3.4 控制分配表(CAT)
表8“低基线控制(项目)分配表”、表9“中等基线控制(项目)分配表”和表10“高基线控制(项目)分配表”分别列举了低、中、高三档基线控制措施,总结了3.3节中安全计划评估说明中的各判断语句相关信息,是对评估计划的简明概述。
3.4.1 低基线控制分配表
| 判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(a){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(a){2} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(b){2} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(b){3} | MAN | ISCM-TN | MAN | 待定 | ||||
| RA-5(c){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(d){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(e){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 | ||||
| SI-2(a){1} | SWFM | ISCM-TN | ISCM-Ops | 测试 | ||||
| SI-2(a){2} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
| SI-2(b){1} | MAN | ISCM-TN | MAN | 待定 | ||||
| SI-2(c){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
| SI-2(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
3.4.2 中基线控制分配表
| 判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| RA-5(1){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
| RA-5(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
| SA-11(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 | ||||
| SI-2(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
3.4.3 高基线控制分配表
| 判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
| SI-2(1){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
参考资料
[CNA] MITRE公司(2019)CVE编号机构. 网址:https://cve.mitre.org/cve/cna.html
[CNSSI 4009] 国家安全系统委员会(CNSS)(2015)术语表. (国家安全局,马里兰州乔治·G·米德堡)CNSS说明4009.网址:https://www.cnss.gov/CNSS/issuances/Instructions.cfm
[CPE] 国家标准与技术研究院(2020)通用平台枚举. 网址:https://csrc.nist.gov/projects/security-content- automation-protocol/specifications/cpe/
[CVE] MITRE公司(2019)常见漏洞与暴露(CVE). 网址:https://cve.mitre.org
[CVENVD] MITRE公司(2019)CVE与NVD的关系. 网址:https://cve.mitre.org/about/cve_and_nvd_relationship.html
[CVSS] First.org公司(2020)通用漏洞评分系统专题组(CVSS SIG). 网址:https://www.first.org/cvss/
[CWE] MITRE公司(2019)通用缺陷列表. 网址:https://cwe.mitre.org
[FIPS199] 国家标准与技术研究院(2004)联邦信息和信息系统安全分类标准. (美国商务部,华盛顿特区),联邦信息处理标准刊物(FIPS)199.网址:https://doi.org/10.6028/NIST.FIPS.199
[IR7511] Cook MR,Quinn SD,Waltermire DA,Prisaca D(2016),安全内容自动化协议(SCAP)1.2版,验证项目测试要求. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST跨部门/内部报告(IR)7511,修订版4.网址:https://doi.org/10.6028/NIST.IR.7511r4
[IR8011-1] Dempsey KL,Eavy P,Moore G(2017),安全控制评估自动化支持:第1卷:概述. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST跨部门/内部报告(IR)8011第1卷.网址:https://doi.org/10.6028/NIST.IR.8011-1
