对信息技术的信心可以通过在开发、评估和运行等过程中所采取的活动来获得......
信息技术(IT)是驱动公共和私营部门中现代化企业的推动力量,政府机构及其业务越来越依赖IT系统来履行其关键使命和职能,提高企业生产力。随着这些系统在特性及相关能力方面的指数性增长,他们在过去的10年中已大大增强。但对美国关键信息基础设施中的系统来说,这也极大地增加了它们的负责程度。在评估IT系统的安全时,复杂度是一个主要的关注因素。因为系统越复杂,就越难以对其所有组件进行全面检查。IT安全包括对信息和系统进行保护和防御,并确保其保密性、完整性和可用性。这涉及到通过保护、检测和反应能力来提供系统的连续性运行。确保制定出适宜的安全目标,标识风险,根据运行要求而对风险进行平衡,这是管理层的基本责任。
管理和预算办公室(OBM)A-130号通告《联邦信息资源管理》中,要求各联邦机构制定安全计划,确保为有关官员分配安全责任,并要求在系统运行之前对其进行授权且在此后定期实施这项工作。这些管理责任要求政府机构的责任官员对可能会给其使命目标带来负面影响的风险及其他因素有所了解,而且,这些官员还必须知晓安全项目和安全控制的当前状态,以便做出明智的决策和投资,将风险适度降低至一个可以接受的水平。政府机构中的安全责任官员的目标是实施其安全项目,带到OMB A-130号通告中定义的充分安全性,或者实现适度的安全,即与信息对视、滥用、未授权访问或修改的风险和损害相称。这一定义非常明确地强调了基于风险的侧率,以实现1987年《计算机安全法案》中所确立的成本有效的安全概念。
IT系统能否处理、存储或传输信息,要由管理层的官员进行授权,这提供了某种形式的质量控制,激发管理人员和技术人员在给定的技术限制、环境限制和使命要求的条件下努力探求最佳安全措施。有些机构将这种授权称作认可。认可是OMB A-130号通过中的要求,它应该以对IT系统的管理、运行和技术控制的评估为基础。因为政府各机构指定的安全计划中已经记录了IT系统的保护要求和安全控制,所以这些安全计划是认证过程中所要求的基础文档(也因此而减少不必要的重复性管理工作),必要时可以用更为具体的计划对其进行补充。
除安全计划外,还可以通过风险评估的安全评估来对认可提供支持。国家标准和技术研究所SP 800-30《IT系统风险评估指南》对风险评估做了描述,它可对威胁和脆弱性进行标识,对规划中或已经在用的安全控制进行分析,确定某项特定的脆弱性被攻击的可能性,并提供出影响分析结果。在开始认可过程之前,应该对IT系统启动初始的风险评估。
初始的风险评估结果可以用在安全评估中,在后期也可能会再次使用这些结果,并且有可能根据评估结论而对其进行修订。对IT系统的技术和非技术安全控制进行的综合评估可以为认可过程提供支持,并可判断出一个特定的设计和实现对具体安全要求的满足程度,这种综合评估被称作认证。认证为管理层官员提供了必要的信息,用于正式宣布IT系统得到了批准,该系统能够在一个可接受的风险级上投入运行,只有在实施了一致的管理、运行和技术控制之后,才能做出这种判断。系统经过认可后,管理层官员便于接受了与之相关的风险。通过对认可过程实现正式化和规范化,减少了系统在缺乏适当的管理层审查下被投入运行的可能性。在IT系统发生重大变更之前,应进行重认可,且至少每三年要进行一次,在风险和可能的危害后果比较高的系统中,重认可的频率应当更高。
