如何應用風險管理框架(RMF)
責編:gltian |2018-12-19 13:17:23風險管理框架(RMF)常指NIST特別出版物800-37指南《聯邦信息系統上應用風險管理框架:安全生命周期方法》,自2004年起便用于《美國聯邦信息安全管理法案》合規。
這是轉型倡議跨部門聯合工作組的工作成果,如今美國政府各個機構都必須遵守并集成到自身工作流程中的一個框架。最近該框架融入到了美國國防部指示中,很多公司企業如今也在創建新的指南以遵從該RMF規定。
對每個聯邦機構而言,RMF描述了保護、授權和管理IT系統所必須遵循的過程。RMF定義了一個過程周期,通過操作授權開始保護系統,并持續進行風險管理(持續監視)。
風險管理框架步驟
該RMF過程有6步:
第一步:信息系統分類
這一步是管理上的,涉及了解整個組織機構。在分類某個系統前應先定義好系統邊界。基于該系統邊界,與該系統相關的所有信息類型都應被識別出來。關于該組織機構的使命、角色、責任、系統運營環境、既定使用及與其他系統的連接等信息可能關系到該系統最終的安全影響級別。
參考:FIPS出版物199;NIST特別出版物 800-30、800-39、800-59、800-60;CNSS指令1253。
第二步:安全控制選擇
安全控制措施是信息系統內負責保護系統及其信息的機密性、完整性、可用性的運營及技術防護或對抗手段。如果信息系統內實現的安全控制措施切實有效,信心也會大增。
參考:FIPS出版物199、200;NIST特別出版物 800-30、800-53、800-53A;CNSS指令1253。
第三步:安全控制措施實現
第三步要求組織機構實現安全控制措施并描述信息系統及其運營環境中是如何使用這些控制措施的。每個設備的策略都應是定制的,要符合響應安全文檔的要求。
參考:FIPS出版物200;NIST特別出版物 800-30、800-53、800-53A;CNSS指令1253;Web:SCAP.NIST.GOV。
第四步:安全控制措施評估
安全控制措施評估涉及使用恰當的評估流程來確定控制措施實現的正確程度,以及按既定意圖操作和產生所需結果以符合系統安全要求的程度。
參考:NIST特別出版物 800-30、800-53A、800-70。
第五步:信息系統授權
信息系統授權操作基于對風險的判斷,也就是要確定該信息系統操作會給組織運營和個人、資產、其他組織及國家帶來的風險,以及認定該風險是可接受的。使用報告是與行動計劃&里程碑(POA&M)配合使用的機制。該機制提供了跟蹤控制措施故障和狀態的方法。
參考:預算管理辦公室備忘 02-01;NIST特別出版物 800-30、800-53A、800-39。
第六步:安全控制監視
持續監視項目能使組織機構在高度動態的操作環境中長期維持信息系統的安全授權,使系統能適應不斷變化的威脅、漏洞、技術和任務/業務過程。雖然自動化支持工具不是必須,但使用自動化工具可以近實時地實現風險管理。這有助于避免配置偏差和與不同核心組件及其配置的非預期修改相關的其他潛在安全事件,還能提供操作授權(ATO)標準報告。
參考:NIST特別出版物 800-30、800-39、800-53、800-53A、800-137;CNSS指令1253。
更多NIST風險管理框架資源
總而言之,RMF通過調整控制措施和語言,以及改善交互,在政府機構間設立了標準。該框架將重點放在風險上以解決組件、系統及定制環境的多樣性,而不是使用普適解決方案。RMF將安全融入系統,能更快地解決安全問題。聯邦機構網絡安全可通過持續監視和更好的匯總報告加以實現。
更多RMF及其相關應用知識,可參考Tripwire白皮書《適應RMF的現實》:
NIST特別出版物800-37指南《聯邦信息系統上應用風險管理框架:安全生命周期方法》:
http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf
下一篇:物超所值:怎樣衡量你的安全投資