所有美国联邦机构都必须能够识别,凭据,监视和管理用户对整个企业中信息和信息系统的访问,以确保根据拟议的新白宫指令确保安全有效的运营,通过改善身份,证书和访问管理来增强联邦机构的网络安全。
发表在联邦公报由管理与预算办公室(OMB),拟议的指令广泛地描述了代理机构的职责,但没有规定特定的截止日期。评论可以在GitHub网站的政策草案,或通过电子邮件向联邦首席信息官的办公室发送电子邮件。
指令命令“联邦机构加强和更新其身份验证政策,以防止使用在线信息中找到犯罪或民族国家支持的黑客访问网络的访问。”
但它也旨在加强内幕威胁的访问控制。
OMB发布了新的政策,以解决联邦机构对身份,凭证和访问管理(ICAM)的实施 - “出于正确的理由,使正确个人能够在正确的时间访问正确的资源的安全学科。”
新命令紧随联邦审计之后,发现了联邦机构的许多访问控制安全弱点。
The new White House policy directive emphasized that “it is increasingly important that all agencies adopt identity validation solutions that enhance privacy and mitigate negative impacts to delivery of digital services and maintenance of online trust,” and it “is also essential that agencies' Identity, Credential, and Access Management (ICAM) strategies and solutions are informed by risk perspectives and driven by targeted outcomes.”
该指令“规定了ICAM政策,为代理商提供了加强信息和信息系统安全性的指导”,专门针对以下三个领域:
•实施有效的ICAM治理;
•代理机构ICAM功能的现代化;和
•代理机构采用ICAM共享的解决方案和服务
该指令进一步概述了政府范围的ICAM职责,并在多因素身份验证,加密,数字签名,获取和互操作性等领域提出了先前的要求。”
建立有效的ICAM治理“是联邦政府不断努力促进强大网络安全的重要组成部分,以“确保有效的治理”。所有联邦机构都必须“利用国家标准技术研究所(NIST)的方法和原则”,专门出版物,数字身份指南,还要“继续遵循国土安全总统指令12 [HSPD-12]要求与联邦雇员和承包商的身份验证和证书有关。”
关于凭证,需要长期访问联邦控制设施或联邦信息系统的联邦雇员和承包商属于HSPD-12的范围,并且应根据相关政策,标准和准则颁发PIV证书。代理商应参考OMB M-05-24,以获得其他HSPD-12的适用性要求。
该指令说:“机构应支持为联邦雇员,承包商和其他用户使用派生的PIV凭证,并使移动设备上的申请可以接受它们。由于派生的PIV凭证服务提供的产品将根据已建立的联邦信息处理标准公共201要求批准,因此,通用服务管理局的批准产品列表应包括这些代理使用这些解决方案。”
对于需要长期访问联邦控制设施或联邦信息系统的非美国国家雇员和承包商,“但无法完成标准的背景调查要求,机构应遵循人员管理办公室(OPM)政策中概述的替代凭据标准22.此外,其他人还必须根据符合条件的符合条件的符合条件,并确定符合条件的确定性,并符合符合条件的确定性,并在其他符合条件下,在OP符合条件的符合条件。必须遵守OPM政策中概述的审核要求。”
此外,“将HSPD-12要求适用于其他特定类别的个人(例如,短期(IE,少于6个月)的客人研究人员;或间歇性,临时或季节性员工是基于机构风险的决策。背景调查和身份证明这些个人应遵守OPM和NIST标准。 基础设施。”
至于互操作性,互惠性和撤销凭据,“机构应实施过程,以确定员工或承包商是否已经拥有有效的PIV凭据并利用现有的,有效的PIV凭据,而不是发行可行的地方。机构的访问权限并在本地签发的情况下,该机构应在本地签发并进行了验证。机构还应及时执行程序来撤销或销毁凭证,以防止凭证损害凭证,雇员或承包商终止或丢失凭证时未经授权的访问实例。”
