Объединенная экспертная группа по инициативе преобразования



страница48/48
Дата09.05.2018
Размер6.15 Mb.
1   ...   40   41   42   43   44   45   46   47   48
Полужирный текст указывает на дополнение относительно базового набора низкого уровня (то есть, меры безопасности, связанные с доверием, добавляются к базовому набору низкого уровня, чтобы получить увеличенный уровень доверия в базовом наборе умеренного уровня).

102 Специальная публикация NIST 800-53A обеспечивает дополнительную информацию о глубине и покрытии при оценках мер безопасности.

103 Связанные с доверием меры безопасности в Таблице E-2 являются подмножеством мер безопасности, содержавшихся в базовом наборе мер безопасности для систем высокого уровня воздействия в Приложении D. Реализация связанных с доверием мер безопасности в Таблице E-2 (включая глубину/покрытие свидетельства безопасности из Специальной публикации NIST 800-53A) удовлетворит минимальные требования доверия для систем высокого уровня воздействия, установленные FIPS Публикацией 200. Полужирный текст указывает на дополнение относительно базового набора умеренного уровня (то есть, меры безопасности, связанные с доверием, добавляются к базовому набору умеренного уровня, чтобы получить увеличенный уровень доверия в базовом наборе высокого уровня).

104 Связанные с доверием меры безопасности в Таблице E-4 представляют дополнительные меры безопасности, необходимые для достижения повышенных уровней доверия (то есть, меры безопасности, которые должны идти сверх мер минимальных уровней доверия, которые представлены связанными с доверием мерами безопасности в Таблицах E-1, E-2 и E-3). Когда связанная с доверием мера безопасности назначена базовому набору (то есть, перечислена в Таблицах E-1, E-2 или E-3), но все её улучшения находятся в Таблице E-4, то это определяется в таблице как Мера безопасности (все улучшения). Когда связанная с доверием мера безопасности и все ее улучшения не назначены базовым наборам, то это определяется в таблице как Мера безопасности (плюс улучшения). Когда связанные с доверием улучшения для определенной меры безопасности выделены одному из базовых наборов, остающиеся невыбранные улучшения меры перечислены индивидуально в Таблице E-4.


105 Сетевая версия каталога мер безопасности также доступна в http://web.nvd.nist.gov/view/800-53/home.

106 Соответствие требует от организаций проявлять должную старательность относительно управления информационной безопасностью и управления рисками. Должная старательность в информационной безопасности включает использование всей соответствующей информации как часть программы управления рисками всей организации, чтобы эффективно использовать руководство по адаптации и присущую публикациям NIST гибкость так, чтобы выбранные меры безопасности, задокументированные в планы обеспечения безопасности организаций, соответствовали конкретным требования предназначения и деятельности организаций. В разработке, реализации и поддержании мер защиты и контрмер с необходимой и достаточной стойкостью механизмов важно использовать инструменты управления рисками и технологии, которые доступны организациям, чтобы противодействовать текущие угрозы деятельности и активам организаций, людям, другим организациям и Нации. Использование эффективных, основанные на риске, процессов, процедур и технологий поможет гарантировать, что у всех федеральных информационных систем и организаций есть необходимая устойчивость, чтобы поддержать долговременные федеральные обязанности, критические приложения инфраструктуры и непрерывность деятельности правительства.

107 Меры безопасности из Специальной публикации 800-53 доступны онлайн и могут быть загружены в различных форматах с веб-сайта NIST: http://web.nvd.nist.gov/view/800-53/home.

108 CNSS Инструкция 1253 даёт представление по категорированию безопасности систем национальной безопасности.

109 CNSS Инструкция 1253 даёт представление о базовых наборах мер безопасности для систем национальной безопасности и конкретных требованиях по адаптации, связанных с такими системами.

110 Есть дополнительные меры безопасности и улучшения мер, имеющиеся в каталоге, которые не используются ни в одном из начальных базовых наборов мер. Эти дополнительные меры безопасности и улучшения мер доступны организациям и могут использоваться в процессе адаптации, чтобы достигнуть необходимого уровня защиты в соответствии с оценками степени риска организаций.

111 Общие меры безопасности - те меры безопасности, которые являются наследуемыми одной или более информационными системами организации и, таким образом, являются отдельными и отличными от мер управления программой информационной безопасности.

