收藏
下载资源

美国联邦信息安全风险管理框架

上传人:w****i 文档编号:108960290 上传时间:2019-10-25 格式:PDF 页数:57 大小:2.49MB
返回 下载 相关 举报
美国联邦信息安全风险管理框架_第1页
第1页 / 共57页
美国联邦信息安全风险管理框架_第2页
第2页 / 共57页
美国联邦信息安全风险管理框架_第3页
第3页 / 共57页
美国联邦信息安全风险管理框架_第4页
第4页 / 共57页
美国联邦信息安全风险管理框架_第5页
第5页 / 共57页
点击查看更多>>
资源描述

《美国联邦信息安全风险管理框架》由会员分享,可在线阅读,更多相关《美国联邦信息安全风险管理框架(57页珍藏版)》请在金锄头文库上搜索。

1、美国联邦信息系统安全美国联邦信息系统安全 风险管理框架与风险管理框架与800-53 左晓栋左晓栋,20132013年年3 3月月2929日日 中国电子信息安全研究院中国电子信息安全研究院 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 2 目目 录录 联邦信息安全管理法(联邦信息安全管理法(FISMAFISMA)的主要要求)的主要要求 NISTNIST相关文档相关文档 NIST SP 800NIST SP 800- -5353 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 3 FISMA 联邦信息安全管理法(FISMA)颁布于2002年,确立了美 国联邦信息系统安全的总体制度框架

2、,明确了管理责任。 目的 定义 OMB主任的权力和职责 联邦各机构的职责 年度的独立评估 联邦信息安全事件中心 国家安全系统 NIST的职责 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 4 FISMA 定义 术语“信息安全”指保护信息和信息系统,防止未经授权的访问、 使用、泄露、中断、修改或破坏,以提供 (A)完整性,防止对信息进行不适当的修改或破坏,包括 确保信息的不可否认性和真实性; (B)保密性,信息的访问和披露要经过授权,包括保护个 人隐私和专属信息的手段;以及 (C)可用性,确保可以及时可靠地访问和使用信息。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 5 FIS

3、MA 定义 (A)术语“国家安全系统”指的是任何由(联邦)机构、(联邦)机构的合同商或 其他代表(联邦)机构的组织所使用或运行的信息系统(包括任何电信系统) ()其功能、运行或使用 ()涉及到情报活动; ()涉及到与国家安全相关的密码活动; ()涉及到军队的指挥和控制; ()涉及到武器或武器系统的装备;或 ()以(B)条为前提,对直接实现军队或情报使命至为关键的装备 ()含有根据行政令或国会法案制定的准则,出于对国防或外交政策利益而被列为 涉密的信息,这些系统要持续得到特定流程的保护。 (B)第(A)()()中的系统不包括用在日常行政管理和业务应用的系统 (包括薪水支付、财务、后勤和人事管理应

4、用)。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 6 FISMA 定义 联邦信息系统术语“联邦信息系统”指由行政机构、行政机构的 合同商或者代表行政机构的其他组织使用或运行的信息系统。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 7 FISMA OMB(管理和预算办公室)主任的职责 要求联邦各机构确定并实施信息安全保护措施。这些信息安全保护措施 应与下述信息和信息系统的风险及其被非授权访问、使用、泄露、中断、 修改或破坏后导致的后果程度匹配: (A)由联邦机构或代表联邦机构的其他组织收集或保有的信息;或 B)由联邦机构、联邦机构的合同商或代表联邦机构的其他组织使用 或运行

5、的信息系统。 监督联邦各机构,以便追溯各机构是否遵循了这些要求。 至少每年检查一次联邦各机构实施的信息安全项目,并决定是否批准或 不批准这些项目。 每年3月1日前,向国会汇报联邦各机构信息安全工作情况,包括各机构 的年度评估结果、遵循NIST标准的情况。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 8 FISMA 联邦各机构的职责 实施信息安全保护措施。这些信息安全保护措施应与下述信息和信息系 统的风险及其被非授权访问、使用、泄露、中断、修改或破坏后导致的 后果程度匹配: (A)由联邦机构或代表联邦机构的其他组织收集或保持的信息;或 B)由联邦机构、联邦机构的合同商或代表联邦机构的其

