FISMA信息安全風險管理框架
美國作為當今信息化高度發(fā)達的國家,在信息安全領域也一直保持著領先水平,十分重視信息安全問題的相關研究?本文嘗試從2002年美國頒布關于信息安全的立法入手,從技術發(fā)展角度,介紹NIST提出的信息安全風險管理框架和研發(fā)的一系列支持標準?
1.什么是FISMA
FISMA(the Federal Information Security Management Act of 2002,聯(lián)邦信息安全管理法案)是2002年頒布的電子政務法案中的第三章?FISMA認可了信息安全對美國經(jīng)濟和國家安全利益的重要性?該法案要求每個聯(lián)邦機構開發(fā)?記錄并實施機構范圍內(nèi)的信息安全程序,為它的信息和支持運營和資產(chǎn)的信息系統(tǒng)(也包括由其它機構?合同商等其它方面為機構提供或管理的信息和信息系統(tǒng))提供信息安全支持?
FISMA明確強調“基于風險策略的安全成本-收益”?而且,為了加強信息系統(tǒng)安全,FISMA給聯(lián)邦機構?NIST(National Institute of Standards and Technology,國家標準研究院)和OMB(Office of Management and Budget,預算與管理辦公室)都指派了特定的職責,其中,特別要求每個機構的領導者要實施相關策略和程序有成本收益的減少信息技術安全風險到可接受的級別,并要求機構每年回顧信息安全程序的執(zhí)行情況,并將結果報告給OMB,OMB根據(jù)這些數(shù)據(jù)進行監(jiān)督,并將情況報告給國會相關機構?
2.FISMA實施項目
根據(jù)FISMA要求,NIST應幫助美國的聯(lián)邦機構遵守FISMA,并負責為所有聯(lián)邦機構(除國家安全系統(tǒng)之外)開發(fā)能為其運營和資產(chǎn)提供充足信息安全保障的標準?指南?相關方法和技術?因此,NIST于2003年啟動了FISMA實施項目,并主導開發(fā)了發(fā)展?測量和驗證信息系統(tǒng)和服務安全性的標準?度量?測試和驗證程序?
NIST擬定的FISMA實施項目包括三個階段:
階段1:完成風險管理框架(Risk Management frame, RMF);
階段2:建立組織根據(jù)NIST SP 800-37,800-53和800-53A執(zhí)行安全評估的認可程序;
階段3:建立支持FISMA風險管理框架廠商工具的驗證程序
3.FISMA實施項目的風險管理框架
NIST開發(fā)的風險管理框架可作為機構的風險管理程序的一部分,用于系統(tǒng)開發(fā)生命周期幫助確保每個信息系統(tǒng)都應用了恰當?shù)陌踩刂?而且這些控制措施經(jīng)過評估能確定其實施的正確性和按預期效果運營的程度,并生成滿足系統(tǒng)安全性要求的預期結果?其中的風險管理框架活動如圖1所示:
圖1 FISMA風險管理框架
1)分類:基于FISP199的影響分析(參見NIST SP800 -60,Guide for Mapping Types of Information and Information Systems to Security Categories,指導安全種類的賦值和影響分析)對信息系統(tǒng)及系統(tǒng)中相關信息進行分類?
2)選擇:基于FIPS 199安全性分類(參見NIST SP800-53,Recommended Security Controls for Federal Information Systems),選擇信息系統(tǒng)(上一步驟中的系統(tǒng))安全控制措施的初始集合?
3)提煉:基于信息系統(tǒng)本地環(huán)境(包括特定機構的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計劃中?(參見NIST SP 800-30,Risk Management Guide for Information Technology Systems)?
4)評述:評述系統(tǒng)安全計劃中達成一致的安全控制措施集合,包括對機構初始控制措施集合的提煉和調整的解釋和理由(參見NIST SP800-18,Guide for Developing Security Plans for Information Technology Systems)?
5)實施:在信息系統(tǒng)中實施安全控制措施?(參見NIST SP800-64,Security Considerations in the Information System Development Life Cycle)?
6)評估:用適當?shù)姆椒ê统绦蛟u估安全控制措施,以確定實施安全控制措施的正確性程度?是否按預期運營,及是否生成了滿足系統(tǒng)安全要求的期望結果(參見NIST SP800-53A,Guide for Assessing the Security Controls in Federal Information Systems)?
7)確定:確定機構運營(包括任務?功能?形象或聲譽等方面)?資產(chǎn)?由計劃或系統(tǒng)持續(xù)運營生成的個體等方面的風險(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?
8)批準:如果機構的運營?資產(chǎn)或個體風險是可接受的,則批準系統(tǒng)處理過程(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?
9)監(jiān)控:以持續(xù)性的基本原則監(jiān)控為信息系統(tǒng)選擇的安全控制措施,包括記錄系統(tǒng)的變更,對相應的變更執(zhí)行影響分析,并定期向官方機構報告系統(tǒng)的安全狀態(tài)(參見NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)?
4.進展情況
2009年5月,NIST發(fā)布了由其計算機安全部研究的風險管理框架的FAQs和快速指南(Quick Start Guides,QSGs)的進展情況,其中第1步“分類”和第6步“監(jiān)控”的FAQs和OSGs已經(jīng)制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發(fā)中?這些FAQs和OSGs文檔將和NIST SP系列標準?FIPS標準一起指導風險管理框架6步驟中每一步驟的具體實施?
