美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)正在制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn),如果無(wú)法滿足這些標(biāo)準(zhǔn)����,關(guān)鍵基礎(chǔ)設(shè)施企業(yè)可能會(huì)面臨新的責(zé)任風(fēng)險(xiǎn)�����。
創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括吉陽(yáng)網(wǎng)站建設(shè)��、吉陽(yáng)網(wǎng)站制作��、吉陽(yáng)網(wǎng)頁(yè)制作以及吉陽(yáng)網(wǎng)絡(luò)營(yíng)銷(xiāo)策劃等���。多年來(lái)�,我們專(zhuān)注于互聯(lián)網(wǎng)行業(yè)�,利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)�、深度合作伙伴關(guān)系等,向廣大中小型企業(yè)�����、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案�,吉陽(yáng)網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前�,我們服務(wù)的客戶以成都為中心已經(jīng)輻射到吉陽(yáng)省份的部分城市,未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任�!
該標(biāo)準(zhǔn)的草案原計(jì)劃在周四發(fā)布,但由于美國(guó)政府關(guān)門(mén)�����,NIST推遲了該標(biāo)準(zhǔn)的發(fā)布�。
在今年早些時(shí)候總統(tǒng)奧巴馬簽發(fā)了行政命令(Executive Order),該標(biāo)準(zhǔn)始于命令發(fā)布之后����。 然而,該標(biāo)準(zhǔn)的草案初稿遲遲沒(méi)有發(fā)布����。
根據(jù)原定的時(shí)間表���,在該草案的正式版本發(fā)布后,將接受公眾的審查��,直到2014年2月�。在審查完成后,最終版本將會(huì)發(fā)布����。
這個(gè)NIST網(wǎng)絡(luò)安全框架旨在為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(例如電力、電信���、金融服務(wù)和能源)的企業(yè)提供最佳安全做法����。該框架的制定還參考了行業(yè)利益相關(guān)者的意見(jiàn)��。
該框架并不是強(qiáng)制執(zhí)行特定的安全控制�����,而是提供廣泛的標(biāo)準(zhǔn)來(lái)識(shí)別和保護(hù)關(guān)鍵數(shù)據(jù)��、服務(wù)和資產(chǎn)�。它提供很多用來(lái)檢測(cè)和響應(yīng)攻擊的最佳做法,緩解網(wǎng)絡(luò)事件帶來(lái)的影響以及風(fēng)險(xiǎn)�。
奧巴馬在2月份簽發(fā)了行政命令,他表示需要迫切解決關(guān)鍵基礎(chǔ)設(shè)施安全問(wèn)題����,抵御網(wǎng)絡(luò)攻擊。政府官員稱(chēng)美國(guó)國(guó)會(huì)試圖建立可行的網(wǎng)絡(luò)安全立法�����,但屢遭失敗�����。
參與該標(biāo)準(zhǔn)計(jì)劃完全是自愿的��。行政命令要求負(fù)責(zé)關(guān)鍵部門(mén)的聯(lián)邦機(jī)構(gòu)通過(guò)激勵(lì)以及其他方式來(lái)推動(dòng)該標(biāo)準(zhǔn)的部署����。
法律公司Venable LLP的律師Jason Wool表示,但在實(shí)踐中����,關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商將可能別無(wú)選擇�,他們必須遵循這些標(biāo)準(zhǔn)�,或者至少展示他們部署了類(lèi)似的安全措施。
忽視或者違反這些標(biāo)準(zhǔn)的企業(yè)可能面臨訴訟以及其他責(zé)任索賠���。這些標(biāo)準(zhǔn)可能被視為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)安全措施的最低水平�。
“你不需要采用這些標(biāo)準(zhǔn)�����,但事實(shí)上�,這個(gè)框架列出了網(wǎng)絡(luò)安全的建議做法,企業(yè)需要滿足這些做法���,”Wool表示��,“在最低限度下��,該框架要求關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)者了解自己的做法��,并做出差距分析�����?��!?/p>
即使企業(yè)不采用這些標(biāo)準(zhǔn),他們也需要證明他們采取的做法是行之有效的���。
Wool表示:“如果一家公司被起訴�,該公司需要能夠提供證據(jù)證明他們已經(jīng)研讀了這些標(biāo)準(zhǔn)�,執(zhí)行了風(fēng)險(xiǎn)評(píng)估,并以合理的方式管理他們的風(fēng)險(xiǎn)��?��!?/p>
Fox Rothschild公司的律師Scott Vernick表示����,這個(gè)NIST標(biāo)準(zhǔn)最終可能成為特定領(lǐng)域的法規(guī)����,由負(fù)責(zé)不同關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的聯(lián)邦機(jī)構(gòu)來(lái)監(jiān)管。從這一點(diǎn)來(lái)看��,關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)將別無(wú)選擇�����,只能部署該標(biāo)準(zhǔn)。
關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者至少需要確定其安全做法能與這些標(biāo)準(zhǔn)相媲美��。企業(yè)還應(yīng)該考慮加入信息共享計(jì)劃和其他網(wǎng)絡(luò)安全論壇來(lái)表明他們正在努力了解新的威脅����。
具有諷刺意味的是,即使是采用了這個(gè)框架的企業(yè)可能也不能擺脫責(zé)任風(fēng)險(xiǎn)�。
布什政府前助理國(guó)務(wù)卿Stewart Baker,例如���,用于保護(hù)個(gè)人身份信息(PII)的某些規(guī)定可能會(huì)給關(guān)鍵基礎(chǔ)設(shè)施企業(yè)帶來(lái)問(wèn)題��。Baker現(xiàn)在是Steptoe & Johnson律師事務(wù)所的律師���。
這個(gè)隱私規(guī)定可能需要企業(yè)采取廣泛的措施來(lái)保護(hù)個(gè)人身份信息,同時(shí)執(zhí)行網(wǎng)絡(luò)安全功能����。
例如,如果企業(yè)想要與其他企業(yè)共享威脅信息��,他們將需要先對(duì)信息進(jìn)行處理����,以確保不涉及個(gè)人身份信息����。
Baker表示草案文件中的規(guī)定很含糊����,并沒(méi)有明確說(shuō)明��。
共享包含個(gè)人數(shù)據(jù)的威脅信息(例如IP地址和電子郵件地址)的企業(yè)可能面臨一些法律問(wèn)題�����。
他表示:“在NIST隱私附錄生效后����,隱私網(wǎng)絡(luò)安全共享將會(huì)變得非常緩慢,因?yàn)槁蓭熜枰_保信息中沒(méi)有涉及個(gè)人身份信息���?��?傊贜IST框架下��,現(xiàn)在使用的所有網(wǎng)絡(luò)安全措施都將出現(xiàn)新的局限性和帶來(lái)新的責(zé)任風(fēng)險(xiǎn)?!?鄒錚編譯)
網(wǎng)站標(biāo)題:NIST新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)或讓企業(yè)面臨責(zé)任風(fēng)險(xiǎn)
文章URL:
http://uogjgqi.cn/article/cdeosho.html
