NIST评估信息安全持续监控项目指南:评估方法——连载2
2020-09-28
《NIST评估信息安全持续监控(ISCM)项目:评估方法》一文可用于:
l 为组织各风险管理级别(定义见NIST SP 800-39《管理信息安全风险:组织、任务与信息系统视角》)开展ISCM项目评估提供指导;
l 阐述了ISCM项目评估与重要安全概念和过程的相关性,如NIST风险管理框架(RMF)、全组织风险管理级别、组织治理、ISCM指标和持续授权;
l 介绍了有效的ISCM项目评估所具备的特点;
l 提出了ISCM项目评估标准(同时提供了参考来源),组织可采用这些标准进行ISCM项目评估,或基于这些标准制定适合本组织的评估标准;
l 介绍了通过评估程序进行ISCM项目评估的方法,该评估程序在相关配套文件(包含ISCM项目评估要素一览表)中进行了定义,用以开发可复用的评估流程。
目标读者为持续监控信息安全态势和组织风险管理的个人,包括:
l 负责评审组织ISCM项目的个人,包括进行技术评审的管理人员和评估人员(如系统评估人、内部和第三方评估员/评估团队、独立验证/认证评估师、审计人员和系统负责人);
l 承担任务/业务负责人或受托人责任的个人(如联邦机构负责人、首席执行官和首席财务官);
l 需要考虑ISCM功能的系统开发/集成负责人(如项目经理、系统负责人、信息技术产品开发人员、系统开发人员、系统集成商、企业架构师、信息安全架构师和通用控件提供方);
l 承担系统和/或安全管理/监督职责的个人(如高层领导人、风险管理人员、授权人、首席信息官、首席信息安全官),这类人员需在一定程度上依赖于持续监控过程中输出的安全相关信息做出基于风险的决策;
l 负责系统和安全控制评估与监控的个人(如系统评估人、评估员/评估团队、独立验证/认证评估师、审计人员、系统负责人或系统安全主管)。
连载2内容介绍了对组织风险管理中的ISCM进行评估的基础和类型。
ISCM项目评估的基础
ISCM项目评估过程包含信息收集和证据分析。组织可利用所收集的信息和已确认的证据进行如下活动:
· 识别改进组织ISCM项目(包括ISCM战略)的具体机会;
· 判断组织领导或员工对ISCM项目以及该项目在风险管理流程中所处位置的了解程度;
· 判断组织对ISCM项目在各级别的适用性以及ISCM功能在全组织集成度的了解程度;
· 识别组织安全和风险管理项目的潜在改进机会,包括ISCM能力与组织风险管理功能之间的联系;
· 重点考虑与组织ISCM项目相关的风险应对决策和相关风险缓解活动;
· 确认组织已解决系统和运行环境中识别出来的安全问题和缺陷;
· 支持监控活动和信息安全态势感知;
· 评估持续授权的准备情况;
· 为未来或计划中ISCM项目的设计提供指导或评估现有ISCM项目中所做的计划性变更。
ISCM项目评估会检查通用控制措施、混合控制措施和特定系统控制措施的控制评估流程,判断组织是否对控制措施进行了评估。本文并未要求在评估ISCM项目时评估单个控制措施或检查控制措施的评估结果。必要时,组织可修改ISCM项目评估方案、增加评估要素来评估单个控制措施,也可引入控制评估流程。本章其余部分将逐一解释ISCM项目评估的各个环节。
1.1 ISCM项目评估标准
ISCM项目评估方案为评估ISCM项目定义了各个方面的评估标准(如安全状况监控政策和程序、通用控制措施评估政策、配置管理程序、安全状况报告)。本文档定义的评估标准以评估要素为核心。以下是评估要素示例:
· 有基于组织级ISCM战略建立的ISCM项目。(评估要素1-002)
· 有组织级安全状况监控政策。(评估要素1-008)
· 按照规定频率和程序进行安全状况监控。(评估要素3-007)
· 有组织级政策要求将ISCM结果输入到风险评估流程。(评估要素1-011)
· 按照程序,对ISCM项目发现的风险进行响应措施确定和优先级设置。(评估要素3-023)
· 有ISCM指标及相应评审程序。(评估要素2-024)
· 回顾ISCM战略,确定如何提高已知和新型威胁响应能力。(评估要素6-005)
若ISCM相关陈述的来源跨越多个ISCM阶段,则要分成多个评估要素,每个(唯一)要素对应一个流程阶段。评估要素也会从其他ISCM功能和原则中提取,如开发人员、操作人员、评估人员根据经验和联邦指导所建议的功能和原则。
