            
NIST Специальная Публикация 800-18 Версия 1
|
Руководство по разработке планов обеспечения безопасности для федеральных информационных систем
|
|
Marianne Swanson
Joan Hash
Pauline Bowen
|
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Отдел компьютерной безопасности
Лаборатории информационных технологий
Национальный институт стандартов и технологий
Гейтерсбург, MD 20899-8930
Февраль 2006
МИНИСТЕРСТВО ТОРГОВЛИ США
Carlos M.Gutierrez, Министр
НАЦИОНАЛЬНЫЙ ИНСТИТУТ СТАНДАРТОВ И ТЕХНОЛОГИЙ
William Jeffrey, Директор
Отчеты по технологиям компьютерных систем
Лаборатория информационных технологий (ITL) в Национальном институте стандартов и технологий (NIST) продвигает американскую экономику и общее благосостояние, обеспечивая техническое лидерство для национальной инфраструктуры измерений и стандартов. ITL разрабатывает тесты, методы испытаний, справочные данные, осуществляет подтверждения концепций реализации и технический анализ, чтобы продвинуть разработку и продуктивное использование информационных технологий. Обязанности ITL включают разработку управленческих, административных, технических и физических стандартов и руководств для обеспечения рентабельной безопасности и приватности информации не связанной с национальной безопасностью в федеральных информационных системах. Специальные Публикации 800-серии содержат информацию относительно исследований ITL, руководств и усилий, направленных на повышение безопасности информационных систем, и ее совместных работ с отраслями, правительством и академическими организациями.
Полномочия
Этот документ был разработан NIST в соответствии с его обязанностями, установленными согласно Закону об управлении безопасностью федеральной информации от 2002г., Общественный закон (P.L). 107-347.
NIST ответственен за разработку стандартов информационной безопасности и руководств, включая минимальные требования для обеспечения соответствующей информационной безопасности для деятельности и активов всех агентств, но такие стандарты и руководства не должны применяться к системам национальной безопасности. Это руководство непротиворечиво с требованиями Циркуляра A-130 Министерства управления и бюджета (OMB), Раздел 8b (3), Обеспечение безопасности информационных систем агентств, как указано в A-130, Приложение IV: Анализ ключевых разделов. Дополнительная информация предоставлена в A-130, Приложение III.
Это руководство было подготовлено для использования федеральными агентствами Оно может быть использовано на добровольной основе неправительственными организациями и это не попадает по действие авторского права. (Упоминание приветствовалось бы NIST).
Ничто в этой публикации не должно использоваться в противоречие со стандартами и руководствами, определенными Министром торговли в соответствие с его законными полномочиями как обязательные для федеральных агентств. Также, это руководство не должно быть интерпретировано как изменение или замена существующих полномочий Министра торговли, Директора OMB или какого-либо другого федерального должностного лица
Некоторые коммерческие сущности, оборудование или материалы могут быть идентифицированы в этом документе, чтобы описать экспериментальную процедуру или концепцию соответственно. Такая идентификация не предназначена, чтобы означать рекомендацию или одобрение Национального института стандартов и технологий, а также это не предназначено, чтобы означать, что сущности, материалы или оборудование - обязательно наилучшее имеющееся по предназначению.
|
Благодарности
Национальный институт стандартов и технологий хотел бы поблагодарить авторов исходной NIST Специальной Публикации 800-18, Руководство по разработке планов обеспечения безопасности для систем информационных технологий. Оригинал документа использовался в качестве основы для этой версии. Дополнительно, спасибо всему персоналу NIST, который просмотрел и прокомментировал документ.
