借助风险管理框架解决PaaS上的安全控制问题

译文
安全 云安全 PaaS
确认、实施及评估信息系统的安全控制是个负担。如果遵循本文介绍的这个分为六步的风险管理框架,就能减轻负担。

风险管理提供了一种框架,可以帮助你选择安全控制,从而保护平台即服务(PaaS)上处于开发生命周期任何环节的信息系统――至于那是工程系统、采购系统还是人事系统,并不重要。

[[124025]]

安全控制是在确认和评估风险,将风险到较低水平后实施的。实施标准包括:成本效益、技术效率和法规遵从。你必须将这些标准列入到安全方案中。

美国国家标准和技术研究所(NIST)的风险管理框架(RMF)细分为将安全控制应用到美国联邦信息系统的六个步骤。在简单的场景下,每个步骤从管理信息系统用户(ISO,又叫系统ISSO)团队的高级信息安全系统官(ISSO)和安全控制评估员(SCA)的视角来加以描述。团队成员还包括授权官员,这通常是部门或组织主管。

第1步:对信息系统进行分类

ISO对其部门的信息系统进行分类,并将结果列入到安全方案中,采用高级ISSO所提供的格式。安全方案通常涵盖诸多资产,比如:

•处理、存储和传输的信息;

•软硬件接口;

•PaaS开发人员访问权限;

•加密技术;

•数据敏感性(机密或非机密);

•事件响应联系点

高级ISSO确保信息系统在相应的办公室(比如项目管理办公室)已登记注册。

第2步:选择安全控制

高级ISSO与ISO一起,将基本的安全控制定制为系统专用控制或者混合控制。该官员确保控制措施具有成本效益、技术效率以及遵从法规。

信息系统特有的安全控制包括如下:

•访问控制策略和规程;

•职责分离;

•渗透测试;

•人员筛选和培训;

•安全漏洞扫描;

•拒绝服务防护;

•配置设置;

•事件响应计划;

•应急计划;

•紧急关闭;

•保护静态信息;

•信息系统库存。#p#

第3步:实施安全控制

高级ISSO帮助ISO完成下列工作:

•描述每项安全控制的功能。它们涵盖输入、行为和输出。比如说,安全控制接受用户名称作为输入,检查每个用户的文件权限级别,生成日志,记录下允许和拒绝访问哪些文件的所有用户。

•将应当如何实施安全控制列入到安全方案中。

第4步:评估安全控制

高级ISSO确保SCA:

•准备制作安全控制问题方面的评估报告;

•制定、审阅和批准评估安全控制方面的行动方案;

•遵守方案中的评估规程;

•建议针对有缺陷的安全控制措施采取的补救行动;

•根据报告中的发现结果和建议措施,更新安全方案。

第5步:授权信息系统

高级ISSO要准备好一份操作授权证明(ATO),证实信息系统的安全控制具有技术效率,并遵从法规。高级ISSO将该证明连同认可包(accreditation package)一并提交给授权官员,后者负责审批信息系统在约定的时间表(通常是三年)内正常操作。

如果安全控制评估报告表明了负面结果,高级ISSO或者授权官员就会发一份临时操作授权证明(IATO)。这份证明让系统ISSO可以操作信息系统,同时在比较短的时间内(通常最多6个月)解决安全控制方面的问题。解决问题后,系统ISSO就更新认可授权包,然后重新提交给高级ISSO,以便审查。

第6步:监控安全控制

必要的时候,高级ISSO帮助ISO完成下列工作:

•评估软硬件变化给PaaS上的信息系统带来的安全影响;

•解决因PaaS上的变化而刚发现的安全控制低效问题;以及

•更新风险管理文档、安全方案、安全评估报告以及行动方案。

高级ISSO在指定的日期向授权官员提交信息系统的安全状况,以便后者审查安全控制效果。

如果监控报告在ATO证明下发的三年内显示了新的低效问题,高级ISSO或者授权官员就下发IATO证明,要求:

•将信息系统返回到PaaS,以解决问题;

•从风险管理框架的第一步或第二步从头开始;

•将结果记入到更新后的安全方案中。

结束语

想解决PaaS上的安全控制问题,风险管理框架是最稳妥的办法。关键是你能获得一份ATO证明,证实安全控制具有成本效益、技术有效,并且遵从法规。

原文地址:http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2022-04-26 06:42:02

AI安全NIST网络安全

2013-01-22 11:25:56

企业文印安全

2023-07-29 00:13:50

2011-08-19 09:56:12

云计算安全管理风险控制

2020-07-16 10:41:58

信息安全CIO技术

2023-07-26 00:16:49

2019-07-24 05:00:54

云安全网络安全攻击

2016-10-28 13:21:36

2013-11-04 14:56:17

IT

2023-09-28 00:09:04

NIST网络安全

2015-02-06 09:17:18

PaaS安全控制测试ISSO

2013-07-16 09:15:29

2016-11-17 15:01:23

2016-01-05 09:56:24

SOA云解决方案数据管理

2022-07-13 08:00:29

安全风险管理IT

2019-10-29 15:59:38

物联网安全工业4.0

2021-10-22 06:02:47

网络安全风险管理网络风险

2018-03-09 12:02:22

多云取舍安全

2021-03-02 10:32:17

合规性控制风险管理领导者

2024-04-03 10:58:08

点赞
收藏

51CTO技术栈公众号