权威国防科技信息门户
                                                          国防科技大数据智能情报平台
                                                          DSTIS征订中
                                                          DPS国防术语智能定位系统
                                                          国外国防科技文献资料快报
                                                          公告:
                                                          DSTIS国防军工信息资源内网服务系统2020年征订开始  
                                                          美国家标准与技术研究所发布了核心网络安全出版物评估指南
                                                          2022-03-17

                                                          [美下一届政府网2022315日报道] 随着政府寻求收紧软件软件采购规定的办法,美国家标准与技术研究所(National Institute of Standards and Technology,NIST)发布了一份专门的出版物,详细介绍了评估一个组织是否遵守NIST发布的关于;し敲苁芸匦畔ⅲcontrolled but unclassified information,CUI)的增强安全要求“准入清单”的适当的办法。

                                                          周二发布的NIST指南SP 800-172A 中写道:“评估方在评估过程中获取凭证,以便制定的官员对受控非密信息增强安全要求的合规性做出客观的判断”。合规性凭证获取可以通过多种办法获取,包括自我评估、独立的第三方机构评估、政府发起的评估以及其他类型的评估,具体取决于制定增强安全要求的机构和进行评估的组织的需要。

                                                          涉密信息的评估办法是另一套体系,NIST的官员长期以来一直警告存在大量的信息是非密的,但是对中国等觊觎美国企业知识产权的对手而言十分敏感且有重要的价值。此类“受控非密信息”是国防部网络安全成熟度模型认证(Cybersecurity Maturity Model Certification,CMMC)项目的核心。

                                                          国防承包商根据NIST特别出版物800-171中要求,认证其遵守加强的“受控非密信息”安全要求,但遭受了失败,国防部官员起初就此为网络安全成熟度模型认证进行辩解。CMMC将建立一个新的独立的第三方认证系统,以检验承包商是否遵守了NIST提出的安全控制要求。

                                                          拜登政府对特朗普时期的项目多大程度上需要第三方认证评估还不太确定,一些承包商可能在完成自我认证后再次为政府提供服务。“太阳风”黑客攻击事件后,5月份发布的行政令也依赖于遵守安全标准的认证,美国务管理局联邦风险和授权管理项目提出对云供应商的安全性进行第三方认证。

                                                          无论如何,NIST官员将与承包商开展更多的工作,确定安全评估的范围以及评估机构的能力。

                                                          NIST指南指出:评估程序的最终声明中包含了增强安全要求的一部分有机构确定的参数,评估对象与被评估的特定项目相关联。评估对象可以是规范、机制、活动以及个人。规范是与系统关联的文本性工作(如安全政策、程序、规划、需求、规范功能、架构设计等)。

                                                          SP-800-171条例中包含了确定评估机构具备评估能力的指南。周二发布的指南附件展示了三种评估方法,即检查、调研和测试,以满足不同水平的评估方开展评估活动。

                                                          NIST指出:每种评估方法的应用都是根据评估深度、评估范围以及从基础到重点再到全面的评估程序来定义的,每种评估方法的水平与机构指定的要求相关。

                                                          相关新闻

                                                          DSTIS 国防科技工业信息服务系统
                                                          中国核科技信息与经济研究院 中国航天系统科学与工程研究院 中国航空工业发展研究中心
                                                          中国船舶工业综合技术经济研究院 中国船舶信息中心 北方科技信息研究所 工业和信息化部电子科学技术情报研究所
                                                          国防科技信息网 www.skybullets.com © 2006 - 2022 版权所有 | 京ICP备10013389号-1 | 公安备案号:11010802036354
                                                          百姓彩票welcome登录