端玛科技Logo

专业代码审计服务提供商

Professional Code Review service provider

当前位置:首页新闻资讯

FISMA

2021-02-232054

FISMA(the Federal Information Security Management Act of 2002,联邦信息安全管理法案)是2002年颁布的电子政务法案中的第三章。FISMA认可了信息安全对美国经济和国家安全利益的重要性。该法案要求每个联邦机构开发、记录并实施机构范围内的信息安全程序,为它的信息和支持运营和资产的信息系统(也包括由其它机构、合同商等其它方面为机构提供或管理的信息和信息系统)提供信息安全支持。


根据FISMA要求,国家标准和技术研究所(NIST)应帮助美国的联邦机构遵守FISMA,并负责为所有联邦机构(除国家安全系统之外)开发能为其运营和资产提供充足信息安全保障的标准、指南、相关方法和技术。因此,NIST于2003年启动了FISMA实施项目,并主导开发了发展、测量和验证信息系统和服务安全性的标准、度量、测试和验证程序。


NIST强调了要遵循FISMA的九步:


1.jpg


1. 分类:基于FISP199的影响分析(参见NIST SP800 -60,Guide for Mapping Types of Information and Information Systems to Security Categories,指导安全种类的赋值和影响分析)对信息系统及系统中相关信息进行分类。


2. 选择:基于FIPS 199安全性分类(参见NIST SP800-53,Recommended Security Controls for Federal Information Systems),选择信息系统(上一步骤中的系统)安全控制措施的初始集合。


3. 提炼:基于信息系统本地环境(包括特定机构的安全要求、特定威胁信息、成本-收益分析、修正控制措施可用性等其它情况)初始化选择的安全控制措施集合,并将之记录到安全计划中。(参见NIST SP 800-30,Risk Management Guide for Information Technology Systems)。


4. 评述:评述系统安全计划中达成一致的安全控制措施集合,包括对机构初始控制措施集合的提炼和调整的解释和理由(参见NIST SP800-18,Guide for Developing Security Plans for Information Technology Systems)。


5. 实施:在信息系统中实施安全控制措施。(参见NIST SP800-64,Security Considerations in the Information System Development Life Cycle)。


6. 评估:用适当的方法和程序评估安全控制措施,以确定实施安全控制措施的正确性程度、是否按预期运营,及是否生成了满足系统安全要求的期望结果(参见NIST SP800-53A,Guide for Assessing the Security Controls in Federal Information Systems)。


7. 确定:确定机构运营(包括任务、功能、形象或声誉等方面)、资产、由计划或系统持续运营生成的个体等方面的风险(参见NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)。


8. 批准:如果机构的运营、资产或个体风险是可接受的,则批准系统处理过程(参见NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)。


9. 监控:以持续性的基本原则监控为信息系统选择的安全控制措施,包括记录系统的变更,对相应的变更执行影响分析,并定期向官方机构报告系统的安全状态(参见NIST SP800-37,Guide for the Security Certification and Accreditation of Federal Information Systems)。


更多详细信息,请参考:https://www.dhs.gov/fisma



上一篇:MITRE CWE

下一篇:BSIMM