【公益译文】信息安全持续监控ISCM白皮书

信息安全持续监控(ISCM)是指对组织的信息安全、漏洞和威胁进行持续监控,为其风险管理决策提供支持。本文即为政府及组织的信息安全持续监控提供框架及指引。在目前情况下,组织的绝大多数的关键业务职能依赖于信息技术,管理这项技术以及确保信息的保密性、完整性和可用性对于业务来说也是非常关键的。

在设计企业架构及其安全架构时,组织需要满足其治理架构、使命和核心业务过程在IT基础设施方面的安全需求。信息安全是一个动态的过程,必须进行有效主动的管理以识别、应对新的漏洞、不断变化的威胁,以及组织持续变化的系统架构和运行环境。

由NIST开发的风险管理框架(RMF)提供了将信息安全和风险管理活动整合于系统开发生命周期的严格、结构化的流程。持续监控是风险管理流程中的关键部分。另外,组织也应该监控其整体安全架构及其相关的安全项目,以确保即使在发生各种变化的情况下,组织仍在整体上运行于可接受的风险水平之内。及时、相关、准确的信息至关重要,机构必须有所取舍,在资源缺乏时尤其如此。

**信息安全持续监控是指对组织的信息安全、漏洞和威胁进行持续监控,为其风险管理决策提供支持。 **

主要目录

1.0 概述 5
1.1 背景 5
1.2 与其他特刊的关系 6
1.3 目的 6
1.4 目标受众 6
1.5 内容简介 6
2.0 基本原理–持续监控对风险管理的支持 7
2.1 组织的ISCM观 7
2.2 持续系统授权 9
2.3 ISCM中的自动化 10
2.4 角色及职责 11
3.0 流程–定义ISCM策略和执行ISCM项目 13
3.1 定义ISCM策略 13
3.2 建立ISCM项目 17
3.3 执行ISCM计划 21
3.4 分析数据、汇报结果 21
3.5 响应评估/监控结论 23
3.6 评估、更新监控项目与策略 23
附录A 参考文件 25
附录B 术语表 26
附录C 缩略语 35
附录D 实现ISCM的技术 37
D.1 数据收集技术 37
D.2 汇总分析技术 42
D.3 自动化与参考数据源 43

信息安全持续监控是什么?

信息安全持续监控(ISCM)是指对组织的信息安全、漏洞和威胁进行持续监控,为其风险管理决策提供支持。根据组织风险容忍度,本文特别强调对安全控制有效性、组织安全状态的评估和分析。安全控制有效性体现在实施的正确性以及根据当前的风险容忍度,控制措施满足组织需求的程度(比如,控制措施是否符合安全计划,并能处理威胁?安全计划是否充分?)。通过组织确立的安全指标衡量组织的安全状态,了解组织信息和信息系统的安全状况,并根据已知威胁信息了解组织的抗打击能力。因此,以下内容将成为必需:

  • 保持对组织范围内所有系统的态势感知;
  • 持续了解威胁和威胁活动;
  • 评估所有的安全控制措施;
  • 收集、关联并分析安全相关信息;
  • 在组织各层级间传达可靠的安全状况信息;
  • 和组织管理人员主动进行风险管理;

在组织实施任何信息安全持续监控工作或流程(process)之前,管理层必须事先对ISCM策略(strategy)进行全面定义,该战略涵盖技术、流程、规程(procedure)、运行环境和人的因素。该策略:

  • 基于对组织的风险容忍度的明确了解,帮助管理人员为整个组织设定优先级和管理风险;
  • 提供相关指标,以衡量组织各层级的安全状况;
  • 确保安全控制措施的持续有效性;
  • 验证是否符合信息安全要求,符合组织的任务/业务职能、联邦法律、法令、规定、政策和标准/指南;
  • 考虑到组织所有的IT资产,如实反映其安全状况;
  • 确保了解并控制组织系统和运营环境的变化;
  • 以及对威胁和漏洞保持关注。

ISCM立项后,按照预先制定的指标收集信息,在此过程中所参考的部分信息通过实施安全控制措施获得。组织的管理人员按需定期收集分析数据,并根据各组织层级的需要管理风险。这个过程涉及到整个组织的各级人员,从负责公司治理和战略规划的高级领导到各种组织核心任务/业务流程支撑系统的具体开发、实施和操作人员。这样就可以从组织全局的角度对风险缓解、拒绝、转移和接受活动进行有效决策。

