1 / 5⼩蜜蜂 翻译组【 公 益译 ⽂ 】 NIST评 估 信 息 安 全 持 续监 控 项 ⽬ 指 南 ： 评 估 ⽅ 法 （ ⼀ ） blog.nsfocus.net /nist-iscm-1-0914 为了有效地管理网络 安全 风险，组织 需要持 续 了解⾃⼰的信息安全 状况、 漏洞和威 胁。 要 获 取 这种 信息以及更 有效地管理风险，组织 可以信息安全持 续监 控（ ISCM ）项 ⽬ 为 指 导，实现 信息安全持 续监 控能⼒。 ISCM 项 ⽬ 对ISCM进⾏定义，组 建相 关团队， 全⾯ 实 施 并 运营 ISCM ，为组织 提供必要信息，促使 组织 各 风险 管理 级别 （组织级、任务 /业务 流程 级 和系 统级） 就安全 状况 做出基于 风险 的 决 策。 《 NIST评 估信息安全持 续监 控（ ISCM ）项 ⽬： 评 估 ⽅法》⼀⽂可⽤于： 为组织各风险管理 级别（ 定 义见 NIST SP 800-39 《管理信息安全 风险：组织、 任 务 与 信息系 统视 ⾓》） 开 展ISCM项⽬评 估 提供指 导 ； 阐述了 ISCM项⽬评 估与 重要安全 概 念和 过 程的相 关 性，如 NIST 风险 管理 框 架（ RMF ）、全 组织风险 管 理级别、组织治理、 ISCM 指 标 和持 续 授 权 ； 介绍了有效的 ISCM 项 ⽬ 评 估 所具 备 的特点； 提出了 ISCM项⽬评 估 标 准（同 时 提供了 参 考 来 源）， 组织 可采⽤ 这 些 标 准 进 ⾏ ISCM 项 ⽬ 评 估， 或基于 这些标准制定适合本 组织 的 评 估 标 准； 介绍了通过评 估程序 进 ⾏ ISCM 项 ⽬ 评 估 的⽅法， 该评 估 程序在相 关 配套⽂件（包含 ISCM 项 ⽬ 评 估 要素 ⼀览表）中进⾏了定 义， ⽤以 开发 可 复 ⽤的 评 估 流程。 读者对象 本⽂ 档的⽬标读者 为 持 续监 控信息安全 态势 和 组织风险 管理的 个 ⼈，包括： 负责评审组织 ISCM 项 ⽬的 个 ⼈，包括 进 ⾏技 术评审 的管理⼈ 员 和 评 估 ⼈ 员（ 如系 统评 估 ⼈、 内 部和第三 ⽅评 估员 /评 估团队、 独 ⽴ 验证 / 认证评 估 师、审计 ⼈ 员 和系 统负责 ⼈）； 承 担任务 /业务负责 ⼈或受托⼈ 责 任的 个 ⼈（如 联 邦机 构负责 ⼈、⾸席 执 ⾏官和⾸席 财务 官）； 需要考虑 ISCM功能的系 统开发 / 集成 负责 ⼈（如 项 ⽬ 经 理、系 统负责 ⼈、信息技 术产 品 开发 ⼈ 员、 系 统开 发⼈员、系统集成商、企 业 架 构师、 信息安全架 构师 和通⽤控件提供⽅）； 承 担系统和 /或安全管理 / 监 督 职责 的 个 ⼈（如⾼ 层领导 ⼈、 风险 管理⼈ 员、 授 权 ⼈、⾸席信息官、⾸席信 息安全官），这类 ⼈ 员 需在⼀定程度上依 赖 于持 续监 控 过 程中 输 出的安全相 关 信息做出基于 风险 的 决 策； 负责系统和安全控制 评 估与 监 控的 个 ⼈（如系 统评 估 ⼈、 评 估 员 / 评 估 团队、 独 ⽴ 验证 / 认证评 估 师、审 计⼈员、系统负责 ⼈或系 统 安全主管）。 本次连载 内容介绍 了 对组织风险 管理中的 ISCM 进 ⾏ 评 估 的基本原 则。 ⼀、ISCM项⽬评 估 的基本原 则 ISCM项⽬评 估是⼀ 个 管理 过 程，⽤以 检视 以下各 项 的充分性和有效性： ISCM战略规划 ISCM项⽬的建⽴ ISCM战略、政策、程序和指 标 的 实 施 ISCM项⽬的运营2 / 5对所收集 数据进⾏的分析及 结 果 报 告 对ISCM结果的响应 ISCM流程改进 ISCM项⽬评 估并 不是 为 了 验证组织 及其 业务 / 任 务 流程和系 统对 于 SP800-137 所提出的各 种 ISCM 概 念的 实现 情 况，⽽是为了确定 这 些 概 念以及 FISMA 和 OMB 对联 邦 组织 提出的 ISCM 要求是否可充分判 断 ISCM 项 ⽬的 稳 健性 （Robustness）。应 注意的是，各 组织 或 评 估 ⼈ 员 根据本指南制定 ISCM 项 ⽬ 评 估 ⽅案 时， 可能 会 根据⾃⼰ 对 重 要性的认知⽽制定出不同的 评 估 标 准。 1. ISCM管理 ISCM⾸先是整 个组织 的 责 任，然后是系 统级责 任【 SP800-37 】，还 包括任 务 / 业务 流程。 组织 范 围 内 的持 续监 控 ⼯作的第⼀步是组织领导 制定全⾯的 组织级 ISCM 战 略， 该战 略不 仅 要 为风险 管理部 门（ RE （ f ））决 策提供直 接⽀持，还要包括 与 组织 各 风险 管理 级别 相 关 的 统 ⼀管理指 标。