Объединенная экспертная группа по инициативе преобразования



страница2/48
Дата09.05.2018
Размер6.15 Mb.
1   2   3   4   5   6   7   8   9   ...   48
ГЛАВА ОДИН ВВЕДЕНИЕ...................................................................................................................................................... 1

1.1 НАЗНАЧЕНИЕ И ПРИМЕНИМОСТЬ.................................................................................................................................... 2

1.2 ЦЕЛЕВАЯ АУДИТОРИЯ....................................................................................................................................................... 3

1.3 ОТНОШЕНИЕ К ДРУГИМ ПУБЛИКАЦИЯМ ПО МЕРАМ БЕЗОПАСНОСТИ........................................................................ 3

1.4 ОБЯЗАННОСТИ ОРГАНИЗАЦИЙ........................................................................................................................................ 4

1.5 ОРГАНИЗАЦИЯ ЭТОЙ СПЕЦИАЛЬНОЙ ПУБЛИКАЦИИ..................................................................................................... 6



ГЛАВА ДВА ОСНОВНЫЕ ПРИНЦИПЫ................................................................................................................................... 7

2.1 МНОГОУРОВНЕВОЕ УПРАВЛЕНИЕ РИСКАМИ.................................................................................................................. 7

2.2 СТРУКТУРА МЕР БЕЗОПАСНОСТИ..................................................................................................................................... 9

2.3 БАЗОВЫЕ МЕРЫ БЕЗОПАСНОСТИ................................................................................................................................... 13

2.4 ОБОЗНАЧЕНИЕ МЕР БЕЗОПАСНОСТИ............................................................................................................................. 14

2.5 ВНЕШНИЕ ПОСТАВЩИКИ СЕРВИСОВ……………………………………....................................................................................... 17

2.6 ДОВЕРИЕ И ЗАЩИЩЕННОСТЬ......................................................................................................................................... 20

2.7 ВЕРСИИ И РАСШИРЕНИЯ................................................................................................................................................. 26



ГЛАВА ТРИ ПРОЦЕСС.......................................................................................................................................................... 28

3.1 ВЫБОР БАЗОВЫХ МЕР БЕЗОПАСНОСТИ......................................................................................................................... 28

3.2 АДАПТАЦИЯ МЕР ОБЕСПЕЧЕНИЯ БАЗОВОГО УРОВНЯ БЕЗОПАСНОСТИ...............…….................................................. 30

3.3 СОЗДАНИЕ ОВЕРЛЕЕВ…………………………………………………………………………………………………………………………………………………40

3.4 ДОКУМЕНТИРОВАНИЕ ПРОЦЕССА ВЫБОРА МЕР БЕЗОПАСНОСТИ………………………………………………............................. 42

3.5 НОВАЯ РАЗРАБОТКА И УНАСЛЕДОВАННЫЕ СИСТЕМЫ................................................................................................. 44



ПРИЛОЖЕНИЕ A. ССЫЛКИ.................................................................................................................................................. A-1

ПРИЛОЖЕНИЕ B. ГЛОССАРИЙ............................................................................................................................................. B-1

ПРИЛОЖЕНИЕ C. АКРОНИМЫ............................................................................................................................................. C-1

ПРИЛОЖЕНИЕ D. БАЗОВЫЕ МЕРЫ БЕЗОПАСНОСТИ - СВОДКА........................................................................................ D-1

ПРИЛОЖЕНИЕ E. ДОВЕРИЕ И ЗАЩИЩЕННОСТЬ................................................................................................................ E-1

ПРИЛОЖЕНИЕ F. КАТАЛОГ МЕР БЕЗОПАСНОСТИ.............................................................................................................. F-1

ПРИЛОЖЕНИЕ G. ПРОГРАММЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ......................................................................... G-1

ПРИЛОЖЕНИЕ H. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.......................................... H-1

ПРИЛОЖЕНИЕ I. ОВЕРЛЕЙНЫЙ ШАБЛОН........................................................................................................................... I-1

ПРИЛОЖЕНИЕ J. КАТАЛОГ МЕР ПРИВАТНОСТИ................................................................................................................ J-1

Пролог

"... Посредством процесса управления рисками лидеры должны рассмотреть риск к интересам США от противников, использующих киберпространство для достижения ими преимущества, и от наших собственных усилий использовать глобальную природу киберпространства для достижения целей в военных, разведывательных и бизнес операциях..."

