整理NIST80055信息技术系统的安全指南7文档格式.docx
- 文档编号:20196071
- 上传时间:2023-01-17
- 格式:DOCX
- 页数:71
- 大小:610.67KB
整理NIST80055信息技术系统的安全指南7文档格式.docx
《整理NIST80055信息技术系统的安全指南7文档格式.docx》由会员分享,可在线阅读,更多相关《整理NIST80055信息技术系统的安全指南7文档格式.docx(71页珍藏版)》请在冰豆网上搜索。
该项目的成功执行可以帮助代理满足OfficeofManagementandBudget(OMB)每年报告信息安全项目现况的要求。
历史
度量信息安全控制和技术的方法已经很多年显影不足了。
本文基于以往的努力,提出了一种将NationalInstituteofStandardsandTechnology(NIST)SpecialPublication(SP)800-26,SecuritySelf-AssessmentGuideforInformationTechnologySystems中的安全控制目标和技术结合进来的方法。
关于系统和项目的安全控制目标和技术每年都会向OMB回顾和报告,以保持和包含了FISMA的ElectronicGovernmentActof2002的一致性。
该法案要求部门和代理保证满足可应用的安全要求,以及根据每年的项目回顾证明其真实的性能水平。
2002年5月21日,NISTFederalComputerSecurityProgramManagers’Forum发
1.“系统”一次是一个汇集性的术语,可以表示(OMB)CircularA-130,AppendixIII.中定义的MajorApplications(MA)和GeneralSupportSystems(GSS)。
起两个信息安全度量以帮助联邦职员起草OMB财政年度2002GovernmentInformationSecurityReformAct(GISRA)的报告。
GISRA,是PublicLaw106398,FloydD.SpenceNationalDefenseAuthorizationActforFiscalYear2001的一部分,被FISMA在2002年12月所替代。
大约75个联邦政府职员参加了该项目,在这里他们研究如何发展基于NISTSP800-26的信息安全度量。
该文件,NISTSP800-55,包含了该项目的进程,包括由突破小组提出的最初度量;
扩展了该项目小组提出的主题;
并且提出了度量的示例以及使用度量的执行指导。
1.2安全项目综述
一个组织的安全度量应该包括4个相互关联的因素(见图1-1)。
一个强壮的高水准的管理支持的基础是急需的,不仅仅为了安全项目的成功,同时也是为了安全度量项目的执行。
这种支持将焦点放在了组织中最高级别的安全上。
如果没有一个坚固的基础(例如,给那些控制IT资源人员的前摄支持),这个安全度量项目的有效性将会在政治和预算的限制下失败。
一个有效的安全度量项目的第二个因素是由权威支持的实用的安全政策和程序以保证其权威性。
实用的安全政策和程序应当是力所能及的并且通过适当的控制可以提供强大的安全。
如果没有合适的程序,度量是很难做到的。
第三,为了获得和提供有意义的性能数据,需要建立可计量的性能度量。
而且,要提供有意义的数据,可计量的安全度量必须以信息安全性能为目标,同时也需要具有可行性,能够容易做到。
它应该是可重复的,能够提供性能的走势,而且,能够跟踪性能和指引资源配置。
最后,安全度量项目必须强调对测量数据定期的分析,以弥补已得到的教训,改进现有安全控制的性能,部署未来的控制计划,以满足各种新出现的安全要求。
正确的数据收集必须保证对项目干系人和使用者的优先权,以使收集的数据是对整个安全项目的管理和改进是意义重大的。
一个信息安全项目执行的成功与否应该由其执行结果的效用程度来评判。
一个全面的安全度量项目应该提供足够的理由,以达成能够直接影响组织情况的决议。
这些决议包括预算、人事需求以及对可利用资源的配置。
安全度量应该为安全性能相关报告的准备提供精确的基础。
1.3和其他NIST文件的关系
本文件是NIST系列专刊的一个后续。
NIST旨在帮助信息安全项目中的制定、执行和维护人员。
NISTSP800-26确定了5个管理控制的主题,9个运行控制的主题和3个技术控制的主题以改变一个组织的安全情况。
本文件提供了一种被推荐的方法来量化NISTSP800-26中的关键部分以及确定系统安全控制目标和技术的执行和有效性。
1.4读者
本文件的指导是为各种级别的信息管理者和安全专家提供,包括政府内和政府外的。
1.5文件结构
以下的讨论分为如下几个部分:
●第二部分----任务和责任。
描述了代理职员的任务和责任,他们对整个信息安全项目的成功和安全度量项目的建立有直接的关系。
●第三部分----信息安全度量背景。
提供了安全度量、执行利益、各种类型的安全度量和直接影响安全度量项目成功的因素的相关背景和定义。
●第四部分----度量发展。
介绍了用于信息安全度量发展的方法。
●第五部分----度量项目执行。
讨论了可以影响安全度量项目的技术执行的各种因素。
本向导同时包含了3个附录。
附录A-计算机安全度量示例,提供了安全度量的应用示例,它们可以被使用或修改以满足特殊代理的需求。
附录B提供了本文件中出现的缩写词的清单。
附录C是参考材料清单。
2.任务和责任
本部分略述了发展和执行信息安全度量的主要任务和责任。
2.1代理领导
代理领导要对整个组织的IT下部组织的安全情况负责。
他要控制安全预算,对资源配置有最终管理权。
代理领导有如下关于信息安全性能度量的责任。
●对信息安全度量的发展和执行做出示范支持,要沟通代理机构的职务支持。
●保证项目拥有足够的财政和人力资源。
●在整个代理机构中积极促进信息安全度量成为信息安全性能改进的核心。
●制定相关政策以制定度量和促进度量的发展和执行。
●激励项目管理者,保证他们发扬和使用度量以支持信息安全项目。
2.2首席信息官
InformationTechnologyManagementReformActof1996(我们常说的Clinger-CohenAct)要求代理任命首席安全官(CIOs)并且使用商业过程和性能测量来保证有效的IT获得和执行。
CIO有如下信息安全度量的相关责任:
●通过正式的领导关系来示范管理者对信息安全度量发展和执行的责任。
●正式传达使用信息安全度量的重要性,使用信息安全度量是为了监控整个信息安全度量项目的健康发展以及遵守应用的章程。
●为项目分配足够的财政和人力资源。
●和项目管理者/系统所有者沟通以提高度量的赞成度,为项目提供支持。
●授权信息安全度量收集。
●有规律的回顾信息安全度量,并且使用信息安全测量数据以帮助制定政策,分配资源,制定预算,以及理解信息安全项目的现况。
●保证有适当的程序来处理度量分析够得出的问题并且采取相应的纠正手段,比如修改安全程序和对员工提供额外的安全训练。
●为度量的制定、执行、发展制定相关的官方政策、程序和向导。
2.3AgencyITSecurityProgramManager2
这个职位以不同的名称被人们所知,例如DeputyCIOforCyberSecurity,DeputyCIOforITSecurity,或者InformationSystemSecurityOfficer(ISSO)。
他的首要责任是信息安全的代理。
SecurityProgramManager有以下关于信息安全度量的责任。
●领导信息安全度量项目发展的执行。
●为度量的发展、建立和分析,要确保在整个代理中实行一个标准化的过程。
●引导发展信息安全度量相关的内部政策或向导。
●为项目发展和执行得到有资格的政府职员或承包商的支持。
●为项目发展和执行获得足够的财政资源。
●在项目执行的每一步都要积极的向项目管理者/系统所有者索要和提供反馈。
2.在FISMA中这个职位被命名为SeniorAgencyInformationSecurityOfficer
●保证测量数据的收集,分析以及向CIO和代理项目管理者/系统所有者的报告。
●规律性的回顾信息安全度量,并且使用信息安全测量数据,以支持相关政策、资源配置、预算决议以及对信息安全项目健康状态的观察。
●为制定政策、资源配置、预算决议,训练项目管理者/系统所有者使用信息安全度量的结果。
●保证对项目足够的维护,在项目中已达到其性能指标的度量将被淘汰,新的度量将建立和使用。
●通过限制每次在每个单独测量点上收集的度量数目在10到20之间以保证项目容易管理。
●保证对优先的条款和问题要有优先的度量。
●通过测量信息安全性能,要执行相应的修改。
2.4项目管理者/系统所有者
信息和系统所有者要确保有合适的控制以保证IT系统和所有者的数据的机密性、完整性和有效性。
项目管理者/系统所有者有如下关于信息安全度量的责任:
●通过提供关于数据收集可行性的反馈来参与信息安全度量项目的发展和执行;
鉴定数据资源和存储。
●对员工进行信息安全度量的发展、收集和分析的教育,以及它是如何影响信息安全政策、要求、资源配置和预算决议的。
●确保测量数据坚持而正确的收集并且提供给分析和汇报数据的指定员工。
●当需要时,指挥员工之间全部共享和协作。
●规律性的回顾信息安全测量数据,并将其使用于制定政策、配置资源和预算决议。
2.5SystemSecurityOfficer
本文件中出现的SystemSecurityOfficer一词可以理解为:
为一个代理或者部门的特殊项目或系统指派的负责其安全的人员。
SystemSecurityOfficer有如下关于信息安全度量的责任:
●管理日常的项目发展和执行。
●为负责收集、分析和汇报数据的员工收集或提供测量数据。
3.信息安全度量背景
本部分描述了什么是度量和为什么要测量信息安全性能。
另外,本部分说明了几种可以测量信息安全控制的度量,讨论了制定一个成功度量的重要因素,阐明了度量对管理、报告和决策的不同作用。
3.1定义
制定度量是为了通过收集、分析和报告性能相关的数据,以推动制定政策、改进性能和责任。
测量性能的目的是在观察测量结果的基础上,通过采取纠正手段,来监控所测行为的状态,并推动对其的改进。
在一个组织中,信息安全度量可以在不同水平上获得。
系统级别上收集到的逐条的度量,可以依靠组织的规模和复杂度汇聚成一个更高水平的度量。
有时针对更多的逐条的和汇聚起来的度量需要用到更多不同的术语时,比如“metrics”和“measures,”本文件将交替的使用这些术语。
信息安全度量必须基于信息安全性能短期和最终目标。
信息安全性能的最终目的表述了系统安全项目执行所渴望得到的结果。
例如,“所有的职工都得到了足够的安全意识训练。
”信息安全性能的短期目标通过完成由安全政策和程序定义的行为来促成最终目标的完成,这些政策和程序指引了整个组织中安全控制的贯彻执行。
对应于以上关于最终目标的例子,关于信息安全性能短期目标的例子是:
“所有新员工得到了新员工训练,”“员工训练包括行为规范的概要,”“员工训练概括和涉及到组织的安全政策和程序。
”信息安全度量通过量化安全控制的执行程度以及其有效性和效率,分析所采取安全措施的足够性,确定可能的纠正措施来促成短期和最终目标的达成。
随着度量的发展,来自联合的、内部的、外部的向导中的,法律中的和章程中的短期和最终目标将被鉴别并按优先权区分以保证安全性能中可测量的方面对应组织中运行的优先权。
信息安全度量必须得到可计量的数据信息,从而满足比较的目的,能够应用公式来分析,能够利用参照物的相同点来跟踪其变化。
百分数和平均数是常用到的,绝对数值有时也是有用的,采用何种形式完全根据被测对象的属性。
计算所需的测量数据必须是容易得到的,值得考虑的方法也必须是可以测量的。
只有那些相容的和可复用的方法值得考虑用于测量。
尽管方法可能是可复用和稳定的,测量数据却可能难以得到。
通过吸收其他地方可能用到的资源,测量必须使用容易得到的数据以保证组织的测量的负担不会过大以至于无法完成测量目的。
为了跟踪性能和指引资源配置,度量应当随时间推移提供相关的性能趋势,并且指出可以解决问题的改进方案。
使用度量应当能够评价性能,通过回顾测量趋势,鉴定和区分纠正措施的优先性,指引那些纠正措施的应用,而这些纠正措施是建立在缓解风险和可用资源的基础上的。
在第4部分中描述的度量发展的程序,保证了度量的目的是为了确定导致低性能的原因从而指出合适的纠正措施。
3.2使用度量的好处
安全度量项目为组织和财政提供了很多的益处。
组织可以通过信息安全度量改进安全责任。
通过数据收集和汇报的过程,可以精确的查处技术、运行或管理上的没有或者错误执行的控制。
信息安全度量可以被创建以测量组织安全的每个方面。
例如,风险评估、渗透测试、安全测试和评估以及其他安全相关的测试结果都可以被量化并作为测量的数据资源使用。
通过使用度量分析的结果,项目管理人和系统所有者可以将问题隔离,并使用收集的数据判断投资需求,然后将投资方向指定在需要改进的地方。
通过使用度量来确定投资目标,组织可以用有限的可用资源获取最大的利益。
部门和代理机构可以通过执行和维护本文件中描述的信息安全度量来保证对法律、法规、章程的遵守。
使用信息安全度量,可以通过陈述对过去的和当前的财政年度的表现度量,以使每年都需要的FISMA报告更加令人满意。
另外,信息安全度量可以作为GeneralAccountingOffice(GAO)和InspectorsGeneral(IG)审计的输入。
信息安全度量项目的执行将会向前摄安全证明代理的承担义务。
它也将极大的减少代理收集数据的时间,而这项任务又是GAOandIG审计时为以后补充数据所例行要求的。
信息安全度量项目的执行,意味着要求的数据开始被作为日常度量项目运行的一部分被跟踪,收集和分析。
财政的约束以及市场的限制迫使政府和产业采取缩减预算的政策。
在这种情况下,在信息安全的下层机构很难得到广泛的正确的投资。
以前对信息安全特殊领域投资的争论缺乏细节和特异性,并且不能充分减少特殊的系统风险。
信息安全度量的使用容许组织测量过去和现有的安全投资的成功和失败,并且可以提供可以测量的数据为支持今后投资的资源配置。
通过信息安全行为的相关结果(比如事故数据,由计算机攻击造成的税收损失),信息安全度量也可以提高被执行的信息安全度量、程序和控制的决定有效性,这种有效性将作用于各个方面的需求和信息安全的投资。
3.3度量类型
一个组织信息安全项目的成熟程度决定了可以成功集合的度量类型,如图3-1所示。
一个项目的成熟程度是由手续和程序的存在和制度化来定义的。
一个安全项目成熟时,它的政策将拥有更多的细节,会有更好的文件,它所使用的程序将会更加标准化和制度化,它所产生的数据将会被更高质量的使用于性能度量。
根据NISTSP800-26,一个安全项目的过程包括制定政策(第一级),制定详细的程序(第二级),执行这些程序(第三级),测试程序的依从容性和有效性(第四级),以及最后的投入日常运行的完整的政策和程序(第五级)。
一个成熟的项目通常会配置多样的跟踪机构来量化它表现的各个方面和制定文件。
随着可利用的数据越来越多,测试的难度会随之降低,自动收集数据的能力也会随之增加。
数据收集的自动化程度决定于可用数据是来自自动化的资源还是来自于人。
手动的数据收集需要设计问卷,对组织员工进行采访和调查。
当一个安全项目成熟后,通过半自动的数据资源,比如自动评估工具,证明和委派(C&
A)数据库,事故报告和相应数据库,以及其他一些数据资源,更多的数据将可被利用。
当所有的数据来自于自动数据资源而没有人参与和干涉时,数据资源就完全实现了自动化。
可以达成的和对性能改进有用的度量(执行,有效性,效率,和影响)的类型取决于安全控制执行的成熟程度。
尽管不同的度量可以同时使用,随着安全控制执行的逐渐成熟,度量的侧重点是不断改变的。
当安全控制已经被程序所定义并且进入执行程序时,这时度量的侧重点在安全控制级别上。
应用在这个级别上的执行度量的例子有具备认可的安全计划的系统的百分数和配置了要求的口令政策的系统的百分数。
当一个系统从级别一进入级别二后,这些度量执行的结果将是低于百分之一百,这说明系统还没有到达级别三。
当度量执行的结果到达并维持在百分之一百时,说明系统已完全执行了安全控制并且到达了级别三。
当安全控制被很好的制定文件和执行时,可靠的收集执行结果的能力也随之增强。
随着组织的信息安全项目的发展和性能数据可用性的增强,度量将会将侧重点放在项目效率----安全服务交付的时间和有效性----安全控制执行的结果。
当安全进入一个组织的过程后,这些过程将可以自动更新,测量数据的收集也会完全的自动化,由数据关系的分析也可以确定安全相关行为的任务和商业影响。
附录A包含了执行、效率、有效性度量的实例,它们都建立在NISTSP800-26的关键部分基础上。
级别四和级别五的度量致力于测试被执行的安全控制的有效性和效率以及这些控制对组织任务的影响。
这些度量致力于测试和综合的证据和结果。
不像以前那样测量被认可的安全计划的百分数,这些度量致力于确认由安全计划所描述的安全控制是否对保护组织的资产有效。
例如,通过测量破译一个依从政策的口令的时间长度,计算在一定时间中可破译口令的百分数,以验证组织口令政策的有效性。
有效的度量应当能够区分事故类型(比如系统被入侵,口令泄漏,恶意代码,服务拒绝)并且能够根据事故数据度量受训练的用户和系统管理者百分数,一次测量安全训练的影响程度。
3.4成功因素
一个信息安全度量项目的成功受到很多因素的影响。
要促成项目的成功,必须使项目在考虑到组织结构、过程的特殊性以及合理的资源约束的前提下运营和执行。
3.4.1组织注意事项
信息安全度量的发展和项目的执行必须包括系统涉众。
并且要包括那些不以信息安全为主要责任但是与信息安全经常密切联系的组织因素(例如,训练、资源管理、法律部门)。
如果一个组织因素通常是对性能度量有责任的,信息安全度量的执行和发展应当与之相协调。
如果一个程序能够广泛推动组织数据的调用和行为,信息安全度量的执行和发展也应当与之相协调。
3.4.2易管理性
易管理性是成功的一个非常重要的因素。
许多安全行为的结果可以被量化并且用来度量性能;
但是,由于资源是有限的,并且大多数资源用来改进性能的不足,组织应当区分度量要求的优先级以保证有限的度量被收集。
这个数量应当保持在每涉众每次5到10个度量。
随着项目的成熟和度量目标的达成,旧的度量应当被淘汰,新的能够测量更多现有项目的有效性和完成度的度量应当开展。
而且当组织任务重新定义或者安全政策和向导有所变化时,也会需要有新的度量。
3.4.3数据管理相关
为了保证数据的质量和有效性,数据收集的方法和用于度量数据收集和报告的数据存储(直接的或作为数据资源的)应当是标准化的。
当主要的数据资源是一个事故报告的数据库,仅仅存储了一些组织成员的信息,或者组织间的汇报程序是不一致的,这时数据的有效性是可疑的。
但是汇报程序的标准化又不能被过分强调。
当组织发展和执行作为信息安全度量项目输入的程序时,应当保证数据收集和汇报的清晰定义,以方便有效数据的收集。
最后,组织必须理解,虽然他们可能收集了很多的信息安全数据,并不是所有的数据对他们的度量项目在任何时候都是有用的。
任何以信息安全度量为目的的数据收集,都必须尽可能的不受干扰,并且保证最大程度的有效性,以保证可用的资源是主要用在了问题的收集上,而不是数据的收集。
度量项目的建立应当需要足够的投资以保证项目的执行是为了获取最大限度的利益。
维持项目所需的资源在期望中并不是非常重要的。
4.度量发展和执行过程
信息安全度量项目的建立和运行按照两个过程来进行:
度量发展和度量执行。
度量发展过程主要是在特定时间为组织建立合适的初始的度量以及其子集的一部分。
度量执行过程是要运转一个重复性的度量并保证在特定的时期度量信息安全的某些适当的方面。
这一部分将主要描述度量发展过程,度量执行过程将在第五部分中讨论。
4.1度量发展过程
图4-1显示了信息安全度量在一个大的组织环境中的地位。
用中也可以得出,信息安全度量可以被越来越多得用于测试组织或特殊系统信息安全活动的执行、有效性、效率和商业影响。
信息安全度量发展过程主要包括两个活动:
1.当前信息安全项目的定义和鉴定,
2.发展和挑选度量以测试安全控制的执行、有效性、效率和影响。
程序的步骤并不一定按顺序进行。
图4-1中表示的程序为探索度量和对每一个系统鉴定其适用的度量提供了框架。
度量的类型取决于系统处于其生命周期的那一部分以及信息安全项目的成熟程度。
这个框架更加便利了为特殊的组织和每个组织中不同的涉众选取相应的度量。
4.1.1涉众兴趣鉴定
在度量发展过程的第一阶段(见图4-1),尽管有些部分比其他部分在安全上有更大风险,但组织中的任何一个人都是信息安全的涉众。
那么,信息安全的主要涉众是?
●代理领导
●首席信息官(CIO)
●安全项目管理者/InformationSystemSecurityOfficer(ISSO)
●项目管理者/系统所有者
●系统安全职员
●系统管理人/网络管理人
●IT维护人员
次级的安全涉众是组织实体中那些不易安全为期首要任务但是在其运营在某些方面与安全相关的成员。
次级安全涉众包括:
●首席财政官(CFO)
●培训组织
●人力资源/人事部门
●InspectorsGeneral(IG)
根据在安全方面的不同角色和在组织中具体的层次地位每个涉众的兴趣会有所不同。
每个涉众可能会根据他们所负责的领域的信息安全性能而要求额外定制的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 整理 NIST80055 信息技术 系统 安全 指南