使用信息安全手册
摘要
目的
信息 安全手册(ISM) 的目的是概述一个网络安全框架,组织可以使用其风险管理框架来应用该框架,以保护其信息技术和运营技术系统、应用程序和数据免受网络威胁。
目标受众
ISM 适用于首席信息安全官 (CISO)、首席信息官、网络安全专业人员和信息技术经理。
权威
ISM代表了澳大利亚信号局(ASD)的深思熟虑的建议。本建议是根据 ASD在 2001年《情报服务法》下的指定职能提供的。
ASD 还以澳大利亚通信安全说明和其他网络安全相关出版物的形式提供网络安全建议。在这些情况下,特定于设备和应用程序的建议可能优先于 ISM 中的建议。
立法和法律考虑
法律上不需要组织遵守 ISM,除非立法或根据立法或其他合法机构给出的指示迫使他们遵守。此外,ISM 并不凌驾于立法或法律规定的任何义务之上。最后,如果 ISM 与立法或法律冲突,则以后者为准。
网络安全原则
ISM 中的网络安全原则旨在为组织如何保护其信息技术和运营技术系统、应用程序和数据免受网络威胁提供战略指导。这些网络安全原则分为五项功能:治理、识别、保护、检测和响应。组织应该能够证明其组织内部遵守了网络安全原则。
网络安全准则
ISM 中的网络安全指南旨在就组织如何保护其信息技术和运营技术系统、应用程序和数据免受网络威胁提供实用指导。组织应考虑与其运行的每个系统相关的网络安全指南。
将基于风险的方法应用于网络安全
使用风险管理框架
ISM使用的风险管理框架借鉴了美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-37 Rev. 2, 信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法。广义上,ISM 使用的风险管理框架有六个步骤:定义系统、选择控制措施、实施控制措施、评估控制措施、授权系统和监控系统。
定义系统
根据对系统受到损害时的影响的评估,确定系统的业务关键性和安全目标。
在开始设计系统时,应根据机密性、完整性和可用性要求确定系统的业务关键性和安全性目标。这最终将指导活动,例如选择和定制控制措施,以满足这些安全目标,并确定在系统获得运行授权之前将接受的剩余安全风险级别。
在确定系统的业务关键性和安全目标之后,应在系统的系统安全计划中记录系统及其特征的描述。
选择控件
为系统选择控件并对其进行定制以实现所需的安全目标。
每个网络安全指南都讨论了与其涵盖的主题相关的安全风险。与这些讨论相结合的是 ASD 认为根据其实现系统安全目标的适用性提供高效和有效的缓解措施的控制措施。
虽然网络安全指南中讨论了安全风险和控制措施,并作为基线,但它们不应被视为特定系统类型或技术的详尽列表。因此,网络安全指南
为组织的风险识别和风险处理活动提供重要输入,但并不代表此类活动的全部范围。
虽然网络安全指南可以帮助进行风险识别和风险处理活动,但由于每个系统的独特性质,组织仍然需要进行自己的风险分析和风险评估活动。
其运营环境和组织的风险承受能力。
在为系统选择和定制控制措施后,应将其连同计划实施的详细信息记录在系统的系统安全计划附件中。此外,还应酌情将控制措施记录在系统的网络安全事件响应计划和持续监控计划中。
最后,如系统的系统安全计划附件中所述,系统的控制措施选择应由系统的授权官员批准。
实施控制
对系统及其操作环境实施控制。
一旦为系统确定了合适的控制措施,并得到其授权官员的批准,就应该实施这些控制措施。在此过程中,如果其实际实施的细节与计划的实施不同,则应记录在系统的系统安全计划附件中。
评估控件
评估系统及其操作环境的控制措施,以确定它们是否已正确实施并按预期运行。
在进行安全评估时,评估者和系统所有者首先要就评估活动的范围、类型和程度达成一致,这些活动可以记录在安全评估计划中,以便可以适当管理与安全评估相关的任何风险。在很大程度上,安全评估的范围将取决于为系统及其操作环境实施的系统和控制的类型。
