这篇信息安全指南是去年翻译学习的,是我学习NIST SP 800系列出版物的第一篇文章,时隔半年,今天准备和大家聊聊具体内容。
对于NIST这个机构就不做介绍了(不知道的可以去百度一下),该出版物的目的是指导组织通过IT安全服务生命周期的各个阶段,为IT安全服务的选择、实现和管理提供帮助。尤其是IT安全决策者和管理者很有必要看看。
或许此时点进来看这篇文章的各位技术老哥们会觉得看着特别枯燥,自己平时根本用不到,但是俗话说:“不想当将军的士兵不是好士兵”,站在不同的角度看安全,万一哪天你就是决策者了呢。
至于为什么说浅聊,主要原因是小师妹的英文功底不好,很多地方翻译起来很别扭。下文中的信息技术安全服务统一简称为“IT安全服务”。
一、介绍
本指南适用于提供IT安全服务的组织,帮助IT安全决策人员和管理人员实现并管理最适当的IT安全服务、服务级别和服务安排,以最大程度地满足组织的业务和需求。同时,该出版物并不是独立的,可配合其他出版物使用,包括但不限于:
二、该指南的组成结构
主要由4个章节组成:
三、角色和职责
明确角色和职责是组织管理以及成功实现IT安全服务的关键要素,在IT安全服务中的角色和职责取决于服务的类型和范围、服务安排和组织规模。下面列几个我觉得在IT安全服务中比较通用的角色,及其职责。
【首席信息官】
CIO负责监督和指导操作人员获取高效、有效的IT安全服务。
【安全项目经理】
在引入适当的、结构化的方法来帮助识别、评估和最小化IT安全风险方面发挥了领导作用。
【信息系统安全管理员】
负责确保信息系统在整个生命周期中的安全。
【项目经理】
参与IT安全服务的战略规划制定,并且非常了解功能服务需求。
【隐私管理员】
确保服务和服务安排符合国家关于保护、传播(信息共享和交换)和信息披露的现有隐私政策。
当然,还有其他参与者,比如信息技术、配置管理的实施人员等角色。
四、IT安全服务
1.IT安全服务分为三类,分别是管理服务、技术服务、操作服务。
管理服务 | 在计算机程序中通常由管理人员处理的技术问题。主要专注于管理计算机程序和组织内部的风险。 |
---|---|
技术服务 | 技术服务主要是对信息系统的安全控制。这些服务依赖于系统的有效功能。 |
操作服务 | 操作服务是由人员执行的控制(而不是系统)。通常需要技术或专门知识,并依赖于管理活动和技术控制。 |
2.IT安全服务管理
管理者可以使用度量的方式(评估)和服务协议来管理IT安全服务的安全性。
度量(评估)
是通过对相关数据进行收集、分析和可能性报告,促进决策和问责。举个管理服务中关于度量的例子:在一个安全培训项目中,在30天内不断收集接受IT安全培训的新员工的各项数据,随着时间的推移,这些数据将使管理人员能够评估当前培训服务提供者执行其任务的能力,为将来选择的服务提供者设定目标,然后评估它如何达到预期的目标。
服务协议
是服务提供者和请求服务的组织之间的协议。以便管理人员能够让服务提供者对他们的行为负责,并且服务协议有利于各方明确自己的角色和职责。
3.IT安全服务所要考虑的问题因素
每个安全服务都有它自己的成本和风险。产生的风险可能会对组织或外部造成重大影响,所以在IT安全服务中我们需要同时考虑的因素和问题可分为六类,如下:
战略 | 在考虑任何决定所带来的影响时,决策者必须从战略的角度来问自己什么是最好的,什么能最好的帮助组织完成任务。如果应用得当,安全服务应该会提高业务效率,而不是降低业务效率。 |
---|---|
预算 | 在考虑成本时,重点应该放在价值和整个生命周期成本上。 |
技术/架构 | IT服务,即使是管理服务,也有技术含义。在整个生命周期中,IT安全管理人员必须考虑对技术问题和组织架构的影响。 |
组织 | 这些问题与组织的无形要素有关,例如对组织形象和声誉的损害,在许多情况下,长期使用的内部控制和业务实践,由于业务变化或法规要求,可能需要IT安全服务提供者参与时重新考虑。 |
人员 | 这些问题还与本组织的外包商和工作人员有关。管理者必须意识到他们的决定对员工的影响。根据所实施的服务安排,现有员工可能会产生重大影响;了解这些潜在的影响是在内部和外部服务之间进行良好权衡的一个基本要素。尽早处理这些问题将确保员工仍然是公司的重要资源。 |
政策 | 有效的安全始于强有力的政策,必须考虑对政策和过程的影响,以确保做出正确的决策。 |
