NIST Privacy Framework

Il NIST Privacy Framework è uno strumento volontario creato dal National Institute of Standards and Technology, che delinea strategie per le organizzazioni del settore privato per migliorare le loro pratiche di gestione del rischio dei dati.

Lo scopo del framework è aiutare le organizzazioni a mantenere le loro pratiche di gestione dei dati sicure, private e legalmente conformi a tutti i livelli organizzativi ed era destinato a decisori di livello C senza background tecnico.

Il NIST Privacy Framework, rilasciato a gennaio 2020, segue la stessa struttura del NIST 2014 Cybersecurity Framework per incoraggiare le organizzazioni a utilizzarli insieme. Come il Cybersecurity Framework, il Privacy Framework è composto da tre sezioni principali: Core, Profili e Livelli di implementazione.

Il progetto Nucleo è l'organismo di specifiche attività di tutela della privacy raccomandate dal NIST.
Profili valutare le pratiche e le risorse esistenti e confrontarle con la riservatezza dei dati dell'organizzazione
Implementazione Tiers sono una scala per misurare la misura in cui un'organizzazione presenta le caratteristiche del framework.

Il Privacy Framework non è una soluzione unica per la gestione della privacy. Trattandosi di uno strumento volontario e non di un regolamento o di una legge, le organizzazioni possono scegliere di adottare o ignorare qualsiasi suo contenuto. L'utilizzo del framework in una certa misura è consigliato a tutte le organizzazioni che raccolgono ed elaborano i dati dei clienti, in particolare quelle che raccolgono dati sensibili.

La raccolta e l'utilizzo dei dati dei clienti sono una parte fondamentale di molte tecnologie vantaggiose per i consumatori. Tuttavia, la raccolta e l'archiviazione dei dati personali, in particolare i dati sensibili, possono comportare seri rischi sia per i clienti che per le organizzazioni se non adeguatamente protetti. Pertanto, il NIST ha redatto il Privacy Framework per aiutare le organizzazioni a proteggere sia loro che i consumatori dalle conseguenze del maltrattamento dei dati, senza scoraggiare l'innovazione.

Struttura del quadro

La struttura del NIST Privacy Framework può essere suddivisa come segue.

Nucleo. Il corpo delle attività e dei risultati di protezione della privacy individuale. Il Core è diviso in tre elementi: funzioni, categorie e sottocategorie. Le funzioni sono l'unità più grande e sono suddivise ulteriormente in categorie e sottocategorie.

funzioni organizzare gruppi di attività sulla privacy per scopi generali. La -P mostra che si tratta di funzioni nel Privacy Framework Core, da non confondere con quelle del Cybersecurity Framework Core.
Categorie sono suddivisioni di una funzione in gruppi correlati.
Sotto-categorie sono ulteriori suddivisioni di categorie in risultati specifici delle attività di gestione della privacy.

Struttura centrale del NIST

NIST

Struttura del nucleo

Profili. Selezione prioritaria delle attività di gestione del rischio per la privacy. I profili utilizzano una selezione personalizzata di funzioni, categorie e sottocategorie con priorità dal Core per definire un profilo corrente delle attività di gestione della privacy e un profilo di destinazione della preparazione alla gestione della privacy. Per identificare le lacune nel loro approccio alla gestione della privacy, sviluppare un piano concreto per colmarle e identificare le risorse necessarie.

Livelli di implementazione. Una scala utilizzata per valutare la misura in cui un'organizzazione presenta le caratteristiche del Privacy Framework. I livelli di implementazione possono essere utilizzati come parametri di riferimento per il progresso e per comprendere la scala delle risorse e dei processi. I livelli di implementazione includono quattro tipi:

