NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
检测高级持续性威胁(APT)并预防成功攻击的有效方法是为个人提供特定的安全意识培训。威胁意识培训包括教育个人了解APT可能渗透组织的各种方式(例如,通过网站、电子邮件、广告弹窗、文章和社会工程学)。有效的培训包括识别可疑电子邮件的技巧、在不安全环境中使用可移动系统的方法,以及个人在家中可能成为攻击目标的情况。
由于威胁随着时间不断变化,组织提供的威胁素养培训也是动态的。此外,威胁素养培训并不是独立于支持组织使命和业务功能的系统操作之外进行的。
环境控制包括灭火和探测装置或系统、自动喷水灭火系统、手提灭火器、固定消防水带、烟雾探测器、温度或湿度控制、供暖、通风、空调以及设施内的电力。
潜在的内部威胁指标和可能的前兆行为包括过度、长期的工作不满;试图获取与工作职责无关的信息;无法解释地访问财务资源;欺凌或骚扰同事;职场暴力;以及其他严重违反政策、程序、指令、规章、规则或规范的行为。读写能力培训包括如何通过组织建立的渠道,并按照既定的政策和程序,传达员工和管理层对潜在内部威胁指标的关切。组织可以考虑根据岗位的不同定制内部威胁意识培训内容。例如,针对管理者的培训可能侧重于团队成员行为的变化,而针对员工的培训可能更侧重于一般性的观察。
组织为系统用户提供基础和高级的识字培训,包括测试用户知识水平的措施。组织根据特定的组织需求、人员被授权访问的系统以及工作环境(例如远程办公)来确定识字培训和意识提高的内容。内容包括对安全和隐私需求的理解,以及用户为维护安全和个人隐私所采取的行动,以及对可疑事件的应对。内容涉及操作安全的必要性以及个人身份信息的处理。提高意识的技术包括张贴海报、提供带有安全和隐私提醒的物品、显示登录屏幕消息、由组织官员发送电子邮件通知或公告,以及举办意识活动。初始培训后进行的素养培训,如AT-2a所述。1 的执行频率至少应符合适用的法律、指令、法规和政策的要求。后续的识字培训可以通过一次或多次简短的临时会议来完成,并包括关于最新攻击手法、组织安全和隐私政策的变化、修订后的安全与隐私期望,或初始培训中部分主题的信息。定期更新识字培训和意识内容有助于确保内容保持相关性。可能促使更新识字培训和意识内容的事件包括但不限于评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。
物理安全控制包括物理访问控制设备、入侵检测警报、设施保安操作程序以及监控或监视设备。
意识和培训政策与程序涉及在系统和组织中实施的AT系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定意识和培训政策及程序时进行协作非常重要。通常,组织层面的安全和隐私项目政策和程序是可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致更新意识和培训政策与程序的事件包括评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅简单重述控制措施并不构成组织政策或程序。
安全的实际演练包括针对软件开发人员的培训,这些培训涉及利用常见软件漏洞的模拟攻击,或针对高级领导或高管的定向或大型钓鱼攻击。隐私实操练习包括带有测验的模块,内容涉及在各种情境中识别和处理个人身份信息,或在进行隐私影响评估时的情景演练。
可识别个人身份信息的处理和透明度控制包括组织处理可识别个人身份信息的权限以及可识别个人身份信息的处理目的。针对联邦机构的基于角色的培训,涉及可能构成个人身份信息的信息类型以及与其处理相关的风险、注意事项和义务。此类培训还考虑了处理个人可识别信息的权限,这些信息在隐私政策和通知、记录系统通知、计算机匹配协议和通知、隐私影响评估、[PRIVACT] 声明、合同、信息共享协议、谅解备忘录以及/或其他文件中有记载。
组织根据个人的分配角色和职责,以及组织和人员被授权访问的系统的安全和隐私要求,来确定培训的内容,包括针对分配任务量身定制的技术培训。可能需要基于角色培训的职位包括高级领导或管理人员(例如机构负责人/首席执行官,首席信息官,风险管理高级负责人,机构高级信息安全官,机构高级隐私官员,系统所有者;授权官员;系统安全官员;隐私官员;采购和采购官员;企业架构师;系统工程师;软件开发人员;系统安全工程师;隐私工程师;系统、网络和数据库管理员;审计员;进行配置管理活动的人员;执行验证和确认活动的人员;有系统级软件访问权限的人员;控制评估员;负责应急计划和事件响应的人员;负责隐私管理的人员;以及有个人身份信息访问权限的人员。综合的基于角色的培训涵盖管理、操作和技术角色及职责,包括物理、人员和技术控制。基于角色的培训还包括针对已定义的安全和隐私角色的政策、程序、工具、方法和工件。组织提供必要的培训,使个人能够在组织安全和隐私计划的背景下履行与运营和供应链风险管理相关的职责。基于角色的培训也适用于为联邦机构提供服务的承包商。培训类型包括基于网络和计算机的培训、课堂式培训以及实践培训(包括微型培训)。定期更新基于角色的培训有助于确保内容保持相关性和有效性。可能导致基于角色的培训内容更新的事件包括但不限于评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。
社会工程学是一种试图欺骗个人泄露信息或采取某种行动的方法,这些信息或行动可能被用来入侵、破坏或以其他方式对系统产生不利影响。社会工程学包括网络钓鱼、虚构借口、冒充、诱饵、互惠手段、话题劫持、社交媒体利用和尾随进入等手段。社会挖掘是试图收集有关组织的信息,这些信息可能被用来支持未来的攻击。素养培训包括关于如何通过组织的渠道,根据既定政策和程序,传达员工和管理层对潜在和实际社会工程及数据挖掘情况的关注的信息。
经过良好培训的员工队伍提供了另一种组织控制措施,可以作为纵深防御策略的一部分,用于防止恶意代码通过电子邮件或网络应用程序进入组织。员工接受培训以识别潜在可疑电子邮件的迹象(例如:收到意外的电子邮件、收到包含奇怪或语法错误的电子邮件,或收到来自陌生发件人的电子邮件,看起来像是来自已知的赞助商或承包商。人员还接受了如何应对可疑电子邮件或网络通信的培训。为了使这一流程有效运作,人员需接受培训并了解哪些行为构成可疑通信。对人员进行培训,使其能够识别系统中的异常行为,可以为组织提供恶意代码存在的早期警告。组织人员对异常行为的识别可以补充组织使用的恶意代码检测和防护工具及系统。
培训反馈包括意识培训结果和基于角色的培训结果。培训结果,特别是关键岗位人员的失败情况,可能表明存在潜在的严重问题。因此,重要的是让高级管理人员了解此类情况,以便他们能够采取适当的应对措施。培训反馈支持对 AT-2b 和 AT-3b 中描述的组织培训进行评估和更新。
专业培训的文档可以由各个主管根据组织的自主决定进行管理。国家档案和记录管理局为联邦机构提供有关档案保留的指导。