文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

NIST发布核心网络安全出版物合规评估指南

2024-12-02 04:30

关注

因此,和该文件最相关的是组织内部和外部的审计员,他们将根据2021年5月拜登政府发布的行政命令,以及五角大楼网络安全程度度模型认证计划等,在网络安全政策中发挥核心作用。

NIST发布的SP 800-172A指南写到,“在评估过程中,评估人员要获取相应的证据,以便让政府部门能够确定,是否符合CUI的增强安全要求。这些证据可以从多个渠道获得,包括自我评估、第三方独立评估、政府自主评估以及其他类型的评估,具体取决于制定增强安全要求的机构和进行评估的组织的需要。”

对此,美国政府部门长期警告,保护机密信息的程序时另外一种,很多的非机密但很敏感或有价值的信息同样需要保护,以免美国实体知识产权被获取。针对此类“受控但非机密信息”的保护也是五角大楼网络安全成熟度模型认证(CMMC)计划的重点。

此前,五角大楼官员就曾以CMMC进行辩解,原因是国防承包商参照800-171指南的要求,对“受控非密信息”进行相应的安全防护,但最后却失败了。CMMC 将建立一个由独立第三方审计师组成的新生态系统,以检查承包商是否遵守那些在NIST的网络安全框架中也大量引用的安全控制措施。

根据拜登政府出台的要求,第三方评估时非常有必要的,但是现在似乎不太确定,因为一些承包商可能再次被允许为政府服务,而这些承包商只是简单地进行了自我评估。SolarWinds 事件之后,2021年5月行政命令还依赖于遵守安全标准的证明,而美国总务管理局的联邦风险和授权管理计划要求第三方对云提供商的安全性进行认证。

无论如何,预计机构官员将在不久的将来与其承包商开展更多工作,以确定此类评估所需的适当范围和保证水平。

NIST表示,“作为选定增强安全要求的一部分的组织定义参数,包含在评估程序的初始确定声明中。评估对象与被评估的特定项目相关联,这些对象可以包括规范、机制、活动和个人。其中规范是与系统相关的基于文档的工作(包括安全策略、程序、计划、要求、功能规范、架构设计)。”

SP-800-171条例中包含了确定评估机构具备评估能力的指南。周二发布的指南附件展示了三种评估方法,即检查、调研和测试,以满足不同水平的评估方开展评估活动。

NIST表示,每种评估方法的应用都是根据评估深度、评估范围以及从基础到重点再到全面的评估程序来定义的,每种评估方法的水平与机构指定的要求相关。

参考来源:https://www.nextgov.com/cybersecurity/2022/03/nist-releases-guidance-assessing-compliance-core-cybersecurity-publication/363166/

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