NIST Privacy Framework



por

O NIST Privacy Framework é uma ferramenta voluntária criada pelo Instituto Nacional de Padrões e Tecnologia, que estabelece estratégias para organizações do setor privado para melhorar suas práticas de gerenciamento de risco de dados.

A Estrutura de Privacidade NIST, lançada em janeiro de 2020, segue a mesma estrutura da Estrutura de Segurança Cibernética NIST 2014 para encorajar as organizações a usá-la em conjunto. Assim como o Cybersecurity Framework, o Privacy Framework é composto por três seções principais: Core, Profiles and Implementation Tiers.

  • The Core é o conjunto de atividades específicas de proteção de privacidade recomendadas pelo NIST.
  • > forte>Perfis avalia as práticas e recursos existentes, e compara-os com a privacidade de dados da organização
  • > forte>Implementação Tiers são uma escala para medir até que ponto uma organização exibe características da estrutura.

A Estrutura de Privacidade não é uma solução de tamanho único para a gestão da privacidade. Como é uma ferramenta voluntária e não um regulamento ou lei, as organizações podem optar por adotar ou ignorar qualquer um de seus conteúdos. O uso da estrutura até certo ponto é recomendado para todas as organizações que coletam e processam dados de clientes -- especialmente aquelas que coletam dados sensíveis.

A coleta e o uso de dados de clientes são uma parte fundamental de muitas tecnologias benéficas para o consumidor.  Entretanto, a coleta e o armazenamento de dados pessoais, especialmente dados sensíveis, podem ter sérios riscos tanto para os clientes quanto para as organizações se não forem devidamente assegurados. Portanto, NIST elaborou a Estrutura de Privacidade para ajudar as organizações a protegê-los e ao consumidor das consequências do mau tratamento de dados, sem desencorajar a inovação.

Estrutura da Estrutura de Privacidade

A estrutura da Estrutura de Privacidade NIST pode ser decomposta da seguinte forma.

> forte>Core. O conjunto de actividades e resultados da protecção da privacidade individual. O Núcleo está dividido em três elementos: funções, categorias e subcategorias. As funções são a maior unidade e são divididas em categorias e subcategorias.

  • Funções organizar grupos de atividades de proteção de privacidade por amplo propósito. O -P mostra que estas são funções do Privacy Framework Core, não devem ser confundidas com as do Cybersecurity Framework Core.
      • >forte>Identify-P. Desenvolve a compreensão da organização sobre os potenciais riscos de privacidade em suas operações. Inclui avaliações de risco e compreensão dos clientes.
      • Govern-P. Desenvolve uma compreensão contínua das prioridades de risco para a privacidade de uma organização. Focaliza as políticas de privacidade, considerações legais e regulamentares, e tolerância ao risco.
      • >forte>Control-P. Focus no desenvolvimento e implementação de atividades para a gestão de riscos à privacidade, tanto do ponto de vista da organização como do indivíduo.
      • >>strong>Communicate-P. Focus na educação contínua dentro da organização sobre práticas e riscos adequados de processamento de dados de clientes.
      • Proteger-P. Develops and implements data processing protection measures.
  • Categories are subdivisions of a function into related groups.
  • Subcategories are further subdivisions of categories into specific outcomes of privacy management activities. 

NIST core structure

NIST

Structure of the core

Profiles. Prioritized selection of privacy risk management activities. Os perfis usam uma seleção personalizada de funções, categorias e subcategorias priorizadas do Core para definir um perfil atual de atividades de gerenciamento da privacidade e um Perfil Alvo de preparação de gerenciamento da privacidade. Para identificar lacunas em sua abordagem de gestão de privacidade, desenvolva um plano concreto para superá-las e identifique os recursos necessários.

