《NIST评估信息安全持续监控(ISCM)项目:评估方法》一文可用于:
为组织各风险管理级别(定义见NIST SP 800-39《管理信息安全风险:组织、任务与信息系统视角》)开展ISCM项目评估提供指导;
阐述了ISCM项目评估与重要安全概念和过程的相关性,如NIST风险管理框架(RMF)、全组织风险管理级别、组织治理、ISCM指标和持续授权;
介绍了有效的ISCM项目评估所具备的特点;
提出了ISCM项目评估标准(同时提供了参考来源),组织可采用这些标准进行ISCM项目评估,或基于这些标准制定适合本组织的评估标准;
介绍了通过评估程序进行ISCM项目评估的方法,该评估程序在相关配套文件(包含ISCM项目评估要素一览表)中进行了定义,用以开发可复用的评估流程。
目标读者为持续监控信息安全态势和组织风险管理的个人,包括:
负责评审组织ISCM项目的个人,包括进行技术评审的管理人员和评估人员(如系统评估人、内部和第三方评估员/评估团队、独立验证/认证评估师、审计人员和系统负责人);
承担任务/业务负责人或受托人责任的个人(如联邦机构负责人、首席执行官和首席财务官);
需要考虑ISCM功能的系统开发/集成负责人(如项目经理、系统负责人、信息技术产品开发人员、系统开发人员、系统集成商、企业架构师、信息安全架构师和通用控件提供方);
承担系统和/或安全管理/监督职责的个人(如高层领导人、风险管理人员、授权人、首席信息官、首席信息安全官),这类人员需在一定程度上依赖于持续监控过程中输出的安全相关信息做出基于风险的决策;
负责系统和安全控制评估与监控的个人(如系统评估人、评估员/评估团队、独立验证/认证评估师、审计人员、系统负责人或系统安全主管)。
连载3将介绍评估的组成部分和ISCM项目的总体评估流程。ISCM项目评估流程明确了组织如何进行ISCM能力评估,包括:(i)组织和评估机构为准备ISCM项目评估而开展的活动,(ii)ISCM项目评估计划的制定,(iii)ISCM项目评估的实施和评估结果的分析和报告,以及(iv)评估后报告分析和后续活动。
成功的ISCM项目评估需要考虑组织ISCM能力有关各方的需求,包括系统负责人、授权人、首席信息官、首席信息安全官、隐私事务高级机构官员/首席隐私官,首席执行官/机构负责人、安全和隐私工作人员、监察长或其他审计机构、RE(f)和负责风险管理的高级官员。建立评估前、评估中和评估后期望至关重要,可确保获得可接受的结果,即输出必要的信息,便于组织领导判断ISCM项目是否足以满足组织的需求,进而影响授权决策,决定是上线新系统还是继续使用当前系统(持续授权)。整个过程如图7所示,详细信息见下文。
虽然评估依赖于评估人员手动进行,但会将自动化ISCM过程的输入作为证据,进行判断。例如,ISCM输出的报告可以通过组织仪表盘或安全信息和事件管理(SIEM)组件提供给评估人员;然后评估人员基于该报告对一个或多个特定评估要素做出判断。接下来,评估人员或工具(若有)收集和汇总来自各级别的评估参与者的判断结果,生成针对整个组织的判断,构成最终评估结果的基础。
依据本指南制定的ISCM项目评估方法评估的是ISCM项目本身,而不是ISCM项目的运营结果。ISCM项目评估的目标不是:(i)重新测试安全控制的有效性或操作程序,(ii)评估ISCM实施情况,或(iii)验证ISCM项目的特定输出。ISCM项目评估通常不审查单个控制措施评估的结果,而是检查被评估组织的各部分是否按照ISCM战略以组织确定的频率进行控制评估。
理想情况下,ISCM项目评估流程应可以复用,以确保结果的一致性。通过使用本指南3.3节中描述的ISCM项目评估要素,可确保评估流程的复用性,为评估人员提供关于潜在评估对象、检查点、单独评估要素的评估目标以及目标面谈人员角色等方面的指导。此外,各ISCM评估要素的“备注”属性就如何对评估要素进行判断提供了指导,有的还提供了有效判断值,供评估人员选择。