[IR8011-3] Dempsey KL,Goren N,Eavy P,Moore G(2018),安全控制评估自动化支持:软件资产管理. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST跨部门/内部报告(IR)8011第3卷.网址:https://doi.org/10.6028/NIST.IR.8011-3
[IR8060] Waltermire D.等人(2016),互操作软件识别(SWID)标签创建指南, (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST跨部门报告(NISTIR)8060.网址:https://csrc.nist.gov/publications/detail/nistir/8060/final
[NVD] 国家标准与技术研究院(2019)国家漏洞库. 网址:https://nvd.nist.gov
[SEI] Householder, A.D.,Wassermann, G.,Manion, A.,King, C.(2017),CERT协同漏洞披露指南. (卡内基梅隆大学软件工程学院,宾夕法尼亚州匹兹堡).网址:https://resources.sei.cmu.edu/asset_files/SpecialReport/2017_003_001_503340.pdf
[SP800-30] 联合特遣队转型计划(2012)风险评估指南. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-30,修订版1.网址:https://doi.org/10.6028/NIST.SP.800-30r1
[SP800-37] 联合特遣队(2018)信息系统与组织风险管理框架:安全与隐私的系统生命周期方法. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-37,修订版2.网址:https://doi.org/10.6028/NIST.SP.800-37r2
[SP800-39] 联合特遣队转型计划(2011),管理信息安全风险:组织、任务、信息系统视角,(国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-39.网址:https://doi.org/10.6028/NIST.SP.800-39
[SP800-53] 联合特遣队转型计划(2013),联邦信息系统与组织的安全和隐私控制,(国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-53,修订版4,包含截至2015年1月22日的更新.网址:https://doi.org/10.6028/NIST.SP.800-53r4
[SP800-53A] 联合特遣队转型计划(2014),联邦信息系统与组织的安全和隐私控制评估:制定有效的评估计划. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-53A,修订版4,包含截至2014年12月18日的更新.网址:https://doi.org/10.6028/NIST.SP.800-53Ar4
[SP800-60-v1] Stine KM,Kissel RL,Barker WC,Fahlsing J,Gulick J(2018),信息和信息系统类型与安全类别匹配指南. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-60第1卷,修订版1.网址:https://doi.org/10.6028/NIST.SP.800-30r1
[SP800-126] Waltermire DA,Quinn SD,Scarfone KA,Halbardier AM(2011),安全内容自动化协议(SCAP)技术规范:SCAP 1.2版本. (国家标准与技术研究院,马里兰州盖瑟斯),NIST特刊(SP)800-126,修订版2,包含截至2012年3月19日的更新.网址:https://doi.org/10.6028/NIST.SP.800-126r2
[SP800-163] Ogata MA,Franklin JM,Voas JM, Sritapan V,Quirolgico S(2019),移动应用安全审查. (国家标准与技术研究院,马里兰州盖瑟斯堡),NIST特刊(SP)800-163,修订版1.网址:https://doi.org/10.6028/NIST.SP.800-163r1
附录A:VUL控制项与示例攻击步骤的追溯关系
说明:本附录仅包含可自动化(至少可部分自动化)评估的控制项。
| 示例攻击步骤 | NIST SP 800-53控制项代码 |
| (2)发动内部攻击 | RA-5(b) |
| (2)发动内部攻击 | RA-5(c) |
| (2)发动内部攻击 | RA-5(d) |
| (2)发动内部攻击 | RA-5(e) |
| (2)发动内部攻击 | SA-11(d) |
| (2)发动内部攻击 | SI-2(a) |
| (2)发动内部攻击 | SI-2(c) |
| (2)发动内部攻击 | SI-2(d) |
| (2)发动内部攻击 | SI-2(1) |
| (5)扩大控制—升级或传播 | RA-5(b) |
| (5)扩大控制—升级或传播 | RA-5(c) |
