FISMA實施項目的信息安全風險管理的框架
發布時間:2025-07-10 點擊:14
美國作為當今信息化高度發達的國家,在信息安全領域也一直保持著領先水平,十分重視信息安全問題的相關研究?現在小編就就跟大家一起去看看吧。
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯邦信息安全管理法案)是2002年頒布的電子政務法案中的第三章?FISMA認可了信息安全對美國經濟和國家安全利益的重要性?該法案要求每個聯邦機構開發?記錄并實施機構范圍內的信息安全程序,為它的信息和支持運營和資產的信息系統(也包括由其它機構?合同商等其它方面為機構提供或管理的信息和信息系統)提供信息安全支持?
FISMA明確強調“基于風險策略的安全成本-收益”?而且,為了加強信息系統安全,FISMA給聯邦機構?NIST(NationalInstituteofStandardsandTechnology,國家標準研究院)和OMB(OfficeofManagementandBudget,預算與管理辦公室)都指派了特定的職責,其中,特別要求每個機構的領導者要實施相關策略和程序有成本收益的減少信息技術安全風險到可接受的級別,并要求機構每年回顧信息安全程序的執行情況,并將結果報告給OMB,OMB根據這些數據進行監督,并將情況報告給國會相關機構?
2.FISMA實施項目
根據FISMA要求,NIST應幫助美國的聯邦機構遵守FISMA,并負責為所有聯邦機構(除國家安全系統之外)開發能為其運營和資產提供充足信息安全保障的標準?指南?相關方法和技術?因此,NIST于2003年啟動了FISMA實施項目,并主導開發了發展?測量和驗證信息系統和服務安全性的標準?度量?測試和驗證程序?
NIST擬定的FISMA實施項目包括三個階段:
階段1:完成風險管理框架(RiskManagementframe,RMF);
階段2:建立組織根據NISTSP800-37,800-53和800-53A執行安全評估的認可程序;
階段3:建立支持FISMA風險管理框架廠商工具的驗證程序
3.FISMA實施項目的風險管理框架
NIST開發的風險管理框架可作為機構的風險管理程序的一部分,用于系統開發生命周期幫助確保每個信息系統都應用了恰當的安全控制,而且這些控制措施經過評估能確定其實施的正確性和按預期效果運營的程度,并生成滿足系統安全性要求的預期結果?其中的風險管理框架活動如圖1所示:
圖1FISMA風險管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導安全種類的賦值和影響分析)對信息系統及系統中相關信息進行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(上一步驟中的系統)安全控制措施的初始集合?
3)提煉:基于信息系統本地環境(包括特定機構的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統安全計劃中達成一致的安全控制措施集合,包括對機構初始控制措施集合的提煉和調整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實施:在信息系統中實施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當的方法和程序評估安全控制措施,以確定實施安全控制措施的正確性程度?是否按預期運營,及是否生成了滿足系統安全要求的期望結果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機構運營(包括任務?功能?形象或聲譽等方面)?資產?由計劃或系統持續運營生成的個體等方面的風險(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準:如果機構的運營?資產或個體風險是可接受的,則批準系統處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監控:以持續性的基本原則監控為信息系統選擇的安全控制措施,包括記錄系統的變更,對相應的變更執行影響分析,并定期向官方機構報告系統的安全狀態(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進展情況
2009年5月,NIST發布了由其計算機安全部研究的風險管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進展情況,其中第1步“分類”和第6步“監控”的FAQs和OSGs已經制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發中?這些FAQs和OSGs文檔將和NISTSP系列標準?FIPS標準一起指導風險管理框架6步驟中每一步驟的具體實施?
