• 基礎設施安全

  • 數據安全

  • 云計算安全

  • 工控安全

  • 物聯網安全

  • 信息技術應用創新

  • 全部產品

  • 全部解決方案

基礎設施安全


  • 政府

  • 運營商

  • 金融

  • 能源

  • 交通

  • 企業

  • 教育

  • 醫療

返回列表

NIST評估信息安全持續監控項目指南:評估方法——連載1

2020-09-23

為了有效地管理網絡安全風險,組織需要持續了解自己的信息安全狀況、漏洞和威脅。要獲取這種信息以及更有效地管理風險,組織可以以信息安全持續監控(ISCM)項目為指導,實現信息安全持續監控能力。ISCM項目對ISCM進行定義,組建相關團隊,全面實施并運營ISCM,為組織提供必要信息,促使組織各風險管理級別(組織級、任務/業務流程級和系統級)就安全狀況做出基于風險的決策。

 

《NIST評估信息安全持續監控(ISCM)項目:評估方法》一文可用于:

l  為組織各風險管理級別(定義見NIST SP 800-39《管理信息安全風險:組織、任務與信息系統視角》)開展ISCM項目評估提供指導;

l  闡述了ISCM項目評估與重要安全概念和過程的相關性,如NIST風險管理框架(RMF)、全組織風險管理級別、組織治理、ISCM指標和持續授權;

l  介紹了有效的ISCM項目評估所具備的特點;

l  提出了ISCM項目評估標準(同時提供了參考來源),組織可采用這些標準進行ISCM項目評估,或基于這些標準制定適合本組織的評估標準;

l  介紹了通過評估程序進行ISCM項目評估的方法,該評估程序在相關配套文件(包含ISCM項目評估要素一覽表)中進行了定義,用以開發可復用的評估流程。

 

本文檔的目標讀者為持續監控信息安全態勢和組織風險管理的個人,包括:

l  負責評審組織ISCM項目的個人,包括進行技術評審的管理人員和評估人員(如系統評估人、內部和第三方評估員/評估團隊、獨立驗證/認證評估師、審計人員和系統負責人);

l  承擔任務/業務負責人或受托人責任的個人(如聯邦機構負責人、首席執行官和首席財務官);

l  需要考慮ISCM功能的系統開發/集成負責人(如項目經理、系統負責人、信息技術產品開發人員、系統開發人員、系統集成商、企業架構師、信息安全架構師和通用控件提供方);

l  承擔系統和/或安全管理/監督職責的個人(如高層領導人、風險管理人員、授權人、首席信息官、首席信息安全官),這類人員需在一定程度上依賴于持續監控過程中輸出的安全相關信息做出基于風險的決策;

l  負責系統和安全控制評估與監控的個人(如系統評估人、評估員/評估團隊、獨立驗證/認證評估師、審計人員、系統負責人或系統安全主管)。

 

本次連載內容介紹了對組織風險管理中的ISCM進行評估的基本原則。

 

ISCM項目評估的基本原則

ISCM項目評估是一個管理過程,用以檢視以下各項的充分性和有效性:

·       ISCM戰略規劃;

·       ISCM項目的建立;

·       ISCM戰略、政策、程序和指標的實施;

·       ISCM項目的運營;

·       對所收集數據進行的分析及結果報告;

·       對ISCM結果的響應;

·       ISCM流程改進

ISCM項目評估并不是為了驗證組織及其業務/任務流程和系統對于SP800-137所提出的各種ISCM概念的實現情況,而是為了確定這些概念以及FISMA和OMB對聯邦組織提出的ISCM要求是否可充分判斷ISCM項目的穩健性(Robustness)。應注意的是,各組織或評估人員根據本指南制定ISCM項目評估方案時,可能會根據自己對重要性的認知而制定出不同的評估標準。

1、ISCM管理

ISCM首先是整個組織的責任,然后是系統級責任【SP800-37】,還包括任務/業務流程。組織范圍內的持續監控工作的第一步是組織領導制定全面的組織級ISCM戰略,該戰略不僅要為風險管理部門(RE(f))決策提供直接支持,還要包括與組織各風險管理級別相關的統一管理指標。僅當ISCM戰略在組織層面上制定實施,并與RE(f)建立內在聯系時,才能保證ISCM項目具有合理的廣度和深度,為組織各層級明確劃分職責。組織級戰略由系統級ISCM戰略和任務/業務流程ISCM戰略(可選)提供支持。

ISCM包括執行持續監控功能的所有人員、策略、流程、技術和標準,它是一個賦能過程,在組織面臨網絡安全威脅和風險時為組織提供支持,維持正常運營。

合理的ISCM項目會規定組織各層級的活動,保證ISCM功能在全組織范圍內實施。要有效支持整體ISCM工作,須統一開發、部署和維護ISCM活動,這些活動要能反應整個組織的ISCM戰略目標和風險管理戰略。