下文阐述了组织或评估人员如何调整本章提出的方法,根据自己的实际需求进行评估。
ISCM项目评估直接评估组织内定义和实施的ISCM项目,而不是评估实现ISCM能力的单个具体组件,如单个通用控制措施、混合控制措施和特定系统控制措施。ISCM项目评估验证评估要素某一方面是否到位,例如,验证是否按照指定频率针对特定行动执行了特定程序。ISCM项目评估不会评估ISCM能力的单个自动化功能、手动功能或运营功能。
ISCM项目评估计划为ISCM项目评估的实施提供指导。ISCM项目评估计划包含ISCM项目评估过程计划阶段所作的决策,方法如下:
对于第三方评估,评估团队制定ISCM项目评估计划,并提交给组织进行审批。最终版本将在启动会议上交给评估参与者。
对于自评,ISCM项目评估计划由关键评估人员和组织管理层内部制定。ISCM项目评估计划由组织领导批准,并将根据ISCM项目评估结果采取行动。最终版本将在启动会议上交给评估参与者。
ISCM项目评估计划包括但不限于以下内容:
评估类型
评估范围
人员配置来源
评估人员角色及职责
时间表与期限
关键里程碑
按顺序进行和同时进行的活动
针对特定组织风险管理级别的评估人员合并判断方法
针对多个组织风险管理级别的评估人员合并判断方法
后勤信息
评估调整决策和实施
报告类型(草稿和终稿)
图4:ISCM项目评估流程
ISCM项目评估由一系列的活动组成,是一种基于现有评估方法的逻辑性、系统性方法。ISCM项目评估流程有三个阶段:
ISCM项目评估规划(规划阶段)
进行ISCM项目评估(实施阶段)
报告ISCM项目评估结果(报告阶段)
每次ISCM项目评估行动都要根据组织的需要和适用评估要素进行定制。ISCM项目评估可分为自评和第三方评估,如2.3.1节所述。图4说明了ISCM项目评估三大阶段中的具体活动。
ISCM项目评估的规划阶段明确了评估过程,并将项目评估的实施进行了固化,如图5所示。
图5:ISCM项目评估流程(规划阶段)
规划活动针对一系列重要问题,涉及ISCM项目评估的实施方式(自评或第三方评估)、成本、计划表、人员配备和后勤保障。规划假设各评估要素适用于一个或多个组织级别。参与者仅在一个适用级别对一个要素做出一个判断,且这种判断与他/她在其他适用级别所做的判断无关。
要实现全面的ISCM项目评估,评估负责人确保ISCM的所有领域都由知情员工进行评价,具体如下:
进行第三方ISCM项目评估的团队成员或了解ISCM项目评估范围内的所有能力,或接触过ISCM项目评估各领域,具有实操经验。此外,评估人员还需要具有必要的相关技能和经验,确保能够提供准确、一致的判断和实用的改进建议。
进行自评的个人对本ISCM领域非常了解。
在详细规划之前,需要评审初始的基础工件(例如,组织级ISCM战略和组织结构图)。然后,根据初始工件集的相关信息,更新ISCM项目评估计划,调整以下内容:
组织的行动力;
被评审的评估对象以及参与人员;
完成ISCM项目评估的期限;
组织有效管理评估所需的关键里程碑决策点;
连续活动和并行活动。
组织要执行以下关键规划活动:
获得组织批准,为ISCM项目评估设立一名执行发起人;
确定评估的目标、严格性和范围;
确保组织领导了解要评估的任务/业务流程,任务/业务流程已拉通,方便评估人员获取评估相关要素所需的信息;
上报组织的重要领导,说明即将进行ISCM项目评估,分配必要的资源进行评估;
安排启动会;
确保ISCM相关工件已到位,可供评估人员使用(例如,成文政策和操作程序、计划、规范、设计、记录、ISCM报告、系统文档、信息交换协议、以往评估结果、法律要求等);
对于自评,确定并从组织中选择具有相关知识的评估人员/团队,同时考虑评估人员的独立性问题。
确定评估范围时,组织可能认为局部评估(如2.3.2节所述)较为合适,也就是说,计划会限制待评估组织的流程阶段数量,指定哪些部分将接受评估。该形式被组织批准后,相关工件将提供给评估团队,方便他们在启动会之前检查详细的背景信息,进而缩短评估时间。
