还剩80页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
NISTSpecialPublication800-55信息技术系统的安全指南20037目录TOC\o1-3\h\z\u
1.引言
12.任务和责任
53.信息安全度量背景
94.度量发展和执行过程15附录A:安全度量的实例
291.引言测量信息技术安全性能的要求是由调整的、金融的以及组织的要求提出的许多现存的法律、规则、章程都通常引用IT的性能度量,尤其是作为一种要求的信息技术安全性能测量这些法规包括Clinger-CohenActGovernmentPerformance,ResultsActGPRAGovernmentPaperworkEliminationActGPEA和FederalInformationSecurityManagementActFISMA本文件是信息技术系统级别度量的发展、选择和执行的一个向导,该度量用于测量信息安全控制和技术的性能1信息技术度量通过收集、分析和报告相关的性能数据,从而推动制定决策、改进性能和责任本文件阐述了一个组织如何通过使用度量来鉴别一个安全控制、政策和程序是否合适它提供了一种方法帮助决策将额外的安全保护资源投放到何处以及评价和鉴别非生产的控制它揭示了度量的发展和执行的程序,以及怎样用于充分地评价安全控制的投入有效的信息技术安全度量提供有用的数据来指导信息安全资源的配置,也可以简化相关性能报告的准备该项目的成功执行可以帮助代理满足OfficeofManagementandBudgetOMB每年报告信息安全项目现况的要求历史度量信息安全控制和技术的方法已经很多年显影不足了本文基于以往的努力,提出了一种将NationalInstituteofStandardsandTechnologyNISTSpecialPublicationSP800-26SecuritySelf-AssessmentGuideforInformationTechnologySystems中的安全控制目标和技术结合进来的方法关于系统和项目的安全控制目标和技术每年都会向OMB回顾和报告,以保持和包含了FISMA的ElectronicGovernmentActof2002的一致性该法案要求部门和代理保证满足可应用的安全要求,以及根据每年的项目回顾证明其真实的性能水平2002年5月21日,NISTFederalComputerSecurityProgramManagers’Forum发
1.“系统”一次是一个汇集性的术语,可以表示OMBCircularA-130AppendixIII.中定义的MajorApplicationsMA和GeneralSupportSystemsGSS起两个信息安全度量以帮助联邦职员起草OMB财政年度2002GovernmentInformationSecurityReformActGISRA的报告GISRA是PublicLaw106398FloydD.SpenceNationalDefenseAuthorizationActforFiscalYear2001的一部分,被FISMA在2002年12月所替代大约75个联邦政府职员参加了该项目,在这里他们研究如何发展基于NISTSP800-26的信息安全度量该文件,NISTSP800-55包含了该项目的进程,包括由突破小组提出的最初度量;扩展了该项目小组提出的主题;并且提出了度量的示例以及使用度量的执行指导
1.2安全项目综述一个组织的安全度量应该包括4个相互关联的因素(见图1-1)一个强壮的高水准的管理支持的基础是急需的,不仅仅为了安全项目的成功,同时也是为了安全度量项目的执行这种支持将焦点放在了组织中最高级别的安全上如果没有一个坚固的基础(例如,给那些控制IT资源人员的前摄支持),这个安全度量项目的有效性将会在政治和预算的限制下失败一个有效的安全度量项目的第二个因素是由权威支持的实用的安全政策和程序以保证其权威性实用的安全政策和程序应当是力所能及的并且通过适当的控制可以提供强大的安全如果没有合适的程序,度量是很难做到的第三,为了获得和提供有意义的性能数据,需要建立可计量的性能度量而且,要提供有意义的数据,可计量的安全度量必须以信息安全性能为目标,同时也需要具有可行性,能够容易做到它应该是可重复的,能够提供性能的走势,而且,能够跟踪性能和指引资源配置最后,安全度量项目必须强调对测量数据定期的分析,以弥补已得到的教训,改进现有安全控制的性能,部署未来的控制计划,以满足各种新出现的安全要求正确的数据收集必须保证对项目干系人和使用者的优先权,以使收集的数据是对整个安全项目的管理和改进是意义重大的一个信息安全项目执行的成功与否应该由其执行结果的效用程度来评判一个全面的安全度量项目应该提供足够的理由,以达成能够直接影响组织情况的决议这些决议包括预算、人事需求以及对可利用资源的配置安全度量应该为安全性能相关报告的准备提供精确的基础
1.3和其他NIST文件的关系本文件是NIST系列专刊的一个后续NIST旨在帮助信息安全项目中的制定、执行和维护人员NISTSP800-26确定了5个管理控制的主题,9个运行控制的主题和3个技术控制的主题以改变一个组织的安全情况本文件提供了一种被推荐的方法来量化NISTSP800-26中的关键部分以及确定系统安全控制目标和技术的执行和有效性
1.4读者本文件的指导是为各种级别的信息管理者和安全专家提供,包括政府内和政府外的
1.5文件结构以下的讨论分为如下几个部分第二部分----任务和责任描述了代理职员的任务和责任,他们对整个信息安全项目的成功和安全度量项目的建立有直接的关系第三部分----信息安全度量背景提供了安全度量、执行利益、各种类型的安全度量和直接影响安全度量项目成功的因素的相关背景和定义第四部分----度量发展介绍了用于信息安全度量发展的方法第五部分----度量项目执行讨论了可以影响安全度量项目的技术执行的各种因素 本向导同时包含了3个附录附录A-计算机安全度量示例,提供了安全度量的应用示例,它们可以被使用或修改以满足特殊代理的需求附录B提供了本文件中出现的缩写词的清单附录C是参考材料清单
2.任务和责任本部分略述了发展和执行信息安全度量的主要任务和责任
2.1代理领导代理领导要对整个组织的IT下部组织的安全情况负责他要控制安全预算,对资源配置有最终管理权代理领导有如下关于信息安全性能度量的责任对信息安全度量的发展和执行做出示范支持,要沟通代理机构的职务支持保证项目拥有足够的财政和人力资源在整个代理机构中积极促进信息安全度量成为信息安全性能改进的核心制定相关政策以制定度量和促进度量的发展和执行激励项目管理者,保证他们发扬和使用度量以支持信息安全项目
2.2首席信息官InformationTechnologyManagementReformActof1996(我们常说的Clinger-CohenAct要求代理任命首席安全官CIOs并且使用商业过程和性能测量来保证有效的IT获得和执行CIO有如下信息安全度量的相关责任通过正式的领导关系来示范管理者对信息安全度量发展和执行的责任正式传达使用信息安全度量的重要性,使用信息安全度量是为了监控整个信息安全度量项目的健康发展以及遵守应用的章程为项目分配足够的财政和人力资源和项目管理者/系统所有者沟通以提高度量的赞成度,为项目提供支持授权信息安全度量收集有规律的回顾信息安全度量,并且使用信息安全测量数据以帮助制定政策,分配资源,制定预算,以及理解信息安全项目的现况保证有适当的程序来处理度量分析够得出的问题并且采取相应的纠正手段,比如修改安全程序和对员工提供额外的安全训练为度量的制定、执行、发展制定相关的官方政策、程序和向导
2.3AgencyITSecurityProgramManager2这个职位以不同的名称被人们所知,例如DeputyCIOforCyberSecurityDeputyCIOforITSecurity或者InformationSystemSecurityOfficerISSO他的首要责任是信息安全的代理SecurityProgramManager有以下关于信息安全度量的责任领导信息安全度量项目发展的执行为度量的发展、建立和分析,要确保在整个代理中实行一个标准化的过程引导发展信息安全度量相关的内部政策或向导为项目发展和执行得到有资格的政府职员或承包商的支持为项目发展和执行获得足够的财政资源在项目执行的每一步都要积极的向项目管理者/系统所有者索要和提供反馈
2.在FISMA中这个职位被命名为SeniorAgencyInformationSecurityOfficer保证测量数据的收集,分析以及向CIO和代理项目管理者/系统所有者的报告规律性的回顾信息安全度量,并且使用信息安全测量数据,以支持相关政策、资源配置、预算决议以及对信息安全项目健康状态的观察为制定政策、资源配置、预算决议,训练项目管理者/系统所有者使用信息安全度量的结果保证对项目足够的维护,在项目中已达到其性能指标的度量将被淘汰,新的度量将建立和使用通过限制每次在每个单独测量点上收集的度量数目在10到20之间以保证项目容易管理保证对优先的条款和问题要有优先的度量通过测量信息安全性能,要执行相应的修改
2.4项目管理者/系统所有者信息和系统所有者要确保有合适的控制以保证IT系统和所有者的数据的机密性、完整性和有效性项目管理者/系统所有者有如下关于信息安全度量的责任通过提供关于数据收集可行性的反馈来参与信息安全度量项目的发展和执行;鉴定数据资源和存储对员工进行信息安全度量的发展、收集和分析的教育,以及它是如何影响信息安全政策、要求、资源配置和预算决议的确保测量数据坚持而正确的收集并且提供给分析和汇报数据的指定员工当需要时,指挥员工之间全部共享和协作规律性的回顾信息安全测量数据,并将其使用于制定政策、配置资源和预算决议通过测量信息安全性能,要执行相应的修改
2.5SystemSecurityOfficer本文件中出现的SystemSecurityOfficer一词可以理解为为一个代理或者部门的特殊项目或系统指派的负责其安全的人员SystemSecurityOfficer有如下关于信息安全度量的责任管理日常的项目发展和执行为负责收集、分析和汇报数据的员工收集或提供测量数据通过测量信息安全性能,要执行相应的修改
3.信息安全度量背景本部分描述了什么是度量和为什么要测量信息安全性能另外,本部分说明了几种可以测量信息安全控制的度量,讨论了制定一个成功度量的重要因素,阐明了度量对管理、报告和决策的不同作用
3.1定义制定度量是为了通过收集、分析和报告性能相关的数据,以推动制定政策、改进性能和责任测量性能的目的是在观察测量结果的基础上,通过采取纠正手段,来监控所测行为的状态,并推动对其的改进在一个组织中,信息安全度量可以在不同水平上获得系统级别上收集到的逐条的度量,可以依靠组织的规模和复杂度汇聚成一个更高水平的度量有时针对更多的逐条的和汇聚起来的度量需要用到更多不同的术语时,比如“metrics”和“measures”本文件将交替的使用这些术语信息安全度量必须基于信息安全性能短期和最终目标信息安全性能的最终目的表述了系统安全项目执行所渴望得到的结果例如,“所有的职工都得到了足够的安全意识训练”信息安全性能的短期目标通过完成由安全政策和程序定义的行为来促成最终目标的完成,这些政策和程序指引了整个组织中安全控制的贯彻执行对应于以上关于最终目标的例子,关于信息安全性能短期目标的例子是“所有新员工得到了新员工训练,”“员工训练包括行为规范的概要,”“员工训练概括和涉及到组织的安全政策和程序”信息安全度量通过量化安全控制的执行程度以及其有效性和效率,分析所采取安全措施的足够性,确定可能的纠正措施来促成短期和最终目标的达成随着度量的发展,来自联合的、内部的、外部的向导中的,法律中的和章程中的短期和最终目标将被鉴别并按优先权区分以保证安全性能中可测量的方面对应组织中运行的优先权信息安全度量必须得到可计量的数据信息,从而满足比较的目的,能够应用公式来分析,能够利用参照物的相同点来跟踪其变化百分数和平均数是常用到的,绝对数值有时也是有用的,采用何种形式完全根据被测对象的属性计算所需的测量数据必须是容易得到的,值得考虑的方法也必须是可以测量的只有那些相容的和可复用的方法值得考虑用于测量尽管方法可能是可复用和稳定的,测量数据却可能难以得到通过吸收其他地方可能用到的资源,测量必须使用容易得到的数据以保证组织的测量的负担不会过大以至于无法完成测量目的为了跟踪性能和指引资源配置,度量应当随时间推移提供相关的性能趋势,并且指出可以解决问题的改进方案使用度量应当能够评价性能,通过回顾测量趋势,鉴定和区分纠正措施的优先性,指引那些纠正措施的应用,而这些纠正措施是建立在缓解风险和可用资源的基础上的在第4部分中描述的度量发展的程序,保证了度量的目的是为了确定导致低性能的原因从而指出合适的纠正措施
