Domicile > Conformité, risque et gouvernance > Cadre De Protection De La Vie Privée Du Nist

Cadre de protection de la vie privée du NIST

Le cadre de protection de la vie privée du NIST est un outil volontaire créé par le National Institute of Standards and Technology, qui définit des stratégies permettant aux organisations du secteur privé d'améliorer leurs pratiques de gestion des risques liés aux données.

Le but du cadre est d'aider les organisations à garder leurs pratiques de traitement des données sécurisées, privées et conformes à la loi à tous les niveaux de l'organisation et était destiné aux décideurs de niveau C sans formation technique.

Le cadre de confidentialité du NIST, publié en janvier 2020, suit la même structure que le cadre de cybersécurité du NIST 2014 pour encourager les organisations à les utiliser ensemble. Comme le cadre de cybersécurité, le cadre de confidentialité est composé de trois sections principales : Core, Profiles et Implementation Tiers.

  • Le Core est l'ensemble des activités spécifiques de protection de la vie privée recommandées par le NIST.
  • Profils évaluent les pratiques et les ressources existantes, et les comparent à la confidentialité des données de l'organisation
  • Implémentation Tiers sont une échelle permettant de mesurer dans quelle mesure une organisation présente des caractéristiques du cadre.

Le cadre de protection de la vie privée n'est pas une solution unique pour la gestion de la vie privée. Comme il s'agit d'un outil volontaire et non d'un règlement ou d'une loi, les organisations peuvent choisir d'adopter ou d'ignorer n'importe lequel de ses contenus. L'utilisation du cadre dans une certaine mesure est recommandée pour toutes les organisations qui collectent et traitent les données des clients -- en particulier celles qui collectent des données sensibles.

La collecte et l'utilisation des données des clients sont un élément clé de nombreuses technologies bénéfiques pour les consommateurs.  Cependant, la collecte et le stockage des données personnelles, en particulier les données sensibles, peuvent présenter des risques sérieux pour les clients et les organisations si elles ne sont pas correctement sécurisées. Par conséquent, le NIST a rédigé le cadre de protection de la vie privée pour aider les organisations à les protéger, ainsi que le consommateur, des conséquences d'une mauvaise gestion des données, sans décourager l'innovation.

Structure du cadre

La structure du cadre de protection de la vie privée du NIST peut être décomposée comme suit.

Core. Le corps des activités et des résultats de la protection de la vie privée individuelle. Le Core est divisé en trois éléments : les fonctions, les catégories et les sous-catégories. Les fonctions constituent l'unité la plus importante et sont décomposées plus avant en catégories et sous-catégories.

  • Les fonctions organisent les groupes d'activités de protection de la vie privée par objectif général. Le -P indique qu'il s'agit de fonctions du Privacy Framework Core, à ne pas confondre avec celles du Cybersecurity Framework Core.
      • Identifier-P. Développe la compréhension de l'organisation des risques potentiels pour la vie privée dans leurs opérations. Comprend les évaluations des risques et la compréhension des clients.
      • Gouverner-P. Développe une compréhension continue des priorités d'une organisation en matière de risques liés à la vie privée. S'intéresse aux politiques de confidentialité, aux considérations juridiques et réglementaires et à la tolérance au risque.
      • Control-P. S'intéresse au développement et à la mise en œuvre d'activités de gestion des risques liés à la vie privée, du point de vue de l'organisation et de l'individu.
      • Communiquer-P. Met l'accent sur la formation continue au sein de l'organisation sur les pratiques et les risques appropriés de traitement des données des clients.
      • Protect-P. Develops and implements data processing protection measures.
  • Categories are subdivisions of a function into related groups.
  • Subcategories are further subdivisions of categories into specific outcomes of privacy management activities. 
NIST core structure

NIST

Structure of the core

Profiles. Prioritized selection of privacy risk management activities. Les profils utilisent une sélection personnalisée de fonctions, catégories et sous-catégories hiérarchisées du Core pour définir un profil actuel d'activités de gestion de la vie privée et un profil cible de préparation à la gestion de la vie privée. Pour identifier les lacunes dans leur approche de la gestion de la confidentialité, élaborer un plan concret pour les combler et identifier les ressources nécessaires.