对于 TOP SECRET 系统,包括敏感的分区信息系统,ASD 评估员(或其代表)可以进行安全评估。而对于 SECRET 及以下系统,安全评估可以由组织自己的评估员或信息安全注册评估师计划 (IRAP) 评估员进行。在所有情况下,评估员都应持有适当的安全许可,并对他们正在评估的系统类型具有适当水平的经验和理解。
在安全评估结束时,应生成安全评估报告,概述安全评估的范围、系统的优势和劣势、与系统运行相关的安全风险、控制措施实施的有效性以及任何建议的补救措施。这将有助于执行任何初始补救措施,并指导系统行动计划和里程碑的制定。
授权系统
授权系统在接受与其操作相关的安全风险的基础上运行。
在系统获得运行授权之前,应向授权官员提供足够的信息,以便他们根据风险做出明智的决定,以确定与其运行相关的安全风险是否可接受。这些信息应采用授权包的形式,其中包括系统的系统安全计划、网络安全事件响应计划、持续监控计划、安全评估报告以及行动计划和里程碑。
在某些情况下,与系统运行相关的安全风险是可以接受的,并且将获得持续的运行授权。但是,在其他情况下,与系统运行相关的安全风险可能是不可接受的。在这种情况下,授权官员可以要求系统所有者进行进一步的工作。在此期间,授权官员可以选择授予运营授权,但
对系统使用施加的限制,例如限制系统的功能或指定授权操作的到期日期。最后,如果授权官员认为安全风险不可接受,无论系统使用受到任何潜在限制,他们都可以拒绝授权运行,直到尽可能按照可接受的标准完成足够的补救措施。
对于 TOP SECRET 系统以及处理、存储或通信敏感分区信息的系统,授权官员是 ASD 总干事或其代表;而对于SECRET 及以下系统,授权官员是组织的 CISO 或其代表。
对于多国和多组织系统,授权官员应由相关各方之间的正式协议确定。
对于向组织提供服务的商业提供商,授权官员是受支持组织的 CISO 或其代表。
在所有情况下,授权官员都应具有适当的资历水平,并了解他们代表其组织接受的安全风险。如果组织没有 CISO,授权官可以是组织内的首席安全官、首席信息官或其他高级管理人员。
监控系统
持续监控系统以及相关的网络威胁、安全风险和控制措施。
如持续监控计划中所述,实时监控与系统及其操作环境相关的网络威胁、安全风险和控制措施,对于维护其安全态势至关重要。在此过程中,特定事件可能需要额外的风险管理活动。此类事件可能包括:
-
与系统相关的安全策略的更改 -
检测对系统或其操作环境的新或新兴网络威胁 -
发现系统控制不如计划有效 -
涉及系统的重大网络安全事故 -
对系统进行重大架构更改。
在因风险管理活动而实施或修改任何控制措施后,应完成另一次安全评估。在此过程中,应更新系统的授权包。这反过来又允许授权人员根据风险做出明智的决定,以确定与系统运行相关的安全风险是否仍然可接受。如果安全风险不再可接受,授权人员可以选择对系统的使用施加限制,例如引入或修改授权的有效期,或完全撤销操作授权。
更多信息
有关各种风险管理框架和实践的更多信息,请访问:
-
国际标准化组织(ISO) 31000:2018, 风险管理 – 指南
-
国际电工委员会 31010:2019, 风险管理 – 风险评估技术
-
ISO/国际电工委员会27005:2022, 信息安全、网络安全和隐私保护 – 信息安全风险管理指南
-
NIST SP 800-30 Rev. 1, 风险评估执行指南
-
NIST SP 800-37 Rev. 2, 信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法。
有关IRAP目的的更多信息以及当前IRAP评估员的名单,可从ASD获得。
原文始发于微信公众号(祺印说信安):信息安全手册:如何使用信息安全手册
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论