانات ، بينما الآخر لم يفعل.

تنبيه المفسد: إذا كنت تبحث عن الكشف الكبير عن Core الذي اخترناه ، فنحن نأسف لإحباطك ، ولكن هذه منطقة خالية من الدراما! على الرغم من أن وجهات النظر كانت منقسمة بشكل متساوٍ حول الخيارات الأساسية ، إلا أن أصحاب المصلحة شعروا بقوة بتفضيلاتهم لأنها تعكس مدى تعاون منظماتهم بشكل وثيق في الخصوصية والأمن السيبراني ، ونضج برامج الخصوصية الخاصة بهم. أخبرتنا هذه الأسباب أنه يجب علينا تصميم Core للوفاء بالمنظمات حيث هي اليوم وتوفير المرونة للسماح لهم “باختيار مغامرتهم” عندما يتعلق الأمر باستخدام كلا الإطارين. لإثبات هذه المرونة ، أنشأنا مخطط Venn التالي ، الذي يعكس الرسم الذي كنا نستخدمه لوصف العلاقة بين الخصوصية والأمن السيبراني (انظر القسم 1.2.1 من المسودة الأولية).

مخطط صديق إطار الخصوصية

ائتمان:
نيست

كما هو موضح في المسودة الأولية ، هناك خمس وظائف في إطار الخصوصية: تحديد- P ، و Govern-P ، و Control-P ، و Communicate-P ، و Protect-P ، حيث يميز -P الأنشطة التي تركز على الخصوصية مقابل تلك المتعلقة بالأمن السيبراني. يمكن استخدام الأربعة الأولى لإدارة مخاطر الخصوصية الناشئة عن معالجة البيانات ، بينما يمكن لـ Protect-P مساعدة المؤسسات في إدارة مخاطر الخصوصية المرتبطة بانتهاكات الخصوصية إلى جانب الاكتشاف والاستجابة والاسترداد من إطار عمل الأمن السيبراني. Protect-P ليست الطريقة الوحيدة لإدارة مخاطر الخصوصية المرتبطة بانتهاكات الخصوصية. بدلاً من ذلك ، يمكن للمؤسسات استخدام جميع وظائف إطار عمل الأمن السيبراني جنبًا إلى جنب مع Identify-P و Govern-P و Control-P و Communicate-P للتصدي بشكل جماعي لمخاطر الخصوصية والأمن السيبراني.

في NIST ، نؤمن بأهمية التعاون بين فرق الخصوصية والأمن السيبراني. لهذا السبب نعمل على دمج الخصوصية في إرشادات الأمن السيبراني الخاصة بنا. المنشورات الخاصة 800-37 Rev.2 ، إطار إدارة المخاطر لأنظمة المعلومات والمنظمات: نهج دورة حياة النظام للأمان والخصوصية ، 800-53 Rev. 5 (مسودة) ، ضوابط الأمان والخصوصية لأنظمة المعلومات الفيدرالية ، و 800- 63 Rev.3 ، إرشادات الهوية الرقمية كلها أمثلة جيدة على جهودنا حتى الآن. ولكن كما هو مذكور أعلاه ، فإننا ندرك أيضًا أنه من المهم إنشاء أداة قابلة للاستخدام بغض النظر عن هيكل المؤسسة. نحن ندرك أن هذه المرونة تأتي على حساب بعض التعقيد. لذلك ، نخطط لمواصلة مناقشة أفضل طريقة لتشجيع المزيد من التعاون مع تبسيط نهجنا لأطر عملنا المختلفة.

حتى الآن ، كان تطوير إطار عمل الخصوصية أمرًا ممتعًا حقًا بسبب المشاركة الرائعة لأصحاب المصلحة لدينا. على الرغم من أن الوصول إلى الإصدار 1.0 سيكون حقًا الخطوة الأولى من بين العديد من المعالم ، إذا كنت قد انضممت إلى الرحلة بالفعل ، شكرًا لك! إذا لم تكن قد فعلت ذلك بعد ، فلا تفوت هذه الفرصة لمشاركة ملاحظاتك معنا.

سنقبل التعليقات العامة على المسودة الأولية حتى 24 أكتوبر 2019. يمكن العثور على تعليمات التقديم هنا. إذا كنت ترغب في معرفة المزيد حول المسودة الأولية ، فيرجى الانضمام إلى ندوة NIST Privacy Framework الخاصة بنا على الويب: جاهز ، تعيين ، التعليق على المسودة الأولية في 17 سبتمبر 2019 (سيتم نشر التسجيل بعد ذلك). سنكون أيضًا في الخارج في أحداث مختلفة خلال الأشهر القليلة المقبلة – قم بزيارة موقعنا على الويب للحصول على مزيد من المعلومات حول مكان المشاركة معنا أو التواصل لمعرفة المزيد حول أن تصبح متبنيًا مبكرًا لإطار الخصوصية. مراجعة سعيدة!

اترك تعليق

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

عدم الإساءة للكاتب أو للأشخاص أو للمقدسات أو مهاجمة الأديان أو الذات الالهية. والابتعاد عن التحريض الطائفي والعنصري والشتائم.

الاخبار العاجلة