>forte>Tampos de Implementação. Uma escala usada para avaliar até que ponto uma organização exibe as características do Privacy Framework. Os níveis de implementação podem ser usados como referência para o progresso e para compreender a escala de recursos e processos. Os níveis de implementação incluem quatro tipos:

  • >forte>Parcial (Nível 1)
    • As medidas de gerenciamento de risco não são formalizadas e somente quando necessário.>Conhecimento limitado do risco à privacidade.
  • Conhecimento limitado do papel de uma organização nos riscos à privacidade.
  • Sem responsabilidades específicas de gerenciamento de risco à privacidade no pessoal.

Risk Informed (Tier 2)

  • Risk management practices approved by management but not unequivocally accepted on an organizationwide level.
  • Organizational-level awareness of privacy risk but no formal approach in effect.
  • Understanding of an organization's risks in regard to its own products and services offered and used but no consistent action taken.
  • Limited understanding of an organization's role in the data processing ecosystem.
  • Personnel with some privacy responsibilities, regular privacy training in place -- however, no consistent processes to monitor for best practices.

Repeatable (Tier 3)

  • Privacy risk management practices implemented as formal policy.
  • Práticas de gestão de riscos à privacidade em toda a organização.
  • A organização compreende o seu papel no ecossistema de processamento de dados e pode contribuir para uma maior compreensão dos riscos na comunidade.
  • A organização está consciente dos riscos resultantes dos seus próprios produtos e serviços oferecidos e utilizados e toma medidas formais para os minimizar.
  • Pessoal dedicado à gestão da privacidade na equipe.

>forte>Adaptativo (Tier 4)

  • A organização adapta suas políticas e práticas aos riscos de privacidade novos e existentes.
  • A abordagem ao gerenciamento dos riscos de privacidade é abrangente e abrangente em toda a organização.
  • Aja de forma consistente com os riscos de privacidade a que está associada.
  • Contribui para o entendimento da comunidade sobre os riscos à privacidade.

NIST Privacy Framework vs. NIST Cybersecurity Framework

O NIST Privacy Framework segue a mesma estrutura do Cybersecurity Framework 2014 (Core, Profiles, Tiers) para encorajar o uso das duas estruturas em conjunto.

NIST core functions

NIST

Diagrama mostrando funções Core sobrepostas entre o NIST Cybersecurity Framework e o Cybersecurity Framework

Embora o gerenciamento dos riscos de cibersegurança contribua para o gerenciamento do risco geral da privacidade da informação de uma organização, o NIST Cybersecurity Framework, por si só, não é suficiente para gerenciá-lo efetivamente. Isto porque existem riscos de privacidade não relacionados à ciber-segurança. A NIST define os riscos de cibersegurança como associados a incidentes de cibersegurança decorrentes da perda de confidencialidade, integridade ou disponibilidade. Os riscos à privacidade são definidos como problemas potenciais que as pessoas poderiam experimentar em decorrência de operações de sistema, produto ou serviço com dados.

Os riscos à privacidade relacionados à cibersegurança são uma área de sobreposição entre essas duas estruturas, no entanto, e incluem eventos como violações de dados. De acordo com o site do NIST, Protect-P do Privacy Framework, juntamente com o Cybersecurity Framework's Detect, Respond and Recover, funções para o gerenciamento dos riscos de privacidade relacionados à cibersegurança.

Use cases

O NIST Privacy Framework tem como objetivo abrir o diálogo sobre segurança de dados em todos os níveis organizacionais e foi elaborado especialmente com tomadores de decisão de nível C, sem ter em mente os antecedentes técnicos.

O NIST Privacy Framework pode ajudar as organizações:

  • optimizar a inovação tecnológica e o uso de dados, enquanto minimiza os riscos associados para as organizações;>apoiar a tomada de decisões éticas em operações que afetam a gestão da privacidade;>firmar a conformidade com certas leis, como a Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Regulamentação Geral de Proteção de Dados da União Européia (GDPR);
  • plan, design and implement products and services that prioritize data privacy;
  • inform buying decisions about products and services related to data privacy; and
  • establish or improve an organization's privacy policies or program.