《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > CISA發(fā)布托管服務(wù)提供商選擇的網(wǎng)絡(luò)安全風(fēng)險指南

CISA發(fā)布托管服務(wù)提供商選擇的網(wǎng)絡(luò)安全風(fēng)險指南

2021-09-16
來源:網(wǎng)空閑話
關(guān)鍵詞: CISA 網(wǎng)絡(luò)安全 指南

  美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 日前發(fā)布了新指南,供政府和私人組織在尋求將服務(wù)外包給托管服務(wù)提供商 (MSP) 時加以考慮。為了幫助組織做出信息技術(shù)(IT)服務(wù)決策,國土安全部(DHS)下屬網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的國家風(fēng)險管理中心(NRMC)為被管理服務(wù)提供商客戶開發(fā)了一套風(fēng)險考慮。該框架匯編來自CISA、IT和通信行業(yè)合作伙伴的信息,為組織提供資源,以便在確定滿足其獨特需求的最佳解決方案時做出風(fēng)險決策。

  CISA發(fā)布的新指南名為“托管服務(wù)提供商客戶的風(fēng)險注意事項”,針對三個決策群體:高級管理人員和董事會、采購專業(yè)人員、網(wǎng)絡(luò)/系統(tǒng)管理員和一線網(wǎng)絡(luò)安全人員。

  該文檔包括來自各種權(quán)威機構(gòu)(例如美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST))的最佳實踐和注意事項,供組織審查其安全實踐并確保他們準(zhǔn)備好防止網(wǎng)絡(luò)攻擊。

  CISA 解釋說,高管有其風(fēng)險管理職責(zé),并應(yīng)保持對其組織內(nèi)使用的系統(tǒng)和技術(shù)的認(rèn)識。他們還應(yīng)該了解與系統(tǒng)、數(shù)據(jù)、生產(chǎn)力和客戶信心損失相關(guān)的風(fēng)險,以及與罰款和監(jiān)管成本相關(guān)的成本。

  高管以及參與采購的員工應(yīng)針對企業(yè)風(fēng)險分析外包的好處,并應(yīng)確保在出現(xiàn)可能影響運營和影響客戶的故障或事故時,客戶和供應(yīng)商共同承擔(dān)責(zé)任。

  “為了最大限度地減少外包 IT 服務(wù)時的此類中斷,組織可以使用責(zé)任共擔(dān)模型在供應(yīng)商協(xié)議中定義角色和責(zé)任,該模型闡明了供應(yīng)商的責(zé)任、客戶的責(zé)任以及雙方共同承擔(dān)的任何責(zé)任,”CISA的指南中指出。

  組織應(yīng)制定企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理計劃,以考慮與使用 MSP 提供的 IT 服務(wù)相關(guān)的潛在風(fēng)險。可能無法實施此類計劃的中小型企業(yè) (SMB) 仍應(yīng)對關(guān)鍵資產(chǎn)進(jìn)行分類并評估這些資產(chǎn)的風(fēng)險,并優(yōu)先考慮將其納入供應(yīng)商協(xié)議并針對影響它們的事件制定應(yīng)急計劃。

  CISA 說,需求管理流程應(yīng)該跨職能領(lǐng)域進(jìn)行協(xié)調(diào),以確保性能、可靠性和安全性。CISA 指出,擔(dān)任采購角色的個人應(yīng)創(chuàng)建并維護(hù)一份要求清單,其中應(yīng)包括“對安全性、運營連續(xù)性和其他核心業(yè)務(wù)功能的考慮”。組織應(yīng)根據(jù)這些要求審查潛在的MSP。

  該機構(gòu)還建議組織在簽署協(xié)議之前向MSP提出具體要求,其中包括確認(rèn)簽署MSP的個人負(fù)責(zé)服務(wù)的安全、事件管理和補救能力的詳細(xì)信息,并解釋不同客戶的數(shù)據(jù)在MSP網(wǎng)絡(luò)上是如何分離的。

  負(fù)責(zé)監(jiān)控和管理MSP活動的員工應(yīng)制定任何第三方供應(yīng)商享有的訪問級別策略,并鼓勵組織不斷重新評估訪問要求。在可能的情況下,應(yīng)在簽訂合同之前定義特權(quán)和訪問級別,以確保供應(yīng)商能夠滿足服務(wù)要求。對網(wǎng)絡(luò)管理員、系統(tǒng)管理員和網(wǎng)絡(luò)防御者的建議中,特別強調(diào)了組織的網(wǎng)絡(luò)要運用零信任模型的原則。

  此外,建議組織維護(hù)重要記錄和網(wǎng)絡(luò)日志的異地備份,以幫助在MSP發(fā)生事故時進(jìn)行恢復(fù)并驗證供應(yīng)商活動。根據(jù) NIST 的建議,企業(yè)應(yīng)在其事件響應(yīng)計劃中包括MSP等供應(yīng)商,并應(yīng)定期更新這些計劃。

  “NIST 還建議組織和供應(yīng)商為漏洞披露、事件通知以及在事件期間與任何外部利益相關(guān)者的溝通建立明確的協(xié)議。組織和供應(yīng)商還應(yīng)為客戶網(wǎng)絡(luò)上的威脅搜尋和事件響應(yīng)程序建立明確的授權(quán)協(xié)議,”CISA 指出。

  將IT服務(wù)外包給MSP的SMB,尋求提高效率和節(jié)省成本,應(yīng)保持對其系統(tǒng)訪問的完全控制,應(yīng)了解供應(yīng)商訪問,并應(yīng)保留網(wǎng)絡(luò)日志以及所有關(guān)鍵數(shù)據(jù)的異地備份,指南中強調(diào)。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。