3.2使用度量的好处安全度量项目为组织和财政提供了很多的益处组织可以通过信息安全度量改进安全责任通过数据收集和汇报的过程,可以精确的查处技术、运行或管理上的没有或者错误执行的控制信息安全度量可以被创建以测量组织安全的每个方面例如,风险评估、渗透测试、安全测试和评估以及其他安全相关的测试结果都可以被量化并作为测量的数据资源使用通过使用度量分析的结果,项目管理人和系统所有者可以将问题隔离,并使用收集的数据判断投资需求,然后将投资方向指定在需要改进的地方通过使用度量来确定投资目标,组织可以用有限的可用资源获取最大的利益部门和代理机构可以通过执行和维护本文件中描述的信息安全度量来保证对法律、法规、章程的遵守使用信息安全度量,可以通过陈述对过去的和当前的财政年度的表现度量,以使每年都需要的FISMA报告更加令人满意另外,信息安全度量可以作为GeneralAccountingOfficeGAO和InspectorsGeneralIG审计的输入信息安全度量项目的执行将会向前摄安全证明代理的承担义务它也将极大的减少代理收集数据的时间,而这项任务又是GAOandIG审计时为以后补充数据所例行要求的信息安全度量项目的执行,意味着要求的数据开始被作为日常度量项目运行的一部分被跟踪,收集和分析财政的约束以及市场的限制迫使政府和产业采取缩减预算的政策在这种情况下,在信息安全的下层机构很难得到广泛的正确的投资以前对信息安全特殊领域投资的争论缺乏细节和特异性,并且不能充分减少特殊的系统风险信息安全度量的使用容许组织测量过去和现有的安全投资的成功和失败,并且可以提供可以测量的数据为支持今后投资的资源配置通过信息安全行为的相关结果(比如事故数据,由计算机攻击造成的税收损失),信息安全度量也可以提高被执行的信息安全度量、程序和控制的决定有效性,这种有效性将作用于各个方面的需求和信息安全的投资
3.3度量类型一个组织信息安全项目的成熟程度决定了可以成功集合的度量类型,如图3-1所示一个项目的成熟程度是由手续和程序的存在和制度化来定义的一个安全项目成熟时,它的政策将拥有更多的细节,会有更好的文件,它所使用的程序将会更加标准化和制度化,它所产生的数据将会被更高质量的使用于性能度量根据NISTSP800-26,一个安全项目的过程包括制定政策(第一级),制定详细的程序(第二级),执行这些程序(第三级),测试程序的依从容性和有效性(第四级),以及最后的投入日常运行的完整的政策和程序(第五级)一个成熟的项目通常会配置多样的跟踪机构来量化它表现的各个方面和制定文件随着可利用的数据越来越多,测试的难度会随之降低,自动收集数据的能力也会随之增加数据收集的自动化程度决定于可用数据是来自自动化的资源还是来自于人手动的数据收集需要设计问卷,对组织员工进行采访和调查当一个安全项目成熟后,通过半自动的数据资源,比如自动评估工具,证明和委派CA数据库,事故报告和相应数据库,以及其他一些数据资源,更多的数据将可被利用当所有的数据来自于自动数据资源而没有人参与和干涉时,数据资源就完全实现了自动化可以达成的和对性能改进有用的度量(执行,有效性,效率,和影响)的类型取决于安全控制执行的成熟程度尽管不同的度量可以同时使用,随着安全控制执行的逐渐成熟,度量的侧重点是不断改变的当安全控制已经被程序所定义并且进入执行程序时,这时度量的侧重点在安全控制级别上应用在这个级别上的执行度量的例子有具备认可的安全计划的系统的百分数和配置了要求的口令政策的系统的百分数当一个系统从级别一进入级别二后,这些度量执行的结果将是低于百分之一百,这说明系统还没有到达级别三当度量执行的结果到达并维持在百分之一百时,说明系统已完全执行了安全控制并且到达了级别三当安全控制被很好的制定文件和执行时,可靠的收集执行结果的能力也随之增强随着组织的信息安全项目的发展和性能数据可用性的增强,度量将会将侧重点放在项目效率----安全服务交付的时间和有效性----安全控制执行的结果当安全进入一个组织的过程后,这些过程将可以自动更新,测量数据的收集也会完全的自动化,由数据关系的分析也可以确定安全相关行为的任务和商业影响附录A包含了执行、效率、有效性度量的实例,它们都建立在NISTSP800-26的关键部分基础上级别四和级别五的度量致力于测试被执行的安全控制的有效性和效率以及这些控制对组织任务的影响这些度量致力于测试和综合的证据和结果不像以前那样测量被认可的安全计划的百分数,这些度量致力于确认由安全计划所描述的安全控制是否对保护组织的资产有效例如,通过测量破译一个依从政策的口令的时间长度,计算在一定时间中可破译口令的百分数,以验证组织口令政策的有效性有效的度量应当能够区分事故类型(比如系统被入侵,口令泄漏,恶意代码,服务拒绝)并且能够根据事故数据度量受训练的用户和系统管理者百分数,一次测量安全训练的影响程度
3.4成功因素一个信息安全度量项目的成功受到很多因素的影响要促成项目的成功,必须使项目在考虑到组织结构、过程的特殊性以及合理的资源约束的前提下运营和执行
3.
4.1组织注意事项信息安全度量的发展和项目的执行必须包括系统涉众并且要包括那些不以信息安全为主要责任但是与信息安全经常密切联系的组织因素(例如,训练、资源管理、法律部门)如果一个组织因素通常是对性能度量有责任的,信息安全度量的执行和发展应当与之相协调如果一个程序能够广泛推动组织数据的调用和行为,信息安全度量的执行和发展也应当与之相协调
3.
4.2易管理性易管理性是成功的一个非常重要的因素许多安全行为的结果可以被量化并且用来度量性能;但是,由于资源是有限的,并且大多数资源用来改进性能的不足,组织应当区分度量要求的优先级以保证有限的度量被收集这个数量应当保持在每涉众每次5到10个度量随着项目的成熟和度量目标的达成,旧的度量应当被淘汰,新的能够测量更多现有项目的有效性和完成度的度量应当开展而且当组织任务重新定义或者安全政策和向导有所变化时,也会需要有新的度量
3.
4.3数据管理相关为了保证数据的质量和有效性,数据收集的方法和用于度量数据收集和报告的数据存储(直接的或作为数据资源的)应当是标准化的当主要的数据资源是一个事故报告的数据库,仅仅存储了一些组织成员的信息,或者组织间的汇报程序是不一致的,这时数据的有效性是可疑的但是汇报程序的标准化又不能被过分强调当组织发展和执行作为信息安全度量项目输入的程序时,应当保证数据收集和汇报的清晰定义,以方便有效数据的收集最后,组织必须理解,虽然他们可能收集了很多的信息安全数据,并不是所有的数据对他们的度量项目在任何时候都是有用的任何以信息安全度量为目的的数据收集,都必须尽可能的不受干扰,并且保证最大程度的有效性,以保证可用的资源是主要用在了问题的收集上,而不是数据的收集度量项目的建立应当需要足够的投资以保证项目的执行是为了获取最大限度的利益维持项目所需的资源在期望中并不是非常重要的
4.度量发展和执行过程信息安全度量项目的建立和运行按照两个过程来进行度量发展和度量执行度量发展过程主要是在特定时间为组织建立合适的初始的度量以及其子集的一部分度量执行过程是要运转一个重复性的度量并保证在特定的时期度量信息安全的某些适当的方面这一部分将主要描述度量发展过程,度量执行过程将在第五部分中讨论
4.1度量发展过程图4-1显示了信息安全度量在一个大的组织环境中的地位用中也可以得出,信息安全度量可以被越来越多得用于测试组织或特殊系统信息安全活动的执行、有效性、效率和商业影响信息安全度量发展过程主要包括两个活动
1.当前信息安全项目的定义和鉴定,
2.发展和挑选度量以测试安全控制的执行、有效性、效率和影响程序的步骤并不一定按顺序进行图4-1中表示的程序为探索度量和对每一个系统鉴定其适用的度量提供了框架度量的类型取决于系统处于其生命周期的那一部分以及信息安全项目的成熟程度这个框架更加便利了为特殊的组织和每个组织中不同的涉众选取相应的度量
4.
1.1涉众兴趣鉴定在度量发展过程的第一阶段(见图4-1),尽管有些部分比其他部分在安全上有更大风险,但组织中的任何一个人都是信息安全的涉众那么,信息安全的主要涉众是?代理领导首席信息官CIO安全项目管理者/InformationSystemSecurityOfficerISSO项目管理者/系统所有者系统安全职员系统管理人/网络管理人IT维护人员次级的安全涉众是组织实体中那些不易安全为期首要任务但是在其运营在某些方面与安全相关的成员次级安全涉众包括首席财政官CFO培训组织人力资源/人事部门InspectorsGeneralIG根据在安全方面的不同角色和在组织中具体的层次地位每个涉众的兴趣会有所不同每个涉众可能会根据他们所负责的领域的信息安全性能而要求额外定制的度量涉众的兴趣可能会有多种方式,比如采访、自由讨论会议和任务陈述回顾每个涉众的度量总数应该在5到10之间当一个组织建立安全项目的时候,推荐每个涉众使用较少的度量;随着信息安全项目和度量项目的成熟,使用的度量逐渐增加在安全度量发展的每一阶段都应该包含所有涉众,以保证组织对安全性能度量的观念的认同对所有涉众的包含以可以确保系统安全度量的所有权存在于组织的不同层次上以推动项目的全面成功信息安全的4个度量方面(商业投入,有效性,效率和执行)是面向不同的涉众的一个经理可能主要关心信息安全活动的商业影响(例如,最近的事故造成了对多少金钱损失和公众信任度的下降,主要报刊上是否有报道我们的文章?);安全和项目管理者会更加关心信息安全项目的有效性和效率(例如,我们能否防止事故发生,当事故发生时我们的响应有多快?);而系统和网络管理者主要想知道到底什么地方出错了(例如,我们是否已经作了所有必要的准备来消除或最小化事故造成的影响?)
4.
1.2最终和短期目标的定义度量发展过程的第二阶段是要确定系统安全性能的最终和短期目标,这些目标指引着安全控制的执行联邦政府的系统安全目标表述在高层政策、需求、法律、章程、方针、向导中包括Clinger-CohenAct总统决议FISMAOMBCircularA-130AppendixIIINIST联邦信息处理度量FIPS和SpecialPublications.附录A中的度量实例使用了NIST800-26的关键部分以及对各种特殊性能目标的次级的问题在适当的时候,其他文件也可用作系统安全目标的资源必须回顾可应用文件以确定和精简合适的安全性能目标所确定的目标应当是对涉众有效的以保证他们对发展度量发展过程的认可和参与附录A提供了相应的信息安全度量目标的实例
4.
1.3信息安全政策、向导和程序回顾安全控制执行的细节通常是在组织特定政策和程序中描述的,这些政策和程序中定义了系统中安全控制的基线(第三阶段)他们特别描述了安全控制的目标和技术是要指导完成系统安全性能的目标这些文件应当在发展的初期和后期阶段始终被检查,最初的度量清单可能无法满足要求而需要被其他度量取代应当回顾可应用文件以为系统运营和维持确定适当的措施,合适的性能目标和安全控制细节
4.
