可供下载的评估案例符合NIST特别出版物-5,修订版,如同秋叶在微风中轻舞,静静地诉说着过去的故事。这些评估案例,如同匠人的精心雕琢,承载着智慧和经验的结晶,为信息安全风险管理提供了一面明亮的镜子。这个已解散的机构间工作组,就像一个远去的旋律,它的制定的评估案例如今已经成为了历史的瑰宝。如同繁星闪烁在夜空,这些案例在不断地提醒我们,安全无小事,警惕永恒。尽管我们无法再开发出与SP-5ARev4或更高版本一致的评估案例,但就如同老树发新芽,原有的评估案例仍然可以绽放出新的生机。它们不仅可以用作模型来推断NISTSP-5中添加或更改的控制的评估案例,也可以作为修订版4或更高版本的指路明灯。
注意事项:为本项目制定的评估案例并非唯一可接受的评估案例;相反,这些案例代表了一组可能的评估者行动,可供组织(以及支持这些组织的评估者)用来帮助确定正在接受评估的信息系统中采用的安全控制的有效性。
背景最初的评估案例项目提供了符合NISTSP-5A的评估案例,代表了司法部(DOJ)领导的机构间工作组的努力,该工作组的代表来自美国国家标准与技术研究所(NIST)、美国国防部能源部(DOE)、交通部(DPT)和国家情报办公室CIO主任办公室(ODNI-CIO)。NIST更新了机构间工作组的初始评估案例集,以生成与SP-5A修订版1一致的当前评估案例集。此活动的目的是为评估员可能执行的具体行动提供建议为了获得做出NIST特别出版物-5A修订版1中的评估程序中确定的决定所需的证据。评估程序可帮助组织确定NIST特别出版物-5修订版4中定义的安全控制的有效性。
该项目的目的有四个:
积极邀请来自多个组织的经验丰富的评估员参与制定一组与特别出版物-5A修订版1中的评估程序相对应的代表性评估案例;
向组织和支持这些组织的评估员提供本出版物程序目录中每个评估程序的示范性评估案例集;(
为对评估案例进行持续的全社区审查提供工具,以促进评估流程的持续改进,从而对联邦信息系统进行更加一致、更具成本效益的安全评估;和
作为不同利益群体之间互惠互利的基础。
评估案例概述评估案例代表评估程序的工作示例,提供评估者在评估信息系统中的安全控制或控制增强期间可能执行的特定操作。评估案例旨在代表扩展-5A评估程序的起点。
评估案例通过添加“潜在评估排序”和“潜在评估员证据收集行动”两个部分来补充SP-5A中的信息。这些部分的描述如下。此外,有时会添加“评估员注释”,以帮助更好地理解控制的意图或更有效地评估控制。
潜力评估排序本节的目的是通过确定其他控制评估来帮助促进更有效、更具成本效益的评估,在评估该控制时应考虑其顺序。具体而言,本节提供以下方面的指导:
潜在评估员证据收集行动本节的目的是提供一套评估方法(检查、访谈或测试)和相关对象,以经济有效地做出所需的决定。对于要做出的每个决定,都会确定一系列“评估员行动步骤”。每个操作步骤条目由操作步骤标识符/编号和表示要执行的评估操作的相关证据收集声明组成。每个行动步骤都是对一组已识别的对象应用已识别的评估方法;并包括要应用的深度(即预期的严格性和详细程度)和覆盖范围(即预期的范围或呼吸)的指示,以及从该行动步骤获得的具体信息。行动步骤证据收集声明利用SP-5A附录D中评估方法描述中定义的指南来定义评估员行动。每个评估案例规范都包括一个或多个潜在的行动步骤。为-5A的评估目标中的每个确定陈述(或子部分)提供至少一个行动步骤。编写行动声明是为了使评估行动能够适应不同深度和覆盖范围的安全控制评估,使评估人员能够满足组织定义的特定评估所需的信心和保证。为了提供这种灵活性,在行动声明内识别评估者定义的参数,以选择用于评估安全控制的评估方法的应用的适当深度(即,严格性和详细程度)和覆盖范围(即,范围或范围)。深度和覆盖范围参数在操作语句中由方括号(例如“[….]”)界定,并包含深度和覆盖范围属性值。深度和覆盖属性值在参数括号内用斜体表示。评估案例中提供的行动陈述是使用评估深度和覆盖属性值的基本(即基础)级别编写的。可以通过用其他定义的值替换评估深度和覆盖属性值的基本级别来表达行动陈述的增加的严格性和/或范围。
