1 / 9⼩蜜蜂 翻译组【 公 益译 ⽂ 】 NIST评 估 信 息 安 全 持 续监 控 项 ⽬ 指 南 : 评 估 ⽅ 法 ( ⼆ ) blog.nsfocus.net /nist-iscm-2-0921 《NIST评 估信息安全持 续监 控( ISCM )项 ⽬: 评 估 ⽅法》⼀⽂可⽤于: 为组织各风险管理 级别( 定 义见 NIST SP 800-39 《管理信息安全 风险:组织、 任 务 与 信息系 统视 ⾓》) 开 展ISCM项⽬评 估 提供指 导 ; 阐述了 ISCM项⽬评 估与 重要安全 概 念和 过 程的相 关 性,如 NIST 风险 管理 框 架( RMF )、全 组织风险 管 理级别、组织治理、 ISCM 指 标 和持 续 授 权 ; 介绍了有效的 ISCM 项 ⽬ 评 估 所具 备 的特点; 提出了 ISCM项⽬评 估 标 准(同 时 提供了 参 考 来 源), 组织 可采⽤ 这 些 标 准 进 ⾏ ISCM 项 ⽬ 评 估, 或基于 这些标准制定适合本 组织 的 评 估 标 准; 介绍了通过评 估程序 进 ⾏ ISCM 项 ⽬ 评 估 的⽅法, 该评 估 程序在相 关 配套⽂件(包含 ISCM 项 ⽬ 评 估 要素 ⼀览表)中进⾏了定 义, ⽤以 开发 可 复 ⽤的 评 估 流程。 ⽬标读者为持续监 控信息安全 态势 和 组织风险 管理的 个 ⼈,包括: 负责评审组织 ISCM 项 ⽬的 个 ⼈,包括 进 ⾏技 术评审 的管理⼈ 员 和 评 估 ⼈ 员( 如系 统评 估 ⼈、 内 部和第三 ⽅评 估员 /评 估团队、 独 ⽴ 验证 / 认证评 估 师、审计 ⼈ 员 和系 统负责 ⼈); 承 担任务 /业务负责 ⼈或受托⼈ 责 任的 个 ⼈(如 联 邦机 构负责 ⼈、⾸席 执 ⾏官和⾸席 财务 官); 需要考虑 ISCM功能的系 统开发 / 集成 负责 ⼈(如 项 ⽬ 经 理、系 统负责 ⼈、信息技 术产 品 开发 ⼈ 员、 系 统开 发⼈员、系统集成商、企 业 架 构师、 信息安全架 构师 和通⽤控件提供⽅); 承 担系统和 /或安全管理 / 监 督 职责 的 个 ⼈(如⾼ 层领导 ⼈、 风险 管理⼈ 员、 授 权 ⼈、⾸席信息官、⾸席信 息安全官),这类 ⼈ 员 需在⼀定程度上依 赖 于持 续监 控 过 程中 输 出的安全相 关 信息做出基于 风险 的 决 策; 负责系统和安全控制 评 估与 监 控的 个 ⼈(如系 统评 估 ⼈、 评 估 员 / 评 估 团队、 独 ⽴ 验证 / 认证评 估 师、审 计⼈员、系统负责 ⼈或系 统 安全主管)。 连载 2 内容介绍了对组织风险 管理中的 ISCM 进 ⾏ 评 估 的基 础 和 类 型。 ISCM项⽬评 估的基 础 ISCM项⽬评 估过 程包含信息收集和 证 据分析。 组织 可利⽤所收集的信息和已 确认 的 证 据 进 ⾏如下活 动: 识别改进组织 ISCM 项 ⽬(包括 ISCM 战 略)的具 体 机 会 ; 判 断组织领导或员 ⼯ 对 ISCM 项 ⽬以及 该项 ⽬在 风险 管理流程中所 处 位置的了解程度; 判 断组织对 ISCM项 ⽬在各 级别 的适⽤性以及 ISCM 功能在全 组织 集成度的了解程度; 识别组织安全和风险 管理 项 ⽬的 潜 在改 进 机 会, 包括 ISCM 能⼒ 与 组织风险 管理功能之 间 的 联 系; 重点考虑 与组织 ISCM 项 ⽬相 关 的 风险应对 决 策和相 关风险缓 解活 动 ; 确认组织已解 决系 统 和 运 ⾏ 环 境中 识别 出 来 的安全 问题 和缺陷; ⽀持监控活动和信息安全 态势 感知; 评 估持续授权的准 备 情 况 ; 为未 来或计划中 ISCM 项 ⽬的 设计 提供指 导 或 评 估 现 有 ISCM 项 ⽬中所做的 计划 性 变 更。