NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
授权是高级官员的正式管理决策,用于批准系统运行、批准组织系统继承通用控制的使用,并基于已实施的约定控制,明确接受对组织运营和资产、个人、其他组织以及国家的风险。授权官员对组织系统和通用控制进行预算监管,或承担这些系统或通用控制所支持的任务和业务职能的责任。授权过程是联邦职责,因此,授权官员必须是联邦雇员。授权官员对组织系统的运行和使用所涉及的安全和隐私风险既负有责任,也承担问责。非联邦组织可能也有类似的流程来授权系统以及承担授权角色和相关责任的高级官员。授权官员根据已实施的持续监控计划产生的证据,颁发系统的持续授权。健全的持续监控计划减少了单独重新授权流程的需求。通过采用全面的持续监控流程,授权包中包含的信息(即…)安全和隐私计划、评估报告以及行动和里程碑计划) 会持续更新。这为授权官员、共同控制提供者和系统所有者提供了其系统、控制和操作环境的安全和隐私状态的最新信息。为了降低重新授权的成本,授权官员可以尽可能利用持续监控过程的结果作为做出重新授权决定的依据。
使用自动化工具有助于保持行动计划和里程碑的准确性、时效性和可用性,并促进整个组织范围内的安全和隐私信息的协调与共享。这种协调和信息共享有助于识别组织系统中的系统性弱点或不足,并确保在适当的时间将资源投向最关键的系统漏洞。
使用自动化监控工具有助于保持监控信息的准确性、时效性和可用性,这反过来有助于提高对系统安全性和隐私状况的持续认知,从而支持组织的风险管理决策。
合规性检查包括对相关基线配置的验证。
安全和隐私控制通常会逐步添加到系统中。因此,选择和实施控制的策略可能不一致,这些控制可能无法以一致或协调的方式共同工作。至少,缺乏一致性和协调性可能意味着系统中存在不可接受的安全和隐私漏洞。在最糟的情况下,这可能意味着在某个位置或由某个组件实施的一些控制实际上会阻碍其他控制的功能(例如,加密内部网络流量可能会影响监控)。在其他情况下,未能持续监控所有已实施的网络协议(例如(IPv4 和 IPv6 的双协议栈)可能会在系统中产生意想不到的漏洞,可能被对手利用。通过测试、监控和分析验证所实施的控制措施是否以一致、协调、互不干扰的方式运行是非常重要的。
在系统层面的持续监控有助于持续了解系统的安全性和隐私状况,从而支持组织的风险管理决策。“持续”和“不断”一词意味着组织以足够的频率评估和监控其控制措施和风险,以支持基于风险的决策。不同类型的控制可能需要不同的监控频率。持续监控的结果会促使组织采取风险应对措施。当监控已分组为能力的多个控制措施的有效性时,可能需要进行根本原因分析,以确定具体失效的控制措施。持续监控程序使组织能够在任务和业务需求、威胁、漏洞和技术不断变化的高度动态的操作环境中,维持系统和通用控制的授权。通过报告和仪表板持续获取安全和隐私信息,使组织官员能够做出有效且及时的风险管理决策,包括持续的授权决策。自动化支持对硬件、软件和固件清单、授权包以及其他系统信息进行更频繁的更新。当持续监控的输出被格式化为提供具体、可衡量、可操作、相关且及时的信息时,其有效性会进一步增强。持续监控活动会根据系统的安全类别进行调整规模。监控要求,包括对特定监控的需求,可能在其他控制措施和控制增强中被提及,例如 AC-2g、AC-2(7)、AC-2(12)(a)、AC-2(7)(b)、AC-2(7)(c)、AC-17(1)、AT-4a、AU-13、AU-13(1)、AU-13(2)、CM-3f、CM-6d、CM-11c、IR-5、MA-2b、MA-3a、MA-4a、PE-3d、PE-6、PE-14b、PE-16、PE-20、PM-6、PM-23、PM-31、PS-7e、SA-9c、SR-4、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18c、SC-43b 和 SI-4。
