NIST發(fā)布核心網(wǎng)絡(luò)安全出版物合規(guī)評估指南
隨著美國政府希望收緊關(guān)鍵軟件的采購法規(guī),美國國家標準與技術(shù)研究院(NIST)發(fā)布了一份特別的合規(guī)評估指南,詳細介紹了評估組織是否遵守該機構(gòu)(NIST)為“保護受控但非機密信息(CUI)的增強安全要求”的準入清單的方法。
因此,和該文件最相關(guān)的是組織內(nèi)部和外部的審計員,他們將根據(jù)2021年5月拜登政府發(fā)布的行政命令,以及五角大樓網(wǎng)絡(luò)安全程度度模型認證計劃等,在網(wǎng)絡(luò)安全政策中發(fā)揮核心作用。
NIST發(fā)布的SP 800-172A指南寫到,“在評估過程中,評估人員要獲取相應(yīng)的證據(jù),以便讓政府部門能夠確定,是否符合CUI的增強安全要求。這些證據(jù)可以從多個渠道獲得,包括自我評估、第三方獨立評估、政府自主評估以及其他類型的評估,具體取決于制定增強安全要求的機構(gòu)和進行評估的組織的需要?!?/p>
對此,美國政府部門長期警告,保護機密信息的程序時另外一種,很多的非機密但很敏感或有價值的信息同樣需要保護,以免美國實體知識產(chǎn)權(quán)被獲取。針對此類“受控但非機密信息”的保護也是五角大樓網(wǎng)絡(luò)安全成熟度模型認證(CMMC)計劃的重點。
此前,五角大樓官員就曾以CMMC進行辯解,原因是國防承包商參照800-171指南的要求,對“受控非密信息”進行相應(yīng)的安全防護,但最后卻失敗了。CMMC 將建立一個由獨立第三方審計師組成的新生態(tài)系統(tǒng),以檢查承包商是否遵守那些在NIST的網(wǎng)絡(luò)安全框架中也大量引用的安全控制措施。
根據(jù)拜登政府出臺的要求,第三方評估時非常有必要的,但是現(xiàn)在似乎不太確定,因為一些承包商可能再次被允許為政府服務(wù),而這些承包商只是簡單地進行了自我評估。SolarWinds 事件之后,2021年5月行政命令還依賴于遵守安全標準的證明,而美國總務(wù)管理局的聯(lián)邦風(fēng)險和授權(quán)管理計劃要求第三方對云提供商的安全性進行認證。
無論如何,預(yù)計機構(gòu)官員將在不久的將來與其承包商開展更多工作,以確定此類評估所需的適當范圍和保證水平。
NIST表示,“作為選定增強安全要求的一部分的組織定義參數(shù),包含在評估程序的初始確定聲明中。評估對象與被評估的特定項目相關(guān)聯(lián),這些對象可以包括規(guī)范、機制、活動和個人。其中規(guī)范是與系統(tǒng)相關(guān)的基于文檔的工作(包括安全策略、程序、計劃、要求、功能規(guī)范、架構(gòu)設(shè)計)。”
SP-800-171條例中包含了確定評估機構(gòu)具備評估能力的指南。周二發(fā)布的指南附件展示了三種評估方法,即檢查、調(diào)研和測試,以滿足不同水平的評估方開展評估活動。
NIST表示,每種評估方法的應(yīng)用都是根據(jù)評估深度、評估范圍以及從基礎(chǔ)到重點再到全面的評估程序來定義的,每種評估方法的水平與機構(gòu)指定的要求相關(guān)。
參考來源:https://www.nextgov.com/cybersecurity/2022/03/nist-releases-guidance-assessing-compliance-core-cybersecurity-publication/363166/