前情回顾·政务数据利用与保护
安全内参6月26日消息,美国国土安全部(DHS)发布了一项最终规定,对《国土安全采购规章》(HSAR)进行修改,删除一条现有条款,保留该条款编号,并更新了一条现有条款。该机构还将新增两条合同条款,提出对受控非机密信息(Controlled Unclassified Information,简称CUI)的保护要求。
最终规定旨在确保受控非机密信息的安全和隐私保护,改进向国土安全部报告事件的流程。这些措施十分有必要,因为国土安全部承包商遇到涉及该部门信息的事件时,亟需保护受控非机密信息,并做出适当响应。
供应商需满足新的处理要求和安全流程与程序
根据国土安全部6月21日在《联邦公报》上发布的通知,“持续且普遍的联邦信息高调泄露事件不断证明,必须在合同中明确、有效和一致地解决信息安全保护问题。因此,这些措施十分有必要。最终规定将在《联邦公报》上发布之日起30天后生效。”
2017年1月19日,国土安全部在《联邦公报》上发布过一条拟议规定制定通知(NPRM),表示该部门正在制定一项规定,要求落实充分的安全和隐私措施,以保护受控非机密信息免受未经授权的访问和披露,并改进向国土安全部报告事件的流程。
最终规定加强和扩展了《国土安全采购规章》现有措辞,以确保承包商和(或)分包商员工能足够安全地访问受控非机密信息。受控非机密信息将由承包商代表机构收集或维护,或由联邦信息系统(包括代表机构运行的承包商信息系统)收集、处理、存储或传输。
具体而言,最终规定确定了适用于联邦信息系统(包括代表机构运行的承包商信息系统)的受控非机密信息处理要求和安全流程与程序。它还确定了事件报告要求,包括报告时间表和必需数据元素、检查规定和事件后活动,并要求对政府和与政府活动相关的文件和信息进行清除认证。
最后,最终规定要求承包商制定相关程序并具备相关能力,保证在事件发生时,向那些个人身份信息(PII)或敏感个人身份信息(简称SPII、敏感PII)由承包商控制或驻留在信息系统中的任何个人发出通知。
合规成本与效益如何?
此次发布的通知称,最终规定将适用于有下列需求的国土安全部承包商:需访问CUI;需代表政府收集或维护CUI;需运行联邦信息系统(包括代表机构运行的承包商信息系统),收集、处理、存储或传输CUI。
“国土安全部估算,在折现率为7%的情况下,最终规定的年化成本为1532万美元至1728万美元;在同一折现率下,十年总成本为1.0762亿美元至1.2137亿美元。”这些成本的主要来自独立评估、报告和记录保存。此外,熟悉最终规定、安全审查也会产生额外的小额、可量化成本。
国土安全部无法量化事件报告、PII和敏感PII通知、信用监控等要求的相关成本。所以,这些成本仅做定性讨论。
此次发布的通知称:“预计最终规定将缩短操作授权(ATO)时间、减少国土安全部审核和重新发布提案时间(因为承包商资质会得到提升)、减少数据泄露识别时间,从而节约成本。”
最终规定的效益不止于此。根据最终规定,一旦公众数据被泄露,将更好地通知受害者,并提供信用监控服务,帮助受害者有效监控数据泄露、规避数据泄露带来的高昂后果;及时报告也能降低事件的严重程度。
近日,网络威胁黑客利用MOVEit传输漏洞攻击了美国多个地方、州和联邦机构。国土安全部发布最终规定,正是对这些攻击的回应。
上周五,美国国家网络安全和基础设施安全局(CISA)更新了一份早期的网络安全建议,称Clop勒索软件团伙正在利用Progress Software的托管文件传输解决方案MOVEit Transfer中的SQL注入零日漏洞(CVE-2023-34362)。CISA在文件更新中,删除了旧的Fortra GoAnywhere Campaign IP地址,并添加了新的IP地址。
参考资料:https://industrialcyber.co/regulation-standards-and-compliance/dhs-publishes-final-rule-updating-controlled-unclassified-information-requirements-for-federal-systems/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