Parziale (Livello 1)
- Le misure di gestione del rischio non sono formalizzate e solo quando necessario.
- Consapevolezza limitata del rischio per la privacy.
- Comprensione limitata del ruolo di un'organizzazione nei rischi per la privacy.
- Mancanza di responsabilità specifiche per la gestione del rischio della privacy nel personale.
Informato sul rischio (Livello 2)
- Pratiche di gestione del rischio approvate dalla direzione ma non inequivocabilmente accettate a livello di organizzazione.
- Consapevolezza a livello organizzativo del rischio per la privacy, ma nessun approccio formale in vigore.
- Comprensione dei rischi di un'organizzazione in relazione ai propri prodotti e servizi offerti e utilizzati, ma nessuna azione coerente intrapresa.
- Comprensione limitata del ruolo di un'organizzazione nell'ecosistema di elaborazione dei dati.
- Personale con alcune responsabilità in materia di privacy, formazione regolare sulla privacy in atto, tuttavia, nessun processo coerente da monitorare per le migliori pratiche.
Ripetibile (Livello 3)
- Pratiche di gestione del rischio per la privacy implementate come politica formale.
- Attuazione di pratiche di gestione del rischio per la privacy a livello di organizzazione.
- L'organizzazione comprende il proprio ruolo nell'ecosistema di elaborazione dei dati e può contribuire a una più ampia comprensione dei rischi nella comunità.
- L'organizzazione è consapevole dei rischi derivanti dai propri prodotti e servizi offerti e utilizzati e intraprende azioni formali per ridurli al minimo.
- Personale dedicato alla gestione della privacy nel personale.
Adattivo (Livello 4)
- L'organizzazione adatta le proprie politiche e pratiche ai rischi per la privacy nuovi ed esistenti.
- L'approccio alla gestione del rischio per la privacy è completo e esteso a tutta l'organizzazione.
- Agisce costantemente sui rischi per la privacy a cui è associato.
- Contribuisce alla comprensione da parte della comunità dei rischi per la privacy.

NIST Privacy Framework vs. NIST Cybersecurity Framework

Il NIST Privacy Framework segue la stessa struttura del 2014 Cybersecurity Framework (Core, Profiles, Tiers) per incoraggiare l'uso dei due framework in tandem.

Funzioni principali del NIST

NIST

Diagramma che mostra le funzioni principali sovrapposte tra il quadro per la privacy e il quadro per la sicurezza informatica

Sebbene la gestione dei rischi per la sicurezza informatica contribuisca a gestire il rischio complessivo della privacy delle informazioni di un'organizzazione, il NIST Cybersecurity Framework, di per sé, non è sufficiente per gestirlo in modo efficace. Questo perché esistono rischi per la privacy non correlati alla sicurezza informatica. Il NIST definisce i rischi per la sicurezza informatica come associati a incidenti di sicurezza informatica derivanti dalla perdita di riservatezza, integrità o disponibilità. I rischi per la privacy sono definiti come potenziali problemi che le persone potrebbero incontrare a causa di operazioni di sistema, prodotto o servizio con i dati.

Tuttavia, i rischi per la privacy legati alla sicurezza informatica sono un'area di sovrapposizione tra questi due quadri e includono eventi come le violazioni dei dati. Secondo il sito web del NIST, Protect-P from the Privacy Framework, insieme a Detect, Respond and Recover del Cybersecurity Framework, funzioni per la gestione dei rischi per la privacy legati alla sicurezza informatica.

I casi d'uso

Il NIST Privacy Framework ha lo scopo di aprire il dialogo sulla sicurezza dei dati a tutti i livelli organizzativi ed è stato redatto in particolare con i decisori di livello C senza precedenti tecnici in mente.

Il framework può aiutare le organizzazioni:

ottimizzare l'innovazione tecnologica e l'utilizzo dei dati, riducendo al minimo i rischi associati per le organizzazioni;
supportare il processo decisionale etico nelle operazioni che influiscono sulla gestione della privacy;
rispettare determinate leggi, come il California Consumer Privacy Act (CCPA) e il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE);
pianificare, progettare e implementare prodotti e servizi che danno la priorità alla privacy dei dati;
informare le decisioni di acquisto di prodotti e servizi relativi alla privacy dei dati; e
stabilire o migliorare le politiche o il programma sulla privacy di un'organizzazione.