NIST评估信息安全持续监控项目指南:评估方法(一)
为了有效地管理网络安全风险,组织需要持续了解自己的信息安全状况、漏洞和威胁。要获取这种信息以及更有效地管理风险,组织可以信息安全持续监控(ISCM)项目为指导,实现信息安全持续监控能力。ISCM项目对ISCM进行定义,组建相关团队,全面实施并运营ISCM,为组织提供必要信息,促使组织各风险管理级别(组织级、任务/业务流程级和系统级)就安全状况做出基于风险的决策。
《NIST评估信息安全持续监控(ISCM)项目:评估方法》一文可用于:
·? 为组织各风险管理级别(定义见NIST SP 800-39《管理信息安全风险:组织、任务与信息系统视角》)开展ISCM项目评估提供指导;
·阐述了ISCM项目评估与重要安全概念和过程的相关性,如NIST风险管理框架(RMF)、全组织风险管理级别、组织治理、ISCM指标和持续授权;
·介绍了有效的ISCM项目评估所具备的特点;
·提出了ISCM项目评估标准(同时提供了参考来源),组织可采用这些标准进行ISCM项目评估,或基于这些标准制定适合本组织的评估标准;
·介绍了通过评估程序进行ISCM项目评估的方法,该评估程序在相关配套文件(包含ISCM项目评估要素一览表)中进行了定义,用以开发可复用的评估流程。
读者对象
本文档的目标读者为持续监控信息安全态势和组织风险管理的个人,包括:
·负责评审组织ISCM项目的个人,包括进行技术评审的管理人员和评估人员(如系统评估人、内部和第三方评估员/评估团队、独立验证/认证评估师、审计人员和系统负责人);
·承担任务/业务负责人或受托人责任的个人(如联邦机构负责人、首席执行官和首席财务官);
需要考虑ISCM功能的系统开发/集成负责人(如项目经理、系统负责人、信息技术产品开发人员、系统开发人员、系统集成商、企业架构师、信息安全架构师和通用控件提供方);
·承担系统和/或安全管理/监督职责的个人(如高层领导人、风险管理人员、授权人、首席信息官、首席信息安全官),这类人员需在一定程度上依赖于持续监控过程中输出的安全相关信息做出基于风险的决策;
·负责系统和安全控制评估与监控的个人(如系统评估人、评估员/评估团队、独立验证/认证评估师、审计人员、系统负责人或系统安全主管)。
本次连载内容介绍了对组织风险管理中的ISCM进行评估的基本原则。
一、ISCM项目评估的基本原则
ISCM项目评估是一个管理过程,用以检视以下各项的充分性和有效性:
·ISCM战略规划
·ISCM项目的建立
·ISCM战略、政策、程序和指标的实施
·ISCM项目的运营
·对所收集数据进行的分析及结果报告
·对ISCM结果的响应
·ISCM流程改进
ISCM项目评估并不是为了验证组织及其业务/任务流程和系统对于SP800-137所提出的各种ISCM概念的实现情况,而是为了确定这些概念以及FISMA和OMB对联邦组织提出的ISCM要求是否可充分判断ISCM项目的稳健性(Robustness)。应注意的是,各组织或评估人员根据本指南制定ISCM项目评估方案时,可能会根据自己对重要性的认知而制定出不同的评估标准。
1. ISCM管理
ISCM首先是整个组织的责任,然后是系统级责任【SP800-37】,还包括任务/业务流程。组织范围内的持续监控工作的第一步是组织领导制定全面的组织级ISCM战略,该战略不仅要为风险管理部门(RE(f))决策提供直接支持,还要包括与组织各风险管理级别相关的统一管理指标。仅当ISCM战略在组织层面上制定实施,并与RE(f)建立内在联系时,才能保证ISCM项目具有合理的广度和深度,为组织各层级明确划分职责。组织级战略由系统级ISCM战略和任务/业务流程ISCM战略(可选)提供支持。
ISCM包括执行持续监控功能的所有人员、策略、流程、技术和标准,它是一个赋能过程,在组织面临网络安全威胁和风险时为组织提供支持,维持正常运营。
合理的ISCM项目会规定组织各层级的活动,保证ISCM功能在全组织范围内实施。要有效支持整体ISCM工作,须统一开发、部署和维护ISCM活动,这些活动要能反应整个组织的ISCM战略目标和风险管理战略。
1.1?ISCM背景
