美国网络安全法规和政策-从美国网络安全促进委员会报告来看

围观次数:2,476 views

(一)前言

美国网络安全促进委员会(Commission on Enhancing National Cybersecurity)由总统行政命令创建,是“奥巴马总统2月9日宣布的制定短期行动和长期战略的”网络安全国家行动计划“的一部分。

2016年12月1日,委员会发布了《加强国家网络安全——促进数字经济的安全与发展》报告,本文分享的是报告的附录,美国网络安全相关的法案和政策。

(一)美国的Act和policy的区别

本报告的附录5是Cybersecurity Policy介绍,附录6是Cybersecurity Legislation的介绍,这两个有什么区别?

1、Cybersecurity Legislation

这里面出现的最多的都是law,act,例如 Public Law 99-474, “Computer Fraud and Abuse Act of 1986,”,看到了吧,都是法律。


2、Cybersecurity Policy

这里面出现的Executive Order、Presidential Policy Directive或者是重要的报告,例如 Executive Order (EO) 13010, “Critical Infrastructure Protection,” 这就是行政令。

美国的国会制定法律,由于美国很大,一般法律要求都是底线的要求,各联邦政府可以出补充条款,这就是行政令,行政令的最高级别就是总统令,总统令就是总统下达给各行政官员,指导他们行动的命令。

(二)Cybersecurity Policy Overview

一、克林顿时代

1、Executive Order (EO) 13010, “Critical Infrastructure Protection,”

1996年7月,EO 13010成立了总统关键基础设施保护委员会,也被称为Marsh Commission。 这个委员会是评估关键基础设施的脆弱性,并制定更好的保护措施。

2、The
Report of the President’s Commission on Critical Infrastructure
Protection, “Critical Foundations:Protecting America’s Infrastructures,”

总统关键基础设施保护委员会的报告《关键基础:保护美国基础设施”》1997年10月的这份报告得出结论,我们国家的关键基础设施面临着越来越多的风险,目前的防御措施很少。 委员会建议公私部门共同努力,改善安全。

3、Presidential Decision Directive 63 (PDD-63), “Critical Infrastructure Protection: Sector Coordinators,”

1998年8月4日发布总统令63(PDD-63),“关键基础设施保护”,PDD-63是关键基础设施的第一份美国政策声明,并强调需要更好地保护关键基础设施免受身体和网络威胁。 2003年,PDD-63被国土安全总统令7替代。

4、“Defending America’s Cyberspace: National Plan for Information Systems Protection, Version 1.0,”

2000年1月,美国制定了“信息系统保护国家计划”(National
Plan for Information Systems
Protection),这项支持PDD-63的计划提出了10项计划,以帮助联邦政府保护关键的美国系统和网络。
这些计划包括确定关键的基础设施资产和漏洞、检测攻击、共享攻击信息、培训安全专家、加强研究和开发工作以及增加公众宣传。

二、小布什时代

5、“The National Strategy to Secure Cyberspace,”

2003年2月发布“国家安全网络战略”,.该文档提供了框架,确保美国在改善网络安全的努力是有效的,并且优先排序。 该战略强调,广泛的美国人需要在网络安全方面发挥作用。

6、Homeland Security Presidential Directive 7 (HSPD-7), “Critical Infrastructure Identification, Prioritization, and Protection,”

2003年12月17日发布国土安全总统令7(HSPD-7),“关键基础设施识别、优先排序和保护”,
HSPD-7改变了联邦机构与关键基础设施保护有关的责任。 其政策声明包括指定一个机构,作为关键基础设施部门保护的领导部门。
HSPD-7已被撤销,并被2013年总统令21所取代。

7、“National Infrastructure Protection Plan” (NIPP)

2006发布“国家基础设施保护计划”(NIPP),
NIPP旨在满足HSPD-7的要求。
NIPP定义了联邦政府确定“国家优先事项、目标和以及…的保护要求”。NIPP包括明确关键基础设施保护的联邦机构责任,以及定义风险管理框架,用于评估、优先排序和解决关键基础设施风险。

8、National
Security Presidential Directive 54 (NSPD-54)/Homeland Security
Presidential Directive 23 (HSPD-23), “Cybersecurity Policy,”

2008年1月发布的国家安全总统令54(NSPD-54)/国土安全总统令23(HSPD-23),“网络安全政策”,
NSPD-54 / HSPD-23启动了国家网络安全综合计划(CNCI)。 CNCI的主要目标是“针对当今的威胁建立防线……
以防范全面的威胁… [和]加强未来的网络安全环境。