Tiers de mise en œuvre. Une échelle utilisée pour évaluer dans quelle mesure une organisation présente les caractéristiques du cadre de protection de la vie privée. Les paliers de mise en œuvre peuvent être utilisés comme repères pour les progrès et pour comprendre l'ampleur des ressources et des processus. Les niveaux de mise en œuvre comprennent quatre types :

  • Partiel (Niveau 1)
    • Les mesures de gestion des risques sont non formalisées et seulement en cas de besoin.
    • Sensibilisation limitée aux risques liés à la vie privée.
    • Compréhension limitée du rôle d'une organisation dans les risques liés à la vie privée.
    • Manque de responsabilités spécifiques de gestion des risques liés à la vie privée dans le personnel.
  • Risk Informed (Tier 2)
    • Risk management practices approved by management but not unequivocally accepted on an organizationwide level.
    • Organizational-level awareness of privacy risk but no formal approach in effect.
    • Understanding of an organization's risks in regard to its own products and services offered and used but no consistent action taken.
    • Limited understanding of an organization's role in the data processing ecosystem.
    • Personnel with some privacy responsibilities, regular privacy training in place -- however, no consistent processes to monitor for best practices.
  • Repeatable (Tier 3)
    • Privacy risk management practices implemented as formal policy.
    • Des pratiques de gestion des risques liés à la vie privée sont en place à l'échelle de l'organisation.
    • L'organisation comprend son rôle dans l'écosystème du traitement des données et peut contribuer à une plus grande compréhension des risques dans la communauté.
    • L'organisation est consciente des risques résultant de ses propres produits et services offerts et utilisés et prend des mesures formelles pour les minimiser.
    • Personnel spécialisé dans la gestion de la vie privée.
  • Adaptatif (niveau 4)
    • L'organisation adapte ses politiques et ses pratiques aux risques nouveaux et existants liés à la vie privée.
    • L'approche de la gestion des risques liés à la vie privée est complète et s'applique à l'ensemble de l'organisation.
    • Il agit de manière cohérente sur les risques liés à la vie privée auxquels il est associé.
    • Contribue à la compréhension des risques liés à la vie privée par la communauté.

    NIST Privacy Framework vs. NIST Cybersecurity Framework

    Le NIST Privacy Framework suit la même structure que le 2014 Cybersecurity Framework (Core, Profiles, Tiers) pour encourager l'utilisation des deux cadres en tandem.

    Fonctions centrales du NIST

    NIST

    Diagramme montrant le chevauchement des fonctions centrales entre le cadre de protection de la vie privée et le cadre de cybersécurité

    Bien que la gestion des risques de cybersécurité contribue à la gestion du risque global de confidentialité des informations d'une organisation, le cadre de cybersécurité du NIST, à lui seul, ne suffit pas à le gérer efficacement. En effet, il existe des risques pour la vie privée qui ne sont pas liés à la cybersécurité. Le NIST définit les risques liés à la cybersécurité comme étant associés à des incidents de cybersécurité résultant d'une perte de confidentialité, d'intégrité ou de disponibilité. Les risques liés à la vie privée sont définis comme des problèmes potentiels que les individus pourraient rencontrer en raison de l'exploitation de systèmes, de produits ou de services avec des données.

    Les risques liés à la vie privée liés à la cybersécurité constituent toutefois une zone de chevauchement entre ces deux cadres et incluent des événements tels que les violations de données. Selon le site Web du NIST, Protect-P du cadre de protection de la vie privée, ainsi que Detect, Respond and Recover du cadre de cybersécurité, fonctionnent pour la gestion des risques de confidentialité liés à la cybersécurité.

    Cas d'utilisation

    Le cadre de protection de la vie privée du NIST est destiné à ouvrir le dialogue sur la sécurité des données à tous les niveaux organisationnels et a été rédigé en particulier en pensant aux décideurs de niveau C sans formation technique.

    Le cadre peut aider les organisations :

    • optimiser l'innovation technologique et l'utilisation des données, tout en minimisant les risques associés pour les organisations ;
    • soutenir la prise de décision éthique dans les opérations qui affectent la gestion de la vie privée ;
    • rester en conformité avec certaines lois, telles que la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le règlement général sur la protection des données (RGPD) de l'Union européenne (UE) ;
    • plan, design and implement products and services that prioritize data privacy;
    • inform buying decisions about products and services related to data privacy; and
    • establish or improve an organization's privacy policies or program.

Par Feinstein Etkin

Articles similaires

Compteur réciproque :: Capteur de contre-pression
Liens utiles