组织确保控制评估人员具备必要的技能和技术专长,以制定有效的评估计划,并在适当情况下对系统特定、混合、通用及项目管理控制进行评估。所需的技能包括对风险管理概念和方法的一般知识,以及对所实施的硬件、软件和固件系统组件的全面了解和经验。组织在初始和持续授权、持续监控、FISMA年度评估、系统设计与开发、系统安全工程、隐私工程以及系统开发生命周期等环节,会评估系统及其运行环境中的控制措施。评估有助于确保组织满足信息安全和隐私要求,识别系统设计和开发过程中存在的弱点和缺陷,提供进行基于风险的决策(作为授权流程一部分)所需的重要信息,并遵守漏洞缓解程序。组织会根据安全和隐私计划中记录的内容,对已实施的控制措施进行评估。评估还可以在系统开发生命周期的各个阶段进行,作为系统工程和系统安全工程过程的一部分。在制定请求提案(RFP)、评估响应以及进行设计审查时,也可以对控制措施的设计进行评估。如果在开发过程中对实施控制的设计及按照该设计进行的后续实施进行评估,则最终控制测试可以通过利用先前完成的控制评估并汇总结果进行简单确认。组织可以为系统制定一个统一的、综合的安全和隐私评估计划,或者保持单独的计划。综合评估计划清楚地划分了控制评估的角色和责任。如果多个组织参与系统评估,协调的方法可以减少重复工作及相关成本。组织可以使用其他类型的评估活动,例如漏洞扫描和系统监控,以在系统生命周期内维护系统的安全性和隐私状况。评估报告详细记录评估结果,根据组织的需求判断,以确定报告的准确性和完整性,以及控制措施是否得到正确实施、按照预期运行,并在满足要求方面产生预期的结果。评估结果会提供给适合所进行评估类型的个人或角色。例如,为支持授权决策而进行的评估,会提供给授权官员、隐私高级机构官员、高级机构信息安全官员以及授权官员指定的代表。为了满足年度评估要求,组织可以使用来自以下来源的评估结果:初始或持续的系统授权、持续监控、系统工程流程或系统开发生命周期活动。组织确保评估结果是最新的、与控制有效性判断相关,并且是在适当的评估者独立性水平下获得的。现有的控制评估结果在结果仍然有效的情况下可以重复使用,并且根据需要可以辅以额外的评估。在初始授权之后,组织在持续监控期间评估控制措施。组织还根据组织的持续监控策略确定持续评估的频率。外部审计,包括监管机构等外部实体的审计,不在 CA-2 的范围内。
对物理访问点进行渗透测试可以提供关于组织系统操作环境中关键漏洞的信息。这些信息可用于纠正物理控制中的弱点或缺陷,从而保护组织系统的安全。
组织通过要求由具有适当独立性水平的评估人员进行评估来最大化控制评估的价值。所需独立性水平基于组织的持续监控策略。评估人员的独立性为监控过程提供了一定程度的公正性。为了实现这种公正性,评估人员不会与进行评估的组织产生相互或冲突的利益,不会评估自己的工作,不会担任所服务组织的管理层或员工,也不会为获取其服务的组织担任倡导者的角色。
独立评估员或评估团队是对系统进行公正评估的个人或组织。公正性意味着评估员在系统的开发、运行、维护或管理,以及控制有效性的确定方面,不存在任何实际或可能被认为的利益冲突。为了实现公正,评估人员不会与进行评估的组织产生共同或冲突的利益,不评估自己的工作,不以管理层或员工的身份在所服务的组织中任职,也不会将自己置于为获取其服务的组织进行倡导的立场上。独立评估可以由组织内部的相关部门提供,也可以外包给组织外部的公共或私营部门实体。授权官员根据系统的安全分类和/或对组织运营、组织资产或个人的风险来确定所需的独立性水平。授权官员还会确定评估人员的独立性水平是否足以保证结果可靠,并可用于做出可信的、基于风险的决策。评估人员独立性判断包括合同评估服务是否具有足够的独立性,例如系统所有者不直接参与合同流程或无法影响进行评估的评估人员的公正性。在系统设计和开发阶段,拥有独立评估人员类似于在设计评审中引入独立的主题专家(SME)。当拥有系统的组织规模较小,或组织结构要求评估必须由系统所有者所在的发展、运营或管理链中的人员进行时,可以通过确保评估结果由独立的专家团队进行仔细审查和分析来实现评估过程的独立性,从而验证结果的完整性、准确性、完整性和可靠性。为了支持授权决策以外的目的而进行的评估,如果由具有足够独立性的评估人员执行,更有可能可用于此类决策,从而减少重复评估的需要。
独立渗透测试人员或团队是指对组织系统进行公正渗透测试的个人或团体。公正性意味着渗透测试人员或团队在涉及渗透测试目标系统的开发、操作或管理方面,不存在实际或被认为的利益冲突。CA-2(1) 提供了有关可应用于渗透测试的独立评估的附加信息。