| (5)扩大控制—升级或传播 | RA-5(d) |
| (5)扩大控制—升级或传播 | RA-5(e) |
| (5)扩大控制—升级或传播 | SA-11(d) |
| (5)扩大控制—升级或传播 | SI-2(a) |
| (5)扩大控制—升级或传播 | SI-2(c) |
| (5)扩大控制—升级或传播 | SI-2(d) |
| (5)扩大控制—升级或传播 | SI-2(1) |
附录B:用以判断支持VUL的控制措施的关键词规则
自动进行关键字搜索,识别NIST SP 800-53中可用于支持VUL能力的候选控制项。搜索到候选控制项后,手动检查每个控制项的语言内容,将支持VUL能力的控制项(真)与不支持VUL能力的控制项(假)区分开来。
有关低、中、高基线控制项目的信息,见表8、表9和表10。用于标识VUL控制措施的特定关键字规则如下表所示。
| 关键字规则 | 理由 |
| *缺陷修复* | 确保缺陷(CWE)在审批之前被检出并修复且后续会定期检查 |
| *高风险区域* | 确保软件在移至高风险区域的位置或环境之前得到妥善修补 |
| *非持久*或*持久* | 确保软件从持久可信来源加载,且该来源所包含的缺陷已消除或修补 |
| *漏洞*和*扫描* | 确保软件漏洞已识别并修复 |
附录C:对支持VUL的控制措施进行关键字搜索所返回的、判断为假的低-高基线控制项
| NIST SP 800-53控制项 | 相关文字 | 级别 | 判断为假的理由 |
| AU-6 (5) | 审计复核、分析及上报|整合/扫描和监控能力 组织将审计记录分析与【选择(一个或多个)】分析结合起来:漏洞扫描信息;性能数据;信息系统监控信息;【赋值:组织定义的数据/从其他来源收集的信息】】,以进一步增强识别不当或异常活动的能力。 | 高 | 与审计记录分析(而非VUL能力)相关 |
| CA-2 (2) | 安全评估|专业评估 组织的安全控制评估包括按【赋值:组织定义的频率】,【选择:通知,不通知】,【选择(一个或多个):深度监控;漏洞扫描;恶意用户测试;内部威胁评估;性能/负载测试;【赋值:组织定义的其他安全评估】】。 | 高 | 与评估能力相关 |
| RA-5 (4) | 漏洞扫描|可泄露的信息 组织判断攻击者可发现信息系统的哪些信息,然后采取【赋值:组织定义的纠正措施】。 | 高 | 与消除软件漏洞无关 |
| RA-5 (5) | 漏洞扫描|特权访问 信息系统对【赋值:组织识别的信息系统组件】实施特权访问授权,根据选择进行【赋值:组织定义的漏洞扫描活动】。 | 中 | 与访问/信任能力相关 |
附录D 不属于低、中、高基线的控制项
以下安全控制/控制项不属于NIST SP 800-53基线,因此在关键字搜索后没有进一步分析:
- 项目管理(PM)系列,因为PM控制不适用于单个系统
- 通过VUL关键字(如附录B中所述)选择、但不属于任何NIST SP 800-53基线的控制/控制项
- 隐私控制
本附录中提供了与上述各项标准匹配的控制/控制项,供想要自行开发自动化测试的组织使用。
| NIST SP 800-53控制/控制项 | 相关文字 |
| RA-5(3) | 漏洞扫描|覆盖广度/深度 组织采用漏洞扫描程序,可以确定覆盖范围的广度和深度(即要扫描的信息系统组件和漏洞)。 |
| RA-5(6) | 漏洞扫描|自动化态势分析 组织采用自动化机制比较不同时间的漏洞扫描结果,确定信息系统漏洞趋势。 |
| RA-5(8) | 漏洞扫描|查看历史审计日志 组织查看历史审计日志,确定信息系统中所识别的漏洞是否曾被利用。 |
| RA-5(10) | 漏洞扫描|关联扫描信息 组织将漏洞扫描工具的输出进行关联,判断是否存在多漏洞/多跳攻击手段。 |
| SC-34(1) | 不可修改的可执行程序|无可写存储 组织采用【赋值:组织定义的信息系统组件】,不存在可写存储,此种情况在组件重启后或上下电后均无变化。 |
| SI-2(3)(a) | 缺陷修复|缺陷修复时间/修复行动基准 组织: a.计算从缺陷识别到修复的时间 |
| SI-2(3)(b) | 缺陷修复|缺陷修复时间/修复行动基准 组织: b.为修复行动建立【赋值:组织定义的基准】 |
| SI-2(5) | 缺陷修复|自动化软件/固件更新 组织自动安装【赋值:组织定义的安全相关软件和固件更新】至【赋值:组织定义的信息系统组件】 |
| SI-2(6) | 缺陷修复|删除老版本软件/固件 组织在安装更新版本后删除【赋值:组织定义的软件和固件组件】 |
| SI-3(10)(b) | 恶意代码防护|恶意代码分析 组织: b.将恶意代码分析结果合入组织的事件响应及缺陷修复流程 |
| SI-14 | 非持久性 控制措施:组织实施非持久性的【赋值:组织定义的信息系统组件和服务】,这些组件和服务在已知状态下启动并终止【选择(一个或多个):在使用会话结束时;定期【赋值:组织定义的频率】】。 |
| SI-14(1) | 非持久性|根据可信来源刷新 组织确保信息系统组件和服务刷新期间使用的软件和数据从【赋值:组织定义的可信来源】获得。 |
附录E VUL相关的缩略词及缩写
| API | Application Programming Interface | 应用程序编程接口 |
| CVE | Common Vulnerability and Exposure | 常见漏洞和暴露 |
| CWE | Common Weakness Enumeration | 通用缺陷列表 |
| SWID Tag | Software Identification Tag | 软件标识标签 |
附录F 术语表