仅 当 ISCM 战 略在 组织层 ⾯上制定 实 施， 并与 RE（ f）建⽴ 内在联 系 时， 才能保 证 ISCM 项 ⽬具有合理的 广 度和深度， 为组织 各 层级 明 确划 分 职责。组织级战 略由系统级 ISCM战 略和任 务 / 业务 流程 ISCM 战 略（可 选） 提供⽀持。 ISCM包括执⾏持续监 控功能的所有⼈ 员、 策略、流程、技 术 和 标 准， 它 是⼀ 个 赋 能 过 程，在 组织 ⾯ 临网络 安全 威胁和风险时为组织 提供⽀持， 维 持正常 运营。 合理的 ISCM项⽬ 会 规 定 组织 各 层级 的活 动， 保 证 ISCM 功能在全 组织 范 围 内 实 施。要有效⽀持整 体 ISCM ⼯ 作，须统⼀开发、 部署和 维护 ISCM 活 动，这 些活 动 要能反 应 整 个 组织 的 ISCM 战 略⽬ 标 和 风险 管理 战 略。 1.1 ISCM背景 ISCM⽬标包括检测组织 的 运营、 系 统环 境中的 异 常 与 变 化、洞悉 资产 情 况、 发现 漏洞和威 胁、 了解安全控制 的有效性以及安全 态势。 要 实现 ISCM ⽬ 标， 要在 ISCM 架 构 中部署⼯具和技 术，结 合使⽤⼿ 动 和⾃ 动 ⽅法，按 照合理频率提供满 ⾜具 体 需要、 详 略得 当 的信息。 ISCM 项 ⽬的 关键 成果是收集、集成、分析和呈 现 整 个 组织 的 所有系统及其运⾏ 环 境的安全相 关 信息，促 进 基于 风险 的 决 策。 有效的 ISCM项⽬ 会区 分 组织级 ISCM 战 略中的⼿ 动 和⾃ 动监 控 过 程， 将 这 些 过 程和 输 出 进 ⾏ 关联， 最 终 呈 现态 势感知结果。使⽤⼿ 动过 程前要 进 ⾏ 验证， 保 证过 程可 复 ⽤， 实 施 结 果⼀致。 ⾃动化过程（包括使⽤⾃ 动 化⽀持⼯具）可以使持 续监 控更 为统 ⼀，效率更⾼， 结 果更准 确， 成本效益更⾼。 有效的 ISCM项⽬可推 动 系 统 持 续 授 权 和再授 权 决 策【 SP800-37 】，如 2.1.7 节 所述。在持 续监 控期 间 收集的安全相 关信息可⽤于更新各适⽤系 统 的授 权 包和⽀持⼯件。更新后⼯件作 为证 据，可 证 明基 线 控制措施按照最初 计划为 系统提供了持续保 护。 1.2 ISCM流程各阶 段 NIST SP 800-137 将 ISCM 流程分 为 六 个 阶 段，如 图 1 所⽰。具 体 信息 见 如下段落。有⼀点要注意， 对 于覆盖全 组 织的信息安全持续监 控⼯作或流程，第⼀步都是 开发 全⾯的 ISCM 战 略，涵盖技 术、 流程、程序、 运 ⾏ 环 境和⼈ ⼒等各⽅⾯因素。 图1： ISCM流程 ISCM分为六 个阶 段，在本⽂中 称 为 “ 流程 阶 段 ” ，具 体 如下：3 / 5 1. 定义 ISCM战略（定 义） – 根据 风险 承受能⼒，定 义 全组织和系统级 ISCM 战 略，保持 对资产、 漏洞、最 新威胁信息和任务 / 业务 影 响 的 清晰 认识。 根据全 组 织ISCM战略，为组织 内 部的各 个 系 统 定 义 系 统级 ISCM战略。任务 / 业务 流程 领 域若需定 义 ISCM 战 略，也须 与组织级战 略⼀致，⽤于⽀持任 务 / 业务 流 程领域的系统。 2. 建⽴ISCM项⽬（⽴ 项） – 建⽴ ISCM 项 ⽬， 确 定指 标、 状态监控频率、控制 评 估 频 率和 ISCM 技 术 架 构。 3. 实施 ISCM项⽬（实 施） – 实 施 ISCM 项 ⽬，收集指 标、评 估和报告所需的安全相 关 信息。 尽 可能采⽤⾃ 动化⽅法收集、分析及上 报 数 据。 4. 分析ISCM 数据 并 出具 报 告（分析 / 报 告） – 分析收集 的 数据，报告监控中 发现 的 问题，确 定合理的 响应 措施。有时可能需要收集 额 外的信息，以澄 清 或 补 充 现有的监控 数据。 5. 响应 ISCM中发现 的 问题（响应） – 通 过 技 术、 管理和 运营风险缓 解活 动响应 所 发现 的 问题， 或接受、 转移 /分享或避免 / 拒 绝风险。 6. 回顾、更新 ISCM项 ⽬和 战 略（回 顾 / 更新） – 回 顾、 更新 监 控 项 ⽬， 调 整相 应级别 的 ISCM 战 略，完善 测 量能⼒，提⾼资产 可 见 性和 对 漏洞的感知能⼒， 进 ⽽基于 数 据 来 管控 组织 的信息基 础设 施安全，提⾼ 组织 的恢复能⼒。 ISCM的 “定义 ”阶 段定 义 了 组织级、 系 统级 和任 务 / 业务 流程 级（ 可 选） ISCM 战 略。 RMF 在 针对 1 级 和 2 级