NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
自动化机制包括安装在媒体存储区外部入口上的键盘、指纹识别器或刷卡器。
对机密信息的降级使用经批准的清理工具、技术和程序,将已确认为非机密的信息从机密系统转移到非机密媒介。
受控未分类信息的降级使用经过批准的清理工具、技术和程序。
指定的保管人向组织提供媒体传输过程中的具体联系点,并促进个人问责。如果确定了明确的保管人,保管职责可以从一个人转移到另一个人。
组织可以通过提供信息来记录媒体降级过程,例如所采用的降级技术、被降级媒体的识别号以及授权和/或执行降级操作的个人身份。
组织采用双重授权来帮助确保系统介质的清理只有在两名具有技术资格的人员执行指定任务时才能进行。清理系统介质的人员具备足够的技能和专业知识,以判断拟议的清理是否符合适用的联邦和组织标准、政策和程序。双重授权还有助于确保消毒按照预期进行,从而防止错误和对已执行消毒操作的虚假声明。双重授权也可能被称为双人控制。为了降低勾结的风险,组织通常考虑将双重授权的职责轮换给其他人员。
None.
系统介质包括数字和非数字介质。数字介质包括闪存驱动器、软盘、磁带、外部或可移动硬盘(如固态、磁性)、光盘和数字多功能光盘。非数字介质包括纸张和微缩胶片。除非寻求访问病历的个人是授权的医护人员,否则在社区医院拒绝其访问患者病历,是限制非数字媒体访问的一个例子。在媒体库中,将存储在光盘上的设计规格仅限系统开发团队的成员访问,是限制数字媒体访问的一个例子。
媒体降级适用于组织外发布的数字和非数字媒体,无论该媒体是否被视为可移动。当应用于系统媒体时,降级过程会从媒体中删除信息,通常按安全类别或分类级别进行,以确保信息无法被检索或重建。媒体降级包括编辑信息以便更广泛的发布和分发。降级确保媒体上的空白区域没有信息。
安全标记是指应用或使用可由人读取的安全属性。数字媒体包括软盘、磁带、外部或可拆卸硬盘驱动器(如固态、磁性)、闪存驱动器、光盘和数字多功能光盘。非数字媒体包括纸张和微缩胶片。受控非机密信息由国家档案和记录管理局定义,并规定了此类信息的适当保护和传播要求,并在[32 CFR 2002]中有所规定。对于含有被组织认定为公共领域或可公开发布的信息的媒介,通常不需要安全标记。某些组织可能要求在公共信息上标注,以表明该信息可以公开发布。系统媒体的标记反映了适用的法律、行政命令、指令、政策、法规、标准和指南。
介质清理适用于所有需要处置或重新使用的数字和非数字系统介质,无论这些介质是否被认为是可移动的。示例包括扫描仪、复印机、打印机、笔记本电脑、工作站、网络组件、移动设备中的数字介质,以及非数字介质(例如纸张和微缩胶片)。清理过程会从系统介质中移除信息,使这些信息无法被检索或重建。清理技术——包括清空、清除、加密抹除、个人可识别信息的去标识化以及销毁——可以在介质被重新使用或处置时防止信息泄露给未授权人员。组织会确定适当的清理方法,并认识到当其他方法无法应用于需要清理的介质时,有时必须进行销毁。组织在对含有被认为属于公共领域或可公开发布的信息,或被认为即使释放用于再利用或处置也不会对组织或个人产生不利影响的信息的媒介,采用经批准的消毒技术和程序时会自行裁量。非数字媒体的清理包括销毁、从原本非保密的文件中移除保密附录,或通过以等同于从文件中移除它们的有效方式遮盖文件中的选定部分或词语来编辑文件。包含机密信息的媒体的清理过程由国家安全局的标准和政策进行控制。NARA 政策控制受控未分类信息的清理过程。
系统介质包括数字和非数字介质。数字介质包括闪存驱动器、软盘、磁带、外部或可移动硬盘(例如固态、磁性)、光盘和数字多功能光盘。非数字介质包括纸张和微缩胶片。对存储介质的物理控制包括进行盘点、确保制定程序以允许个人借出和归还介质,以及对存储介质保持责任追踪。安全存储包括锁闭的抽屉、桌子或柜子,或受控的介质库。媒介存储的类型应与媒介上信息的安全类别或分级相称。受控区域是提供物理和程序控制的空间,以满足用于保护信息和系统的要求。对于那些包含已确定为公共领域信息、可公开发布信息,或如果被非授权人员访问对组织、运营或个人影响有限的媒体,可能需要的控制措施较少。在这些情况下,物理访问控制即可提供足够的保护。
