NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法

NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法

 

它的结构分为3个层级:组织视图、业务任务和信息系统视图。

800-37是NIST SP 800-37的简称,即NIST 800-37。800-37可以应用于所有行业,如军事、航空等。对于IT行业来说,它是一个通过引用多个NIST标准来进行风险管理的框架,包括:FIPS 199、NIST 800-53B、NIST 800-53A等。

概要

风险管理框架(RMF)用于管理安全和隐私风险,将风险保持在一个适当的水平,包括:

  • 信息安全分类
  • 控制选择
  • 实施
  • 评估
  • 授权
  • 监测

简介

1.1 背景

风险管理是:

  • 在整个SDLC中促进安全和隐私能力;
  • 通过持续的监测过程,保持对安全和隐私状况的认识;
  • 高级领导人和行政人员促进关于风险的决策;

2.1 全组织的风险管理

管理安全和隐私风险涉及整个组织。

第一级组织视图

高级领导人的愿景、目标、目的。

第二级业务任务

中层领导规划、管理关于开发、实施、运营和维护的项目,以支持任务和商业流程。

第三级信息系统视图

信息系统应用中层领导的项目。应对风险,执行风险决策。

如何进行RMF(关键词:准备)

识别业务功能,信息系统的流程;

识别关键的利益相关者(包括外部);

确定资产(包括信息系统)的优先次序;

了解对信息系统的威胁;

了解对个人的不利影响;

进行风险评估;

识别安全和隐私要求并确定其优先次序;

确定授权范围;

开发安全和隐私架构;

在系统软件的开发生命周期中追踪所有的风险控制。

2.2 风险管理框架的步骤和结构

实施RMF的步骤。

  1. 按损失的影响对系统进行分类。要了解更多信息,请阅读SP 800-30和FIPS 199。
  2. 选择(定制)控制手段(相关文档见NIST 800-53B)。
  3. 实施控制。
  4. 评估(跟踪)控制手段。
  5. 在确定风险可以接受的基础上,授权系统或共同(继承)控制手段。
  6. 监测(跟踪)系统和控制手段(相关文档见NIST 800-53A)。

实施RMF的灵活性

组织可以做以下调整:以不同的顺序执行任务,强调特定的任务,绑定任务,包括CSF网络安全框架来加强RMF的要求。

2.3RMF中的信息安全和隐私

RMF需要两个方案来保护可标识个人信息PII:

安全方案

保护信息免受未经授权的访问、使用、披露、破坏、修改或销毁,以提供保密性、完整性和可用性。

隐私计划

遵守隐私要求以保护个人。

2.7 安全和隐私态势

安全和隐私态势代表:

  • 基于信息保障资源(如政策、程序)的信息系统和信息资源(如人员、设备、资金和信息技术)的状况,以及
  • 管理防御的能力;以及
  • 遵守适用的隐私要求并管理隐私风险;以及
  • 随着情况的变化而作出反应。

2.8 供应链风险管理

供应链风险管理(SCRM)政策(见NIST 180-161)涉及供应链风险。

建立信任关系并与内部和外部利益相关者沟通。

3.2 归类

任务

成果

任务C-1系统描述

按系统创建一个资产清单组,参数包括:系统版本或发行号;制造商和供应商信息;网络拓扑结构等。

任务C-2 安全分类

系统的影响程度(见FIPS199)。

任务C-3批准

由高级管理团队批准TASK C-1和TASK C-2。

 

3.3 选择(控制手段)

任务

成果

任务S-1至S-4:控制选择和调整方向

根据NIST SP 800-53B选择和定制控制。你可以在定制程序上创建定制的控制。

任务S-5持续监测战略

NIST SP 800-53A的控制评估。你可以在任务S1-S4中为定制的控制创建自定义评估。

任务S-6 计划审查和批准

由高级管理团队批准。

3.4 实施(对计划的控制)。

任务

成果

任务I-1、I-2

把控制放到SDLC设计阶段,隐私计划,以确保控制是可行的。如果需要的话,调整控制措施。

3.5 评估(计划)

这一步是可选的,因为3.3 SELECT和3.4 IMPLEMENTATION已经完成了大部分工作。

3.6 授权(高级管理官员的计划)

该步骤是可选的,因为在3.1分类和3.2选择中存在批准任务。

3.7 监控

任务

成果

任务M-1系统和环境的变化

当操作环境发生变化(如配置变化)时,更新安全和隐私计划。可能需要更新控制措施。

任务M-2、M-3、M-4、M-5

更新安全和隐私评估报告

TASK M-6

持续审查系统的安全和隐私状况,以确定风险是否仍然可以接受。

TASK M-7

系统拆除后的处置控制。

 

小贴士

网络安全框架简介是在RMF中实施准备TASK P-4的另一种方式。

SDLC过程是RMF实施的最佳实践。

缩略语

SDLC, 软件开发生命周期

SCRM, 供应链风险管理

 

参考资料

National Institute of Standards and Technology, December 2018, NIST Special Publication 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations A System Life Cycle Approach for Security and Privacy, https://doi.org/10.6028/NIST.SP.800-37r2

PNNL, November 2018, Risk Management Framework Process Map, PNNL-28347.

Veracode, 2008, Understanding NIST 800‐37 FISMA Requirements.

 

posted @ 2023-05-26 10:45  Azizos  阅读(693)  评论(0编辑  收藏  举报