1.1  ISCM背景

ISCM目標包括檢測組織的運營、系統環境中的異常與變化、洞悉資產情況、發現漏洞和威脅、了解安全控制的有效性以及安全態勢。要實現ISCM目標,要在ISCM架構中部署工具和技術,結合使用手動和自動方法,按照合理頻率提供滿足具體需要、詳略得當的信息。ISCM項目的關鍵成果是收集、集成、分析和呈現整個組織的所有系統及其運行環境的安全相關信息,促進基于風險的決策。

有效的ISCM項目會區分組織級ISCM戰略中的手動和自動監控過程,將這些過程和輸出進行關聯,最終呈現態勢感知結果。使用手動過程前要進行驗證,保證過程可復用,實施結果一致。

自動化過程(包括使用自動化支持工具)可以使持續監控更為統一,效率更高,結果更準確,成本效益更高。

有效的ISCM項目可推動系統持續授權和再授權決策【SP800-37】,如2.1.7節所述。在持續監控期間收集的安全相關信息可用于更新各適用系統的授權包和支持工件。更新后工件作為證據,可證明基線控制措施按照最初計劃為系統提供了持續保護。

1.2  ISCM流程各階段

NIST SP 800-137將ISCM流程分為六個階段,如圖1所示。具體信息見如下段落。有一點要注意,對于覆蓋全組織的信息安全持續監控工作或流程,第一步都是開發全面的ISCM戰略,涵蓋技術、流程、程序、運行環境和人力等各方面因素。

1ISCM流程

 

ISCM分為六個階段,在本文中稱為“流程階段”,具體如下:

1.     定義ISCM戰略定義 – 根據風險承受能力,定義全組織和系統級ISCM戰略,保持對資產、漏洞、最新威脅信息和任務/業務影響的清晰認識。根據全組織ISCM戰略,為組織內部的各個系統定義系統級ISCM戰略。任務/業務流程領域若需定義ISCM戰略,也須與組織級戰略一致,用于支持任務/業務流程領域的系統。

2.     建立ISCM項目立項 – 建立ISCM項目,確定指標、狀態監控頻率、控制評估頻率和ISCM技術架構。

3.     實施ISCM項目實施 – 實施ISCM項目,收集指標、評估和報告所需的安全相關信息。盡可能采用自動化方法收集、分析及上報數據。

4.     分析ISCM數據并出具報告分析/報告 – 分析收集的數據,報告監控中發現的問題,確定合理的響應措施。有時可能需要收集額外的信息,以澄清或補充現有的監控數據。

5.     響應ISCM中發現的問題響應 – 通過技術、管理和運營風險緩解活動響應所發現的問題,或接受、轉移/分享或避免/拒絕風險。

6.      回顧、更新ISCM項目和戰略回顧/更新 – 回顧、更新監控項目,調整相應級別的ISCM戰略,完善測量能力,提高資產可見性和對漏洞的感知能力,進而基于數據來管控組織的信息基礎設施安全,提高組織的恢復能力。

ISCM的“定義”階段定義了組織級、系統級和任務/業務流程級(可選)ISCM戰略。RMF在針對1級和2級的“準備”階段闡述了組織級和任務/業務流程級(可選)ISCM戰略,在針對3級的“選擇”階段闡述了系統級ISCM戰略(見SP800-37)。

1.3  組織的風險管理級別

ISCM適用于SP800-39中定義的所有三個組織風險管理級別:

·      1(組織級):管理整個組織的風險,將風險背景信息和風險決策傳達給2、3級風險管理者。

·      2(任務/業務流程級):基于從1級風險管理獲取的風險背景信息、風險決策和風險活動,從任務/業務流程角度管理風險。

·      3(系統級):是組織內部面向系統的風險管理級別。這一級側重于系統活動,以1、2級風險管理中所輸出的風險背景、決策和活動為指導。

在3級風險管理過程中獲取的安全相關信息和采取的相應措施傳達至1級和2級,用于組織級和任務/業務流程級風險決策。ISCM項目評估驗證了不同級別之間的信息流。

1.4  NIST風險管理框架與ISCM

根據SP800-37定義,RMF是一個結構化的有序過程,它將信息安全和風險管理活動融入到組織和系統的系統開發生命周期中。ISCM項目的實施依賴于RMF中實施的工件和過程,同時也為RMF各階段提供輸入,促進對風險的了解和管理。評估方法和評估要素要慮及所有可能出現的重疊和/或關系。

RMF的“監控”階段涉及持續監控,這是風險管理流程的關鍵環節。ISCM的實施可以滿足組織持續監控的要求,這一過程中產生的輸出可用于識別、應對風險。另外,組織也應該監控其整體安全架構以及相應的安全計劃,確保即使發生了變化,整個組織的業務仍處于可接受的風險水平之內。及時、相關、準確的安全相關信息至關重要,在資源缺乏時尤其如此,組織必須重點關注此類信息。

就3級而言,RMF的“監控”階段與ISCM活動高度一致。對所實施安全控制措施的評估方法相同,不管評估僅是為了支持系統授權(RMF的“授權”階段),還是為了支持更廣泛、更全面的持續監控工作。系統級主管和員工進行持續評估,監控并分析結果。組織級、任務/業務流程級和系統級的風險管理都要用到該信息。

