Объединенная экспертная группа по инициативе преобразования


Минимальные требования доверия - Системы высокого уровня воздействия



страница34/48
Дата09.05.2018
Размер6.15 Mb.
1   ...   30   31   32   33   34   35   36   37   ...   48

Минимальные требования доверия - Системы высокого уровня воздействия

Требование доверия: Организация, базируясь на ее требования безопасности, политику безопасности и необходимые возможности безопасности, ожидает: (i) высокую стойкость функциональности безопасности; и (ii) высокий уровень уверенности, поддержанный глубиной и покрытием соответствующего свидетельства безопасности, что функциональность безопасности полна, непротиворечива и корректна.

Дополнительное руководство: Функциональность и доверие безопасности для систем высокого уровня воздействия достигаются реализацией мер безопасности адаптированного базового набора мер высокого уровня из Приложения D. Требования доверия для систем высокого воздействия (включая компоненты информационной технологии, которые являются частью этих систем), добавляют к ожиданиям в умеренном уровне доверия: (i) включение самого высокого уровня возможностей безопасности COTS, которые следуют из приложения обычно принимаемых лучших коммерческих методов разработки для того, чтобы уменьшить уровень скрытых дефектов, некоторые специальные разработки и дополнительную оценку реализованных возможностей. Вследствие высокой стойкости функциональности, ожидаемой для систем высокого воздействия, глубина/ покрытие свидетельства безопасности102 является более всесторонней, чем свидетельства, произведенного для систем умеренного воздействия. Хотя свидетельство, может быть в масштабе того, что обеспечивается производителями, поставщиками и торговыми посредниками COTS, тем не менее, может требоваться большее доверие от независимых поставщиков оценки. Свидетельство глубины/покрытия дополняется результатами дополнительных оценок мер безопасности и постоянным мониторингом информационных систем организации/сред эксплуатации. Помимо основанной на технологии функциональности, имеется высокий уровень уверенности в законченности, корректности и согласованности процедурной и/или эксплуатационной функциональности безопасности (например, политик, процедур, физической безопасности и безопасности персонала). Требования доверия, определенные в форме связанных с разработкой и эксплуатационных мер обеспечения доверия для систем высокого уровня воздействия, перечислены в Таблице E-3. Организации, посредством процесса адаптации (включая оценку риска организации), могут добавлять другие, связанные с доверием меры безопасности и/или улучшения мер безопасности к набору, включенному в Таблицу E-3.

ТАБЛИЦА E-3: СВЯЗАННЫЕ С ДОВЕРИЕМ МЕРЫ БЕЗОПАСНОСТИ ДЛЯ СИСТЕМ ВЫСОКОГО УРОВНЯ ВОЗДЕЙСТВИЯ103

ID

МЕРЫ БЕЗОПАСНОСТИ

ID

МЕРЫ БЕЗОПАСНОСТИ

AC

AC-1

MP

MP-1

AT

AT-1, AT-2, AT-2(2), AT-3, AT-4

PE

PE-1, PE-6, PE-6(1), PE-6(4), PE-8

AU

AU-1, AU-6, AU-6(1), AU-6(3), AU-6(5), AU-6(6), AU-7, AU-7(1), AU-10

PL

PL-1, PL-2, PL-2(3), PL-4, PL-4(1), PL-8

CA

CA-1, CA-2, CA-2(1), CA-2(2), CA-3, CA-5, CA-6, CA-7, CA-7(1), CA-8, CA-9

PS

PS-1, PS-6, PS-7

CM

CM-1, CM-2, CM-2(1), CM-2(2), CM-2(3), CM-2(7), CM-3, CM-3(1), CM-3(2), CM-4, CM-4(1), CM-8, CM-8(1), CM-8(2), CM-8(3), CM-8(4), CM-8(5)

RA

RA-1, RA-3, RA-5, RA-5(1), RA-5(2), RA-5(4), RA-5(5)

CP

CP-1, CP-3, CP-3(1), CP-4, CP-4(1), CP-4(2)

