Объединенная экспертная группа по инициативе преобразования


UL Ограничение на использование



страница47/48
Дата09.05.2018
Размер6.15 Mb.
1   ...   40   41   42   43   44   45   46   47   48

UL

Ограничение на использование

UL-1

Внутреннее использование

UL-2

Совместное использование информации с третьими сторонами

Есть большое сходство между структурой мер приватности в этом приложении и структурой мер безопасности в Приложениях F и G. Например, мера AR-1 (Управление и Программа приватности) требует, чтобы организации разработали планы обеспеченич приватности, которые могут быть реализованы на уровне организации или уровне программы. Эти планы могут также использоваться в соединении с планами обеспечения безопасности, чтобы предоставить возможность организациям выбрать соответствующий набор мер безопасности и приватности в соответствии с требованиями предназначения/деятельности организации и средами, в которых работают организации. Включение фундаментальных концепций, связанных с управлением рисками информационной безопасности помогает гарантировать, что использование мер приватности осуществляется в рентабельном и основанном на риске способе, одновременно удовлетворяя согласующиеся требования. Стандартизированные меры приватности и процедуры оценки (разработанные, чтобы оценить эффективность мер безопасности) обеспечат более дисциплинированный и структурированный подход для того, чтобы он удовлетворял федеральные требования приватности и демонстрировал согласие с этими требованиями.

В целом, Приложение приватности выполняет нескольких важных задач. Приложение:

Обеспечивает структурированный набор мер приватности, основанных на лучших практиках, который помогает организациям выполнить применимые федеральные законы, Правительственные распоряжения, директивы, инструкции, нормитивные акты, политики, стандарты, руководства и специфичные для организации документы;

Устанавливает взаимосвязь и отношение между мерами обеспечения приватности и безопасности с целью определения соответствующих требований приватности и безопасности, которые могут наложиться в концепции и в реализации в федеральных информационных систем, программ и организаций;

Демонстрирует применимость Основы управления рисками NIST при выборе, реализации, оценке и постоянном мониторинге мер приватности, развернутых в федеральных информационных системах, программах и организациях; и

Способствует более тесному сотрудничеству между должностными лицами приватности и безопасности в федеральном правительстве, чтобы помочь достигнуть целей высших руководителей/ответственных в определении требований в федеральном законодательстве по приватности, политиках, нормитивных актах, директивах, стандартах и руководствах.



КАК ИСПОЛЬЗОВАТЬ ЭТО ПРИЛОЖЕНИЕ

Меры приватности, выделены в этой публикации главным образом для использования Высшим должностным лицом агентства по приватности (SAOP) / Директором по приватности (CPO) при работе с диспетчерами программ, владельцами предназначения/деятельности, владельцами/управляющими информацией, Директорами по информации, Директорами по безопасности, разработчиками/интеграторами информационных систем и ответственными за риски, чтобы определять, как лучше всего внедрить эффективную защиту приватности и практики (то есть, меры приватности) в рамках программ организации и информационных систем и сред, в которых они работают. Меры приватности облегчают усилия организации в выполнении требований приватности, влияющих на те программы и/или системы организаций, которые собирают, используют, поддерживают, предоставляют в общий доступ или ликвидируют персональную идентификационную информацию (PII) или других действий, которые повышают риски приватности. В то время как меры безопасности в Приложении F назначены низкому, умеренному и высокому уровням базовых мер безопасности в Приложении D, меры приватности выбраны и реализованы, основываясь на требованиях приватности организаций и потребности защитить PII людей, собираемых и поддерживаемых информационными системами и программами организаций, в соответствии с федеральным законодательством по приватности, политиками, директивами, нормитивными актами, руководствами и лучшими практиками.

Организации анализируют и применяют каждую меру приватности относительно своих конкретных потребностей предназначения/деятельности и эксплуатации, основанных на их юридических полномочиях и обязанностях. Реализация мер приватности может измениться, основываясь на этом анализе (например, организации, которые определены, как застрахованные сущности в соответствии с Законом о переносимости и подконтрольности медицинского страхования [HIPAA], могут иметь дополнительные требования, которые конкретно не перечислены в этой публикации). Это облегчает организациям определить информационные практики, которые совместимы с законом и политикой и те, которые, возможно, необходимо рассмотреть. Это также облегчает организации адаптировать меры приватности, чтобы удовлетворить их определенные и конкретные потребности на уровне организации, уровне процесса предназначения/деятельности и уровне информационной системы. Организации с национальной безопасностью или правоохранительные органы принимают во внимание эти полномочия так же как и интересы приватности в определении того, как применять меры приватности в их эксплуатационных средах. Точно так же организации, подчиненные Закону о защите конфиденциальной информации и статистической эффективности (CIPSEA), реализуют меры приватности, непротиворечивые с этим законом. Все организации реализуют меры приватности, непротиворечивые с Законом о неприкосновенности частной жизни 1974, 5 U.S.C. § 552a согласно любым исключениям и/или льготам.

