NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法

它的结构分为3个层级:组织视图、业务任务和信息系统视图。

800-37是NIST SP 800-37的简称,即NIST 800-37。800-37可以应用于所有行业,如军事、航空等。对于IT行业来说,它是一个通过引用多个NIST标准来进行风险管理的框架,包括:FIPS 199、NIST 800-53B、NIST 800-53A等。

概要

风险管理框架(RMF)用于管理安全和隐私风险,将风险保持在一个适当的水平,包括:

  • 信息安全分类
  • 控制选择
  • 实施
  • 评估
  • 授权
  • 监测

简介

1.1 背景

风险管理是:

  • 在整个SDLC中促进安全和隐私能力;
  • 通过持续的监测过程,保持对安全和隐私状况的认识;
  • 高级领导人和行政人员促进关于风险的决策;

2.1 全组织的风险管理

管理安全和隐私风险涉及整个组织。

第一级组织视图

高级领导人的愿景、目标、目的。

第二级业务任务

中层领导规划、管理关于开发、实施、运营和维护的项目,以支持任务和商业流程。

第三级信息系统视图

信息系统应用中层领导的项目。应对风险,执行风险决策。

如何进行RMF(关键词:准备)

识别业务功能,信息系统的流程;

识别关键的利益相关者(包括外部);

确定资产(包括信息系统)的优先次序;

了解对信息系统的威胁;

了解对个人的不利影响;

进行风险评估;

识别安全和隐私要求并确定其优先次序;

确定授权范围;

开发安全和隐私架构;

在系统软件的开发生命周期中追踪所有的风险控制。

2.2 风险管理框架的步骤和结构

实施RMF的步骤。

  1. 按损失的影响对系统进行分类。要了解更多信息,请阅读SP 800-30和FIPS 199。
  2. 选择(定制)控制手段(相关文档见NIST 800-53B)。
  3. 实施控制。
  4. 评估(跟踪)控制手段。
  5. 在确定风险可以接受的基础上,授权系统或共同(继承)控制手段。
  6. 监测(跟踪)系统和控制手段(相关文档见NIST 800-53A)。

实施RMF的灵活性

组织可以做以下调整:以不同的顺序执行任务,强调特定的任务,绑定任务,包括CSF网络安全框架来加强RMF的要求。

2.3RMF中的信息安全和隐私

RMF需要两个方案来保护可标识个人信息PII:

安全方案

保护信息免受未经授权的访问、使用、披露、破坏、修改或销毁,以提供保密性、完整性和可用性。

隐私计划

遵守隐私要求以保护个人。

2.7 安全和隐私态势

安全和隐私态势代表:

  • 基于信息保障资源(如政策、程序)的信息系统和信息资源(如人员、设备、资金和信息技术)的状况,以及
  • 管理防御的能力;以及
  • 遵守适用的隐私要求并管理隐私风险;以及
  • 随着情况的变化而作出反应。

2.8 供应链风险管理

供应链风险管理(SCRM)政策(见NIST 180-161)涉及供应链风险。

建立信任关系并与内部和外部利益相关者沟通。

3.2 归类

3.3 选择(控制手段)

3.4 实施(对计划的控制)。

3.5 评估(计划)

这一步是可选的,因为3.3 SELECT和3.4 IMPLEMENTATION已经完成了大部分工作。

3.6 授权(高级管理官员的计划)

该步骤是可选的,因为在3.1分类和3.2选择中存在批准任务。

3.7 监控

小贴士

网络安全框架简介是在RMF中实施准备TASK P-4的另一种方式。

SDLC过程是RMF实施的最佳实践。

缩略语

SDLC, 软件开发生命周期

SCRM, 供应链风险管理

参考资料

National Institute of Standards and Technology, December 2018, NIST Special Publication 800-37 Revision 2 Risk Management Framework for Information Systems and Organizations A System Life Cycle Approach for Security and Privacy, https://doi.org/10.6028/NIST.SP.800-37r2

PNNL, November 2018, Risk Management Framework Process Map, PNNL-28347.

Veracode, 2008, Understanding NIST 800‐37 FISMA Requirements.

05-26 10:50