记下来想到的吧。
FISMA的经典图如下,看了这个你就知道什么是FISMA了
FISMA的全称是The Federal Information Security Management Act,联邦信息安全管理法案。
FISMA把责任分配到各种各样的机构上来确保联邦政府的数据安全。法案需要程序员和每个机构的头目对信息安全计划执行年度评论,目的是为了以一种低开销,及时和有效的方式来把风险控制在可接受的范围之内。国家标准和技术研究所(NIST)强调了要遵循FISMA的九步:
- 把要保护的信息进行分类
- 选择最小的底线控制
- 使用风险评估过程来重新修改控制
- 在系统安全计划中用文档把怎样控制描述出来
- 在合适的信息系统实施安全控制
- 一旦安全控制付诸于实施,评估安全控制的有效性
- 决定任务和商业案例的风险等级
- 赋予信息系统处理的权力
- 在一个持续的基础上监视安全控制
以下是昨天翻译的FISMA讲解资料,贴出来。
FISMA使得一直忽视计算机安全的联邦政府开始关注计算机安全。在2005年2月,许多政府机构都在公务报告卡上收到了极低的评价,而2004年是67.3%,只比2003年高出2.3个百分点。这就显示了联邦机构在如何处置计算机安全的优先级中已经处于边缘增长,但是专家警告说这个平均水平必须增加以切实保护政府自身。
一个信息系统的FISMA遵从过程
FISMA使用强制过程系列,美国政府联邦机构或代表美国政府机构的合约商使用或运营的所有信息系统必须遵从这些过程。这些过程必须遵循Information Processing standards (FIPS)文档集合、NIST的SP-800系列和其他联邦信息系统立法相关的,如Privacy Act of 1974和HIPAA。
定义系统的边界
第一步是确定什么组成了“信息系统”。这不是直接将计算机映射到信息系统,而是说信息系统可以是单个计算机放入同一个目标的集合,并由同一个系统拥有着管理。NIST SP 800-18提供了确定系统边界的指导。
定义并分类系统中的信息类型
下一步是决定系统中存在的信息类型,并依据系统遭到C、I、A的破坏时,造成的损害将每个信息分类。NIST SP 800-60提供了信息类型的目录,FIPS-199提供了分类的方法论及三个标准的定义。全部FIPS-199系统的分类是所有信息类型的所有标准中影响分级的上限。
为系统选择并实施安全控制措施
如果问题系统处于设计或实施的生命周期阶段,必须选择并实施一系列安全控制。NIST SP 800-53提供了目录。
系统文档
系统相关信息,如系统边界、信息类型、组成部分、责任人、用户组织描述、与其他系统的交互及每个安全控制的实施细节都需要在系统安全计划中记录成文档。NIST SP 800-18 Rev 1提供了文档标准指引。附加文档,如系统的应急计划同样需要在此阶段准备。关于应急计划的指导可以在NIST SP 800-34中找到。
执行风险评估
一旦文档记录了控制执行,就需要执行风险评估。一个风险评估从从识别潜在风险和弱点开始,并将执行的控制映射到单个弱点中。再通过被攻击弱点的可能性和影响计算出风险,考虑存在的控制。风险评估的顶点显示所有弱点计算出的风险,并描述风险是被接受还是削减。如果削减,那么需要描述SP 800-53中添加的控制。NIST SP 800-30提供了风险评估过程的指导。
认证一个系统
一旦完成了系统文档和风险评估,那么需要对系统的控制进行功能性适当的评估并认证。对一个FIPS-199低分类的系统来说,认证只需要一个自评估。对分在FIPS-199中更高级别的系统来说,需要一个独立的第三方来执行认证。NIST SP 800-26提供了自评估过程的指引。NIST SP 800-53A提供了对单独控制的评估方法指引。
认可一个系统
一旦一个系统认证结束后,那么安全文档包就可以由官方认可,官方如果对文档和认证结果满意,就通过生成运行许可来认可该系统。这个认可过程一般经历三个阶段,而且可能随时执行添加控制或过程。NIST SP 800-37提供了认证和认可系统的指引。
持续监控
所有授权系统都需要监控选择的安全控制系列的功效,系统文档的更新以适应更改和对系统的修正。系统安全概要的重大更改都应触发新的风险评估,并且重大更改的安全控制也需要重新授权。对持续监控的指引可以在NIST SP800-37和SP 800-53A中找到。
FISMA还是一个让我很感兴趣的话题,继续关注中!
