Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Конфиденциальности Оценка воздействия ( PIA ) является процессом , который помогает организациям в выявлении и управлении приватность риски , вытекающие из новых проектов, инициатив, систем, процессов, стратегий, политики, деловых отношений и т.д. [1] Она приносит пользу различных заинтересованных сторон, в том числе организации себя и клиентов во многих отношениях. [2] В США и Европе были выпущены политики, предписывающие и стандартизирующие оценки воздействия на конфиденциальность. [3] [4]

Обзор [ править ]

Конфиденциальности Оценка воздействия представляет собой тип оценки воздействия , проведенного организацией ( как правило, правительственное учреждение или корпорация с доступом к большому количеству чувствительных личных данных о лицах в или протекающих через систему). Организация анализирует свои собственные процессы, чтобы определить, как эти процессы влияют или могут поставить под угрозу конфиденциальность лиц, данные которых она хранит, собирает или обрабатывает. ООП проводились различными подразделениями Министерства внутренней безопасности США (DHS) [5] [6], и методы их проведения стандартизированы. [4]

PIA обычно разрабатывается для достижения трех основных целей:

  1. Обеспечьте соответствие применимым законодательным, нормативным и политическим требованиям к конфиденциальности.
  2. Выявление и оценка рисков нарушения конфиденциальности или других инцидентов и последствий.
  3. Определите соответствующие средства контроля конфиденциальности для снижения неприемлемых рисков.

Отчет о воздействии на конфиденциальность направлен на выявление и запись основных компонентов любой предлагаемой системы, содержащей значительные объемы личной информации, и определение способов управления рисками конфиденциальности, связанными с этой системой. Иногда PIA выходит за рамки оценки «системы» и рассматривает критические «последующие» воздействия на людей, на которых так или иначе влияет предложение. [7]

Цель [ править ]

Поскольку PIA касается способности организации обеспечивать безопасность личной информации, PIA следует заполнять всякий раз, когда указанная организация владеет личной информацией о своих сотрудниках, клиентах, клиентах, деловых контактах и ​​т. Д. Хотя юридические определения различаются, личная информация обычно включает личные данные человека. : имя, возраст, номер телефона, адрес электронной почты, пол, информация о здоровье. PIA также следует проводить всякий раз, когда организация обладает конфиденциальной информацией или если системы контроля безопасности, защищающие конфиденциальную или конфиденциальную информацию, претерпевают изменения, которые могут привести к нарушениям конфиденциальности. [8] [9]

Преимущества [ править ]

Согласно презентации на Конгрессе Международной ассоциации профессионалов в области конфиденциальности , PIA имеет следующие преимущества: [2]

  • Предоставляет систему раннего предупреждения - способ обнаружения проблем с конфиденциальностью, создания мер безопасности до, а не после крупных вложений, а также для решения проблем с конфиденциальностью раньше, чем позже.
  • Избегает дорогостоящих или неприятных ошибок конфиденциальности
  • Предоставляет доказательства того, что организация пыталась предотвратить риски для конфиденциальности (снизить ответственность, негативную рекламу, ущерб репутации)
  • Повышает информированность при принятии решений
  • Помогает организации завоевать доверие и доверие общественности
  • Демонстрирует сотрудникам, подрядчикам, клиентам, гражданам, что организация серьезно относится к конфиденциальности

Реализация [ править ]

PIA включают простой процесс: [8] [9]

  1. Инициирование проекта: определите объем процесса PIA (который зависит от организации и проекта). Если проект находится на ранней стадии, организация может решить провести предварительную PIA, а затем завершить полную PIA, когда она будет полностью запущена.
  2. Анализ потока данных: отображение того, как предлагаемый бизнес-процесс обрабатывает личную информацию , определение кластеров личной информации и создание диаграммы того, как личная информация проходит через организацию в результате рассматриваемой бизнес-деятельности.
  3. Анализ конфиденциальности: персонал, связанный с перемещением личной информации, может заполнять анкеты для анализа конфиденциальности, за которыми следуют обзоры, интервью и обсуждения вопросов конфиденциальности и их последствий.
  4. Отчет об оценке воздействия на конфиденциальность: риски для конфиденциальности и потенциальные последствия документируются, а также обсуждаются возможные меры, которые можно было бы предпринять для снижения или устранения рисков.

