1 / 5⼩蜜蜂 翻译组【 公 益译 ⽂ 】 NIST评 估 信 息 安 全 持 续监 控 项 ⽬ 指 南 : 评 估 ⽅ 法 ( ⼀ ) blog.nsfocus.net /nist-iscm-1-0914 为了有效地管理网络 安全 风险,组织 需要持 续 了解⾃⼰的信息安全 状况、 漏洞和威 胁。 要 获 取 这种 信息以及更 有效地管理风险,组织 可以信息安全持 续监 控( ISCM )项 ⽬ 为 指 导,实现 信息安全持 续监 控能⼒。 ISCM 项 ⽬ 对ISCM进⾏定义,组 建相 关团队, 全⾯ 实 施 并 运营 ISCM ,为组织 提供必要信息,促使 组织 各 风险 管理 级别 (组织级、任务 /业务 流程 级 和系 统级) 就安全 状况 做出基于 风险 的 决 策。 《 NIST评 估信息安全持 续监 控( ISCM )项 ⽬: 评 估 ⽅法》⼀⽂可⽤于: 为组织各风险管理 级别( 定 义见 NIST SP 800-39 《管理信息安全 风险:组织、 任 务 与 信息系 统视 ⾓》) 开 展ISCM项⽬评 估 提供指 导 ; 阐述了 ISCM项⽬评 估与 重要安全 概 念和 过 程的相 关 性,如 NIST 风险 管理 框 架( RMF )、全 组织风险 管 理级别、组织治理、 ISCM 指 标 和持 续 授 权 ; 介绍了有效的 ISCM 项 ⽬ 评 估 所具 备 的特点; 提出了 ISCM项⽬评 估 标 准(同 时 提供了 参 考 来 源), 组织 可采⽤ 这 些 标 准 进 ⾏ ISCM 项 ⽬ 评 估, 或基于 这些标准制定适合本 组织 的 评 估 标 准; 介绍了通过评 估程序 进 ⾏ ISCM 项 ⽬ 评 估 的⽅法, 该评 估 程序在相 关 配套⽂件(包含 ISCM 项 ⽬ 评 估 要素 ⼀览表)中进⾏了定 义, ⽤以 开发 可 复 ⽤的 评 估 流程。 读者对象 本⽂ 档的⽬标读者 为 持 续监 控信息安全 态势 和 组织风险 管理的 个 ⼈,包括: 负责评审组织 ISCM 项 ⽬的 个 ⼈,包括 进 ⾏技 术评审 的管理⼈ 员 和 评 估 ⼈ 员( 如系 统评 估 ⼈、 内 部和第三 ⽅评 估员 /评 估团队、 独 ⽴ 验证 / 认证评 估 师、审计 ⼈ 员 和系 统负责 ⼈); 承 担任务 /业务负责 ⼈或受托⼈ 责 任的 个 ⼈(如 联 邦机 构负责 ⼈、⾸席 执 ⾏官和⾸席 财务 官); 需要考虑 ISCM功能的系 统开发 / 集成 负责 ⼈(如 项 ⽬ 经 理、系 统负责 ⼈、信息技 术产 品 开发 ⼈ 员、 系 统开 发⼈员、系统集成商、企 业 架 构师、 信息安全架 构师 和通⽤控件提供⽅); 承 担系统和 /或安全管理 / 监 督 职责 的 个 ⼈(如⾼ 层领导 ⼈、 风险 管理⼈ 员、 授 权 ⼈、⾸席信息官、⾸席信 息安全官),这类 ⼈ 员 需在⼀定程度上依 赖 于持 续监 控 过 程中 输 出的安全相 关 信息做出基于 风险 的 决 策; 负责系统和安全控制 评 估与 监 控的 个 ⼈(如系 统评 估 ⼈、 评 估 员 / 评 估 团队、 独 ⽴ 验证 / 认证评 估 师、审 计⼈员、系统负责 ⼈或系 统 安全主管)。 本次连载 内容介绍 了 对组织风险 管理中的 ISCM 进 ⾏ 评 估 的基本原 则。 ⼀、ISCM项⽬评 估 的基本原 则 ISCM项⽬评 估是⼀ 个 管理 过 程,⽤以 检视 以下各 项 的充分性和有效性: ISCM战略规划 ISCM项⽬的建⽴ ISCM战略、政策、程序和指 标 的 实 施 ISCM项⽬的运营2 / 5对所收集 数据进⾏的分析及 结 果 报 告 对ISCM结果的响应 ISCM流程改进 ISCM项⽬评 估并 不是 为 了 验证组织 及其 业务 / 任 务 流程和系 统对 于 SP800-137 所提出的各 种 ISCM 概 念的 实现 情 况,⽽是为了确定 这 些 概 念以及 FISMA 和 OMB 对联 邦 组织 提出的 ISCM 要求是否可充分判 断 ISCM 项 ⽬的 稳 健性 (Robustness)。应 注意的是,各 组织 或 评 估 ⼈ 员 根据本指南制定 ISCM 项 ⽬ 评 估 ⽅案 时, 可能 会 根据⾃⼰ 对 重 要性的认知⽽制定出不同的 评 估 标 准。 1. ISCM管理 ISCM⾸先是整 个组织 的 责 任,然后是系 统级责 任【 SP800-37 】,还 包括任 务 / 业务 流程。 组织 范 围 内 的持 续监 控 ⼯作的第⼀步是组织领导 制定全⾯的 组织级 ISCM 战 略, 该战 略不 仅 要 为风险 管理部 门( RE ( f ))决 策提供直 接⽀持,还要包括 与 组织 各 风险 管理 级别 相 关 的 统 ⼀管理指 标。仅 当 ISCM 战 略在 组织层 ⾯上制定 实 施, 并与 RE( f)建⽴ 内在联 系 时, 才能保 证 ISCM 项 ⽬具有合理的 广 度和深度, 为组织 各 层级 明 确划 分 职责。组织级战 略由系统级 ISCM战 略和任 务 / 业务 流程 ISCM 战 略(可 选) 提供⽀持。 ISCM包括执⾏持续监 控功能的所有⼈ 员、 策略、流程、技 术 和 标 准, 它 是⼀ 个 赋 能 过 程,在 组织 ⾯ 临网络 安全 威胁和风险时为组织 提供⽀持, 维 持正常 运营。 合理的 ISCM项⽬ 会 规 定 组织 各 层级 的活 动, 保 证 ISCM 功能在全 组织 范 围 内 实 施。要有效⽀持整 体 ISCM ⼯ 作,须统⼀开发、 部署和 维护 ISCM 活 动,这 些活 动 要能反 应 整 个 组织 的 ISCM 战 略⽬ 标 和 风险 管理 战 略。 1.1 ISCM背景 ISCM⽬标包括检测组织 的 运营、 系 统环 境中的 异 常 与 变 化、洞悉 资产 情 况、 发现 漏洞和威 胁、 了解安全控制 的有效性以及安全 态势。 要 实现 ISCM ⽬ 标, 要在 ISCM 架 构 中部署⼯具和技 术,结 合使⽤⼿ 动 和⾃ 动 ⽅法,按 照合理频率提供满 ⾜具 体 需要、 详 略得 当 的信息。 ISCM 项 ⽬的 关键 成果是收集、集成、分析和呈 现 整 个 组织 的 所有系统及其运⾏ 环 境的安全相 关 信息,促 进 基于 风险 的 决 策。 有效的 ISCM项⽬ 会区 分 组织级 ISCM 战 略中的⼿ 动 和⾃ 动监 控 过 程, 将 这 些 过 程和 输 出 进 ⾏ 关联, 最 终 呈 现态 势感知结果。使⽤⼿ 动过 程前要 进 ⾏ 验证, 保 证过 程可 复 ⽤, 实 施 结 果⼀致。 ⾃动化过程(包括使⽤⾃ 动 化⽀持⼯具)可以使持 续监 控更 为统 ⼀,效率更⾼, 结 果更准 确, 成本效益更⾼。 有效的 ISCM项⽬可推 动 系 统 持 续 授 权 和再授 权 决 策【 SP800-37 】,如 2.1.7 节 所述。