Содержание статьи
Что такое личная информация (PII)
Личная информация (PII) - это юридический термин, относящийся к средам информационной безопасности. Хотя PII имеет несколько формальных определений, в целом это информация, которая может использоваться организациями сама по себе или вместе с другой информацией для идентификации, установления контакта или определения местонахождения отдельного человека или для идентификации человека в контексте.
Нечувствительные PII могут передаваться в незащищенной форме, не причиняя вреда человеку. Конфиденциальная информация PII должна передаваться и храниться в защищенной форме, например, с использованием шифрования, поскольку в случае разглашения она может причинить вред человеку.
Организации используют концепцию PII, чтобы понять, какие данные они хранят, обрабатывают и управляют, которые идентифицируют людей и могут нести дополнительную ответственность, требования безопасности, а в некоторых случаях юридические или нормативные требования.
Информация, позволяющая установить личность (PII) в Законе о конфиденциальности
PII и подобные термины существуют в законодательстве многих стран и территорий:
Что считается PII?
Согласно руководству NIST PII, следующие элементы определенно квалифицируются как PII, потому что они могут однозначно идентифицировать человека: полное имя (если не общее), лицо, домашний адрес, адрес электронной почты, идентификационный номер, номер паспорта, номерной знак транспортного средства, номер водителя лицензия, отпечатки пальцев или почерк, номер кредитной карты, цифровая идентификация, дата рождения, место рождения, генетическая информация, номер телефона, логин или псевдоним.
Что считается информацией, позволяющей установить личность (PII)?
Помимо этих четких идентификаторов, существуют «квазиидентификаторы» или «псевдоидентификаторы», которые вместе с другой информацией могут использоваться для идентификации человека. Например, согласно правительственному исследованию США, 87% населения США можно однозначно идентифицировать по комбинации пола, почтового индекса и даты рождения. Псевдоидентификаторы не могут считаться PII согласно законодательству США, но, вероятно, будут рассматриваться как PII в Европе.
Кто отвечает за защиту PII?
С юридической точки зрения ответственность за защиту PII возлагается не только на организации; ответственность может быть разделена с отдельными владельцами данных. Компании могут нести или не нести юридическую ответственность за принадлежащие им PII.
Однако, согласно исследованию Experian, 42% потребителей считают, что защита их личных данных является обязанностью компании, а 64% потребителей заявили, что они не захотят пользоваться услугами компании после утечки данных. В свете общественного мнения о том, что организации несут ответственность за PII, широко распространена передовая практика защиты PII. Распространенный и эффективный способ сделать это - использовать структуру конфиденциальности данных.
Создание структуры конфиденциальности данных
Структура конфиденциальности данных - это документированная концептуальная структура, которая может помочь предприятиям защитить конфиденциальные данные, такие как платежи, личная информация и интеллектуальная собственность. Структура определяет, как определять конфиденциальные данные, как анализировать риски, влияющие на данные, и как внедрять средства контроля для их защиты.
Несмотря на то, что существуют установленные рамки конфиденциальности данных, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), семейство стандартов ISO 27000 и Общий регламент ЕС по защите данных (GDPR), создание индивидуальной структуры для вашей организации дает преимущества. .
Пользовательская структура защиты данных поможет вам сосредоточить внимание на наиболее конфиденциальных и ценных данных в вашей организации и разработать элементы управления, которые подходят для вашей организационной структуры, культуры, нормативных требований и бюджета безопасности.
Следуйте приведенным ниже инструкциям, чтобы создать настраиваемую структуру конфиденциальности данных.
Классификация
Определите, оцените и классифицируйте PII, которую ваша организация получает, хранит, управляет или передает. Для каждого типа PII определите:
Оценка
Проведите оценку воздействия на конфиденциальность (PIA), чтобы определить для каждого типа, классификации или PII, как они собираются, где они хранятся и как они удаляются, а также потенциальные риски безопасности для каждого типа PII.