系统介质包括数字和非数字介质。数字介质包括闪存驱动器、软盘、磁带、外部或可移动硬盘(例如固态和磁性硬盘)、光盘以及数字多功能光盘。非数字介质包括缩微胶片和纸张。受控区域是指组织为满足保护信息和系统的要求而提供物理或程序控制的空间。保护媒体在传输过程中安全的控制措施包括加密和锁闭容器。根据所实施的机制,加密机制可以提供机密性和完整性保护。与介质运输相关的活动包括释放介质以便运输、确保介质进入适当的运输流程以及实际运输。授权的运输和快递人员可能包括组织外部的个人。在运输过程中保持介质的责任包括将运输活动限制在授权人员范围内,并在介质通过运输系统时跟踪和/或获取运输活动记录,以防止和发现丢失、破坏或篡改。组织根据对风险的评估,为与系统介质运输相关的活动建立文档要求。组织保留灵活性,可以针对不同类型的介质运输定义记录保存方法,作为运输相关记录系统的一部分。
系统媒介包括数字媒介和非数字媒介。数字媒介包括软盘、磁带、闪存驱动器、光盘、数字多功能光盘和可移动硬盘驱动器。非数字媒介包括纸张和微缩胶片。媒介使用保护同样适用于具有信息存储功能的移动设备。与限制用户访问媒体的 MP-2 相比,MP-7 限制在系统上使用某些类型的媒体,例如限制或禁止使用闪存驱动器或外部硬盘驱动器。组织使用技术和非技术控制措施来限制系统媒体的使用。组织可能会限制便携式存储设备的使用,例如,通过在工作站上使用物理保护罩来禁止访问某些外部端口,或禁用或移除插入、读取或写入此类设备的功能。组织还可以将可移动存储设备的使用限制为仅限批准的设备,包括组织提供的设备、其他已批准组织提供的设备以及非个人拥有的设备。最后,组织可能会根据设备类型限制便携式存储设备的使用,例如通过禁止使用可写的便携式存储设备,并通过禁用或移除对这些设备写入的功能来实施这一限制。要求存储设备有可识别的所有者可以降低使用这些设备的风险,因为这允许组织为处理设备中已知的漏洞分配责任。
便携式存储设备包括外部或可拆卸硬盘驱动器(例如,固态、磁性)、光盘、磁带或光盘、闪存设备、闪存卡以及其他外部或可拆卸磁盘。便携式存储设备可能来自不可信的来源,并且可能包含恶意代码,这些代码可以通过 USB 端口或其他入口传入或转移到组织系统中。虽然建议对存储设备进行扫描,但清理处理可以提供额外的保证,确保这些设备不含恶意代码。当组织在设备首次使用前从制造商或供应商处购买便携式存储设备,或当组织无法保持设备的完整流通记录时,会考虑对便携式存储设备进行非破坏性清理。
媒体保护政策和程序涉及在系统和组织内实施的 MP 系列的控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于确保安全性和隐私保护。因此,安全和隐私项目在制定媒体保护政策和程序时进行协作非常重要。通常情况下,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能引发媒体保护政策和程序更新的事件包括评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重新陈述控制措施并不构成组织政策或程序。
清理抵抗性是指介质对非破坏性清理技术的抵抗能力,即从介质中清除信息的能力。某些类型的介质不支持清理命令,或者即使支持,其接口在这些设备中也未以标准化方式得到支持。抗清除介质包括紧凑型闪存、板载和设备上的嵌入式闪存、固态硬盘以及 USB 可移动介质。
远程清除或擦除信息可以保护组织系统及系统组件上的信息,防止系统或组件被未授权人员获取。远程清除或擦除命令需要强身份验证,以帮助降低未授权人员清除或擦除系统、组件或设备的风险。清除或擦除功能可以通过多种方式实现,包括多次覆盖数据或信息,或销毁解密加密数据所需的密钥。
组织会审核并批准需要清理的媒体,以确保符合档案保留政策的要求。跟踪和记录操作包括列出审核和批准消毒及处置操作的人员、消毒的介质类型、存储在介质上的文件、使用的消毒方法、消毒操作的日期和时间、执行消毒的人员、采取的验证操作及执行验证的人员,以及所采取的处置措施。组织在处置之前会验证介质的清理是否有效。