"... Для разработки планов деятельности должна быть оценена комбинация угроз, уязвимостей и воздействий, чтобы определить важные тенденции и решить, где усилие должно быть применено, чтобы устранить или уменьшить возможности угрозы; устранить или уменьшить уязвимости; и оценить, скоординировать и устранить конфликты во всех операциях в киберпространстве..."



"... Лидеры на всех уровнях являются ответственными за обеспечение готовности и безопасности до той же самой степени как в любом другом домене..."
- НАЦИОНАЛЬНАЯ СТРАТЕГИЯ ОПЕРАЦИЙ В КИБЕРПРОСТРАНСТВЕ

ОФИС ПРЕДСЕДАТЕЛЯ, ОБЪЕДИНЕННЫЙ КОМИТЕТ НАЧАЛЬНИКОВ ШТАБОВ, АМЕРИКАНСКОЕ МИНИСТЕРСТВО ОБОРОНЫ


Предисловие

Специальная публикация NIST 800-53, Пересмотр 4, представляет самое всестороннее обновление каталога мер безопасности начиная с его первого выпуска в 2005г. Публикация была разработана NIST, Министерством обороны, Разведывательным ведомством и Комитетом по системам национальной безопасности в рамках Совместной экспертной группы, межведомственного партнерства, сформированного в 2009г. Это обновление было мотивировано преимущественно расширяющимся пространством угроз, характеризуемым увеличивающейся изощренностью кибератак и темпом действий противников (то есть, частотой таких атак, профессионализмом атакующих и целеустремленностью атакующих). Практические меры безопасности и улучшения мер были разработаны и интегрированы в каталог, адресованный к таким областям, как: мобильные и облачные вычисления; безопасность приложений; защищенность, доверие и устойчивость информационных систем; инсайдерские угрозы; безопасность системы поставок и постоянные развивающиеся угрозы. Кроме того, Специальная публикация 800-53 была расширена, чтобы включить восемь новых семейств мер приватности, основанных на принятых на международном уровне Принципах честной информационной практики.

Специальная публикация 800-53 Пересмотр 4 обеспечивает более целостный подход для управления информационной безопасностью и управления рисками, предоставляя организациям охват и глубину мер безопасности, необходимых, чтобы существенно усилить их информационные системы и среды, в которых эти системы применяются - содействие системам, чтобы они были более устойчивы перед лицом кибератак и других угроз. Эта стратегия "Стройте правильно" применяется вместе со множеством мер безопасности для "Непрерывного мониторинга", чтобы дать организациям информацию близко к реальному времени, которая важна для высших руководителей, принимающих долговременные, основанные на риске решения, влияющие на их критические функции предназначения и деятельности.

Чтобы использовать в своих интересах расширенный набор мер обеспечения безопасности и приватности и дать организациям большую гибкость и оперативность в защите их информационных систем, в этом пересмотре была представлена концепция оверлеев. Оверлеи обеспечивают структурированный подход, чтобы помочь организациям адаптировать базовые наборы мер безопасности и разработать специализированные планы обеспечения безопасности, которые могут быть применены к конкретным функциям предназначения/деятельности, средам эксплуатации и/или технологиям. Этот подход специализации важен, так как число управляемых угрозами мер безопасности и улучшений меры безопасности в каталоге увеличивается и организации разрабатывают стратегии управления рисками, чтобы определить их конкретные потребности защиты в пределах определенных допусков риска.

Наконец, было несколько новых опций, добавленных к этой версии, чтобы облегчить простоту её использования организациями. Они включают:

Предположения, касающиеся мер безопасности, принимаемых за основу разработки;

Расширенное, обновленное и оптимизированное руководство адаптации;

Дополнительные параметры операций назначения и выбора для мер обеспечения безопасности и приватности;

Описательные имена для мер улучшения безопасности и приватности;

Консолидированные таблицы для мер безопасности и улучшений мер по семействам с распределением по базовым наборам мер;

Таблицы для мер безопасности, которые поддерживают разработку, оценку и применение доверия; и

Таблицы отображения для международного стандарта безопасности ISO/IEC 15408 (Общие Критерии).



Меры обеспечения безопасности и приватности в Специальной публикации 800-53 Пересмотр 4 были разработаны, чтобы быть в значительной степени нейтральными в отношении политик и технологий для облегчения гибкости в реализации. Меры обеспечения удобно расположены, чтобы поддержать интеграцию информационной безопасности и приватности в процессы организаций, включая архитектуру предприятия, проектирование систем, жизненный цикл разработки систем и приобретение/снабжение. Успешная интеграция мер обеспечения безопасности и приватности в долговременные процессы организаций будет демонстрировать большую зрелость программ безопасности и приватности и обеспечивать более тесную связь инвестиций в безопасность и приватность с базовыми функциями предназначения и деятельности организаций.

Совместная экспертная группа

Опечатки
Следующие изменения были включены в Специальную публикацию 800-53, Пересмотр 4.

ДАТА

ТИП

ИЗМЕНЕНИЕ

СТРАНИЦА

07.05.2013

Редакция

Изменение Приоритетного кода CA-9 с P1 на P2 в таблице D-2.

D-3

07.05.2013

Редакция

Изменение Приоритетного кода СМ-10 с P1 на P2 в таблице D-2.

D-4

07.05.2013

Редакция

Изменение Приоритетного кода MA-6 с P1 на P2 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода MP-3 с P1 на P2 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода PE-5 с P1 на P2 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода PE-16 с P1 на P2 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода PE-17 с P1 на P2 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода PE-18 с P2 на P3 в таблице D-2.

D-5

07.05.2013

Редакция

Изменение Приоритетного кода PL-4 с P1 на P2 в таблице D-2.

D-6

07.05.2013

Редакция

Изменение Приоритетного кода PS-4 с P2 на P1 в таблице D-2.

D-6

07.05.2013

Редакция

Изменение Приоритетного кода SA-11 с P2 на P1 в таблице D-2.

D-6

07.05.2013

Редакция

Изменение Приоритетного кода SC-18 с P1 на P2 в таблице D-2.

D-7

07.05.2013

Редакция

Изменение Приоритетного кода SI-8 с P1 на P2 в таблице D-2.

D-8

07.05.2013

Редакция

Удаление рекомендации к SA 5(6) в таблице D-17.

D-32

07.05.2013

Редакция

Удаление СМ 4(3) из Таблицы E-2.

E-4

07.05.2013

Редакция

Удаление СМ 4(3) от Таблицы E-3.

E-5

07.05.2013

Редакция

Удаление рекомендации к SA 5(6).

F-161

07.05.2013

Редакция

Изменение Приоритетного кода SI-16 с P0 на P1.

F-233

01-15-2014

Редакция

Удаление “(и намеренные и неумышленные)” в строке 5 в Кратком обзоре.

iii

01-15-2014

Редакция

Удаление "безопасности и приватности" в строке 5 в Кратком обзоре.

iii

01-15-2014

Редакция

Изменение “ начального набора базовых мер безопасности ” на “применимого базового набора мер безопасности ” в Разделе 2.1, Шаге 2 RMF.

9

01-15-2014

Редакция

Удаление следующего абзаца: “Раздел улучшений меры безопасности обеспечивает … в Приложении F.”

11

01-15-2014

Редакция

Изменение “базовых мер безопасности” на “базовых наборов мер безопасности” в Разделе 2.3, 2-ом абзаце, строка 6.

13

01-15-2014

Редакция

Изменение “начального набор мер безопасности” на “применимого базового набора мер безопасности” в Разделе 3.1, абзаце 2, строка 4.

28

01-15-2014

Редакция

Изменение “ базовых наборов мер безопасности ” на “ базовых наборов, идентифицированных в Приложении D ” в Разделе 3.1, абзаце 2, строка 5.

28

01-15-2014

Редакция

Изменение “соответствующего набора базовых мер безопасности” на “соответствующего базового набора мер безопасности ” в Разделе 3.1, абзаце 3, строка 3.

29

01-15-2014

Редакция

Удаление "начального" перед “ базового набора мер безопасности ” и добавленние “FIPS 200” перед "уровне воздействия" в Разделе 3.1, абзаце 3, строка 4.

29

01-15-2014

Редакция

Изменение “наборов базовых мер безопасности ” на “базовых наборов мер безопасности ” в Разделе 3.1, абзаце 3, строка 6.

