[NIST] NIST SP 800-12 An Introduction to Information Security

飛飛 | 2024-01-30

閱讀版本

  • 06/22/17: SP 800-12 Rev. 1 (Final)

NIST SP 800-12 章節

  • 第一章
    • 目的
    • 目標受眾
    • 重要術語
    • 資訊安全的法律基礎
    • NIST出版物清單
  • 第二章
    • 資訊安全八大主要元素
  • 第三章
    • 組織中的多個資訊安全角色
  • 第四章
    • 威脅和弱點
    • 不同威脅來源和事件的範例
  • 第五章
    • 資訊安全政策
    • 不同類型的政策
  • 第六章
    • 風險管理
    • NIST風險管理框架(RMF)的六個步驟
  • 第七章
    • 資訊保障
    • 保護資訊和系統的措施
  • 第八章
    • 系統支援和運營
  • 第九章
    • 加密簡要概述
    • NIST 800系列出版物
  • 第十章
    • 20個資訊安全和隱私控制家族
  • 附錄A
    • 參考資料清單
  • 附錄B
    • 術語詞彙表
  • 附錄C
    • 首字母縮寫詞彙表

重點整理

NIST相關出版物

出版物 描述
FIPS 199 聯邦資訊及資訊系統安全分類的標準,列出了資訊和系統分類的標準,為表達安全性提供共同框架和理解,以促進有效管理和一致報告。
FIPS 200 聯邦資訊及資訊系統最低安全要求,指定了支援聯邦政府執行機構的資訊和系統的最低安全要求,以及選擇滿足最低安全要求所需的安全控制的基於風險的流程。
SP 800-18 系統安全計劃開發指南,描述了開發系統安全計劃的程序,提供了系統的安全要求概述,並描述了滿足這些要求的現有或計劃中的控制。
SP 800-30 風險評估指南,提供了聯邦系統和組織進行風險評估的指導。
SP 800-34 聯邦資訊系統應變計劃指南,幫助組織理解資訊系統應變計劃(ISCPs)開發的目的、過程和格式,提供實用的現實世界指南。
SP 800-37 將風險管理框架應用於系統的指南:安全生命周期方法,提供了將風險管理框架應用於聯邦系統的指南,包括進行安全分類、選擇和實施安全控制、安全控制評估、系統授權和安全控制監控的活動。
SP 800-39 管理資訊安全風險:組織、使命和資訊系統視圖,提供建立組織全面管理資訊安全風險的指南,包括組織運營(例如使命、職能、形象和聲譽)、資產、個體、其他組織和國家等因聯邦系統的操作和使用而產生的風險。
SP 800-53 系統和組織的安全和隱私控制,提供選擇和指定組織和支援聯邦政府執行機構的系統的安全控制的指南,以滿足FIPS出版物200的要求。
SP 800-53A 評估系統和組織中安全和隱私控制的有效性:建立有效的安全評估計劃的指南,以及為評估聯邦政府執行機構支持的系統和組織中使用的安全控制和隱私控制的有效性提供的一套綜合程序。
SP 800-60 資訊和資訊系統類型與安全分類的對應指南,協助機構一致將安全影響級別對應到各種類型的資訊(例如隱私、醫療、專有、財務、承包商敏感、商業機密、調查)和系統(例如使命關鍵、使命支援、行政)。
SP 800-128 資訊系統安全性重點的配置管理指南,為負責管理聯邦系統及其相關環境的安全性的機構提供指導。
SP 800-137 聯邦資訊系統和組織的資訊安全持續監控(ISCM)指南,協助組織制定ISCM策略和實施ISCM計劃,提供對威脅和弱點的警覺、對組織資產的可見性以及已部署的安全控制的有效性。

