[據(jù)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)站2017年8月15日?qǐng)?bào)道] 信息系統(tǒng),包括通信平臺(tái)和互聯(lián)網(wǎng)連接設(shè)備,均需制定相關(guān)的安全和隱私保護(hù)標(biāo)準(zhǔn),才能確保正常運(yùn)作并保護(hù)日益復(fù)雜且通過互聯(lián)網(wǎng)連接的用戶。
為此,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)發(fā)布了具有廣泛適用范圍的特種出版物(SP)800-53《信息系統(tǒng)和組織的安全及隱私控制》之最新修訂草案。該草案由來(lái)自民間、國(guó)防和情報(bào)界的代表組成的聯(lián)合工作小組擬定,SP 800-53第五修訂草案(外部鏈接)旨在為聯(lián)邦政府制定統(tǒng)一的信息安全框架。
最新的草案不僅適用于信息安全和聯(lián)邦政府范疇,還可用于各類組織在互連系統(tǒng)中維護(hù)安全和隱私。
聯(lián)合工作小組負(fù)責(zé)人稱,“第五修訂草案提出了新的指導(dǎo)方針 - 我們正在制定新一代可用于維護(hù)物聯(lián)網(wǎng)安全的控制標(biāo)準(zhǔn)清單。”控制標(biāo)準(zhǔn)是指旨在保護(hù)系統(tǒng)、組織和個(gè)人的安全和隱私的保護(hù)技術(shù)和程序。
現(xiàn)在,全新的草案完全整合了隱私保護(hù)措施,這在控制清單中尚屬首次。NIST高級(jí)隱私政策顧問Naomi Lefkovitz稱:“該修訂草案涵蓋了系統(tǒng)安全和隱私的直接重疊區(qū)域,以及純?cè)诘牟町?。其也增?qiáng)了兩支專業(yè)團(tuán)隊(duì)在開展合作的同時(shí)仍保持各自權(quán)威的能力。”SP 800-53第五修訂版本增加了兩個(gè)專注于隱私的新控制系列;其余的控制標(biāo)準(zhǔn)整合在其他控制系列中。
例如,某隱私控制標(biāo)準(zhǔn)旨在解決諸如智能城市交通監(jiān)控?cái)z像機(jī)等類似傳感器所捕獲的數(shù)據(jù)??刂茦?biāo)準(zhǔn)建議傳感器的配置應(yīng)盡量避免捕獲交通監(jiān)控系統(tǒng)所不需要的個(gè)人數(shù)據(jù)。
雖然以前的版本更多的是針對(duì)聯(lián)邦機(jī)構(gòu),但其他機(jī)構(gòu),特別是行業(yè)組織,也可自愿采用SP 800-53。此類控制標(biāo)準(zhǔn)已經(jīng)更新,以滿足更多樣化的用戶群體的需求,包括企業(yè)級(jí)安全和隱私專業(yè)人員,組件產(chǎn)品開發(fā)人員以及正在從事隱私和安全工作的系統(tǒng)工程師。
例如,IT系統(tǒng)可采用相機(jī)。安全專家決定了相機(jī)傳感器的安全控制標(biāo)準(zhǔn),而隱私專業(yè)人士決定了隱私控制標(biāo)準(zhǔn),例如:保護(hù)路人隱私的控制標(biāo)準(zhǔn)。此外,控制標(biāo)準(zhǔn)選擇過程現(xiàn)在與安全控制清單分離,并包含在NIST特種出版物800-37(外部鏈接)《NIST風(fēng)險(xiǎn)管理框架》中,以便聯(lián)邦政府以外的組織可更容易地在其當(dāng)前采用的框架中使用NIST控制標(biāo)準(zhǔn),如ISO 270001以及《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改進(jìn)框架》,也稱為《網(wǎng)絡(luò)安全框架》。