Улучшения мер приватности, описанные в Приложении J, отражают лучшие практики, которые организации должны стремиться достигнуть, но не являются обязательными. Организации должны решить, когда применить улучшения мер приватности, чтобы поддержать их установленные функции предназначения/деятельности. Конкретные оверлеи для приватности, разработанные в соответствии с руководством в Разделе 3.2 и Приложении I, могут также рассматриваться для облегчения адаптации базовых наборов мер безопасности в Приложении D с необходимыми мерами приватности, чтобы гарантировать, что требования и безопасности и приватности могут быть удовлетворены организациями. Многие из мер безопасности в Приложении F обеспечивают фундаментальную защиту информации для конфиденциальности, целостности и доступности в информационных системах организаций и средах, в которых эти системы применяются - защита, которая важна для сильной и эффективной приватности.

Организации документируют согласованные меры приватности, которые будут реализованы в программах и информационных системах организаций и средах, в которых они работают. Меры приватности, на усмотрение реализующих организаций, могут быть задокументированы в отдельный план обеспечения приватности или включены в другие документы управления рисками (например, планы обеспеченич безопасности системы). Организации также устанавливают соответствующие методологии оценки, чтобы определить степень, до которой меры приватности реализованы правильно, работают как предназначено и производя желаемый результат относительно удовлетворения установленных требований приватности. Оценки организациями мер приватности могут быть проведены SAOP/CPO самостоятельно или совместно с другими службами организации по управлению рисками, включая службу информационной безопасности.





Совет по реализации

  • Выберите и реализуйте меры приватности, основанные на требованиях приватности организаций и потребности защитить персональную идентификационную информацию (PII) людей, собраемую и поддерживаемую системами и программами.

  • Координируйте выбор и реализацию мер приватности с Функцией Ответственного за риски организации, владельцами предназначения/деятельности, архитекторами предприятия, Директором по информации, SAOP/CPO и Директором по информационной безопасности.

  • Рассмотрите меры приватности в Приложении J с той же самой точки зрения как меры управления программой в Приложении G - то есть, меры обеспечения должны быть реализованы для каждой информационной системы организации независимо от категорирования по FIPS 199 для этой системы.

  • Выберите и реализуйте дополнительные улучшения мер приватности, когда есть показанная потребность в дополнительной защите приватности для людей и PII.

  • Примените меры приватности, непротиворечивые с любыми конкретными исключениями и льготами, включенными в законодательство, Правительственные распоряжения, директивы, политики и нормитивные акты (например, обеспечение правопорядка или рассмотрения национальной безопасности).

Каталог мер приватности представлен на страницах J-6…J-25 NIST Special Publication 800-53 Revision 4.




1 Информационная система - дискретный набор информационных ресурсов, специально организованных для сбора, обработки, поддержки, использования, распределения, распространения или ликвидации информации. Информационные системы также включают специализированные системы, такие как индустриальные системы/системы управления процессами, телефонные коммутаторы/офисные мини-АТС и системы контроля за состоянием окружающей среды. Информационные системы могут быть рассмотрены с логической и физической точек зрения, как сложная система систем, когда есть множественные системы, объединенные с высокой степенью связности и взаимодействия между системами.

2 Деятельность организаций включает предназначение, функции, имидж и репутацию.

3 Термин "организация" описывает сущность любого размера, сложности или позиции в пределах организационной структуры (например, федеральное агентство или, если применимо, любой из его операционных элементов).

4 Требования безопасности получены из предназначения/потребностей деятельности, законов, Правительственных распоряжений, директив, постановлений, политик, инструкций, стандартов, нормативных актов и/или процедур, чтобы гарантировать конфиденциальность, целостность и доступность информации, обрабатываемой, хранимой или передаваемой информационными системами организаций.

5 Эффективность мер безопасности определяет степень, до которой меры безопасности реализованы правильно, применяются как предназначено и производят желаемый результат относительно соответствия требованиям безопасности для информационной системы в ее среде эксплуатации или осуществляют/проводят установленную политику безопасности.

6 Риски, связанные с информационной безопасностью, - это риски, которые являются результатом потери конфиденциальности, целостности или доступности информации или информационных систем и оказывают потенциально неблагоприятные воздействия на деятельность и активы организаций, людей, другие организации и Нацию.