1.4系统安全项目执行回顾在度量发展过程的第四阶段(见图4-1),所有用于度量数据的现存度量和数据储存应当被回顾根据回顾,可以得到有用的信息帮助鉴定合适的执行证据,从而促进度量发展和数据收集执行证据直接反映了信息安全控制的哪些方面对实现安全性能目标是有指示性的,或者至少反映出了那些对未来性能目标实现有用的措施根据对许多资源(例如文件、采访结果、观测数据等)的咨询,可以精简系统安全的要求、程序、过程以下资源包含了可以获得度量数据的信息系统安全计划FISMAOMBPlanofActions和MilestonesPOAM报告最新的GAOandIG裁决安全相关活动的跟踪,例如事故处理和报告,测量,网络管理审计日志,以及网络和系统表风险评估和渗透测试结果应急计划配置管理计划培训结果和统计随着系统安全的发展,文件的描述也会改变,旧的度量将被新的所取代这些文件和其他相似文件需要检查以确定度量中涉及到的新领域,从而保证新的度量是适用的
4.
1.5度量发展和选择图4-1中描述第5,6,7阶段,包括测量过程执行、有效性、效率和任务影响的度量的发展根据NISTSP800-26所定义的安全有效性级别,保准将会随时调节其侧重点附录A的信息安全度量,建议被执行的度量应建立在17个信息安全领域关键部分上为提高有效性级别所需的执行证据将在过程中改变这一系列过程包括政策和程序的建立,政策和程序执行的度量,然后是政策和程序执行结果的度量,最后是鉴定执行对组织任务的影响建立在现存政策和程序基础上可能的度量是相当多的必须将这些度量区分优先次序,以保证为了执行而最终选取的度量有如下属性能够使优先级高的安全控制执行的改进更加便利而高的优先权可能是被最新的GAO或IG报告,风险评估的结果或内部组织的目标所定义的要使用可以从现存程序和数据存储中获得的数据现存的度量程序应该是稳定的没有稳定的程序就不能提供对安全性能有意义和对某些性能目标有用的信息另一方面,尝试这样的度量并不是毫无用处的,因为这样的度量必然会提供比较差的结果从而帮助确定什么地方需要改进代理可能通过对重要性的衡量来区分所选度量的重要性,以保证结果正确反映了现存安全项目的优先级这涉及到根据度量在整个安全项目环境中的重要性来分配轻重度量重要性的评价要建立在全面降低风险的目标上,它可能能反映出更高的危险是来自于系统级的还是较低级的,它使得信息安全度量并入部级计划程序更加便利可能需要一种方法鉴别短期、中期、长期的度量,在这些度量中,执行的时间取决于系统级别的有效性、度量优先级、数据有效性和程序稳定性一旦一个包含了以上品质的适用的度量被确定,它们需要做成表4-1的度量详细表格的文件形式性能最终目标陈述执行由度量测试的一个或几个系统安全控制目标/技术所希望得到的结果当使用NISTSP800-26时,本条将列出如800-26所述的关键部分性能短期目标3陈述要完成最终目标所需的措施,当使用NISTSP800-26时,本条将列出如NISTSP800-26所述的一些次级的问题不同的性能目标可以与同一个性能最终目标相协调度量通过描述具体定量的度量定义度量使用以“百分数”、“数字”、“频率”、“平均数”或其他相思术语开头的数学化的陈述目的描述度量所起到的全部功能,包括一个度量适用于内部性能测试还是外部报告,通过度量希望得到什么线索,收集一个特殊度量的调整或法律理由,以及其他相似的条款执行证据列举能验证安全控制执行结果的证据执行证据用来计算度量,作为验证活动是否有效的间接指示器,或者作为导致一些意外结果的参考原因(
4.
1.3信息安全政策,向导和程序回顾;
4.
1.4系统安全项目执行回顾;以及
4.
1.5,度量发展和选择中包含了相关讨论,什么样的信息可以用来鉴定单独度量的执行证据
5.2,收集数据和分析结果,包含了一些讨论以及一个通常导致因素的清单频率建议收集用于测量随时间变化的数据的收集周期建议控制执行中可能的更新周期(
4.3,度量发展过程中的反馈,包含了一些度量数据收集频率的一些讨论)公式描述了一个度量的用数字方式表述的计算方法收集的信息通过列出其执行证据作为公式的输入以计算度量数据资源列出了用于计算度量的数据的位置包括能够提供所需数据的数据库,跟踪工具,组织,或者组织中的特殊角色(
3.
4.3数据管理相关,包含了一些度量数据资源的讨论)指示器提供度量的意义和其性能趋势的信息通过测量建议造成被鉴定的趋势的可能原因,指出改进所观测到的缺陷的可能解决方法陈述性能目标如果其已被提出,并指出什么样的趋势对性能目标是有益的(
4.2,建立性能目标,包含了关于性能目标和指示器之间关系的一些讨论)描述通过列举执行证据收集到的信息是怎样用到指示器的分析当中的执行证据是用来确认安全活动的性能和确定导致因素的表4-1度量详细表格
3.当使用NISTSP800-26次级问题时,每个度量可以处理超过一个的次级问题
4.2建立性能目标在应用度量被确定和描述后,在度量表格中的指示器一栏中应确定性能目标性能目标建立了一个衡量成功的目标成功程度是建立在度量结果和所提出的性能目标接近程度的基础上的建立执行的性能目标的结构是不同于其他三种度量(有效性,效率和影响)的对于执行度量,目标要定在特定任务的百分之百的完成当符合所有NISTSP800-26关键部分的执行度量达到百分之百完成的目标时,组织到达了图3-1描述的级别3为有效性、效率和影响度量建立性能目标是更加复杂的,因为安全运转的这些方面并没有表现出一个特定的级别需要应用主观和定性的推理来决定安全有效性和效率的合适级别,并使用这些级别作为可用度量的性能目标尽管所有的组织都渴望有效率的安全控制的执行、有效率的安全服务的传输和安全事件对组织任务的最小影响,相关的测试对不同的系统是不同的一个组织可以尝试为这些度量建立性能行目标,如果可以的话还可以根据实际测试调整性能目标组织也可以选择直到收集到可作为基线的第一个测量才为这些度量建立性能目标一旦得到了基线并确定了纠正措施,便可以定义合适的测量目标和执行里程碑,这对特定系统环境是现实的如果获得基线后不能建立性能目标,应当评估所测量的活动和相关文件是否为组织提供了预期的利益如果历史数据对这些度量是有用的,将便利有效性、效率和影响度量基线和性能目标的建立由过去观测到的趋势可以提供一系列以前的性能的发展的线索,并为今后现实的目标的建立提供向导以后,专家的推荐和业界文件发表后可以提供建立目标的方法图4-2提供了一个信息安全度量趋势的实例,它是基于适用的安全计划的百分数的
4.3文件发展过程中的反馈最后选取的用来执行的度量不仅对于测试性能、鉴定造成意外的原因、确定改进领域是有用的,而且对于促进连续的政策执行、改变安全政策和重新定义目标也是有用的这个关系可由图4-1中的标有Goal/ObjectiveRedefinitionPolicyUpdate和ContinuousImplementation反馈箭头来描述当安全控制的执行已开始测量,其以后的测量可以用来鉴定性能趋势并保证执行速度是合适的一个度量收集的特定频率取决于一个测量时间的生命周期关于安全计划的完成和更新的百分数的度量,其收集频率不应该超过每半年一次对可被破译的口令度量,其收集至少要一月一次连续的测量指向可用安全控制的连续执行一旦有效性和效率度量被执行,它们将帮助我们理解安全政策和程序中的安全控制性能目标是是否是现实而合适的例如,如果一个安全政策定义了一个口令配置,通过测量根据政策配置的口令的百分数可以确定政策的被依从性这个度量为了测试安全控制执行的级别如果按政策配置的口令明显减少(尽管没有消除),系统将会受到被破译口令的威胁为了测试现存口令政策执行的有效性,应当鉴定可破译(使用一般口令破译工具)口令的百分数这个度量将测试安全控制执行时的有效性如果在所需口令政策执行后可破译口令的百分数没有什么变化,说明政策在减少口令威胁上是没有效率的然后组织需要权衡损失和利益而决定是要维持现有方案或使用新的口令认证技术对得失分析产生了商业影响度量,它致力于重新定义系统鉴定和证明目标以及根据系统任务重新适当安排这些目标
5.度量项目执行信息安全度量执行涉及到使用信息安全度量监测信息安全控制性能并通过监测结果提出纠正措施这个过程由六个阶段重复执行,这些过程的充分执行能够确保信息安全度量对安全控制性能监测和改进的连续作用图5-1描述了信息安全度量项目的执行过程
5.1数据收集的准备过程的第一阶段----数据收集的准备,涉及到建立一个全面的信息安全度量项目的关键行为,包括
4.1部分中描述的信息安全度量的鉴定、定义、发展和选择行为,以及度量项目执行计划的发展当度量已经被鉴定后,以后的步骤就需要定义怎样收集、分析和报告度量这些步骤应该陈述在度量项目执行计划中该计划应当包含如下的条款度量任务和责任包括数据收集(请求和提交)、分析和报告计划的听众为特定组织结构、过程、政策和程序定制的度量收集、分析和报告的过程OfficeoftheCIO中协调的细节,例如风险评估,CA和FISMA报告OfficeoftheCIO和代理种CIO外部其他功能(例如,信息保障[IA](如果它是分离于CIO外的);物理安全;人员安全;关键下部组织保护[CIP]之间的协调细节,以保证数据收集是最新型的和非生产的数据收集和跟踪工具的修改度量概要报告格式
5.2收集数据和分析结果过程的第二部分,收集数据和分析结果,涉及到那些能保证收集到的数据是用来得到对系统安全的理解和确定合适的纠正措施的活动本阶段包括以下的活动根据度量项目执行计划中定义的过程收集度量数据巩固收集到的数据,并以对数据分析和报告有益的格式存储,比如,数据库或者电子数据表进行缺陷分析——比较所收集数据和目标(如果已被定义),坚定实际性能和期望性能之间差距确定导致性能低下的原因确定需要改进的领域导致性能低下的原因通常可以由多于一个的度量数据来确定例如,知道了被认可的安全计划的百分数低到无法接受,这对于决定如何解决问题是没有帮助的要找出导致低依从性的原因,需要收集与导致低百分点原因相关的信息(例如,缺乏领导,专家技术不够或者优先级冲突)这些信息可以被收集作为被认可安全计划百分点的单独度量或执行证据一旦这些信息被收集和编辑,便可以制定针对导致问题原因的解决措施以下是导致了安全控制执行和有效性低下的一些因素资源—人力、财力或其他资源的不足培训—对职员安装、管理、维护或使用系统的适当培训的缺乏系统更新—在运行系统更新过程中被去除但没有被其他路径代替的安全路径管理实践的配置—新的或者被更新的系统没有配置要求的安全设置和路径软件兼容性—安全路径或更新和系统支持的应用软件是相矛盾的意识和责任—对安全的管理意识和责任的缺乏政策和程序—能够确保必须安全功能存在、使用和审计的政策和程序的缺乏体系—系统和安全体系的低劣导致了系统易受攻击低效率的过程—低效率的计划过程影响了度量(包括对指导组织行为必要的沟通过程)
5.3确定纠正措施过程的第三阶段,确定纠正措施,涉及到计划的发展以指示怎样填补第二阶段中鉴定的执行缺陷本阶段包括以下活动决定一系列纠正措施—建立在结果和导致因素的基础上,确定能够应用于每个性能问题上的纠正措施纠正措施应该包括修改系统配置;培训安全员工和系统管理者员工或长期用户;购买安全工具;更新安全政策根据全面减少风险的目标区分纠正措施的优先级—对某一个性能问题可能会有几个适用的纠正措施;但是,如果其中一些措施并不与问题量级相协调或者代价太大,这些措施也是不合适的对每个性能问题应当根据纠正措施开销的升序和影响的降序区分其优先级NISTSP800-30中描述的风险管理过程,RiskManagementGuideforInformationTechnologySystems可以被用于区分纠正措施的优先级如果在数据收集的准备阶段已经为度量分配好轻重,这些轻重应当能够帮助区分纠正措施的优先级或者,在确定纠正措施阶段,可以根据具体执行的纠正措施的危险程度、纠正措施开销,纠正措施对组织安全状况影响的程度来区分其优先级选择最适当的纠正措施—选择纠正措施名单中优先级最高的三个措施来指导得失分析
5.4发展商业对象和获取资源第四和第五阶段,发展商业对象和获取资源,致力于获取资源的预算周期,这些资源是执行第三阶段确定的纠正措施所必需的这些涉及到发展商业对象的步骤以产业实践和委托向导为基础,包括OMBCircularA-11Clinger-CohenAct和GPRA商业对象将包含前三个阶段的结果以支持证据商业对象分析应当包括以下活动为度量发展过程第二阶段中确定的任务和目标制定文件将维持现状所需的开销作为基线来比较投资选择为度量项目执行过程第二阶段鉴定的现有测量和目标性能之间的差距制定文件为度量项目执行过程第三阶段确定的纠正措施或投资选择估计生命周期花销进行敏感性分析以观测那些变量对开销的影响最大4描述通过性能提高带来的可计量和不可计量的利益回报这里所说的性能提高是基于度量项目执行过程第三阶段改正措施的优先级区分的基础上的进行风险分析以分析一个特殊选择产生障碍和项目风险的可能性通过概括商业对象的主要方面准备预算提交,以精确描述它的度量在过程的这一阶段,每个代理都应该跟随代理-特定商业对象向导典型地,商业组成和分析会使内部和外部的预算要求更好的实现对商业对象彻底的检查可以支持和促进获取资源过程获取资源阶段包括以下活动
4.如果一个变量的微小变动导致了计算结果的巨大变动,则认为结果对那个参量或假设是敏感的对预算评估调查做出回应接受分配的预算如果没有分配到所有需要的资源,对可用资源区分优先级为执行纠正措施分配资源
5.5纠正措施应用过程的第六阶段,纠正措施应用,包括执行安全控制在技术、管理和操作方面的纠正措施纠正措施执行后,将会进入新的数据收集和分析的循环重复性的数据收集、分析和报告将跟踪纠正措施、改进测量的过程执行的重复性保证了过程是被监控的以及纠正措施对系统安全控制是按预期方式影响的频繁的性能测量可以确保纠正措施是否按计划执行,或者它们没有产生预期的影响,从而建立快速的内部纠正措施,以避免问题在外部审计,CAefforts和其他相似活动中暴露出来附录A:安全度量的实例国家标准和技术协会NIST特别专刊SP800-26,SecuritySelf-AssessmentGuideforInformationTechnologySystems,确定了影响组织安全状况的17个信息安全方面本附录为每个关键部分都提供了一个实例,并以
4.
