|
美国国家标准技术研究院(NIST)已发布了SP 800-53(修订版5)的草案:信息系统和组织的安全和隐私控制。这是自七年前发布修订版4以来,对SP 800-53的再一次更新,过去几年安全领域的重大变化得以反映。SP 800-53修订版第5版,提供了安全和隐私控制的目录(NIST也称为“安全措施”),有助于保护企业组织的运营。美国联邦信息系统的要求遵循SP 800-53,但对私营企业和系统开发人员来说,SP 800-53具有同等的目的和价值。NIST的作者之一Ron Ross解释说:“我们的目标是使我们依赖的信息系统更能抵御网络攻击。我们希望限制攻击发生时造成的损害,使系统具有网络弹性,同时保护信息的安全性和隐私性。”同时他解释说,企业组织将首先使用NIST的风险管理框架、网络安全框架 和隐私框架等工具评估其风险;然后使用SP 800-53查找特定的解决方案。他说:“企业组织可以将此目录与任何风险管理方法一起使用。为了方便读者,SP 800-53参考了其他NIST出版物,但我们将其设计为不可知的(也就是某些在SP 800-53中无法理解的条款,需要借助其他NIST出版物)。”,最后我们看到他说SP 800-53中部分设计是“不可知”的,这和我们看国内的信息安全有关的国家标准是一个道理,某个标准在引用(援引)其他标准过程中,这部分内容在该标准中是不会详细展开的,而需要读者或研究者去对应被引用的标准中寻求答案,这也是我们只看某一个标准时,往往会出现部分不理解的地方。 
修订版5中有许多更新和改进。其中三个主要更新包括将隐私控件集成到主目录中,以前是放在附录的内容;增加了新的供应链控制系列;以及针对网络弹性和安全系统设计等领域的新“实践状态”。 本次的改进不仅仅是内容上。安全公司StackRox的高级产品经理Connor Gilbert对SecurityWeek表示: “ NIST使Revision 5(SP-800)更加易于阅读和理解。即使从声明式语言转换为命令式语言,甚至进行一些细微的更改,也都使控件易于阅读。”雷神公司网络安全和特别任务首席技术官迈克尔·戴利(Michael Daly)也认为,控制之外的改进。他说:“我发现特别有用的是提供实施协作索引。这是有意义的指导,因为我们主要将这些职责划分给组织内部,甚至不包括高层领导团队的水平。有助于勾勒出一个共同的框架,说明如何对工作进行细分并承担责任。”此外,安全咨询公司Coalfire的执行负责人鲍勃·波斯特(Bob Post)补充说:“通过使用开放安全控制评估语言(OSCAL)提供控制,通过从专有框架转向标准化的机器可读格式,支持了向自动化的迫切转变。” 
在控件中,扩展的隐私内容已受到欢迎。邮报评论说:“与隐私相关的控件的扩展以及它们与整体安全目录的集成都强调了隐私不再是'附加组件'。” 这反映了过去几年来隐私的重要性日益提高,令人震惊的违规行为到国家(CCPA)和国际(GDPR)隐私法规。而前不久,在无锡召开的等保&关保大会上,我们在聆听有关ISO 27000系统标准制定中,专家对ISO信息安全方面的一些地方受NIST影响做了一些阐述,而我们在学习借鉴过程中,有必要不断了解国内外的互联网治理理念和经验。威胁检测公司Vectra的安全分析主管Chris Morales说:“从根本上讲,安全性是公司的利益,我们一直认为安全和隐私是一个整体。与为了监视和控制而忽略隐私的工具相比,隐私安全这个诉求很难传达。这是我们看到了业界如何看待安全问题,人身权利保护过程中实施的安全措施更加友好。”VMware Carbon Black业务部门首席网络安全策略师Tom Kellermann则表示:“最新版本特别令人感兴趣的是新的供应链控制方法。供应链安全仍然是企业和代理商的主要关注点。更好地保护供应链可以更好地保护整个企业组织。近年来,由于供应链漏洞,一些主要组织发生了太多引人注目的违规事件。”安全系统设计的“实践状态”改进反映了许多信息安全方面的新需求,包括监管要求,这些要求将“设计安全”作为标准做法。新产品漏洞经常发生,是因为产品已经以产品开发的安全性为代价被冲入市场。如果将安全性内置到新产品中,而不是事后才考虑,那么整个安全性状况将会改善。雷神公司的戴利有一个立即建议。他说:“我希望看到的一个领域将得到加强,将围绕数据标签和销毁。各种全球隐私法规规定了身份识别,报告,并根据所有者的要求,销毁了个人可识别信息将保留在其他法规下。此活动需要各个角色之间进行大量协作,应在更新中加以说明。”
|