行动陈述中评估方法(检查、访谈和测试)的不同深度和覆盖范围的潜在属性值如下:
检查、访谈和测试覆盖率属性值:基本样本属性值用于指示范围或覆盖范围的“基本”级别;也就是说,评估对象的代表性样本(按类型和类型内的数量)提供确定控制是否满足SP-5A附录D中定义的“基本”标准所需的覆盖水平。
重点样本属性值可用于指示范围或广度覆盖范围的“重点”级别;也就是说,扩展的基本样本包括对实现评估目标很重要的其他特定评估对象,以提供确定控制是否满足SP-5A附录D中定义的“重点”覆盖标准所需的覆盖水平。
足够大的样本属性值可用于指示范围或覆盖广度的“全面”水平;也就是说,扩展的重点样本包括更多的评估对象,以提供确定控制是否满足SP-5A附录D中定义的“全面”覆盖标准所需的覆盖水平。
检查、访谈和测试深度属性值:SP-5A附录D中确定的特定动作动词在检查方法的定义中用于评估案例的行动步骤的应用,以指示检查不同类型的评估对象(即,文档)的严格程度。、活动和机制)如下:
检查文档的严谨性——“阅读”:阅读文档的Review属性值用于“基本”级别的严格性和详细程度;也就是说,对文档进行高级检查,查找所需内容以及任何明显的错误、遗漏或不一致之处。
用于阅读文档的研究属性值可用于“集中”的严格程度和详细程度;即对文件的审查,包括“审查”的意图,并增加更深入的审查,以获取更多证据,以支持确定文件是否具有所需的内容以及是否没有明显的错误、遗漏和不一致。
分析阅读文档的属性值可用于“全面”的严格程度和详细程度;也就是说,对文件的审查包括“审查”和“研究”的意图;添加全面、详细的分析,以确保确定所需内容是否存在以及文档是否正确、完整和一致。
检查活动和机制的严格性——“观察”:观察活动和机制的观察属性值用于“基本”级别的严格性和详细程度;也就是说,观察活动或流程的执行情况或直接查看机制(而不是阅读评估员以外的人编写的有关该机制的文档),以了解该活动或机制是否按预期运行(或者在机制的情况下,可能是按预期配置的)以及操作或配置中是否存在任何明显的错误、遗漏或不一致。
检查观察活动和机制的属性值可用于“集中”的严格程度和详细程度;也就是说,在与“观察”相关的观察中加入积极的调查,以获得进一步的信心,以确定活动或机制是否按预期运行,并且在操作或配置中没有错误、遗漏或不一致。
分析观察活动和机制的属性值可用于“全面”的严格程度和详细程度;也就是说,除了“观察”和“检查”的观察和调查之外,还要对信息进行彻底和详细的分析,以建立重要的信心基础,确定活动或机制是否按预期运行并且没有错误操作或配置中的、遗漏或不一致。分析通过进一步观察和检查以及更好地理解从检查中获得的信息来实现这一目标。
访谈个人或团体的严谨性:访谈个人和团体的基本属性值用于“基本”级别的严格性和详细程度;也就是说,高级访谈寻找证据来支持确定控制是否满足SP-5A附录D中定义的“基本”访谈标准。
访谈个人和团体的集中属性值可用于“集中”的严格程度和详细程度;也就是说,包含“基本”意图的访谈,并添加更深入的访谈以获得更多证据,以支持确定控制是否满足SP-5A附录D中定义的“重点”访谈标准。