评估团队需做如下准备工作:
与组织的相关管理人员会面,就ISCM项目评估的目标、严格性和范围进行沟通,达成一致;
在组织内指定执行ISCM项目评估所需的联系人;
全面了解组织的运作,包括组织结构、任务、职能、业务流程和员工角色;
确定ISCM项目评估的重点领域(如问题领域、高优先级/可见性计划);
全面了解任务/业务流程内的系统对评估过程的支持性;
了解每个系统的结构(待评估的系统架构);
对于第三方评估,选择有能力的评估人员/评估团队,如果评估人员属于组织(即内部第三方评估),则要考虑独立性问题。
组织和评估领导人共同开展以下活动:
规划筹备组织领导和评估人员之间的启动会议;
在组织和评估人员之间建立沟通桥梁,尽量减少对ISCM实施的模糊认识或误解以及ISCM项目评估期间发现的任何不足/缺陷;
制定完成评估和定期检查的时间表,监测和管理进度。
启动会议的目的是确认行动决策,回答问题,解决后勤问题以及任何其他问题。与会者包括以下组织人员:组织高级领导(CIO、SAISO/CISO、RE[F])、任务/业务负责人、系统负责人、系统安全主管、被选中参与或支持ISCM项目评估的其他人员,以及行政支持人员,包括后勤和组织联系人。评审机构领导和高级评审人员也会参加启动会议。
ISCM项目评估按ISCM项目评估计划进行,该计划或会在启动会议期间进行修改。要成功进行ISCM项目评估,至关重要的是获取欲评审ISCM项目和评估范围内系统相关的工件且能够联系上相关组织人员。图6说明了ISCM项目评估过程的实施阶段。
ISCM项目评估按ISCM项目评估计划进行,该计划或会在启动会议期间进行修改。要成功进行ISCM项目评估,至关重要的是获取欲评审ISCM项目和评估范围内系统相关的工件且能够联系上相关组织人员。图6说明了ISCM项目评估过程的实施阶段。
图6:ISCM项目评估流程(实施阶段)
实施阶段的目标是了解组织的ISCM项目在下列各方面发挥的作用:
规划、制定组织级ISCM战略以及建立ISCM项目;
规划、实施可选任务/业务流程ISCM战略;
为被评估的各任务/业务流程内的所有系统规划、实施系统级ISCM战略;
实现、运行和维持ISCM能力;
分析ISCM结果,确定组织安全态势;
响应ISCM结果,降低组织风险;
向各级组织通报ISCM结果;
以组织规定的频率检测所实施控制措施的差距和不足,判断控制措施是否足够有效、可以达到预期目的;
回顾、更新和改进ISCM项目。
可使用基本的电子表格、PPT和Word文档记录、保存评估要素和评估原始数据并提交评估人员和组织领导。有些商业工具基于特定的评估标准,面向系统和组织项目评估,可用于评估;但是,本文档不为任何商业信息技术产品、应用程序或系统背书。
组织可部署工具进行评估,并以本文中的评估要素作为评估工具以及评估工具需求库的基础。可以开发评估工具来支持判断决策,包括协作方法、Delphi模型、评估人员投票和调查知情人员。
ISCM项目评估信息是从组织人员和ISCM输出(报告)中获取的,而不是与ISCM能力直接交互。根据组织结构、角色和评估范围,对组织各级人员进行访谈,以获取相关信息并对评估要素做出判断。
在收集ISCM安全相关信息以了解控制有效性时,自动化是主要方法,但有些控制是手动监控的。所以,ISCM项目评估还可以从手动收集的数据中获取ISCM结果。ISCM项目评估可获得的证据包括但不限于:
组织级ISCM战略
组织级ISCM政策(可能单独成文,也可能包含在ISCM战略中)
任务/业务流程ISCM战略(可选)
系统级ISCM战略
ISCM实施操作过程
系统安全计划
仪表板或其他动态监控系统和组件(如SIEMs)生成的报告
手动生成的报告
为各级别领导编写的报告,包括CIO、CISO、RE(f)员工、AO、任务/业务区域管理人员、通用控制提供商、系统负责人和ISSO
