亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

風(fēng)險管理框架(RMF)常指NIST特別出版物800-37指南《聯(lián)邦信息系統(tǒng)上應(yīng)用風(fēng)險管理框架：安全生命周期方法》，自2004年起便用于《美國聯(lián)邦信息安全管理法案》合規(guī)。

這是轉(zhuǎn)型倡議跨部門聯(lián)合工作組的工作成果，如今美國政府各個機(jī)構(gòu)都必須遵守并集成到自身工作流程中的一個框架。最近該框架融入到了美國國防部指示中，很多公司企業(yè)如今也在創(chuàng)建新的指南以遵從該RMF規(guī)定。

對每個聯(lián)邦機(jī)構(gòu)而言，RMF描述了保護(hù)、授權(quán)和管理IT系統(tǒng)所必須遵循的過程。RMF定義了一個過程周期，通過操作授權(quán)開始保護(hù)系統(tǒng)，并持續(xù)進(jìn)行風(fēng)險管理(持續(xù)監(jiān)視)。

風(fēng)險管理框架步驟

該RMF過程有6步：

第一步：信息系統(tǒng)分類

這一步是管理上的，涉及了解整個組織機(jī)構(gòu)。在分類某個系統(tǒng)前應(yīng)先定義好系統(tǒng)邊界。基于該系統(tǒng)邊界，與該系統(tǒng)相關(guān)的所有信息類型都應(yīng)被識別出來。關(guān)于該組織機(jī)構(gòu)的使命、角色、責(zé)任、系統(tǒng)運(yùn)營環(huán)境、既定使用及與其他系統(tǒng)的連接等信息可能關(guān)系到該系統(tǒng)最終的安全影響級別。

參考：FIPS出版物199；NIST特別出版物 800-30、800-39、800-59、800-60；CNSS指令1253。

第二步：安全控制選擇

安全控制措施是信息系統(tǒng)內(nèi)負(fù)責(zé)保護(hù)系統(tǒng)及其信息的機(jī)密性、完整性、可用性的運(yùn)營及技術(shù)防護(hù)或?qū)故侄巍Ｈ绻畔⑾到y(tǒng)內(nèi)實(shí)現(xiàn)的安全控制措施切實(shí)有效，信心也會大增。

參考：FIPS出版物199、200；NIST特別出版物 800-30、800-53、800-53A；CNSS指令1253。

第三步：安全控制措施實(shí)現(xiàn)

第三步要求組織機(jī)構(gòu)實(shí)現(xiàn)安全控制措施并描述信息系統(tǒng)及其運(yùn)營環(huán)境中是如何使用這些控制措施的。每個設(shè)備的策略都應(yīng)是定制的，要符合響應(yīng)安全文檔的要求。

參考：FIPS出版物200；NIST特別出版物 800-30、800-53、800-53A；CNSS指令1253；Web：SCAP.NIST.GOV。

第四步：安全控制措施評估

安全控制措施評估涉及使用恰當(dāng)?shù)脑u估流程來確定控制措施實(shí)現(xiàn)的正確程度，以及按既定意圖操作和產(chǎn)生所需結(jié)果以符合系統(tǒng)安全要求的程度。

參考：NIST特別出版物 800-30、800-53A、800-70。

第五步：信息系統(tǒng)授權(quán)

信息系統(tǒng)授權(quán)操作基于對風(fēng)險的判斷，也就是要確定該信息系統(tǒng)操作會給組織運(yùn)營和個人、資產(chǎn)、其他組織及國家?guī)淼娘L(fēng)險，以及認(rèn)定該風(fēng)險是可接受的。使用報告是與行動計劃&里程碑(POA&M)配合使用的機(jī)制。該機(jī)制提供了跟蹤控制措施故障和狀態(tài)的方法。

參考：預(yù)算管理辦公室備忘 02-01；NIST特別出版物 800-30、800-53A、800-39。

第六步：安全控制監(jiān)視

持續(xù)監(jiān)視項目能使組織機(jī)構(gòu)在高度動態(tài)的操作環(huán)境中長期維持信息系統(tǒng)的安全授權(quán)，使系統(tǒng)能適應(yīng)不斷變化的威脅、漏洞、技術(shù)和任務(wù)/業(yè)務(wù)過程。雖然自動化支持工具不是必須，但使用自動化工具可以近實(shí)時地實(shí)現(xiàn)風(fēng)險管理。這有助于避免配置偏差和與不同核心組件及其配置的非預(yù)期修改相關(guān)的其他潛在安全事件，還能提供操作授權(quán)(ATO)標(biāo)準(zhǔn)報告。

參考：NIST特別出版物 800-30、800-39、800-53、800-53A、800-137；CNSS指令1253。

更多NIST風(fēng)險管理框架資源

總而言之，RMF通過調(diào)整控制措施和語言，以及改善交互，在政府機(jī)構(gòu)間設(shè)立了標(biāo)準(zhǔn)。該框架將重點(diǎn)放在風(fēng)險上以解決組件、系統(tǒng)及定制環(huán)境的多樣性，而不是使用普適解決方案。RMF將安全融入系統(tǒng)，能更快地解決安全問題。聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全可通過持續(xù)監(jiān)視和更好的匯總報告加以實(shí)現(xiàn)。

更多RMF及其相關(guān)應(yīng)用知識，可參考Tripwire白皮書《適應(yīng)RMF的現(xiàn)實(shí)》：

https://www.tripwire.com/register/adjusting-to-the-reality-of-the-risk-management-framework-rmf/?referredby=socialmedia

NIST特別出版物800-37指南《聯(lián)邦信息系統(tǒng)上應(yīng)用風(fēng)險管理框架：安全生命周期方法》：

http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf