联邦贸易委员会(FTC)监管数据安全实践的权限最近面临的挑战,批评了该机构未能为公司提供适当的指导。

换句话说,批评是,企业不知道该怎么做才能避免指控其数据安全程序未达到法律要求。

美国联邦贸易委员会在2017年7月21日开始的一系列博客文章,标题为“坚持安全,”跟随 诺言 代理主席莫琳·奥尔豪森(Maureen Ohlhausen)的职位,以提高有助于合理数据安全的做法的透明度。一些职位提供了对企业应采取的特定数据安全实践的见解,而其他职位仅提出了一般而言,FTC认为对于全面的数据安全计划至关重要的内容。

建立在从FTC执法行动中汲取的数据安全原则的基础上,两年前在 从安全性开始:商业指南就职演说 解决了FTC是否结束了重复出现的数据安全调查主题的问题。答案是一般性的,指出导致员工结束调查的做法在很大程度上与建议的做法一致。 从安全开始:“例如,公司通常具有有效的程序来培训其员工,保持敏感信息的安全,解决漏洞并快速响应新威胁。”

美国联邦贸易委员会的这些一般性结论并未提出企业可以运营的实际做法。对于FTC而言,准确说明那些公司为避免起诉而采取的措施可能会更有帮助。该博客文章确实指出,FTC可能会结束调查,因为数据已正确加密,因此在发生数据泄露的情况下造成伤害的风险很低。

看来 坚持安全 该系列通常会肯定“合理的”安全做法的类型,这些做法现已成为标准的最佳做法。确实, 第二篇 刷新了FTC的基准“从安全开始”原则 从安全开始 指导。提醒公司(带有更新的示例):不要收集不需要的个人信息,仅在有合法业务需要时才保留信息,在不必要时不使用个人信息,定期培训和提醒员工注意安全标准和做法,并在可行时为消费者提供更安全的选择。

第三篇 讨论访问控制,建议采取具体措施,例如为员工实施“清理办公桌”策略并限制管理员级别的IT权限,以及 第四篇涵盖了密码和身份验证过程,提供了一些有用的指导。例如,FTC建议将系统设计为自动拒绝太明显或太简单的密码,并在尝试多次不正确的登录时暂停帐户。它还建议公司通过多因素身份验证来保护敏感数据库,例如密码和发送到用户电话的验证码。但是,与前面的大多数帖子一样,最近的一期文章建议公司对网络的访问进行细分和监视,在批准示例性实现分段和网络监视的一般示例方面,没有超出很多。

美国联邦贸易委员会(FTC)承诺在接下来的几个月中的每个星期五都会开设一个新职位。预计下一篇文章将讨论公司应如何保护对其网络的远程访问。尽管令人鼓舞的是,FTC试图增加对企业的指导,但仍有待观察企业从这些努力中可以真正汲取哪些新见解。

* * * *

有关联邦和州有关计算机安全性法规的更多信息,请参见以下内容 社交意识 文章: 纽约州的新网络安全法规:金融服务公司需要了解的内容; 美国联邦贸易委员会报告加强了跨设备跟踪的规则;和 美国联邦贸易委员会发布有关物联网的里程碑式报告.