Оценка воздействия на конфиденциальность

A Оценка воздействия на конфиденциальность (PIA ) - это процесс, который помогает организациям выявлять и управлять рисками конфиденциальности, возникающими в результате новых проектов, инициатив, систем, процессы, стратегии, политики, деловые отношения и т. д. Это приносит пользу различным заинтересованным сторонам, включая саму организацию и клиентов, во многих отношениях. В Соединенных Штатах и ​​Европе были выпущены политики, предписывающие и стандартизирующие оценки воздействия на конфиденциальность.

• 1 Обзор
• 2 Цель
• 3 Преимущества
• 4 Внедрение
• 5 История
• 6 PIA Worldwide
  • 6.1 США
  • 6.2 Европа
    • 6.2. 1 Проект PIAF
• 7 См. Также
• 8 Ссылки

A Оценка воздействия на конфиденциальность - это тип оценки воздействия, проводимой организацией (обычно правительственным учреждением или корпорация, имеющая доступ к большому количеству конфиденциальных частных данных о лицах, находящихся в ее системе или проходящих через нее). Организация анализирует свои собственные процессы, чтобы определить, как эти процессы влияют или могут поставить под угрозу конфиденциальность лиц, данные которых она хранит, собирает или обрабатывает. PIA были проведены различными субагентствами США. Министерство внутренней безопасности (DHS) и методы их проведения стандартизированы.

PIA обычно разрабатывается для достижения трех основных целей:

1. Обеспечение соответствия применимым законодательным, нормативным и политическим требованиям в отношении конфиденциальности;
2. Выявление и оценка рисков нарушения конфиденциальности или других инциденты и последствия; и
3. Определить соответствующие меры контроля конфиденциальности для снижения неприемлемых рисков.

Отчет о воздействии на конфиденциальность направлен на выявление и запись основных компонентов любой предлагаемой системы, содержащей значительные объемы личной информации, и определение того, как риски конфиденциальности, связанные с этой системой можно управлять. Иногда PIA выходит за рамки оценки «системы» и рассматривает критическое «последующее» воздействие на людей, на которых каким-то образом влияет предложение.

Поскольку PIA касается организации способность сохранять конфиденциальную информацию в безопасности, PIA следует заполнять всякий раз, когда указанная организация владеет личной информацией о своих сотрудниках, клиентах, клиентах и ​​деловых контактах и ​​т. д. Хотя юридические определения различаются, личная информация обычно включает в себя: имя, возраст, номер телефона, адрес электронной почты, пол, медицинская информация. PIA также следует проводить всякий раз, когда организация обладает конфиденциальной информацией или если системы контроля безопасности, защищающие конфиденциальную или конфиденциальную информацию, претерпевают изменения, которые могут привести к нарушениям конфиденциальности.

Согласно презентации на конгрессе Международной ассоциации профессионалов конфиденциальности, PIA имеет следующие преимущества:

• Предоставляет систему раннего предупреждения - способ обнаружения проблем с конфиденциальностью, создания мер безопасности до, а не после инвестиций, и устранять проблемы с конфиденциальностью раньше, чем позже
• Избегает дорогостоящих или неприятных ошибок в отношении конфиденциальности
• Предоставляет доказательства того, что организация пыталась предотвратить риски конфиденциальности (снизить ответственность, негативную рекламу, ущерб репутации)
• Повышает уровень информированности при принятии решений
• Помогает организации завоевать доверие и доверие общественности
• Демонстрирует сотрудникам, подрядчикам, клиентам, гражданам, что организация серьезно относится к конфиденциальности ly

PIA включают простой процесс:

1. Инициирование проекта; определить объем процесса PIA (который зависит от организации и проекта). Если проект находится на ранней стадии, организация может выбрать предварительную PIA, а затем выполнить полную PIA, когда она будет полностью запущена.
2. Анализ потока данных; отображение того, как предлагаемый бизнес-процесс обрабатывает личную информацию, определение кластеров личной информации и создание диаграммы того, как личная информация проходит через организацию в качестве результат рассматриваемой коммерческой деятельности.
3. Анализ конфиденциальности; персонал, связанный с перемещением личной информации, может заполнять анкеты для анализа конфиденциальности с последующими обзорами, интервью и обсуждениями вопросов конфиденциальности и их последствий.
4. Отчет об оценке воздействия на конфиденциальность; документируются риски конфиденциальности и потенциальные последствия, а также обсуждаются возможные меры, которые можно было бы предпринять для снижения или устранения рисков.

В 1970-х годах Оценка технологий (TA) был создан Офисом оценки технологий США. TA использовалась для определения социальных и социальных последствий новых технологий. Примерно в это же время появилась оценка воздействия на окружающую среду (ОВОС), реакция на социальный толчок шестидесятых годов Зеленые движения. Метод обеих этих оценок воздействия послужил предвестником создания PIA. Заявление о влиянии на конфиденциальность было гораздо менее обширной версией PIA, появившейся в конце восьмидесятых. В течение 1990-х годов возникла необходимость в измерении эффективности безопасности данных компании или организации, особенно с учетом того, что большая часть данных теперь хранится на компьютерах или других электронных платформах. Более обширные PIA стали чаще использоваться корпорациями и правительствами в середине 1990-х годов, а теперь используются организациями по всему миру и несколькими правительствами, включая Новую Зеландию, Канаду, Австралия и Министерство внутренней безопасности США для оценки риска нарушения конфиденциальности своих систем. Кроме того, несколько других стран и корпораций используют системы оценки, аналогичные PIA, для анализа рисков данных.

США

Закон об электронном правительстве 2002 г., раздел 208 устанавливает требование к агентствам проводить оценки воздействия на конфиденциальность (PIA) для электронных информационных систем и коллекций. Оценка - это практический метод оценки конфиденциальности в информационных системах и коллекциях, а также документальное подтверждение того, что проблемы конфиденциальности были выявлены и надлежащим образом решены. Этот процесс призван помочь владельцам и разработчикам систем SEC оценивать конфиденциальность на ранних этапах разработки и в течение жизненного цикла разработки систем (SDLC), чтобы определить, как их проект повлияет на конфиденциальность людей и будет ли цели проекта могут быть достигнуты при одновременной защите конфиденциальности.

Европа

Европейская комиссия подписала свою первую Рамочную программу для оценки воздействия на конфиденциальность в контексте технологии RFID в 2011 году. Это послужило основой для позднее признать оценки воздействия на конфиденциальность в Общем регламенте защиты данных (GDPR), который в некоторых случаях теперь требует проведения оценки воздействия на защиту данных (DPIA). Помимо новых ИТ-систем и проектов, подход PIA имеет ценность для структурированных, периодических обзоров или аудитов механизмов конфиденциальности организации.

Проект PIAF

PIAF (Система оценки воздействия на конфиденциальность для защиты данных и прав на неприкосновенность частной жизни) - это совместно финансируемый Европейской комиссией проект, направленный на поощрение ЕС и его государства-члены принять политику прогрессивной оценки воздействия на конфиденциальность как средство решения проблем, связанных с конфиденциальностью и обработкой персональных данных.

• Глобальное наблюдение
  • Массовое наблюдение
• Права человека в киберпространстве
• Оценка воздействия
  • Оценка воздействия на окружающую среду
  • Оценка технологий
• Информационная этика
• Конфиденциальность информации
• Тест на проникновение