112 Процедуры оценки по мерам управления программой и общим мерам безопасности могут быть найдены в Специальной публикации NIST 800-53A.

113 ISO/IEC 27001 был опубликован в октябре 2005 Международной организацией по стандартизации (ISO) и Международная электротехническая комиссия (IEC).

114 ISO/IEC 15408 был опубликован в сентябре 2012 Международной организацией по стандартизации (ISO) и Международная электротехническая комиссия (IEC).

115 Использование обозначения, мера безопасности XX-1 в отображении Таблицы H-2 отсылает к набору мер безопасности, представленных первой мерой безопасности в каждом семействе в Приложении F, где XX заполнитель для двухбуквенного идентификатора семейства.

116 Адаптированные базовые наборы мер безопасности, подготовленные с использованием концепции оверлеев, могут быть представлены независимо во многих местах и публикациях, включая, например, политики OMB, Инструкции CNSS, Специальные публикации NIST, промышленные стандарты и специфичных для секторов руководствах. Как часть инициативы оверлеев, Приложение I предыдущего руководства, относящееся к безопасности систем управления производственными и технологическими процессами, было перенесено в Специальную публикацию NIST 800-82.

117 Хотя организации поощрены использовать оверлейную концепцию, чтобы адаптировать базовые мер безопасности, генерирация широко распространяемых оверлеев по дному и тому же предмету может оказаться контрпродуктивна. Оверлейная концепция является самой эффективной, когда сообщества интересов сотрудничают, чтобы создать основанные на согласии оверлеи которые не являются повторяющимися.

118 CNSS Инструкция 1253 обеспечивают руководство по категорированию безопасности и базовые наборы мер безопасности для систем национальной безопасности.

119 Меморандумов OMB 07-16 определяют PII как информацию, которая может использоваться, чтобы отличить или проследить идентификационные данные человека, такие как имя, номер социального страхования, биометрические сведения и т.п., отдельно или в совокупности с другой персональной или идентифицирующей информацией, которая связана или связываема с конкретным человеком, такой как дата и место рождения, девичья фамилия родителя и т.п. Меморандум OMB 10-22 далее уточняет, что “определение PII не привязано к любой отдельной категории информации или технологии. Скорее он требует индивидуальной оценки конкретного риска, что человек может быть идентифицирован, путем исследования контекста использования и комбинации элементов данных. При выполнении этой оценки агентствам важно понимать, что не-PII может стать PII всякий раз, когда дополнительная информация стала публично доступной на любом носителе и из любого источника, которая, если объединить с другой доступной информацией, может использоваться, чтобы идентифицировать человека.” NIST Специальная публикация 800-122 также содержит определение PII, которое отличается от этого приложения, потому что оно фокусируется на цели безопасности конфиденциальности а не приватности в широком смысле. Определения PII организациями могут изменяться, основываясь на рассмотрении дополнительных нормативных требований. Меры приватности в этом приложении применяются независимо от определения PII организациями.

120 В 2010 году Комитет по приватности Федерального совета CIO выпустил основу для проектирования и реализации программы приватности под названием Лучшие практики: Элементы федеральной программы приватности (Белые страницы элементов). Меры приватности в этом приложении отражают много элементов, включенных в этот документ. Организации могут использовать меры приватности и руководство в указанном документе, чтобы разработать программу приватности всей организации или улучшить уже существующую программу.

121 FIPPs широко используются в Соединенных Штатах и на международном уровне, как общие рамки для приватности, и отражены в других федеральных законах и нормах международного права и политиках. Во многих организациях FIPPs служат основанием для того, чтобы анализировать риски приватности и определять соответствующие стратегии их уменьшения. Федеральный Профиль безопасности и приватности архитектуры предприятия (FEA-SPP) также содержит информацию и материалы по разработке мер приватности.

122 Все федеральные агентства и департаменты определяют SAOP/CPO как старшее должностное лицо организации с полной ответственностью в организации за проблемы приватности информации. Меморандум OMB 05-08 предоставляет руководство для определения SAOPs/CPOs. Термины SAOP/CPO, используемые в этом приложении, означает высшего руководителя организации по приватности, титул которого может измениться от организации к организации.




Поделитесь с Вашими друзьями:
1   ...   40   41   42   43   44   45   46   47   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница