CWE-1340 CISQ 数据保护检测视图 是CISQ的一个"自动源码数据保护检测(AUTOMATED SOURCE CODE MEASURE FOR DATA PROTECTION)"工作组,组织制定的,我们来看下这个工作组的一些主要信息。
工作目标
这个工作组创建的目的是为了, 根据一组相关的软件弱点(CWE), 创建一个自动源代码数据保护措施,该措施将用于支持企业和供应链在保护数据、机密信息、知识产权和隐私方面的需求。
参与人员
Dr. Bill Curtis, CISQ的创立者;
Synopsys和CAST两个工具厂商的专家;
MITRE、CGI的几位专家;
来自诺斯罗普·格鲁曼(Northrop Grumman)一位专家。 这个公司是世界第三大军火商,世界上最大的雷达制造商和最大的海军船只制造商。我们熟悉的B-2隐形轰炸机、RQ-4全球鹰无人机、E2-C预警机等都是出自这个公司。
规范制定的机理
规范通过包含与数据泄漏(未经授权的访问可以读取/修改数据)相关的CWE, 来形成一个可以使用自动源代码检测的防范方法, 从而使数据保护措施成为一个可以落实到具体检测工具的保护规范.
规范的关联性
标准与GDPR、CCPA和CMMC高度相关,重点关注寻求遵守与数据保护和隐私相关的监管指南的企业和软件弱点(CWE)与的相关性。许多组织为了接受与CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相关的过程评估,在企业中对运行的系统、设备、传输数据的软件进行代码扫描,以发现是否存在数据泄漏,从而揭示与流程评估相关的数据保护/隐私控制是否得到了适当实施。
规范的适用范围
可以为软件开发、第三方软件的验收测试和审核、以及独立验证和校验(Independence Verification & Validation(IV&V))的用例。
规范的将来
作为后续工作,CISQ寻求使其与ISO/IEC 25000系列(25010软件产品质量特征)保持一致,以将数据保护指定为安全的子特征。
项目组是2020年5月开始工作,2020年12月向对对象管理组织(Object Management Group (OMG))提交了规范, 预计该措施将在2021年初成为OMG标准。OMG就是CISQ的背后的资助组织, 是一个国际性、开放成员、非营利性技术标准联盟。OMG标准由供应商,用户,学术机构和政府机构推动,OMG工作组针对各种技术和更广泛的行业制定企业集成标准。 可见这个规范刚刚完成制定(12月初),就立刻(12月10号)被纳入了CWE的新版本中了。
2.3. 建议的违规报告在工作组的网站上还给出了一个建议的违规报告, 如果这些工具给出了些软件弱点(CWE)相关的缺陷, 则说明软件中存在未经授权访问以读取或修改数据的源地方,会存在数据泄漏或数据损坏的场景。 如果这些软件作为网络连接资产的一部分运行,则组织企业将面临不符合CMMC、GDPR、CCPA或HIPAA监管要求的风险。
报告中列举了违反以下规范的具体条目:
NIST SP 800-171 Rev 2: 7 类, 20个规则;
NIST SP 800-53: 7 类,19个规则;
ISO/IEC 27001: 7 类,13个规则;
3. 主要涉及法规和规范从规范的关联性我们可以知道,为了满足或支持企业和供应链在保护数据、机密信息、知识产权和隐私方面的需求,参考了目前业界主要的法规或标准中与数据保护相关的部分,并把这些条例、规则或内容,映射成了一个可以通过工具检测的软件弱点(CWE),从而实现对数据保护可实施的自动检测措施。下边我们对这些涉及的法规或规范做个介绍。
3.1. 隐私保护 3.1.1. GDPR通用数据保护条例(General Data Protection Regulation (GDPR)),旨在协调整个欧洲的数据隐私法,以保护和授权所有欧盟公民数据隐私,并重塑整个地区的组织处理数据的方式隐私。 GDPR于2018年5月25日生效,为组织提供了有关如何处理个人数据的框架。适用于向欧盟 (EU) 民众提供商品和服务的组织,或收集并分析欧盟居民相关数据的组织。无论你或你的企业位于何处,都要遵守这些新规定。
GDPR 授予人们管理组织收集的个人数据的权限, 可通过数据主体请求 (Data subject requests(DSR)) 来行使这些权限。组织需要及时提供有关 DSR 和数据泄露的信息,并执行数据保护影响评估(Data Protection Impact Assessment (DPIA))。
个人数据
是指与已识别或可识别的自然人(“数据主体”)相关的任何信息;可识别的自然人是指可以直接或间接识别的人,尤其是通过引用诸如名称、识别号、位置数据、在线标识符或该自然人的身体、生理、遗传、精神、经济、文化或社会身份所特有的一个或多个因素。