正文

NIST 风险管理框架

admin
admin V管理员 /0 评论 /119 阅读
0217
此篇文章发布距今已超过281天,您需要注意文章的内容或图片是否可用!

评估案例概览

可供下载的评估案例符合NIST 特别出版物 800-53,修订版 3评估案例是由一个已解散的机构间工作组制定的。将不会开发与 SP 800-53A Rev 4 或更高版本一致的评估案例,但现有的评估案例可以继续应用,也可以用作模型来推断 NIST SP 800-53 中添加或更改的控制的评估案例修订版 4 或更高版本。

注意事项: 为本项目制定的评估案例并非 唯一 可接受的评估案例;相反,这些案例代表了一组可能的评估者行动,可供组织(以及支持这些组织的评估者)用来帮助确定正在接受评估的信息系统中采用的安全控制的有效性。

背景

最初的评估案例项目提供了符合 NIST SP 800-53A 的评估案例,代表了司法部 (DOJ) 领导的机构间工作组的努力,该工作组的代表来自美国国家标准与技术研究所 (NIST)、美国国防部能源部 (DOE)、交通部 (DPT) 和国家情报办公室 CIO 主任办公室 (ODNI-CIO)。NIST 更新了机构间工作组的初始评估案例集,以生成与 SP 800-53A 修订版 1 一致的当前评估案例集。此活动的目的是为评估员可能执行的具体行动提供建议为了获得做出 NIST 特别出版物 800-53A 修订版 1 中的评估程序中确定的决定所需的证据。评估程序可帮助组织确定 NIST 特别出版物 800-53 修订版 4 中定义的安全控制的有效性。

该项目的目的有四个:

  1. 积极邀请来自多个组织的经验丰富的评估员参与制定一组与特别出版物 800-53A 修订版 1 中的评估程序相对应的代表性评估案例;

  2. 向组织和支持这些组织的评估员提供本出版物程序目录中每个评估程序的示范性评估案例集;

  3. 为对评估案例进行持续的全社区审查提供工具,以促进评估流程的持续改进,从而对联邦信息系统进行更加一致、更具成本效益的安全评估;

  4. 作为不同利益群体之间互惠互利的基础。

评估案例概述

评估案例代表  评估程序的工作示例,提供评估者在评估信息系统中的安全控制或控制增强期间可能执行的特定操作。评估案例旨在代表扩展 800-53A 评估程序的起点。

评估案例通过添加“潜在评估排序”和“潜在评估员证据收集行动”两个部分来补充 SP 800-53A 中的信息。这些部分的描述如下。此外,有时会添加“评估员注释”,以帮助更好地理解控制的意图或更有效地评估控制。 

潜力评估排序

本节的目的是通过确定其他控制评估来帮助促进更有效、更具成本效益的评估,在评估该控制时应考虑其顺序。具体而言,本节提供以下方面的指导:

前置控制:

在评估该控制之前应评估的控制。也就是说,控制措施的评估可能会产生做出评估决定所需的信息或有助于做出评估决定的信息。

并发控制:

其评估涉及对同一对象(或多个对象)应用与此评估相同的方法的控制。也就是说,通过在对一组对象的评估方法的一次应用中完成多个评估案例的信息收集来节省成本的潜力。

后继控制

在评估该控制后应评估的控制。也就是说,控制措施的评估可能需要来自该评估的信息,或者发现该信息有帮助。

潜在评估员证据收集行动

本节的目的是提供一套评估方法(检查、访谈或测试)和相关对象,以经济有效地做出所需的决定。对于要做出的每个决定,都会确定一系列“评估员行动步骤”。每个操作步骤条目由操作步骤标识符/编号和表示要执行的评估操作的相关证据收集声明组成。每个行动步骤都是对一组已识别的对象应用已识别的评估方法;并包括要应用的深度(即预期的严格性和详细程度)和覆盖范围(即预期的范围或呼吸)的指示,以及从该行动步骤获得的具体信息。行动步骤证据收集声明利用 SP800-53A 附录 D 中评估方法描述中定义的指南来定义评估员行动。每个评估案例规范都包括一个或多个潜在的行动步骤。为 800-53A 的评估目标中的每个确定陈述(或子部分)提供至少一个行动步骤。编写行动声明是为了使评估行动能够适应不同深度和覆盖范围的安全控制评估,使评估人员能够满足组织定义的特定评估所需的信心和保证。为了提供这种灵活性,在行动声明内识别评估者定义的参数,以选择用于评估安全控制的评估方法的应用的适当深度(即,严格性和详细程度)和覆盖范围(即,范围或范围)。深度和覆盖范围参数在操作语句中由方括号(例如“[….]”)界定,并包含深度和覆盖范围属性值。深度和覆盖属性值在参数括号内用斜体表示。评估案例中提供的行动陈述是使用评估深度和覆盖属性值的基本(即基础)级别编写的。可以通过用其他定义的值替换评估深度和覆盖属性值的基本级别来表达行动陈述的增加的严格性和/或范围。

行动陈述中评估方法(检查、访谈和测试)的不同深度和覆盖范围的潜在属性值如下:

检查、访谈和测试 覆盖率 属性值:

基本样本 属性值用于指示范围或覆盖范围的“基本”级别;也就是说,评估对象的代表性样本(按类型和类型内的数量)提供确定控制是否满足 SP 800-53A 附录 D 中定义的“基本”标准所需的覆盖水平。

重点样本 属性值可用于指示范围或广度覆盖范围的“重点”级别;也就是说,扩展的 基本样本 包括对实现评估目标很重要的其他特定评估对象,以提供确定控制是否满足 SP 800-53A 附录 D 中定义的“重点”覆盖标准所需的覆盖水平。