| 常见漏洞与暴露(CVE) [SP800-126] | 安全相关软件缺陷的术语和词典。 |
| 常见漏洞与暴露(CVE) [CVENVD] | 已知网络安全漏洞列表,每条漏洞包含一个唯一的标识号、描述以及至少一个公开参考链接[CVENVD]。此列表为国家漏洞数据库(NVD)提供输入。 参见 “CVE同类漏洞”。 |
| CVE同类漏洞 | 在特定软件中发现的已知漏洞,无论该漏洞是否公开。CVE为“CVE同类漏洞”的子集。 |
| 通用缺陷列表(CWE) [CWE] | 软件中可能存在的已知不规范编码实践列表 [CWE]. 参见“缺陷”。 |
| 通用缺陷列表(CWE) [CNSSI 4009] | 用于识别软件缺陷常见来源的分类法(例如缓冲区溢出、未检查输入数据等)。 |
| 动态代码分析器 | 计算机软件分析工具,该工具使用真实或虚拟处理器对所分析软件运行相应程序,观察其行为,探测应用程序并分析应用程序的响应。 |
| 元控制 | 对于某项控制措施进行的控制,例如,规定如何管理其他控制措施期望/实际状态的控制。 |
| 国家漏洞数据库(NVD) [IR7511] | 基于标准的美国政府漏洞管理数据库,其中的数据依照安全内容自动化协议(SCAP)进行组织,用于辅助漏洞管理自动化和安全评估,促进合规。NVD提供安全检查清单、安全相关的软件缺陷、错误配置、产品名称和影响指标。 |
| 软件包管理系统 | 一种管理工具或实用程序,用于在特定主机、设备或集中管理的主机池上安装和维护软件,查看已安装软件的属性。又称为软件包管理器、软件管理器、应用程序管理器或应用管理器。 |
| 程序包清单 | 软件包内容清单。 |
| 补丁级别 | 指补丁级别或补丁集。具体说,补丁须按顺序应用时,可用补丁级别标识最近应用的补丁。 |
| 补丁集 | 补丁若无须按特定顺序应用,补丁集则包括所有(且仅为)已应用的补丁。 |
| 软件产品和可执行文件版本 | 软件产品的补丁级别版本号或软件文件的数字指纹版本。 |
| 软件漏洞 [SP800-163,修订版] | 在软件代码中发现的可被攻击者(威胁源)利用的安全缺陷、失误或弱点。 |
| 静态代码分析器 | 无须运行代码的源代码分析工具。静态代码分析器用于检查源代码(编程语言级别)或编译代码(机器语言级别),识别不规范编码实践。静态代码分析器在代码开发阶段向开发人员反馈可能引入代码的安全缺陷。 |
| 漏洞 [CNSSI 4009] | 信息系统、系统安全程序、内部控制措施或实现中存在的可被威胁源利用的缺陷。 |
| 漏洞扫描器 | (就本卷而言)扫描网络设备以识别公开的和特定组织的CVE的网络工具(硬件和/或软件)。它可以基于各种签名策略来实现这一目的。 |
| 漏洞扫描器 | 用于识别主机/主机属性和相关漏洞(CVE、CWE等)的工具(硬件和/或软件)。 |
| 缺陷 | (就本卷而言)不规范的编码实践,如CWE。 |
附录G 本卷缺陷检查中影响期望及或/实际状态的控制项
该表支持:
- 确定必要的控制措施,将实际状态和期望状态数据的维护纳入有效的配置管理,以支持完整、及时、有效的测试。
- 在特定缺陷检查失败时进行根因分析。造成这种失败的原因可能是(1)映射到缺陷检查说明中该缺陷检查的特定控制项出现异常;或(2)任一控制项出现异常。
就本文而言,控制措施适用于期望状态(DS)和/或实际状态(AS)中的潜在缺陷。“理由”一栏说明了控制项中的缺陷为何会导致缺陷检查失败。
例如,在漏洞管理能力中,假设某组织已确定要检查哪些漏洞,并将这些漏洞录入期望状态元数据和检查工具中。然后,比较期望状态和检查工具,保证漏洞“检查过程”已完成。但是,如果期望状态数据本身未纳入有效的配置管理,那么,在出现内部威胁、疏忽或为利用特定漏洞而发动的外部攻击时,某些漏洞检查可能会从期望状态检查过程中删除。如果期望状态元数据已纳入有效的配置管理,则可以快速定位期望状态数据中的异常。否则,这些遗漏的漏洞检查只有在攻击成功后进行根因分析时(假设检测到了攻击),才能被发现。
说明:这些项目不一定包含在控制项评估说明中,除非同样适用于期望和实际状态以外的其他评估项目的配置管理。
| 判断语句ID | 判断语句 | 影响级别 | 影响DS和/或AS | 理由 |
| CM-2{1} | 确定组织是否:将开发、记录和维护信息系统的当前基线配置纳入配置控制。 | 低 | DS | 答案若为否定,则无期望状态可测。 |
| CM-2(1)(a){1} | 确定组织是否:审查、更新信息系统的基线配置: (a)【赋值:组织定义的频率】。 | 中 | DS | 答案若为否定,则期望状态可能未按需更新,无法确保安全。 |
| CM-2(1)(b){1} | 确定组织是否:审查、更新信息系统的基线配置: (b)按需【赋值:组织定义的情况】。 | 中 | DS | 答案若为否定,则期望状态可能未在组织定义的情况下进行更新。 |
| CM-2(1)(c){1} | 确定组织是否:审查、更新信息系统的基线配置: (c)作为信息系统组件安装和升级的必要组成部分。 | 中 | DS | 答案若为否定,则期望状态可能未在组件安装和更新时及时更新。 |
| CM-2(2){1} | 确定组织是否:采用自动化机制维护信息系统的基线配置,保证基线配置及时更新、信息完整准确、随时可用。 | 高 | DS | 答案若为否定,则可能无法提供准确的测试信息。 |
| CM-3(a){1} | 确定组织是否:采用自动化机制确定接受配置控制的系统{已安装软件}的变更类型。 | 中 | DS | 答案若为否定,期望状态可能无法明确执行缺陷检查所需要的所有机器可读数据。 |