SA

SA-1, SA-2, SA-3, SA-4, SA-4(1), SA-4(2), SA-4(9), SA-4(10), SA-5, SA-8, SA-9, SA-9(2), SA-10, SA-11, SA-12, SA-15, SA-16, SA-17

IA

IA-1

SC

SC-1, SC-2, SC-3, SC-7(18), SC-7(21), SC-24, SC-39

IR

IR-1, IR-2, IR-2(1), IR-2(2), IR-3, IR-3(2), IR-5, IR-5(1)

SI

SI-1, SI-4, SI-4(2), SI-4(4), SI-4(5), SI-5, SI-5(1), SI-6, SI-7, SI-7(1), SI-7(2), SI-7(5), SI-7(7), SI-7(14), SI-10, SI-16

MA

MA-1

Меры безопасности для достижения повышенного доверия

Хотя связанные с доверием меры безопасности, представленные в предыдущих разделах для низкого, умеренного и высокого базовых наборов мер, обеспечивают минимальные требования доверия, организации могут, с течением времени, захотеть повысить уровень доверия в своих информационных системах - увеличивая уровень доверенности соответственно. Это выполняется путем добавления связанных с доверием мер безопасности к мерам в базовых наборах, чтобы увеличить и стойкость функциональности безопасности и степень уверенности, что функциональность корректна, полна и непротиворечиво - создавая функциональность, очень стойкую к проникновению, фальсификации или обходу. Функциональность безопасности, которая является очень стойкой к проникновению, фальсификации и обходу требует существенного объема работ со стороны противников, чтобы поставить под угрозу конфиденциальность, целостность или доступность информационной системы или системных компонентов, где эта функциональность используется.



Так как высоко-доверенные продукты информационных технологий могут быть более дорогостоящими и труднодостижимыми, организации могут хотеть разделять свои информационные системы на отдельные подсистемы, чтобы изолировать критические компоненты и сфокусировать усилия по высокому доверию на более узко определенном подмножестве информационных ресурсов. Организациям, которые считают решения по информационным технологиям высокого доверия труднодостижимыми, вероятно, придется положиться в большей степени на процедурные или эксплуатационные меры защиты, чтобы гарантировать успех в предназначении и деятельности. Это включает, например, реинжиниринг критических процессов предназначения и деятельности, чтобы быть менее восприимчивым к угрозам высокого уровня. Таблица E-4 представляет дополнительные, связанные с разработкой и эксплуатационные действия (например, в семействах мер безопасности SA, SI и CM), которые организации могут выбрать, чтобы достигнуть повышенного уровня доверия (включительно до высокого уровня доверия). Список связанных с доверием мер безопасности не является исчерпывающим. Организации, во время процесса адаптации, могут определять другие меры безопасности, как связанные с доверием, и добавлять к набору мер в Таблице E-4.

ТАБЛИЦА E-4: МЕРЫ БЕЗОПАСНОСТИ ДЛЯ ПОВЫШЕННОГО ДОВЕРИЯ104

ID

МЕРЫ БЕЗОПАСНОСТИ

ID

МЕРЫ БЕЗОПАСНОСТИ

AC

AC-25

MP

Нет дополнительных мер

AT

AT-2(1), AT-3(все улучшения)

PE

PE-6(2), PE-6(3)

AU

AU-6(4), AU-6(7), AU-6(8), AU-6(9), AU-6(10), AU-10(все улучшения), AU-11(1), AU-13(плюс улучшения), AU-14(плюс улучшения)

PL

PL-8(все улучшения), PL-9

CA

CA-2(3), CA-5(1), CA-7(3), CA-8(все улучшения), CA-9(1)

PS

PS-6(2), PS-6(3)

CM

CM-2(6), CM-4(2), CM-8(6), CM-8(7), CM-8(8), CM-8(9)

RA

RA-5(3), RA-5(6), RA-5(8), RA-5(10), RA-6

CP

CP-3(2), CP-4(3), CP-4(4), CP-12

SA

SA-4(3), SA-4(5), SA-4(6), SA-4(7), SA-4(8), SA-9(1), SA-9(3), SA-9(4), SA-9(5), SA-10(все улучшения), SA-11(все улучшения), SA-12(все улучшения), SA-13, SA-14, SA-15(все улучшения), SA-17(все улучшения), SA-18(плюс улучшения), SA-19(плюс улучшения), SA-20, SA-21(плюс улучшение), SA-22(плюс улучшение)

