Отчет представляет краткий обзор NIST Специальной публикации (SP) 800-53, Пересмотр 4, Меры обеспечения безопасности и приватности для федеральных информационных систем и организаций, который был опубликован 30 апреля 2013.
Информационные системы всё глубже проникают в нашу жизнь, с ними современный человек сталкивается на каждом шагу и в профессиональной деятельности и в быту. Мы перестали бояться предоставлять им то, что имеет для нас значительную ценность: персональные данные, финансы и многое другое. На чем же основывается наша вера в то, что самими информационными системами или через них нам не будет нанесен вред или более правильно ущерб, что нас убеждает в безопасности ИС?
Данный документ был разработан NIST в соответствии с его обязательствами, установленными согласно Закона об управлении безопасностью федеральной информации от 2002г., Общественный закон (P.L). 107-347.
NIST ответственен за разработку стандартов информационной безопасности и руководств, включая минимальные требования для обеспечения соответствующей информационной безопасности для деятельности и активов всех агентств, но такие стандарты и руководства не должны применяться к системам национальной безопасности. Это руководство не противоречит требованиями Циркуляра A-130 Министерства управления и бюджета (OMB), Раздел 8b (3), Обеспечение безопасности информационных систем агентств, как указано в A-130, Приложение IV: Анализ ключевых разделов. Дополнительная информация предоставлена в A-130, Приложение III.
Это руководство было подготовлено для использования федеральными агентствами и может быть использовано на добровольной основе неправительственными организациями и не попадает по действие авторского права.
Реагирование на инциденты компьютерной безопасности стало важным компонентом программ по информационным технологиям (ИТ). Поскольку выполнение эффективного реагирования на инциденты является сложным мероприятием и требует существенного планирования и ресурсов. Публикация Руководства помогает организациям в установлении способности по реагированию на инциденты компьютерной безопасности и обработке инцидентов эффективно и продуктивно. Эта публикация предоставляет руководство по обработке инцидентов, особенно для анализа связанных с инцидентами данных и определения соответствующей сведения на каждый инцидент. Руководство может использоваться независимо от конкретных аппаратных платформ, операционных систем, протоколов или приложений.
Инструкция № 1253 Комитета по Системам национальной безопасности (CNSS), Категорирование и выбор мер безопасности для систем национальной безопасности, предоставляет всем департаментам Федерального правительства, агентствам, бюро и офисам руководство по первым двум шагам Основ управления риском (Risk Management Framework, RMF), для систем национальной безопасности (NSS). Эта Инструкция является документом Специальной публикации (SP) 800-53 Национального института стандартов и технологий (NIST), Меры обеспечения безопасности и приватности для Федеральных информационных систем и организаций; поэтому она отформатирована так, чтобы соответствовать системе нумерации секций этого документа. Эта Инструкция должна использоваться разработчиками по информационной безопасности систем, санкционирующими должностными лицами, высшими директорами по информационной безопасности и другими для выбора и согласования соответствующей защиты для NSS.
Этот документ предоставляет технические руководства и рекомендации, поддерживающие отказоустойчивость встроенного микропрограммного обеспечения платформы и данных от потенциально вредоносных атак. Платформа - набор фундаментальных компонентов аппаратных средств и встроенного микропрограммного обеспечения, требуемых для загрузки и функционирования системы. Успешная атака на встроенное микропрограммное обеспечение платформы может перевести систему в неоперабельную, возможно навсегда, или потребовать перепрограммирования оригинальным производителем, что приводит к значительным потерям пользователей. Технические руководства в этом документе продвигают отказоустойчивость платформы, описывая механизмы безопасности для защиты платформы от несанкционированных изменений, обнаружения происходящих несанкционированных изменений и восстановления после атак быстро и безопасно. Разработчики, включая производителей укомплектованного оборудования (OEMs) и поставщиков компонентов/устройств, могут использовать эти руководства, чтобы встроить в платформы более стойкие механизмы защиты. Системные администраторы, специалисты по безопасности и пользователи могут использовать этот документ, чтобы формировать стратегии приобретения и приоритеты для будущих систем.
