2025年1月3日,美国网络安全和基础设施安全局发布了关于实施第14117号总统行政令(防止关注国家访问美国敏感个人数据和美国政府相关数据)的《受限交易的网络安全和基础设施安全局安全要求》。
2024年2月28日,拜登签署了第14117号总统行政令《防止关注国家访问美国敏感个人数据和美国政府相关数据》(以下简称“行政令”),以应对因关注国家或相关个人访问美国敏感个人数据或政府相关数据所带来的国家安全和外交政策威胁。根据行政令的指示,美国网络安全和基础设施安全局(CISA)制定了以下安全要求,这些要求适用于司法部(DOJ)规定的受限交易类别(详见28 C.F.R. § 202.401)。
这些安全要求旨在通过对涉及受限交易的特定数据(以下简称“受保护数据”)、相关系统(以下简称“受保护系统”)以及组织本身施加条件,来降低与关注国家或相关个人共享数据的风险。
尽管针对受保护系统和组织治理的要求范围可能超出受保护数据及交易本身,但CISA评估认为,为验证组织具备足够的技术能力和治理结构,以正确选择、成功实施并持续应用数据层级的安全要求,实施这些要求是必要的。例如,为确保并验证受保护系统能拒绝相关个人访问受保护数据,组织需维护访问记录并制定相应的身份管理流程。
此外,应用于受保护数据本身的安全要求也是必要的。这些要求可能因交易类型不同而有所不同,例如通过数据最小化或特定处理方式,避免将数据暴露给相关个人;或通过访问控制和加密技术,彻底防止相关个人访问数据。无论采取何种方式,这些方法都建立在针对受保护系统和组织的基础要求之上。
根据行政令的要求,参与受限交易的美国个人必须实施所有组织级和系统级的要求,同时可以灵活选择具体的数据层级安全措施。若选择的安全机制未能有效防止相关个人访问受保护数据,则视为无效。
安全要求分为两个部分:组织与系统级要求(第一部分)和数据级要求(第二部分)。美国个人在进行受限交易时,必须符合这些安全要求以及司法部规定的任何合规条件(参见28 C.F.R. § 202.1001–202.1201)。
以下内容中提到的国家标准与技术研究所(NIST)网络安全框架(CSF)、隐私框架(PF)以及CISA跨行业网络安全绩效目标(CPGs)旨在帮助读者理解这些安全要求的依据,但理解和应用安全要求并不需要额外掌握这些资源。
定义
以下术语在文件中具有特定含义:
资产:指用于实现组织业务目的的数据、人员、设备、系统和设施。
受保护数据:包括政府相关数据和美国敏感个人数据的批量数据。
受保护系统:
指用于在受限交易中获取、处理、维护、共享或处置受保护数据的信息系统;
不包括仅能查看敏感个人数据而不以批量形式与该数据交互的终端用户设备。
信息系统:指用于收集、处理、维护、使用或分发信息的离散信息资源集合。
网络:由互联组件(如路由器、集线器、电缆)组成的系统。
安全要求
第一部分:组织与系统级要求
对于任何受保护系统:
确保组织的基本网络安全政策、实践和要求到位:
确定、优先记录所有系统资产,并维持其最新清单(包括IP地址)。
至少每月更新一次信息技术(IT)资产清单。
指定负责网络安全与治理风险的负责人(如首席信息安全官)。
修复已知的网络漏洞,并优先处理关键资产的漏洞。
维护并更新供应商协议,包括网络安全要求。
制定准确的网络拓扑图,以帮助快速响应事件。
实施访问控制:
强制多因素身份认证(MFA)。
终止已离职人员的访问权限。
收集并存储系统访问与安全事件日志。
限制系统访问,仅允许授权用户执行其权限范围内的操作。
进行数据风险评估:
评估所选安全措施是否足够防止相关个人访问可链接、可识别或未加密的受保护数据。
第二部分:数据级要求
对于任何受限交易,需采取以下组合措施,以充分防止相关个人访问受保护数据:
数据最小化和掩码策略:
制定数据保留和删除政策。
通过聚合、假名化或匿名化技术降低数据可识别性。
加密技术:
采用综合加密技术保护数据的传输与存储。
安全管理加密密钥,并确保密钥不存储于关注国家。
隐私增强技术:
采用差分隐私或同态加密等技术,防止数据在处理过程中被还原。
身份与访问管理配置:
确保受保护系统内的所有访问符合数据级要求。
美国网络安全和基础设施安全局声称,上述要求旨在帮助美国个人与组织在受限交易中有效降低数据风险,并符合第14117号总统行政令的规定。