三、奥巴马时代

9、“National Infrastructure Protection Plan” (NIPP) 2009

2009年2月.修订了老的NIPP; 其变化包括将关键制造业作为关键基础设施部门,并将教育融入政府设施部门。

10、“Cyberspace Policy Review: Assuring a Trusted and Resilient Information and Communications Infrastructure,”

2009年5月“网络空间政策评估:确保信任和灵活的信息和通信基础设施”,该报告记录了联邦政府关于网络安全工作的60天检查结果。它还提出了几项建议,其中包括:

•国家需要制定减轻与网络安全相关的风险所需的政策,流程,人员和技术。

•解决网络安全问题需要公共私人合作以及国际合作和规范。美国需要一个全面的框架,以确保政府,私营部门和我们的盟友对重大事件或威胁作出协调一致的反应和恢复。

•”美国需要进行关于网络安全的全国对话,以提高公众意识威胁和风险,并确保采取综合办法,有关对国家安全需求、宪法和法律保障隐私权和公民自由。

•政府需要增加投资,帮助网络安全脆弱性研究,同时满足我们的经济需要和国家安全要求。

11、“National Strategy for Trusted Identities in Cyberspace:
Enhancing Online Choice, Efficiency, Security, and Privacy,”

2011年4月发布《国家网络空间信任认证策略:提高在线选择,效率,安全性和隐私性》,创建了“网络空间信任身份认证国家战略”(NSTIC),旨在通过鼓励私营部门开发网络交易工具来提高网络交易的安全性,确保涉及网络交易的个人和其他实体的身份的安全。

12、“International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World,”

2011年5月,发布《“网络世界的国际战略:网络世界的繁荣,安全和开放”》,这一战略补充了奥巴马其他网络安全政策,强调需要国际合作来实现技术可靠性和安全性。 战略的原则包括加强与各方利益攸关方的伙伴关系,采取措施遏制和制止对手,促进全球网络安全能力的发展。

13、Executive
Order 13587, “Structural Reforms to Improve the Security of Classified
Networks and the Responsible Sharing and Safeguarding of Classified
Information,

2011年10月7日发布行政令13587“提升分类网络安全的结构改革和共享和保护分类信息职责”, EO 13587指示联邦机构更好地保护其分类信息的安全性,以及涉及人员的信息 ,也保护个人的隐私和公民自由。

14、Executive Order 13636, “Improving Critical Infrastructure Cybersecurity,”

2013年2月12日发布行政命令13636“改善关键基础设施网络安全”,EO
13636 启动了开发一个自愿的网络安全框架,用于减少关键基础设施的网络风险。 EO
13636还指示国土安全部(DHS)编制关键基础设施系统和资产的清单,可能这些重要设施在网络攻击中会受到影响。

15、Presidential Policy Directive 21 (PPD-21), “Critical Infrastructure Security and Resilience,”

2013年2月12日发布总统令21(PPD-21),“关键基础设施安全和恢复能力”,该指令认识到加强关键基础设施安全和恢复能力的重要性,并建议通过联邦,州,地方,
部落和地方政府机构,以及公共和私营部门的合作。 PPD-21明确了联邦机构在关键基础设施安全和弹性方面的角色和职责。

16、NIPP 2013

2013年12月.62按照PPD-21的指示,修改和重新发布了2009年版的NIPP。 NIPP的2013版本”反映了关键基础架构风险,政策和运营环境的变化,并将关键基础设施的网络,物理和人员要素整合到管理风险中。

17、“Framework for Improving Critical Infrastructure Cybersecurity,”

2014年2月发布《提升关键基础设施网络安全框架》,通常所称的“网络安全框架”,本文件“使组织( 无论大小,网络安全风险程度,还是网络安全的复杂程度) 应用风险管理的原则和最佳实践来提升关键基础设施的安全性和恢复能力。

18、Office
of Management and Budget (OMB) M-15- 01, “Fiscal Year 2014–2015
Guidance on Improving Federal Information Security and Privacy
Management Practices,”

2014年10月3日,管理和预算办公室(OMB)M-15-01《2014-2015财年”关于改进联邦信息安全和隐私管理实践的指导意见》,本备忘录对联邦网络安全措施进行了若干修改,包括从
定期进行持续的风险评估和网络安全监测; 它还授权DHS扫描联邦机构的可公开访问的网络以了解是否存在漏洞。

19、Executive Order 13691, “Promoting Private Sector Cybersecurity Information Sharing,”

2015年2月13日发布行政令13691,“促进私营部门网络安全信息共享”,该EO促进了诸如信息共享和分析组织(ISAO)等实体的创建,使企业,政府机构和其他组织能够与每个组织共享网络安全信息。

20、“FACT SHEET: Enhancing and Strengthening the Federal Government’s Cybersecurity,”

