根據機密性,應將要求國家安全資訊的第12356號行政命令分類為“最高機密”,“機密”或“機密”只是對數據進行分類的一種方法。
計算機,軟體,網路等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言,可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP:安全和風險管理》中有詳細資訊。
-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的資訊類型,則表明航空運輸的安全類別為“低”。但是,您可以證明評估的合理性並修改建議值。在這篇文章中,此航空運輸的可用性等級為“中等”僅用於演示目的。
NIST RMF中的“分類系統”步驟需要兩個文檔:FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定資訊系統的安全類別及其處理的資訊類型的標準和過程。
.資訊類型的高水位標記(high water mark)確定了有關機密性,完整性和可用性的系統安全類別。
就機密性而言,“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。
-NIST RMF–風險管理框架(NIST SP 800-12 R1)
-安全目標的潛在影響定義(來源:FIPS 199)
-任務資訊的安全分類(來源:NIST SP 800-60 V2 R1)
資料來源: Wentz Wu QOTD-20210217
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