在持 续监 控期 间 收集的安全相 关信息可⽤于更新各适⽤系 统 的授 权 包和⽀持⼯件。更新后⼯件作 为证 据,可 证 明基 线 控制措施按照最初 计划为 系统提供了持续保 护。 1.2 ISCM流程各阶 段 NIST SP 800-137 将 ISCM 流程分 为 六 个 阶 段,如 图 1 所⽰。具 体 信息 见 如下段落。有⼀点要注意, 对 于覆盖全 组 织的信息安全持续监 控⼯作或流程,第⼀步都是 开发 全⾯的 ISCM 战 略,涵盖技 术、 流程、程序、 运 ⾏ 环 境和⼈ ⼒等各⽅⾯因素。 图1: ISCM流程 ISCM分为六 个阶 段,在本⽂中 称 为 “ 流程 阶 段 ” ,具 体 如下:3 / 5 1. 定义 ISCM战略(定 义) – 根据 风险 承受能⼒,定 义 全组织和系统级 ISCM 战 略,保持 对资产、 漏洞、最 新威胁信息和任务 / 业务 影 响 的 清晰 认识。 根据全 组 织ISCM战略,为组织 内 部的各 个 系 统 定 义 系 统级 ISCM战略。任务 / 业务 流程 领 域若需定 义 ISCM 战 略,也须 与组织级战 略⼀致,⽤于⽀持任 务 / 业务 流 程领域的系统。 2. 建⽴ISCM项⽬(⽴ 项) – 建⽴ ISCM 项 ⽬, 确 定指 标、 状态监控频率、控制 评 估 频 率和 ISCM 技 术 架 构。 3. 实施 ISCM项⽬(实 施) – 实 施 ISCM 项 ⽬,收集指 标、评 估和报告所需的安全相 关 信息。 尽 可能采⽤⾃ 动化⽅法收集、分析及上 报 数 据。 4. 分析ISCM 数据 并 出具 报 告(分析 / 报 告) – 分析收集 的 数据,报告监控中 发现 的 问题,确 定合理的 响应 措施。有时可能需要收集 额 外的信息,以澄 清 或 补 充 现有的监控 数据。 5. 响应 ISCM中发现 的 问题(响应) – 通 过 技 术、 管理和 运营风险缓 解活 动响应 所 发现 的 问题, 或接受、 转移 /分享或避免 / 拒 绝风险。 6. 回顾、更新 ISCM项 ⽬和 战 略(回 顾 / 更新) – 回 顾、 更新 监 控 项 ⽬, 调 整相 应级别 的 ISCM 战 略,完善 测 量能⼒,提⾼资产 可 见 性和 对 漏洞的感知能⼒, 进 ⽽基于 数 据 来 管控 组织 的信息基 础设 施安全,提⾼ 组织 的恢复能⼒。 ISCM的 “定义 ”阶 段定 义 了 组织级、 系 统级 和任 务 / 业务 流程 级( 可 选) ISCM 战 略。 RMF 在 针对 1 级 和 2 级

pdf文档 NIST评估信息安全持续监控项目指南评估方法一

文档预览
中文文档 5 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共5页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
NIST评估信息安全持续监控项目指南评估方法一  第 1 页 NIST评估信息安全持续监控项目指南评估方法一  第 2 页 NIST评估信息安全持续监控项目指南评估方法一  第 3 页
下载文档到电脑,方便使用
本文档由 思安2022-12-05 09:17:37上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言