要素的选择取决于评估范围(见2.3.2节),评估范围受2.1.2节中定义的风险管理级别或ISCM流程阶段的限制。例如,评估范围受限情况下,按如下原则选取评估要素:
· 对于1级风险管理,仅选择适用于1级的要素。注意:适用于1、2级的要素和适用于1、2、3级的要素都在这个集合中。
· 对于“定义”和“立项”阶段,从一览表或组织定义的评估要素集中仅选择适用于ISCM流程阶段1和2的要素。注意:每个要素只适用于一个流程阶段,多个阶段连续进行,无论何种情况,“定义”阶段均不可省略。
有些评估要素会评估RMF过程所输出信息(如当前风险水平、风险承受水平、威胁和漏洞信息)的使用,因而在一定程度上超出了ISCM项目的范围;有些要素则评估ISCM项目是否能够输出安全相关信息(如安全状况报告、安全指标),为组织实施RMF提供参考;还有些评估要素可能与SP800-53中某些控制措施重叠,但ISCM项目评估并不考虑或评估个别控制措施的有效性。
组织或评估人员可以基于本文档提供的评估要素和评估程序,制定自己的评估方案,输出评估ISCM项目所需的证据,判断评估标准所规定的ISCM要求是否已实现。
评估要素也可以视为对当前所开发ISCM项目的要求。组织可根据这些要素,设计ISCM项目所需的功能、政策和程序。评估要素还可用于评估ISCM规划或设计,如ISCM技术架构、操作步骤和ISCM战略。
1.2 ISCM项目评估要素来源
ISCM项目评估要素的来源包括:
· 2014年《联邦信息安全现代化法案》(FISMA)【FISMA2014】;
· 行政指令,包括白宫计划和行政命令;
· 涉及ISCM要求的OMB备忘录【OMB M-11-33】;
· OMB通知A-130(2016)【OMB A-130】;
· NIST风险管理指南和ISCM指南【SP800-37】【SP800-39】【SP800- 137】;
· 从ISCM、安全工程、网络安全、系统工程和信息技术等集体从业经历所获取的专业经验。
1.3 ISCM项目评估要素属性
每一ISCM项目评估要素均有多个属性,方便评估ISCM项目的实施情况。在ISCM项目评估要素一览表中,这些属性按列展示,具体如下:
· ISCM项目评估要素ID
· ISCM项目评估要素描述
· 风险管理级别
· 来源
· ISCM项目评估程序
· 备注 – 为ISCM项目评估程序属性提供的补充信息
· 级别说明
· 父要素 – 前一阶段的ISCM项目评估要素
· 链标签
· 链分类
1.4 ISCM项目评估要素追溯关系(链)
可将ISCM项目评估要素串成链,这样,基于ISCM项目的特定方面(如安全状况监控或ISCM指标),可方便地从一个要素追溯到与“父要素”属性相关的一个或多个其他要素。评估要素串联在一起,构成“链”,提供追溯关系。这种关系链可显示跨越两个或多个ISCM流程阶段的要素的上下级关系。
评估人员针对各风险管理级别检视或调查评估对象时,会发现通过追溯链来追踪评估要素的路径很方便。例如,针对某一评估要素链的工件或面谈问题只关注某一特定领域(如ISCM战略),有助于评估人员做出更有效的判断。
图2显示了四个类似评估要素的追溯链,这些要素都来自“定义”阶段(要素1-032)。各要素左上角的字符串是该要素的唯一标识(第一个数字字符表示ISCM流程阶段)。
图2:追溯链示例
在图中的追溯链示例中,第一条链由评估要素1-032、2-016和3-019组成,涉及ISCM相关数据的完备性。第二条链由评估要素1-032、2-017和3-020组成,涉及ISCM相关数据的及时性。第三条链由1-032和3-041组成,涉及数据的自动化处理。第四条链由1-032和6-013组成,涉及使用这些数据回顾、更新ISCM项目。
在第一条链中(即1-032、2-016和3-019),第一个区块与第二个相连,第二个又与第三个相连。评估人员可根据各评估要素的描述和具体情况,要求提供能反映数据完备性的工件。然后,基于这些工件对这三个评估要素做出判断。第二条链中,子链(2-017和3-020)的父区块(1-032)与第一条链相同,但这些区块评估的是数据收集的及时性。评估人员可要求提供能反映数据收集及时性的工件。与第一条链一样,工件随后可用于对链中的三个评估要素做出判断。第三条链的情况类似。评估人员可要求演示自动化功能或提供有关自动化的文档工件。对于第四条链,评估人员可要求组织提供工件,说明如何使用数据来评估ISCM项目。