1.5中介绍的度量表格的形式给出本附录中的每个度量都可以是独立的,也可以作为一系列度量的一部分;如果度量是作为一个系列的,对于这些度量中使用的相同的问题就不需要重复度量可以被使用或定制以安全控制的有效性许多度量实例都包含了备注,其中建议了改变度量收集额外信息的方式,或者解释了为什么要提这些问题本目录中支持度量的执行证据可以在系统级别或者项目级别上被收集在一些实例中,度量的第一部分在项目级别收集数据,然后会提出系统级别的特定问题在系统级别收集数据时,项目级别的问题应当被忽略或者重述以获取对一个系统有用的信息某些度量要求结果是百分数,公式的结果应当乘100以得到百分数本附录包括一些2003FISMA报告向导中的OMB所要求的度量表A-1提供了一个快照,以指导如何找到直接对应2003OMBFISMA向导问题的度量请注意OMBFISMA度量有时同时要求绝对数和百分数,而有时仅要求绝对数当表格中列出的度量是百分数时,符合OMBFISMA度量的原始数据被包含在公式的分子或分母中本表格还特别指出了哪些OMB仅要求原始数据而不要百分数的度量,陈述了一些情况下应当使用度量的分子还是分母关键部分度量OMB向导涉及
1.1拥有正式执行和明文规定的风险评估的系统的百分数I.C.
1.c
2.1上一年中安全控制已被测试和评估的系统总数I.C.
1.g
3.1拥有并入系统生命周期的安全控制开销的体统总数I.C.
1.f
4.1已被权威认证的处理其后证明和委派的系统总数I.C.
1.e
5.2现有安全计划的百分比I.C.
1.d
9.2拥有意外事故计划的系统的百分比I.C.
1.h
9.3意外事故计划在上一年已被测试的系统的百分比I.C.
1.i
13.1已接受专门培训的拥有重大安全责任的职员的百分比I.C.
3.c(分母)I.C.
3.d分子
14.1拥有事故处理和回应能力的代理成员的百分比I.B.
8.c分子
14.2向FedCIRC或法律强制报告的事故数I.B.
9.c表A-1OMBFISMA度量相关A.1风险管理关键部分
1.1风险是定期评估的么?次级问题
1.
1.2风险评估的文件制定和执行是常规性的还是只有系统、设备和其它条件改变时才进行度量拥有正式文件和执行的风险评估的系统的百分数目的根据组织要求确定完成的风险评估的数量执行证据
1.你的代理是否维持着现有信息系统的目录?是?否
2.如果是的话,你的代理(或者可应用的代理成员)有多少个系统
3.在如下时间段里,在当前目录中的系统中,多少系统拥有明文规定和执行的风险评估?(为每个系统选择最接近的时间段;不要在一个以上时间段中计数相同的的系统)在过去12个月中___在过去2年中___在过去3年中___
4.在已进行了风险评估的系统中,列举出因以下原因而进行评估的系统的数量预定风险评估____系统环境的主要改变____设备的主要改变____其他条件(请指明)的改变____
5.在过去三年内没有进行风险评估的所有系统中,列举出因以下原因而进行评估的系统的数量没有政策____没有资源____系统级别没有要求____以前系统没有被定义____新系统____其它(请指明)____频率每半年或每年一次公式代理级别每个时间段里文件中风险评估的总数(问题3)/目录(目录数据库)中信息系统的总数5数据资源包含了所有主要应用的信息系统和一般支持系统的目录;风险评估存储指示器本度量计算了过去三年内(一般是要求的进行风险评估的最长间隔)进行了风险评估的系统的百分数要为风险评估分配时间间隔,应当计算列出的每个时间段系统的数量所有要求系统在三年内的总数应当是百分之百没有接受常规风险投资的系统可能暴露于威胁问题4用来验证执行风险评估的原因,并确保统计了所有的系统问题5用于决定没有进行风险评估的原查找这些原因可以直接引起管理活动对适当纠正措施的关注通过制定文件和跟踪这些因素,可以更新安全政策、指引资源配置或者确保新系统进行风险评估等,以提高性能
5.对于有些度量需要公式结果为百分数,结果应当乘100以获得百分数备注可以制定一些额外的度量以确定在一个主要变化后经历了风险评估的系统数量;在过去1年中进行了风险评估的系统数量;过去一年中在一个主要变化后进行了风险评估的系统数量,等这些信息可以被单独的跟踪,以确保能满足要求以及系统变化是被监控的并能以及时的方式做出反应系统可能在过去两年里进行过风险评估,但是如果在那之后发生了主要变化,则应当进行额外的风险评估以保证系统的脆弱性和对威胁的暴露已被更新,风险已被处理关键部分
1.2项目职员是否理解他们控制下的系统的风险并决定合适的风险级别?次级问题
1.
2.1最终的风险决定和相关管理是否被制定文件并存档度量拥有通过管理活动回顾的风险级别的系统的百分数目的通过回顾发现以及发现的同时发生和非同时发生确定风险评估完成中包含的管理的量级执行证据
1.你的代理有多少个系统(或应用的系统成员)?____
2.在上一个报告时期对多少信息系统进行了风险评估?____
3.在报告时期进行的所有的风险评估找出了多少风险?____
4.多少风险发现是同时发生的?
5.多少风险发现是非同时发生的?
6.流程审批被记录和跟踪了么??是?否频率每年或每半年 公式同时和非同时发现的总数(问题4+问题5)/发现总数(问题3)数据资源包含了所有主要应用的信息系统和一般支持系统的目录;风险评估存储指示器本度量监测了风险管理进程中包含的管理活动本度量的目标是进行管理回顾并根据百分之百的风险发现的同时或非同时发生采取适当措施管理活动必须确保资源对于执行所要求的能力是可用的从而保护信息系统通过管理对风险和风险发现的同时或非同时发生,可以适当的区分风险发现的优先级以确保由风险评估得到的补救措施是置于决策过程中和正式的置于POAM中的非同时发现可能不被处理,事实是管理回顾和非同时发现证明了管理活动评估并有意接受了剩下的风险问题1和2用来决定风险发现是否对管理回顾适用这些问题确定了那些能使管理进入风险管理过程的输入问题6验证了流程审批被记录,以帮助确定度量结果的可靠性如果没有正式的记录,也就不会有风险发现的管理回顾和决策的责任A.2安全控制关键部分
2.1系统和相互连接的系统的安全控制是否被回顾次级问题
2.1密钥控制的测试和检查是否被照常执行,例如,网络扫描路由器和网关设置的分析,渗透测试?度量上一年对安全控制已经测试和评估的所有系统的百分数目的评估系统安全控制测试要求的依从性执行证据
1.你的代理是否维持着现有系统的目录??是?否
2.如果是,你的代理有多少系统?____
3.上一年多少系统进行了安全控制测试____
4.上一年多少系统使用了下面的方法来评估安全控制自动工具(例如,口令破译和wardialing____渗透测试____安全控制和评估STE______系统审计______风险评估______其它(请指明)______
5.使用了问题4所述的任何方法的系统有多少是在以下时间段里进行测试?在上一季度______在上半年______在上一年______
6.所有测试情况和结果被记录了么??是?否频率每年 公式进行了控制测试系统的数量(问题3)/目录中系统总数(问题2)数据资源OMBExhibits53和300;预算局;审计;CA数据库;自动工具报告;系统测试日志/记录指示器百分数的趋势应该增加和逼近或者等于百分之百总体来说,测试安全控制是重要的,以确保它们是按计划工作的随着安全环境的变化,必要的控制也可能变化要保持控制是适合现有系统的,应当经常进行安全测试和评估备注本度量决定是否对每个系统进行了安全控制测试这些数据应该从审计结果或者直接从系统所有者收集数据有效性取决于可靠的记录了系统测试进行的时间的数据源的有效性问题6就是要得知是否存在正是的测试纪录问题4验证能证明的测试方法的使用问题5决定测试的实际频率以观察测试的时间分配如果有合适的政策为不同类型的系统指定测试类型和频率,通过一个中央依存和结果数据库来跟踪测试证据是明智的关键部分
2.2管理活动是否确保了纠正措施的有效执行?次级问题
2.
2.1是否存在报告明显脆弱性和确保有效补救措施的有效和及时的过程度量发现脆弱性和执行纠正措施之间的平均时间间隔目的通过测量消除重要系统脆弱性的效率,以评估纠正措施执行过程的存在、时间和效率执行证据
1.你是否拥有发现脆弱性和执行补救措施的跟踪系统??是?否
2.在报告期间发现了多少系统脆弱性(要记数报告期间所有发现和解决的脆弱性)?____
3.有多少报告期间发现的脆弱性被解决在----30天____60天____90天____180天____12个月____依然未解决_____频率每季度,每半年或每年公式(脆弱性数量x30+脆弱性数量x60+脆弱性数量x90+脆弱性数量x180+脆弱性数量x365)分别对应问题3/解决脆弱性的总数(问题3所有答案的总合)数据资源PlanofActionsandMilestonesPOAM跟踪系统指示器必须为纠正措施执行建立一个目标时间并将结果和该目标相比较随着管理活动对应用过程的意识的提高,纠正措施执行/脆弱性解决的趋势应当是向时间段缩短的方向另外,可能从职员经验的提高和正式补救措施过程的制度化获得效率应当注意有些纠正措施需要额外的时间来执行备注本度量决定脆弱性是否已适时的方式被纠正这些数据可以从审计结果和POAM报告的风险评估中获得数据有效性取决于可靠记录了脆弱性被发现和解决时的数据源的有效性如果没有数据源,为纠正措施建立一个现实的时间段是困难的应该对基线时间进行测试以建立特殊(目标)时间段另外,如果事故的发生源于新发现的脆弱性,应该建立新的目标时间段以消除某种脆弱性问题3用于确定主要脆弱性被解决的时间跨越甚至一些脆弱性需要更长的时间来解决,尽管这影响了平均值,但大多数脆弱性的解决时间的分布还是可以为关于目标时间段的性能提供线索度量也可以被扩展以描述脆弱性的类型和在时间周期内解决脆弱性,从而发现脆弱性类型和平均解决时间之间的从属关系A.3系统发展生命周期关键部分
3.1是否发展了系统发展生命周期(SDLC)的方法次级问题
3.