系统信息交换要求适用于两个或多个系统之间的信息交换。系统信息交换包括通过租用线路或虚拟专用网络的连接、与互联网服务提供商的连接、数据库共享或数据库交易信息的交换、与云服务的连接和交换、通过基于网络的服务进行的交换,或通过文件传输协议、网络协议进行的文件交换(例如)IPv4、IPv6、电子邮件或其他组织间的通信。组织会考虑在系统与可能具有不同安全和隐私要求及控制的其他系统交换信息时,可能引入的新威胁或增加的风险。这包括组织内部的系统以及组织外部的系统。如 CA-6(1) 或 CA-6(2) 所述,系统信息交换的联合授权可能有助于沟通并降低风险。授权官员确定与系统信息交换相关的风险以及为适当风险缓解所需的控制措施。所选择的协议类型基于诸如所交换信息的影响程度、交换信息的组织之间的关系等因素(例如政府对政府、政府对企业、企业对企业、政府或企业对服务提供者、政府或企业对个人),或是其他系统用户对组织系统的访问级别。如果交换信息的系统具有相同的授权官员,组织无需制定协议。相反,应关注系统之间的接口特性(例如在各自的安全和隐私计划中,描述了信息如何交换以及信息如何得到保护。如果交换信息的系统在同一组织内有不同的授权官员,组织可以制定协议或在各系统的相应安全和隐私计划中提供相同的信息,这些信息将会在适当的CA-3a协议类型中提供。组织可以将协议信息纳入正式合同,特别是针对联邦机构与非联邦组织(包括服务提供商、承包商、系统开发人员和系统集成商)之间建立的信息交换。风险考虑包括共享相同网络的系统。
内部系统连接是组织系统与独立组成系统组件之间的连接(即属于同一系统的组件之间的连接),包括用于系统开发的组件。系统内部连接包括与移动设备、笔记本和台式计算机、平板电脑、打印机、复印机、传真机、扫描仪、传感器和服务器的连接。组织可以不必对每个内部系统连接单独授权,而是可以对具有共同特征和/或配置的一类系统组件的内部连接进行授权,包括具有指定处理、传输和存储能力的打印机、扫描仪和复印机,或具有特定基础配置的智能手机和平板电脑。从是否为组织使命或业务功能提供支持的角度,审查了对内部系统连接的持续需求。
分配多个授权官员,其中至少有一名来自外部机构,作为系统的共同授权官员,可以提高基于风险的决策过程的独立性。这实施了适用于系统授权过程的职责分离和双重授权的概念。当外部组织在授权决策结果中具有既得利益或权益时,可能有必要聘用来自外部组织的授权官员来补充拥有或托管系统的组织的授权官员。跨机构联合授权流程适用于互联系统、共享系统或服务,以及拥有多个信息所有者的系统。外部组织的授权官员是正在进行授权的系统的关键利益相关者。
指派来自同一组织的多个授权官员作为系统的共同授权官员,可以提高基于风险的决策过程中的独立性。这也在系统授权过程中贯彻了职责分离和双重授权的理念。组织内部联合授权流程与联网系统、共享系统以及拥有多个信息所有者的系统最为相关。
组织可能依赖其他(外部)组织对其组织系统的控制评估。使用此类评估并重复利用已有的评估证据,可以通过减少组织需要执行的独立评估活动,从而降低评估所需的时间和资源。组织在决定是否接受外部机构的评估结果时考虑的因素可能各不相同。这些因素包括该组织以往与进行评估的组织的经验、评估组织的声誉、所提供的支持性评估证据的详细程度,以及适用法律、行政命令、指令、法规、政策、标准和指南所施加的要求。支持通用准则计划 [ISO 15408-1]、美国国家标准与技术研究院密码模块验证计划(CMVP)或美国国家标准与技术研究院密码算法验证计划(CAVP)的认证测试实验室可以提供独立评估结果,组织可以利用这些结果。