| CM-3(b){1} | 确定组织是否:评审对系统{的软件}建议的配置控制变更并批准/否决此类变更。 | 中 | DS | 答案若为否定,期望状态决策可能无法充分反映变更的安全影响。 |
| CM-3(b){2} | 确定组织是否:在评审对系统{的软件}的建议配置控制更改时考虑了安全影响分析。 | 中 | DS | 答案若为否定,期望状态决策可能无法充分反映变更的安全影响。 |
| CM-3(c){1} | 确定组织是否:记录了与系统{已安装软件}相关的配置更改决策。 | 中 | DS | 答案若为否定,对期望状态说明所作的变更可能未予记录,无法提供机器可读数据。 |
| CM-3(d){1} | 确定组织是否:对系统{已安装软件}实施已批准的配置控制变更。 | 中 | AS | 答案若为否定,缺陷检查可能会因为变更未实际执行而失败。 |
| CM-3(f){1} | 确定组织是否:审计与系统{的软件}的配置控制变更相关的活动。 | 中 | DS | 答案若为否定,期望状态的异常可能无法检出。 |
| CM-3(f){2} | 确定组织是否:评审与系统{的软件}的配置控制变更相关的活动。 | 中 | DS | 答案若为否定,期望状态的异常可能无法检出。 |
| CM-3(g){1} | 确定组织是否:通过【赋值:组织定义的配置变更控制部门(如委员会、理事会等)】协调{软件的}配置变更控制活动【选择(一项或多项)】:【赋值:组织定义的频率】;【赋值:组织定义的配置变更条件】。 | 中 | DS | 答案若为否定,授权进行变更审批决策的人及其权限可能未明确定义,无法确知所授权的决策内容。 |
| CM-3(g){2} | 确定组织是否:通过【赋值:组织定义的配置变更控制部门(如委员会、理事会等)】监控{软件的}配置变更控制活动【选择(一项或多项)】:【赋值:组织定义的频率】;【赋值:组织定义的配置变更条件】。 | 中 | DS | 答案若为否定,授权进行变更审批决策的人及其权限可能未明确定义,无法确知所授权的决策内容。 |
| CM-3(1)(a){1} | 确定组织是否:采用自动化机制来记录对系统{已安装软件}的建议更改。 | 高 | DS | 答案若为否定,对期望状态说明所作的变更可能未予记录,无法用以评审。 |
| CM-3(1)(b){1} | 确定组织是否:采用自动化机制通知【赋值:组织定义的批准机构】系统{已安装软件}的建议更改并申请变更评审。 | 高 | DS | 答案若为否定,必要变更可能未及时评审。 |
| CM-3(1)(c){1} | 确定组织是否:采用自动化机制突出显示截至【赋值:组织定义的时间段】尚未批准或已否决的对系统{已安装软件}的建议更改。 | 高 | DS | 答案若为否定,必要变更可能未及时评审。 |
| CM-3(1)(d){1} | 确定组织是否:采用自动化机制禁止对系统{已安装软件}进行更改,直到该等变更得到指定审批。 | 高 | DS | 答案若为否定,可能会执行未批准的变更。 |
| CM-3(1)(e){1} | 确定组织是否:采用自动化机制来记录对系统{已安装软件}的所有更改。 | 高 | AS | 答案若为否定,变更记录可能无法反映系统的实际状态。 |
| CM-3(1)(f){1} | 确定组织是否:采用自动化机制在系统{已安装软件}的批准更改完成时通知【赋值:组织定义的人员】。 | 高 | DS | 答案若为否定,可能会漏掉必要变更。 |
| CM-3(2){1} | 确定组织是否:在对运营系统实施变更之前,测试、验证并记录对系统{的软件}的更改。 不适用于运营环境。在将策略置于期望状态之前,应通过手动重新授权来评估此项。该项为系统工程的一部分,所以不属于运营能力范围。 | 中 | DS和AS | 答案若为否定,该类变更可能会带来运营或安全缺陷,增加风险。 |
| CM-8(a){1} | 确定组织是否:开发并记录系统组件{针对软件}清单,该清单(1)准确地反映了当前系统,(2)包括系统授权范围内的所有组件。 | 低 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单可能会有准确性、完整性和/或内容方面的问题。 |
| CM-8(a){2} | 确定组织是否:开发并记录系统组件{针对软件}清单,具体粒度由【组织】根据跟踪和报告需求确定。 | 低 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单的具体粒度可能会有问题。 |
| CM-8(b){1} | 确定组织是否:按【赋值:组织定义的频率】更新系统组件清单{针对软件}。 | 低 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单以及相关流程的缺陷可能无法检出。 |
| CM-8(b){2} | 确定组织是否:按【赋值:组织定义的频率】评审系统组件清单{针对软件}。 | 低 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单以及相关流程的缺陷可能无法检出。 |
| CM-8(1){1} | 确定组织是否:更新系统{已安装软件}组件清单,作为组件安装、删除和系统更新的组成部分。 | 中 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单以及相关流程的缺陷可能无法检出。 |
| CM-8(2){1} | 确定组织是否:采用自动化机制维护信息{已安装软件}组件清单,保证清单及时更新、信息完整准确、随时可用。 | 高 | DS和AS | 答案若为否定,期望状态和实际状态的组件清单可能未及时更新,信息未必准确,无法用于自动化评估。 |
