《NIST评估信息安全持续监控(ISCM)项目:评估 *** 》一文可用于:
目标读者为持续监控信息安全态势和组织风险管理的个人,包括:
连载2内容介绍了对组织风险管理中的ISCM进行评估的基础和类型。
ISCM项目评估过程包含信息收集和证据分析。组织可利用所收集的信息和已确认的证据进行如下活动:
ISCM项目评估会检查通用控制措施、混合控制措施和特定系统控制措施的控制评估流程,判断组织是否对控制措施进行了评估。本文并未要求在评估ISCM项目时评估单个控制措施或检查控制措施的评估结果。必要时,组织可修改ISCM项目评估方案、增加评估要素来评估单个控制措施,也可引入控制评估流程。本章其余部分将逐一解释ISCM项目评估的各个环节。
ISCM项目评估方案为评估ISCM项目定义了各个方面的评估标准(如安全状况监控政策和程序、通用控制措施评估政策、配置管理程序、安全状况报告)。本文档定义的评估标准以评估要素为核心。以下是评估要素示例:
若ISCM相关陈述的来源跨越多个ISCM阶段,则要分成多个评估要素,每个(唯一)要素对应一个流程阶段。评估要素也会从其他ISCM功能和原则中提取,如开发人员、操作人员、评估人员根据经验和联邦指导所建议的功能和原则。
要素的选择取决于评估范围(见2.3.2节),评估范围受2.1.2节中定义的风险管理级别或ISCM流程阶段的限制。例如,评估范围受限情况下,按如下原则选取评估要素:
有些评估要素会评估RMF过程所输出信息(如当前风险水平、风险承受水平、威胁和漏洞信息)的使用,因而在一定程度上超出了ISCM项目的范围;有些要素则评估ISCM项目是否能够输出安全相关信息(如安全状况报告、安全指标),为组织实施RMF提供参考;还有些评估要素可能与SP800-53中某些控制措施重叠,但ISCM项目评估并不考虑或评估个别控制措施的有效性。
组织或评估人员可以基于本文档提供的评估要素和评估程序,制定自己的评估方案,输出评估ISCM项目所需的证据,判断评估标准所规定的ISCM要求是否已实现。
评估要素也可以视为对当前所开发ISCM项目的要求。组织可根据这些要素,设计ISCM项目所需的功能、政策和程序。评估要素还可用于评估ISCM规划或设计,如ISCM技术架构、操作步骤和ISCM战略。
ISCM项目评估要素的来源包括:
每一ISCM项目评估要素均有多个属性,方便评估ISCM项目的实施情况。在ISCM项目评估要素一览表中,这些属性按列展示,具体如下:
可将ISCM项目评估要素串成链,这样,基于ISCM项目的特定方面(如安全状况监控或ISCM指标),可方便地从一个要素追溯到与“父要素”属性相关的一个或多个其他要素。评估要素串联在一起,构成“链”,提供追溯关系。这种关系链可显示跨越两个或多个ISCM流程阶段的要素的上下级关系。
评估人员针对各风险管理级别检视或调查评估对象时,会发现通过追溯链来追踪评估要素的路径很方便。例如,针对某一评估要素链的工件或面谈问题只关注某一特定领域(如ISCM战略),有助于评估人员做出更有效的判断。
图2显示了四个类似评估要素的追溯链,这些要素都来自“定义”阶段(要素1-032)。各要素左上角的字符串是该要素的唯一标识(之一个数字字符表示ISCM流程阶段)。
图2:追溯链示例
在图2中的追溯链示例中,之一条链由评估要素1-032、2-016和3-019组成,涉及ISCM相关数据的完备性。第二条链由评估要素1-032、2-017和3-020组成,涉及ISCM相关数据的及时性。第三条链由1-032和3-041组成,涉及数据的自动化处理。第四条链由1-032和6-013组成,涉及使用这些数据回顾、更新ISCM项目。
在之一条链中(即1-032、2-016和3-019),之一个区块与第二个相连,第二个又与第三个相连。评估人员可根据各评估要素的描述和具体情况,要求提供能反映数据完备性的工件。然后,基于这些工件对这三个评估要素做出判断。第二条链中,子链(2-017和3-020)的父区块(1-032)与之一条链相同,但这些区块评估的是数据收集的及时性。评估人员可要求提供能反映数据收集及时性的工件。与之一条链一样,工件随后可用于对链中的三个评估要素做出判断。第三条链的情况类似。评估人员可要求演示自动化功能或提供有关自动化的文档工件。对于第四条链,评估人员可要求组织提供工件,说明如何使用数据来评估ISCM项目。
