风险管理提供了一种框架,可以帮助你选择安全控制,从而保护平台即服务(PaaS)上处于开发生命周期任何环节的信息系统――至于那是工程系统、采购系统还是人事系统,并不重要。
安全控制是在确认和评估风险,将风险到较低水平后实施的。实施标准包括:成本效益、技术效率和法规遵从。你必须将这些标准列入到安全方案中。
美国国家标准和技术研究所(NIST)的风险管理框架(RMF)细分为将安全控制应用到美国联邦信息系统的六个步骤。在简单的场景下,每个步骤从管理信息系统用户(ISO,又叫系统ISSO)团队的高级信息安全系统官(ISSO)和安全控制评估员(SCA)的视角来加以描述。团队成员还包括授权官员,这通常是部门或组织主管。
第1步:对信息系统进行分类
ISO对其部门的信息系统进行分类,并将结果列入到安全方案中,采用高级ISSO所提供的格式。安全方案通常涵盖诸多资产,比如:
•处理、存储和传输的信息;
•软硬件接口;
•PaaS开发人员访问权限;
•加密技术;
•数据敏感性(机密或非机密);
•事件响应联系点
高级ISSO确保信息系统在相应的办公室(比如项目管理办公室)已登记注册。
第2步:选择安全控制
高级ISSO与ISO一起,将基本的安全控制定制为系统专用控制或者混合控制。该官员确保控制措施具有成本效益、技术效率以及遵从法规。
信息系统特有的安全控制包括如下:
•访问控制策略和规程;
•职责分离;
•渗透测试;
•人员筛选和培训;
•安全漏洞扫描;
•拒绝服务防护;
•配置设置;
•事件响应计划;
•应急计划;
•紧急关闭;
•保护静态信息;
•信息系统库存。#p#
第3步:实施安全控制
高级ISSO帮助ISO完成下列工作:
•描述每项安全控制的功能。它们涵盖输入、行为和输出。比如说,安全控制接受用户名称作为输入,检查每个用户的文件权限级别,生成日志,记录下允许和拒绝访问哪些文件的所有用户。
•将应当如何实施安全控制列入到安全方案中。
第4步:评估安全控制
高级ISSO确保SCA:
•准备制作安全控制问题方面的评估报告;
•制定、审阅和批准评估安全控制方面的行动方案;
•遵守方案中的评估规程;
•建议针对有缺陷的安全控制措施采取的补救行动;
•根据报告中的发现结果和建议措施,更新安全方案。
第5步:授权信息系统
高级ISSO要准备好一份操作授权证明(ATO),证实信息系统的安全控制具有技术效率,并遵从法规。高级ISSO将该证明连同认可包(accreditation package)一并提交给授权官员,后者负责审批信息系统在约定的时间表(通常是三年)内正常操作。
如果安全控制评估报告表明了负面结果,高级ISSO或者授权官员就会发一份临时操作授权证明(IATO)。这份证明让系统ISSO可以操作信息系统,同时在比较短的时间内(通常最多6个月)解决安全控制方面的问题。解决问题后,系统ISSO就更新认可授权包,然后重新提交给高级ISSO,以便审查。
第6步:监控安全控制
必要的时候,高级ISSO帮助ISO完成下列工作:
•评估软硬件变化给PaaS上的信息系统带来的安全影响;
•解决因PaaS上的变化而刚发现的安全控制低效问题;以及
•更新风险管理文档、安全方案、安全评估报告以及行动方案。
高级ISSO在指定的日期向授权官员提交信息系统的安全状况,以便后者审查安全控制效果。
如果监控报告在ATO证明下发的三年内显示了新的低效问题,高级ISSO或者授权官员就下发IATO证明,要求:
•将信息系统返回到PaaS,以解决问题;
•从风险管理框架的第一步或第二步从头开始;
•将结果记入到更新后的安全方案中。
结束语
想解决PaaS上的安全控制问题,风险管理框架是最稳妥的办法。关键是你能获得一份ATO证明,证实安全控制具有成本效益、技术有效,并且遵从法规。
原文地址:http://www.techrepublic.com/article/resolve-security-control-issues-on-a-paas-with-this-risk-management-framework/