1.5 ISCM项目评估特点
ISCM项目评估涵盖ISCM项目的各个方面,以SP800-137中的原则为基础。ISCM项目评估有如下特点:
1. 一次只针对一个ISCM流程阶段;
2. 每一评估要素仅适用于一个ISCM流程阶段;
3. 使用现成的安全相关信息(如组织级或系统级ISCM战略文件中的信息);
4. 不评估控制措施的有效性,因为这超出了ISCM项目评估的范围;
5. 验证ISCM项目是否能够将自动和手动方法结合使用;
6. 将每一评估要素追溯至权威来源或ISCM专业经验;
7. 评估人员或组织可根据需要添加评估程序,修改评估标准(即“评估要素描述”属性),或添加、排除、修改评估要素的属性字段,如3.5节所述;
8. 适用于任何组织,无论规模多大,结构有多复杂;
9. 与技术、实现和独特的组织或项目要求保持分离和独立;
10. 输出结果,提出可行建议;
11. 从战略和项目角度进行评估,而不是纠结于ISCM期间发现的具体的、战术性的问题;
12. 足够清晰,指导性够强,保证评估方案可复用(也就是说,其他评估团队进行后续评估也会产出相同结果)。
1.6 基于评估标准评估ISCM项目
ISCM项目评估方案包含一个框架,用于评估人员对评估要素做出判断。本节概述了判断的类型和方式。
对于ISCM项目的某一方面(如ISCM战略或ISCM输出/报告),根据相关评估要素进行评估。对于每个评估要素,评估人员选取预定义的判断值,做出判断。判断值示例见下文。
对于ISCM项目评估范围内的评估要素集,所有要素都要进行判断。有关ISCM项目的评估范围,见2.3.2节。
图3显示了使用可用信息对评估要素进行判断的过程。
图3:判断过程
1.7 在特定风险管理级别评估ISCM项目
根据组织的规模和复杂性,可以从多方面(如多个任务/业务流程和/或系统)收集ISCM项目评估信息,对其进行分析和汇总,最后形成单一组织风险管理级别的单个判断。多个评估人员可以就组织的某一部分(如单个任务/业务流程、单个系统)输出多个评估结果。
对于同一风险管理级别的多个ISCM项目评估(由多个评估人员进行),组织或评估人员决定如何将同一评估要素的多个判断进行合并。例如,如果评估人员分别接触各任务/业务流程,则可能会对同一评估要素做出多次判断。分布式自评也是如此(见2.3.1节)。一个风险管理级别的评估结果可能存在显著差异。对于某一组织风险管理级别,可用如下方法将判断进行合并:
· 最坏情况:采用最坏情况的判断(下限)作为最终结果。
· 少数服从多数:将多数人的判断作为最终结果。如果两种判断势均力敌,则依据预定义规则来确定最终结果(例如,平局时采用最坏情况判断)。
· 评估人员确定:评估人员考虑所有因素,根据经验做出判断。
各评估要素按上述原则在对应风险管理级别分别进行判断。
1.8 跨风险管理级别评估ISCM项目
SP800-137介绍了三个风险管理级别如何就ISCM的各个方面协同工作。根据组织的结构以及组织级和系统级ISCM战略的实现方式,这些概念会适用于一个或两个级别(通常是相邻级别)或所有三个级别。因此,每个评估要素都会在一个或多个级别上进行评估。例如,一个要素可能只在级别1进行评估,而另一个要素则可能在级别1和级别2都要进行评估。对于每个要素,不管涉及几个级别,都要将多个评估结果进行合并,最终形成唯一的判断结果。
当两个或三个级别的判断需要进行合并以得到最终结果时,需要有方法、规则或算法来保证这种操作有统一的标准可循。本文档并未提供合并判断的方法,各组织可根据需要建立自己的合并机制。
每个相关级别都要进行一次或多次评估。如2.2.8节所述,在每个级别将结果合并为单一判断。然后,根据组织定义的规则,将各级别的结果进行调整,形成唯一判断。例如,要合并各级别评估结果,可基于后文三个表格中的其中一个决策矩阵采用如下规则:
规则1:如果评估要素只适用于单个级别,则该级别的判断作为该要素的最终判断。