以上几类问题对IT安全服务的成功有着非常重要的作用。
五、IT安全服务生命周期
IT安全服务生命周期为IT安全决策者和管理人员提供了六个阶段的过程,以便可以选择、实现和管理IT安全服务。并且,在整个生命周期中,IT安全服务必须不断地进行评估、解决方案和操作阶段。
图:IT安全服务生命周期
阶段1:起始
组织决定是否应该明确实现IT安全服务可能对提高组织IT安全计划的有效性。【做调研】
阶段2:评估
组织确定当前环境的安全态势并且度量及确定需求和可行的解决方案。【做评估】
阶段3:解决方案
决策者评估预定的解决方案,开发业务案例从可用选项集合中指定可接受的解决方案的属性。【做方案】
阶段4:实施
组织选择并参与服务提供者,制定并建立服务安排,并实施解决方案。【方案实施】
阶段5:操作
组织通过持续监控确保已确定的需求被成功完成,服务提供者定期对组织的风险和威胁变化进行安全性评估,并确保组织的安全程度保持在一个可被接受的态势,解决方案做适当调整。【做调整,类似评估阶段】
阶段6:结束
组织确保在服务结束时平稳过渡终止。【服务终止】
1.起始阶段
如图所示,起始阶段和前面的六类问题有关,会导致触发IT安全服务。
| 战略 | •商业模式的改变 •新的服务安排,更好地关注组织业务职能 | | --- | --- | | 预算 | •增加IT安全预算,允许更大的安全服务 •减少IT安全预算,需要对削减成本的方法进行调查。 | | 技术/架构 | •新技术需要实施 •升级到新技术 | | 组织 | •当前的组织环境和员工混合(如果已经使用外部服务提供商)工作不顺利 •组织改变服务安排方式 | | 人员 | •若干职能专家离开了该组织,造成安全服务领域缺乏技术专长 | | 政策 | •目前的政策没有满足组织的安全需求 |
2.评估阶段
这一阶段明确三点:
第一,现有环境的基线
对当前环境的基线进行了解,将帮助管理人员明确如何有效满足安全需求和成本控制。
例如,如果一个组织要评估它的防火墙服务,则应该评估它的防火墙策略、防火墙架构的有效性,以及其他特定的问题。
第二,分析机会和风险
主要分析内容为:
战略 | •确定IT安全服务对业务的重要性。 |
---|---|
预算 | •根据所有适用的法规和立法,制定一个合理的、可执行的财政计划,以确保预算获得批准。 |
技术/架构 | •明确维持一个组织的技术能力的重要性 |
组织 | •确定哪些服务安排适合于组织的工作环境和价值。 |
•允许管理层将无形的利益与所有利益相关者(例如,提高员工士气,组织形象)结合到业务案例中。 | |
人员 | •允许所有利益相关方参与开发总体目标和具体需求,以满足特定的服务水平要求,如征求建议书(RFP)和协定(SLA)要求。 |
政策 | •开始着手处理各项政策的整合,以实现预期的服务安排战略。 |
第三,明确选择和风险
在评估阶段的最后一步,决策者应该开始确定选择和风险。基线显示了当前的环境,机会和风险描述了预期的目标。因此在这一步中,“how-to”变得更加清晰。明确选择和风险主要是决定服务安排。
3.解决方案阶段
该阶段也是三步:
第一,开发业务案例
大多数业务案例包含5个部分:(即可行性分析、成本预算、利益分析、项目风险分析、解决方案评估),不过每个组织都可能有一种独特的方法来开发业务案例。
第二,开发服务安排
开发服务安排可能是相对较短的一步,因为数据收集、分析和比较艰苦的工作已经完成。尽管业务案例可能不会使决策变得容易或明显,但它应该为决策者提供必要的数据,以权衡、考虑和选择最适合组织需求的服务安排。
决策者之间可能会产生一些分歧,但最终的选择必须是一致的。只有当所有业务和IT安全管理人员充分支持实施方案时,服务安排才能成功。
第三,制定实施计划
(1)项目管理角色和职责
确定具有项目管理角色和职责的个人的角色和职责,以及实施和操作阶段的角色和职责。
(2)预算和范围
IT安全经理应该确定服务安排的预算和范围。这对于在下一阶段确定、选择和评估服务提供者非常重要。
(3)实施过程
项目经理应该阐明他们实现IT安全服务的愿景。例如,如果项目经理想要从一个测试组或试点项目开始,或者为服务建立一个过渡阶段,那么完成此工作的过程应该在这里详细说明。
(4)风险降低计划