Цель планирования обеспечения безопасности системы состоит в том, чтобы улучшить защиту ресурсов информационной системы. Все федеральные системы имеют некоторый уровень уязвимости и требуют защиты, что является хорошей практикой управления. Защита системы должна быть задокументирована в план обеспечения безопасности системы. Наличие планов безопасности системы - требование Циркуляра A-130 Министерства управления и бюджета (OMB), "Управление ресурсами федеральной информации," Приложение III, "Безопасность федеральных автоматизированных информационных ресурсов," и Раздела III закона об Электронном правительстве, названного Закон об управлении безопасностью Федеральной информации (FISMA).
Данная публикация была разработана NIST в соответствии с его обязанностями, установленными согласно Закона об управлении безопасностью федеральной информации (FISMA), Общественный закон (P.L). 107-347. NIST является ответственным за разработку стандартов и руководств по информационной безопасности, включая минимальные требования для федеральных информационных систем, но такие стандарты и руководства не должны применяться к системам национальной безопасности без специального санкционирования соответствующих федеральных должностных лиц, осуществляющих полномочия по таким системам. Это руководство не противоречит требованиям Циркуляра A-130 Министерства управления и бюджета (OMB), Раздел 8b (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре A-130, Приложение IV: Анализ ключевых разделов. Дополнительная информация предоставлена в Циркуляре A-130, Приложение III, Безопасность федеральных автоматизированных информационных ресурсов.
Публикация 199 FIPS адресована первой указанной задаче - разработке стандартов для категорирования информации и информационных систем. Стандарты категорирования безопасности информации и информационных систем обеспечивают общие основы и понимание для определения безопасности, что для Федерального правительства способствует: (I) эффективному управлению и надзору за программами информационной безопасности, включая координацию усилий по информационной безопасности по гражданскому сектору, национальной безопасности, подготовке к чрезвычайным ситуациям, безопасности отечества и обеспечению общественного правопорядка; и (II) подготовке непротиворечивых отчетов для Министерства управления и бюджета (OMB) и Конгресса по соответствию и эффективности политик информационной безопасности, процедур и методов. Последующие стандарты NIST и руководства будут адресоваться второй и третьей указанным задачам.
Закон об Электронном правительстве 2002 (Общественный закон 107-347), принятый 107 Конгрессом и утвержденный Президентом в декабре 2002, определил важность информационной безопасности по отношению к интересам экономической и национальной безопасности Соединенных Штатов. Название III закона об Электронном правительстве "Закон об управлении безопасностью Федеральной информации (FISMA)", подчеркивает необходимость для каждого федерального агентства разработать, задокументировать и реализовать общеагентскую программу, чтобы обеспечить информационную безопасность для информации и информационных систем, которые поддерживают деятельность и активы агентства, включая обеспеченных или управляемых другим агентством, подрядчиком или другим источником. FISMA предписал обнародование федеральных стандартов для: (I) категорирования безопасности федеральной информации и информационных систем, основанного на целях обеспечения соответствующих уровней информационной безопасности согласно масштабу уровней риска; и (II) минимальных требований безопасности для информации и информационных систем в каждой такой категории. Этот стандарт адресует спецификацию минимальных требований безопасности для федеральной информации и информационных систем.
FISMA - Федеральный закон об управлении информационной безопасностью в США (Federal Information Security Management Act, FISMA) был принят в 2002 году и ввел регламент, позволяющий государственным органам сертифицировать на соответствие защиту систем управления информацией.
Циркуляр № A-130 указывает политику контроля ресурсами Федеральной информации. Административно-бюджетное управление (Office of Management and Budget, OMB) США обеспечивает процедурные и аналитические положения, чтобы реализовать аспекты политики в Циркуляре № A-130. Требования в данном Циркуляре № A-130 применяются к информационной деятельности всех агентств исполнительной власти Федерального правительства. Информация, классифицированная как предназначенная для национальной безопасности, должна обрабатываться в соответствии с директивами национальной безопасности.
Эта публикация была разработана NIST в соответствии с его обязанностями, установленными согласно Закона об управлении безопасностью федеральной информации (FISMA), Общественный закон (P.L). 107-347.