Соответствие окружающей среде
Контроль безопасности PII
Структура конфиденциальности данных должна определять, какие меры безопасности необходимо использовать в организации для предотвращения потери или утечки данных:
- Что такое личная информация (PII)
- Информация, позволяющая установить личность (PII) в Законе о конфиденциальности
- Что считается PII?
- Кто отвечает за защиту PII?
- Создание структуры конфиденциальности данных
Что такое личная информация (PII)
Личная информация (PII) - это юридический термин, относящийся к средам информационной безопасности. Хотя PII имеет несколько формальных определений, в целом это информация, которая может использоваться организациями сама по себе или вместе с другой информацией для идентификации, установления контакта или определения местонахождения отдельного человека или для идентификации человека в контексте.
Нечувствительные PII могут передаваться в незащищенной форме, не причиняя вреда человеку. Конфиденциальная информация PII должна передаваться и храниться в защищенной форме, например, с использованием шифрования, поскольку в случае разглашения она может причинить вред человеку.
Организации используют концепцию PII, чтобы понять, какие данные они хранят, обрабатывают и управляют, которые идентифицируют людей и могут нести дополнительную ответственность, требования безопасности, а в некоторых случаях юридические или нормативные требования.
Информация, позволяющая установить личность (PII) в Законе о конфиденциальности
PII и подобные термины существуют в законодательстве многих стран и территорий:
- В США Руководство Национального института стандартов и технологий (NIST) по защите конфиденциальности информации, позволяющей установить личность, определяет «личную информацию» как такую информацию, как имя, номер социального страхования и биометрические записи, которые могут использоваться для различения или проследить личность человека.
- В Европейском Союзе, Директива 95/46 / ЕС определяет «персональные данные» в качестве информации , которая может идентифицировать человека с помощью идентификационного номера, или факторов , характерных для физической, физиологической, психической, экономической, культурной или социальной идентичности.
- В Австралии Закон о конфиденциальности 1988 г. определяет «личную информацию» как информацию или мнение, истинное или нет, о человеке, личность которого очевидна или может быть обоснованно установлена - определение гораздо шире, чем в большинстве других стран.
- В Новой Зеландии Закон о конфиденциальности определяет «личную информацию» как любую часть информации, которая относится к живому, идентифицируемому человеку, включая имена, контактные данные, финансовое здоровье и записи о покупках.
- В Канаде Закон о защите личной информации и электронных документов (PIPEDA) и Закон о конфиденциальности определяют «личную информацию» как данные, которые сами по себе или в сочетании с другими данными могут идентифицировать человека.
Что считается PII?
Согласно руководству NIST PII, следующие элементы определенно квалифицируются как PII, потому что они могут однозначно идентифицировать человека: полное имя (если не общее), лицо, домашний адрес, адрес электронной почты, идентификационный номер, номер паспорта, номерной знак транспортного средства, номер водителя лицензия, отпечатки пальцев или почерк, номер кредитной карты, цифровая идентификация, дата рождения, место рождения, генетическая информация, номер телефона, логин или псевдоним.
Что считается информацией, позволяющей установить личность (PII)?
Помимо этих четких идентификаторов, существуют «квазиидентификаторы» или «псевдоидентификаторы», которые вместе с другой информацией могут использоваться для идентификации человека. Например, согласно правительственному исследованию США, 87% населения США можно однозначно идентифицировать по комбинации пола, почтового индекса и даты рождения. Псевдоидентификаторы не могут считаться PII согласно законодательству США, но, вероятно, будут рассматриваться как PII в Европе.
Кто отвечает за защиту PII?
С юридической точки зрения ответственность за защиту PII возлагается не только на организации; ответственность может быть разделена с отдельными владельцами данных. Компании могут нести или не нести юридическую ответственность за принадлежащие им PII.
Однако, согласно исследованию Experian, 42% потребителей считают, что защита их личных данных является обязанностью компании, а 64% потребителей заявили, что они не захотят пользоваться услугами компании после утечки данных. В свете общественного мнения о том, что организации несут ответственность за PII, широко распространена передовая практика защиты PII. Распространенный и эффективный способ сделать это - использовать структуру конфиденциальности данных.