授权人
风险管理人
系统管理员
系统负责人和系统安全主管
组织领导
如果适用的话,当前ISCM项目评估可使用之前的ISCM项目评估结果(如监察长报告、审计、漏洞扫描、物理安全检查、先前的安全或隐私评估、开发测试和评估以及厂商缺陷补救活动)。
信息收集后由评估人员手动分析,并将结果输入到当前库或评估工具中,用以创建图表。通过信息分析,可以判断ISCM项目对各相关评估要素的满足程度。
在各组织级别进行判断,以确定ISCM项目对该级别特定评估要素是否充分满足。若参与评估的多个人员或小组在同一级别做出不同判断,则评估人员会将这些判断进行汇总,形成唯一判断,如2.2.8节和2.2.9节所述。例如,评估人员可以对系统级判断进行汇总,形成唯一判断,涵盖对所有被评估系统就特定评估要素做出的所有判断。
在ISCM项目评估工作中,评估人员会审查工件,与员工面谈,分析收集到的信息。每天结束时,可与相关组织联系人进行简短讨论,以澄清和确认所发现的问题,进一步提出问题,并确认第二天的活动。
系统级ISCM项目评估可以由系统开发人员、系统集成商、安全控制评估员、系统审计员、系统负责人、组织的安全人员以及AO和AO人员实施或支持。ISCM项目评估人员将所有被审查系统的可用信息汇集在一起。如有必要,评估人员可通过修改评估要素的评估程序和方法来增强系统级评估,收集ISCM项目相关系统的额外或特殊信息。
任务/业务流程ISCM项目评估可由任务/业务负责人、通用控制供应商、安全控制评估员和CISO员工安全专家实施或支持。组织级ISCM项目评估可由组织的CIO、SAISO/CISO和RE(f)员工实施或支持。
在各组织级别对某评估要素做出唯一判断后,根据需要对这些判断进行合并,形成最终判断。当对所有要素都做出唯一判断后,实施阶段结束。
报告阶段(图7)是评估人员参与的最后一个阶段。ISCM项目评估的报告阶段定义了ISCM项目评估的输出成果。
图7:ISCM项目评估流程(报告阶段)
在评估的报告阶段,评估人员起草评估报告初稿。ISCM项目评估结论由评估人员根据分析信息手动得出。评估人员根据ISCM项目评估的结论,提出ISCM项目的改进建议,这些建议可在非“满足”(或“正确”)项的评估判断注释中提供。评估过程输出定性结果和建议,帮助组织集中精力改进ISCM项目。组织会收到一份报告初稿,内容包括调查结果和提供的建议。报告初稿由组织领导(包括执行发起人)审查,以修订错误并澄清误解或含糊之处。根据组织的反馈,评估人员更新报告,形成终稿。ISCM项目评估报告见2.2.12节。
组织负责对ISCM项目评估结果进行响应。组织需要分析ISCM项目评估报告终稿中的调查结果,确定合理响应措施,根据组织的风险承受能力确定响应行动的优先级,并指定角色负责执行响应行动,明确完成时间。计划好的响应行动可以记录在系统、任务/业务流程或组织级行动计划和里程碑中,或以组织要求的格式记录。根据调查结果和组织对调查结果的响应,相应更新ISCM项目相关文件(如ISCM战略、政策等)。组织还可以重新评估相关ISCM项目评估要素,验证已完成的响应行动。
ISCM项目评估要素定义了适用于所评估ISCM项目各个方面的评估标准。为了确定是否“满足”ISCM项目评估要素,评估人员需要使用相关评估程序来获取和审查证据。同一组织级别的所有评估要素适用同样的评估程序。
针对特定评估任务添加或修改ISCM项目评估要素时,评估程序信息也要相应增加或修改,同时,其他属性(如“备注”)信息也需要添加或修改。关于如何定制ISCM项目评估过程以及评估要素,见3.5节。
ISCM项目评估要素能够促进ISCM项目评估过程的可重复性,并提供了必要的灵活性,以便根据范围、组织结构、政策和程序、操作考虑、系统和网络架构以及风险承受能力定制评估方案。
评估要素的信息字段,包括评估要素的上下文信息或属性,定义如下:
ID:唯一标识评估要素并代表ISCM阶段序号(见2.1.2节)的有序字符串。
评估要素描述:为评估ISCM项目某一方面而定义的评估标准。评估要素描述是评估人员用来确定目标是否达成目标或目标达成程度的说明。
级别:SP800-39中定义的适用组织风险管理级别。将ISCM评估要素应用于组织风险管理级别的更多信息,见2.1.3节。
来源:ISCM项目评估要素所参考的权威出版物或实践。
评估程序:评估程序属性包含多个部分,规定了评估人员需要执行的一系列操作,以便收集证据,确定评估目标是否已实现。每个评估程序包括(i)一个评估目标,(ii)多个可能的评估方法,以及(iii)ISCM项目评估所针对的对象,具体如下:
评估目标:评估目标是与评估要素描述相关的判断语句。判断语句(即“确定是否……”)针对的是评估要素描述的内容,用以确定ISCM项目的相关内容是否满足该要素来源中规定的基本ISCM原则/要求,或对这些原则/要求的满足程度。应用评估程序对ISCM项目的某一方面评估后会输出评估结果,表示是否满足了评估要素或对评估要素的满足程度。
可能的评估方法和对象:评估程序还对建议的评估方法和适用对象提出了规范要求。评估方法定义了评估人员活动的性质和范围。可用于ISCM项目评估的可能方法包括:
检视:审查、检查、观察、研究或分析一个或多个评估对象的过程。检视的目的是促进理解,澄清误解,获取证据。
访谈:与个人或小组进行讨论以促进理解、澄清误解或获取证据的过程。
组织和评估人员协调行动,获取证据,证明组织为保障ISCM项目有效性所做的努力。在所有三种评估方法中,证据都用于基于判断语句做出具体判断,以确认评估程序的目标。
评估对象是应用评估方法的潜在项目(证据)。评估对象包括规范、机制输出、活动和个人,帮助评估人员判断ISCM项目的某个方面是否满足评估要素或对该评估要素的满足程度。规范是文档型构件,包括:
ISCM战略
ISCM项目政策和程序
系统安全计划
安全需求
ISCM自动化功能规范
ISCM技术架构设计
机制输出是系统或操作环境中使用的特定软硬件或固件监控功能或防御措施所生成的报告或通知,例如:
安全仪表盘报告
SIEM报告
网络防火墙报告
活动是人类参与的与系统相关的监控活动,例如:
执行手动监控操作
评审ISCM报告
按程序行事
做出基于风险的决策
备注:“备注”属性为评估人员提供各方面的补充指导,包括评估要素、特定对象检查点建议、补充信息/参考资料的来源等。“备注”提供的特殊情况或依赖性方面的补充信息可供评估人员参考。
级别说明:将评估要素分配到特定风险管理级别的理由。
父要素:父要素表示与上一流程阶段评估要素的联系,父要素与当前要素评估的是相同的ISCM方面或主题。“定义”阶段要素没有父要素。
NISTIR 8212(ISCMAx工具)中的关键要素:评估要素可分为关键要素和非关键要素,对评分方式有不同的影响。为方便用户使用,本栏与NISTIR8212一致。组织可根据组织风险评审重要性并修改值(是或否)。
链标签:ISCM项目评估要素可以联结在一起,提供可追溯性,对相关要素进行分组,形成一条链(见2.2.5节)。每个链标签提供一个简短的描述性名称,代表一组相关的ISCM项目评估要素。
链分类:用于对评估要素进行分类的字符串,以便将它们归并到对应链中,按流程阶段在链内进行排序。
组织不需要采用评估程序中包含的所有评估方法和对象;相反,可以灵活选择方法和对象,并确定评估所需的工作量和所需的保障(即哪些评估方法和评估对象对于获得预期结果最有效)。
评估目标 判断是否达成目标。 可能的评估方法和对象 检视:规范 访谈:人员 | 澄清或补充信息或提供给评估人员的额外指导 | 说明评估要素分配给特定风险管理级别的理由 | 与前一评估流程阶段的联系 | 是或否 | 一组相关ISCM项目评估要素的描述性名称 | 对评估要素按链分类的字符串,用以按流程阶段排序对链内要素排序 |
表5:评估要素格式
表6:评估要素示例