История [ править ]

В 1970-х годах Управление оценки технологий США создало Центр оценки технологий ( Technology Assessment, TA) . TA использовалась для определения социальных и социальных последствий новых технологий. Примерно в это же время появилась оценка воздействия на окружающую среду (EIA), реакция на социальный толчок со стороны зеленых движений шестидесятых.. Метод обеих этих оценок воздействия послужил предвестником создания PIA. Заявление о влиянии на конфиденциальность было гораздо менее обширной версией PIA, появившейся в конце восьмидесятых. В течение 1990-х годов возникла необходимость в измерении эффективности безопасности данных компании или организации, особенно с учетом того, что большая часть данных теперь хранится на компьютерах или других электронных платформах. Более обширные PIA стали чаще использоваться корпорациями и правительствами в середине 1990-х годов, а теперь используются организациями по всему миру и несколькими правительствами, включая Новую Зеландию , Канаду , Австралию.и Министерство внутренней безопасности США для оценки риска нарушения конфиденциальности своих систем. Кроме того, несколько других стран и корпораций используют системы оценки, аналогичные PIA, для анализа рисков данных. [10] [11]

PIA Worldwide [ править ]

Соединенные Штаты [ править ]

Закон E-Government 2002 , Раздел 208, устанавливает требование для агентств оценки воздействия на поведение конфиденциальности (PIA) для электронных информационных систем и коллекций. Оценка - это практический метод оценки конфиденциальности в информационных системах и коллекциях, а также документальное подтверждение того, что проблемы конфиденциальности были выявлены и надлежащим образом решены. Этот процесс призван помочь владельцам и разработчикам систем SEC оценивать конфиденциальность на ранних этапах разработки и на протяжении всего жизненного цикла разработки систем (SDLC), чтобы определить, как их проект повлияет на конфиденциальность отдельных лиц и могут ли быть достигнуты цели проекта. а также защищая конфиденциальность. [3]

Европа [ править ]

Европейская комиссия подписала свою первую Систему оценки воздействия на конфиденциальность в контексте технологии RFID в 2011 году. [4] Это послужило основой для последующего признания оценок воздействия на конфиденциальность в Общем регламенте защиты данных (GDPR), который в некоторых случаях теперь требует оценка воздействия на защиту данных (DPIA). Помимо новых ИТ-систем и проектов, подход PIA имеет ценность для структурированных периодических обзоров или аудитов механизмов конфиденциальности организации.

Проект PIAF [ править ]

PIAF (Система оценки воздействия на конфиденциальность для защиты данных и прав на неприкосновенность частной жизни) - это проект, совместно финансируемый Европейской комиссией , цель которого - побудить ЕС и его государства-члены принять прогрессивную политику оценки воздействия на конфиденциальность в качестве средства удовлетворения потребностей и проблем, связанных с: конфиденциальность и обработка персональных данных. [12]

См. Также [ править ]

  • Глобальное наблюдение
    • Масса наблюдения
  • Права человека в киберпространстве
  • Оценка воздействия на
    • Оценка воздействия на окружающую среду
    • Оценка технологий
  • Информационная этика
  • Конфиденциальность информации
  • Тест на проникновение

Ссылки [ править ]

  1. ^ «Проведение оценки воздействия на конфиденциальность» (PDF) . Офис Уполномоченного по информации . Февраль 2014 . Проверено 20 июля, 2016 . CS1 maint: обескураженный параметр ( ссылка )
  2. ^ а б Дэвид Райт (14 ноября 2012 г.). «Современное состояние оценки воздействия на неприкосновенность частной жизни» (PDF) .
  3. ^ a b «Комиссия по ценным бумагам и биржам США» (PDF) .
  4. ^ a b c Комиссия ЕС (12 января 2011 г.). «Структура оценки воздействия на конфиденциальность и защиту данных для приложений RFID» . Европейская комиссия; Политики, информация и услуги; Законы . Проверено 22 декабря 2019 .
  5. ^ Джексон, Дженис; Хокинс, Дональд; Каллахан, Мэри Эллен (26 августа 2011 г.). «Оценка воздействия на конфиденциальность для программы систематической проверки прав иностранцев (SAVE)» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 года . CS1 maint: обескураженный параметр ( ссылка )
  6. ^ Гаффин, Элизабет; Teufel III, Хьюго (1 апреля 2007 г.). «Оценка воздействия на конфиденциальность для проверочной информационной системы, поддерживающей программы проверки» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 года . CS1 maint: обескураженный параметр ( ссылка )
  7. ^ «Руководство по оценке воздействия на конфиденциальность» (PDF) . Проверено 6 января 2017 года . CS1 maint: обескураженный параметр ( ссылка )
  8. ^ a b «Рекомендации по оценке воздействия на конфиденциальность: принципы управления рисками конфиденциальности» . Правительство Канады . Архивировано из оригинального 13 июля 2016 года . Проверено 8 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  9. ^ a b «РУКОВОДСТВО ПО ОЦЕНКЕ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (PIA)» (PDF) . Комиссия по ценным бумагам и биржам США . Проверено 8 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  10. ^ Кларк, Роджер. «История оценок воздействия на конфиденциальность» . Веб-сайт Роджера Кларка . Проверено 8 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  11. Пирсон, Тэнкок, Чарльзуорт, Сиани, Дэвид, Эндрю. «Появление оценок воздействия на конфиденциальность» (PDF) . HP . Проверено 8 июля +2016 . CS1 maint: не рекомендуется параметр ( ссылка ) CS1 maint: несколько имен: список авторов ( ссылка )
  12. ^ "ПИАФ" .