7 Меры безопасности управления программой (Приложение G) дополняют меры безопасности для информационной системы (Приложение F), сосредотачиваясь на требованиях информационной безопасности общих для организации, которые независимы от любой определенной информационной системы и важны для управления программами информационной безопасности.

8 Это включает риск для американской критической инфраструктуры/ключевых ресурсов, как описано в Президентской Директиве национальной безопасности 7.

9 Компоненты информационной системы включают, например, мэйнфреймы, рабочие станции, серверы (например, баз данных, электронной почты, аутентификации, сети, прокси, файлов, доменных имён), устройства ввода-вывода (например, сканеры, копировальные устройства, принтеры), сетевые компоненты (например, межсетевые экраны, маршрутизаторы, шлюзы, переключатели речи и данных, контроллеры обработки, точки доступа, сетевые устройства, датчики), операционные системы, виртуальные машины, промежуточное программное обеспечение и приложения.

10 Федеральная информационная система - информационная система, которая используется или управляется исполнительным агентством, подрядчиком исполнительного агентства или другой организацией от имени исполнительного агентства.

11 Система национальной безопасности - любая информационная система (включая любую телекоммуникационную систему) используемая или управляемая агентством или подрядчиком агентства, или другой организацией от имени агентства - (i) функция, деятельность или использование которой включает разведывательную деятельность; включает криптологические работы, связанные с национальной безопасностью; включает руководство и управление вооруженными силами; включает оборудование, которое является неотъемлемой частью оружия или системы оружия; или является критической по отношению к прямому выполнению военных задач или задач разведки (исключая системы, которые должны использоваться для стандартных административных и бизнес приложений, например, платежей, финансов, логистики и приложений управления персоналом); или, (ii) защищена постоянно процедурами, установленными для информации, которая была специально определена критериями, установленными Правительственным распоряжением или законом конгресса быть классифицированной в интересах национальной обороны или внешней политики. [44 U.S.C. США, Секция 3542].

12 Инструкция 1253 CNSS обеспечивает руководство реализации для систем национальной безопасности.

13 На уровне агентства эта позиция известна как Высший сотрудник по информационной безопасности Агентства. Организации могут также именовать эту позицию как Высший сотрудник информационной безопасности или Директор по информационной безопасности.

14 Требования безопасности - требования, предписанные информационной системе, которые получены из законов, Правительственных распоряжений, директив, политик, инструкций, нормативных актов, стандартов, руководств, или потребностей организации (предназначения) гарантировать конфиденциальность, целостность и доступность обрабатываемой, хранимой или передаваемой информации.

15 Специальная публикация NIST 800-53A представляет руководство по оценке эффективности мер безопасности.

16 См. Публикацию 200 FIPS, Сноску 7.

17 Организации, как правило, используют управленческий, эксплуатационный и финансовый контроль за своими информационными системами и безопасностью, обеспеченной для этих систем, включая полномочия и возможности, чтобы реализовать или потребовать, чтобы меры безопасности считались необходимыми для защиты деятельности и активов организаций, людей, других организаций и Нации.

18 Соображения по потенциальным воздействиям национального уровня и воздействиям на другие организации при категорировании информационных систем организаций получают из ПАТРИОТИЧЕСКОГО АКТА США и Президентских Директив по безопасности отечества (HSPDs).

19 Оценки степени риска могут быть выполнены множеством способов в зависимости от конкретных потребностей организаций. Специальная публикация NIST 800-30 дает представление об оценке риска как части полного процесса управления рисками.

20 Уполномочивающие должностные лица или их назначенные представители, принимая окончательные планы обеспечения безопасности, соглашаются на набор мер безопасности, предложенных, чтобы выполнить требования безопасности для организаций (включая процессы предназначения/деятельности) и/или определенных информационных систем.

21 Специальная публикация NIST 800-137 дает представление о непрерывном мониторинге информационных систем организаций и сред эксплуатации.

22 Специальная публикация NIST 800-64 дает представление о соображениях информационной безопасности в жизненном цикле разработки систем.

23 Специальная публикация NIST 800-30 дает представление о процессе оценки степени риска.

24 В дополнение к требованиям информационной безопасности организации должны также определять требования приватности, которые вытекают из федерального законодательства и политик. Организации могут использовать меры приватности в Приложении J в сочетании с мерами безопасности в Приложении F, чтобы достигнуть всесторонней защиты безопасности и приватности.

25 Если иначе не заявлено, все ссылки на публикации NIST в этом документе (то есть, стандарты обработки федеральной информации и Специальные публикации) относятся к самой последней версии публикации.

