美国联邦信息安全风险管理框架

目的
定义 OMB主任的权力和职责


联邦各机构的职责
年度的独立评估 联邦信息安全事件中心


国家安全系统
NIST的职责
3
云计算安全应用及标准研讨会
FISMA

定义
术语“信息安全”指保护信息和信息系统，防止未经授权的访问、 使用、泄露、中断、修改或破坏，以提供—— （A）完整性，防止对信息进行不适当的修改或破坏，包括 确保信息的不可否认性和真实性；

（A）由联邦机构或代表联邦机构的其他组织收集或保有的信息；或 B）由联邦机构、联邦机构的合同商或代表联邦机构的其他组织使用 或运行的信息系统。

监督联邦各机构，以便追溯各机构是否遵循了这些要求。 至少每年检查一次联邦各机构实施的信息安全项目，并决定是否批准或 不批准这些项目。 每年3月1日前，向国会汇报联邦各机构信息安全工作情况，包括各机构 的年度评估结果、遵循NIST标准的情况。
（Ⅲ）涉及到军队的指挥和控制；
（Ⅳ）涉及到武器或武器系统的装备；或 （Ⅴ）以（B）条为前提，对直接实现军队或情报使命至为关键的装备 （ⅱ）含有根据行政令或国会法案制定的准则，出于对国防或外交政策利益而被列为 涉密的信息，这些系统要持续得到特定流程的保护。 （B）第（A）（ⅰ）（Ⅴ）中的系统不包括用在日常行政管理和业务应用的系统 （包括薪水支付、财务、后勤和人事管理应用）。
Implement security controls within enterprise architecture using sound systems engineering practices; apply security configuration settings.
11
云计算安全应用及标准研讨会
实施安全控制
SP 800-53A
评估安全控制
Determine security control effectiveness (i.e., controls implemented correctly, operating as intended, meeting security requirements for information system).
13
云计算安全应用及标准研讨会
关键概念
信息系统边界

The set of information resources allocated to an information system defines the boundary for that system. If a set of information resources is identified as an information system, the resources are generally under the same direct management control. In addition to consideration of direct management control, it may also be helpful for organizations to determine if the information resources being identified as an information system:

根据NIST的标准，判断信息和信息系统所需的安全级别，采取手段将风 险降低到可接受的程度；定期测试和评估信息安全控制和技术，以确保 这些安全控制和技术得到了有效实施。 每年一次向OMB主任、众议院政府改革委员会等汇报信息安全政策、流 程以及实践措施的充分性和有效性。 每年对其信息安全项目和实践工作进行一次独立评估。不晚于OMB主任 确立的日期，每年一次向OMB主任提交信息安全评估的结果。
12
云计算安全应用及标准研讨会
FISMA 阶段2：安全控制实施和 评估工具(2007-2012)



Training Initiative Support Tools Initiative Product and Services Assurance Initiative ISO Harmonization Initiative Organizational Assessment Capability Criteria Initiative
SP 800-37
Define criticality/sensitivity of information system according to potential worst-case, adverse impact to mission/business.
FIPS 200 / SP 800-53
8


云计算安全应用及标准研讨会
FISMA
NIST的职责

制定标准和指南，包括最小要求。面向的是由行政机构、行 政机构的合同商或者代表行政机构的其他组织使用或运行的 信息系统，不包括国家安全系统。 上述标准和指南包括：


（A）供所有联邦机构所使用的信息与信息系统分类标准， 目标是针对相应的风险级提供足够的信息安全；
14
云计算安全应用及标准研讨会
RMF任务
15
云计算安全应用及标准研讨会
RMF任务
16
云计算安全应用及标准研讨会
RMF任务
17
云计算安全应用及标准研讨会
RMF任务
18
云计算安全应用及标准研讨会
RMF任务
19
云计算安全应用及标准研讨会
RMF任务
20
云计算安全应用及标准研讨会
RMF任务
21
云计算安全应用及标准研讨会

Reside in the same general operating environment (or in the case of a distributed information system, reside in various locations with similar operating environments).
5
云计算安全应用及标准研讨会
FISMA

定义
联邦信息系统——术语“联邦信息系统”指由行政机构、行政机构的 合同商或者代表行政机构的其他组织使用或运行的信息系统。
6
云计算安全应用及标准研讨会
ຫໍສະໝຸດ Baidu
FISMA
OMB（管理和预算办公室）主任的职责