IA

Нет дополнительных мер

SC

SC-2(1), SC-3(все улучшения), SC-6, SC-7(22), SC-11(плюс улучшение), SC-29(плюс улучшение), SC-30(плюс улучшения), SC-31(плюс улучшения), SC-32, SC-34(плюс улучшения), SC-36(плюс улучшение), SC-37(плюс улучшение), SC-38, SC-39(все улучшения)

IR

IR-3(1)

SI

SI-4(1), SI-4(3), SI-4(7), SI-4(9), SI-4(10), SI-4(11), SI-4(12), SI-4(13), SI-4(14), SI-4(15), SI-4(16), SI-4(17), SI-4(18), SI-4(19), SI-4(20), SI-4(21), SI-4(22), SI-4(23), SI-4(24), SI-7(3), SI-7(6), SI-7(8), SI-7(9), SI-7(10), SI-7(11), SI-7(12), SI-7(13), SI-7(15), SI-7(16), SI-10(все улучшения), SI-13(плюс улучшения), SI-14(плюс улучшение), SI-15, SI-17

MA

Нет дополнительных мер



ПРИЛОЖЕНИЕ F

КАТАЛОГ МЕР БЕЗОПАСНОСТИ

МЕРЫ БЕЗОПАСНОСТИ, УЛУЧШЕНИЯ И ДОПОЛНИТЕЛЬНЫЕ РУКОВОДСТВА

Каталог мер безопасности в этом приложении содержит совокупность мер защиты и контрмер для организаций и информационных систем.105 Меры безопасности были разработаны, чтобы облегчить соответствие с применимыми федеральными законами, правительственными распоряжениями, директивами, политиками, нормитивными актами, стандартами и руководствами.106 Организация каталога мер безопасности, структура мер и концепция назначения мер безопасности и улучшений мер безопасности в начальные базовые наборы мер безопасности в Приложении D описана в Главе Два. Меры безопасности в каталоге, за редким исключением, были разработаны так, чтобы быть нейтральными относительно политики и технологий. Это означает, что меры безопасности и улучшения мер сосредотачиваются на фундаментальных мерах защиты и контрмерах, необходимых, чтобы защитить информацию во время обработки, в период хранения и во время передачи. Поэтому, представление о приложении мер безопасности к конкретным технологиям, сообществам интересов, средам эксплуатации или функциям предназначений/деятельности выходит за рамки этой публикации. Эти области определяются при помощи процесса адаптации, описанного в Главе Три и разработки оверлеев, описанных в Приложении I.

В немногих случаях, когда конкретные технологии указаны в мерах безопасности (например, мобильные устройства, PKI, беспроводная связь, VOIP), организации должны учитывать, что необходимость обеспечить адекватную безопасность находится за пределами требований к единственной мере безопасности, связанной с определенной технологией. Многие из необходимых мер защиты/контрмер получены из других мер безопасности в каталоге, назначенных начальным базовым наборам мер безопасности как начальной точке для разработки планов обеспечения безопасности и оверлеев, используя процесс адаптации. В дополнение к управляемой организацией разработке специализированных планов обеспечения безопасности и оверлеев, Специальные публикации и Межведомственные отчеты NIST могут дать представление о рекомендуемых мерах безопасности для конкретных технологий и приложений, специфичных для конкретной области (например, умные сети, здравоохранение, индустриальные системы управления и мобильные устройства).

Использование каталога мер безопасности нейтрального относительно политики и технологий обладает следующими преимуществами:

• Это поощряет организации сосредотачиваться на возможностях безопасности, требуемых для успеха в предназначении/деятельности и защите информации, независимо от информационных технологий, которые использованы в информационных системах организации;

• Это поощряет организации анализировать каждую меру безопасности по ее применимости для конкретных технологий, сред эксплуатации, функций предназначения/деятельности и сообществ интересов; и

• Это поощряет организации уточнять политику безопасности как часть процесса адаптации для мер безопасности, у которых есть переменные параметры.