26 Меры безопасности в Специальной публикации 800-53 доступны онлайн и могут быть загружены в различных форматах с веб-сайта NIST по адресу http://web.nvd.nist.gov/view/800-53/home.


27 Специальная публикация NIST 800-37 дают представление о реализации Основ управления рисками. Полный список всех публикаций, поддерживающих RMF и упомянутый на рисунке 2, представлен в Приложении A.

28 Инструкция CNSS 1253 обеспечивает руководство по категорированию безопасности для систем национальной безопасности.

29 Специальная публикация NIST 800-53A дает представление об оценке эффективности мер безопасности.

30 Из восемнадцати семейств мер безопасности в Специальной публикации NIST 800-53, семнадцать семейств описаны в каталоге мер безопасности в Приложении F, и близко соответствуют семнадцати минимальным требованиям безопасности для федеральной информации и информационных систем в FIPS публикации 200. Одно дополнительное семейство (семейство Управление программой [PM]) определяет меры безопасности для программ информационной безопасности, требуемых FISMA. Это семейство, которое непосредственно не упомянуто в FIPS публикации 200, обеспечивает меры безопасности на уровне организации, а не на уровне информационной системы. Для определения и руководства по реализации для мер безопасности PM см. Приложение G.

31 Меры приватности, перечисленные в Приложении J, имеют организацию и структуру подобные мерам безопасности, включая использование двухсимвольных идентификаторов для восьми семейств приватности.

32 Как правило, определенные организацией параметры, используемые в операторах назначении и выбора в основных мерах безопасности, применяются также ко всем улучшениям мер безопасности, связанным с этими мерами безопасности.

33 Организации определяют, выполняются ли конкретные операторы назначения или выбора на Уровне 1 (уровень организации), Уровне 2 (уровень процесса предназначения/деятельности), Уровне 3 (уровень информационной системы) или их комбинации.

34 Организации могут определять конкретные значения для параметров мер безопасности в политиках, процедурах или руководствах (которые могут быть применимыми к более чем одной информационной системе), ссылаясь на исходные документы в плане обеспечения безопасности, вместо явного определения операторов назначения/выбора в мерах безопасности как части плана.

35 Меры безопасности в целом разработаны, чтобы быть независимыми от технологий и реализации, и поэтому не содержат конкретные требования в этих областях. Организации определяют такие требования, какие считают необходимыми, в плане обеспечения безопасности для информационной системы.

36 Публикации, перечисленные в справочном разделе, относятся к последним версиям публикаций. Рекомендации предназначены, чтобы помочь организациям в применении мер безопасности и не предназначены, чтобы быть содержательными или полными.

37 CNSS Инструкция 1253 дает представление о базовых меры безопасности для систем национальной безопасности.

38 Базовые наборы мер безопасности, содержавшиеся в Приложении D, не являются абсолютно обязательными. Руководство, описанное в Разделе 3.2, предоставляет организациям возможность адаптировать меры безопасности в соответствии с положениями и условиями, установленными их санкционирующими должностными лицами и задокументированными в их соответствующих планах обеспечения безопасности.

39 Директор по информации, Высший сотрудник по информационной безопасности или другие, назначенные организацией должностные лица на высшем уровне руководства, возлагают ответственность за разработку, реализацию, оценку, санкционирование и мониторинг общих мер безопасности на соответствующие сущности (внутренние или внешние к организации).

40 Каждая общая мера безопасности, идентифицированная организацией, как правило, рассматривается владельцами информационной системы и санкционирующими должностными лицами для применимости в каждой конкретной информационной системе организации.

41 Планы программы информационной безопасности описаны в Приложении G. Организации гарантируют, что любые возможности безопасности, обеспеченные общими мерами безопасности (то есть, возможности безопасности, наследуемые другими сущностями организации), описаны в достаточных деталях, чтобы облегчить адекватное понимание реализации мер безопасности наследуемыми сущностями.

42 NIST Специальная публикация 800-39 дает представление о трастовых моделях, включая оцененные, проверенные временем, установленные и предписанные трастовые модели.

43 Организации консультируются с Федеральной Программой управления риском и санкционированием (FedRAMP), получая "облачные" услуги от внешних поставщиков. FedRAMP адресует требуемые меры безопасности и независимые оценки для множества "облачных" услуг. Дополнительная информация доступна в http://www.fedramp.gov.

