美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 日前發(fā)布了新指南,供政府和私人組織在尋求將服務(wù)外包給托管服務(wù)提供商 (MSP) 時加以考慮。為了幫助組織做出信息技術(shù)(IT)服務(wù)決策,國土安全部(DHS)下屬網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的國家風(fēng)險管理中心(NRMC)為被管理服務(wù)提供商客戶開發(fā)了一套風(fēng)險考慮。該框架匯編來自CISA、IT和通信行業(yè)合作伙伴的信息,為組織提供資源,以便在確定滿足其獨特需求的最佳解決方案時做出風(fēng)險決策。
CISA發(fā)布的新指南名為“托管服務(wù)提供商客戶的風(fēng)險注意事項”,針對三個決策群體:高級管理人員和董事會、采購專業(yè)人員、網(wǎng)絡(luò)/系統(tǒng)管理員和一線網(wǎng)絡(luò)安全人員。
該文檔包括來自各種權(quán)威機(jī)構(gòu)(例如美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST))的最佳實踐和注意事項,供組織審查其安全實踐并確保他們準(zhǔn)備好防止網(wǎng)絡(luò)攻擊。
CISA 解釋說,高管有其風(fēng)險管理職責(zé),并應(yīng)保持對其組織內(nèi)使用的系統(tǒng)和技術(shù)的認(rèn)識。他們還應(yīng)該了解與系統(tǒng)、數(shù)據(jù)、生產(chǎn)力和客戶信心損失相關(guān)的風(fēng)險,以及與罰款和監(jiān)管成本相關(guān)的成本。
高管以及參與采購的員工應(yīng)針對企業(yè)風(fēng)險分析外包的好處,并應(yīng)確保在出現(xiàn)可能影響運營和影響客戶的故障或事故時,客戶和供應(yīng)商共同承擔(dān)責(zé)任。
“為了最大限度地減少外包 IT 服務(wù)時的此類中斷,組織可以使用責(zé)任共擔(dān)模型在供應(yīng)商協(xié)議中定義角色和責(zé)任,該模型闡明了供應(yīng)商的責(zé)任、客戶的責(zé)任以及雙方共同承擔(dān)的任何責(zé)任,”CISA的指南中指出。
組織應(yīng)制定企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理計劃,以考慮與使用 MSP 提供的 IT 服務(wù)相關(guān)的潛在風(fēng)險。可能無法實施此類計劃的中小型企業(yè) (SMB) 仍應(yīng)對關(guān)鍵資產(chǎn)進(jìn)行分類并評估這些資產(chǎn)的風(fēng)險,并優(yōu)先考慮將其納入供應(yīng)商協(xié)議并針對影響它們的事件制定應(yīng)急計劃。
CISA 說,需求管理流程應(yīng)該跨職能領(lǐng)域進(jìn)行協(xié)調(diào),以確保性能、可靠性和安全性。CISA 指出,擔(dān)任采購角色的個人應(yīng)創(chuàng)建并維護(hù)一份要求清單,其中應(yīng)包括“對安全性、運營連續(xù)性和其他核心業(yè)務(wù)功能的考慮”。組織應(yīng)根據(jù)這些要求審查潛在的MSP。
該機(jī)構(gòu)還建議組織在簽署協(xié)議之前向MSP提出具體要求,其中包括確認(rèn)簽署MSP的個人負(fù)責(zé)服務(wù)的安全、事件管理和補(bǔ)救能力的詳細(xì)信息,并解釋不同客戶的數(shù)據(jù)在MSP網(wǎng)絡(luò)上是如何分離的。
負(fù)責(zé)監(jiān)控和管理MSP活動的員工應(yīng)制定任何第三方供應(yīng)商享有的訪問級別策略,并鼓勵組織不斷重新評估訪問要求。在可能的情況下,應(yīng)在簽訂合同之前定義特權(quán)和訪問級別,以確保供應(yīng)商能夠滿足服務(wù)要求。對網(wǎng)絡(luò)管理員、系統(tǒng)管理員和網(wǎng)絡(luò)防御者的建議中,特別強(qiáng)調(diào)了組織的網(wǎng)絡(luò)要運用零信任模型的原則。
此外,建議組織維護(hù)重要記錄和網(wǎng)絡(luò)日志的異地備份,以幫助在MSP發(fā)生事故時進(jìn)行恢復(fù)并驗證供應(yīng)商活動。根據(jù) NIST 的建議,企業(yè)應(yīng)在其事件響應(yīng)計劃中包括MSP等供應(yīng)商,并應(yīng)定期更新這些計劃。
“NIST 還建議組織和供應(yīng)商為漏洞披露、事件通知以及在事件期間與任何外部利益相關(guān)者的溝通建立明確的協(xié)議。組織和供應(yīng)商還應(yīng)為客戶網(wǎng)絡(luò)上的威脅搜尋和事件響應(yīng)程序建立明確的授權(quán)協(xié)議,”CISA 指出。
將IT服務(wù)外包給MSP的SMB,尋求提高效率和節(jié)省成本,應(yīng)保持對其系統(tǒng)訪問的完全控制,應(yīng)了解供應(yīng)商訪問,并應(yīng)保留網(wǎng)絡(luò)日志以及所有關(guān)鍵數(shù)據(jù)的異地備份,指南中強(qiáng)調(diào)。
