美国联邦首席信息安全官 (CISO) 委员会和联邦首席数据官 (CDO) 委员会发布了一份文件,以指导联邦机构使用零信任框架实施数据安全。
该指南目录如下:
第1章:导言
1.1:数据管理对于实现零信任至关重要
1.2:零信任和数据的连接点
1.3:零信任数据安全原则
1.4:零信任数据安全指南应用
1.4.1:了解起点——专注于小的成功,逐步发展
第2章:定义数据
2.1:数据清单和分类的法律法规要求
2.2:数据资产定义
2.3:识别敏感数据资产和开始数据目录的共同起点
2.4:创建数据清单
2.5:数据清单标准
2.6:角色和职责
2.7:基于影响的数据资产分类
2.8:数据类别和标签
第3章:保护数据
3.1:数据安全风险的简要剖析
3.2:起点:将安全团队和数据团队聚集在一起
3.3:从数据安全角度进行风险管理
3.4:第三方风险
3.5:通过隐私镜头的数据安全性
3.5.1:集成隐私标准
3.5.2:隐私保护技术和工具
3.5.3:与第三方合作时保护隐私
3.5.4:隐私影响评估
3.6:数据安全控制:身份、凭证和访问管理
3.6.1:访问控制机制
3.6.2:保护数据的基本身份、凭证和访问管理实践
3.7:数据安全监控和控制
3.7.1:使用以数据为中心的安全控制来保护各位置各级别数据
3.7.2:定义策略和选择适当的控制措施
3.7.3:持续监控安全控制的有效性
3.7.4:记录、审核和警报,以维护安全支持调查
3.8:实例:实施控制策略的步骤
第4章:管理数据
第5章:结论
5.1:回顾
5.2:建设未来
联邦零信任数据安全指南旨在通过实施零信任原则,帮助联邦机构实现数据安全管理。该指南强调了数据管理在实现零信任中的关键作用,并详细阐述了零信任数据安全的原则和实施步骤。
法律和监管要求:联邦机构必须遵守多项法律和法规,以维护数据资产的清单和分类。 数据资产的定义:数据资产包括所有记录信息,无论其形式或存储介质。 创建数据清单:数据清单是数据管理的基础,需要对数据进行分类和标记,以确保其安全和合规。 数据分类和标签:根据数据的影响和敏感性进行分类和标签,采用联邦信息处理标准(FIPS)和国家信息安全标准(NIST)等框架。
数据安全风险:数据安全风险包括潜在的威胁和漏洞,可能危及数据的机密性、完整性和可用性。 协作:数据团队和安全团队应紧密合作,共同评估和管理数据安全风险。 风险管理:采用NIST风险管理框架(RMF)来识别和管理数据安全风险。 第三方风险:共享数据时,必须考虑第三方的安全实践和风险管理。
数据安全监控:包括对数据在静止和传输状态下的监控,使用数据安全监控、日志记录和警报系统来识别和响应异常或可疑活动。 数据安全控制:使用数据安全控制措施(如加密、权限管理、数据丢失防护DLP)来保护数据,并结合访问控制机制(如基于角色的访问控制RBAC、基于内容的访问控制CBAC、基于属性的访问控制ABAC)来确保适当的数据访问和使用。
策略定义:根据数据的敏感性定义策略,明确谁可以访问数据、在什么条件下访问以及可以对数据进行什么操作。 访问控制:限制威胁行为者直接与受保护资源或数据交互的能力,同时通过分段控制限制威胁行为者在突破访问和边界控制后造成进一步损失的能力。
自动化数据库存扫描:确保数据库存的及时更新,通过工具和脚本扫描网络、文件系统、数据库和云存储库以发现数据资产。 数据监控:实时监控数据访问、数据活动和修改以及用户行为,包括异常检测以识别可疑活动。
日志记录:记录谁访问了什么数据、何时访问以及从何处访问。 审计:定期审查日志以识别异常或可疑活动,使用自动化工具标记偏离规范或违反安全策略的活动。 警报:在检测到异常时通知相关人员,以便立即采取行动以缓解潜在威胁。
优先处理已知数据类型:首先关注常见的数据类别,如包含个人身份信息(PII)的文件。 识别需要缓解的风险:确定安全控制的目的和必要性,理解数据的使用或流动需求。 使用安全控制来执行策略:实施安全控制以防止数据从安全环境转移到不安全环境。 采用迭代方法:逐步增加响应措施,从记录数据移动开始,逐步升级到用户通知、安全运营中心(SOC)警报、数据传输隔离和最终的阻止未经授权的传输。
数据建设
电话:010-84645772
网站:www.milthink.com