八個關於資訊安全的主要元素

  1. Information security supports the mission of the organization.(資訊安全支持組織的使命)
    • 資訊安全是為了支持組織的核心使命而存在的,它應當有助於實現組織的使命目標。
  2. Information security is an integral element of sound management.(資訊安全是健全管理的重要元素)
    • 資訊安全應當成為良好管理的不可或缺的一部分,它應當被整合到組織的管理體系中。
  3. Information security protections are implemented so as to be commensurate with risk.(資訊安全保護措施應與風險相符)
    • 資訊安全的保護措施應該根據實際風險程度來實施,以確保資源的適當分配。
  4. Information security roles and responsibilities are made explicit.(資訊安全角色和責任應明確)
    • 資訊安全的角色和責任應當被清晰地定義和指定,以確保各方了解其責任範圍。
  5. Information security responsibilities for system owners go beyond their own organization.(系統擁有者的資訊安全責任不僅限於其組織)
    • 系統擁有者的資訊安全責任應當超越其所屬組織,以確保系統的全面安全性。
  6. Information security requires a comprehensive and integrated approach.(資訊安全需要全面且整合的方法)
    • 資訊安全應當採用全面且相互整合的方法,以應對多方面的威脅和風險。
  7. Information security is assessed and monitored regularly.(資訊安全需要定期評估和監控)
    • 資訊安全應當定期接受評估和監控,以確保其有效性和持續性。
  8. Information security is constrained by societal and cultural factors.(資訊安全受社會和文化因素的制約)
    • 資訊安全受到社會和文化因素的影響和制約,這些因素可能影響安全政策和實踐的制定和執行。

資訊安全角色

角色 職責
Risk Executive Function (Senior Management) 制定跨整個組織的風險管理策略。
支援授權官員和其他高級領導人之間的資訊共享。
監督組織範圍內的風險管理活動。
Chief Executive Officer (CEO) 確保資訊安全措施與風險相符。
確保支持組織運營的資訊和系統具有適當的資訊安全防護。
確保受過培訓的人員遵守相關的資訊安全法律、政策、指令和標準。
Chief Information Officer (CIO) 將資訊安全管理流程與戰略和運營規劃流程相整合。
確保組織運營所使用的資訊和系統擁有適當的資訊安全防護。
確保組織全面實施資訊安全計劃。
Information Owner/Steward 制定管理特定資訊的政策和程序。
向系統擁有者提供有關保護特定資訊所需的安全要求和安全控制的意見。
Senior Agency Information Security Officer (SAISO) 實施組織範圍內的資訊安全計劃。
在需要時擔任授權官員指定代表或安全控制評估員的角色。
Authorizing Official (AO) 批准安全計劃、協議或諒解備忘錄、行動計劃和里程碑計劃。
確保授權官員指定代表執行與安全授權相關的所有活動和功能。
Authorizing Official Designated Representative 代表授權官員協調和執行與安全授權過程相關的日常活動。
準備最終的授權文件包,獲得授權官員的簽名,並將授權文件包提交給適當的組織官員。
Senior Agency Official for Privacy (SAOP) 確保機構實施資訊隱私保護措施,包括遵守聯邦法律、法規和政策。
監督機構的資訊隱私程序,以確保其全面和及時。
確保機構的員工和承包商接受有關資訊隱私法律、法規、政策和程序的適當培訓和教育。
Common Control Provider 開發、實施、評估和監控共同控制(由系統繼承的安全控制)。
在組織所要求的文件中記錄共同控制。
確保合格的評估員根據組織定義的適當獨立程度進行共同控制的評估。
System Owner 購置、開發、集成、修改、運營、維護和處置系統。
確保符合資訊安全要求。
制定和維護系統安全計劃,並確保系統按照約定的安全控制部署和運營。
System Security Officer (SSO) 確保系統保持適當的運營安全狀態。
協助制定安全政策和程序,並確保遵守這些政策和程序。
Information Security Architect 確保資訊安全要求在企業架構的所有方面得到充分解決,包括參考模型、段落和解決方案模型,以及支持這些任務和業務流程的系統。
在企業架構師和資訊安全工程師之間擔任聯絡人。
與系統擁有者、共同控制提供者和系統安全官員協調安全控制的分配。
System Security Engineer (SSE) 進行系統安全工程活動。
與資訊安全架構師、高級機構資訊安全官員、系統擁有者、共同控制提供者和系統安全官員協調與安全相關的活動。
Security Control Assessor 對系統內或由系統繼承的管理、運營和技術安全控制和控制增強採取全面的評估,以確定控制的總體有效性。
提供評估,識別系統和其環境中的弱點或缺陷。
建議紀錄發現的弱點的校正措施。
準備包含評估結果和發現的安全評估報告。
System Administrator 設置和維護系統或特定系統組件。
安裝、配置和更新硬體和軟體。
建立和管理使用者帳號。
監督備份和恢復任務。
實施技術安全控制。
User 遵守管理組織系統合理使用的政策。
僅為特定目的使用組織提供的IT資源。
報告異常或可疑的系統行為。
支援角色 審計師:負責檢查系統,確定系統是否滿足所述的安全要求和組織政策。
物理安全人員:負責制定和實施適當的物理安全控制,通常與資訊安全管理、程序和功能經理以及其他人協商。
災害恢復/應急計劃人員:負責應對整個組織的應急計劃,在需要時與程序和功能經理/應用程序擁有者、資訊安全人員等合作獲得額外的應急計劃支持。
品質保證人員:負責建立品質保證計劃,提高向客戶提供的產品和服務的品質。
採購辦公室人員:確保組織採購已經由相應的官員審查。
培訓辦公室人員:負責培訓使用者、操作人員和經理的資訊安全培訓。
人力資源:通常是確定特定職位是否需要安全背景調查的第一聯絡點。
風險管理/規劃人員:分析組織可能面臨的風險,通常關注組織風險問題,但也應考慮資訊安全相關的風險。
物理設施人員:負責確保提供了系統安全執行所需的服務,如電力和環境控制。
隱私辦公室人員:負責維護全面的隱私計劃,確保機構遵守適用的隱私要求,並管理隱私風險。