渗透测试是一种针对系统或系统组件进行的专业评估,旨在识别可能被对手利用的漏洞。渗透测试超越了自动化漏洞扫描,由具备技术专长的个体或团队进行,他们在网络、操作系统和/或应用级别安全方面拥有可证明的技能和经验。渗透测试可用于验证漏洞或确定系统在特定限制条件下对敌手的抵御能力。这些限制包括时间、资源和技能。渗透测试试图复制敌手的行为,并提供对安全和隐私相关弱点或缺陷的更深入分析。渗透测试在组织从旧技术向新技术过渡时尤其重要(例如,从 IPv4 网络协议过渡到 IPv6 网络协议)。组织可以利用漏洞分析的结果来支持渗透测试活动。渗透测试可以在系统的硬件、软件或固件组件上进行,既可以由内部进行,也可以由外部进行,并且可以测试物理和技术控制措施。渗透测试的标准方法包括基于对系统全面了解的测试前分析、根据测试前分析进行的潜在漏洞识别,以及旨在确定漏洞可利用性的测试。所有各方在开始渗透测试情景之前都会同意交战规则。组织将渗透测试的交战规则与预期对手可能使用的工具、技术和程序相关联。渗透测试可能会导致受法律或法规保护的信息被进行测试的人员接触到。可以使用交战规则、合同或其他适当的机制来传达如何保护这些信息的期望。风险评估指导关于进行渗透测试的人员所需独立性水平的决策。
行动计划和里程碑对于任何类型的组织跟踪计划的补救措施都是有用的。行动计划和里程碑是授权包所必需的,并且需遵守由管理和预算办公室(OMB)制定的联邦报告要求。
评估、授权和监控政策与程序涵盖了在系统和组织中实施的 CA 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策与程序有助于确保安全性和隐私性。因此,安全和隐私项目在制定评估、授权和监控的政策与程序时进行协作是非常重要的。一般来说,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要特定任务或系统的政策与程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能促使评估、授权和监控政策及程序更新的事件包括评估或审计发现、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织政策或程序。
红队演练通过检查组织的安全和隐私状况以及实施有效网络防御的能力,扩展了渗透测试的目标。红队演练模拟对手试图破坏任务和业务功能的行为,并提供对系统和组织的安全与隐私状况的全面评估。此类尝试可能包括基于技术的攻击和基于社会工程学的攻击。基于技术的攻击包括与硬件、软件或固件组件以及/或任务和业务流程的交互。基于社会工程学的攻击包括通过电子邮件、电话、偷看或个人对话进行的交互。红队演练在由具有当前对抗战术、技术、程序和工具知识及经验的渗透测试人员和团队进行时效果最佳。虽然渗透测试主要是基于实验室的测试,但组织可以利用红队演练提供更全面的评估,以反映真实世界的情况。红队演习的结果可以被组织用来提高安全性和隐私意识及培训,并评估控制措施的有效性。
风险监控由既定的组织风险容忍度提供依据。有效性监控确定已实施风险应对措施的持续有效性。合规性监控验证所需的风险应对措施是否已实施,同时验证安全性和隐私要求是否得到满足。变更监控识别可能影响安全和隐私风险的组织系统及操作环境的变化。
组织可以进行专业评估,包括验证与确认、系统监控、内部威胁评估、恶意用户测试以及其他形式的测试。这些评估可以通过训练组织能力并显示当前的绩效水平来提升准备度,从而集中采取行动以改善安全性和隐私性。组织根据适用的法律、行政命令、指令、法规、政策、标准和指南进行专业评估。授权官员在与组织风险执行职能协调后批准评估方法。组织可以将评估中发现的漏洞纳入漏洞修复流程。专业评估也可以在系统开发生命周期的早期阶段进行(例如,在初始设计、开发和单元测试期间)。
为了防止未授权的个人和系统向受保护系统进行信息传输,受保护系统通过独立手段验证尝试传输信息的个人或系统是否被授权这样做。信息传输授权的验证同样适用于控制平面流量(例如路由和 DNS)和服务(例如经过身份验证的 SMTP 中继)。
传递性或“下游”信息交换是指组织系统与其交换信息的系统及其他系统之间的信息交换。对于任务关键的系统、服务和应用程序,包括高价值资产,有必要识别此类信息交换。直接或间接连接到组织系统的下游系统中控制或保护措施的透明度,对于理解这些信息交换所带来的安全和隐私风险至关重要。组织系统可能通过传递性连接和信息交换从下游系统继承风险,这可能使组织系统更容易受到威胁、危害和不利影响的影响。
趋势分析包括审查最新的威胁信息,这些信息涉及组织或联邦政府中发生的威胁事件类型、某些类型攻击的成功率、技术中出现的新漏洞、不断演变的社会工程技术、配置设置的有效性、多个控制评估的结果,以及监察长的调查结果或审计师。