组织的安全架构、安全运行能力、监控流程会随着时间的推移不断改进和成熟,以更好地应对动态的威胁和漏洞局面。应根据需要,定期审核组织ISCM策略和项目的相关性,对其进行必要调整,提高对资产可见性以及对漏洞的了解,同时对组织的信息基础架构实施数据驱动控制,并提升组织的抗打击能力。

组织范围的监控难以仅凭手工流程或自动化流程有效达成。使用手动流程时,过程是可重复、可验证的,能够持续实施。自动化流程(包括使用自动化支持工具如漏洞扫描工具和网络扫描设备)使持续监控活动更有效、更具有成本效益和一致性。在NIST SP 800-53,《联邦政府信息系统推荐使用的安全控制措施(修订版)》中定义的许多技术性安全控制措施是监控活动中自动化工具和技术的优先选项。通过使用自动化工具对技术控制措施进行实时监控可以让组织动态了解这些控制措施的有效性及组织的安全状况。重要的是,所有综合的信息安全项目,均须对所实施的安全控制措施(包括管理和操作性控制措施)定期进行有效性评估,即使相关监控无法或很难自动化。

组织通过采取以下步骤建立、实施和维护连续监控项目。这些步骤包括以下内容:

  • 定义ISCM策略;
  • 建立ISCM项目;
  • 实施ISCM项目;
  • 分析数据并报告发现;
  • 对发现做出响应;
  • 评审和更新ISCM策略和项目。
ISCM流程

ISCM流程

健康的ISCM项目能够使组织从合规驱动的风险管理转向数据驱动的风险管理,为组织提供必要的信息,为风险应对决策、安全状况信息和持续了解安全控制有效性提供支持。

《联邦信息系统和组织信息安全持续监控》目标受众

本文服务于与联邦信息系统的设计、开发、实施、运行、维护和处理相关的关人员,包括:

  • 任务/业务负责人或受托人(例如:联邦机构负责人、首席执行官和首席财务官)
  • 负责开发和集成信息系统的人员(例如:项目经理、信息技术产品开发人员、信息系统开发人员、信息系统集成商、企业架构师和信息安全架构师)
  • 负责信息系统和/或安全管理/监督的人员(例如:高级主管、风险主管、授权主管、首席信息官和高级信息安全主管)
  • 负责信息系统、安全控制评估和监控的人员(例如:系统评估人、审核人/审核小组、独立的验证评估人、审计师或信息系统负责人);以及
  • 负责信息安全实施和运营的人员(例如:信息系统责任人、通用控制措施提供人、信息负责人/管理人、任务/业务负责人、信息安全架构师和信息系统安全工程师/管理人 )

《联邦信息系统和组织信息安全持续监控》文档信息

  • 原文名称:Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations
  • 原文作者:Kelley Dempsey, Nirali Shah Chawla, Arnold Johnson, Ronald Johnston, Alicia Clay, Jones, Angela Orebaugh, Matthew Scholl, Kevin Stine
  • 原文发布日期:2011年9月
  • 原文发布组织:National Institute of Standards and Technology
  • 译者及校对者:小蜜蜂公益翻译组

免责声明

本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。

结论

在目前情况下,组织的绝大多数的关键业务职能依赖于信息技术,管理这项技术以及确保信息的保密性、完整性和可用性对于业务来说也是非常关键的。在设计企业架构及其安全架构时,组织需要满足其治理架构、使命和核心业务过程在IT基础设施方面的安全需求。信息安全是一个动态的过程,必须进行有效主动的管理以识别、应对新的漏洞、不断变化的威胁,以及组织持续变化的系统架构和运行环境。

由NIST开发的风险管理框架(RMF)提供了将信息安全和风险管理活动整合于系统开发生命周期的严格、结构化的流程。持续监控是风险管理流程中的关键部分。另外,组织也应该监控其整体安全架构及其相关的安全项目,以确保即使在发生各种变化的情况下,组织仍在整体上运行于可接受的风险水平之内。及时、相关、准确的信息至关重要,机构必须有所取舍,在资源缺乏时尤其如此。

更多内容,请下载文末附件:联邦信息系统和组织信息安全持续监控(ISCM)

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

发表评论