规则2:如果评估要素适用于两个级别,则使用表1、表2或表3中的决策矩阵。
规则3:如果评估要素适用于所有三个级别,则:
a. 对2级和3级应用规则2;然后
b. 对级别1应用规则2和规则3a的应用结果。
表1:合并两个级别的判断(无倾向)
表2提供了涉及两个级别的另一种决策矩阵,该矩阵倾向于高级别,能大概反映组织的业务情况。该例中,规则2和规则3没有变化;但是,不管应用哪种规则,结果都与表1矩阵不同。
表2:合并两个级别的判断(倾向于高级别)
表3提供了涉及两个级别的第三种决策矩阵,该矩阵倾向于低级别,更接近组织的实际情况。该例中,规则2和规则3没有变化;但是,不管应用哪种规则,结果都与表1和表2矩阵不同。
表3:合并两个级别的判断(倾向于低级别)
1.9 评分
评估分数表示ISCM能力对目标的满足程度,反映组织的风险情况。基于评估要素做出判断后进行评分,用数值描述判断,最后得出评估结果。为每个判断值分配分数,再基于各评估要素分值计算组织的最终分数。换言之,评估得分是所有要素判断得分的总和。
基于该分数,组织领导可就ISCM项目做出明智决策,确定如何优化组织资源配置,以便改进项目,降低风险。评分操作非必选项,可与2.2.7节中讨论的二元和多级判断类型结合使用。可将全组织的ISCM项目评估分数汇总,计算出整个组织的最终分数。
ISCM项目评估实施
ISCM项目评估的首要目标是为组织提供ISCM项目改进建议,从而管理和降低组织所面临的风险。ISCM项目评估过程有多种描述方法,包括评估类型和评估人员类型、评估深度和持续时间以及预期评估结果。
ISCM项目评估有两种方式:第三方评估和自评。
第三方评估:第三方评估由独立于被评估组织的第三方评估人员进行,分为以下两种情况:
· 外部人员 – 评估人员来自独立的外部组织。
· 内部人员 – 评估人员属于组织,但就评估任务而言,独立于被评估组织实体。
第三方评估通常要组织多次访谈,按以下方式进行:讨论参与者的回答,得出并记录达成一致的结果,例如由评估人员将结果输入工具或结果库。
自评:自评由被评估组织或子组织的内部人员进行,包括分布式评估和引导式评估。自评要求对目标形成客观看法,这样才能在ISCM项目开发早期揭示整个或局部组织的ISCM能力的不足之处。
自评可分布式进行,方法如下:
· 多名参与者在一名内部员工的领导下同时评估各要素;
· 参与者将一组评估人员的判断直接输入到工具或库中(不一定同时),然后无需讨论就可以手动或通过工具(或半自动程序)计算最终结果。
引导式评估中,一名具有专业领域知识的员工或团队引导小组讨论,然后达成一致并记录下来(例如,将回答输入工具或结果库)。
就流程阶段而言,ISCM项目评估的范围很灵活。评估可以在任何阶段或逻辑停止点停止,可以评估局部组织而不是整个组织。ISCM项目评估在评估范围方面具有以下特征:
· ISCM“定义”阶段不能省略,以确保ISCM的基础得到评估。
· ISCM项目评估逐步进行,可在任一阶段后随时停止。例如,评估可以:
o 终止于“定义”阶段(重点评估ISCM项目战略);
o 终止于“立项”阶段(重点评估ISCM项目设计);
o 终止于“实施”阶段(重点评估ISCM项目实施);
o 跳过“回顾/更新”阶段(过程改进阶段,在较成熟的ISCM项目中进行);或
o 包含所有阶段(完整ISCM项目评估)。
进行ISCM项目评估的目的是改善组织的安全态势,降低风险。为此,ISCM项目评估要输出具有可操作性的建议,从各方面改进ISCM项目,包括设计、实施、运营和治理等。ISCM项目评估的主要输出是调查结果报告,该报告要提交给组织,包括以下内容(如适用):
· 介绍信息和背景材料(例如评估过程概述);
· 详细的记分卡(若使用评分)和/或概述组织ISCM项目有效性的其他形式的内容;
· 根据评估标准认定的实施效果良好的特定ISCM领域;
· 可以改进的特定ISCM领域;
· 改进ISCM的具体建议以及根据这些建议改进ISCM记分卡的具体方法。
此外,被评估组织的员工可单独出具一份评估情况报告提交给评估机构,以便改进ISCM项目评估过程。
下次连载将介绍ISCM项目评估的组成部分和总体评估流程。