安全意识的政府机构已急剧上升,在过去几年中,由于更加积极的意见,所采取的申诉专员公署。要求维持一个安全认证及认证(三& A )的计划已被周围多年,随着很多的指导和支持文档。不幸的是,它没有,直至政府信息安全改革法案( gisra )和联邦信息安全管理法案( fisma )被放进地方机构开始采取这些联邦法规更严重。兰迪纳什问这个问题:是否fisma ,使我们的机构的任何更安全?
fisma提供了一套具体的指导方针,为联邦机构就如何计划,预算,实施和维护安全系统。这些新的,更严格的保安指引,取代了过期的一套规则下,政府信息安全改革法案( gisra ) 。
每个联邦机构要发展,文件,并实施一项计划,提供安全的数据和资讯科技系统的支持,其业务和资产,包括其自己的系统,以及那些属于其他机构,承包商,和其他支持它的使命。实现fisma遵守,您的机构必须做到以下几点:
计划安全
确保有适当的官员,被指派的安全责任
定期审查它的安全管制
授权系统的处理之前行动,并定期,此后
了大量的努力,已花了由国家标准与技术研究院( NIST )制定的安全标准和指导,支持fisma和安全的联邦制度作为一个整体。
NIST的有几个节目在安全的地方,铭记这一目标,如下列:
联邦信息安全管理法案( fisma )实施项目
国家脆弱性数据库
联邦桌面为核心的配置( fdcc )
信息安全自动化计划和安全内容的自动化议定书
上述每NIST的措施,需对任务发展的指南和标准,为的另一个领域是信息安全管理。该fisma包含多个这样的标准和指导面向完全对支持fisma报告的要求。
关键方面,这一计划的内容如下:
标准分类的信息和信息系统的使命的影响
标准的最低安全要求的资料和信息系统
指导选择适当的安全控制信息系统
指导评估的安全管制,在信息系统和确定安全控制的有效性
指导和评审,证明信息系统
有几个关键文件,任何涉及与安全方面的联邦,政府应熟悉。这些出版物包括以下内容:
符合FIPS出版物199 :安全标准的分类联邦信息和信息系统
符合FIPS出版物200 :最起码的安全要求联邦信息和联邦信息系统
NIST的特别出版物800-30 :第1次修订本,风险评估准则
NIST的特别出版物800-37 :指南的安全认证和认可的联邦信息系统
NIST的特别出版物800-53修订2 :推荐安全控制联邦信息系统
NIST的特别出版物800 -第53A :指导评估的安全管制,在联邦信息系统(完成2008年3月)
有很多更多的文件,但这些提供的核心部分, fisma计划。 sp 800-37是一个成熟的文件,概述的C &一种方法,所聘用的政府机构。
较新的指导,如sp 800-53 ,已被宣布为“已完成, ”但也有不幸的几个巨大的洞穴,这指导削弱整体计划。
安全控制
sp 800-53界定的推荐安全控制IT系统的基础上的关键性系统。被归类为低度,中度,或高, SP和800-53提供了更严格的管制,为每个级别。一“高”制度规定,除了自动化控制安全程序。
这些预定义的安全管制是一个奇妙的构思,并提供标准的性能和行为,可以很容易衡量审计。主要问题,这些管制是没有什么的“在” ;它的什么是不。 sp 800-53是否做好界定所需的政策和程序。它提供了一些良好的运作和管理控制在其框架内。我认为,它的技术管制缺乏。
在Windows为中心或以数据为中心的
sp 800-53提供了良好的指导,技术管制,以适用于基于Windows的系统。这亦是高度集中的就处理的数据或资料。问题是,许多系统不运行在Windows或不处理的数据或资料,在传统意义上。
第一大缺点是缺乏任何指导,为网络基础设施的形式,路由器,交换机,防火墙。如果我们的核心网络基础设施是脆弱的或我们的周边可以妥协,那么,我们正处在一个对不起国家。
随着基础设施的,我会找出缺乏管制的建议,供作业系统以外的其他窗口。
在这个清单上的操作系统我想包括以下内容:
在UNIX / Linux , AIX操作系统
麦金塔
的Cisco IOS
大型机/遗留系统( IBM的o /秒360 , vax / mvs )
minicomputers ( AS/400的或其他基于RISC的系统)
最后,我想指出,缺乏考虑,语音和视频系统。我已亲自处理的每一个问题在各种环境,与监察长(大)队,以及核数师,从各种其他政府机构。
