NIST
Special Publication NIST SP 800-171Ar3 ipd
评估受控未分级信息的安全要求
初步公开草案
1.1 目的和适用性
本出版物旨在提供评估NIST特别出版物(SP)800-171《保护非联邦系统和组织中的受控非机密信息》[3]中安全要求的程序。组织可以使用评估程序来生成证据,以支持已经满足安全要求的断言。使用本出版物中描述的程序进行的安全评估的范围由处理、存储或传输CUI系统的系统安全计划指导和告知。评估程序提供了灵活性,可以根据组织政策和要求、已知威胁和漏洞信息、系统和平台依赖性、操作注意事项以及风险承受能力定制评估。[1]
1.2 本出版物的组织
本特别出版物的其余部分组织如下:
l 第2节描述了与安全需求评估相关的基本概念,包括评估程序、方法、对象和可以使用评估过程中产生的证据创建的保证案例。
l 第3节提供了NIST SP
800-171中安全要求的评估程序,包括评估目标以及每个程序的潜在评估方法和对象。
以下部分提供了支持非联邦系统和组织中CUI保护的附加信息:
l 参考文献
l 附录A:缩写
l 附录B:术语表
l 附录C:变更日志
本出版物的内容可用于许多相关目的不同的评估中,以确定组织是否符合安全要求。本出版物中列出的广泛的潜在评估方法和对象不一定反映,也不应与实际合规或不合规直接相关。相反,从所提供的列表中选择具体的评估方法和对象可以帮助生成总体遵守安全要求的情况。对确定是否符合安全要求所需的方法或对象的数量没有任何期望。此外,不应将整个潜在评估对象列表视为确定合规性所需的工件。各组织可以灵活地确定具体的方法和对象,以获得支持任何合规声明所需的证据。
2 基本原理
组织和评估人员用于评估NIST SP 800-171中的安全要求的过程包括(1)准备评估,(2)制定安全评估计划,(3)进行评估,以及(4)记录、分析和报告评估结果。[1]本节其余部分介绍了用于评估安全要求的程序结构和内容,以及保证案例在提供必要证据以确定是否符合要求方面的重要性。
2.1 评估程序
NIST SP 800-171中的安全要求分为17个系列,如表1所示。第3节中的评估程序按类似的族名称分组,以确保评估的完整性和一致性。该程序源自NIST SP 800-53A[5]中的评估程序。
表1.安全要求系列
|
访问控制 |
维护 |
安全评估和监控 |
|
意识和培训 |
介质保护 |
系统和通信保护 |
|
审计和问责 |
人员安全 |
系统和信息完整性 |
|
配置管理 |
物理保护 |
规划 |
|
身份验证 |
风险评估 |
系统和服务采购 |
|
事件响应 |
供应链风险管理 |
评估程序包括一个评估目标和一套可用于进行评估的潜在评估方法和对象。每个潜在评估目标都包括与安全要求相关的确定声明。如果安全要求中存在组织定义的参数(ODP),则评估目标以与ODP定义相关的确定声明开始。确定声明与安全要求的内容相关联,以帮助确保评估结果对要求的可追溯性。
评估对象确定被评估的具体项目,可以包括规范、机制、活动和个人。规范是与系统相关的有文件记录的部分[2](例如,计划、政策、程序、要求、功能和保证规范、体系结构和设计文档)。机制是指在系统中实现的硬件、软件和固件保护措施。活动是支持涉及人员的系统的保护相关行动(例如,执行系统备份操作、执行事件响应计划和监控网络流量)。个人是指应用上述规范、机制或活动的人。
评估方法定义了评估员行为的性质和程度,用于促进理解、澄清或获取证据。潜在评估方法包括检查、访谈和测试。考核方法是对考核对象进行评审、研究、检查、观察或分析的过程。访谈法是与个人或团体就评估对象进行讨论的过程。测试方法是在特定条件下运用评估对象(即活动、机制),将实际行为与预期行为进行比较的过程。评估方法包括深度和覆盖范围的属性,这些属性定义了评估的严格性、范围和努力程度,以及满足安全要求的保证程度。
[1] NIST SP 800-53A[5]提供了关于上述评估过程和个人步骤的额外信息。
[2] 工件可能采用文件以外的格式(例如,数据库、治理、风险和合规[GRC]工具或开放式安全控制评估语言[OSCAL])
NIST特别出版物
NIST SP 800-171r3 fpd