访谈个人和团体的综合属性值可用于“全面”的严格程度和详细程度;即包含“基本”和“重点”意图的访谈;添加彻底而详细的分析,以确保确定控制是否满足SP-5A附录D中定义的“全面”访谈标准的重要依据。
测试机制和活动严谨性:机制和活动的基本属性值用于“基本”级别的严格性和详细程度;也就是说,基本级别的测试寻找证据来支持确定控制是否满足SP-5A附录D中定义的“基本”测试标准。
机制和活动的集中属性值可用于“集中”的严格程度和详细程度;即,包含“基本”意图的重点测试级别,并添加更深入的测试以获得更多证据,以支持确定控件是否满足SP-5A附录D中定义的“重点”测试标准。
机制和活动的综合属性值可用于“全面”的严格程度和详细程度;即综合水平的测试,包括“基础”和“重点”的意图;添加彻底而详细的分析,以确保确定控制是否满足SP-5A附录D中定义的“全面”测试标准的重要依据。
深度和覆盖范围属性不会改变证据收集行动的逻辑顺序、整体性或选择;相反,这些属性起到了提供/支持评估严格程度的作用。
评估案例的剪裁和补充特别出版物-5A允许组织定制和补充所提供的基本评估程序。预计剪裁和补充的概念将应用于类似于特别出版物-5A中描述的概念的评估案例。定制涉及确定评估程序或评估案例的范围,以更紧密地匹配信息系统及其运行环境的特征。例如,可能需要为信息系统内使用的特定操作系统、网络组件、中间件或应用程序开发详细的测试脚本,以充分评估特定安全控制的某些特性。此类测试脚本的详细程度比评估案例提供的要低。
补充涉及增加评估程序或评估案例,以充分满足组织的风险管理需求。补充决策由组织自行决定,以便在应用风险评估结果来确定评估的范围、严格性和强度级别时,最大限度地提高制定安全评估计划的灵活性。
虽然灵活性仍然是制定安全评估计划的一个重要因素,但评估的一致性也是一个重要的考虑因素。主要设计目标是提供一个评估框架和评估的初始起点,这对于实现这种一致性至关重要。
组织不应采用为组织信息系统内部署或继承的相关安全控制而确定的评估程序中包含的所有评估方法和评估对象。相反,组织具有固有的灵活性来确定特定评估所需的努力水平(例如,哪些评估方法和评估对象被认为对于获得所需结果最有用)。这一决定是基于什么将以最具成本效益的方式实现评估目标,并有足够的信心支持随后确定最终的任务或业务风险。
NIST风险管理框架NIST,即美国国家标准与技术研究院,推出了一款全面的风险管理框架,旨在帮助组织更好地理解和实施有效的风险管理。该框架包涵了组织治理、风险评估、风险应对、监控和审查以及沟通五个关键要素,以及每个要素对应的实践和活动。这些实践和活动旨在确保组织在所有业务领域中都具备有效的风险管理能力。该框架的推出,对于组织来说,不仅提供了一个全面的风险管理指南,而且也提供了一个可以参考的实践框架,以帮助组织更好地应对日益复杂和不确定的运营环境。通过遵循这个框架,组织可以更好地识别、评估和管理风险,从而确保其业务战略的成功实施。此外,该框架还强调了组织治理在风险管理中的重要性。组织治理是风险管理的基础,它为组织的所有业务活动提供指导和监督。通过建立一个明确的风险管理框架,组织可以确保所有员工都能明确自己的责任和角色,从而更好地协调和实施风险管理活动。总的来说,NIST风险管理框架为组织提供了一个全面的风险管理指南,它可以帮助组织更好地应对日益复杂和不确定的运营环境。通过遵循这个框架,组织可以确保其业务战略的成功实施,并为其所有业务活动提供有效的风险管理。
收录于合集#风险管理49个NIST风险管理框架转载请注明:http://www.0431gb208.com/sjszlfa/6484.html