1.2商业对象是否为充分保护系统所需的资源制订了文件
3.
1.3InvestmentReviewBoard是否确保了投资要求包含了所需的安全资源?度量拥有并入系统生命周期的安全控制的开销的系统百分数目的测量依从于OMB将安全开销并入系统生命周期的要求的系统的百分数执行证据
1.你的系统有多少组织(或者应用的代理成员)?_____
2.你是否拥有正式的制定文件的SDLC??是?否
3.如果问题2的答案是否,为什么??缺乏对要求的理解?资源缺乏?竞争优先级?其它(请指明)____
4.SDLC是否跟踪了安全控制的开销??是?否
5.SDLC过程是否按要求在每一步中都并入了安全开销?是?否
6.现在和曾经经历了SDLC过程系统有多少?频率每年公式经历了(或将经历)SDLC的系统数(问题6)/系统总数(问题1)数据资源预算过程数据OMBExhibit300;安全计划回顾指示器这个度量是为了显示一个向上的趋势高的百分比显示了在生命周期中为每个系统分配了安全资源备注这个度量的执行证据应该提供足够的信息以确定那些在问题2种回答了不的代理或代理成员中为什么没有发展SDLC问题6提供了以完成了或正在SDLC中的系统数量通过公式计算正经历和已完成SDLC的系统的百分数(问题6的答案除以问题1的答案)问题2,4,5量化组织的合格性以为该度量报告正确的结果任何关于这些问题的否定答案都会导致度量无效问题4指示了一种获得安全控制开销的可能方法关键部分
3.2在项目过程从测试到最终审批的过程中是否对变化进行控制?次级问题
3.
2.5如果发展中增加了安全控制,那么安全控制被测试,系统被重新认证了么?度量如果在系统被发展后增加或修改了安全控制,被重新认证的系统的百分数目的当在系统发展后增加或修改了安全控制时,测量系统回顾和重新认证的要求的依从性执行证据
1.系统的改变是通过配置管理过程来制定文件么??是?否
2.自从发展后在安全控制上发生了变化的系统数量_____
3.从执行后被重新认证的在安全控制上发生变化的系统的数量____频率每年公式被重新认证的安全控制发生了变化的系统的数量(问题3)/发展后的发生安全控制变化的系统的数量(问题2)数据资源CA跟踪系统;配置管理跟踪指示器这个度量的结果应该随时间推移而增长并逼近百分之百安全控制的变化会忍受新的脆弱性的风险并可能影响其他依赖的系统和控制这些变化如果是明显的,将会由一个正式的包括了STE的重新认证的过程来检查,以确保控制在正常的运行如果没有检查变化的正式过程,将会产生对系统和系统间连接的未知影响备注问题1是为了验证系统的变化通过一个正式的过程被记录和跟踪如果没有正式的跟踪,度量的有效性是可疑的A.4批准过程认证和鉴定合格关键部分
4.1系统是否被认证/重新认证并证明合格次级问题
4.
1.8是否审定了所有系统的互相连接,包括被其他项目、代理、组织或承包人拥有和运行的系统度量通过认证和合格证明的已经授权执行的系统的总百分比目的决定被认证和证明合格的系统的百分数执行证据
1.你的代理(或应用的代理成员)是否维持着完全的和最新的系统目录??是?否
2.你的系统是否有正式的CA过程??是?否
3.如果问题2的答案是4,CA过程是否要求批准所有系统的相互连接??是?否
4.系统的连接是否制定了文件??是?否
5.系统目录中的登记了多少系统?_____
6.多少系统完全接受了CA_____频率每季度,每半年,每年公式被认证或证明合格的系统数量(问题6)/系统总数(问题5)数据资源系统目录;CA纪录指示器这个度量的结果应该随时间推移而增长并逼近百分之百安全控制的变化会忍受新的脆弱性的风险并可能影响其他依赖的系统和控制这些变化如果是明显的,将会由一个正式的包括了STE的重新认证的过程来检查,以确保控制在正常的运行如果没有检查变化的正式过程,将会产生对系统和系统间连接的未知影响备注这个度量的执行证据必须被跟踪通过调查系统目录和CA文件的记录管理人,或者通过直接询问这些目录和文件是否被存储于数据库设置问题3和问题4是因为,如果要评估系统对其他代理中系统的所有潜在影响,CA回顾系统和其它系统间的相互连接是必要的相互连接应当被制订文件以确保用于为CA评估系统的信息的可描述和责任任何这些问题的否定回答都会使度量失效关键部分
4.2系统是否运行在临时的授权上以保持和指定授权的协调次级问题
4.
2.1管理活动是否发起了迅速的措施以纠正不足度量运行临时运行认证IATO的系统的百分数目的决定不合格系统和IATO的系统的数量执行证据
1.你的代理(或应用的代理成员)是否维持着完全的和最新的系统目录??是?否
2.如果是,你的代理(或代理成员)中有多少系统??是?否
3.多少系统是没被认证的?____
4.多少没被认证的系统是运行在IATO下的?是?否
5.在当前报告时期内有多少对IATO系统的纠正措施被按要求确定?_____
6.在当前报告时期内多少纠正措施被执行?_____
7.对6个月内没有执行纠正措施的IATO系统,列出延迟的原因检查所有可能资金不足人员不足等待递交必要成员优先级竞争等待完成补救措施的内部批准处于DesignatedApprovalAuthorityDAA回顾中其它(请指明)________频率每季度,每半年,每年公式运行临时运行认真的系统数目(问题4)/目录中系统总数(问题2)数据资源安全项目管理者;认证存储;计算机安全计划;管理变化过程指示器向下的趋势对这个度量是必要的目标是运行IATO的系统数量是百分之零运行IATO的系统越多以及运行IATO的时间越长,系统暴露于威胁的风险就越大,要达到完全的合格鉴定,这是要解决的备注问题3和问题4验证信息对于回答度量中其他问题时有效的问题5和问题6为了确保当IATO存在时,管理活动及时地采取措施纠正系统不足这将提供对CA过程的所有功能的线索问题7是为了决定为达到完全鉴定合格而执行的必要变化的延迟的原因A.5系统安全计划关键部分
5.1如果边界控制是无效的,是否为系统和所有相互连接的系统制定了系统安全计划的文件次级问题
5.
1.1系统安全计划是否被主要受影响的当事人和管理活动批准度量批准了系统安全计划的系统的百分数目的测量系统安全计划被批准的程度,这显示了计划的完成和计划对适当要求的依从性执行证据
1.你的代理是否维持着现有IT系统的目录??是?否
2.如果是,你的代理(或应用代理成员)中有多少系统?______
3.完成了多少系统安全计划?____
4.多少系统安全计划包含了NISTSP800-18中规定的方面?___
5.多少系统安全计划被批准?____频率每年公式被批准的系统安全计划数目(问题5)/系统总数数据资源系统目录和系统档案跟踪系统(问题2)指示器本度量的目标是百分之百在度量中渴望得到向上的趋势,接近百分之百的目标系统安全计划的完成是OMBOMBCircularA-130ManagementofFederalInformationResourcesAppendixIII“联邦自动信息的安全”以及PublicLaw100-235ComputerSecurityActof1987的要求系统安全计划应该为系统完全确定和描述合适的控制并包含一个行为准则清单系统安全计划的管理批准指示了一个充分的系统安全计划所要求的因素已经被完成以指导适当的系统安全备注问题3和问题3验证被接受系统安全计划的完成;另外,如果批准的系统安全计划的数量超过了包括了所有NISTSP800-18要求的因素的系统安全计划的数量,则显示了管理训练的缺乏关键部分
5.2是否保持着最新的计划次级问题
5.
2.1是否计划被定期的回顾和调整已反映当前情况和风险度量当前安全计划的百分数目的决定系统安全计划的当前性,确保回顾定期的进行和计划必要的更新执行证据
1.你的代理(或代理成员)中有多少系统?____
2.多少系统安全计划被完成?____
3.在报告时期里,有多少系统安全计划在如下的时间段里被回顾和执行(如果需要)?(为每个系统选择最接近的时间段?不要在一个以上时间段里重复计数)6个月中____6-12个月____1-2年____频率每半年,每年公式在每个时期被回顾和更新(如果需要)的系统安全计划的数目总和(问题3)/完成了系统安全计划的系统总数(问题2)数据资源包含了所有主要应用和一般支持系统的IT系统的目录;NISTSP800-26自我评估;系统档案指示器每个代理都应该为每年系统安全计划的回顾和更新建立目标时间段每个时间段的数目应当合计并被所有系统安全计划总数相除这个计算将百分之百的满足要求如果在指定时间段中没有完成目标,至少应该由一个逼近百分之百的向上的趋势已完成的系统安全计划的有效性是由收集度量
5.1的信息来确保的备注这个度量可以通过增加一个问题来扩展决定安全计划没按要求回顾和批准的原因A.6安全人员关键部分
6.1职责是否被分开以确保最低优先级和个人责任次级问题
6.
1.3敏感的功能是否在不同个体间划分度量遵循了职责所要求的分离的系统百分数目的测量职责所要求的分离的依从性的百分比执行证据
1.你的代理是否维持着现有IT系统的目录??是?否
2.如果是,你的代理或应用代理成员的系统有多少?____
3.多少系统在他们的安全计划中要求分离职责以确保最低优先级和个人职责?____
4.多少系统已被验证以执行这个要求?频率每年公式已被验证的执行要求的系统数目(问题4)/正式声明了要求的系统总数(问题3)数据资源风险评估存储;CA存储指示器本度量的结果应当接近百分之百,以确保所有系统实际上对职责分离要求的执行一个低的百分数显示了高的风险暴露,因为相同的个体被容许处理要求职责分离的事务备注问题1和问题2为度量应用建立了基础如果代理中的系统数是未知的,指责分离要求的存在和执行就无法被验证问题3,为度量公式提供了输入,同时也验证了职责分离的要求在安全计划中被正式的制定文件关键部分
6.2是否为容许优先访问的指派职位设置了适当的屏蔽次级问题
6.
2.1被授权重要技术和操作旁路控制的个体是否屏蔽其优先访问并定期的屏蔽度量对经历了背景评估的系统有指定访问的用户的百分数目的测量具有高级访问权限的个体(那些可以重要技术和操作旁路控制)在授权这种访问之前被屏蔽的程度执行证据
1.是否为鉴定具有对系统和网络有高级访问权限的个体(那些可以重要技术和运行旁路控制的)保持了记录??是?否
2.对系统有特定访问权限例如,可以重要技术和运行旁路控制的的人员有多少?____
3.对系统有特定访问的并完成背景屏蔽的人员数量频率每半年,每年公式具有特定访问的并完成背景屏蔽的用户数(问题3)/对系统有特定访问的用户数(问题2)数据资源人员数据库指示器本度量的目标是百分之百,一个低的具有高级访问并经历了背景屏蔽的人员的百分数显示了较高由内部人员导致的潜在安全风险,这也是导致安全破坏最普通的原因备注这个度量中信息的可靠性取决于一个可信赖的跟踪机构的建立,它存储了用户优先权和背景屏蔽的信息应该收集额外的度量以测量这些“多余”的背景屏蔽的频率,以确保用于评估访问级别的信息是最新的A.7物理和环境保护关键部分
6.2是否有相应于物理损害和访问的风险的足够的物理安全控制被执行次级问题
7.
1.3对库中的磁带和其它存储媒体的存放和回收是否被授权和记录度量记录了磁带存放和回收的信息系统库的百分数目的决定组织将汇聚的数据存储于磁带和其它存储介质的控制的级别和限制授权用户访问的级别执行证据
1.组织中有多少媒体库?________
2.有多少被存放和检查的存储媒体是被日志记录的____
3.有多少存储媒体是被访问控制名单中的授权人员检查的?_____
4.由多少库纪录被存放和检查的媒体?______频率每半年,每年公式记录了检查和存放事件的库的数目(问题4)/媒体库的总数(问题1)数据资源媒体库日志;系统库;ISSO指示器本度量的目标是百分之百,一个低的百分数显示了由缺乏数据存储媒体控制导致的安全事故造所成的数据丢失的潜在风险备注通过建立分配的数据存储媒体的数目(问题2)和验证只有适当人员具有权限并记录媒体位置(问题3),执行相应的对磁带和媒体回收过程的控制关键部分
7.2是否数据被保护防止窃取次级问题
7.
2.2数据传输线的物理访问是否被控制度量组织中限制了授权用户访问权的数据传输设备的百分数目的决定组织关于数据传输设备的控制的级别执行证据
1.组织中有多少支持数据传输线的网络设备?_____
2.有多少支持数据传输线的网络设备具有对所有登录点的物理访问限制?____
3.有多少支持数据传输线的网络设备使用了以下物理访问限制??可封闭的门?密码卡控制?口令/键盘密码?生物认证?其它(请指明)______
4.是否有授权访问网络设备的人员的访问控制名单??是?否
5.如果访问被要求时,是否有对内部授权人员伴随的维护或其他非授权人员的明文要求??是?否频率每半年,每年公式具有对所有登录点的物理访问限制的数据传输设备的总数(问题2)/所有数据传输线的网络设备的总数量数据资源促进安全职员指示器本度量的目标是百分之百,一个低的百分比显示了存在较高的由缺乏网络设备访问控制而导致的安全事故的的潜在风险所有的登录点必须被限制以真实保护网络设备备注问题3决定物理控制的强度,可以增加额外问题以决定使用了多冲物理限制机制的网络设备的数目问题4和问题5验证了维持物理访问控制名单的程序的存在和深度以及要求可能访问设备的非授权人员要被授权人员伴随的政策/程序的深度关键部分
7.3可移动和便携式系统是否被保护次级问题
7.
3.2是否为所有便携式系统的敏感文件加密度量具有对敏感文件加密功能的手提电脑的百分数目的决定组织对手提电脑上敏感信息的访问控制的级别执行证据
1.组织中有多少手提电脑?_____
2.是否有要求手提电脑中敏感信息加密的政策??是?否
3.组织中有多少手提电脑安装了加密软件?_____
4.是否定期的回顾手提电脑以确保敏感信息在存储时被加密??是?否
5.是否对所有手提电脑用户进行了加密软件使用的培训??是?否频率每季度,每半年,每年,由手提电脑的审计结果决定公式拥有加密能力的手提电脑数(问题3)/手提电脑总数量(问题1)数据资源重要资源管理者;系统目录;软件目录;安全职员;配置管理清单指示器本度量的目标是百分之百,一个低的百分比显示了存在较高的由缺乏手提电脑加密而导致的安全事故的的潜在风险对手提电脑加密文件的回顾(问题4)是有用的以确保发生了加密的某种级别和用户进行了安全控制精确指定的敏感文件可能会太难得到一个精确数字备注问题2决定是否制定了要求为手提电脑上敏感文件加密的政策没有一个明文的要求,手提电脑的加密执行可能是缺少的问题5决定用户是否懂得怎样使用手提电脑的加密一个额外的度量被要求以确定加密能力是否实际上被用来为手提电脑上的敏感文件加密A.8生产,输入/输出控制关键部分
8.1是否有用户支持?次级问题
8.
1.1是否有提供建议的帮助台或组织?度量在初始呼叫后便立即解决的安全相关用户问题的百分数目的量化帮助台解决安全相关用户问题的速度执行证据
1.应用的直接用户支持回答关于系统功能和系统安全控制的主要方法是什么??帮助台?网络管理者?安全职员?其他(请指明)_____
2.有效帮助是多少小时??全周24x7服务?仅在日常办公时间?日常办公时间加一些周末和/或晚间服务
3.是否呼叫被跟踪??是?否
4.在当前报告时期报告了多少安全相关问题/故障?_______
5.在当前报告时期在初始呼叫后有多少安全相关问题/故障被立即解决
6.选择最接近的没有解决安全相关问题的原因?缺乏帮助台员工?帮助台员工对安全不熟悉?要求高级别的专家解决技术
7.当需要电脑安全援助时,你会呼叫谁??帮助台?系统/网络管理者?谁也不会?合作工人/管理者频率每半年,每年公式已解决的安全相关问题数(问题5)/汇报的安全相关问题数(问题4)数据资源对一些职员的调查帮助台业务跟踪指示器本度量评估和帮助台和安全相关的活动的有效性度量要求要有用户支持职员和对这个团体报告/解决了的问题的跟踪在初始呼叫后立即解决的安全相关问题的百分数永远不会到百分之百,这是因为通常会存在要求进一步援助的问题解决速度指示了帮助台员工对安全相关问题的熟练程度,指出了帮助台员工在初始呼叫后不能立即解决问题主要矛盾的原因备注问题1限定了度量问题2和3对用户支持的有效性分类有效支持越缺少,安全事故和混杂发生的安全事故不能被解决的可能性越大问题6指出了度量结果比预期低的可能原因问题7评估拥护支持主要方法被实际使用的程度关键部分
8.2是否有媒体控制?次级问题
8.
2.8媒体是否被清洁以便再次使用?度量在重新使用或处理之前清洗的媒体的百分数目的决定由整个代理或代理成员要求的媒体控制是否被执行以及通过媒体清洗是否降低了敏感数据恢复面临的风险执行证据
1.是否有在媒体被重新使用或处理前清洗的政策??是?否
2.被递交的以便重新使用和处理的媒体数____
3.已被清洗过的被递交的以便重新使用和处理的媒体数____
4.如果所有的媒体在丢弃和重新使用前没有被清洗,检查所有缺乏清洗的原因?不知道要求?缺乏人力资源?缺乏清洗指示频率每年公式被清洗的媒体数(问题3)/被递交的以便重新使用和处理的媒体数(问题2)数据资源NISTSP800-26评估可以提供清洗过程存在的一些资料要为正式度量收集信息,应该展开队媒体清洗责任的调查结果可以储存在媒体控制日志或部分日志上指示器最终目标是为重新使用或处理而清洗的媒体数是百分之百如果没有清洗,可能从媒体中获得一些部分从而容许了对信息的非授权访问这个风险可以通过清洗过程降低备注问题1决定是否有提供了对职员指示关于清洗媒体的政策问题4的回答决定为什么媒体在丢弃之前没有被清洗A.9意外事故计划关键部分
9.1最关键和敏感的操作和它们的计算机支持资源是否被鉴定?次级问题
9.
1.1是否鉴定了关键数据文件和操作以及文件备份的频率度量拥有已确定备份频率的关键数据文件和操作的百分数目的测量由于备份不足造成的风险执行证据
1.关键操作和数据文件是被被鉴定??是?否?没有关键数据/操作
2.如果问题1的答案是否,为什么??不知道要求?缺乏资源?其它(请解释)
3.被鉴定要备份的关键数据文件和操作的数目____
4.被鉴定要备份的且建立了备份频率并制定文件的关键数据文件和操作的数目____
5.是否备份被制订文件??是?否
6.是否文件被定期的备份(根据要求)??是?否
7.每次为数据成功转移/拷贝的数据备份是否被测试??是?否频率每年公式确定了备份频率的关键文件数量(问题2)/要求备份的关键文件数量(问题3)数据资源NISTSP800-26要求和调查的答案指示器本度量的结果应当接近百分之百,这指示了所有要求备份的文件被备份以依从一个建立的备份过程定期的备份是信息恢复的关键要达到这个度量的可靠结果,鉴定需要备份的关键文件(问题1)是首先必要的然后必须有一个记录备份的跟踪系统(问题5)备注问题6决定是否有按照要求频率的备份备份时间的失误会导致原始数据的恶化问题7决定备份的质量如果在备份中没有保存数据的完整性,当必要地从备份资源中重新获取信息时就不会有完全的恢复这显示出备份的实效关键部分
9.2是否有发展并制定文件的全面的意外事故计划?次级问题
9.
2.10意外事故计划是否被分配给所有合适的个人?度量拥有意外事故计划的系统的百分数目的决定依从了拥有意外事故计划要求的系统的百分数这个计划的存在指示了计划被执行的准备级别执行证据
1.你的代理是否维持着当前IT系统的目录??是?否
2.如果是,你的代理(或可应用代理成员)中有多少系统?
3.多少系统有制定了文件的意外事故计划?____
4.多少意外事故计划指派了数据恢复的责任?____
5.多少意外事故计划确定了备份的位置?____
6.多少意外事故计划为其中的存储操作提供了详细的指示?____
7.多少意外事故计划被分配给所有与数据恢复相关的适当个人?____
8.多少意外事故计划被管理活动和主要影响当事人回顾和核准?____频率每年公式拥有计划的系统数(问题3)/系统总数(问题2)数据资源系统档案跟踪;NIST自我评估指示器本度量所渴望的状况是百分之百的系统拥有意外事故计划向上的趋势是积极的一个较低的拥有意外事故计划的系统的百分数可能显示了要求意外事故计划的代理政策的缺乏或执行该政策的失败备注问题4到问题8验证意外事故计划包括了要求的主要部分以及职员当需要时拥有一个可用的拷贝问题8验证管理活动回顾并批准了意外事故计划关键部分
9.3是否有合适的测试过意外事故/灾难恢复计划?次级问题
9.
3.3这个计划是否被定期回顾并作适当调整?度量在上一年意外事故计划被测试的系统百分数目的决定上一年测试过的意外事故计划的数量和百分数执行证据
1.你的代理是否维持着当前IT系统的目录??是?否
2.如果是,你的代理(或可应用代理成员)中有多少系统?
3.上一年中测试了多少意外事故计划?____
4.测试计划被记录了么??是?否
5.在测试后有多少计划的变更是必要的?____
6.有多少变更被完成?____
7.在变更后有多少计划被再次测试?____
8.在完成变更后有多少计划被管理活动和影响当事人定案和核准?____频率每年公式测试的意外事故计划数(问题3)/系统总数(问题2)数据资源意外事故计划存储指示器如果本度量展示了低的百分数,这鉴定了重复和再次测试的特定系统,意外事故计划的发展,或者对意外事故计划中没有进行必要更新的领域的分析备注问题4到8验证意外事故测试结果被跟踪并进行要求的调整变化了的意外事故计划的最终批准应当要求管理活动和影响当事人的回顾以确保新的程序和任务被回顾和理解这个过程帮助确保执行计划的进一步成功度量的数据源部分假定代理中存在意外事故计划存储如果有这个存储,就可能避免对特定人员询问执行证据调查的问题如果没有存储,将需要对所有系统所有者询问调查问题A.10硬件和系统软件维护关键部分
10.1是否限制了对系统软件和硬件的访问?次级问题
10.