44 Чтобы эффективно управлять риском информационной безопасности, организации санкционируют информационные системы внешних поставщиков, которые являются частью информационных технологий или сервисов (например, инфраструктура, платформа или программное обеспечение), предоставленных федеральному правительству. Требования санкционирования безопасности отражаются в положениях и условиях контрактов с внешними поставщиками информационных технологий и сервисов.

45 Уровень доверия, в зависимости от места, которое организации занимают среди внешних поставщиков услуг, может значительно различаться, в пределах от тех, кто чрезвычайно доверен (например, деловые партнеры по совместному предприятию, которые совместно используют общую бизнес-модель и общие цели) до тех, кто менее доверен и представляет большие источники риска (например, деловые партнеры в одной акции, которые являются также конкурентами в другом секторе рынка). NIST Специальная публикация 800-39 описывает различные трастовые модели, которые могут использовать организации, устанавливая отношения с внешними поставщиками услуг.

46 Коммерческие поставщики сервисов товарного типа, как правило, организуют свои бизнес-модели и сервисы вокруг концепции совместно используемых ресурсов и устройств для широкой и разнообразной клиентской базы. Поэтому, если организации не получают полностью выделенные сервисы от поставщиков коммерческих сервисов, то может потребоваться большая уверенность в компенсации мер безопасности, чтобы обеспечить необходимую защиту для информационной системы, которая полагается на эти внешние сервисы. Оценки риска и действия по уменьшению риска организациями отражают эту ситуацию.

47 Например, источники приобретения могли санкционировать информационные системы, предоставляющие внешние услуги федеральному правительству согласно конкретным положениям и условиям контрактов. Федеральные агентства, запрашивающие такие услуги в соответствии с контрактами, были бы не обязаны повторно санкционировать информационные системы, получая такие услуги (если запрос не включает услуги вне области исходных контрактов).

48 Риск может также быть в отклонении некоторой функциональности из-за проблем безопасности. Безопасность - это одно из многих соображений в полном определении риска.

49 Могут быть доступными альтернативные поставщики, предлагающие более высокое основание для доверия, обычно по более высокой стоимости.

50 Возможности безопасности - комбинация взаимно усиливающих мер безопасности (то есть, мер защиты и контрмер), реализованная техническими средствами (то есть, функциональностью в аппаратных средствах, программном обеспечении и встроенном микропрограммном обеспечении), физическими средствами (то есть, физическими устройствами и мерами защиты), и процедурными средствами (то есть, процедурами, выполняемыми людьми).

51 В то время как информация - основная проблемная область, доверенность применяется к защите для всех активов, которые организации считают критическими. Наряду с информацией, защитой обеспечиваются технологии (то есть, аппаратные средства, программное обеспечение, встроенное микропрограммное обеспечение), физические элементы (то есть, двери, блокировки, наблюдение) и элементы, связанные с людьми (то есть, люди, процессы, процедуры).

52 Стойкость безопасности компонента информационной системы (то есть, аппаратных средств, программного обеспечения или встроенного микропрограммного обеспечения) определена степенью, с которой функциональность безопасности, реализованная в том компоненте, является корректной, полной, устойчивой чтобы противостоять атакам (стойкость механизма) и устойчивой к обходу или вмешательству.

53 Например, сторонние организации оценивают "облачные" сервисы и поставщиков услуг в поддержку федеральной Программы управления риском и санкционированием (FedRAMP). Испытательные лаборатории Общих критериев испытывают и оценивают продукты информационных технологий, используя стандарт ISO/IEC 15408. Испытательные лаборатории по криптографической защите испытывают криптографические модули, используя стандарт FIPS 140-2.

54 NIST Специальная публикация 800-53A даёт представление о получении свидетельств безопасности, связанных с оценками безопасности, проведенными во время жизненного цикла разработки систем.

55 Организации также полагаются в значительной степени на доверие к безопасности с эксплуатационной точки зрения, как представлено связанными с доверием мерами в Таблицах E-1…E-3. Эксплуатационное доверие получается другими действиями, чем действия связанные с разработкой, включая, например, определение и применение установок конфигурации безопасности к продуктам информационных технологий, установление политик и процедур, оценка мер безопасности и проведение строгой непрерывной программы мониторинга. В некоторых ситуациях, чтобы достигнуть необходимых возможностей безопасности со слабыми или несовершенными информационными технологиями, организации осуществляют компенсацию, увеличивая их эксплуатационное доверие.

56 Инструкция CNSS 1253 определяет базовые меры безопасности для систем национальной безопасности. Поэтому, связанные с доверием меры безопасности в базовых наборах мер, установленных для сообщества национальной безопасности, если установлены, могут отличаться от тех мер, которые определены для систем, не относящихся к национальной безопасности.

