Мэрия Нью-Йорка представила требования к IoT: данные можно собирать только открыто, с ясной и полезной целью
Власти Нью-Йорка считают своей обязанностью превратить город в самый инновационный, «технически-дружественный» и учитывающий интересы всех сторон мегаполис в мире; для достижения этих целей мэрия разработала требования к IoT-решениям (IoT – Интернет вещей), которые внедряются в городе — главное условие состоит в том, что информация собирается по строгим, общедоступным правилам и исключительно ради удобства нью-йоркцев.
Руководство состоит из пяти блоков: конфиденциальность и прозрачность; управление данными; инфраструктура; безопасность; оперативная деятельность и сбалансированность.
Относительно конфиденциальности и прозрачности требования таковы:
1. Информация о процессах, относящихся к IoT, и политика по отношению к IoT-данным, должны быть открыты, понятны и актуальны. Требования к IoT-решениям, IoT-принципы и пр. должны быть прозрачными и публиковаться на сайте правительства города.
2. IoT-данные должны собираться, передаваться, обрабатываться и использоваться для конкретных, четко сформулированных и легитимных целей. Цель и методы сбора данных, состав собираемой информации должны быть точно определены, и данные об этом должны быть доступны на сайте городских властей или в иной общедоступной форме.
3. Данные, собираемые IoT-устройствами, должны быть классифицированы; обращаться с ними следует, согласно действующему законодательству для каждой категории. Информацию, позволяющую идентифицировать человека (personally identifiable information, PII), следует классифицировать как минимум как «частную». Данные, подпадающие под определение «конфиденциальных» или PII, должны быть защищены от неавторизованного доступа и раскрытия.
4. Идентифицирующие личность персональные данные должны по умолчанию обезличиваться прежде чем они станут доступны для публичного поиска или изучения. Любым копиям следует присваивать ту же классификацию (или уровнем выше), что и оригиналу. Любые наборы из комбинированной информации должны быть классифицированы заново.
5. Для всех типов PII должны быть утверждены правила обработки и уничтожения. Чувствительные, частные или конфиденциальные данные не должны храниться дольше, чем это требуется для решения конкретной задачи.
6. До того, как любые подобные данные будут переданы куда-либо, ведомство, ответственное за них, должно убедиться в адекватной защищенности конфиденциальной информации.
7. Все публичные наборы данных должны быть доступны на городском портале открытых данных.
Важные пункты других разделов руководства:
- Установка датчиков, сенсоров и других подключенных устройств должна решать конкретную, задокументированную и подтвержденную задачу.
- Недопустимо собирать данные впрок, а не под конкретную задачу.
- Перед развертыванием на весь город обязательно проводится пилотирование и согласование со всеми, чьи интересы могут быть затронуты.
- Предпочтительны открытые, интероперабельные решения с публичным SDK, независимые от конкретного вендора.
- Все IoT-системы должны проходить регулярный аудит. А собираемые данные – кросс-проверку другими доступными средствами.
- При внедрении IoT-решений нужно максимально задействовать существующую городскую инфраструктуру.
- Все случаи несанкционированного доступа должны публиковаться.
- Предусмотрен облегченный доступ к городской инфраструктуре для частных решений, внедрение которых может принести пользу горожанам. Если решение не выполняет заявленную задачу или недостаточно эффективно, право доступа к IoT-данным может отзываться.
Мэрия Нью-Йорка ожидает, что к её инициативе присоединятся другие города, и приглашает к диалогу все заинтересованные стороны. Руководство будет развиваться и дополняться, в соответствии с требованиями времени, говорится на сайте проекта.
Напомним, в декабре 2016 года Конгресс США призвал правительство разработать новые стандарты безопасности, которыми могли бы руководствоваться производители техники и оборудования, подключаемых к Интернету вещей.
В России в декабре была зарегистрирована Ассоциация Интернета вещей, учредителями которой выступили Фонд развития интернет-инициатив и Московский государственный технический университет (МГТУ) им. Н. Э. Баумана.