ISCM目标包括检测组织的运营、系统环境中的异常与变化、洞悉资产情况、发现漏洞和威胁、了解安全控制的有效性以及安全态势。要实现ISCM目标,要在ISCM架构中部署工具和技术,结合使用手动和自动方法,按照合理频率提供满足具体需要、详略得当的信息。ISCM项目的关键成果是收集、集成、分析和呈现整个组织的所有系统及其运行环境的安全相关信息,促进基于风险的决策。
有效的ISCM项目会区分组织级ISCM战略中的手动和自动监控过程,将这些过程和输出进行关联,最终呈现态势感知结果。使用手动过程前要进行验证,保证过程可复用,实施结果一致。
自动化过程(包括使用自动化支持工具)可以使持续监控更为统一,效率更高,结果更准确,成本效益更高。
有效的ISCM项目可推动系统持续授权和再授权决策【SP800-37】,如2.1.7节所述。在持续监控期间收集的安全相关信息可用于更新各适用系统的授权包和支持工件。更新后工件作为证据,可证明基线控制措施按照最初计划为系统提供了持续保护。
1.2 ISCM流程各阶段
NIST SP 800-137将ISCM流程分为六个阶段,如图1所示。具体信息见如下段落。有一点要注意,对于覆盖全组织的信息安全持续监控工作或流程,第一步都是开发全面的ISCM战略,涵盖技术、流程、程序、运行环境和人力等各方面因素。
图1:ISCM流程
ISCM分为六个阶段,在本文中称为“流程阶段”,具体如下:
1、定义ISCM战略(定义) – 根据风险承受能力,定义全组织和系统级ISCM战略,保持对资产、漏洞、最新威胁信息和任务/业务影响的清晰认识。根据全组织ISCM战略,为组织内部的各个系统定义系统级ISCM战略。任务/业务流程领域若需定义ISCM战略,也须与组织级战略一致,用于支持任务/业务流程领域的系统。
2、建立ISCM项目(立项) – 建立ISCM项目,确定指标、状态监控频率、控制评估频率和ISCM技术架构。
3、实施ISCM项目(实施) – 实施ISCM项目,收集指标、评估和报告所需的安全相关信息。尽可能采用自动化方法收集、分析及上报数据。
4、分析ISCM数据并出具报告(分析/报告) – 分析收集的数据,报告监控中发现的问题,确定合理的响应措施。有时可能需要收集额外的信息,以澄清或补充现有的监控数据。
5、响应ISCM中发现的问题(响应) – 通过技术、管理和运营风险缓解活动响应所发现的问题,或接受、转移/分享或避免/拒绝风险。
6、回顾、更新ISCM项目和战略(回顾/更新) – 回顾、更新监控项目,调整相应级别的ISCM战略,完善测量能力,提高资产可见性和对漏洞的感知能力,进而基于数据来管控组织的信息基础设施安全,提高组织的恢复能力。
ISCM的“定义”阶段定义了组织级、系统级和任务/业务流程级(可选)ISCM战略。RMF在针对1级和2级的“准备”阶段阐述了组织级和任务/业务流程级(可选)ISCM战略,在针对3级的“选择”阶段阐述了系统级ISCM战略(见SP800-37)。
1.3?组织的风险管理级别
ISCM适用于SP800-39中定义的所有三个组织风险管理级别:
·1级(组织级):管理整个组织的风险,将风险背景信息和风险决策传达给2、3级风险管理者。
·2级(任务/业务流程级):基于从1级风险管理获取的风险背景信息、风险决策和风险活动,从任务/业务流程角度管理风险。
·3级(系统级):是组织内部面向系统的风险管理级别。这一级侧重于系统活动,以1、2级风险管理中所输出的风险背景、决策和活动为指导。
在3级风险管理过程中获取的安全相关信息和采取的相应措施传达至1级和2级,用于组织级和任务/业务流程级风险决策。ISCM项目评估验证了不同级别之间的信息流。
1.4?NIST风险管理框架与ISCM
根据SP800-37定义,RMF是一个结构化的有序过程,它将信息安全和风险管理活动融入到组织和系统的系统开发生命周期中。ISCM项目的实施依赖于RMF中实施的工件和过程,同时也为RMF各阶段提供输入,促进对风险的了解和管理。评估方法和评估要素要虑及所有可能出现的重叠和/或关系。
RMF的“监控”阶段涉及持续监控,这是风险管理流程的关键环节。ISCM的实施可以满足组织持续监控的要求,这一过程中产生的输出可用于识别、应对风险。另外,组织也应该监控其整体安全架构以及相应的安全计划,确保即使发生了变化,整个组织的业务仍处于可接受的风险水平之内。及时、相关、准确的安全相关信息至关重要,在资源缺乏时尤其如此,组织必须重点关注此类信息。