要求联邦各机构确定并实施信息安全保护措施。这些信息安全保护措施 应与下述信息和信息系统的风险及其被非授权访问、使用、泄露、中断、 修改或破坏后导致的后果程度匹配：
（B）建议如何将各种信息和信息系统归入安全类别之中 的指南；以及 （C）为每一类别的信息和信息系统规定的最小信息安全 要求。
9


云计算安全应用及标准研讨会
目 录

联邦信息安全管理法（FISMA）的主要要求 NIST相关文档 NIST SP 800-53
10
云计算安全应用及标准研讨会
风险管理框架
SP 800-39
授权信息系统
Determine risk to organizational operations and assets, individuals, other organizations, and the Nation; if acceptable, authorize operation.
Security Objective LOW The unauthorized disclosure of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. The unauthorized modification or destruction of information could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. The disruption of access to or use of information or an information system could be expected to have a limited adverse effect on organizational operations, organizational assets, or individuals. MODERATE The unauthorized disclosure of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. The unauthorized modification or destruction of information could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. The disruption of access to or use of information or an information system could be expected to have a serious adverse effect on organizational operations, organizational assets, or individuals. HIGH The unauthorized disclosure of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. The unauthorized modification or destruction of information could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. The disruption of access to or use of information or an information system could be expected to have a severe or catastrophic adverse effect on organizational operations, organizational assets, or individuals. 27

7
云计算安全应用及标准研讨会
FISMA
联邦各机构的职责

实施信息安全保护措施。这些信息安全保护措施应与下述信息和信息系 统的风险及其被非授权访问、使用、泄露、中断、修改或破坏后导致的 后果程度匹配：

（A）由联邦机构或代表联邦机构的其他组织收集或保持的信息；或 B）由联邦机构、联邦机构的合同商或代表联邦机构的其他组织使用 或运行的信息系统。
美国联邦信息系统安全 风险管理框架与800-53
左晓栋，2013年3月29日 中国电子信息安全研究院
云计算安全应用及标准研讨会
目 录

联邦信息安全管理法（FISMA）的主要要求 NIST相关文档 NIST SP 800-53
2
云计算安全应用及标准研讨会
FISMA

《联邦信息安全管理法》（FISMA）颁布于2002年，确立了美 国联邦信息系统安全的总体制度框架，明确了管理责任。
选择安全控制
Select baseline security controls; apply tailoring guidance and supplement controls as needed based on risk assessment.
SP 800-160
Security Life Cycle
起点
FIPS 199 / SP 800-60
信息系统分类
SP 800-37 / SP 800-53A
监视安全状态
Continuously track changes to the information system that may affect security controls and reassess control effectiveness.
FISMA 阶段1:制定标准和指南 (2003-2012)

FIPS Publication 199 (安全分类) FIPS Publication 200 (最小安全要求) NIST Special Publication 800-18 (安全规划) NIST Special Publication 800-30 (风险评估) NIST Special Publication 800-39 (风险管理) NIST Special Publication 800-37 (认证和认可) NIST Special Publication 800-53 (安全控制建议) NIST Special Publication 800-53A (安全控制评估) NIST Special Publication 800-59 (国家安全系统) NIST Special Publication 800-60 (安全分类映射)


Support the same mission/business objectives or functions and essentially the same operating characteristics and information security requirements; and
（B）保密性，信息的访问和披露要经过授权，包括保护个 人隐私和专属信息的手段；以及
（C）可用性，确保可以及时可靠地访问和使用信息。
4
云计算安全应用及标准研讨会
FISMA

定义
（A）术语“国家安全系统”指的是任何由（联邦）机构、（联邦）机构的合同商或 其他代表（联邦）机构的组织所使用或运行的信息系统（包括任何电信系统）—— （ⅰ）其功能、运行或使用—— （Ⅰ）涉及到情报活动； （Ⅱ）涉及到与国家安全相关的密码活动；
RMF任务
22
云计算安全应用及标准研讨会
RMF任务
23
云计算安全应用及标准研讨会
RMF任务
24
云计算安全应用及标准研讨会
RMF任务
25
云计算安全应用及标准研讨会
关键概念
授权包（Security Authorization Package）
26
云计算安全应用及标准研讨会
安全分类（FIPS 199）