57 Меры обеспечения приватности, перечисленные в Приложении J, будут также обновляться на регулярной основе, используя подобные критерии.

58 Инструкция CNSS 1253 обеспечивает руководство по категорированию безопасности для систем национальной безопасности.

59 Специальная публикация NIST 800-60, Руководство по отображению типов информации и информационных систем к категориям безопасности, дает представление о назначении категорий безопасности для информационных систем.

60 Концепция наивысшего значения использована, потому что есть существенные зависимости среди целей безопасности конфиденциальности, целостности и доступности. В большинстве случаев, компрометация одной из целей безопасности, в конечном счете, также влияет на другие цели безопасности. Следовательно, меры безопасности не категорированы по целям безопасности. Скорее меры безопасности сгруппированы в базовые наборы, чтобы обеспечить общую возможность защиты для классов информационных систем, основанных на уровне воздействия.

61 Общий процесс выбора мер безопасности может расширяться или больше детализироваться дополнительным, специфичным для сектора руководством, как описано в Разделе 3.3, Создание оверлеев, и Приложении I, шаблон для разработки оверлеев.

62 Инструкция CNSS 1253 определяет базовые наборы мер безопасности для систем национальной безопасности.

63 Постоянство данных/информации относится к данным/информации, являющихся востребованными в течение относительно долгого времени (например, дни, недели).

64 Вообще, федеральные департаменты и агентства удовлетворяют этому предположению. Предположение становится более проблемным для нефедеральных сущностей, таких как муниципалитеты, службы оперативного реагирования и мелкие (комерческие) подрядчики. Такие сущности могут не быть достаточно большими или достаточно оснащенными, чтобы иметь возможность выделить элементы для обеспечения масштаба возможностей безопасности, которые приняты базовыми. Организации рассматривают такие факторы в своих основанных на риске решениях.

65 См. также Раздел 3.3, Создание оверлеев, и Приложение I, шаблон для разработки оверлеев.

66 Адаптация решений может также быть основана на синхронизации и приспособлении выбранных мер безопасности под некоторые определенные условия. Таким образом, меры безопасности могут не применяться в каждой ситуации, или значения параметра для операторов присваивания могут измениться при определенных обстоятельствах. Оверлеи могут определять эти конкретные ситуации, условия или связанные с синхронизацией соображения.

67 Уровень детализации, требуемый в документировании решений адаптации в процессе выбора мер безопасности выбирается на усмотрение организаций и отражает уровни воздействия соответствующей реализации информационных систем или наследования мер безопасности.

68 Объектовые особенности, перечисленные в этом разделе, являются примерами и не предназначены, чтобы ограничить организации в представлении основанных на риске решений, базирующихся на других определенных организацией соображениях с соответствующим обоснованием.

69 Это особенно справедливо с появлением сервис-ориентированных архитектур, где конкретные услуги предоставляются, чтобы реализовать отдельную функцию.

70 Например, меры аудита безопасности, как правило, применяются к компонентам информационной системы, которые обеспечивают возможность аудита (например, серверы, и т.д.) и не обязательно применимы к каждой рабочей станции на уровне пользователя в организации. Организации должны тщательно оценить материально-технические ресурсы компонентов, которые составляют их информационные системы, чтобы определить, какие меры безопасности применимы к различным компонентам.

71 Поскольку информационные технологии развиваются, более мощная и разнообразная функциональность может быть найдена в смартфонах, планшетах и других типах мобильных устройств. В то время как руководство по адаптации может не поддерживать выделение определенной меры безопасности к конкретной технологии или устройству, любой остаточный риск, связанный с отсутствием такой меры, должен определяться в оценках степени риска, чтобы соответственно защитить эксплуатацию и активы организации, людей, другие организации и Нацию.

72 Мобильная сущность устройств означает возможность того, что в течение некоторого промежутка времени устройства могут находиться в фиксированных сооружениях или комплексах в фиксированных местах. В течение этого времени должны, вероятно, применяться меры обеспечения PE.

73 Организации должны рассмотреть, есть ли у отдельных пользователей полномочия администратора прежде, чем удалить A- 3 из базовых мер безопасности.

74 Организации балансируют постоянство информации с чувствительностью информации. Непостоянная информация может, кроме того, потребовать очистки после удаления. Кроме того, организации рассматривают продолжительность информационной чувствительности - некоторая информация может быть постояннойй, но быть чувствительной только на ограниченный срок.

