点击蓝字关注我们
1
美国 CUI 管理制度研究
ISOO 分为 3 类人员:分类管理人员、业务 人员和 CUI 人员。CUI 人员负责制定标准化的 CUI 政策和程序,通过有效的数据访问和控制措 施适当保护敏感信息。从机构设置来看,美国 CUI 管理与国家秘密管理均隶属 ISOO,但是分属于不同的分支机构;CUI 管理人员与国家秘密 管理人员分设。
1.3 美国 CUI 管理流程
ISOO 对 CUI 的认定、标识、保护、传播、 解除控制、处理政策做出规范,并对自我审查 和监督等提出要求。事项范围是 CUI 认定、标 识的基础。截至目前, ISOO 公布公共事项主类 20 个、子类 125 个。公共事项主类包括关键基础设施、防御、执法、核、专利等,其中,以 关键基础设施为例的事项子类包括信息系统漏 洞信息、关键能源基础设施信息、通用关键基 础设施信息、化学—恐怖主义脆弱性信息、有毒物等 。该分类为 CUI 的认定和标识提供了标准化的依据。
不管信息由哪个机构产生,只要需要保护和传播控制,均需在 CUI 办公室设立的网上登记处进行登记,每一类事项范围登记表由类目名称、类目描述、控制标识、保护与传播的授权、保护标准、解除控制等部分组成。登记表中对 CUI 设立了保护等级,以防信息非授权窃取或疏忽泄露;设定了传递控制等级,以限制信息的传播范围,包括禁止对外传播、仅限联邦雇员、仅限联邦雇员和承包商、不得向承包商传播、 传播清单受控制、仅授权向某些国民发布以及仅显示等 。
ISOO 根据 CUI 注册表对机构的 CUI 保护措施进行审查、评估、监督,确保其符合保护要求。
美国在 CUI 管理实施阶段建立了完整的管理流程,尤其是明确了受控非密事项的分类和 标识,为我国工作秘密的确定及管理范围提供了很好的参考依据。细化的 CUI 保护等级及传递控制等级,为工作秘密的差异化管理提供参考。
2
美国安全技术标准研究
近代的安全领域标准来源于 2002 年美国颁布的《联邦信息安全管理法案》,该法涉及的 信息安全范围涵盖非国家秘密和国家秘密两部分,授权美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)牵头制定非国家秘密的信息系统安全技术标准,国家安全系统委员会(Committee on National Security Systems, CNSS)制定涉及国家秘密的信息系统安全技术标准。
对于非国家秘密的信息系统安全技术标准,NIST 分别 于 2004 年 和 2006 年先 后 发 布 FIPS 199《联邦信息和信息系统安全分类》标准和FIPS 200《联邦信息和信息系统的最低安全需求》 标准。其中,FIPS 200 为强制性标准,除联邦政 府机构外,NIST还鼓励组成美国关键基础设施的州、地方和部落政府以及私营部门组织酌情考虑使用本标准。联邦信息处理标准(Federal Information Processing Standards,FIPS)定位是美国联邦计算机系统标准和指南方面的官方出版物,主要规定总体或高层次的要求,版本比较稳定、数量少。为满足执行 FIPS 所需的技术、管理和操作等各领域的标准化要求,NIST 制定NIST 特殊出版物(NIST SP)系列规范,SP 800 系列标准为了适应现实信息安全环境的多变和 快变性,出版物相对变化比较快,标准化成果的数量比较多。NIST SP 800-53《信息系统和组 织的安全和隐私控制》是联邦信息系统安全体系的核心基线标准,在制定之初国防和情报部门一起参与起草工作,目的是希望能够同时反映国家安全系统的安全要求。2015 年 6 月,CUI 安全技术标准 NIST SP 800-171《非联邦系统和组织中的受控非机密信息保护》第一版发布,与CUI管理实施指南 32 CFR Part 2002 属于同一时期发布。从名称上来看,其主体强调非联邦机构,认为 CUI 无论是否属于联邦系统,只要具有相同的价值就需要同等保护,实际上扩大了 CUI 的保护范围。
美国涉及国家秘密信息系统安全标准 CNSSI 1253《国家安全系统的安全分类和控制选择》 是在NIST SP 800-53 标准基础上裁剪形成的,删除 NIST SP 800-53 中不适用于国家安全系统的控制项,以减少建设时间和成本,叠加了保密特殊属性,如信息聚合效应、系统所处环境、用户属性等。