盡管頻率要求不盡相同,無論哪個級別,只要獲取到最新的安全相關信息,就能應用于受影響流程。在ISCM項目范圍內執行的RMF監控活動為系統風險判斷提供持續支持,是持續授權(OA)的基礎。若ISCM項目足以支持對整個(或部分)組織的風險進行判斷,則能夠支持整個(或部分)組織的OA。ISCM項目評估可驗證相關ISCM結果(有時包括相關指標)是否提供給OA流程用以就系統授權做出決策。OA相關信息見2.1.7節。

1.5  治理與ISCM

ISCM治理是整個組織治理的一部分,通過確立權限、職責、責任以及治理流程和程序,推動ISCM治理流程的落實、實施和持續改進,進而監控組織安全。治理—包括ISCM治理—在整個組織的各風險管理級別建立了責任線。

ISCM治理是一種用于管理風險的概念性組織和規劃結構。它與一個或多個高管或員工相關,如RE(f)等受問責制約束的高級官員(如負責風險管理的高級問責官員、高級機構信息安全官(SAISO)、負責隱私的高級機構領導、首席信息官(CIO)等)。信息安全治理結構中涉及ISCM的部分與其他治理結構一致,以確保與組織內的現有管理實踐相兼容,提高總體效率。

ISCM項目評估可確認ISCM治理政策和流程是否到位并實施。在1級風險管理中,評估可確認高管是否認識到管理信息安全風險的重要性并建立了與ISCM相關的治理結構用以管理此類風險。組織級ISCM戰略涵蓋ISCM治理結構。

如果組織的治理結構分散(例如,由于任務/業務需求或運營環境分散),任務/業務流程領域(2級)在與組織級ISCM戰略保持一致的同時,可以完整或部分地制定本領域的ISCM政策和流程,特別是當它們與風險管理和信息安全決策相關時。對于分散式治理模型,組織各級別共享ISCM信息很重要,因為這些信息與風險管理決策相關。

1.6  ISCM指標

ISCM確定的指標可揭示組織的整體安全態勢和各個系統的安全狀況,為風險管理流程提供輸入。有關ISCM指標的更多信息,參見SP800-137。

ISCM項目評估涵蓋組織定義的指標。ISCM項目評估會檢查ISCM項目是否進行了指標的定義、開發、維護并確保指標具有持續性。ISCM項目評估還會檢查組織是否:(i)確定了指標數據的收集頻率;(ii)根據1、2、3級風險管理獲得的數據定義指標;以及(iii)根據需要將指標應用于基于風險的決策。此外,ISCM項目評估還會檢查ISCM指標是否已上報給各級指定官員審查。

1.7  持續授權

ISCM可促進OA,這對組織來說是一大益處。OA簡化了系統授權流程,支持更高的自動化能力,方便相關人員就是否繼續系統授權做出近乎實時的決策。根據定義,OA指根據組織的任務/業務要求和組織的風險承受能力,以商定頻率(有成文規定)進行的后續風險判斷和風險接受決策。從根本上說,OA與對安全風險的持續理解和接受有關,并且依賴于穩健的ISCM項目。

組織通過ISCM功能收集安全相關信息,再基于此信息對系統做出OA決策。穩健的ISCM項目會定義、建立和實施一個連續的過程,通過這個過程,使用手動、自動和程序工具來管控操作授權系統的風險。

ISCM項目評估會檢查是否有ISCM信息可用于OA決策。ISCM項目評估具體檢查如下各項:

·       是否有組織級OA流程。OA流程關注的是系統如何過渡到OA狀態以及系統保持OA狀態所需的條件。

·       所進行的控制措施評估(根據NIST SP 800-53A)是否足以按既定頻率支持OA。

·       ISCM項目提供的指標是否足夠穩定、可靠,可以支撐OA決策。

·       ISCM項目是否能夠監控系統的安全狀況以及這些系統持續運行的環境,監控頻率是否合理,足以就是否繼續在組織內運行系統做出基于風險的持續決策。

·       是否將ISCM結果上報給有關領導進行授權決策。

 

下期連載將介紹ISCM項目評估的基礎和評估實施過程。

<<上一篇

獻禮國慶|綠盟科技為您保駕護航

>>下一篇

最后一頁
?

您的聯系方式

*姓名
*單位名稱
*聯系方式
*驗證碼
提交到郵箱

購買熱線

  • 購買咨詢:

    400-818-6868-1

  • 服務熱線:

    010-68438880-5069

  • 投訴專線:

    010-59610080

提交項目需求

歡迎加入綠盟科技,成為我們的合作伙伴!
  • *請描述您的需求
  • *最終客戶名稱
  • *項目名稱
  • 您感興趣的產品
  • 項目預算
您的聯系方式
  • *姓名
  • *聯系電話
  • *郵箱
  • *職務
  • *公司
  • *城市
  • *行業
  • *驗證碼
  • 提交到郵箱

微博

微信

服務熱線

400-818-6868

服務時間

7*24小時

? 2020 NSFOCUS 綠盟科技 www.nsfocus.com All Rights Reserved . 京公網安備 11010802021605號 京ICP備14004349號 京ICP證110355號

bobo视频