联邦政府的技术标准机构NIST已经完成了其数据安全和隐私指南的重大更新,其中包括有关生物识别技术和数字身份使用的建议。新文件被称为“历史性”,并为保护IT系统和组织提供帮助,而无需牺牲个人的个人隐私。
文档,NIST SP 800-53,修订版5NIST将其描述为“多年的努力,以开发第一个全面的安全性和隐私控制目录”,以管理任何组织在使用从超级计算机到物联网设备的数据系统时面临的风险。
在多因素身份验证和身份验证器管理的背景下,多次讨论了生物识别技术,需要在组织登录系统控件的一部分中实施演示攻击检测机制。
一个修订摘要呼吁七个更新,以保证特别关注。
新文档的重点是“通过应用控制可以实现的保护结果”。为此,其作者从控制语句中删除了信息系统,组织和其他负责满足推荐控制的实体。
信息隐私和安全控制已集成到系统和组织的合并目录中。这些更改允许“控件可以为安全和隐私社区服务,并实现更有效的控制实施。”
供应链风险管理控制部分以及如何在其他整个控制部分进行整合以帮助保护系统。新的控件确保安全和隐私要求,威胁和其他因素在系统开发生命周期和全球供应链中得到处理。
作者决定将控制选择过程与控件分开。通过这样做,可以在感兴趣的社区中使用控件,这有望增加协作。
控制基线已被转移,并在更新中针对单独的出版物量身定制了指导。基线现在在NIST SP 800-53B,信息系统和组织的控制基线。
内容关系描述也得到了改善。该更新使需求之间的关系和控制之间的关系更加清晰。根据NIST,关于安全与隐私控制之间的关系也是如此。
最后一点聚焦解决了新的实践控制。它们基于最新的情报和攻击数据。
