Оценка влияния на конфиденциальность

PIA Оценка воздействия на конфиденциальность ( , ) — это процесс, который помогает организациям выявлять и управлять рисками конфиденциальности возникающими в результате новых проектов, инициатив, систем, процессов, стратегий, политик, деловых отношений и т. д. ^[1] Это приносит пользу различным заинтересованным сторонам, включая саму организацию и клиентов, во многих отношениях. ^[2] В США и Европе были приняты правила, предписывающие и стандартизирующие оценку воздействия на конфиденциальность. ^[3]^[4]

Обзор

Оценка воздействия на конфиденциальность — это тип оценки воздействия, проводимый организацией (как правило, государственным учреждением или корпорацией, имеющей доступ к большому объему конфиденциальных частных данных о людях, находящихся в ее системе или проходящих через нее). Организация проверяет свои собственные процессы, чтобы определить, как эти процессы влияют или могут поставить под угрозу конфиденциальность лиц, чьи данные она хранит, собирает или обрабатывает. PIA проводились различными подразделениями Министерства внутренней безопасности США (DHS). ^[5]^[6] и методы их проведения стандартизированы. ^[4]

PIA обычно разрабатывается для достижения трех основных целей:

Обеспечьте соблюдение применимых законодательных, нормативных и политических требований в отношении конфиденциальности.
Выявлять и оценивать риски нарушения конфиденциальности или других инцидентов и последствий.
Определите соответствующие средства контроля конфиденциальности для снижения неприемлемых рисков.

Отчет о влиянии на конфиденциальность направлен на то, чтобы идентифицировать и записать основные компоненты любой предлагаемой системы, содержащей значительные объемы личной информации, а также установить, как можно управлять рисками конфиденциальности, связанными с этой системой. ^[7] PIA иногда выходит за рамки оценки «системы» и учитывает критические «нисходящие» последствия для людей, на которых предложение каким-то образом влияет. ^[8]

Цель

Поскольку PIA касается способности организации обеспечивать безопасность частной информации, PIA следует заполнять всякий раз, когда указанная организация владеет личной информацией о своих сотрудниках, клиентах, клиентах, деловых контактах и т. д. Хотя юридические определения различаются, личная информация обычно включает в себя личные данные человека. : имя, возраст, номер телефона, адрес электронной почты, пол, информация о здоровье. PIA также следует проводить всякий раз, когда организация обладает информацией, которая в противном случае является конфиденциальной, или если системы контроля безопасности, защищающие частную или конфиденциальную информацию, претерпевают изменения, которые могут привести к нарушениям конфиденциальности. ^[9]^[10]

Преимущества

Согласно презентации на конгрессе Международной ассоциации специалистов по конфиденциальности , PIA имеет следующие преимущества: ^[2]

Обеспечивает систему раннего предупреждения — способ обнаружить проблемы с конфиденциальностью, создать защитные меры до, а не после крупных инвестиций, и устранить проблемы с конфиденциальностью раньше, чем позже.
Избегает дорогостоящих или досадных ошибок конфиденциальности.
Предоставляет доказательства того, что организация пыталась предотвратить риски конфиденциальности (уменьшить ответственность, негативную огласку, ущерб репутации).
Улучшает принятие обоснованных решений
Помогает организации завоевать доверие общественности
Демонстрирует сотрудникам, подрядчикам, клиентам, гражданам, что организация серьезно относится к конфиденциальности.

Выполнение

PIA включают в себя простой процесс: ^[9]^[10]

Инициирование проекта: определите объем процесса PIA (который варьируется в зависимости от организации и проекта). Если проект находится на ранней стадии, организация может решить провести предварительную ОЭП, а затем завершить полную ОЭП, как только она будет полностью запущена.
Анализ потока данных: определение того, как предлагаемый бизнес-процесс обрабатывает личную информацию , определение кластеров личной информации и создание диаграммы того, как личная информация проходит через организацию в результате рассматриваемой бизнес-деятельности.
Анализ конфиденциальности: сотрудники, участвующие в перемещении личной информации, могут заполнять анкеты для анализа конфиденциальности, после чего следует проводить обзоры, интервью и обсуждения вопросов и последствий конфиденциальности.
Отчет об оценке воздействия на конфиденциальность: документируются риски конфиденциальности и потенциальные последствия, а также обсуждаются возможные усилия, которые можно предпринять для смягчения или устранения рисков.