2 / 9ISCM项⽬评 估会检查 通⽤控制措施、混合控制措施和特定系 统 控制措施的控制 评 估 流程,判 断 组织 是否 对 控制 措施进⾏了评 估。 本⽂ 并 未要求在 评 估 ISCM 项 ⽬ 时评 估 单 个 控制措施或 检查 控制措施的 评 估 结 果。必要 时, 组织可修改 ISCM项 ⽬ 评 估 ⽅案、增加 评 估 要素 来 评 估 单 个 控制措施,也可引⼊控制 评 估 流程。本章其余部分 将 逐⼀解释 ISCM项 ⽬ 评 估 的各 个 环节。 1.1 ISCM项⽬评 估标准 ISCM项⽬评 估⽅案 为评 估 ISCM 项 ⽬定 义 了各 个 ⽅⾯的 评 估 标 准(如安全 状况 监 控政策和程序、通⽤控制措施 评 估政策、配置管理程序、安全 状况 报 告)。本⽂ 档 定 义 的 评 估 标 准以评 估要素为核⼼。以下是评 估 要素⽰ 例: 有基于组织级 ISCM 战 略建⽴的 ISCM 项 ⽬。( 评 估 要素 1-002 ) 有组织级安全 状况 监 控政策。( 评 估 要素 1-008 ) 按照规定频率和程序 进 ⾏安全 状况 监 控。( 评 估 要素 3-007 ) 有组织级政策要求 将 ISCM 结 果 输 ⼊到 风险评 估 流程。( 评 估 要素 1-011 ) 按照程序,对 ISCM 项 ⽬ 发现 的 风险进 ⾏ 响应 措施 确 定和 优 先 级设 置。( 评 估 要素 3-023 ) 有ISCM指标及相应评审 程序。( 评 估 要素 2-024 ) 回顾 ISCM战略,确 定如何提⾼已知和新型威 胁响应 能⼒。( 评 估 要素 6-005 ) 若ISCM相关陈述的 来 源跨越多 个 ISCM 阶 段, 则 要分成多 个 评 估 要素,每 个( 唯⼀)要素 对应 ⼀ 个 流程 阶 段。 评 估要素也 会从其他 ISCM 功能和原 则 中提取,如 开发 ⼈ 员、 操作⼈ 员、评 估 ⼈ 员 根据 经验 和 联 邦指 导 所建 议 的功能和原则。 要素的选择取 决于 评 估 范 围(见 2.3.2 节),评 估 范 围 受 2.1.2 节 中定 义 的 风险 管理 级别 或 ISCM 流程 阶 段的限 制。例如,评 估范 围 受限情 况 下,按如下原 则选 取 评 估 要素: 对于 1级风险管理, 仅选择 适⽤于 1 级 的要素。注意:适⽤于 1 、 2 级 的要素和适⽤于 1 、 2 、 3 级 的要素都在 这 个集合中。 对于 “定义 ”和 “⽴项 ” 阶 段, 从 ⼀ 览 表或 组织 定 义 的 评 估 要素集中 仅选择 适⽤于 ISCM 流程 阶 段 1 和 2 的要 素。注意:每 个要素只适⽤于⼀ 个 流程 阶 段,多 个 阶 段 连续进 ⾏,⽆ 论 何 种 情 况, “ 定 义 ” 阶 段均不可省 略。 有些评 估要素 会评 估 RMF 过 程所 输 出信息(如 当 前 风险 ⽔平、 风险 承受⽔平、威 胁 和漏洞信息)的使⽤,因⽽ 在⼀定程度上超出了 ISCM 项 ⽬的范 围 ;有些要素 则评 估 ISCM 项 ⽬是否能 够输 出安全相 关 信息(如安全 状况 报 告、安全指标),为组织实 施 RMF 提供 参 考; 还 有些 评 估 要素可能 与SP800-53中某些控制措施重 叠, 但 ISCM 项⽬评 估并不考虑 或 评 估个 别 控制措施的有效性。 组织或评 估⼈员可以基于本⽂ 档 提供的 评 估 要素和 评 估 程序,制定⾃⼰的 评 估 ⽅案, 输 出 评 估 ISCM 项 ⽬所需的 证据,判 断评 估标 准所 规 定的 ISCM 要求是否已 实现。 评 估要素也可以视为对 当 前所 开发 ISCM 项 ⽬的要求。 组织 可根据 这 些要素, 设计 ISCM 项 ⽬所需的功能、政策 和程序。评 估要素 还 可⽤于 评 估 ISCM 规划 或 设计, 如 ISCM 技 术 架 构、 操作步 骤 和 ISCM 战 略。 1.2 ISCM项⽬评 估要素 来源 ISCM项⽬评 估要素的 来 源包括: 2014年《联邦信息安全 现 代化法案》( FISMA )【FISMA2014】;3 / 9⾏政指令,包括⽩宫计划 和⾏政命令; 涉及ISCM要求的 OMB 备 忘 录【OMB M-1 1-33】; OMB通知 A-130( 2016 )【OMB A-130】; NIST风险管理指南和 ISCM 指南【SP800-37】【SP800-39】【SP800- 137】; 从ISCM、安全⼯程、 网络 安全、系 统 ⼯程和信息技 术 等集 体从 业经历 所 获 取的 专业经验。 1.3 ISCM项⽬评 估要素 属性 每⼀ISCM项⽬评 估 要素均有多 个属 性,⽅便 评 估 ISCM 项 ⽬的 实 施情 况。 在 ISCM 项 ⽬ 评 估 要素⼀ 览 表中, 这 些 属性按列展⽰,具 体 如下: ISCM项⽬评 估要素 ID ISCM项⽬评 估要素描述 风险管理级别 来源 ISCM项⽬评 估程序 备注 – 为 ISCM项 ⽬ 评 估 程序 属 性提供的 补 充信息 级别说明 ⽗要素 – 前⼀阶段的 ISCM 项 ⽬ 评 估 要素 链标签 链分类 1.4 ISCM项⽬评 估要素追溯 关 系( 链) 可 将 ISCM项⽬评 估 要素串成 链,这样, 基于 ISCM 项 ⽬的特定⽅⾯(如安全 状况 监 控或 ISCM 指 标), 可⽅便 地 从⼀ 个要素追溯到 与 “ ⽗要素 ” 属 性相 关 的⼀ 个 或多 个 其他要素。 评 估 要素串 联 在⼀起, 构 成 “ 链 ” ,提供追溯 关 系。这种关系链可 显 ⽰跨越 两 个 或多 个 IS

pdf文档 NIST评估信息安全持续监控项目指南评估方法二

文档预览
中文文档 9 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共9页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
NIST评估信息安全持续监控项目指南评估方法二  第 1 页 NIST评估信息安全持续监控项目指南评估方法二  第 2 页 NIST评估信息安全持续监控项目指南评估方法二  第 3 页
下载文档到电脑,方便使用
本文档由 思安2022-12-05 09:17:57上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
热门文档