NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法
NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法
它的结构分为3个层级:组织视图、业务任务和信息系统视图。
800-37是NIST SP 800-37的简称,即NIST 800-37。800-37可以应用于所有行业,如军事、航空等。对于IT行业来说,它是一个通过引用多个NIST标准来进行风险管理的框架,包括:FIPS 199、NIST 800-53B、NIST 800-53A等。
概要
风险管理框架(RMF)用于管理安全和隐私风险,将风险保持在一个适当的水平,包括:
- 信息安全分类
- 控制选择
- 实施
- 评估
- 授权
- 监测
简介
1.1 背景
风险管理是:
- 在整个SDLC中促进安全和隐私能力;
- 通过持续的监测过程,保持对安全和隐私状况的认识;
- 高级领导人和行政人员促进关于风险的决策;
2.1 全组织的风险管理
管理安全和隐私风险涉及整个组织。
第一级组织视图
高级领导人的愿景、目标、目的。
第二级业务任务
中层领导规划、管理关于开发、实施、运营和维护的项目,以支持任务和商业流程。
第三级信息系统视图
信息系统应用中层领导的项目。应对风险,执行风险决策。
如何进行RMF(关键词:准备)
识别业务功能,信息系统的流程;
识别关键的利益相关者(包括外部);
确定资产(包括信息系统)的优先次序;
了解对信息系统的威胁;
了解对个人的不利影响;
进行风险评估;
识别安全和隐私要求并确定其优先次序;
确定授权范围;
开发安全和隐私架构;
在系统软件的开发生命周期中追踪所有的风险控制。
2.2 风险管理框架的步骤和结构
实施RMF的步骤。
- 按损失的影响对系统进行分类。要了解更多信息,请阅读SP 800-30和FIPS 199。
- 选择(定制)控制手段(相关文档见NIST 800-53B)。
- 实施控制。
- 评估(跟踪)控制手段。
- 在确定风险可以接受的基础上,授权系统或共同(继承)控制手段。
- 监测(跟踪)系统和控制手段(相关文档见NIST 800-53A)。
实施RMF的灵活性
组织可以做以下调整:以不同的顺序执行任务,强调特定的任务,绑定任务,包括CSF网络安全框架来加强RMF的要求。
2.3RMF中的信息安全和隐私
RMF需要两个方案来保护可标识个人信息PII:
安全方案
保护信息免受未经授权的访问、使用、披露、破坏、修改或销毁,以提供保密性、完整性和可用性。
隐私计划
遵守隐私要求以保护个人。
2.7 安全和隐私态势
安全和隐私态势代表:
- 基于信息保障资源(如政策、程序)的信息系统和信息资源(如人员、设备、资金和信息技术)的状况,以及
- 管理防御的能力;以及
- 遵守适用的隐私要求并管理隐私风险;以及
- 随着情况的变化而作出反应。
2.8 供应链风险管理
供应链风险管理(SCRM)政策(见NIST 180-161)涉及供应链风险。
建立信任关系并与内部和外部利益相关者沟通。
3.2 归类
|
任务 |
成果 |
|
任务C-1系统描述 |
按系统创建一个资产清单组,参数包括:系统版本或发行号;制造商和供应商信息;网络拓扑结构等。 |
|
任务C-2 安全分类 |
系统的影响程度(见FIPS199)。 |
|
任务C-3批准 |
由高级管理团队批准TASK C-1和TASK C-2。 |
3.3 选择(控制手段)
|
任务 |
成果 |
|
任务S-1至S-4:控制选择和调整方向 |
根据NIST SP 800-53B选择和定制控制。你可以在定制程序上创建定制的控制。 |
|
任务S-5持续监测战略 |
NIST SP 800-53A的控制评估。你可以在任务S1-S4中为定制的控制创建自定义评估。 |
|
任务S-6 计划审查和批准 |
由高级管理团队批准。 |
3.4 实施(对计划的控制)。
|
任务 |
成果 |
|
任务I-1、I-2 |
把控制放到SDLC设计阶段,隐私计划,以确保控制是可行的。如果需要的话,调整控制措施。 |
3.5 评估(计划)
这一步是可选的,因为3.3 SELECT和3.4 IMPLEMENTATION已经完成了大部分工作。
3.6 授权(高级管理官员的计划)
该步骤是可选的,因为在3.1分类和3.2选择中存在批准任务。
3.7 监控
|
任务 |
成果 |
|
任务M-1系统和环境的变化 |
当操作环境发生变化(如配置变化)时,更新安全和隐私计划。可能需要更新控制措施。 |
|
任务M-2、M-3、M-4、M-5 |
更新安全和隐私评估报告 |
|
TASK M-6 |
持续审查系统的安全和隐私状况,以确定风险是否仍然可以接受。 |
|
TASK M-7 |
系统拆除后的处置控制。 |
小贴士
网络安全框架简介是在RMF中实施准备TASK P-4的另一种方式。
SDLC过程是RMF实施的最佳实践。
缩略语
SDLC, 软件开发生命周期
SCRM, 供应链风险管理
参考资料
National Institute of Standards and Technology, December 2018, NIST Special Publication 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations A System Life Cycle Approach for Security and Privacy, https://doi.org/10.6028/NIST.SP.800-37r2
PNNL, November 2018, Risk Management Framework Process Map, PNNL-28347.
Veracode, 2008, Understanding NIST 800‐37 FISMA Requirements.