风险管理框架(RMF)常指NIST特别出版物800-37指南《联邦信息系统上应用风险管理框架:安全生命周期方法》,自2004年起便用于《美国联邦信息安全管理法案》合规。
这是转型倡议跨部门联合工作组的工作成果,如今美国政府各个机构都必须遵守并集成到自身工作流程中的一个框架。最近该框架融入到了美国国防部指示中,很多公司企业如今也在创建新的指南以遵从该RMF规定。
对每个联邦机构而言,RMF描述了保护、授权和管理IT系统所必须遵循的过程。RMF定义了一个过程周期,通过操作授权开始保护系统,并持续进行风险管理(持续监视)。
风险管理框架步骤
该RMF过程有6步:
第一步:信息系统分类
这一步是管理上的,涉及了解整个组织机构。在分类某个系统前应先定义好系统边界。基于该系统边界,与该系统相关的所有信息类型都应被识别出来。关于该组织机构的使命、角色、责任、系统运营环境、既定使用及与其他系统的连接等信息可能关系到该系统最终的安全影响级别。
参考:FIPS出版物199;NIST特别出版物 800-30、800-39、800-59、800-60;CNSS指令1253。
第二步:安全控制选择
安全控制措施是信息系统内负责保护系统及其信息的机密性、完整性、可用性的运营及技术防护或对抗手段。如果信息系统内实现的安全控制措施切实有效,信心也会大增。
参考:FIPS出版物199、200;NIST特别出版物 800-30、800-53、800-53A;CNSS指令1253。
第三步:安全控制措施实现
第三步要求组织机构实现安全控制措施并描述信息系统及其运营环境中是如何使用这些控制措施的。每个设备的策略都应是定制的,要符合响应安全文档的要求。
参考:FIPS出版物200;NIST特别出版物 800-30、800-53、800-53A;CNSS指令1253;Web:SCAP.NIST.GOV。
第四步:安全控制措施评估
安全控制措施评估涉及使用恰当的评估流程来确定控制措施实现的正确程度,以及按既定意图操作和产生所需结果以符合系统安全要求的程度。
参考:NIST特别出版物 800-30、800-53A、800-70。
第五步:信息系统授权
信息系统授权操作基于对风险的判断,也就是要确定该信息系统操作会给组织运营和个人、资产、其他组织及国家带来的风险,以及认定该风险是可接受的。使用报告是与行动计划&里程碑(POA&M)配合使用的机制。该机制提供了跟踪控制措施故障和状态的方法。
参考:预算管理办公室备忘 02-01;NIST特别出版物 800-30、800-53A、800-39。
第六步:安全控制监视
持续监视项目能使组织机构在高度动态的操作环境中长期维持信息系统的安全授权,使系统能适应不断变化的威胁、漏洞、技术和任务/业务过程。虽然自动化支持工具不是必须,但使用自动化工具可以近实时地实现风险管理。这有助于避免配置偏差和与不同核心组件及其配置的非预期修改相关的其他潜在安全事件,还能提供操作授权(ATO)标准报告。
参考:NIST特别出版物 800-30、800-39、800-53、800-53A、800-137;CNSS指令1253。
更多NIST风险管理框架资源
总而言之,RMF通过调整控制措施和语言,以及改善交互,在政府机构间设立了标准。该框架将重点放在风险上以解决组件、系统及定制环境的多样性,而不是使用普适解决方案。RMF将安全融入系统,能更快地解决安全问题。联邦机构网络安全可通过持续监视和更好的汇总报告加以实现。
更多RMF及其相关应用知识,可参考Tripwire白皮书《适应RMF的现实》:
NIST特别出版物800-37指南《联邦信息系统上应用风险管理框架:安全生命周期方法》:
http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf
下一篇:物超所值:怎样衡量你的安全投资