举例说明如何基于表6中的示例要素使用评估要素。
使用示例评估项信息
步骤1到步骤4解释了如何使用表6中的示例评估要素的信息字段来对示例评估要素做出判断。
对于1-002评估要素:
有基于组织级ISCM战略建立的ISCM项目。
按下述方法对对象使用可能的评估方法:
检视:组织级ISCM战略、ISCM政策和程序文件、ISCM设计文件、ISCM CONOP
访谈:SAISO、ISCM POC
获取证据,对下述ISCM评估目标作出判断:确定是否有基于组织级ISCM战略的ISCM项目。
根据需要,使用与“定义”阶段和检视列表及访谈列表中的级别1相关的信息来确定ISCM评估目标是否达成。
使用备注:“ISCM项目由基于组织级ISCM战略的ISCM政策和程序组成,包括指导ISCM实施的ISCM文件(如ISCM技术架构和ISCM CONOP)”,澄清评估要素的含糊表述或目的。
判断评估要素的满足程度(“满足”或“未满足”),将判断结果输入评估工具或结果库。对于“未满足”判断,在注释中给出理由。
定制是评估人员和被评估组织之间为满足组织需求而进行的合作过程。评估流程各阶段(如3.2节所述)和评估任务可以定制。通过定制,可将评估任务与组织的特殊情况对齐,例如,ISCM项目不成熟时,可进行有限(增量)评估。对于针对整个组织的评估项目,定制后,不同的子组织可根据不同的风险环境确定不同的实施程度。评估要素和评估程序有足够的灵活性,可以根据组织的需要进行调整。
根据组织对ISCM项目的具体实施情况,可能需要定制ISCM项目评估方案。例如,在为联邦机构定制评估方案时,要保证方案有助于确定组织的ISCM项目是否符合有关部门对联邦机构的ISCM要求。定制ISCM项目评估方案时须与评估机构协调,确保ISCM项目评估能够按照要求验证ISCM的各方面。所有定制决策都要记录在ISCM项目评估计划中。
调整ISCM项目评估范围。在定制活动开始时,应确定ISCM项目的评估范围,例如针对ISCM项目的实施要评估哪些系统和系统组件(用户端点、服务器、网络组件等),以提供可信的评估证据。
调整ISCM项目评估范围要了解组织的ISCM要求和约束,并在必要时修改评估要素。例如,可根据组织结构(子组织的数量和规模等)或ISCM成熟度(如任务/业务流程之间的ISCM成熟度差异)进行调整。
评估范围由组织领导决定。如2.3.2和3.4节所述,可从一览表中选取部分评估要素,以缩小范围(例如,进行小范围评估或根据ISCM流程阶段的数量进行增量评估时)。评估范围也可限定于特定的风险管理级别(例如,仅1级[组织]范围或仅3级[系统级]范围)。
修改评估要素。定制评估方案可能会要求对评估要素的字段/属性进行修改。新技术带来新概念时,可对评估要素进行修改以反映这种变化。如2.2.7节所述,评估要素集可通过新增或修改要素进行定制。
如果ISCM项目评估中用到某个工具,而根据设计用途该工具并不适用于修改后的某些评估要素及其属性,那么对这些评估要素的修改可能会带来问题。
ISCM项目评估可为组织提供ISCM项目设计、实施、运营和治理等方面的改进建议。评估结束时,评估人员提交报告初稿,与组织领导讨论并解决意见分歧,最后提交报告终稿。
ISCM项目评估过程有时会很紧张和短暂,有时会很轻松。评估结束后,组织人员可能会与评估团队进行会谈。后续合作中也可能会有这种会谈。
评估后行动。ISCM项目评估可按预定的时间间隔重复进行,例如当组织的ISCM项目制定过程中出现某些里程碑时,或当先前评估的响应行动完成、确认行动结束后。随着组织ISCM项目的成熟,后续评估的范围可能会扩大。
(全文完)
http://blog.nsfocus.net/wp-content/uploads/2020/09/NIST_ISCM_0930.pdf
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。