1.1对于谁执行维护和修理活动是否有适当的限制?度量对系统维护人员施加了强制限制的系统百分数目的决定拥有系统维护控制以降低数据暴露的风险和在系统上安装非授权组件的可能性的系统的百分数执行证据
1.你的代理(或应用代理成员)有多少系统?_______
2.多少系统限制了由谁执行系统软件和硬件维护和修理活动?____
3.多少系统记录了维护活动?____
4.哪些文件概述了维护限制(检查所有可能)??系统安全计划IT安全政策?系统配置和操作程序?其他(请指明)_____________
5.谁被允许执行系统维护和修理(检查所有可能)??内部系统工程师?Onsiteexternalvendorsoftwareorhardwarerepresentatives?Remoteexternalvendorsoftwareorhardwarerepresentatives?其他(请指明)_________
6.当诊断程序或维护通过网络设备进行时,是否使用了控制偏远维护服务的程序??是?否频率每年公式对维护人员做出限制的系统数(问题2)/系统总数(问题1)数据资源维护记录;系统安全和操作文件指示器本度量致力于确保所有的系统限制了维护人员对系统的访问结果应当接近百分之百的完全依从维护人员被允许有对系统的特定访问和权限如果没有对维护访问职员数量和类型的控制,系统将会对非授权访问执行和存储数以及非授权安装组建更加开放所有系统必须拥有对维护访问的限制以减小风险备注问题3用于决定规定的限制是否可以通过关于系统维护人员拥有的访问的存储纪录来验证日志也可以用来揭示拥有对机器维护访问的人员数目,这个数目应当维持在最低水平问题4验证了限制是否被制订文件如果没有文件,每个系统管理者对控制的影响可能降低,并且代理中人员变更时可能缺乏连贯性,这些都限制了控制的价值问题5致力于描述可以通过维护职责访问系统的人员类型这允许了对来自外部和内部的风险的评估这个数据也可以用来确保文件所要求的测量被执行问题6扩展涉及了限制的范围,确保对偏远访问的维护活动被正式的安排关键部分
10.2是否所有新的和变化了的软件和硬件在执行前被审定、测试和批准?次级问题
10.
2.3软件变更是否需要为要求和相关批准制定文件度量通过变更申请表的形式制定文件和批准了的软件变更的百分数目的决定被制订文件和批准的软件配置变更的级别执行证据
1.是否拥有请求和跟踪系统软件变更和为每个变更获得适当批准的正式过程(比如变更申请表)??是?否
2.如果是,怎样为变更和批准制定文件??自动跟踪变化历史和批准的系统变更申请表?系统配置和操作程序?其他(请指明)_____________
3.在报告期间变更或更新的软件数量_____
4.拥有相应制定了文件的软件变更请求表/记录的变更数目频率每季度,每半年,每年公式制定了文件和被批准的具有申请表的软件变更数目(问题4)/软件变更总数(问题3)数据资源配置管理数据库或软件变更申请表文件指示器本度量的目标是百分之百软件变更应当被制订文件并作为控制配置管理过程的一部分被批准对软件变更的正式批准要求的缺乏增加了对系统必要的版本控制和安全升级的复杂度备注问题1和问题2用来验证存在这样的过程,要求为软件控制请求和这些请求的管理批准建立系统文件关键部分
10.3系统是否被管理以减少脆弱性?次级问题
10.
3.2是否对系统已知脆弱性和软件快速安装路径定期回顾?度量拥有最近被批准的安装路径的系统的百分数目的决定由当前安全路径执行的缺乏导致的风险级别执行证据
1.是否定期扫描脆弱性??是?否
2.如果是,每次扫描多少系统?______
3.被扫描的系统中有多少拥有批准的路径?_____
4.如果问题1的答案是否,为什么??资金不足?人员不足?其它(请指明)拥有更高优先权的活动?其它(请指明)_________频率每月公式拥有被批准路径的系统数(问题3)/扫描的系统总数(问题2)数据资源脆弱性定期扫描结果指示器本度量监测可应用路径的安装,并提供了在系统级别上的关于风险级别的有用信息这些情况下的目标是百分之百这个度量所希望的趋势是向上的备注本度量仅仅计数那些最近的评估了对系统功能影响的并批准安装了的路径如果没有路经批准过程,路径对系统的影响将是未知的并且路径应用可能会对系统性能和功能产生消极影响问题4确定了为什么可能缺乏路径依从性验证过程,并指明了可能促进建立这样的过程的特定纠正措施A.11数据完整性关键部分
11.1是否安装并执行了病毒检测和杀毒程序?次级问题
11.
1.1病毒扫描是否自动进行?度量拥有自动病毒定义更新和自动病毒扫描的系统的百分数目的测量已知对计算机病毒的防护的程度执行证据
1.你的代理是否维持着现有IT系统的目录??是?否
2.如果是,你的代理(或应用代理成员)中有多少系统?______
3.有多少系统使用了自动病毒定义更新和自动病毒扫描?_____
4.如果进行了自动扫描,在什么情况下扫描会发生??在网络登录时自动扫描?在客户端/服务器开启时自动扫描?在磁盘插入时自动扫描?在从无防护来源例如英特网下载时自动扫描?以一定时间间隔进行网络扫描?未知?其它(请指明)_________频率每半年,每年公式拥有自动病毒定义升级和扫描的系统数(问题3)/目录中的系统总数(问题2)数据资源调查,网络管理纪录指示器自动病毒扫描确保了以一定的时间间隔进行病毒检测自动病毒地定义升级确保了病毒检测使用了最新的病毒定义文件这个度量最好的安全实践是得到百分之百的结果如果使用自动扫描的系统百分数较低或者如果要求采取用户措施以获得最新的病毒定义,系统感染计算机病毒的风险将会充分地增加备注问题4通过指定自动操作发生的时间,验证自动扫描的使用通过鉴定自动扫描不发生的情况,这个问题指示了需要处理的管理缺陷如果使用自动病毒升级的系统共享是未知的,度量结果可能是不可靠的关键部分
11.2是否使用了数据完整性和验证控制以确保信息和系统功能没有被改变?次级问题
11.
2.3是否制定了依从口令政策的程序?度量进行口令政策验证的系统百分数目的决定是否执行了程序以确保口令依从了已建立的政策执行证据
1.你的代理(或应用代理成员)中的系统有多少使用了口令?____
2.口令政策是否被制订文件??是?否
3.如果是,多少系统为依从政策测试了口令?_____
4.以下哪些方法被用来测试口令以依从政策??通过政策控制软件自动标记?通过软件口令管理设置控制配置?口令破译工具?口令的手动回顾?其它(请指明)_________
5.如果口令被检测,它们多久被评估一次(检查所有可能)??创造之后?每周?每月?每季度?其它(请指明)_________频率每半年,每年公式拥有口令依从性检测的系统数(问题3)/拥有口令的系统总数(问题1)数据资源调查;风险评估;对用户口令目录或口令破译工具记录的询问指示器本度量的目标是百分之百首先,必须有适当的强健的口令政策一旦口令政策被建立,口令必须依从这些政策以减少由密码猜测导致的事故应该通过自动或手动的方法巩固政策备注问题4和5用于验证是否有适当的过程检测口令依从性方法的类型和使用频率指示了对过程连贯性和可靠性确保的程度手动回顾涉及到更大的用户错误的风险;自动方法拥有更高的可靠性另外,检测的较短的间隔确保了不依从的口令被较早的修正,通过使用口令减少了安全漏洞A.12文档关键部分
12.1是否有足够的文档解释如何使用软件/硬件?次级问题
12.1是否有内部应用的应用文档?度量具有文件存档的内部应用的百分数目的测量对系统文档要求的依从性的级别执行证据
1.目录中有多少应用?____
2.有多少目录中的应用具有文件存档支持系统?____频率每年公式拥有具有文件存档的应用数(问题2)/目录中的应用总数(问题1)数据资源档案存储/数据库指示器本度量的目标是百分之百当内部应用发展的同时没有文件存档或文件存档不完善时将会造成巨大的风险如果没有文件存档,升级和路径更容易被忽视备注本度量可以扩展加入一些制定代理的验证问题确定对内部应用应该存在哪些文件存档根据这些问题,度量可以提供为什么没有文件存档的线索(例如,对文件存档位置意识的缺乏和更新过程的缺乏)缺乏系统文件存档(例如应用手册,系统体系和与其他系统连接关系的文档)的潜在风险也以通过一些其他问题来得知关键部分
12.2是否正式安全和操作程序被存档?次级问题
12.
2.4是否有风险评估报告?度量具有存档的风险评估报告的系统的百分数目的决定对系统风险评估合适的文件存档执行证据
1.你的代理是否维持着当前IT系统的目录??是?否
2.有多少NISTSP800-18描述的一般系统支持和主要应用被执行?____
3.这些系统中有多少具有存档的风险评估?
4.多少风险评估包含以下信息?系统描述(包括连接和边界)_____已鉴定的威胁_____鉴定的脆弱性_____决定的风险级别_____概述的纠正测量_____频率每年公式拥有具有存档的风险评估的系统数(问题3)/系统总数(问题2)数据资源风险评估存储指示器本度量的目标是百分之百所有要求的系统至少每三个年要有一次存档的风险评估备注问题4验证风险评估的完全完成风险评估存档必须包括了所有5个部分以依从NISTSP800-30向导如果缺少一个部分,风险评估就可能是不充分的这个度量可以得到对度量
1.1和
1.2提供的信息获的进一步的线索A.13安全意识,培训和教育关键部分
13.1职工是否接受了充足的培训以履行它们的安全职责?次级问题
13.
1.2职工训练和职业发展是否被制订文件和监控?度量具有重要安全职责的职员接受特定训练的百分数目的测量代理中特定系统指派的安全任务和责任的专门技术的级别执行证据
1.重要安全责任是否由资格标准来定义并且制定了文件??是?否
2.是否保持了哪些职员拥有特定安全责任的记录??是?否
3.你的代理(或应用代理成员)中有多少职员具有重要安全责任?______
4.是否维持着培训记录?(培训记录指示了特定职员接受的培训)?是?否
5.培训计划是否声明了特定训练是必要的??是?否
6.多少具有重要安全责任的职员接受了培训计划中要求的培训?____
7.如果所有职员都没有接受培训,声明所有可能原因??资金不足?时间不够?难以获得课程?职员没有注册?其它(请指明)________频率每年,最低限度公式接受了要求培训的具有重要安全责任的职员数(问题6)/具有重要安全责任的职员总数(问题3)数据资源职员训练纪录或数据库;课程结业证书指示器本度量的目标是百分之百如果安全职员没有接受适当的培训,组织也就没有足够的武装以抵御最新的威胁和脆弱性具体的安全控制选项和工具在迅速改变和进化连续的培训巩固了必要安全信息的有效性本度量可以联系安全事故数量和路径脆弱性的数量以决定是否和培训过的安全职工的数量的增加有关,并促进某些事故和公开脆弱性的减少备注问题1和2用来测量本度量的信息的可靠性任务和责任必须在政策和程序中定义,职员必须被确定去执行这些任务问题4和5提供了信息帮助确定任何职员需要完成的特定培训如果,没有提供足够的职员培训,问题7帮助鉴定原因如果知道了缺乏培训的原因,管理活动可以采取纠正措施补救这些不足A.14事故反应能力关键部分
14.1当系统中发生了安全事故时是否有能力为用户提供帮助?次级问题
14.
1.1是否有可用的正式事故反应能力?度量具有事故处理和反应能力的代理成员的百分数目的确保代理有强大的事故反应能力执行证据
1.你的代理成员是否维持着事故反应能力??是?否
2.如果问题1的答案是否,为什么??不知道要求?资源缺乏?优先级竞争
3.是否有定义了“事故”和描述了怎样在内部报告事故的正式过程和/或事故处理向导?是否
4.事故是否被监控和跟踪直到解决??是?否
5.职员是否被训练辨识和处理事故??是?否
6.警报和咨询是否被接受和做出反应??是?否
7.报告期间由代理成员报告的事故数量________频率每半年公式拥有事故反映能力的代理成员数(通过统计所有成员对问题1的回答)/成员总数数据资源ISSO;NISTSP800-26尤其是
14.1和
14.