29

01-15-2014

Редакция

Изменение “начального набора базовых мер безопасности ” на “применимого базового набора мер безопасности ” в Разделе 3.2, абзаце 1, строка 1.

30

01-15-2014

Редакция

Изменение “начального набора базовых мер безопасности ” на “применимого базового набора мер безопасности ” в Разделе 3.2, абзаце 3, строка 5.

31

01-15-2014

Редакция

Удаление “набор” перед "мерами безопасности" в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 1.

33

01-15-2014

Редакция

Удаление "начальный" перед “набор” в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 2.

33

01-15-2014

Редакция

Изменение “базовые” на “каждый базовый” в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 3.

33

01-15-2014

Редакция

Изменение “начальный набор мер безопасности” на “ базовый набор мер безопасности ” в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 5.

33

01-15-2014

Редакция

Добавление "конкретных" перед "мест" в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 6.

33

01-15-2014

Редакция

Изменение "начальных" на "трёх" в Разделе 3.2, Использование объектовых особенностей, абзац Мобильность, строка 8.

33

01-15-2014

Редакция

Изменение “начальному набору базовых мер безопасности” на “ применимому базовуму набору мер безопасности ” в Разделе 3.2, Выбор компенсирующих мер безопасности, строка 10.

36

01-15-2014

Редакция

Изменение “набора начальных базовых мер безопасности” на “ базовых наборов мер безопасности ” в Разделе 3.3, строка 1.

40

01-15-2014

Редакция

Добавление "." после “C.F.R” в №3, ПОЛИТИКИ, ДИРЕКТИВЫ, ИНСТРУКЦИИ, НОРМАТИВНЫЕ АКТЫ И МЕМОРАНДУМЫ.

A-1

01-15-2014

Редакция

Добавление “Пересмотр 1 (Проект)” Специальной публикации NIST 800-52 в Ссылках.

A-7

01-15-2014

Редакция

Добавленние "конфигурированию", к заголовку Специальной публикации NIST 800-52, Пересмотр 1.

A-7

01-15-2014

Редакция

Изменение даты NIST Специальная публикация 800-52, Пересмотр 1 на сентябрь 2013.

A-7

01-15-2014

Редакция

Перемещение определения для Риска информационной безопасности после Плана программы информационной безопасности в Глоссарии.

B-11

01-15-2014

Редакция

Добавление AC 2(11) к высокому базовому набору мер в Таблице D-2.

D-2

01-15-2014

Редакция

Изменение Приоритетного кода AC-10 с P2 на P3 в Таблице D-2.

D-2

01-15-2014

Редакция

Изменение Приоритетного кода AC-14 с P1 на P3 в Таблице D-2.

D-2

01-15-2014

Редакция

Изменение Приоритетного кода AC-22 с P2 на P3 в Таблице D-2.

D-2

01-15-2014

Редакция

Изменение Приоритетного кода AU-10 с P1 на P2 в Таблице D-2.

D-3

01-15-2014

Редакция

Изменение Приоритетного кода CA-6 с P3 на P2 в Таблице D-2.

D-3

01-15-2014

Редакция

Изменение Приоритетного кода CA-7 с P3 на P2 в Таблице D-2.

D-3

01-15-2014

Редакция

Изменение Приоритетного кода CA-8 с P1 на P2 в Таблице D-2.

D-3

01-15-2014

Редакция

Изменение Приоритетного кода IA-6 с P1 на P2 в Таблице D-2.

D-4

01-15-2014

Редакция

Изменение Приоритетного кода IR-7 с P3 на P2 в Таблице D-2.

D-5

01-15-2014

Редакция

Изменение Приоритетного кода MA-3 с P2 на P3 в Таблице D-2.

D-5

01-15-2014

Редакция

Изменение Приоритетного кода MA-4 с P1 на P2 в Таблице D-2.

D-5

01-15-2014

Редакция

Изменение Приоритетного кода MA-5 с P1 на P2 в Таблице D-2.

D-5

01-15-2014

Редакция

Удаление мер Управление программой из Таблицы D-2.

D-8/9

01-15-2014

Редакция

Удаление следующего предложения в конце абзаца:

“Семейство Управление программой (PM) не включено в сводную таблицу, так как меры безопасности PM не связаны с каким либо определенным базовым набором мер безопасности.”



