前美国联邦政府首席信息安全官Grant Schneider随着乌克兰发生的一切,我认为通过一些立法,人们有更多的动机。任何人都很难轻视特定条款的细微差异。
Schneider现在是Venable律师事务所网络安全服务高级主管通过《加强美国网络安全法案》对美国众议院发表了评论。参议院于3月1日同意通过该法案。
参议院通过的立法结合了三项以类似形式通过美国众议院或正在这样做的法案。
法案中最值得注意的条款是,私营部门的关键基础设施实体需要在72小时内向网络安全和基础设施安全局报告网络安全事件,包括勒索软件攻击。这些实体必须在支付勒索软件赎金前24小时内报告。议员们说,美国众议院去年通过了类似的法案,但由于时间限制,美国参议院未能完全实现他们的目标。美国联邦调查局达了对该法案排除在事件报告之外的担忧。
《加强美国网络安全法案》还包括通过独立的第三方审计证明美国政府云计算服务提供商的安全,编制和资助美国总务管理局计划。根据2019年美国政府问责办公室(GSA)在与云计算供应商签订合同之前,大多数机构通常没有通过美国政府问责办公室(GSA)联邦风险授权管理计划(FedRAMP)。美国众议院多次通过类似措辞FedRAMP编纂立法。
最后,参议院最近通过的法案包括更新2014年联邦信息安全现代化法案的冗长条款。大多数条款,包括重新定义报告目的的重大事件,反映在纽约民主党众议员身上Carolyn Maloney尽管美国众议院最近提出的立法存在一些显著差异。
众议院法案要求承认联邦首席信息安全官的权威,并要求该官员有权制定该机构的网络安全预算。美国国土安全和政府事务委员会的参议院法案没有提到这一点,联邦首席信息安全官仍在美国管理和预算办公室(OMB)之外运作。
Maloney特别警惕联邦网络的风险。她说:我祝贺美国参议院通过了《加强美国网络安全法案》,包括《联邦信息安全现代化法案》——这是我们的主要立法优先事项之一。
她补充说:美国监督改革委员会于2022年开始了两党听证会,研究如何最好地实现联邦信息安全现代化法案(FISMA)在现代化中,我们期待着通过立法程序吸取这些重要的教训。《联邦信息安全现代化法案》(FISMA)改革将决定我们未来几年的联邦网络安全形势。最终法案必须抓住每一个机会,保护联邦网络免受日常网络攻击的影响。我们共同努力实现这一目标,并相信我们将很快成功地向总统提交该法案。