資訊安全風險管理

資訊安全風險管理是一個重要的過程,用來保護組織的運營、資產、個人和聲譽免受可能發生的風險威脅

步驟1:確定風險(Framing Risk)

風險管理的第一步是確定風險的上下文。這包括建立一個風險管理策略,明確組織如何評估、應對和監控風險。這也包括揭示組織在投資和運營決策中常常使用的風險看法。

步驟2:風險評估(Assessing Risk)

風險評估是分析組織風險的過程,包括威脅、弱點、潛在損害和損害發生的可能性。這有助於確定哪些風險對組織最具威脅性,以及如何優先處理它們。

步驟3:風險應對(Responding to Risk)

風險應對是根據風險評估的結果,制定應對措施的過程。這包括開發應對風險的替代方案、評估這些方案、確定符合組織風險容忍度的方案,並實施選定的方案。

步驟4:風險監控(Monitoring Risk)

風險監控是組織持續監視風險的過程,以確保風險控制措施的有效性。這包括驗證計劃的風險應對措施是否得以實施,以及確保資訊安全要求得以滿足。同時,還要識別對組織系統和環境的風險影響變化。

風險管理架構(Risk Management Framework)

為了幫助組織在系統級別管理資訊安全風險,NIST(美國國家標準與技術研究院)制定了風險管理架構(RMF)。這個架構強調實時風險管理和持續系統授權的概念,通過強大的持續監控流程來實現。RMF還提供了高級領導層必要的資訊,以便根據支持核心任務和業務功能的組織系統做出具有成本效益的、基於風險的決策,並將資訊安全整合到企業架構和系統開發生命週期(SDLC)中。

RMF的六個步驟

  1. 系統分類(System Categorization):根據影響分析,將系統和處理、儲存、傳輸的資訊進行分類。
  2. 安全控制選擇(Security Control Selection):基於安全分類,選擇初始的基本安全控制,並根據風險進行調整和補充。
  3. 安全控制實施(Security Control Implementation):實施安全控制,描述如何在系統和其操作環境中使用這些控制。
  4. 安全控制評估(Security Control Assessment):使用適當的評估程序評估安全控制,以確定控制是否正確實施、按照意圖運作,並滿足系統的安全要求。
  5. 系統授權(System Authorization):高級管理層根據安全控制評估的結果,正式授權系統運營或繼續運營,基於風險評估的風險是否可接受。
  6. 安全控制監控(Security Control Monitoring):持續監視系統中的安全控制,確保它們隨著系統和操作環境的變化而有效。包括評估控制的效能、記錄系統或操作環境的變更、進行風險影響分析以及向指定的組織官員報告安全狀態。