2015年6月12日发布的《事实表明:加强和加强联邦政府的网络安全》,更为出名的名字叫“30天网络安全Sprint”,这使联邦机构对其网络安全政策和流程进行了几个改进。
它还成立了一个网络安全Sprint小组,以审查联邦网络安全政策和流程,确定缺点和优先事项,并建议如何解决这些问题。
此外根据以下主要原则指导了联邦网络安全战略的制定:

•保护数据

•提高态势

•提高网络安全熟练程度

•提高意识

•标准化和自动化流程

•控制,控制和恢复事件

•加强生命周期安全

•减少攻击面

21、Office
of Management and Budget M-16-04, “Cybersecurity Strategy and
Implementation Plan (CSIP) for the Federal Civilian Government,”

2015年10月30日发布管理与预算办公室M-16-04,《联邦民间政府网络安全战略与实施计划(CSIP)》, CSIP是由30天的网络安全大检查驱动的。 CSIP为联邦民事机构制定了五个目标:

a。 “优先识别和保护高价值信息和资产;

b。 “及时发现和迅速应对网络事件;

C。 “发生事件后迅速恢复并从大检查中吸取经验教训;

d。 “招聘和保留联邦政府可以承担的任务的网络安全人才队伍;

e.现有和新兴技术的高效有效的采集和部署”。

22、“FACT SHEET: Cybersecurity National Action Plan,”

2016年2月9日发布《“FACT SHEET:网络安全国家行动计划》,该计划启动了几项行动,以改善联邦政府,私营部门和个人的网络安全,其中包括:

a。 建立促进国家网络安全委员会

b。 提出用于替代传统技术的IT现代化基金

c。 鼓励用户采用多因素认证

d。 提出联邦网络安全工作大幅增加预算。

23、“Federal Cybersecurity Research and Development Strategic Plan,”

2016年2月9日发布《联邦网络安全研究与发展战略计划”》,该计划确定了三个网络安全研发目标:

(1)在未来1至3年内,实现“打击对手”的优势所需的科技进步, 有效的风险管理“意味着识别,评估和应对网络安全风险的能力;

(2)未来3〜7年,通过可持续安全的系统开发和运行,实现“打击对手”;

(3)未来7至15年,通过否认结果和可能的归属,实现“有效和高效地威慑恶意网络活动的进展”。。

24、Executive Order 13718, “Commission on Enhancing
National Cybersecurity,”

2016年2月9日.“行政令”第13718号“促进国家网络安全委员会”,该命令成立了委员会,编写了本报告。 。

25、Presidential Policy Directive 41, “United States Cyber
Incident Coordination,”

2016年7月26日总统令41,“美国网络事件协调”,, PPD-41澄清了与网络安全事件处理有关的角色和责任。 它还指示组建一个网络统一协调小组(UCG),协调最严重事件的事件应急工作。

(三)Cybersecurity Legislation综述

一、1980–1989

1、Public Law 98-473, “Counterfeit Access Device and ComputerFraud and Abuse Act of 1984,”

1984年10月12日发布,“仿冒访问装置和计算机欺诈与滥用法”.本法令规定未经授权访问和使用计算机、计算机网络是非法的。

2、Public Law 99-474, “Computer Fraud and Abuse Act of1986,”

1986年发布“计算机欺诈与滥用法”,本法令补充规定了非法行为,例如未经授权销毁数据, 分发被盗密码。

3、Public Law 100-235, “Computer Security Act of 1987,”(已被取代)

1988年1月8日发布的Public
Law100-235, 1987年发布的“计算机安全法”,旨在确保所有联邦机构实施基本的网络安全措施来保护敏感信息。
国家安全局(NSA)提供援助,法律将国家标准局(现称NIST)指定为开发网络安全标准的牵头机构。 该法由2002年的“联邦信息安全管理法”取代。

二、1990–1999

4、Public Law 104-13, “Paperwork Reduction Act of 1995,”Public Law 104-13, “Paperwork Reduction Act of 1995,”

1995年5月25日发布公法104-13,,该法指定管理和预算局(OMB)为负责联邦机构网络安全政策的机构。


5、Divisions D and E, Public Law 104-106, “Clinger-Cohen Act of 1996,”

1996年2月10日发布的公法104-106号,“Clinger-Cohen法案”.,指定了与网络安全政策和程序相关的机构责任。

6、Public Law 104-191, “Health Insurance Portability and AccountabilityAct of 1996,”

1996年8月21日发布“公法”104-191号,“健康保险责任法”(HIPAA)包括确保敏感医疗信息安全的规定。

7、Title II, Public Law 104-294, “National Information InfrastructureProtection Act,”

1996年10月11日发布的“国家信息基础设施保护法”,本法第二章通过扩大计算机犯罪的定义,修订了1986年“计算机欺诈与滥用法”。

8、Title V, Public Law 106-102, “Gramm-Leach-Bliley Act of1999,”

1999年11月12日颁布的“Gramm-Leach-Bliley法案”,要求金融机构保护所有关于客户的敏感数据的保密性。

二、2000–2009

9、Public Law 107-204, “Sarbanes-Oxley Act of 2002,”

2002年7月30日发布的公法”107-204,“2002年萨班斯法案”,该法针对上市美国公司,包含对内部控制进行年度评估的要求,包括网络安全措施。

10、Titles II and III, Public Law 107-296, “Homeland Security Act of 2002,”

2002年11月83日发布107-296号,“2002年国土安全法”。成立了国土安全部(DHS),重点关注联邦政府维护国家免受威胁,包括网络安全威胁,以及应对这些威胁造成的灾难。

11、Public Law 107-305, “Cyber Security Research and DevelopmentAct,”

2002年11月27日发布公法107-305,“网络安全研究和发展法”,这项法律的目的是增加联邦政府的网络安全研究与开发资金。具体规定了若干方法,其中包括:•国家科学基金会(NSF)研究资助

•NSF和NIST颁发的研究奖学金•NIST开发安全配置清单,帮助各机构保护其计算机硬件和软件

•NIST创建计算机系统安全和隐私咨询委员会,随后更名为信息安全和隐私咨询委员会(ISPAB)

•国家科学院关键基础设施网络安全研究

•协调NSF和NIST之间的联邦网络安全研发工作。

12、Title III—Information Security, Public Law107-347, “The Federal Information Security ManagementAct of 2002,”(非常著名的一个法)

2002年12月17日发布107-347“2002年联邦信息安全管理法”,(又称“2002年电子政务法”)。“联邦信息安全管理法”
2002年(FISMA)旨在确保所有联邦机构至少实施基本的网络安全措施。
FISMA指定NIST作为负责制定安全指南和指导的机构,用于确保联邦民事机构系统。

13、 Public Law 109-58, “Energy Policy Act of 2005,”

2005年8月8日发布公法”第109-58号“2005年能源政策法”,该法要求联邦能源管理委员会制定某些类型电力设施标准保持其可靠性。

14、Public Law 109-295, “Department of Homeland Security AppropriationsAct, 2007,“

2007年10月4日发布公法”109-295号,“2007年国土安全拨款法”,本法规定了化学设施安全要求,包括网络安全要求。

15、Public Law 110-140, “Energy Independence and Security Actof 2007,”

2007年12月19日发布公法”110-140号,“2007年能源独立与安全法”,该法指定NIST为引导智能电网互操作性标准的机构。

16、 Division A, Title XIII and Division B, Title IV,Public Law 111-5, “Health Information Technologyfor Economic and Clinical Health Act,”

2009年2月17日.发布第111-5号“公共法”第111-5号,“经济与临床健康卫生信息技术法”,本法律以HIPAA为依据,要求通知卫生保健数据泄露和加强对保健资料保护不足的处罚。

三、2010至今

17、Public Law 113-246, “Cybersecurity Workforce AssessmentAct,”

2014年12月18日.发布公法”第113-246号,“网络安全人员评估法”,该法要求对DHS网络安全人员进行定期评估。

18、Public Law 113-274, “Cybersecurity Enhancement Act of2014,”

2014年12月18日.发布公法”第113-274号,“2014年网络安全加强法”,该法律鼓励公私部门共同努力,提高研发力度,提高人员素质和提高公众意识

19、Public Law 113-282, “National Cybersecurity ProtectionAct of 2014,”

2014年12月18日发布“公法”113-282“2014年国家网络安全保护法”,本法的目的是明确国家网络安全通信整合中心(NCCIC)的职责。

20、 Public Law 113-283, “Federal Information Security ModernizationAct of 2014,”

2014年12月18日发布“公法”第113-283号,“2014年联邦信息安全现代化法案”,这项法律修订了FISMA,以修订联邦机构的网络安全事件报告要求,明确某些联邦机构网络安全机构授权,并简化网络安全报告流程。

21、Public Law 113-291, “National Defense Authorization Actfor Fiscal Year 2015,”

2014年12月19日发布公法113-291,“2015年度国防授权法”,法律要求对联邦信息技术最佳实践进行一些修改,尤其是网络安全要求,“联邦数据中心的整合”。

22、Division N, Public Law 114-113, “Cybersecurity Act of 2015,”

2015年12月18日发布公法”第114-113号“2015年网络安全法”,包含“网络安全信息共享法”(CISA)。 CISA鼓励在公共和私营部门组织之间分享网络安全威胁信息。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助