D-9

01-15-2014

Редакция

Добавление AC-2(12) и AC-2(13) к высокому базовому набору мер в Таблице D-3.

D-10

01-15-2014

Редакция

Изменение AC-17(5), включено в, ссылки с AC-17 на SI-4 в Таблице D-3.

D-12

01-15-2014

Редакция

Изменение AC-17(5), включено в, ссылки с AC-3 на AC-3(10) в Таблице D-3.

D-12

01-15-2014

Редакция

Изменение AC-6 на AC-6(9) в AU 2(4) уведомление вывода войск в Таблице D-5.

D-15

01-15-2014

Редакция

Изменение "Training" на "Scanning" в заголовке SA 19(4) в Таблице D-17.

D-34

01-15-2014

Редакция

Удаление SC-9(1), SC-9(2), SC-9(3), и SC-9(4) из Таблицы D-18.

D-37

01-15-2014

Редакция

Добавление AC-2 и AC-5 к SC-14 и удаление SI-9 из SC-14 в Таблице D-18.

D-37

01-15-2014

Редакция

Удаление CA-3(5) из Таблицы E-2.

E-4

01-15-2014

Редакция

Добавление CM-3(2) в Таблицу E-2.

E-4

01-15-2014

Редакция

Добавление RA-5(2) и RA-5(5) в Таблицу E-2.

E-4

01-15-2014

Редакция

Удаление CA-3(5) из Таблицы E-3.

E-5

01-15-2014

Редакция

Добавление CM-3(2) в Таблицу E-3.

E-5

01-15-2014

Редакция

Удаление полужирного текста для RA-5(2) и RA-5(5) в Таблице E-3.

E-5

01-15-2014

Редакция

Добавление CM-8(9) в Таблицу E-4.

E-7

01-15-2014

Редакция

Добавление CP-4(4) в Таблицу E-4.

E-7

01-15-2014

Редакция

Добавление IR-3(1) в Таблицу E-4.

E-7

01-15-2014

Редакция

Добавление RA-5(3) в Таблицу E-4.

E-7

01-15-2014

Редакция

Удаление SA-4(4) из Таблицы E-4.

E-7

01-15-2014

Редакция

Изменение в SA-21(1) с «улучшения» на «улучшение» в Таблице E-4.

E-7

01-15-2014

Редакция

Удаление SI-4(8) из Таблицы E-4.

E-7

01-15-2014

Редакция

Изменение “процессе управления риском” на “RMF” в Использование каталога, строка 4.

F-6

01-15-2014

Редакция

Изменение “соответствующий набор мер безопасности” на “соответствующий базовый набор мер безопасности” в Использование каталога, строка 5.

F-6

01-15-2014

Редакция

Удаление лишней “,” из AC-2 g.

F-7

01-15-2014

Редакция

Добавление AC-2(11) в высокий базовый набор.

F-10

01-15-2014

По существу

Добавление следующего текста в AC-3(2) Supplemental Guidance:

“Dual authorization may also be known as two-person control.”



F-11

01-15-2014

Редакция

Изменение “ucdmo.gov” на “None” в AC-4 References.

F-18

01-15-2014

Редакция

Добавление “.” после “C.F.R” в AT-2 References.

F-38

01-15-2014

Редакция

Изменение AC-6 на AC-6(9) в AU-2(4) withdrawal notice.

F-42

01-15-2014

Редакция

Удаление “csrc.nist.gov/pcig/cig.html” и добавление “http://” к URL в AU-2 References.

F-42

01-15-2014

Редакция

Изменение “identify” на “identity” в AU-6(6) Supplemental Guidance.

F-46

01-15-2014

По существу

Добавление следующего текста к AU-9(5) Supplemental Guidance:

“Dual authorization may also be known as two-person control.”



F-49

01-15-2014

Редакция

Добавление “Control Enhancements: None.” к AU-15.

F-53

01-15-2014

Редакция

Удаление лишней “.” из CM-2(7) Supplemental Guidance.

F-66

01-15-2014

Редакция

Added “)” after “board” in CM-3 g.

F-66

01-15-2014

По существу

Added CA-7 to related controls list in CM-3.

F-66

01-15-2014

По существу

Added the following text to CM-5(4) Supplemental Guidance:

“Dual authorization may also be known as two-person control.”



F-69

01-15-2014

Редакция

Добавление “http://” к URLs в CM-6 References.

F-71

01-15-2014

Редакция

Добавление “component” перед “inventories” в CM-8(5).

F-74

01-15-2014

Редакция

Изменение “tsp.ncs.gov” на “http://www.dhs.gov/telecommunications-service-priority-tsp” в CP-8 References.

F-86

01-15-2014

По существу

Добавление следующего текста к CP-9(7) Supplemental Guidance:

“Dual authorization may also be known as two-person control.”



F-87

01-15-2014

Редакция

Изменение “HSPD 12” на “HSPD-12” и добавление “http://” к URL в IA-2 References.

F-93

01-15-2014

Редакция

Изменение “encrypted representations of” на “cryptographically-protected” в IA-5(1) (c).

F-96

01-15-2014

Редакция

Изменение “Encrypted representations of” на “Cryptographically-protected” в IA-5(1) Supplemental Guidance.

F-97

01-15-2014

По существу

Добавление следующего текста к IA-5(1) Supplemental Guidance:

“To mitigate certain brute force attacks against passwords, organizations may also consider salting passwords.”



F-97

01-15-2014

Редакция

Добавление “http://” к URL в IA-5 References.

F-99

01-15-2014

Редакция

Добавление “http://” к URL в IA-7 References.

F-99

01-15-2014

Редакция

Добавление “http://” к URL в IA-8 References.

F-101

01-15-2014

Редакция

Изменение “:” на “;” после “800-61” и добавление “http://” к URL в IR-6 References.

F-108

01-15-2014

По существу

Добавление следующего текста к MP-6(7) Supplemental Guidance:

“Dual authorization may also be known as two-person control.”



F-124

01-15-2014

Редакция

Добавление “http://” к URL в MP-6 References.

F-124

01-15-2014

Редакция

Изменение “DoDI” на “DoD Instruction” и добавление “http://” к URLs в PE-3 References.

F-130

01-15-2014

Редакция

Удаление “and supplementation” после “tailoring” в PL-2 a. 8.

F-140

01-15-2014

Редакция

Добавление “Special” перед “Publication” в PL-4 References.

F-141

01-15-2014

Редакция

Добавление “Control Enhancements: None.” к PL-7.

F-142

01-15-2014

Редакция

Удаление AT-5 и AC-19(6), AC-19(8) и AC-19(9) из PL-9 Supplemental Guidance.

F-144

01-15-2014

Редакция

Добавление “Control Enhancements: None.” к PL-9.

F-144

01-15-2014

Редакция

Добавление “Special” перед “Publication” в PL-9 References.

F-144

01-15-2014

Редакция

Изменение “731.106(a)” на “731.106” в PS-2 References.

F-145

01-15-2014

Редакция

Изменение “Publication” на “Publications” и добавление “http://” к URL в RA-3 References.

F-153

01-15-2014

Редакция

Добавление “http://” к URLs в RA-5 References.

F-155

01-15-2014

Редакция

Добавление “http://” к URLs в SA-4 References.

F-160

01-15-2014

По существу

Добавление следующего текста к SA-11(8) Supplemental Guidance:

“To understand the scope of dynamic code analysis and hence the assurance provided, organizations may also consider conducting code coverage analysis (checking the degree to which the code has been tested using metrics such as percent of subroutines tested or percent of program statements called during execution of the test suite) and/or concordance analysis (checking for words that are out of place in software code such as non-English language words or derogatory terms).”



F-169

01-15-2014

Редакция

Добавление “http://” к URLs в SA-11 References.

F-169

01-15-2014

Редакция

Добавление “Control Enhancements: None.” к SA-16.

F-177

01-15-2014

Редакция

Изменение “Training” на “Scanning” в SA-19(4) title.

F-181

01-15-2014

Редакция

Изменение “physical” на “protected” в SC-8 Supplemental Guidance.

F-193

01-15-2014

Редакция

Изменение “140-2” на “140” идобавление “http://” к URLs в SC-13 References.

F-196

01-15-2014

Редакция

Добавление “authentication” после “data origin” в SC-20, Part a.

F-199

01-15-2014

Редакция

Добавление “verification” после “integrity” в SC-20, Part a.

F-199

01-15-2014

Редакция

Добавление “Control Enhancements: None.” к SC-35.

F-209

01-15-2014

Редакция

Удаление лишнего “References: None” из SI-7.

F-228

01-15-2014

По существу

Добавление следующего текста как нового третьего абзаца в Приложение G:

“Таблица G-1 представляет сводку мер безопасности семейства управления программой из Приложения G. Организации могут использовать рекомендуемые приоритетные коды, связанные с каждой мерой управления программой, для помощи в принятии решений по упорядочиванию для реализации (то есть, у меры безопасности с Приоритетным Кодом 1 [P1], есть более высокий приоритет для реализации чем у меры безопасности с Приоритетным Кодом 2 [P2]; и у меры безопасности с Приоритетным Кодом 2 [P2] есть более высокий приоритет для реализации чем у меры безопасности с Приоритетным Кодом 3 [P3].”



G-1/2

01-15-2014

Редакция

Добавление Таблицы G-1 в Приложение G.

G-2

01-15-2014

Редакция

Добавление “http://” к URL в Ссылках PM-5.

G-5

01-15-2014

Редакция

Удаление “Web: www.fsam.gov” из Ссылок PM-7.

G-5

01-15-2014

Редакция

Добавление “http://” к URL в Сноске 124.

J-22

01-22-2015

Редакция

Изменение соглашения о присвоении имен улучшениям мер безопасности (то есть, формата), путём удаления пробела между основной мерой безопасности и пронумерованным обозначением улучшения.

Везде

01-22-2015

Редакция

Изменение “ (iv) и” на “и (iv)” в определении Глоссария для Разработчика.

B-6

01-22-2015

Редакция

Изменение “IR-2 (1) в высоком базовом наборе для записи IR-2” на “запись IR-2 (1) (2) в высоком базовом наборе для IR-2” в Приложении D, абзац 1, строка 8.

D-1

01-22-2015

Редакция

Изменение “улучшение (1)” на “улучшения (1) и (2)” в Приложении D, абзац 1, строка 10.

D-1

01-22-2015

Редакция

Удаление “в каталоге мер безопасности“ в Приложении D, абзац 1, строка 10.

D-1

01-22-2015

Редакция

Изменение “ SHARED GROUPS / ACCOUNTS “ на “ SHARED / GROUPS ACCOUNTS ” в Таблице D-3, AC 2 (9) название.

D-10

01-22-2015

Редакция

Добавление “ROLE-BASED“ перед “SECURITY TRAINING” в теблице D-4, AT-3(1) название.

D-14

01-22-2015

Редакция

Добавление “ROLE-BASED“ перед “SECURITY TRAINING” в теблице D-4, AT-3(2) название.

D-14

01-22-2015

Редакция

Добавление “ROLE-BASED“ перед “SECURITY TRAINING” в теблице D-4, AT-3(3) название.

D-14

01-22-2015

Редакция

Добавление “ROLE-BASED“ перед “SECURITY TRAINING” в теблице D-4, AT-3(3) название.

D-14

01-22-2015

Редакция

Добавление “-BASED“ к “BIOMETRIC” в таблице D-9, IA-5(12) название.

D-23

01-22-2015

Редакция

Удаление “/ ANALYSIS“ после “PENETRATION TESTING” в таблице D-17, SA-11(5) название.

D-33

01-22-2015

Редакция

Изменение “(1)” с нормального шрифта на полужирныйв таблице E-4, SI-4(1).

E-7

01-22-2015

Редакция

Изменение “SHARED GROUPS / ACCOUNTS“ на “SHARED / GROUP ACCOUNTS” в AC-2(9) название.

F-10

01-22-2015

Редакция

Изменение “use“ на “usage” в AC-2(12) часть (a).

F-10

01-22-2015

Редакция

Изменение “policies“ на “policy” в AC-3(3).

F-11

01-22-2015

Редакция

Удаление “specifies that” в AC-3(3).

F-11

01-22-2015

Редакция

Изменение “The policy is“ на “Is” в AC-3(3) часть (a).

F-11

01-22-2015

Редакция

Изменение “A“ на “Specifies that a” в AC-3(3) часть (b).

F-11

01-22-2015

Редакция

Добавление “Specifies that“ к AC-3(3) часть (c).

F-11

01-22-2015

Редакция

Изменение “Organized-defined“ на “organization-defined” в AC-3(3) часть (c).

F-11

01-22-2015

Редакция

Изменение “policies“ на “policy” в AC-3(4).

