Опубликованы основные правила обеспечения безопасности данных для Precision Medicine Initiative

Американское правительство выпустило финальный документ по принципам и структуре политики обеспечения защиты информации для Инициативы в сфере точной медицины (Precision Medicine Initiative, PMI).

Напомним, что объявленная недавно Бараком Обамой программа Precision Medicine Initiative направлена на работу с большими данными, изучение развития заболеваний, в первую очередь - рака, и поиск новых, глубоко индивидуальных форм лечения. Для начала в 2016 году предполагается потратить на нее 215 млн долл.

Этот документ определяет ожидаемые результаты для организаций, участвующих в этой программе, и правительственных агентств, которым поручено интегрировать эти требования во все активности PMI. "Поскольку приведенные там лучшие примеры обеспечения безопасности данных очень сильно зависят от контекста, каждая организация должна будет самостоятельно провести комплексную оценку всех рисков для определения специфических требований по безопасности и организовать процессы для непрерывной оценки и уточнения системы защиты", говорится в документе.

Принципы политики безопасности включают в себя:

• создание системы, которая обеспечивает доверие в первую очередь участников исследований;
• идентификацию основных рисков и разработку планов противодействия им;
• обеспечение целостности данных, гарантирующей доверие к ним исследователей и других участников программы.

Фреймворк (структура) системы безопасности базируется на соответствующем документе Национального института стандартов и технологий США (Framework for Improving Critical Infrastructure). Он фокусируется на пяти одновременных и непрерывных функциях:

• Идентификация, которая включает в себя внедрение комплексного плана защиты на основе оценки рисков;
• Защита, которая относится к таким факторам, как управление идентификацией и доступом, шифрование и управление жизненным циклом;
• Обнаружение, включающее непрерывно действующие механизмы наблюдения и оповещения;
• Реагирование, требующее наличие понятного плана реагирования и регулярного его тестирования;
• Восстановление, означающее наличие четкого плана по реагированию в случае чрезвычайной ситуации, операциях резервного копирования и послеаварийного восстановления данных.

Документ основан на опубликованных в прошлом ноябре "Принципах PMI сохранения персональной информации и доверия к данным" (PMI Privacy and Trust Principles).