1.1条指示器本度量的目标是百分之百;向上的趋势是必要的以显示信息安全项目的进程的持续力度报告和处理事故的能力对于维持充分安全的状态是关键的备注问题2指示了导致代理成员的事故反应能力不够的原因如果问题2的回答是“不知道要求,”就可能需要调查是否有适当的政策要求事故反应能力,或者向导是否必要如果问题2的答案是“缺乏资源”或“优先级竞争”,就可能需要采取一些其他纠正措施问题3到6验证事故处理能力核心部分存在和使用的程度例如,如果存在向导但是没有提供职员辨识和报告事故的培训,那么能力也并不健壮问题3到6中的因素的缺乏指示了必须处理事故反应能力的脆弱性以提高功能和有效性问题7是另一个验证问题代理成员中没有报告的事故时不太可能的这个数字可以对比代理范围事故报告并和影响代理成员的条款相联系,以决定是否发生必要的报告关键部分
14.2事故相关的信息是否和适当组织共享?次级问题
14.
2.3必要时事故信息是否报告给QuestionFederalComputerIncidentResponseCenterFedCIRCNationalInfrastructureProtectionCenterNIPC和当地执法部门?度量及时报告给FedCIRCNIPC和当地执法部门的事故数量目的决定及时向FedCIRCNIPC和当地执法部门的报告的级别执行证据
1.代理是否使用跟踪机构或数据库获得所要求的向FedCIRCNIPC和当地执法部门报告的事故??是?否
2.如果否,代理政策是否声明了代理同FedCIRCNIPC和当地执法部门之间共享事故信息的可接受时间间隔的最大限度??是?否
3.如果问题2的答案为是,代理政策中说明的报告的可接受时间的最大限度是_____代理中_____向FedCIR______向NIPC______向地执法部门______
4.在当前报告时期向以下部门的报告中有多少事故?代理_____FedCIR______NIPC______地执法部门______
5.对以下部门的报告的事故多少满足了时间间隔的要求?代理_____FedCIR______NIPC______地执法部门______频率每季度,每半年,每年公式问题4答案的总和数据资源事故报告数据库;事故反应/报告政策指示器完成本度量的能力指示了代理的报告政策足够的详细以明确向代理职员,FedCIRCNIPC和当地执法部门报告的时间间隔上限FedCIRC和NIPC向导帮助决定制定怎样的“及时方式”,所以本度量的第一部分需要回答如果你回答了问题3,你可以比较代理政策中列出的平均时间和OMB向导中要求的如果你的代理规定的报告时间与OMB向导不一致,政策就需要被修改以依从于OMB向导如果没有适当的代理政策,代理信息安全项目中的脆弱性应该被纠正备注问题1指示了本度量信息来源的可靠性如果没有使用正式的跟踪系统,数字结果的可靠性是可疑的问题4和5跟踪代理内部事故报告的时间,这可以帮助确定导致外部报告延迟的潜在原因如果内部报告比较慢,将会影响外部报告问题2和3探究如何确定适当报告时间间隔的知识级别这些问题帮助确定问题5收集的信息的可靠性如果没有满足的文件也就无法测量依从性A.15鉴定和认证关键部分
15.1用户是否由口令、令牌或者其他方法被鉴定?次级问题
15.
1.3卖主-供给口令是否被立即取代?度量决定以删除或取代了卖主-供给口令的系统的百分数,测量由现存卖主-供给口令造成的风险级别目的决定及时向FedCIRCNIPC和当地执法部门的报告的级别执行证据
1.你得代理(或代理成员)中有多少系统?__________
2.是否有在软件投放于生产环境之前消除卖主-供给口令的明文政策??是?否
3.是否有安装新软件时要求改变卖主-供给口令的明文程序??是?否
4.是否有适当的测试程序决定卖主-供给口令是否已经在准许软件完全执行前被取代?是?否
5.多少系统确实取代了卖主-供给口令?_____
6.以前是否有关于卖主-供给口令的系统脆弱性被记录??是?否
7.如果是,这些脆弱性被消除并检验了么?频率每半年,每年公式改变了卖主-供给口令的系统数(问题5)/系统总数(问题1)数据资源风险评估;STE;系统审计;安全要求基线指示器本度量的目标是百分之百所有的卖主-供给口令都必须消除以纺织系统和应用软件被非授权使用备注问题2,3和4检查关于取消卖主-供给口令的信息的可靠性如果没有正式的政策,将有每个系统管理者决定卖主-供给口令的取消这些问题已可以用来决定导致卖主-供给口令取消失败的原因管理活动可能需要考虑巩固政策,过程以及测试过程以提高依从性问题问题6和7验证过程的存在和有效性系统审计和风险评估可以显示是否有卖主-供给口令导致的问题用于消除这些以前确定的脆弱性的跟踪系统确保了这些问题不再发生关键部分
15.2访问控制是否加强了职责分离?次级问题
15.
2.1系统是否采取了针对用户的措施?度量唯一用户ID的百分数目的确定描述了系统对特定个体的事件的单独用户ID的数量执行证据
1.每个用户ID被一个用户相独享??是?否
2.系统是否允许游客账号??是?否
3.是否维持着访问控制清单??是?否
4.怎样创建用户ID??系统随机?用户自己起名?职员数字标志符?其它(请指明)_______
5.怎样检查用户ID的独享性??进行副本检验的自动访问控制清单?独享ID边框?手动访问控制清单回顾?其它(请指明)_______
6.所有的卖主-供给用户ID是否被改变??是?否
7.有多少被激活的用户ID?
8.有效用户ID有多少是独享的频率每季度,每半年,每年公式独享的ID数(问题8)/ID总数(问题7)数据资源访问控制清单(如果便于管理的话可以分类或者可以讯问以供副本检查);口令文件指示器本度量的目标是百分之百需要跟踪对用户的动作以维持控制和责任每个OMB向导,“个人责任由保持对其行为负责构组成在一个一般支持系统中,责任通常由鉴定和认证系统用户以及对创建了系统的用户的跟踪措施完成”备注问题1到6是验证问题访问控制名单的存在证实了数据(对口令文件附加的)用于检测独享用户ID是可靠的自动允许游客账号意味着对游客成员的用户措施没有被跟踪创建用户ID的方法可以确保这些ID的独享卖者—供给用户ID应当被取消,以确保非授权访问没有通过无法对用户跟踪的卖者—供给用户帐号发生A.16逻辑访问控制关键部分
16.1逻辑访问控制是否限制了用户的授权事务和功能?次级问题
16.
1.3是否限制了安全管理员对安全软件的访问?度量拥有对安全软件访问权限的非安全管理者用户的权限目的决定对政策的依从性和由允许非授权职员对安全软件访问导致的风险级别执行证据
1.是否有限制安全管理者对安全软件访问的政策??是?否
2.是否维持着访问控制清单??是?否
3.是否对用户指派了安全管理者的任务并分配了数据敏感性的权利??是?否
4.拥有对安全软件访问权限的用户数____
5.安全管理者数量______
6.拥有对安全软件访问权限的非安全管理者职员数目_____频率每季度如果人员变化频繁,每半年,每年公式拥有对安全软件访问权限的非安全管理者职员数目(问题6)/拥有对安全软件访问权限的用户数目(问题4)数据资源访问控制清单指示器本度量的目标是百分之百为确保拥有对安全软件访问权限的职员数目具有适当的技术以及经历或适当的筛选,任何人都不允许该访问除非他被指派为系统管理者拥有对安全软件访问权限的人越多,造成软件混乱或内部安全事故的可能性越大备注问题1用于决定代理是否拥有政策为特殊访问限制提供了向导一旦这被决定,对政策的依从性就可以被评估或者政策可以被更新问题2决定度量是否有可靠的数据源问题3到5验证代理指派了系统管理员关键部分
16.2对于网络访问是否有逻辑控制次级问题
16.
2.2是否有不可靠的失效的协议?度量执行了限制协议的系统的百分数目的通过协议保护决定系统的安全,测量由允许系统运行被禁止协议造成的风险级别执行证据
1.你的代理(或代理成员)中有多少系统?_____
2.是否有关于在环境中允许或禁止协议的政策??是?否
3.多少系统运行了被禁止的协议?_______
4.如果被禁止的协议被激活,为什么?(检查所有可能)?用户要求?功能要求?遗留系统要求改变大量资源?承认弃权?缺乏资源?缺乏系统管理者培训?缺乏系统管理者时间其它(请指明)________频率每季度,每半年也可以更频繁如果使用了配置管理/政策执行软件公式运行了受限协议的系统数(问题3)/系统总数(问题1)数据资源配置管理/企业政策软件;风险评估指示器目标是运行了受限协议的系统为百分之零协议允许系统间的信息访问和传输某些协议固有的包含了一些不可靠因素所以应该被大量限制但是,必须为每个代理设置端口和协议政策一些协议可以通过加强例如加密变得更加安全,所以有些协议并不是完全抵制备注有些协议可能在某些安全加强条件(例如加密)下被允许可能需要建立补充的度量以发现是否一些协议在信息安全政策限制的条件下被允许而且,决定为那些协议是进行了安全加强的系统的数量是必要的如果没有对协议自动的或手动的配置管理控制,可以通过评估来确认安全控制基线包括了对特定协议的限制问题4致力于找出各种允许被禁止协议的原因,其中有些是完全合理的如果协议被允许是因为功能性的原因,每个用户要求或者允许遗留系统的运行,他们可能要保持使用直到这些问题不再有如果得到弃权,系统必须经历一个正式的程序,管理活动接受由允许协议运行所导致的遗留风险的责任回答“缺乏资源”“缺乏系统管理者培训”和“缺乏系统管理者时间”指出了可以通过增加管理关注而减轻的原因关键部分
16.3如果公众访问系统,是否有控制保护公众的使用和信心的完整次级问题
16.
3.1是否有网站隐私政策?度量具有隐私政策的网站的百分数目的决定通报了现存公众用户和代理隐私政策实质的代理网站的数量执行证据
1.你的代理(或代理成员)中有网站?_____
2.代理政策中包含了哪些关于收集信息的细节??使用限制?访问限制?保持时间长度?处理实践
3.多少网站拥有关于初始地质的公开隐私政策?_______频率每季度,每半年或每年,根据需要选择公式组织中具有隐私政策的网站数(问题4)/组织中的网站总数(问题1)数据资源ISSO,网站管理者,网站回顾指示器本度量的任务是百分之百一个较低的百分数显示了较大由没有适当通报用户导致的隐私破坏的潜在风险备注问题2决定隐私政策中信息宽度问题3评定安全政策在网站中的位置A.17审计跟踪关键部分
17.1活动是否包括了对记录的,监控的和可能进行了安全侵害调查的敏感或关键文件的访问和修改次级问题
17.
1.1审计跟踪是否提供了用户行为的踪迹?度量审计跟踪提供了用户行为的踪迹的系统的百分数目的决定联系用户在系统中的行为以保持跟踪的要求的依从性执行证据对于每个系统
1.系统中是否进行着日志记录?
2.日志是否捕获了每个事件的用户ID??是?否
3.日志记录那些事件?成功登录?是?否失败登录?是?否口令修改?是?否非授权的尝试访问文件/目录?是?否访问优先级改变?是?否其它(请指明)_____
4.日志是否为每个事件记录了以下信息?日期/时间标记?是?否用户ID?是?否事件类型?是?否用于事件的命令?是?否频率每年公式记录了用户行为的系统数(问题2中回答“是”的总和)/系统总数数据资源风险评估结果;系统审计;STE;POAM指示器本度量的任务是百分之百必须跟踪用户行为以保持控制和跟踪性根据OMB向导,“个体责任由保持对其行为负责构成在一个一般支持系统中,责任通常由鉴定和认证系统用户以及对创建了系统的用户的跟踪措施完成这可能被完成,例如,通过寻找用户行为的模式”备注问题1,3和4确认日志为每个事件捕获了用户ID第一步要保证日志是进行的通常,日志的配置并不通过默认设置“off”而改变要使用户ID和事件相联系,捕获的时间类型应当被设定这将允许当用户从事与审定了的事件相关行为时,可以对用户行为分析日志应当更加深入以捕获所有相关的可以导致事故或尝试破坏系统的用户行为问题4确认有对具有ID的用户行为,行为时间,行为类型的跟踪。