История

В 1970-х годах Управление по оценке технологий США создало Службу оценки технологий (TA) . ТА использовалась для определения социальных и социальных последствий новых технологий. Точно так же примерно в это же время появилась «Оценка воздействия на окружающую среду» (ОВОС) – реакция на социальный толчок со стороны зеленых движений шестидесятых годов . Метод обеих этих оценок воздействия послужил предшественником создания PIA.Заявление о влиянии на конфиденциальность было гораздо менее обширной версией PIA, появившейся в конце восьмидесятых. В 1990-е годы возникла необходимость измерения эффективности безопасности данных компании или организации, особенно с учетом того, что большая часть данных сейчас хранится на компьютерах или других электронных платформах. Более обширные PIA начали чаще использоваться корпорациями и правительствами в середине 1990-х годов, а теперь используются организациями по всему миру, а также правительствами нескольких стран, включая Новую Зеландию , Канаду , Австралию и Министерство внутренней безопасности США. для оценки риска конфиденциальности своих систем. Кроме того, некоторые другие страны и корпорации используют системы оценки, аналогичные PIA, для анализа рисков данных. ^[11]^[12]

PIA по всему миру

Соединенные Штаты

Закон об электронном правительстве 2002 года , раздел 208, устанавливает требование к агентствам проводить оценки воздействия на конфиденциальность (PIA) для электронных информационных систем и коллекций. Оценка представляет собой практический метод оценки конфиденциальности в информационных системах и коллекциях, а также документальное подтверждение того, что проблемы конфиденциальности были выявлены и адекватно решены. Этот процесс предназначен для того, чтобы помочь владельцам и разработчикам систем SEC оценить конфиденциальность на ранних стадиях разработки и на протяжении всего жизненного цикла разработки систем (SDLC), чтобы определить, как их проект повлияет на конфиденциальность отдельных лиц и могут ли быть достигнуты цели проекта. одновременно защищая конфиденциальность. ^[3]

Европа

Европейская комиссия подписала свою первую Рамочную программу оценки воздействия на конфиденциальность в контексте технологии RFID в 2011 году. ^[4] Это послужило основой для последующего признания оценки воздействия на конфиденциальность в Общем регламенте защиты данных (GDPR), который в настоящее время в некоторых случаях требует проведения оценки воздействия на защиту данных (DPIA). Помимо новых ИТ-систем и проектов, подход PIA имеет ценность для структурированных периодических проверок или аудитов мер по обеспечению конфиденциальности в организации.

Проект ПИАФ

PIAF (Система оценки воздействия на конфиденциальность для защиты данных и прав на неприкосновенность частной жизни) — это Европейской комиссией проект, совместно финансируемый , целью которого является поощрение ЕС и его государств-членов к принятию прогрессивной политики оценки воздействия на конфиденциальность в качестве средства удовлетворения потребностей и решения проблем, связанных с конфиденциальность и обработку персональных данных. ^[13]