保护非联邦系统和组织中受控的未分类信息
最终公开草案
1 介绍
行政命令(EO)13556[1]建立了一个政府范围的计划,以标准化行政部门处理受控非机密信息(CUI)的方式。[1] EO 13556要求CUI计划强调公开、透明,以及政府范围内做法的一致性,并且项目实施的方式符合管理和预算办公室(OMB)的政策以及国家标准与技术研究所(NIST)的标准和指南。作为CUI程序的执行机构,国家档案和记录管理局(NARA)提供有关处理CUI的信息、指导、政策和要求[4]。这包括经批准的CUI类别和描述、保护和传播控制的基础以及CUI的使用程序。[2] CUI联邦法规[5]为联邦机构提供了关于CUI的指定、保护、标记、传播、解除控制和处置的指导;制定自检和监督要求;并描绘程序的其他方面。
CUI法规要求使用联邦信息系统[3]处理、存储或传输CUI的联邦机构遵守NIST标准和指南。当与非联邦组织共享此类信息时,联邦机构保护CUI的责任不会改变。[4]因此,当非联邦组织使用非联邦系统处理、存储或传输CUI时,需要类似级别的保护。[5]为了保持一致的保护级别,在非联邦系统和组织中保护CUI的安全要求必须符合FIPS 199[6]和FIPS 200[7]。这些要求源自NIST特别出版物(SP)800-53[8]中的控制。
1.1 目的和适用性
本出版物的目的是向联邦机构提供建议的安全要求[6],以保护CUI[7]的机密性,当此类信息存在于非联邦系统和组织中,并且授权法律、法规或CUI注册表[4]中列出的CUI类别的政府范围政策。这些要求不适用于代表联邦机构收集或维护信息,或代表机构使用或操作系统的非联邦组织。[8]
本出版物中的安全要求仅适用于处理、存储或传输CUI或为此类组件提供保护的非联邦系统组件。[9]这些要求旨在供联邦机构在按合同规定的手段或这些机构与非联邦组织之间签订的其他协议中使用。
适当界定需求范围是确定与保护相关的投资决策和管理非联邦组织安全风险的一个重要因素。如果非联邦组织指定特定的系统组件用于CUI的处理、存储或传输,则这些组织可以通过在单独的CUI安全域中隔离指定的系统组件来限制安全要求的范围。隔离可以通过应用体系结构和设计概念来实现(例如,使用防火墙或其他边界保护设备实现子网络,并使用信息流控制机制)。安全域可以采用物理分离、逻辑分离或两者的组合。这种方法可以为CUI提供足够的安全性,并避免将组织的安全态势提高到保护其任务、操作和资产所需的程度之外。
1.2 本出版物的组织
本特别出版物的其余部分组织如下:
-
第2节描述了用于制定保护CUI机密性的安全要求的假设和方法,要求的格式以及适用于NIST标准和指南以获得要求的剪裁标准。
-
第3节列出了在非联邦系统和组织中保护CUI机密性的安全要求。
以下部分提供了支持非联邦系统和组织中CUI保护的附加信息:
-
参考文献
-
附录A:缩写
-
附录B:术语表
-
附录C:定制标准
-
附录D:变更日志
2 基本原理
本节介绍了用于制定要求的基本假设和方法,以保护非联邦系统和组织中CUI的机密性。它还包括适用于NIST SP 800-53[8]中控制的裁剪[10]标准。
2.1 基本假设
本出版物中的安全要求基于以下假设:
-
指定为CUI的联邦信息具有相同的价值,无论这些信息位于联邦或非联邦系统或组织中。
-
保护CUI的法律法规要求在联邦和非联邦系统和组织中是一致的。
-
为保护CUI而实施的保障措施在联邦和非联邦系统和组织中是一致的。
-
CUI的保密性影响值不低于中等值。[11]
-
非联邦组织可以直接实施各种潜在的安全解决方案,或使用外部服务提供商来满足安全要求。
-
安全需求开发方法
从NIST SP 800-53B[12]中等基线中的NIST SP 800-53控制开始,对控制进行定制,以消除选定的控制或控制的以下部分:
-
主要由联邦政府负责;
-
与保护CUI的机密性没有直接关系;
-
通过其他相关控制措施充分解决;[12]或
-
不适用。
NIST SP 800-171安全要求代表了保护CUI机密性所必需的控制措施的子集。如表1所示,安全要求分为17个族。每个族都包含与该族的一般安全主题相关的要求。由于上述原因,NIST SP 800-53中的某些系列不包括在剪裁标准内[13]