2009年7月7日,NIST在其官方網站發布了FISMA實施項目開發和修訂的關鍵出版物的重要事件進展情況,其中所列的出版物包括:
lSP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項目截止:2009年7月31日)
lSP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯邦信息系統安全性認證認可指南),(項目截至:2009年10月)
lSP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統管理風險:組織視角),(項目截止:2009年12月)
lSP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項目截止:2010年1月)
lSP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術體系風險管理指南),(項目截止:2010年1月)
目前FISMA項目的實施,是由NIST和國防部?國家情報總監辦公室和國家安全體系委員會成立的聯合任務工作組共同開發聯邦政府及其承包方的信息安全標準和指南,上述公開出版物完成時間的調整,是與當前項目實施要求的優先級保持一致的?
5.運營情況
FISMA為保護聯邦政府的信息?運營和財產安全提供了信息技術保障框架,它要求每個聯邦機構的領導都負責實施把信息安全風險降低到可接收等級的策略和過程,并且每年都根據OMB的要求,匯報其信息系統保密性和信息安全程序相關情況?根據各機構匯報的信息,OMB評估系統這些機構的私有性績效,并制定給國會的年度安全報告,說明各機構系統安全與FISMA要求的符合情況?同時協助各機構改進和維護私有性績效?而且,FISMA要求指定由NIST準備FISMA項目的年度報告,其中需要說明上一年度各項活動的完成情況及履行FISMA責任的后續活動詳情,目前這項工作由NIST的信息技術實驗室的計算機安全部執行?
從2004年開始,OMB每年向國會提交FISMA實施情況的年度報告?據OMB給國會的2008財年FISMA實施情況報告顯示,聯邦政府2008財年IT總投資約680億美元,其中聯邦機構安全保障花費62億美元,約占IT總業務量的9.2%?其中,IT安全投資主要用于系統認證認可?測試控制措施?用戶安全意識培訓等系統安全相關活動?同時,根據報告中其他分析數據顯示,通過實施FISMA,聯邦政府相關機構經過認證認可的系統?測試的應急計劃和安全控制措施比率逐年提高,而且報告中還給出了FISMA系統目錄的風險影響等級說明列表?
總的看來,我們現在知道了FISMA實施項目的風險管理框架相關研究成果已經在全聯邦政府范圍內逐步推廣應用,督促各機構重視信息系統安全?降低安全風險的作用已初見成效?該項目以立法形式規定了聯邦政府信息系統安全要求和各部門的責任,以風險管理框架為核心,輔以標準?指南指導各環節活動的具體實施,使得一個完整的?系統化的聯邦政府信息系統安全保障體系初具規模?該項目從立項到應用經歷了近6年時間,涉及的聯邦信息系統從最初的7千多個發展到1萬多個,為信息安全風險評估的發展和應用提供了許多實踐經驗,值得我們從中借鑒?學習?
守合同重信用證書的10大價值,企業不可錯過!
治“芯”病還需極紫外光刻機助力--專利事務所
初級生鮮食品配送管理體系認證證書
如何代辦綠色環保產品證書費用多少錢
商標注冊成功之后享有哪些特權?
想知道API咨詢公司相關內容快來了解吧!
怎樣申報ISO9001質量管理體系認證要多少費用
深圳隱私信息管理體系認證ISO/IEC 27701
1.什么是FISMA
FISMA(theFederalInformationSecurityManagementActof2002,聯邦信息安全管理法案)是2002年頒布的電子政務法案中的第三章?FISMA認可了信息安全對美國經濟和國家安全利益的重要性?該法案要求每個聯邦機構開發?記錄并實施機構范圍內的信息安全程序,為它的信息和支持運營和資產的信息系統(也包括由其它機構?合同商等其它方面為機構提供或管理的信息和信息系統)提供信息安全支持?
FISMA明確強調“基于風險策略的安全成本-收益”?而且,為了加強信息系統安全,FISMA給聯邦機構?NIST(NationalInstituteofStandardsandTechnology,國家標準研究院)和OMB(OfficeofManagementandBudget,預算與管理辦公室)都指派了特定的職責,其中,特別要求每個機構的領導者要實施相關策略和程序有成本收益的減少信息技術安全風險到可接受的級別,并要求機構每年回顧信息安全程序的執行情況,并將結果報告給OMB,OMB根據這些數據進行監督,并將情況報告給國會相關機構?