| CM-8(3)(a){1} | 确定组织是否:是否采用自动化机制按【赋值:组织定义的频率】检测系统中是否存在未经授权的软件和固件组件。 | 中 | AS | 答案若为否定,清单准确性(如完整性和及时性)可能很难或无法维护。 |
| CM-8(3)(b){1} | 确定组织是否:在检测到未经授权的{已安装软件}组件时采取以下操作:【选择(一个或多个):禁用此类组件的网络访问;隔离组件;通知【赋值:组织定义的人员或角色】】。 | 中 | AS | 答案若为否定,检出的安全缺陷可能未进行缓解。 |
| CM-8(4){1} | 确定组织是否:在{已安装软件}系统组件清单信息中提供方法,通过【选择(一个或多个):名称;职位;角色】来确定这些组件的管理者。 | 高 | DS | 答案若为否定,检出缺陷时,自动化系统不知道通知哪些个人或团队妥善应对。 |
| 判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 | 级别 |
| CM-2{1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 低 | ||||
| CM-2(1)(a){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-2(1)(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-2(1)(c){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-2(2){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(a){1} | DSM | ISCM-TN | MAN | 待定 | 中 | ||||
| CM-3(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(b){2} | DSM | ISCM-TN | MAN | 待定 | 中 | ||||
| CM-3(c){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(d){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(f){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(f){2} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(g){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(g){2} | DSM | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-3(1)(a){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(1)(b){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(1)(c){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(1)(d){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(1)(e){1} | ISCM-Sys | ISCM-TN | MAN | 待定 | 高 | ||||
| CM-3(1)(f){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-3(2){1} | DSM | ISCM-TN | MAN | 待定 | 中 | ||||
| CM-8(a){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 低 | ||||
| CM-8(a){2} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 低 | ||||
| CM-8(b){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 低 | ||||
| CM-8(b){2} | DSM | ISCM-TN | ISCM-Sys | 测试 | 低 | ||||
| CM-8(1){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-8(2){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 高 | ||||
| CM-8(3)(a){1} | ISCM-Sys | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-8(3)(b){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | 中 | ||||
| CM-8(4){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | 高 |
译者声明:
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。