许多美国组织选择 NIST 框架,因为它们向 联邦机构提供服务时,必须遵守 CUI 的安全技术标 准 NIST SP 800-171,该 标 准 是 在 NIST SP 800-53 基础上裁 剪 而 来。美国NIST SP 800 安 全标准体系比欧洲国际标准化组织的 ISO 27002 安全标准体系更为全面,它包含了选择控制和 NIST SP 800-53A《信息系统和组织的安全评估 和隐私控制》。NIST SP 800-53 具有详细的基本控制要求和增强控制要求,机构可以直接利用其制定安全计划。
2.2 美国 CUI 安全技术标准分析
美国安全技术标准是一个大而全的体系,为了能够适用于各种系统,增强对 CUI 的安全管控,通过对核心标准 NIST SP 800-53 进行裁剪,形成了适用于 CUI 的 NIST SP 800-171 安全技术标准。在安全技术体系 NIST SP 800-53B《信息系统和组织的控制基线》中详细描述了裁剪标准的过程,并将安全控制大类的裁剪标准定义为 NCO(与 CUI 保密事项的保护无直接关系)、FED(只有联邦属性,是联邦政府的主要责任)、NFO(非联邦组织已经满足的非特定安全要求)、CUI(CUI 基本或派生安全需求,可在安全控制、控制增强中找到的特定要求)。
NIST SP 800-171 安全技术标准利用以上裁剪标准,将 NIST SP 800-53r4 的 17 类安全控制裁剪为 14 类,应用 NCO 标准裁剪掉应急规划安全控制类,应用NFO 标准裁剪掉规划、系统和服务采购安全控制类。具体内容如图 3 所示。在NIST SP 800-171 标准中还删除了各 个安全控制类别中的策略制定要求,以降低管理复杂度。
NIST SP 800-171 针对关键过程或高价值资产提出系统和通信保护、系统和信息完整性、 风险评估、人员安全、意识和培训、事件响应 能力 6 个安全控制类别的增强要求,以重点保护 CUI 的保密性、完整性、可用性。
同时,美国机构在建立某一具体信息系统的安全管控措施时可以根据 NIST SP 800-53B标准要求,对NIST SP 800-171 安全标准基线清单的控制项进行裁剪,既符合安全要求又降低信息系统安全措施成本。具体裁剪过程包括5 个步骤:标志公共控制、考虑作用域、选择补偿控制、赋值和补充基线控制 。其中,标志公共控制是指当机构具有多个系统时,为节约系统的安全措施成本,每个系统须满足人员安全保密意识培训、应急事件响应、安全物理环境等安全要求,指定人力资源、安保等部门进行总体协调的过程;考虑作用域是指当安全标准基线中的某些控制项不涉及某些专业或 领域时,可对该控制项进行删除的裁剪操作,删除时需说明原因;选择 补偿 控制是指 当安全标准基线中的某些控制项由于实施环境的不具备或 者实 施成 本过高而无法落地 时,可对该控制 项进行替换的裁剪 操作,但需要说明替换后的控制项可以达到同等的安全效果;赋值是指对安全基线标准条款要求“赋值” 或“选择”的具体化过程,例如对于密码修改时间,不同应用的修改时间由于其重要性不同而选 择不同的赋值;补充 基线控制是指专业或领域为了提升安全性、应对高级持续攻击或处理高度敏感信息,对安全标准基线要求进行补充的裁剪操作。
利用安全标准基线清单与裁剪相结合的方式,可以灵活制定具体系统的安全管控体系,满足多种信息系统的安全要求,使用范围非常 广泛。我国工作秘密管控同样具有业务种类多,场景复杂的特点,可以借鉴美国 CUI 安全管控 体系建立面向多业务多场景的技术标准。但是在机构具体信息系统安全体系建立时,还需要一套相对完整的安全标准体系裁剪咨询、系统安全评估方法、标准化自动化的安全评估工具 配合安全举措的落地实施,保证工作秘密受到 相应保护。
3
对我国工作秘密管控的启示
4
结 语
引用本文:赵墨颖 , 刘克清 , 周俊 , 等 . 美国 CUI 安全保护体系研究及启示 [J]. 信息安全与通信保密 ,2022(1):89-97.
赵墨颖,女,硕士,工程师,主要研究方向为网络安全管控体系;
刘克清,女,硕士,高级工程师,主要研究方向为网络安全保护制度;
周俊,男,学士,教授级高级工程师,主要研究方向为网络优化、网络管理;
靳侃侃,男,学士,工程师,主要研究方向为网络安全产品开发;
陈玮健,学士,工程师,主要研究方向为网络优化、网络管理。
编辑:陈十九
审核:商密君
征文启事
点击购买《2020-2021中国商用密码产业发展报告》
来源:信息安全与通信保密杂志社
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...