表1.安全要求系列
|
访问控制 |
维护 |
安全评估和监控 |
|
意识和培训 |
介质保护 |
系统和通信保护 |
|
审计和问责 |
人员安全 |
系统和信息完整性 |
|
配置管理 |
物理保护 |
规划 |
|
身份验证 |
风险评估 |
系统和服务采购 |
|
事件响应 |
供应链风险管理 |
组织定义参数(ODP)包含在一些需求中。这些ODP通过使用分配和选择操作提供了灵活性,允许联邦机构和非联邦组织在要求中指定参数值。[14]组织定义的参数值的确定可以受到法律、行政命令、指令、法规、政策、标准、指导或任务和业务需求的指导和通知。一旦指定,组织定义参数的值就成为需求的一部分。
每个要求都包含一个讨论部分。它来源于NIST SP 800-53中的控制讨论部分,并提供了额外的信息,以促进需求的实施和评估。讨论部分内容丰富,不规范。它不是为了扩大需求的范围,也不是为了影响组织可能用来满足需求的解决方案。示例的使用是概念性的,并非详尽无遗,也没有反映出各组织可供选择的潜在方案。参考资料部分提供了NIST SP 800-53的源代码控制,以及NIST特殊出版物列表,其中包含安全要求中所述主题的附加信息。[15]
[1] CUI是法律、法规或政府政策要求保护或传播控制的任何信息,不包括根据EO 13526[2]、任何前任或继任者命令或经修订的《原子能法》[3]分类的信息。
[2] CUI的使用程序包括标记、保护、传输、传播、重复使用和处理信息。
[3] 联邦信息系统是由执行机构、执行机构的承包商或代表执行机构的另一组织使用或操作的系统。本出版物中使用术语“系统”来表示CUI处理、存储或传输过程中涉及的人员、过程和技术。系统可以包括操作技术(OT)、信息技术(IT)、物联网(IoT)设备、工业物联网(IIoT)设备,专业系统、网络物理系统、嵌入式系统和传感器。
[4] 非联邦组织是指拥有、运营或维护非联邦系统的任何实体。
[5] 非联邦系统是指不符合联邦信息系统标准的任何系统。
[6] 术语安全需求是指对系统或组织的保护需求。安全要求可能来自法律、行政命令、指令、法规、政策、标准、任务和业务需求或风险评估。
[7] 根据EO 13526[2]和32 CFR 2002[5],CUI的保护范围主要集中在保密性上。然而,保密性和完整性的安全目标密切相关,因为许多底层安全机制支持这两个目标。因此,本出版物中的安全要求涉及保护CUI免受未经授权的披露和修改。
[8] 代表联邦机构收集或维护信息,或代表机构使用或操作系统的非联邦组织必须遵守FISMA[9]中的要求。
[9] 系统组件包括工作站、服务器、笔记本电脑、智能手机、平板电脑、输入和输出设备、网络组件、操作系统、虚拟机、数据库管理系统和应用程序。
[10] 裁剪是指修改控制基线以实现某些组织目标和目的的过程[13]。
[11] FIPS 199[6]定义了三个机密性影响值:低、中和高。根据《美国联邦法规汇编》第32卷2002[5],CUI的分类不低于中等保密性影响值。但是,当建立CUI控制权的联邦法律、法规或政府政策规定了不同于中等保密基线的控制时,则遵循适用的法律、法规和政府政策。
[12] “由其他相关控制充分解决”是指控制提供的保护能力由同一或不同控制族中的另一控制提供。使用此剪裁选项有助于消除需求中的潜在冗余,而不会影响非联邦系统和组织中CUI的保护。
[13] PII处理和透明度(PT)系列不包括在内,因为PII是CUI的一个类别,因此没有指定保密保护的附加要求。项目管理(PM)系列不包括在内,因为它与任何安全控制基线都没有关联。
[14] NIST不为ODP建立或分配数值。如果选定安全要求的ODP值未由联邦机构或联邦机构联盟正式确定或分配,则非联邦组织分配这些值以完成要求。
[15] 除非联邦政策中有规定,否则参考资料部分中支持NIST出版物的指南是信息性的,而非规范性的。
原文始发于微信公众号(老烦的草根安全观):NIST评估/保护受控未分级信息的安全要求
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论