2.FISMA實施項目
根據FISMA要求,NIST應幫助美國的聯邦機構遵守FISMA,并負責為所有聯邦機構(除國家安全系統之外)開發能為其運營和資產提供充足信息安全保障的標準?指南?相關方法和技術?因此,NIST于2003年啟動了FISMA實施項目,并主導開發了發展?測量和驗證信息系統和服務安全性的標準?度量?測試和驗證程序?
NIST擬定的FISMA實施項目包括三個階段:
階段1:完成風險管理框架(RiskManagementframe,RMF);
階段2:建立組織根據NISTSP800-37,800-53和800-53A執行安全評估的認可程序;
階段3:建立支持FISMA風險管理框架廠商工具的驗證程序
3.FISMA實施項目的風險管理框架
NIST開發的風險管理框架可作為機構的風險管理程序的一部分,用于系統開發生命周期幫助確保每個信息系統都應用了恰當的安全控制,而且這些控制措施經過評估能確定其實施的正確性和按預期效果運營的程度,并生成滿足系統安全性要求的預期結果?其中的風險管理框架活動如圖1所示:
圖1FISMA風險管理框架
1)分類:基于FISP199的影響分析(參見NISTSP800-60,GuideforMappingTypesofInformationandInformationSystemstoSecurityCategories,指導安全種類的賦值和影響分析)對信息系統及系統中相關信息進行分類?
2)選擇:基于FIPS199安全性分類(參見NISTSP800-53,RecommendedSecurityControlsforFederalInformationSystems),選擇信息系統(上一步驟中的系統)安全控制措施的初始集合?
3)提煉:基于信息系統本地環境(包括特定機構的安全要求?特定威脅信息?成本-收益分析?修正控制措施可用性等其它情況)初始化選擇的安全控制措施集合,并將之記錄到安全計劃中?(參見NISTSP800-30,RiskManagementGuideforInformationTechnologySystems)?
4)評述:評述系統安全計劃中達成一致的安全控制措施集合,包括對機構初始控制措施集合的提煉和調整的解釋和理由(參見NISTSP800-18,GuideforDevelopingSecurityPlansforInformationTechnologySystems)?
5)實施:在信息系統中實施安全控制措施?(參見NISTSP800-64,SecurityConsiderationsintheInformationSystemDevelopmentLifeCycle)?
6)評估:用適當的方法和程序評估安全控制措施,以確定實施安全控制措施的正確性程度?是否按預期運營,及是否生成了滿足系統安全要求的期望結果(參見NISTSP800-53A,GuideforAssessingtheSecurityControlsinFederalInformationSystems)?
7)確定:確定機構運營(包括任務?功能?形象或聲譽等方面)?資產?由計劃或系統持續運營生成的個體等方面的風險(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
8)批準:如果機構的運營?資產或個體風險是可接受的,則批準系統處理過程(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
9)監控:以持續性的基本原則監控為信息系統選擇的安全控制措施,包括記錄系統的變更,對相應的變更執行影響分析,并定期向官方機構報告系統的安全狀態(參見NISTSP800-37,GuidefortheSecurityCertificationandAccreditationofFederalInformationSystems)?
4.進展情況
2009年5月,NIST發布了由其計算機安全部研究的風險管理框架的FAQs和快速指南(QuickStartGuides,QSGs)的進展情況,其中第1步“分類”和第6步“監控”的FAQs和OSGs已經制定完成,并可以投入使用,RMF的第2至5步的FAQs和OSGs仍在研發中?這些FAQs和OSGs文檔將和NISTSP系列標準?FIPS標準一起指導風險管理框架6步驟中每一步驟的具體實施?