足够大的样本 属性值可用于指示范围或覆盖广度的“全面”水平;也就是说,扩展的重点样本 包括更多的评估对象,以提供确定控制是否满足 SP 800-53A 附录 D 中定义的“全面”覆盖标准所需的覆盖水平。

检查、访谈和测试 深度 属性值:

SP 800-53A 附录 D 中确定的特定动作动词在检查方法的定义中用于评估案例的行动步骤的应用,以指示检查不同类型的评估对象(即,文档)的严格程度。、活动和机制)如下:

检查文档的严谨性——“阅读”:

阅读文档的Review 属性值用于“基本”级别的严格性和详细程度;也就是说,对文档进行高级检查,查找所需内容以及任何明显的错误、遗漏或不一致之处。

用于阅读文档的研究 属性值可用于“集中”的严格程度和详细程度;即对文件的审查,包括“审查”的意图,并增加更深入的审查,以获取更多证据,以支持确定文件是否具有所需的内容以及是否没有明显的错误、遗漏和不一致。

分析 阅读文档的属性值可用于“全面”的严格程度和详细程度;也就是说,对文件的审查包括“审查”和“研究”的意图;添加全面、详细的分析,以确保确定所需内容是否存在以及文档是否正确、完整和一致。

检查活动和机制的严格性——“观察”:

观察 活动和机制的观察属性值用于“基本”级别的严格性和详细程度;也就是说,观察活动或流程的执行情况或直接查看机制(而不是阅读评估员以外的人编写的有关该机制的文档),以了解该活动或机制是否按预期运行(或者在机制的情况下,可能是按预期配置的)以及操作或配置中是否存在任何明显的错误、遗漏或不一致。

检查 观察活动和机制的属性值可用于“集中”的严格程度和详细程度;也就是说,在与“观察”相关的观察中加入积极的调查,以获得进一步的信心,以确定活动或机制是否按预期运行,并且在操作或配置中没有错误、遗漏或不一致。

分析 观察活动和机制的属性值可用于“全面”的严格程度和详细程度;也就是说,除了“观察”和“检查”的观察和调查之外,还要对信息进行彻底和详细的分析,以建立重要的信心基础,确定活动或机制是否按预期运行并且没有错误操作或配置中的、遗漏或不一致。分析通过进一步观察和检查以及更好地理解从检查中获得的信息来实现这一目标。

访谈个人或团体的严谨性:

访谈个人和团体的基本 属性值用于“基本”级别的严格性和详细程度;也就是说,高级访谈寻找证据来支持确定控制是否满足 SP 800-53A 附录 D 中定义的“基本”访谈标准。

访谈个人和团体的集中 属性值可用于“集中”的严格程度和详细程度;也就是说,包含“基本”意图的访谈,并添加更深入的访谈以获得更多证据,以支持确定控制是否满足 SP 800-53A 附录 D 中定义的“重点”访谈标准。

访谈个人和团体的综合 属性值可用于“全面”的严格程度和详细程度;即包含“基本”和“重点”意图的访谈;添加彻底而详细的分析,以确保确定控制是否满足 SP 800-53A 附录 D 中定义的“全面”访谈标准的重要依据。

测试机制和活动严谨性:

机制和活动的基本 属性值用于“基本”级别的严格性和详细程度;也就是说,基本级别的测试寻找证据来支持确定控制是否满足 SP 800-53A 附录 D 中定义的“基本”测试标准。

机制和活动的集中 属性值可用于“集中”的严格程度和详细程度;即,包含“基本”意图的重点测试级别,并添加更深入的测试以获得更多证据,以支持确定控件是否满足 SP 800-53A 附录 D 中定义的“重点”测试标准。

机制和活动的综合 属性值可用于“全面”的严格程度和详细程度;即综合水平的测试,包括“基础”和“重点”的意图;添加彻底而详细的分析,以确保确定控制是否满足 SP 800-53A 附录 D 中定义的“全面”测试标准的重要依据。

深度和覆盖范围属性不会改变证据收集行动的逻辑顺序、整体性或选择;相反,这些属性起到了提供/支持评估严格程度的作用。

评估案例的剪裁和补充

特别出版物 800-53A 允许组织定制和补充所提供的基本评估程序。预计剪裁和补充的概念将应用于类似于特别出版物 800-53A 中描述的概念的评估案例。定制涉及确定评估程序或评估案例的范围,以更紧密地匹配信息系统及其运行环境的特征。例如,可能需要为信息系统内使用的特定操作系统、网络组件、中间件或应用程序开发详细的测试脚本,以充分评估特定安全控制的某些特性。此类测试脚本的详细程度比评估案例提供的要低。

补充涉及增加评估程序或评估案例,以充分满足组织的风险管理需求。补充决策由组织自行决定,以便在应用风险评估结果来确定评估的范围、严格性和强度级别时,最大限度地提高制定安全评估计划的灵活性。

虽然灵活性仍然是制定安全评估计划的一个重要因素,但评估的一致性也是一个重要的考虑因素。主要设计目标是提供一个评估框架和评估的初始起点,这对于实现这种一致性至关重要。

组织不应采用为组织信息系统内部署或继承的相关安全控制而确定的评估程序中包含的所有评估方法和评估对象。相反,组织具有固有的灵活性来确定特定评估所需的努力水平(例如,哪些评估方法和评估对象被认为对于获得所需结果最有用)。这一决定是基于什么将以最具成本效益的方式实现评估目标,并有足够的信心支持随后确定最终的任务或业务风险。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下