分類
CISSP

NIST風險管理框架(RMF)-系統分類

根據機密性,應將要求國家安全信息的第12356號行政命令分類為“最高機密”,“機密”或“機密”只是對數據進行分類的一種方法。
計算機,軟件,網絡等是資產。可以根據不同的標准或觀點對它們進行分類或分類。該問題介紹了FIPS 199所要求的方式。一般而言,可以根據“業務價值”對資產進行分類或分類。Wentz Wu的書 《有效的CISSP:安全和風險管理》中有詳細信息。
https://ithelp.ithome.com.tw/upload/images/20210406/20132160ZJ1qZfKexO.jpg
-分類系統
如果您在NIST SP 800-60 V2 R1中查找有問題的信息類型,則表明航空運輸的安全類別為“低”。但是,您可以證明評估的合理性並修改建議值。在這篇文章中,此航空運輸的可用性等級為“中等”僅用於演示目的。

NIST RMF中的“分類系統”步驟需要兩個文檔:FIPS 199和NIST SP 800-60。
. FIPS 199定義了確定信息系統的安全類別及其處理的信息類型的標準和過程。
. 信息類型的高水位標記(high water mark)確定了有關機密性,完整性和可用性的系統安全類別。
就機密性而言,“公共”和“機密”是常見的數據分類方案。這不是FIPS 199和RMF中採用的方式。“災難性”是用於評估潛在影響的因素。
https://ithelp.ithome.com.tw/upload/images/20210406/20132160qtHxRuao1y.png
-NIST RMF–風險管理框架(NIST SP 800-12 R1)

https://ithelp.ithome.com.tw/upload/images/20210406/20132160Ke9ou1BJiv.jpg
-安全目標的潛在影響定義(來源:FIPS 199)

https://ithelp.ithome.com.tw/upload/images/20210406/20132160uUFW2qKQgl.jpg
-任務信息的安全分類(來源:NIST SP 800-60 V2 R1)

資料來源: Wentz Wu QOTD-20210217

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。