就3级而言,RMF的“监控”阶段与ISCM活动高度一致。对所实施安全控制措施的评估方法相同,不管评估仅是为了支持系统授权(RMF的“授权”阶段),还是为了支持更广泛、更全面的持续监控工作。系统级主管和员工进行持续评估,监控并分析结果。组织级、任务/业务流程级和系统级的风险管理都要用到该信息。
尽管频率要求不尽相同,无论哪个级别,只要获取到最新的安全相关信息,就能应用于受影响流程。在ISCM项目范围内执行的RMF监控活动为系统风险判断提供持续支持,是持续授权(OA)的基础。若ISCM项目足以支持对整个(或部分)组织的风险进行判断,则能够支持整个(或部分)组织的OA。ISCM项目评估可验证相关ISCM结果(有时包括相关指标)是否提供给OA流程用以就系统授权做出决策。OA相关信息见2.1.7节。
1.5?治理与ISCM
ISCM治理是整个组织治理的一部分,通过确立权限、职责、责任以及治理流程和程序,推动ISCM治理流程的落实、实施和持续改进,进而监控组织安全。治理—包括ISCM治理—在整个组织的各风险管理级别建立了责任线。
ISCM治理是一种用于管理风险的概念性组织和规划结构。它与一个或多个高管或员工相关,如RE(f)等受问责制约束的高级官员(如负责风险管理的高级问责官员、高级机构信息安全官(SAISO)、负责隐私的高级机构领导、首席信息官(CIO)等)。信息安全治理结构中涉及ISCM的部分与其他治理结构一致,以确保与组织内的现有管理实践相兼容,提高总体效率。
ISCM项目评估可确认ISCM治理政策和流程是否到位并实施。在1级风险管理中,评估可确认高管是否认识到管理信息安全风险的重要性并建立了与ISCM相关的治理结构用以管理此类风险。组织级ISCM战略涵盖ISCM治理结构。
如果组织的治理结构分散(例如,由于任务/业务需求或运营环境分散),任务/业务流程领域(2级)在与组织级ISCM战略保持一致的同时,可以完整或部分地制定本领域的ISCM政策和流程,特别是当它们与风险管理和信息安全决策相关时。对于分散式治理模型,组织各级别共享ISCM信息很重要,因为这些信息与风险管理决策相关。
1.6 ISCM指标
ISCM确定的指标可揭示组织的整体安全态势和各个系统的安全状况,为风险管理流程提供输入。有关ISCM指标的更多信息,参见SP800-137。
ISCM项目评估涵盖组织定义的指标。ISCM项目评估会检查ISCM项目是否进行了指标的定义、开发、维护并确保指标具有持续性。ISCM项目评估还会检查组织是否:(i)确定了指标数据的收集频率;(ii)根据1、2、3级风险管理获得的数据定义指标;以及(iii)根据需要将指标应用于基于风险的决策。此外,ISCM项目评估还会检查ISCM指标是否已上报给各级指定官员审查。
1.7?持续授权
ISCM可促进OA,这对组织来说是一大益处。OA简化了系统授权流程,支持更高的自动化能力,方便相关人员就是否继续系统授权做出近乎实时的决策。根据定义,OA指根据组织的任务/业务要求和组织的风险承受能力,以商定频率(有成文规定)进行的后续风险判断和风险接受决策。从根本上说,OA与对安全风险的持续理解和接受有关,并且依赖于稳健的ISCM项目。
组织通过ISCM功能收集安全相关信息,再基于此信息对系统做出OA决策。稳健的ISCM项目会定义、建立和实施一个连续的过程,通过这个过程,使用手动、自动和程序工具来管控操作授权系统的风险。
ISCM项目评估会检查是否有ISCM信息可用于OA决策。ISCM项目评估具体检查如下各项:
· 是否有组织级OA流程。OA流程关注的是系统如何过渡到OA状态以及系统保持OA状态所需的条件。
· 所进行的控制措施评估(根据NIST SP 800-53A)是否足以按既定频率支持OA。
· ISCM项目提供的指标是否足够稳定、可靠,可以支撑OA决策。
· ISCM项目是否能够监控系统的安全状况以及这些系统持续运行的环境,监控频率是否合理,足以就是否继续在组织内运行系统做出基于风险的持续决策。
· 是否将ISCM结果上报给有关领导进行授权决策。
下次连载将介绍ISCM项目评估的基础和评估实施过程。
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。