F-12

01-22-2015

Редакция

Добавление “information“ перед “flows” в AC-4(7).

F-15

01-22-2015

Редакция

Добавление “ROLE-BASED“ перед “SECURITY TRAINING” в AT-3(1) название.

F-39

01-22-2015

Редакция

Добавление “ROLE-BASED“перед “SECURITY TRAINING” в AT-3(2) название.

F-39

01-22-2015

Редакция

Добавление “ROLE-BASED“перед “SECURITY TRAINING” в AT-3(3) название.

F-39

01-22-2015

Редакция

Добавление “ROLE-BASED“перед “SECURITY TRAINING” в AT-3(4) название.

F-39

01-22-2015

Редакция

Добавление “the” перед “relationship” в AU-12(1).

F-52

01-22-2015

Редакция

Перенос “.”за пределы закрывающей квадратной скобки в изъятом разделе.

F-61

01-22-2015

Редакция

Изменение “that“ на “those” в CP-7 часть c.

F-84

01-22-2015

Редакция

Удаление “list of“ в IA-2(10).

F-92

01-22-2015

Редакция

Удаление “such as documentary evidence or a combination of documents and biometrics“ в IA-4(3).

F-95

01-22-2015

Редакция

Добавление “, such as documentary evidence or a combination of documents and biometrics,“ в IA-4(3) Supplemental Guidance.

F-95

01-22-2015

Редакция

Добавление “-BASED“ к “BIOMETRIC” в IA-5(12) название.

F-98

01-22-2015

Редакция

Изменение “testing/exercises“ на “testing” в IR-4 часть c.

F-105

01-22-2015

Редакция

Удаление “and“ перед “prior” в MA-4(3) часть (b).

F-115

01-22-2015

Редакция

Изменение “Sanitation“ на “Sanitization” в MP-7(2) Supplemental Guidance (два раза).

F-125

01-22-2015

Редакция

Изменение “resign“ на “re-sign” в PL-4 часть d.

F-141

01-22-2015

Редакция

Удаление “security categorization decision is reviewed and approved by the“ перед “authorizing” (первый раз) в RA-2 часть c.

F-151

01-22-2015

Редакция

Добавление “reviews and approves the security categorization decision“ после “representative” RA-2 часть c.

F-151

01-22-2015

Редакция

Изменение “;“ на “,” после IA-2 в SA-4(10) Supplemental Guidance.

F-160

01-22-2015

Редакция

Добавление “takes“ перед оператором присваивания в SA-5 часть c.

F-161

01-22-2015

Редакция

Изменение “either is“ на “is either” в SA-11(3) часть (b).

F-167

01-22-2015

Редакция

Удаление “has been“ перед “granted” в SA-11(3) часть (b).

F-167

01-22-2015

Редакция

Удаление “/ ANALYSIS“ после “PENETRATION TESTING” в SA-11(5) название.

F-168

01-22-2015

Редакция

Удаление “enhancement“ после “control” в SA-12 Supplemental Guidance.

F-169

01-22-2015

Редакция

Удаление “Related control: PE-21.” из SA-12(9) Supplemental Guidance.

F-171

01-22-2015

Редакция

Изменение “reference to source“ на “references to sources” в SC-5.

F-187

01-22-2015

Редакция

Добавление “to be“ перед “routed to” в SC-7(11).

F-190

01-22-2015

Редакция

Изменение “i“ на “1” и “ii” на “2” в SI-4 часть c.

F-219

01-22-2015

Редакция

Изменение “USER“ на “USERS” в SI-4(20) название.

F-223

01-22-2015

Редакция

Удаление “for“ в SI-6(2).

F-225

01-22-2015

Редакция

Изменение “interfaces” на “interactions” в SI-10(4) Supplemental Guidance.

F-229

01-22-2015

Редакция

Изменение “-“ на “,” после AU-7 в PM-12 Дополнительное руководство.

G-8

01-22-2015

По существу

Обновление введения к Приложению H и Таблицам H-1 и H-2 в соответствии с версией ISO/IEC 27001 2013 года и пересмотр методологии отображения мер безопасности.

H-1 до H-12

01-22-2015

Редакция

Удаление UL-3 из связанных мер безопасности, перечисленных в SE-1.

J-20















1   2   3   4   5   6   7   8   9   ...   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница