旗下网站
艺源微平台
SEO优化
当前位置: 首页 > 新闻 > 业界动态
美国联邦信息安全管理法案中信息安全大纲的定位与作用
时间:2014-08-20 09:16:31
文章发布:李阳
原创作者:未知
来源:中国电子技术标准化研究院

一、FISMA中信息安全大纲的定位

在美国2002年颁布的联邦信息安全管理法案(FISMA)中,采用了这种监督各级组织机构信息安全管理的思路,按照联邦政府信息安全管理环境,针对非国家安全系统,“提供一种经过改进的联邦机构信息安全大纲监督机制”。这里的改进即是指对美国DoD的信息安全大纲进行的改进。同时FISMA就信息安全大纲及其在联邦政府信息安全管理中实施的相关事项用很大篇幅做了明确规定和描述。

FISMA共有九节:1)目的;2)定义;3)OMB(联邦政府管理和预算办公室)主任的权限和职责;4)联邦机构责任;5)年度独立评价;6)联邦信息安全事件中心;7)国家安全系统;8)拨款授权;9)对现行法律的影响。关于信息安全大纲及其相关条款的描述主要分布在第3、4和5节。

在第1节中,FISMA提出其首要目的是“提供一种综合性框架,用以确保对那些支持联邦运行和资产的信息资源施加的信息安全控制措施有效”,同时作为目的之一列出的是“提供一种经过改进的联邦机构信息安全大纲监督机制”。

在第3节中,FISMA规定“审查并且批准或撤销FISMA要求各机构制定的信息安全大纲”是OMB主任在监管联邦机构信息安全方面的权限和职责之一。

在第4节中,FISMA规定了联邦机构的5类责任:

1)机构首脑的责任;

2)机构(信息安全)大纲;在“机构首脑的责任”之后,用较大篇幅表述了信息安全大纲。其中规定:“每个机构都应该编制一个覆盖整个机构的、由OMB主任依照第3543节(a)(5)段批准的信息安全大纲,将其形成文件,予以实施,以便为……信息和信息系统提供信息安全”,还明确提出了信息安全大纲包含的主要内容:

(1)风险及其危害程度的定期评估;

(2)基于风险评估的策略和规程;

(3)附属计划;

(4)人员安全意识培训;

(5)定期测试和评价信息安全策略、规程和实践;

(6)纠正措施的规划、实施、评价和文件化的过程;

(7)安全事件的发现、报告和响应规程;

(8)确保信息系统持续运行的计划和规程。

3)机构报告;在“机构报告”的条款中,规定每个机构每年都要向OMB主任、参众两院有关机构以及总审计长,报告信息安全策略、规程和实践的充分性和有效性以及对信息安全大纲各项要求的符合性。

4)执行计划;在“执行计划”的条款中规定,每个机构经过与OMB主任磋商后,在执行计划报告中补充说明为实施信息安全大纲所需资源(包括预算、人员和培训)。

5)公告。

美国联邦信息安全管理法案中信息安全大纲的定位与作用-艺源视网

第5节“年度独立评价”的中心就是信息安全大纲。此节第一条规定:“每个机构每年都应该对信息安全大纲以及有效实施大纲的实践活动进行独立评价”。要求对机构的有代表性的信息系统的信息安全策略、规程和实践活动的有效性进行测试,评估对于第4节规定的信息安全大纲要求的符合性。规定每年机构首脑向OMB提交评价结果,OMB主任将评价结果归纳到提交给国会的报告中。

该法案用了近5页描述了美国国家标准与技术研究院(简称NIST)职责,实质上是为了切实落实NIST在标准和指南方面,为信息安全大纲的顺利编制和实施提供联邦政府层面的保障。

二、FISMA中信息安全大纲的作用

FISMA声称其目的是“提供一种综合性框架,用以确保对那些支持联邦运行和资产的信息资源施加的信息安全控制措施有效”,并且“提供一种经过改进的联邦机构信息安全大纲监督机制”。这个监督机制是美国联邦政府监督各部门信息安全管理情况的机制,信息安全大纲是贯穿这个监督机制的核心元素。

FISMA中,通过对各种责任人及其责任的规定,描绘了一条基于信息安全大纲实施该监督机制的监管路线:

1) 各机构建立本机构的信息安全大纲;(第4节,联邦机构责任)

2) 信息安全大纲提交给OMB进行审批;(第3节,OMB主任的权限和职责)

3) 机构实施经OMB批准的信息安全大纲;(第4节,联邦机构责任)

4) 对信息安全大纲执行情况进行监督、测试和评价;(第4节,联邦机构责任)

5) 对信息安全大纲执行情况进行独立评价;(第5节,年度独立评价)

6) 机构向OMB报告信息安全大纲实施情况,包括改进措施等;(第4节,联邦机构责任)

7) 独立评价者向OMB或直接向国会报告被评价机构信息安全大纲实施情况;(第5节,年度独立评价)

8) OMB向国会报告整个联邦政府信息安全管理状况(其中第一项就是归纳的信息安全大纲实施情况独立评价结果);(第3节,OMB主任的权限和职责)

此外,FISMA还要求:

9) OMB监督机构的信息安全策略和实践,包括:制定和实施信息安全策略、原则、标准和指南;以及及时采纳且符合NIST制定的标准;(第3节,OMB主任的权限和职责)

10) 商务部指定由NIST制定的适于联邦信息系统的标准和指南;(第9节,对现行法律的影响)

11) NIST负责研究制定信息系统的标准、指南以及相关方法和技术,并且特别明确要求NIST制定信息和信息系统安全分类标准以及各类信息和信息系统的最低限度信息安全要求。(第9节,对现行法律的影响)

国会将根据信息安全管理需求和现状给予拨款和立法支持。

从FISMA字里行间大致可以提炼出一个简图(见图1),来表示信息安全大纲在联邦政府在监督联邦政府各机构(部门)信息安全管理中的作用。图中粗体字和粗线框是直接与信息安全大纲相关的事物/事件。

图1:信息安全大纲在联邦政府各机构信息安全管理中的作用


(注:图中“附属计划”是机构信息安全大纲中要求针对特定信息系统/系统构件制定的信息安全计划。

鉴于联邦政府对各部门的信息安全状况的管理很难深入到具体的信息和信息系统层面,因此,FISMA将这些具体领域和对象的信息安全管理“下放”联邦各部门及其下辖部门,由它们根据自己的使命/业务职能以及相应的条件和环境自行认识和确定。联邦政府只监督各部门的信息安全管理状况。在FISMA中,将这种上下各司其职的联邦政府信息安全管理方式称为“联邦机构信息安全大纲监督机制”。信息安全大纲贯穿整个监管过程。

标签: 信息安全策略 信息安全大纲
*版权申明:本站部分文章由艺源科技收集整理,不代表我们的观点。如果这篇转载侵犯您的版权,请及时联系我们删除!
为您推荐
最新文章