探索中国CIO人才现状 | 第四季调研报告
NIST新的网络安全标准或让企业面临责任风险
2013-11-28  作者:机房360 

  在今年早些时候总统奥巴马签发了行政命令(ExecutiveOrder),该标准始于命令发布之后。然而,该标准的草案初稿迟迟没有发布。


  根据原定的时间表,在该草案的正式版本发布后,将接受公众的审查,直到2014年2月。在审查完成后,最终版本将会发布。


  这个NIST网络安全框架旨在为关键基础设施行业(例如电力、电信、金融服务和能源)的企业提供最佳安全做法。该框架的制定还参考了行业利益相关者的意见。


  该框架并不是强制执行特定的安全控制,而是提供广泛的标准来识别和保护关键数据、服务和资产。它提供很多用来检测和响应攻击的最佳做法,缓解网络事件带来的影响以及风险。


  奥巴马在2月份签发了行政命令,他表示需要迫切解决关键基础设施安全问题,抵御网络攻击。政府官员称美国国会试图建立可行的网络安全立法,但屡遭失败。


  参与该标准计划完全是自愿的。行政命令要求负责关键部门的联邦机构通过激励以及其他方式来推动该标准的部署。


  法律公司VenableLLP的律师JasonWool表示,但在实践中,关键基础设施所有者和运营商将可能别无选择,他们必须遵循这些标准,或者至少展示他们部署了类似的安全措施。


  忽视或者违反这些标准的企业可能面临诉讼以及其他责任索赔。这些标准可能被视为关键基础设施行业安全措施的最低水平。


  “你不需要采用这些标准,但事实上,这个框架列出了网络安全的建议做法,企业需要满足这些做法,”Wool表示,“在最低限度下,该框架要求关键基础设施的所有者和运营者了解自己的做法,并做出差距分析。”


  即使企业不采用这些标准,他们也需要证明他们采取的做法是行之有效的。


  Wool表示:“如果一家公司被起诉,该公司需要能够提供证据证明他们已经研读了这些标准,执行了风险评估,并以合理的方式管理他们的风险。”


  FoxRothschild公司的律师ScottVernick表示,这个NIST标准最终可能成为特定领域的法规,由负责不同关键基础设施领域的联邦机构来监管。从这一点来看,关键基础设施领域的企业将别无选择,只能部署该标准。


  关键基础设施所有者和运营者至少需要确定其安全做法能与这些标准相媲美。企业还应该考虑加入信息共享计划和其他网络安全论坛来表明他们正在努力了解新的威胁。


  具有讽刺意味的是,即使是采用了这个框架的企业可能也不能摆脱责任风险。


  布什政府前助理国务卿StewartBaker,例如,用于保护个人身份信息(PII)的某些规定可能会给关键基础设施企业带来问题。Baker现在是Steptoe&Johnson律师事务所的律师。


  这个隐私规定可能需要企业采取广泛的措施来保护个人身份信息,同时执行网络安全功能。


  例如,如果企业想要与其他企业共享威胁信息,他们将需要先对信息进行处理,以确保不涉及个人身份信息。


  Baker表示草案文件中的规定很含糊,并没有明确说明。


  共享包含个人数据的威胁信息(例如IP地址和电子邮件地址)的企业可能面临一些法律问题。


  他表示:“在NIST隐私附录生效后,隐私网络安全共享将会变得非常缓慢,因为律师需要确保信息中没有涉及个人身份信息。总之,在NIST框架下,现在使用的所有网络安全措施都将出现新的局限性和带来新的责任风险。”