Например, организации, использующие смартфоны, планшеты или другие типы мобильных устройств, запустили бы процесс адаптации, предполагая, что все меры безопасности и улучшения мер в соответствующем базовом наборе (низком, умеренном или высоком) необходимы. Процесс адаптации может иметь результат в исключении некоторых мер безопасности по ряду причин, включая, например, неспособность технологии поддержать реализацию мер безопасности. Однако устранение таких мер безопасности, без понимания потенциально неблагоприятного воздействия на функции предназначения и деятельности организаций, может значительно увеличить риск информационной безопасности и должно быть тщательно проанализировано. Этот тип анализа важен для организаций, чтобы принять эффективные, основанные на риске решения, включая выбор соответствующих компенсирующих мер безопасности, когда рассматривается использование этих появляющихся мобильных устройств и технологий. Конкретизация планов обеспечения безопасности с использованием руководства по адаптации и оверлеев вместе с исчерпывающим набором мер безопасности нейтральных относительно политики и технологий, способствует рентабельной, основанной на риске информационной безопасности для организаций - в любом секторе, для любой технологии и в любой среде эксплуатации.

Меры безопасности в каталоге, как ожидается, будут изменяться с течением времени, поскольку меры будут исключаться, пересматриваться и добавляться. Чтобы поддерживать устойчивость в планах обеспечения безопасности и автоматизированных инструментах, поддерживающих реализацию Специальной публикации 800-53, меры безопасности не будут перенумеровываться каждый раз, когда мера безопасности исключена. Скорее нотации мер безопасности, которые были исключены, будут поддерживаться в каталоге для исторического назначения. Меры безопасности исключаются по множеству причин, включая, например: возможности безопасности, обеспечиваемые изъятой мерой безопасности, были включены в другую меру безопасности; возможности безопасности, обеспечиваемые изъятой мерой, избыточны по отношению к существующей мере безопасности; или мера безопасности, как считается, больше не является необходимой.

Иногда могут быть повторы в требованиях, содержащихся в мерах безопасности и улучшениях мер, которые являются частью каталога мер безопасности. Эти повторы в требованиях предназначены, чтобы усилить требования с точки зрения разнообразных мер безопасности и/или улучшений. Например, требование для строгой идентификации и аутентификации при проведении удаленных работ поддержки, появляется в семействе MA в конкретном контексте работ поддержки систем, проводимых организациями. Требование идентификации и аутентификации также появляется в более общем контексте в семействе IA. Хотя эти требования кажутся избыточными (то есть, накладываются), они, фактически, взаимно укрепляют и не предназначены, чтобы требовать дополнительных усилий от организаций в разработке и реализации программ обеспечения безопасности.


Совет по реализации

Новые меры безопасности и улучшения мер безопасности будут разрабатываться на регулярной основе, используя практическую информацию от угроз национального уровня и баз данных уязвимостей, а так же информацию относительно тактики, технологий и процедур, используемых противниками в проведении кибератак. Предложенные модификации к мерам безопасности и базовым наборам мер безопасности будут тщательно взвешены во время каждого цикла пересмотра, учитывая требование устойчивости каталога мер безопасности и потребности ответить на изменяющиеся угрозы, уязвимости, методы атак и информационные технологии. Главная цель состоит в том, чтобы повышать базовый уровень информационной безопасности в течение долгого времени. Организации могут разрабатывать новые меры безопасности, когда требуются конкретные возможности безопасности и соответствующие меры безопасности отсутствуют в Приложениях F или G.






