美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)正在制定網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，如果無法滿足這些標(biāo)準(zhǔn)，關(guān)鍵基礎(chǔ)設(shè)施企業(yè)可能會(huì)面臨新的責(zé)任風(fēng)險(xiǎn)。

該標(biāo)準(zhǔn)的草案原計(jì)劃在周四發(fā)布，但由于美國政府關(guān)門，NIST推遲了該標(biāo)準(zhǔn)的發(fā)布。

在今年早些時(shí)候總統(tǒng)奧巴馬簽發(fā)了行政命令(Executive Order)，該標(biāo)準(zhǔn)始于命令發(fā)布之后。 然而，該標(biāo)準(zhǔn)的草案初稿遲遲沒有發(fā)布。

根據(jù)原定的時(shí)間表，在該草案的正式版本發(fā)布后，將接受公眾的審查，直到2014年2月。在審查完成后，最終版本將會(huì)發(fā)布。

這個(gè)NIST網(wǎng)絡(luò)安全框架旨在為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(例如電力、電信、金融服務(wù)和能源)的企業(yè)提供最佳安全做法。該框架的制定還參考了行業(yè)利益相關(guān)者的意見。

該框架并不是強(qiáng)制執(zhí)行特定的安全控制，而是提供廣泛的標(biāo)準(zhǔn)來識別和保護(hù)關(guān)鍵數(shù)據(jù)、服務(wù)和資產(chǎn)。它提供很多用來檢測和響應(yīng)攻擊的最佳做法，緩解網(wǎng)絡(luò)事件帶來的影響以及風(fēng)險(xiǎn)。

奧巴馬在2月份簽發(fā)了行政命令，他表示需要迫切解決關(guān)鍵基礎(chǔ)設(shè)施安全問題，抵御網(wǎng)絡(luò)攻擊。政府官員稱美國國會(huì)試圖建立可行的網(wǎng)絡(luò)安全立法，但屢遭失敗。

參與該標(biāo)準(zhǔn)計(jì)劃完全是自愿的。行政命令要求負(fù)責(zé)關(guān)鍵部門的聯(lián)邦機(jī)構(gòu)通過激勵(lì)以及其他方式來推動(dòng)該標(biāo)準(zhǔn)的部署。

法律公司Venable LLP的律師Jason Wool表示，但在實(shí)踐中，關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商將可能別無選擇，他們必須遵循這些標(biāo)準(zhǔn)，或者至少展示他們部署了類似的安全措施。

忽視或者違反這些標(biāo)準(zhǔn)的企業(yè)可能面臨訴訟以及其他責(zé)任索賠。這些標(biāo)準(zhǔn)可能被視為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)安全措施的最低水平。

“你不需要采用這些標(biāo)準(zhǔn)，但事實(shí)上，這個(gè)框架列出了網(wǎng)絡(luò)安全的建議做法，企業(yè)需要滿足這些做法，”Wool表示，“在最低限度下，該框架要求關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營者了解自己的做法，并做出差距分析。”

即使企業(yè)不采用這些標(biāo)準(zhǔn)，他們也需要證明他們采取的做法是行之有效的。

Wool表示：“如果一家公司被起訴，該公司需要能夠提供證據(jù)證明他們已經(jīng)研讀了這些標(biāo)準(zhǔn)，執(zhí)行了風(fēng)險(xiǎn)評估，并以合理的方式管理他們的風(fēng)險(xiǎn)。”

Fox Rothschild公司的律師Scott Vernick表示，這個(gè)NIST標(biāo)準(zhǔn)最終可能成為特定領(lǐng)域的法規(guī)，由負(fù)責(zé)不同關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的聯(lián)邦機(jī)構(gòu)來監(jiān)管。從這一點(diǎn)來看，關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的企業(yè)將別無選擇，只能部署該標(biāo)準(zhǔn)。

關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營者至少需要確定其安全做法能與這些標(biāo)準(zhǔn)相媲美。企業(yè)還應(yīng)該考慮加入信息共享計(jì)劃和其他網(wǎng)絡(luò)安全論壇來表明他們正在努力了解新的威脅。

具有諷刺意味的是，即使是采用了這個(gè)框架的企業(yè)可能也不能擺脫責(zé)任風(fēng)險(xiǎn)。

布什政府前助理國務(wù)卿Stewart Baker，例如，用于保護(hù)個(gè)人身份信息(PII)的某些規(guī)定可能會(huì)給關(guān)鍵基礎(chǔ)設(shè)施企業(yè)帶來問題。Baker現(xiàn)在是Steptoe & Johnson律師事務(wù)所的律師。

這個(gè)隱私規(guī)定可能需要企業(yè)采取廣泛的措施來保護(hù)個(gè)人身份信息，同時(shí)執(zhí)行網(wǎng)絡(luò)安全功能。

例如，如果企業(yè)想要與其他企業(yè)共享威脅信息，他們將需要先對信息進(jìn)行處理，以確保不涉及個(gè)人身份信息。

Baker表示草案文件中的規(guī)定很含糊，并沒有明確說明。

共享包含個(gè)人數(shù)據(jù)的威脅信息(例如IP地址和電子郵件地址)的企業(yè)可能面臨一些法律問題。

他表示：“在NIST隱私附錄生效后，隱私網(wǎng)絡(luò)安全共享將會(huì)變得非常緩慢，因?yàn)槁蓭熜枰_保信息中沒有涉及個(gè)人身份信息。總之，在NIST框架下，現(xiàn)在使用的所有網(wǎng)絡(luò)安全措施都將出現(xiàn)新的局限性和帶來新的責(zé)任風(fēng)險(xiǎn)。”(鄒錚編譯)