75 Когда применяется наивысшее значение в Разделе 3.1, часть исходных целей безопасности - конфиденциальность, целостность или доступность из FIPS публикации 199, возможно, может быть обновлена до более высокого базового набора мер безопасности. Как часть этого процесса, меры безопасности, которые уникально поддерживают цели безопасности конфиденциальность, целостность или доступность, возможно, были обновлены излишне. Следовательно, рекомендуется, чтобы организации рассматривали соответствующие и допустимые действия понижения, чтобы гарантировать рентабельное, основанное на риске использование мер безопасности.

76 Информацию, которая важна для безопасности на уровне информационной системы (например, файлы пароля, таблицы сетевой маршрутизации, информация управления криптографическими ключами), надо отличать от пользовательской информации в той же самой системе. Некоторые меры безопасности используются, чтобы поддержать цели безопасности конфиденциальность и целостность и для информации на уровне системы и на уровне пользователя. Следует действовать с осторожностью при понижении мер безопасности связанных с конфиденциальностью или целостностью, чтобы гарантировать, что действия понижения не дают результат в недостаточной защите информации, важной для безопасности в информационной системе. Информация, важная для безопасности, должна быть защищена в наивысшем значении, чтобы достигнуть подобного уровня защиты для любой из целей безопасности, связанной с информацией на уровне пользователя.

77 Действия понижения применяются только к умеренным и высоким базовым наборам мер. Меры безопасности, которые являются уникальными по отношению к конфиденциальности, целостности или доступности, которые обычно рассматривали бы как потенциальные кандидаты на понижение (например, AC 16, AU 10, IA-7, PE 12, PE 14, SC-5, SC-13, SC-16) устранены из рассмотрения, потому что меры безопасности или выбраны для использования во всех базовых наборах и не имеют улучшений, которые могли бы быть понижены, или меры безопасности являются дополнительными, и не выбраны для использования в каком либо базовом наборе. Организации должны действовать с осторожностью, понижая меры безопасности, которые не находятся в списке в Разделе 3.2, чтобы гарантировать, что действия понижения действительно нет влияют на цели безопасности кроме целей, предназначенных для понижения.

78 Может требоваться более чем одна компенсирующая мера безопасности, чтобы обеспечивать эквивалентную защиту для определенной меры безопасности в Приложении F. Например, организации с существенными ограничениями персонала могут компенсировать меры безопасности раздельного режима работы, усиливая аудит, подконтрольность и меры безопасности персонала.

79 Организации должны всегда предпринять попытку выбрать компенсирующие меры безопасности из каталога мер безопасности в Приложении F. Определенные организацией компенсирующие меры безопасности используются только тогда, когда организации решают, что каталог мер безопасности действительно не содержит подходящие компенсирующие мер безопасности.

80 Инструкция 1253 CNSS обеспечивает назначение минимальных значений для определяемых организацией переменных, применимых к системам национальной безопасности. Значения параметров могут также быть определены как часть оверлеев, описанных в Разделе 3.4.

81 Соображения для потенциальных воздействий национального уровня и воздействий но другие организации при категорировании информационных систем организаций получают из ПАТРИОТИЧЕСКОГО АКТА США и Президентских Директив по безопасности отечества.

82 В предыдущих версиях Специальной публикации 800-53, адаптация относилась только к удалению мер безопасности из базовых наборов, а дополнение относилось только к добавлению мер безопасности к базовым наборам. В этом документе термин адаптация был пересмотрен, чтобы включать и добавление мер безопасности к базовым наборам (то есть, адаптация вверх) и удаление мер безопасности из базовых наборов(то есть, адаптация вниз).

83 Меры безопасности и улучшения мер безопасности, выбранные, чтобы дополнить базовые наборы, назначаются соответствующим компонентам информационной системы таким же самым способом, как назначения мер безопасности, выполненные организациями в начальных базовых наборах мер.

84 Пример является только иллюстрацией. Инструкция 1253 CNSS обеспечивает конкретное руководство относительно мер безопасности, требуемых для систем национальной безопасности.

85 Хотя этот пример сосредотачивается на угрозах информационным системам от целенаправленных атак, пространство значимых для организаций угроз также включает экологические разрушения и человеческие ошибки.

86 Эти типы адаптации могут быть проведены на федеральном уровне или отдельными организациями.

87 Инструкция 1253 CNSS обеспечивает руководство адаптации и базовые меры безопасности для систем национальной безопасности.

88 Процесс выбора мер безопасности также применяется к поставщикам общих мер безопасности и санкционирующим должностным лицам, представляющим решения по санкционированию для общих мер безопасности, развернутых в пределах организаций.

89 Например, локальные политики, процедуры и/или компенсирующие меры безопасности могут быть установлены организациями, чтобы служить альтернативными действиями по уменьшению рисков, идентифицированных в гэп-анализе.