ХАРАКТЕРИСТИКИ КЛАССОВ МЕР БЕЗОПАСНОСТИ

ХАРАКТЕРИСТИКА УПРАВЛЕНЧЕСКИХ, ЭКСПЛУАТАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР

Поскольку у многих мер безопасности в семействах мер безопасности в Приложении F есть различные комбинации управленческих, эксплуатационных и технических свойств, конкретные характеристики классов были удалены из семейств мер безопасности. Организации могут, однако, счесть полезным применять такие характеристики к отдельным мерам безопасности и улучшениям мер безопасности или к отдельным разделам определенной меры безопасности/улучшения. Организации могут счесть выгодным, чтобы использовать характеристики классов, как способ сгруппировать или сослаться на меры безопасности. Характеристики классов могут также помочь организации в процессе выделения мер безопасности и улучшений мер в случае: (i) ответственных частей или информационных систем (например, общих или гибридных мер безопасности); (ii) конкретных ролей; и/или (iii) конкретных компонентов систем. Например, организации могут решить, что ответственность за специфичные для систем меры безопасности, которые они поместили в класс управленческих, принадлежат владельцу информационной системы, меры безопасности, помещенные в эксплуатационный класс, принадлежат сотруднику безопасности информационной системы (ISSO), и меры безопасности, помещенные в технический класс, принадлежат одному или более системным администраторам. Этот пример предназначен, чтобы иллюстрировать потенциальное использование обозначения классов для мер безопасности и/или улучшений мер; он не предназначен, чтобы предложить или потребовать дополнительных задач для организаций.





ПРЕДОСТЕРЕЖЕНИЕ

РАЗРАБОТКА СИСТЕМ, КОМПОНЕНТОВ И СЕРВИСОВ

С возобновлением акцента на доверенность информационных систем и безопасность цепочки поставок, важно, что у организаций есть возможность определить их требования информационной безопасности с ясностью и спецификой, чтобы затронуть отрасль информационной технологии и получить системы, компоненты, и сервисы, необходимые для предназначения и успеха в бизнесе. Чтобы гарантировать, что у организаций есть такая возможность, Специальная публикация 800-53 содержит ряд мер безопасности в семействе «Закупки систем и сервисов» (то есть, в семействе SA), определяющих требования для разработки информационных систем, продуктов информационных технологий и сервисов информационных систем. Поэтому, многие из мер безопасности в семействе SA адресованы разработчикам этих систем, компонентов и сервисов. Для организаций важно понимать, что область мер безопасности в семействе SA включает разработку всех систем/компонентов/сервисов и разработчиков, связанных с такой разработкой, независимо от того, проводится ли разработка внутренним персоналом организации или внешними разработчиками посредством процессов заключения контракта/приобретения. Затрагиваемые меры безопасности включают SA-8, SA-10, SA-11, SA-15, SA-16, SA-17, SA-20, и SA-21.



Основные принципы каталога

Меры безопасности и улучшения мер в Приложениях F и G в целом разработаны, чтобы быть нейтральными в отношении к политике и независимыми от технологий/реализация. Организации конкретизируют информацию о мерах безопасности и улучшениях мер двумя способами:

• Определяя детали реализации мер безопасности (например, зависимость от платформы) в соответствующем плане обеспечения безопасности для информационной системы или плане программы обеспечения безопасности организации; и

• Устанавливая конкретные значения в переменных разделах выбранных мер безопасности с помощью операций назначения и выбора.

Операции присвоения и выбора предоставляют организациям возможность специализировать меры безопасности и улучшения мер, основанные на требованиях безопасности организации или требованиях, вытекающих из федеральных законов, правительственных распоряжений, директив, политик, нормитивных актов, стандартов или руководств. Определенные организацией параметры, используемые в операциях назначения и выбора в основных мерах безопасности, применяются также ко всем улучшениям мер безопасности, связанных с этими мерами безопасности. Улучшения мер безопасности усиливают фундаментальную возможность безопасности в основной мере безопасности, но не являются заменой тому, чтобы использовать операции назначения или выбора для обеспечения большей специфики мер безопасности. Операции назначения для мер безопасности и улучшений мер безопасности не содержат минимальные или максимальные значения (например, проверка планов действий при непредвиденных обстоятельствах, по крайней мере, ежегодно). Организации должны сверяться с конкретными федеральными законами, правительственными распоряжениями, директивами, нормитивными актами, политиками, стандартами или руководствами как первичными источниками такой информации. Отсутствие минимальных и максимальных значений мер безопасности и улучшений мер не устраняет для организаций необходимость выполнения требований исходных публикаций мер безопасности.

Первая мера безопасности в каждом семействе (то есть, мера безопасности - 1) определяет требования для конкретных политик и процедур, которые необходимы для эффективной реализации других мер безопасности в семействе. Поэтому, отдельные меры безопасности и улучшения мер в конкретном семействе не говорят о разработке таких политик и процедур. Дополнительные разделы руководства мер безопасности и улучшений мер не содержат каких-либо требований или ссылок на FIPS или Специальные публикации NIST. Публикации NIST, однако, включены в раздел ссылок для каждой меры безопасности.

В поддержку инициативы Объединенной экспертной группы разработать единую основу информационной безопасности для федерального правительства, в это приложение включены меры безопасности и улучшения мер для систем национальной безопасности. Включение таких мер безопасности и улучшений не предназначено, чтобы предъявить требования безопасности к организациям, которые управляют системами национальной безопасности. Скорее организации могут использовать меры безопасности и улучшения мер на добровольной основе с одобрения федеральных должностных лиц, имеющих полномочия санкционирования по системам национальной безопасности. Кроме того, приоритеты мер безопасности и базовые наборы мер безопасности, перечисленные в Приложении D и в сводных блоках приоритетов и базовых наборов, находящихся ниже каждой меры безопасности в Приложении F, применяются к системам, не относящимся к национальной безопасности, только если иное не предписано федеральными должностными лицами с полномочиями по политике национальной безопасности.

Использование каталога

Организации используют меры безопасности107 в федеральных информационных системах и средах, в которых эти системы работают, в соответствии с FIPS Публикацией 199, FIPS Публикацией 200 и Специальными публикациями NIST 800-37 и 800-39. Категорирование безопасности федеральной информации и информационных систем, как требуется FIPS Публикацией 199, является первым шагом в RMF.108 Затем, организации выбирают соответствующий набор мер безопасности для их информационных систем, удовлетворяя минимальные требования безопасности, сформулированные в FIPS публикации 200. Приложение D включает три базовых набора мер безопасности, которые связаны с определяемыми уровнями воздействия информационные системы, как определено во время процесса категорирования безопасности.109 После выбора базового набора мер, организации адаптируют базовые наборы путем: (i) идентифицикации/ определения общих мер безопасности; (ii) применения объектовых особенностей; (iii) выбора, если необходимо, компенсирующих мер безопасности; (iv) назначения величин параметров мер безопасности в операциях выбора и назначения; (v) дополнения базовых наборов мер безопасности дополнительными мерами безопасности и улучшениями мер из каталога мер безопасности; и (vi) предоставления дополнительной информации для реализации мер безопасности. Организации могут также использовать процесс адаптации базовых наборов мер совместно с концепцией оверлеев, которая описана в Разделе 3.2 и Приложении I. Оценки степени риска, как описано в Специальной публикации NIST 800-30, являются руководством и информацией к процессу выбора мер безопасности.110



ПРЕДОСТЕРЕЖЕНИЕ

ИСПОЛЬЗОВАНИЕ КРИПТОГРАФИИ

Если для защиты информации, основанной на выборе мер безопасности в Приложении F и последующей реализации информационными системами организации, требуется криптография, криптографические механизмы должны соответствовать применимым федеральным законам, правительственным распоряжениям, директивам, политике, нормитивным актам, стандартам и руководствам. Это включает, одобренную NSA криптографию для защиты классифицированной информации, оценённую на соответствие FIPS криптографию для защиты неклассифицированной информации и одобренные NSA и совместимые с FIPS технологии и процессы управления ключами. Меры безопасности SC-12 и SC-13 предоставляют конкретную информацию о выборе соответствующих криптографических механизмов, включая стойкость таких механизмов.

Каталог мер безопасности представлен на страницах F-7…F-233 NIST Special Publication 800-53 Revision 4.



1   ...   30   31   32   33   34   35   36   37   ...   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница