Não há um único AR (Regulamento do Exército) que abranja de maneira abrangente o armazenamento de informações de identificação pessoal (PII) em uma rede governamental. O manuseio do PII é governado por uma combinação de ARs, instruções do Departamento de Defesa (Dodi) e outras diretrizes, todas trabalhando juntas. As principais áreas e regulamentos relacionados incluem:
*
ar 25-1: Este regulamento cobre o gerenciamento geral de registros, incluindo aspectos relevantes para o armazenamento e segurança da PII. Embora não aborda especificamente o PII em detalhes, ele define as bases para práticas de manutenção de registros que afetam o manuseio do PII.
*
Dodi 8500.01: Esta instrução abrange a segurança cibernética e seus submarinos abordam a proteção do PII. Este é sem dúvida o documento mais crucial, descrevendo os requisitos de segurança para o processamento de sistemas PII.
*
nist sp 800-53: Embora não seja uma regulamentação do Exército, este é um Instituto Nacional Crucial de Padrões e Publicação de Tecnologia que influencia fortemente os controles de segurança implementados no DOD. Ele fornece controles de segurança específicos para vários aspectos da segurança da informação, incluindo a proteção do PII. Dodi 8500.01 fará referência e incorporará os requisitos do NIST SP 800-53.
*
AR 380-5: Este regulamento aborda o programa de segurança do Exército, que abrangeria procedimentos e políticas para proteger o PII nas redes.
Em suma, o armazenamento de PII em uma rede governamental não é coberto por uma única RA, mas uma interação complexa de regulamentos e instruções. A conformidade requer compreensão e implementação das seções relevantes de todos os documentos aplicáveis. Os detalhes também dependerão do nível de classificação do PII.