6、他组织使用 或运行的信息系统。 根据NIST的标准,判断信息和信息系统所需的安全级别,采取手段将风 险降低到可接受的程度;定期测试和评估信息安全控制和技术,以确保 这些安全控制和技术得到了有效实施。 每年一次向OMB主任、众议院政府改革委员会等汇报信息安全政策、流 程以及实践措施的充分性和有效性。 每年对其信息安全项目和实践工作进行一次独立评估。不晚于OMB主任 确立的日期,每年一次向OMB主任提交信息安全评估的结果。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 9 FISMA NIST的职责 制定标准和指南,包括最小要求。面向的是由行政机构、行 政机构的合同商或者代表行政机构的其他

7、组织使用或运行的 信息系统,不包括国家安全系统。 上述标准和指南包括: (A)供所有联邦机构所使用的信息与信息系统分类标准, 目标是针对相应的风险级提供足够的信息安全; (B)建议如何将各种信息和信息系统归入安全类别之中 的指南;以及 (C)为每一类别的信息和信息系统规定的最小信息安全 要求。 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 10 目目 录录 联邦信息安全管理法(联邦信息安全管理法(FISMAFISMA)的主要要求)的主要要求 NISTNIST相关文档相关文档 NIST SP 800NIST SP 800- -5353 云计算安全应用及标准研讨会云计算安全应用及标准研讨会

8、 11 风险管理框架风险管理框架 Security Life Cycle SP 800-39 Determine security control effectiveness (i.e., controls implemented correctly, operating as intended, meeting security requirements for information system). SP 800-53A 评估安全控制评估安全控制 Define criticality/sensitivity of information system according to poten

9、tial worst-case, adverse impact to mission/business. FIPS 199 / SP 800-60 信息系统分类信息系统分类 起点起点 Continuously track changes to the information system that may affect security controls and reassess control effectiveness. SP 800-37 / SP 800-53A 监视安全状态监视安全状态 SP 800-37 授权信息系统授权信息系统 Determine risk to organiza

10、tional operations and assets, individuals, other organizations, and the Nation; if acceptable, authorize operation. Implement security controls within enterprise architecture using sound systems engineering practices; apply security configuration settings. 实施安全控制实施安全控制 SP 800-160 FIPS 200 / SP 800-5

11、3 选择安全控制选择安全控制 Select baseline security controls; apply tailoring guidance and supplement controls as needed based on risk assessment. 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 12 FISMA 阶段阶段1:制定标准和指南制定标准和指南 (2003-2012) FIPS Publication 199 (安全分类安全分类) FIPS Publication 200 (最小安全要求最小安全要求) NIST Special Publication 800

12、-18 (安全规划安全规划) NIST Special Publication 800-30 (风险评估风险评估) NIST Special Publication 800-39 (风险管理风险管理) NIST Special Publication 800-37 (认证和认可认证和认可) NIST Special Publication 800-53 (安全控制建议安全控制建议) NIST Special Publication 800-53A (安全控制评估安全控制评估) NIST Special Publication 800-59 (国家安全系统国家安全系统) NIST Special

13、 Publication 800-60 (安全分类映射安全分类映射) 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 13 FISMA 阶段阶段2:安全控制实施和:安全控制实施和 评估工具评估工具(2007-2012) Training InitiativeTraining Initiative Support Tools InitiativeSupport Tools Initiative Product and Services Assurance InitiativeProduct and Services Assurance Initiative ISO Harmonizatio

14、n InitiativeISO Harmonization Initiative Organizational Assessment Capability Criteria InitiativeOrganizational Assessment Capability Criteria Initiative 云计算安全应用及标准研讨会云计算安全应用及标准研讨会 14 关键概念关键概念 信息系统边界 The set of information resources allocated to an information system The set of information resources

15、 allocated to an information system defines the boundary for that system. If a set of information resources defines the boundary for that system. If a set of information resources is identified as an information system, the resources are generally is identified as an information system, the resource

16、s are generally under the same direct management control.under the same direct management control. In addition to consideration of direct management control, it may also In addition to consideration of direct management control, it may also be helpful for organizations to determine if the information resources be helpful for organizations to determine if the information resources being identified as an inf

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号