对于在整个评估和解决方案阶段确定的风险,IT安全项目经理应该详细说明他们的应对计划。
(5)退出策略
需要开发退出策略,退出策略应该为正常的事件提供行动计划。比如服务协议到期、意外终止,如服务提供者破产、可能存在的紧急退出。
(6)过渡管理
过渡管理计划应该记录组织的工作,以管理从当前到期望的未来环境的转变。在制定过渡计划时,应考虑过渡过程中的费用问题。
4.实现阶段
如上图所示,解决方案阶段到实现阶段要完成三步:
第一,确定服务提供者和开发服务协议
①建立服务提供者服务水平目标; ②服务提供者建议(回答前面提到的几类问题); ③评估提案和服务提供者(根据成本与价值、服务水平等综合因素评估); ④选择服务提供者; ⑤制定服务协议。
第二,完成并执行实施计划
现在,服务提供者和服务级别已经确定,组织可以完成实施计划并开始执行计划。
第三,管理预期
随着第一,第二的实现,当前,各方都应该管理预期,确保双方之间的密切合作以及相互监督。一些重要指导方针是: ①公开地解决问题,无论是组织内部的冲突还是内部团体和外部服务提供者之间的冲突。 ②允许服务提供者在明确责任的同时履行其职责。 ③维护安全服务生命周期。
5.操作阶段
第一,监控服务提供者的服务水平
操作阶段类似于评估阶段。在评估阶段收集的数据应该用于捕获这个新服务提供者的服务水平。在操作阶段,期望的未来安排成为当前的安排。IT安全管理人员还需要确保服务提供者遵守IT安全策略和流程,以及适用的法律和法规。
第二,监控和测量组织
虽然服务提供者应该满足服务协议中的规定,但是IT安全管理人员必须将服务和服务提供者范围之外的信息提供给组织。管理人员应该确保服务安排在执行服务时不会对其他领域产生负面影响。
第三,评估和改进
服务将随着它的成熟而发生变化。随着IT安全服务发生的变化,安全服务安排和服务协议也需要改变。
6.结束阶段
结束阶段主要是两点:
第一,选择适当的退出策略
通常,一个组织需要提前做好退出策略。例如,服务提供者和组织有一个商定的合同,合同将在6个月内到期。然而,情况可能不会像管理者们希望的那样成功,服务提供商可能无法达到目标,一项新技术可能会出现,或者服务提供商甚至可能突然申请破产。管理人员需要了解这些不同的场景,并准备好快速实施退出策略。
第二,实施适当的退出策略
一旦确定某种适当的退出策略,决策者们就要在情况发生时及时实施退出策略。
六、服务类型
一个组织应该评估其信息系统的价值和关键程度,并确定与风险级别相适应的安全控制。无论在组织还是单独的系统级别上,安全程序都应该包含一个适当的安全控制组合:管理、操作和技术。如果没有配套的管理或操作控制,单靠技术资源是不够的。
以下是IT安全服务的类别划分:
【注:本指南并没有提供所有可用的安全服务的详尽清单。安全服务提供者可以将许多此类服务的元素打包成具有唯一名称的独特服务。技术的进步将创造新的安全服务。】
最后,根据上表简单说一下这三个类别:
1.安全服务管理
(1)制定相关服务标准、指导方针和流程;根据需求,制定安全服务计划; (2)统一安全策略; (3)风险管理; (4)安全架构留档; (5)IT安全产品评估。
2.安全服务操作
(1)应急计划(包括应急活动所需的过程、资源、任务和其它信息); (2)事件处置(时间:7x24、内容:事件处置流程、系统安全配置、提供取证能力、测试和更新事故处置流程、管理事故处置流程); (3)安全测试(类别:网络映射、漏洞扫描、渗透测试、ST&E、密码破解、日志评论、完整性检查、病毒检测、恶意拨号); (4)安全培训(意识、培训和教育);
3.安全服务技术
(1)防火墙
①设计一个包含单个或多个防火墙的防火墙解决方案; ②将防火墙安装并集成到新的和已有的网络中; ③监控防火墙服务,以确保可用性,例如事件响应或入侵检测系统(IDS); ④管理组织的防火墙,包括定期升级。
(2)入侵检测
①监控用户和系统活动; ②审计系统配置和漏洞; ③评估关键系统和数据文件的完整性; ④识别反映已知攻击的活动模式; ⑤对异常活动模式进行统计分析; ⑥提供操作系统审计跟踪管理,并识别违反政策的用户活动; ⑦提供定制的报告。
(3)公钥基础设施
①不可抵赖性; ②接收交易的人或进程是预期的接收者(身份标识和身份验证); ③数据完整性没有被破坏(完整性校验)。