最近的政府审计发现,联邦存款保险公司(FDIC)的许多严重内部违规行为较早报道生物识别更新。其中一个包括一个前“雇员”,“将三个敏感分辨率计划的高度机密组件复制到一个未加密的通用连续巴士存储设备上,并在突然辞职后获取信息。”
联邦储备银行(FSB)信息系统的最近政府问责办公室(GAO)审核“确定了信息系统控制中的新缺陷,这些缺陷以及先前审计的未解决的控制缺陷共同代表了严重的缺陷。”
Gao报道:“这些新的和持续的信息系统控制缺陷增加了未经授权访问,修改或披露敏感数据和程序的风险。”
高说,它还“确定了由美联储银行代表[财政部]维护和运营的信息系统控制和运营的关键财务系统的缺陷,这些财政部与联邦债务时间表有关……这些控制不足增加了未经卫地的访问,修改或披露敏感数据和计划的修改或披露敏感数据和计划的风险,并因此而保证和诉讼。
Gao解释说:“内部控制中的重大缺陷”是指“控件的设计或操作不允许管理或员工在执行其指定功能的正常过程中,以防止或检测和纠正及时的错误陈述。”
高说,“我们在2017财年确定的新访问控制缺陷与逻辑访问控件有关,”解释说,“有效设计和实施了逻辑访问控制措施,要求用户通过使用密码或其他标识符来验证自己,并限制文件和其他资源,这些文件和其他资源可以根据有效的需求来确定有效的官方官方官方官方官方的访问和执行的操作,并执行的操作。'
美联储系统委员会在评论GAO单独发布的“仅有限官方使用”的草案时,该机构认真对其进行了控制不足,而FRB管理人员目前正在解决新的和持续的信息系统通用控制不足的过程中” GAO在其2017财年的审计中首次确定。
高说,有效的信息系统“限制了对计算机资源(例如数据,程序,设备和设施)的不适当访问,从而保护它们免受未经授权的修改,丢失或披露的范围(访问控制)(访问控制);提供合理的保证,确保系统可以安全地配置和操作作为预期的操作(配置管理),以操作策略,可以控制组织,并且可以控制组织,以控制组织,并控制了组织,并且可以控制组织,并且可以控制组织,并且可以控制组织,并且可以控制组织,并且可以控制组织的策略,并且能够操作策略,并且可以将系统配置为程序,并且能够操作策略,并且可以将系统配置为策略,并且能够运行策略,并且能够操作策略,并且能够操作策略,并且能够操作策略,并且能够操作策略,并且能够操作策略,并且能够操作策略,并且可以将系统配置为策略,并且可以通过策略进行操作。 (职责的隔离);
同时,最近的另一份GAO审计报告指出,尽管医疗保险和医疗补助服务中心(CMS)与Medicare的受益人数据共享,这些数据与Medicare行政承包商(MAC)共享了支持支付医疗保险福利的处理和分配功能的,以及用于使用Medicare受益人的研究机构来研究MACHAIDE SERVICERIES的研究组织,并指出了MAC的智力,并指出了“ MAC的智力”,并透露了“ MACS”和“ noce of Mac and of Seartival and of Seartive and noce of Seartive and note'noce of note''研究人员指南。”
Gao发现:“研究人员必须(还必须)遵守广泛的政府标准,但没有为实施哪些具体控制的指导。” “根据CMS的说法,缺乏具体的指导使研究人员更加灵活地独立评估其安全风险并确定哪些控件适合实施;但是,在不提供针对研究人员的全面,基于风险的安全指南的情况下,CMS会增加具有符合CMS标准的安全性安全控制的外部实体的风险。”
GAO指出,医院,保险公司和医疗保健行业的其他实体的数据泄露突出了确保健康信息安全的重要性,包括有关医疗保险受益人的个人身份信息(PII)。
因此,高高告诉国会:“没有针对研究人员和合格实体的有效监督措施,CMS无法完全确保Medicare受益人数据的安全得到充分保护。”
Gao说,“关于MAC”,“尽管它们受到两种独立的年度评估的约束,这些评估定期确定了其实施安全控制时的弱点,但已评估的弱点在CMS中并未始终如一地跟踪CMS在查找跟踪系统中一直在寻找弱点的弱点。
GAO得出的结论是:“ Medicare系统和网络的分布性质,以及CMS外部的许多实体与它们相连的事实,增加了未经授权的个人可以访问这些系统的潜力以及它们所包含的大量医疗保险受益数据。”