2009年7月7日,NIST在其官方網(wǎng)站發(fā)布了FISMA實施項目開發(fā)和修訂的關鍵出版物的重要事件進展情況, 其中所列的出版物包括:
l SP 800-53 修訂版 3: Recommended Security Controls for Federal Information Systems and Organizations, (項目截止:2009年7月31日)
l SP 800-37 修訂版1: Guide for Applying the Risk Management framework to Federal Information Systems: A Security Life Cycle Approach (原聯(lián)邦信息系統(tǒng)安全性認證認可指南), (項目截至:2009年10月)
l SP 800-39: Integrated Enterprise-wide Risk Management: Organization, Mission, and Information Systems View (原信息系統(tǒng)管理風險:組織視角), (項目截止:2009年12月)
l SP 800-53A, 修訂版1: Guide for Assessing the Security Controls in Federal Information Systems and Organizations, (項目截止:2010年1月)
l SP 800-30, 修訂版1: Guide for Conducting Risk Assessments (原信息技術體系風險管理指南), (項目截止:2010年1月)
目前FISMA項目的實施,是由NIST和國防部?國家情報總監(jiān)辦公室和國家安全體系委員會成立的聯(lián)合任務工作組共同開發(fā)聯(lián)邦政府及其承包方的信息安全標準和指南,上述公開出版物完成時間的調整,是與當前項目實施要求的優(yōu)先級保持一致的?
5.運營情況
FISMA為保護聯(lián)邦政府的信息?運營和財產(chǎn)安全提供了信息技術保障框架,它要求每個聯(lián)邦機構的領導都負責實施把信息安全風險降低到可接收等級的策略和過程,并且每年都根據(jù)OMB的要求,匯報其信息系統(tǒng)保密性和信息安全程序相關情況?根據(jù)各機構匯報的信息,OMB評估系統(tǒng)這些機構的私有性績效,并制定給國會的年度安全報告,說明各機構系統(tǒng)安全與FISMA要求的符合情況?同時協(xié)助各機構改進和維護私有性績效?而且,FISMA要求指定由NIST準備FISMA項目的年度報告,其中需要說明上一年度各項活動的完成情況及履行FISMA責任的后續(xù)活動詳情,目前這項工作由NIST的信息技術實驗室的計算機安全部執(zhí)行?
從2004年開始,OMB每年向國會提交FISMA實施情況的年度報告?據(jù)OMB給國會的2008財年FISMA實施情況報告顯示,聯(lián)邦政府2008財年IT總投資約680億美元,其中聯(lián)邦機構安全保障花費62億美元,約占IT總業(yè)務量的9.2%?其中,IT安全投資主要用于系統(tǒng)認證認可?測試控制措施?用戶安全意識培訓等系統(tǒng)安全相關活動?同時,根據(jù)報告中其他分析數(shù)據(jù)顯示,通過實施FISMA,聯(lián)邦政府相關機構經(jīng)過認證認可的系統(tǒng)?測試的應急計劃和安全控制措施比率逐年提高,而且報告中還給出了FISMA系統(tǒng)目錄的風險影響等級說明列表?
6.小結
由此看出,FISMA實施項目的風險管理框架相關研究成果已經(jīng)在全聯(lián)邦政府范圍內(nèi)逐步推廣應用,督促各機構重視信息系統(tǒng)安全?降低安全風險的作用已初見成效?該項目以立法形式規(guī)定了聯(lián)邦政府信息系統(tǒng)安全要求和各部門的責任,以風險管理框架為核心,輔以標準?指南指導各環(huán)節(jié)活動的具體實施,使得一個完整的?系統(tǒng)化的聯(lián)邦政府信息系統(tǒng)安全保障體系初具規(guī)模?該項目從立項到應用經(jīng)歷了近6年時間,涉及的聯(lián)邦信息系統(tǒng)從最初的7千多個發(fā)展到1萬多個,為信息安全風險評估的發(fā)展和應用提供了許多實踐經(jīng)驗,值得我們從中借鑒?學習?
更多ISO27001認證知識
BS7799-2:2002《信息安全管理體系規(guī)范》內(nèi)容介紹
企業(yè)搬遷了,ISO27001體系該怎么辦
BS7799-1與BS7799-2的關系
BS7799-1:1999《信息安全管理實施細則》內(nèi)容介紹
BS7799系列講座之一:HTP模型圖及構建
BS7799標準簡介
ISO27004標準介紹
ISO27005標準介紹
新版BS7799-2:2002標準的特點
商業(yè)風險管理:BS7799信息安全管理體系
ISO27001:什么是適用性聲明SoA
ISO標準在風險管理中的應用
ISO27003標準介紹
ISO27002(ISO/IEC27002)標準介紹
BS7799信息安全管理體系介紹
ISO27001認證的6個步驟
信息安全管理體系ISO27001認證背景介紹
淺析企業(yè)ISO27000信息安全管理體系建設
ISMS信息安全管理體系有效性測量淺析
ISO27001信息安全風險評估流程
更多資訊點擊認證咨詢網(wǎng)站或聯(lián)系客服代表
中企檢測認證網(wǎng)提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
