FISMA信息安全風(fēng)險(xiǎn)管理框架

美國作為當(dāng)今信息化高度發(fā)達(dá)的國家,在信息安全領(lǐng)域也一直保持著領(lǐng)先水平,十分重視信息安全問題的相關(guān)研究?本文嘗試從2002年美國頒布關(guān)于信息安全的立法入手,從技術(shù)發(fā)展角度,介紹NIST提出的信息安全風(fēng)險(xiǎn)管理框架和研發(fā)的一系列支持標(biāo)準(zhǔn)?

1.什么是FISMA

FISMA(the Federal Information Security Management Act of 2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務(wù)法案中的第三章?FISMA認(rèn)可了信息安全對美國經(jīng)濟(jì)和國家安全利益的重要性?該法案要求每個(gè)聯(lián)邦機(jī)構(gòu)開發(fā)?記錄并實(shí)施機(jī)構(gòu)范圍內(nèi)的信息安全程序,為它的信息和支持運(yùn)營和資產(chǎn)的信息系統(tǒng)(也包括由其它機(jī)構(gòu)?合同商等其它方面為機(jī)構(gòu)提供或管理的信息和信息系統(tǒng))提供信息安全支持?

FISMA明確強(qiáng)調(diào)“基于風(fēng)險(xiǎn)策略的安全成本-收益”?而且,為了加強(qiáng)信息系統(tǒng)安全,FISMA給聯(lián)邦機(jī)構(gòu)?NIST(National Institute of Standards and Technology,國家標(biāo)準(zhǔn)研究院)和OMB(Office of Management and Budget,預(yù)算與管理辦公室)都指派了特定的職責(zé),其中,特別要求每個(gè)機(jī)構(gòu)的領(lǐng)導(dǎo)者要實(shí)施相關(guān)策略和程序有成本收益的減少信息技術(shù)安全風(fēng)險(xiǎn)到可接受的級別,并要求機(jī)構(gòu)每年回顧信息安全程序的執(zhí)行情況,并將結(jié)果報(bào)告給OMB,OMB根據(jù)這些數(shù)據(jù)進(jìn)行監(jiān)督,并將情況報(bào)告給國會相關(guān)機(jī)構(gòu)?

2.FISMA實(shí)施項(xiàng)目

根據(jù)FISMA要求,NIST應(yīng)幫助美國的聯(lián)邦機(jī)構(gòu)遵守FISMA,并負(fù)責(zé)為所有聯(lián)邦機(jī)構(gòu)(除國家安全系統(tǒng)之外)開發(fā)能為其運(yùn)營和資產(chǎn)提供充足信息安全保障的標(biāo)準(zhǔn)?指南?相關(guān)方法和技術(shù)?因此,NIST于2003年啟動了FISMA實(shí)施項(xiàng)目,并主導(dǎo)開發(fā)了發(fā)展?測量和驗(yàn)證信息系統(tǒng)和服務(wù)安全性的標(biāo)準(zhǔn)?度量?測試和驗(yàn)證程序?

NIST擬定的FISMA實(shí)施項(xiàng)目包括三個(gè)階段:

階段1:完成風(fēng)險(xiǎn)管理框架(Risk Management frame, RMF);

階段2:建立組織根據(jù)NIST SP 800-37,800-53和800-53A執(zhí)行安全評估的認(rèn)可程序;

階段3:建立支持FISMA風(fēng)險(xiǎn)管理框架廠商工具的驗(yàn)證程序

3.FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架

NIST開發(fā)的風(fēng)險(xiǎn)管理框架可作為機(jī)構(gòu)的風(fēng)險(xiǎn)管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個(gè)信息系統(tǒng)都應(yīng)用了恰當(dāng)?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實(shí)施的正確性和按預(yù)期效果運(yùn)營的程度,并生成滿足系統(tǒng)安全性要求的預(yù)期結(jié)果?其中的風(fēng)險(xiǎn)管理框架活動如圖1所示:

圖1 FISMA風(fēng)險(xiǎn)管理框架

1)分類:基于FISP199的影響分析(參見NIST SP800 -60,Guide for Mapping Types of Information and Information Systems to Security Categories,指導(dǎo)安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關(guān)信息進(jìn)行分類?

2)選擇:基于FIPS 199安全性分類(參見NIST SP800-53,Recommended Security Controls for Federal Information Systems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?