Создание структуры конфиденциальности данных
Структура конфиденциальности данных - это документированная концептуальная структура, которая может помочь предприятиям защитить конфиденциальные данные, такие как платежи, личная информация и интеллектуальная собственность. Структура определяет, как определять конфиденциальные данные, как анализировать риски, влияющие на данные, и как внедрять средства контроля для их защиты.
Несмотря на то, что существуют установленные рамки конфиденциальности данных, такие как Стандарт безопасности данных индустрии платежных карт (PCI DSS), семейство стандартов ISO 27000 и Общий регламент ЕС по защите данных (GDPR), создание индивидуальной структуры для вашей организации дает преимущества. .
Пользовательская структура защиты данных поможет вам сосредоточить внимание на наиболее конфиденциальных и ценных данных в вашей организации и разработать элементы управления, которые подходят для вашей организационной структуры, культуры, нормативных требований и бюджета безопасности.
Следуйте приведенным ниже инструкциям, чтобы создать настраиваемую структуру конфиденциальности данных.
Классификация
Определите, оцените и классифицируйте PII, которую ваша организация получает, хранит, управляет или передает. Для каждого типа PII определите:
- Требуемый уровень конфиденциальности
- Насколько важны данные для целостности - что произойдет, если они будут потеряны или повреждены
- Насколько важно, чтобы данные всегда были доступны
- Какой уровень согласия организация получила в отношении данных
Оценка
Проведите оценку воздействия на конфиденциальность (PIA), чтобы определить для каждого типа, классификации или PII, как они собираются, где они хранятся и как они удаляются, а также потенциальные риски безопасности для каждого типа PII.
Соответствие окружающей среде
- Определите свои законодательные обязательства по соблюдению PII на территориях, на которых работает ваша организация.
- Определите добровольные стандарты, которым вы должны соответствовать, например PCI DSS.
- Определите политику безопасности и ответственности вашей организации в отношении сторонних продуктов и услуг, например, облачных сервисов хранения.
Контроль безопасности PII
Структура конфиденциальности данных должна определять, какие меры безопасности необходимо использовать в организации для предотвращения потери или утечки данных:
- Управление изменениями - отслеживание и аудит изменений в конфигурации ИТ-систем, которые могут иметь последствия для безопасности, такие как добавление / удаление учетных записей пользователей.
- Предотвращение потери данных - внедрение систем, которые могут отслеживать конфиденциальные данные, передаваемые внутри организации или за ее пределами, и выявлять неестественные закономерности, которые могут указывать на нарушение.
- Маскирование данных - обеспечение того, чтобы данные сохранялись или передавались с минимально необходимыми деталями для конкретной транзакции, при этом другие детали были замаскированы или опущены.
- Этические барьеры - внедрение механизмов проверки, чтобы определенные отделы или отдельные лица в организации не могли просматривать PII, которая не имеет отношения к их работе или может создать конфликт интересов.
- Мониторинг привилегированных пользователей - мониторинг всего привилегированного доступа к файлам и базам данных, создания пользователей и вновь предоставленных привилегий, блокирование и предупреждение при обнаружении подозрительной активности.
- Аудит доступа к конфиденциальным данным - параллельно с мониторингом действий привилегированных пользователей, мониторинг и аудит всего доступа к конфиденциальным данным, блокировка и предупреждение о подозрительной или аномальной активности.
- Безопасное архивирование контрольного журнала - гарантия того, что любая деятельность, проводимая в отношении PII или в связи с ней, проверяется и сохраняется в течение 1-7 лет для юридических целей или соблюдения нормативных требований, а также для обеспечения возможности судебного расследования инцидентов безопасности.
- Управление правами пользователей - выявление чрезмерных, несоответствующих или неиспользованных прав пользователей и принятие корректирующих мер, например удаление учетных записей пользователей, которые не использовались в течение нескольких месяцев.
- Отслеживание пользователей - реализация способов отслеживания активности пользователей в Интернете и при использовании организационных систем для выявления небрежного раскрытия конфиденциальных данных, взлома учетных записей пользователей или злонамеренных инсайдеров.