ISCM项目评估涵盖ISCM项目的各个方面,以SP800-137中的原则为基础。ISCM项目评估有如下特点:
1、一次只针对一个ISCM流程阶段;
2、每一评估要素仅适用于一个ISCM流程阶段;
3、使用现成的安全相关信息(如组织级或系统级ISCM战略文件中的信息);
4、不评估控制措施的有效性,因为这超出了ISCM项目评估的范围;
5、验证ISCM项目是否能够将自动和手动 *** 结合使用;
6、将每一评估要素追溯至权威来源或ISCM专业经验;
7、评估人员或组织可根据需要添加评估程序,修改评估标准(即“评估要素描述”属性),或添加、排除、修改评估要素的属性字段,如3.5节所述;
8、适用于任何组织,无论规模多大,结构有多复杂;
9、与技术、实现和独特的组织或项目要求保持分离和独立;
10、输出结果,提出可行建议;
11、从战略和项目角度进行评估,而不是纠结于ISCM期间发现的具体的、战术性的问题;
12、足够清晰,指导性够强,保证评估方案可复用(也就是说,其他评估团队进行后续评估也会产出相同结果)。
ISCM项目评估方案包含一个框架,用于评估人员对评估要素做出判断。本节概述了判断的类型和方式。
对于ISCM项目的某一方面(如ISCM战略或ISCM输出/报告),根据相关评估要素进行评估。对于每个评估要素,评估人员选取预定义的判断值,做出判断。判断值示例见下文。
对于ISCM项目评估范围内的评估要素集,所有要素都要进行判断。有关ISCM项目的评估范围,见2.3.2节。
图3显示了使用可用信息对评估要素进行判断的过程。
图3:判断过程
根据组织的规模和复杂性,可以从多方面(如多个任务/业务流程和/或系统)收集ISCM项目评估信息,对其进行分析和汇总,最后形成单一组织风险管理级别的单个判断。多个评估人员可以就组织的某一部分(如单个任务/业务流程、单个系统)输出多个评估结果。
对于同一风险管理级别的多个ISCM项目评估(由多个评估人员进行),组织或评估人员决定如何将同一评估要素的多个判断进行合并。例如,如果评估人员分别接触各任务/业务流程,则可能会对同一评估要素做出多次判断。分布式自评也是如此(见2.3.1节)。一个风险管理级别的评估结果可能存在显著差异。对于某一组织风险管理级别,可用如下 *** 将判断进行合并:
各评估要素按上述原则在对应风险管理级别分别进行判断。
SP800-137介绍了三个风险管理级别如何就ISCM的各个方面协同工作。根据组织的结构以及组织级和系统级ISCM战略的实现方式,这些概念会适用于一个或两个级别(通常是相邻级别)或所有三个级别。因此,每个评估要素都会在一个或多个级别上进行评估。例如,一个要素可能只在级别1进行评估,而另一个要素则可能在级别1和级别2都要进行评估。对于每个要素,不管涉及几个级别,都要将多个评估结果进行合并,最终形成唯一的判断结果。
当两个或三个级别的判断需要进行合并以得到最终结果时,需要有 *** 、规则或算法来保证这种操作有统一的标准可循。本文档并未提供合并判断的 *** ,各组织可根据需要建立自己的合并机制。
每个相关级别都要进行一次或多次评估。如2.2.8节所述,在每个级别将结果合并为单一判断。然后,根据组织定义的规则,将各级别的结果进行调整,形成唯一判断。例如,要合并各级别评估结果,可基于后文三个表格中的其中一个决策矩阵采用如下规则:
规则1:如果评估要素只适用于单个级别,则该级别的判断作为该要素的最终判断。
规则2:如果评估要素适用于两个级别,则使用表1、表2或表3中的决策矩阵。
规则3:如果评估要素适用于所有三个级别,则:
低级别高级别组合判断(无倾向)满足满足满足满足未满足未满足未满足满足未满足未满足未满足未满足
表1:合并两个级别的判断(无倾向)
表2提供了涉及两个级别的另一种决策矩阵,该矩阵倾向于高级别,能大概反映组织的业务情况。该例中,规则2和规则3没有变化;但是,不管应用哪种规则,结果都与表1矩阵不同。
低级别高级别满足满足满足未满足未满足满足未满足未满足表3提供了涉及两个级别的第三种决策矩阵,该矩阵倾向于低级别,更接近组织的实际情况。该例中,规则2和规则3没有变化;但是,不管应用哪种规则,结果都与表1和表2矩阵不同。
低级别高级别组合判断(倾向于低级别)满足满足满足满足未满足满足未满足满足未满足未满足未满足未满足评估分数表示ISCM能力对目标的满足程度,反映组织的风险情况。基于评估要素做出判断后进行评分,用数值描述判断,最后得出评估结果。为每个判断值分配分数,再基于各评估要素分值计算组织的最终分数。换言之,评估得分是所有要素判断得分的总和。
基于该分数,组织领导可就ISCM项目做出明智决策,确定如何优化组织资源配置,以便改进项目,降低风险。评分操作非必选项,可与2.2.7节中讨论的二元和多级判断类型结合使用。可将全组织的ISCM项目评估分数汇总,计算出整个组织的最终分数。
ISCM项目评估的首要目标是为组织提供ISCM项目改进建议,从而管理和降低组织所面临的风险。ISCM项目评估过程有多种描述 *** ,包括评估类型和评估人员类型、评估深度和持续时间以及预期评估结果。
ISCM项目评估有两种方式:第三方评估和自评。
第三方评估:第三方评估由独立于被评估组织的第三方评估人员进行,分为以下两种情况:
第三方评估通常要组织多次访谈,按以下方式进行:讨论参与者的回答,得出并记录达成一致的结果,例如由评估人员将结果输入工具或结果库。
自评:自评由被评估组织或子组织的内部人员进行,包括分布式评估和引导式评估。自评要求对目标形成客观看法,这样才能在ISCM项目开发早期揭示整个或局部组织的ISCM能力的不足之处。
自评可分布式进行, *** 如下:
引导式评估中,一名具有专业领域知识的员工或团队引导小组讨论,然后达成一致并记录下来(例如,将回答输入工具或结果库)。
就流程阶段而言,ISCM项目评估的范围很灵活。评估可以在任何阶段或逻辑停止点停止,可以评估局部组织而不是整个组织。ISCM项目评估在评估范围方面具有以下特征:
终止于“定义”阶段(重点评估ISCM项目战略);
终止于“立项”阶段(重点评估ISCM项目设计);
终止于“实施”阶段(重点评估ISCM项目实施);
跳过“回顾/更新”阶段(过程改进阶段,在较成熟的ISCM项目中进行);或
包含所有阶段(完整ISCM项目评估)。
进行ISCM项目评估的目的是改善组织的安全态势,降低风险。为此,ISCM项目评估要输出具有可操作性的建议,从各方面改进ISCM项目,包括设计、实施、运营和治理等。ISCM项目评估的主要输出是调查结果报告,该报告要提交给组织,包括以下内容(如适用):
此外,被评估组织的员工可单独出具一份评估情况报告提交给评估机构,以便改进ISCM项目评估过程。
下次连载将介绍ISCM项目评估的组成部分和总体评估流程。
小蜜蜂翻译组公益译文项目,旨在分享国外先进 *** 安全理念、规划、框架、技术标准与实践,将 *** 安全战略性文档翻译为中文,为 *** 安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
许多的人想要创业,可是面临选择的时候就犯了难,餐饮行业的竞争压力很是的大,可是拥有辽阔的成长前景和市场,是不绝吸引消费者的热门行业。先生炭!烧烤工坊加盟就是个中的一个品牌,已经成长多年,而且可以或许在...
大家熟知的游戏平台Steam客户端,竟然存在了一个至少10年的远程代码执行漏洞……近日有安全公司的研究人员Tom Court曝出了这一发现。据悉,这个漏洞会影响到每月1500万的活跃用户,因此游戏...
《黑客帝国》的男主角叫尼奥,是由基努·里维斯饰演。基努·里维斯(KeanuReeves),1964年9月2日出生于黎巴嫩贝鲁特, 中文名:基努·里维斯英文名:KeanuReeves职业:演员;贝司手所...
皓衣行编剧回应加戏争议 之前收到大量辱骂私信 自从《陈情令》大火之后,圈内开始扎堆拍摄耽改剧。其中最引人注目的还要数《皓衣行》了,不仅是一个比较有名的大IP改编的,并且是由太子爷陈飞宇主演。不过最近《...
哈尔滨外围女学妹微信群【王柔】 今天给大家分享的内容是“哈尔滨外围女学妹微信群【王柔】”,我是王柔,来自内江市,今年24岁,作为职业:北京模特伴游,我热爱我的职业:北京模特伴游。三圍:胸62腰88...
本文导读目录: 1、黑客到底是靠什么活着??? 2、黑客电影 3、如何学习网页制作 4、电影中的黑客电脑界面是怎样制作的? 5、关于网路黑客的电影有哪些?(要国产电影和港台电影) 黑...