Оглавление
РЕЗЮМЕ................................................................................................................................................... VII
1. ВВЕДЕНИЕ............................................................................................................................................... 1
1.1 ФОН........................................................................................................................................................... 1
1.2 ЦЕЛЕВАЯ АУДИТОРИЯ.............................................................................................................................. 1
1.3 ОРГАНИЗАЦИИ ДОКУМЕНТА................................................................................................................... 1
1.4 РЕЕСТР СИСТЕМ И СТАНДАРТЫ ОБРАБОТКИ ФЕДЕРАЛЬНОЙ ИНФОРМАЦИИ (FIPS 199). 2
1.5 ГЛАВНЫЕ ПРИЛОЖЕНИЯ, СИСТЕМЫ ОБЩЕЙ ПОДДЕРЖКИ И ВТОРОСТЕПЕННЫЕ ПРИЛОЖЕНИЯ....... 2
1.6 ДРУГИЕ СВЯЗАННЫЕ ПУБЛИКАЦИИ NIST.................................................................................................. 3
1.7 ОБЯЗАННОСТИ ПО ПЛАНУ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМ.................................................... 3
1.7.1 Директор по информации............................................................................................................ 4
1.7.2 Владелец информационной системы......................................................................................... 5
1.7.3 Владелец информации………........................................................................................................... 5
1.7.4 Высший сотрудник по информационной безопасности агентства (SAISO)......................... 6
1.7.5 Сотрудник по безопасности информационной системы......................................................... 6
1.7.6 Санкционирующее должностное лицо....................................................................................... 7
1.8 ПРАВИЛА ПОВЕДЕНИЯ............................................................................................................................. 7
1.9 САНКЦИОНИРОВАНИЕ ПЛАНА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМЫ......................................... 8
2. АНАЛИЗ ГРАНИЦ СИСТЕМ И МЕРЫ БЕЗОПАСНОСТИ............................................................................... 9
2.1 ГРАНИЦЫ СИСТЕМ…….............................................................................................................................. 9
2.2 ГЛАВНЫЕ ПРИЛОЖЕНИЯ.......................................................................................................................... 11
2.3 СИСТЕМЫ ОБЩЕЙ ПОДДЕРЖКИ............................................................................................................. 12
2.4 ВТОРОСТЕПЕННЫЕ ПРИЛОЖЕНИЯ....................................................................................................... 12
2.5 МЕРЫ БЕЗОПАСНОСТИ.......................................................................................................................... 13
2.5.1 Обзор руководства....................................................................................................................... 13
2.5.2 Компенсирующие меры обеспечения безопасности.............................................................. 15
2.5.3 Общие меры безопасности......................................................................................................... 16
3. РАЗРАБОТКА ПЛАНА............................................................................................................................... 19
3.1 НАЗВАНИЕ И ИДЕНТИФИКАТОР СИСТЕМ…............................................................................................ 19
3.2 КАТЕГОРИРОВАНИЕ СИСТЕМ….............................................................................................................. 19
3.3 ВЛАДЕЛЬЦЫ СИСТЕМ............................................................................................................................ 19
3.4 САНКЦИОНИРУЮЩЕЕ ДОЛЖНОСТНОЕ ЛИЦО..................................................................................... 20
3.5 ДРУГИЕ НАЗНАЧЕННЫЕ ЛИЦА................................................................................................................. 20
3.6 НАЗНАЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ............................................... 21
3.7 СТАТУС ПРИМЕНЕНИЯ СИСТЕМЫ............................................................................................................ 21
3.8 ТИП ИНФОРМАЦИОННОЙ СИСТЕМЫ..................................................................................................... 21
3.9 ОБЩЕЕ ОПИСАНИЕ/НАЗНАЧЕНИЕ.. ...................................................................................................... 21
3.10 СРЕДА СИСТЕМ……………………………......................................................................................................... 22
3.11 ВЗАИМОСВЯЗИ СИСТЕМ/СОВМЕСТНОЕ ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ.................................... 23
3.12 ЗАКОНЫ, РЕГУЛИРОВАНИЕ И ПОЛИТИКИ, ВЛИЯЮЩИЕ НА СИСТЕМЫ............................................. 23
3.13 ВЫБОР МЕР БЕЗОПАСНОСТИ................................................................................................................. 24
3.14 МИНИМАЛЬНЫЕ МЕРЫ БЕЗОПАСНОСТИ............................................................................................. 24
3.15 СРОКИ ЗАВЕРШЕНИЯ И САНКЦИОНИРОВАНИЯ................................................................................... 26
3.16 ТЕКУЩАЯ ПОДДЕРЖКА ПЛАНА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМ........................................ 26
ПРИЛОЖЕНИЕ A: ТИПОВОЙ ШАБЛОН ПЛАНА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ……………………………………………………………………………………………………………………………………………….. 27
ПРИЛОЖЕНИЙ B: ГЛОССАРИЙ................................................................................................................. 31
ПРИЛОЖЕНИЕ C: ССЫЛКИ........................................................................................................................ 41
Резюме
Цель планирования обеспечения безопасности системы состоит в том, чтобы улучшить защиту ресурсов информационной системы. Все федеральные системы имеют некоторый уровень чувствительности и требуют защиты, как часть хорошей практики управления. Защита системы должна быть задокументирована в план обеспечения безопасности системы. Наличие планов безопасности системы - требование Циркуляра A-130 Министерства управления и бюджета (OMB), "Управление ресурсами федеральной информации," Приложение III, "Безопасность федеральных автоматизированных информационных ресурсов," и Раздела III закона об Электронном правительстве, названного Закон об управлении безопасностью Федеральной информации (FISMA).