2009年7月7日,NIST在其官方網站發布了FISMA實施項目開發和修訂的關鍵出版物的重要事件進展情況,其中所列的出版物包括:
lSP800-53修訂版3:RecommendedSecurityControlsforFederalInformationSystemsandOrganizations,(項目截止:2009年7月31日)
lSP800-37修訂版1:GuideforApplyingtheRiskManagementframeworktoFederalInformationSystems:ASecurityLifeCycleApproach(原聯邦信息系統安全性認證認可指南),(項目截至:2009年10月)
lSP800-39:IntegratedEnterprise-wideRiskManagement:Organization,Mission,andInformationSystemsView(原信息系統管理風險:組織視角),(項目截止:2009年12月)
lSP800-53A,修訂版1:GuideforAssessingtheSecurityControlsinFederalInformationSystemsandOrganizations,(項目截止:2010年1月)
lSP800-30,修訂版1:GuideforConductingRiskAssessments(原信息技術體系風險管理指南),(項目截止:2010年1月)
目前FISMA項目的實施,是由NIST和國防部?國家情報總監辦公室和國家安全體系委員會成立的聯合任務工作組共同開發聯邦政府及其承包方的信息安全標準和指南,上述公開出版物完成時間的調整,是與當前項目實施要求的優先級保持一致的?
5.運營情況
FISMA為保護聯邦政府的信息?運營和財產安全提供了信息技術保障框架,它要求每個聯邦機構的領導都負責實施把信息安全風險降低到可接收等級的策略和過程,并且每年都根據OMB的要求,匯報其信息系統保密性和信息安全程序相關情況?根據各機構匯報的信息,OMB評估系統這些機構的私有性績效,并制定給國會的年度安全報告,說明各機構系統安全與FISMA要求的符合情況?同時協助各機構改進和維護私有性績效?而且,FISMA要求指定由NIST準備FISMA項目的年度報告,其中需要說明上一年度各項活動的完成情況及履行FISMA責任的后續活動詳情,目前這項工作由NIST的信息技術實驗室的計算機安全部執行?
從2004年開始,OMB每年向國會提交FISMA實施情況的年度報告?據OMB給國會的2008財年FISMA實施情況報告顯示,聯邦政府2008財年IT總投資約680億美元,其中聯邦機構安全保障花費62億美元,約占IT總業務量的9.2%?其中,IT安全投資主要用于系統認證認可?測試控制措施?用戶安全意識培訓等系統安全相關活動?同時,根據報告中其他分析數據顯示,通過實施FISMA,聯邦政府相關機構經過認證認可的系統?測試的應急計劃和安全控制措施比率逐年提高,而且報告中還給出了FISMA系統目錄的風險影響等級說明列表?
總的看來,我們現在知道了FISMA實施項目的風險管理框架相關研究成果已經在全聯邦政府范圍內逐步推廣應用,督促各機構重視信息系統安全?降低安全風險的作用已初見成效?該項目以立法形式規定了聯邦政府信息系統安全要求和各部門的責任,以風險管理框架為核心,輔以標準?指南指導各環節活動的具體實施,使得一個完整的?系統化的聯邦政府信息系統安全保障體系初具規模?該項目從立項到應用經歷了近6年時間,涉及的聯邦信息系統從最初的7千多個發展到1萬多個,為信息安全風險評估的發展和應用提供了許多實踐經驗,值得我們從中借鑒?學習?
守合同重信用證書的10大價值,企業不可錯過!
治“芯”病還需極紫外光刻機助力--專利事務所
初級生鮮食品配送管理體系認證證書
如何代辦綠色環保產品證書費用多少錢
商標注冊成功之后享有哪些特權?
想知道API咨詢公司相關內容快來了解吧!
怎樣申報ISO9001質量管理體系認證要多少費用
深圳隱私信息管理體系認證ISO/IEC 27701
上一篇:QS生產許可認證咨詢簡介