См. также

Ссылки

^ «Свод правил проведения оценок воздействия на конфиденциальность» (PDF) . Управление комиссара по информации . Февраль 2014 года . Проверено 20 июля 2016 г.
^ Jump up to: ^а ^б Дэвид Райт (14 ноября 2012 г.). «Современное состояние оценки воздействия на конфиденциальность» (PDF) .
^ Jump up to: ^а ^б «Комиссия США по ценным бумагам и биржам» (PDF) .
^ Jump up to: ^а ^б ^с Комиссия ЕС (12 января 2011 г.). «Схема оценки воздействия на конфиденциальность и защиту данных для приложений RFID» . Европейская комиссия; Политика, информация и услуги; Законы . Проверено 22 декабря 2019 г.
^ Джексон, Дженис; Хокинс, Дональд; Каллахан, Мэри Эллен (26 августа 2011 г.). «Оценка воздействия на конфиденциальность программы систематической проверки прав иностранцев (SAVE)» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 г.
^ Гаффин, Элизабет; Тойфель III, Гюго (1 апреля 2007 г.). «Оценка воздействия на конфиденциальность информационной системы проверки, поддерживающей программы проверки» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 г.
^ «Оценка воздействия на конфиденциальность — важный инструмент защиты данных» . АСПЕ . Проверено 14 августа 2023 г.
^ «Руководство по оценке воздействия на конфиденциальность» (PDF) . Проверено 6 января 2017 г.
^ Jump up to: ^а ^б «Руководство по оценке воздействия на конфиденциальность: принципы управления рисками конфиденциальности» . Правительство Канады . Архивировано из оригинала 13 июля 2016 года . Проверено 8 июля 2016 г.
^ Jump up to: ^а ^б «РУКОВОДСТВО ПО ОЦЕНКЕ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (PIA)» (PDF) . Комиссия по ценным бумагам и биржам США . Проверено 8 июля 2016 г.
^ Кларк, Роджер. «История оценок воздействия на конфиденциальность» . Веб-сайт Роджера Кларка . Проверено 8 июля 2016 г.
^ Пирсон, Танкок, Чарльзуорт, Сиани, Дэвид, Эндрю. «Появление оценок воздействия на конфиденциальность» (PDF) . ХП . Проверено 8 июля 2016 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ «ПИАФ» .

[1] «Свод правил проведения оценок воздействия на конфиденциальность» (PDF) . Управление комиссара по информации . Февраль 2014 года . Проверено 20 июля 2016 г.

[:1-2] Jump up to: ^а ^б Дэвид Райт (14 ноября 2012 г.). «Современное состояние оценки воздействия на конфиденциальность» (PDF) .

[:2-3] Jump up to: ^а ^б «Комиссия США по ценным бумагам и биржам» (PDF) .

[:0-4] Jump up to: ^а ^б ^с Комиссия ЕС (12 января 2011 г.). «Схема оценки воздействия на конфиденциальность и защиту данных для приложений RFID» . Европейская комиссия; Политика, информация и услуги; Законы . Проверено 22 декабря 2019 г.

[save-pia-5] Джексон, Дженис; Хокинс, Дональд; Каллахан, Мэри Эллен (26 августа 2011 г.). «Оценка воздействия на конфиденциальность программы систематической проверки прав иностранцев (SAVE)» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 г.

[vis-pia-6] Гаффин, Элизабет; Тойфель III, Гюго (1 апреля 2007 г.). «Оценка воздействия на конфиденциальность информационной системы проверки, поддерживающей программы проверки» (PDF) . Министерство внутренней безопасности США . Проверено 13 мая 2016 г.

[7] «Оценка воздействия на конфиденциальность — важный инструмент защиты данных» . АСПЕ . Проверено 14 августа 2023 г.

[handbook-8] «Руководство по оценке воздействия на конфиденциальность» (PDF) . Проверено 6 января 2017 г.

[Canada-9] Jump up to: ^а ^б «Руководство по оценке воздействия на конфиденциальность: принципы управления рисками конфиденциальности» . Правительство Канады . Архивировано из оригинала 13 июля 2016 года . Проверено 8 июля 2016 г.

[SecCom-10] Jump up to: ^а ^б «РУКОВОДСТВО ПО ОЦЕНКЕ ВОЗДЕЙСТВИЯ НА КОНФИДЕНЦИАЛЬНОСТЬ (PIA)» (PDF) . Комиссия по ценным бумагам и биржам США . Проверено 8 июля 2016 г.

[Rod_Clarke-11] Кларк, Роджер. «История оценок воздействия на конфиденциальность» . Веб-сайт Роджера Кларка . Проверено 8 июля 2016 г.

[HP_Doc-12] Пирсон, Танкок, Чарльзуорт, Сиани, Дэвид, Эндрю. «Появление оценок воздействия на конфиденциальность» (PDF) . ХП . Проверено 8 июля 2016 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )

[13] «ПИАФ» .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]