Назначение плана обеспечения безопасности системы состоит в том, чтобы обеспечить обзор требований безопасности системы и описать существующие меры безопасности или планируемые для удовлетворения предъявленным требованиям. План обеспечения безопасности системы также очерчивает обязанности и ожидаемое поведение всех людей кто имеет доступ к системе. План обеспечения безопасности системы должен рассматриваться как документирование структурированного процесса планирования адекватного, рентабельного обеспечения безопасности системы. Он должен отражать участие различных менеджеров с обязанностями в отношении системы, включая владельцев информации, владельца системы и высшего сотрудника по информационной безопасности агентства (SAISO). Дополнительная информация может быть включена в основной план в структуре и формате, соответствующим потребностям агентства, когда основные разделы, описанные в этом документе, соответственно охвачены и подготовлены.
В соответствии с планами, адекватно отражающими защиту ресурсов, высшее руководящее должностное лицо должно санкционировать применение системы. Санкционирование системы на обработку информации, предоставляемое руководящим должностным лицом, является важный для управления качеством. Санкционируя обработку в системе, руководитель принимает связанный с этим риск.
Санкционирование руководством должно быть основано на оценке управленческих, эксплуатационных и технических мер безопасности. Так как план обеспечения безопасности системы устанавливает и документирует меры безопасности, он должен сформировать основание для санкционирования, дополненное отчётом об оценке и планом действий и вех. Кроме того будущему санкционированию должен также способствовать периодическое рассмотрение мер безопасности. Пересанкционирование должно происходить всякий раз, когда есть существенные изменения в процессе обработки, но, по крайней мере, каждые три года.
1. Введение
Сегодняшняя быстро изменяющаяся техническая среда требует, чтобы федеральные агентства приняли минимальный набор мер безопасности, чтобы защитить их информацию и информационные системы. Федеральный стандарт обработки информации (FIPS) 200, Минимальные требования безопасности для федеральной информации и информационных систем, определяет минимальные требования безопасности для федеральной информации и информационных систем в семнадцати связанных с безопасностью областях. Федеральные агентства должны выполнить минимальные требования безопасности, определенные в FIPS 200 с помощью мер безопасности в Специальной Публикации NIST 800-53, Рекомендуемые меры безопасности для федеральных информационных систем. NIST SP 800-53 содержит управленческие, эксплуатационные и технические меры защиты или контрмеры, предписанные для информационных систем. Выбранные или планируемые меры безопасности должны быть задокументированы в план обеспечения безопасности системы. Настоящий документ дает представление федеральным агентствам о том, как разрабатывать планы обеспечения безопасности для федеральных информационных систем.
Раздел III закона об Электронном правительстве, названный Законом об управлении безопасностью Федеральной информации (FISMA), требует, чтобы каждое федеральное агентство разработало, задокументировало и реализовало общую для агентства программу информационной безопасности по обеспечению информационной безопасности информации и информационных систем, которые поддерживают деятельность и активы агентства, включая обеспечиваемые или управляемые другим агентством, подрядчиком или другим источником. Планирование обеспечения безопасности систем является важной работой, которая поддерживает жизненный цикл разработки систем (SDLC) и должно корректироваться, по мере того, как события в системе инициируют потребность в новой редакции, чтобы точно отразить актуальное состояние системы. План обеспечения безопасности системы предоставляет сводку требований безопасности для информационной системы и описывает существующие или планируемые меры безопасности для удовлетворения этим требованиям. План может также ссылаться на другие ключевые, связанные с безопасностью документы для информационной системы, такие как оценка степени риска, план действий и вех, документ с решением по аттестации, оценка воздействия на приватность, план действий при непредвиденных обстоятельствах, план управления конфигурацией, контрольные списки конфигурации безопасности и соглашения о взаимосвязи систем, как соответствующе.
Руководители программ, владельцы систем и персонал службы безопасности в организации должны понимать процесс планирования обеспечения безопасности системы. Кроме того, пользователи информационной системы и ответственные за определение требований к системе должны быть знакомы с процессом планирования обеспечения безопасности системы. Ответственные за реализацию и управление информационными системами должны участвовать в определении мер безопасности, которые будут применены к их системам. Это руководство предоставляет основную информацию о том, как подготовить план обеспечения безопасности системы и разработано, чтобы быть применимым во множестве организационных структур и использоваться в качестве справочной информации теми, которые несут ответственность за деятельность, связанную с планированием обеспечения безопасности.
Эта публикация представляет ряд действий и концепций, чтобы разработать план обеспечения безопасности информационной системы. Краткое описание содержания публикации:
|