90 Полное описание всех мер безопасности представлено в Приложениях F и G. Кроме того, некоторые документы для отдельных базовых наборов мер безопасности (перечисленных в Приложениях 1, 2, и 3) доступны в http://csrc.nist.gov/publications. Сетевая версия каталога мер безопасности также доступна в http://web.nvd.nist.gov/view/800-53/home.

91 Иерархическая природа применяется к требованиям безопасности каждой меры безопасности (то есть, основной меры безопасности плюс всех ее улучшений) в низком, умеренном и высоком уровне воздействия в том, что требования к мере безопасности для конкретного уровня воздействия (например, CP-4 Проверка Плана действий при непредвиденных обстоятельствах - Умеренно: CP 4 (1)) определяют более строгий набор требований безопасности для этой меры безопасности, чем следующий более низкий уровень воздействия той же самой меры безопасности (например, CP-4 Проверка Плана действий при непредвиденных обстоятельствах - Низко: CP 4).

92 Базовые наборы мер безопасности в Таблице D-2 являются начальными базовыми наборами, выбираемыми организациями до проведения работ адаптации, описанных в Разделе 3.2. Базовые наборы мер обеспечения и приоритетные коды применимы только к системам, не относящимся к национальной безопасности. Базовые наборы мер безопасности для систем национальной безопасности включены в Инструкцию 1253 CNSS.

93 Базовые меры безопасности в Таблицах от D-3 до D-19 применимы только к системам, не относящимся к национальной безопасности. Базовые меры безопасности для систем национальной безопасности включены в Инструкцию 1253 CNSS.

94 Раздел 2.6 обеспечивают введение в концепции доверия и доверенности и связь между этими двумя концепциями. Модель доверенности иллюстрирована на рисунке 3.

95 CNSS Инструкция 1253 определяет базовые наборы мер безопасности для систем национальной безопасности. Поэтому, связанные с доверием меры безопасности в базовых наборах, установленных для сообщества национальной безопасности, если такие назначены, могут отличаться от мер безопасности, которые определены в Таблицах от E-1 до E-3.

96 Трудно определить, обеспечивает ли данный базовый набор мер безопасности из Приложения D доверие, необходимое для всех информационных технологий, пользователей, платформ и организаций. Например, в то время как использование формальных методов могло бы быть соответствующим в междоменном продукте, для сложной системы авиадиспетчерской службы или для веб-сервера, предоставляющего информацию о подготовленности к чрезвычайным ситуациям от Департамента безопасности отечества, могли бы быть подходящими другие технологии доверия. Тем не менее, в существующих базовых наборах есть аспекты доверия, которые отражают минимальное доверие, которое, как ожидается, является общим для всех технологий, пользователей, платформ и организаций.

97 Организации должны знать, что необходимо тщательно анализировать связанные с доверием меры безопасности в базовых наборах во время процесса адаптации, включая разработку оверлеев, чтобы гарантировать, что меры безопасности, которые обеспечивают меры уверенности в функциональности безопасности, необходимой для защиты предназначения/деятельности, не будут непреднамеренно устранены.

98 Специальная публикация NIST 800-53A обеспечивает дополнительную информацию о глубине и покрытии при оценках мер безопасности.

99 Связанные с доверием меры безопасности в Таблице E-1 являются подмножеством мер безопасности, содержавшихся в базовом наборе мер безопасности для систем низкого уровня воздействия в Приложении D. Реализация связанных с доверием мер безопасности в Таблице E-1 (включая глубину/покрытие свидетельства безопасности из Специальной публикации NIST 800-53A) удовлетворит минимальные требования доверия для систем низкого уровня воздействия, установленные FIPS Публикацией 200.

100 Специальная публикация NIST 800-53A обеспечивает дополнительную информацию о глубине и покрытии при оценках мер безопасности.

101 Связанные с доверием меры безопасности в Таблице E-2 являются подмножеством мер безопасности, содержавшихся в базовом наборе мер безопасности для систем умеренного уровня воздействия в Приложении D. Реализация связанных с доверием мер безопасности в Таблице E-2 (включая глубину/покрытие свидетельства безопасности из Специальной публикации NIST 800-53A) удовлетворит минимальные требования доверия для систем умеренного уровня воздействия, установленные FIPS Публикацией 200.


Поделитесь с Вашими друзьями:
1   ...   40   41   42   43   44   45   46   47   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница
Автореферат
Анализ
Анкета
Бизнес-план
Биография
Бюллетень
Викторина
Выпускная работа
Глава
Диплом
Дипломная работа