3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機(jī)構(gòu)的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計(jì)劃中?(參見NIST SP 800-30,Risk Management Guide for Information Technology Systems)?

4)評述:評述系統(tǒng)安全計(jì)劃中達(dá)成一致的安全控制措施集合,包括對機(jī)構(gòu)初始控制措施集合的提煉和調(diào)整的解釋和理由(參見NIST SP800-18,Guide for Developing Security Plans for Information Technology Systems)?

5)實(shí)施:在信息系統(tǒng)中實(shí)施安全控制措施?(參見NIST SP800-64,Security Considerations in the Information System Development Life Cycle)?

6)評估:用適當(dāng)?shù)姆椒ê统绦蛟u估安全控制措施,以確定實(shí)施安全控制措施的正確性程度?是否按預(yù)期運(yùn)營,及是否生成了滿足系統(tǒng)安全要求的期望結(jié)果(參見NIST SP800-53A,Guide for Assessing the Security Controls in Federal Information Systems)?

7)確定:確定機(jī)構(gòu)運(yùn)營(包括任務(wù)?功能?形象或聲譽(yù)等方面)?資產(chǎn)?由計(jì)劃或系統(tǒng)持續(xù)運(yùn)營生成的個(gè)體等方面的風(fēng)險(xiǎn)(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?

8)批準(zhǔn):如果機(jī)構(gòu)的運(yùn)營?資產(chǎn)或個(gè)體風(fēng)險(xiǎn)是可接受的,則批準(zhǔn)系統(tǒng)處理過程(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?

9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應(yīng)的變更執(zhí)行影響分析,并定期向官方機(jī)構(gòu)報(bào)告系統(tǒng)的安全狀態(tài)(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?

4.進(jìn)展情況

2009年5月,NIST發(fā)布了由其計(jì)算機(jī)安全部研究的風(fēng)險(xiǎn)管理框架的FAQs和快速指南(Quick Start Guides,QSGs)的進(jìn)展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NIST SP系列標(biāo)準(zhǔn)?FIPS標(biāo)準(zhǔn)一起指導(dǎo)風(fēng)險(xiǎn)管理框架6步驟中每一步驟的具體實(shí)施?

2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實(shí)施項(xiàng)目開發(fā)和修訂的關(guān)鍵出版物的重要事件進(jìn)展情況, 其中所列的出版物包括:

l SP 800-53 修訂版 3: Recommended Security Controls for Federal Information Systems and Organizations, (項(xiàng)目截止:2009年7月31日)

l SP 800-37 修訂版1: Guide for Applying the Risk Management framework to Federal Information Systems: A Security Life Cycle Approach (原聯(lián)邦信息系統(tǒng)安全性認(rèn)證認(rèn)可指南), (項(xiàng)目截至:2009年10月)

l SP 800-39: Integrated Enterprise-wide Risk Management: Organization, Mission, and Information Systems View (原信息系統(tǒng)管理風(fēng)險(xiǎn):組織視角), (項(xiàng)目截止:2009年12月)

l SP 800-53A, 修訂版1: Guide for Assessing the Security Controls in Federal Information Systems and Organizations, (項(xiàng)目截止:2010年1月)

l SP 800-30, 修訂版1: Guide for Conducting Risk Assessments (原信息技術(shù)體系風(fēng)險(xiǎn)管理指南), (項(xiàng)目截止:2010年1月)

目前FISMA項(xiàng)目的實(shí)施,是由NIST和國防部?國家情報(bào)總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務(wù)工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標(biāo)準(zhǔn)和指南,上述公開出版物完成時(shí)間的調(diào)整,是與當(dāng)前項(xiàng)目實(shí)施要求的優(yōu)先級保持一致的?

5.運(yùn)營情況

FISMA為保護(hù)聯(lián)邦政府的信息?運(yùn)營和財(cái)產(chǎn)安全提供了信息技術(shù)保障框架,它要求每個(gè)聯(lián)邦機(jī)構(gòu)的領(lǐng)導(dǎo)都負(fù)責(zé)實(shí)施把信息安全風(fēng)險(xiǎn)降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報(bào)其信息系統(tǒng)保密性和信息安全程序相關(guān)情況?根據(jù)各機(jī)構(gòu)匯報(bào)的信息,OMB評估系統(tǒng)這些機(jī)構(gòu)的私有性績效,并制定給國會的年度安全報(bào)告,說明各機(jī)構(gòu)系統(tǒng)安全與FISMA要求的符合情況?同時(shí)協(xié)助各機(jī)構(gòu)改進(jìn)和維護(hù)私有性績效?而且,FISMA要求指定由NIST準(zhǔn)備FISMA項(xiàng)目的年度報(bào)告,其中需要說明上一年度各項(xiàng)活動的完成情況及履行FISMA責(zé)任的后續(xù)活動詳情,目前這項(xiàng)工作由NIST的信息技術(shù)實(shí)驗(yàn)室的計(jì)算機(jī)安全部執(zhí)行?

從2004年開始,OMB每年向國會提交FISMA實(shí)施情況的年度報(bào)告?據(jù)OMB給國會的2008財(cái)年FISMA實(shí)施情況報(bào)告顯示,聯(lián)邦政府2008財(cái)年IT總投資約680億美元,其中聯(lián)邦機(jī)構(gòu)安全保障花費(fèi)62億美元,約占IT總業(yè)務(wù)量的9.2%?其中,IT安全投資主要用于系統(tǒng)認(rèn)證認(rèn)可?測試控制措施?用戶安全意識培訓(xùn)等系統(tǒng)安全相關(guān)活動?同時(shí),根據(jù)報(bào)告中其他分析數(shù)據(jù)顯示,通過實(shí)施FISMA,聯(lián)邦政府相關(guān)機(jī)構(gòu)經(jīng)過認(rèn)證認(rèn)可的系統(tǒng)?測試的應(yīng)急計(jì)劃和安全控制措施比率逐年提高,而且報(bào)告中還給出了FISMA系統(tǒng)目錄的風(fēng)險(xiǎn)影響等級說明列表?

6.小結(jié)

由此看出,FISMA實(shí)施項(xiàng)目的風(fēng)險(xiǎn)管理框架相關(guān)研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應(yīng)用,督促各機(jī)構(gòu)重視信息系統(tǒng)安全?降低安全風(fēng)險(xiǎn)的作用已初見成效?該項(xiàng)目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責(zé)任,以風(fēng)險(xiǎn)管理框架為核心,輔以標(biāo)準(zhǔn)?指南指導(dǎo)各環(huán)節(jié)活動的具體實(shí)施,使得一個(gè)完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項(xiàng)目從立項(xiàng)到應(yīng)用經(jīng)歷了近6年時(shí)間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個(gè)發(fā)展到1萬多個(gè),為信息安全風(fēng)險(xiǎn)評估的發(fā)展和應(yīng)用提供了許多實(shí)踐經(jīng)驗(yàn),值得我們從中借鑒?學(xué)習(xí)?

更多ISO27001認(rèn)證知識

BS7799-2:2002《信息安全管理體系規(guī)范》內(nèi)容介紹

企業(yè)搬遷了,ISO27001體系該怎么辦

BS7799-1與BS7799-2的關(guān)系

BS7799-1:1999《信息安全管理實(shí)施細(xì)則》內(nèi)容介紹

BS7799系列講座之一:HTP模型圖及構(gòu)建

BS7799標(biāo)準(zhǔn)簡介

ISO27004標(biāo)準(zhǔn)介紹

ISO27005標(biāo)準(zhǔn)介紹

新版BS7799-2:2002標(biāo)準(zhǔn)的特點(diǎn)

商業(yè)風(fēng)險(xiǎn)管理:BS7799信息安全管理體系

ISO27001:什么是適用性聲明SoA

ISO標(biāo)準(zhǔn)在風(fēng)險(xiǎn)管理中的應(yīng)用

ISO27003標(biāo)準(zhǔn)介紹

ISO27002(ISO/IEC27002)標(biāo)準(zhǔn)介紹

BS7799信息安全管理體系介紹

ISO27001認(rèn)證的6個(gè)步驟

信息安全管理體系ISO27001認(rèn)證背景介紹

淺析企業(yè)ISO27000信息安全管理體系建設(shè)

ISMS信息安全管理體系有效性測量淺析

ISO27001信息安全風(fēng)險(xiǎn)評估流程

更多資訊點(diǎn)擊認(rèn)證咨詢網(wǎng)站或聯(lián)系客服代表

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202109/ccaa_27703.html