您的位置:首页 >科技 >

美国政府如何管控供应商数据安全?以国土安全领域为例

2023-06-26 21:59:33    来源:互联网

前情回顾·政务数据利用与保护


(资料图)

如何在战争中保护国家重要数据安全?乌克兰选择打包上云

CLOUD法案获重要进展!美澳签署敏感数据跨境执法双边协议

从香港个人资料跨境传输规则展望与内地的数据跨境流动合作

安全内参6月26日消息,美国国土安全部(DHS)发布了一项最终规定,对《国土安全采购规章》(HSAR)进行修改,删除一条现有条款,保留该条款编号,并更新了一条现有条款。该机构还将新增两条合同条款,提出对受控非机密信息(Controlled Unclassified Information,简称CUI)的保护要求。

最终规定旨在确保受控非机密信息的安全和隐私保护,改进向国土安全部报告事件的流程。这些措施十分有必要,因为国土安全部承包商遇到涉及该部门信息的事件时,亟需保护受控非机密信息,并做出适当响应。

供应商需满足新的处理要求和安全流程与程序

根据国土安全部6月21日在《联邦公报》上发布的通知,“持续且普遍的联邦信息高调泄露事件不断证明,必须在合同中明确、有效和一致地解决信息安全保护问题。因此,这些措施十分有必要。最终规定将在《联邦公报》上发布之日起30天后生效。”

2017年1月19日,国土安全部在《联邦公报》上发布过一条拟议规定制定通知(NPRM),表示该部门正在制定一项规定,要求落实充分的安全和隐私措施,以保护受控非机密信息免受未经授权的访问和披露,并改进向国土安全部报告事件的流程。

最终规定加强和扩展了《国土安全采购规章》现有措辞,以确保承包商和(或)分包商员工能足够安全地访问受控非机密信息。受控非机密信息将由承包商代表机构收集或维护,或由联邦信息系统(包括代表机构运行的承包商信息系统)收集、处理、存储或传输。

具体而言,最终规定确定了适用于联邦信息系统(包括代表机构运行的承包商信息系统)的受控非机密信息处理要求和安全流程与程序。它还确定了事件报告要求,包括报告时间表和必需数据元素、检查规定和事件后活动,并要求对政府和与政府活动相关的文件和信息进行清除认证。

最后,最终规定要求承包商制定相关程序并具备相关能力,保证在事件发生时,向那些个人身份信息(PII)或敏感个人身份信息(简称SPII、敏感PII)由承包商控制或驻留在信息系统中的任何个人发出通知。

合规成本与效益如何?

此次发布的通知称,最终规定将适用于有下列需求的国土安全部承包商:需访问CUI;需代表政府收集或维护CUI;需运行联邦信息系统(包括代表机构运行的承包商信息系统),收集、处理、存储或传输CUI。

“国土安全部估算,在折现率为7%的情况下,最终规定的年化成本为1532万美元至1728万美元;在同一折现率下,十年总成本为1.0762亿美元至1.2137亿美元。”这些成本的主要来自独立评估、报告和记录保存。此外,熟悉最终规定、安全审查也会产生额外的小额、可量化成本。

国土安全部无法量化事件报告、PII和敏感PII通知、信用监控等要求的相关成本。所以,这些成本仅做定性讨论。

此次发布的通知称:“预计最终规定将缩短操作授权(ATO)时间、减少国土安全部审核和重新发布提案时间(因为承包商资质会得到提升)、减少数据泄露识别时间,从而节约成本。”

最终规定的效益不止于此。根据最终规定,一旦公众数据被泄露,将更好地通知受害者,并提供信用监控服务,帮助受害者有效监控数据泄露、规避数据泄露带来的高昂后果;及时报告也能降低事件的严重程度。

近日,网络威胁黑客利用MOVEit传输漏洞攻击了美国多个地方、州和联邦机构。国土安全部发布最终规定,正是对这些攻击的回应。

上周五,美国国家网络安全和基础设施安全局(CISA)更新了一份早期的网络安全建议,称Clop勒索软件团伙正在利用Progress Software的托管文件传输解决方案MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)。CISA在文件更新中,删除了旧的Fortra GoAnywhere Campaign IP地址,并添加了新的IP地址。

参考资料:industrialcyber.co

标签:

相关阅读