NIST 風險管理框架 (Risk Management Framework,RMF) 是所有聯邦機構都必須使用的一套流程,用於識別、實作、評估、管理和監控網路安全能力與服務,以發現、消除和減輕新舊系統中持續存在的風險。NIST RMF 由包括國家標準暨技術研究院 (NIST)、美國國家情報體系 (IC)、美國國防部 (DOD) 和國家安全系統委員會 (CNSS) 在內的特別工作小組 (JTF) 開發,取代美國國防部資訊確保檢定與認證程序 (DIACAP)。
NIST RMF 透過整合安全性、隱私和網路供應鏈風險管理,從系統生命週期初期開始,就將基於風險的方法引入網路安全實作。NIST RMF 將基於風險的考量納入控制選擇和規範中,並專注於有效性、效率以及因適用法律、指令、行政命令、政策、標準和法規所帶來的限制。
NIST RMF 由五個部分組成:識別、衡量和評估、緩解、報告和監控,以及治理。
1. 識別
NIST RMF 從識別整個組織的風險開始,例如法律、隱私和策略風險。隨著風險環境的改變,需要定期進行 NIST RMF 的這個部分。
2. 衡量和評估
衡量和評估可針對已識別的風險提供風險發展概況的相關資訊。
3. 緩解
在 NIST RMF 中,風險緩解包括檢視已識別的風險以判定其嚴重性。在某些情況下,有的風險是可以接受的,不需要採取任何行動。有的風險則應該加以緩解,還有一些風險可能需要予以消除。
4. 報告和監控
NIST RMF 包括分享風險資訊和定期風險評估的流程,以識別需要採取額外行動的變更。
5. 治理
NIST RMF 透過其風險治理部分,確保實作風險管理元素,並實施與風險相關的政策。
NIST RMF 的主要目標是:
- 加強資訊安全
- 促進聯邦機構之間的授權互易
- 改善風險管理流程
為達成這些目標,NIST RMF 推動組織:
- 遵循風險管理方法,識別由未遵守法規控制引起的漏洞,並根據風險因素(例如可能性、威脅和影響)對其進行優先排序。
- 實施分層風險管理方法,重點在於業務流程層級、企業層級、資訊系統層級和任務層級。
- 在採購和系統開發生命週期中,及早和充份納入網路安全措施。
- 要求持續監控並及時修正與資訊安全相關的缺陷、漏洞和事件。
- 支援授權互易,允許組織接受其他組織的核准即可互連或重複使用 IT 系統,無需重新測試。
風險管理框架的步驟
NIST RMF 中的七個步驟是:準備、分類、選擇、實作、評估、授權和監控安全控制。
1. 準備
組織透過以下方式為管理其安全和隱私風險做好準備:
- 評估整個組織的風險。
- 定義關鍵風險管理角色。
- 決定風險承受能力。
- 制定並實作整個組織的持續監控策略。
- 建立正式的風險管理策略。
- 識別通用控制。
2. 分類
根據CIA (機密性(Confidentiality)、完整性(Integrity)和可用性損失(Availability))的影響分析,對系統和處理、儲存和傳輸的資訊相關風險進行分類。此分類包括低、中或高影響等級。在 NIST RMF 分類步驟中:
- 系統特性已記錄。
- 系統和資訊的安全分級已完成。
- 由授權官方人員審查和核准分類決定。
3. 選擇
識別所需的安全控制。NIST RMF 選擇步驟包括:
- 將控制指派給特定的系統元件。
- 將控制指定為系統特定的、混合的或通用的。
- 制定系統層級的持續監控策略。
- 確保安全和隱私計畫反映控制選擇、指定和分配。
- 選擇和自訂控制基準。
4. 實作
實作系統和組織的安全和隱私計畫中的控制措施。在 NIST RMF 實作步驟中:
- 已實作的控制措施。
- 有關如何部署控制措施的所有流程和程序均已記錄。
- 更新安全和隱私計畫以反映控制措施的實作方式。
5. 評估
進行評估以判斷控制措施是否正確實作並符合安全和隱私要求。NIST RMF 的評估步驟包括:
- 指派評估人員和評估小組。
- 制定安全和隱私評估計畫。
- 審查和核准評估計畫。
- 依照評估計畫進行控制評估。
- 製作安全和隱私評估報告。
- 實作補救措施以解決控制中的任何瑕疵。
- 根據評估和補救措施,透過控制實作變更來更新安全和隱私計畫。
- 制定行動計畫和里程碑。
6. 授權
一旦一切如預期進行,風險緩解機制就會獲得高層管理的核准。在 NIST RMF 的授權步驟中:
- 製作授權套件,包括執行摘要、系統安全和隱私計畫、評估報告、行動計畫和里程碑。
- 提供風險判斷。
- 提供風險應對措施。
- 系統和控制的授權被核准或拒絕。
7. 監控安全控制
需要持續的監控策略來確保安全控制的有效運作。NIST RMF 監控步驟包括:
- 持續監控系統和環境。
- 持續評估控制有效性。
- 對持續監測活動的輸出進行分析和回應。
- 有關管理安全和隱私狀況的報告。
- 持續授權。
RMF 的角色和職責
NIST RMF 為風險管理計畫的主要參與者提供角色和職責清單。這些只是建議;不需要將每個職位都指派給某個人,只需能履行職能即可。必須注意確保被指派到某個角色或職能的個人或團體沒有利益衝突。NIST RMF 的角色和職責包括以下內容。
| NIST RMF 角色 | NIST RMF 職責 |
|---|---|
| 執行長 | 監督組織的成功 |
| 風險主管 | 監督組織的風險管理計畫 |
| 資訊長 | 任命一名高階資訊安全長;制定和維護資訊安全政策、程序和控制技術;管理人員;協助領導團隊安全職責 |
| 高階資訊安全長 | 履行資訊長的安全職責,並做為高階管理人員和資訊系統所有者之間的主要溝通協調窗口 |
| 資訊負責人 | 建立管理產生、收集、處理、傳播和處置資訊的政策和程序。擁有對資訊的法定、管理或操作權限 |
| 授權官方人員 (AO) 或指定代表 | 在已知風險等級下,接受資訊系統並納入作業環境 |
| 共用控制提供者 | 開發、實作、評估和監控共用的安全控制 |
| 資訊系統負責人 (ISO) | 採購、開發、整合、修改、營運和維護資訊系統 |
| 資訊系統安全長 (ISSO) | 確保資訊系統維持適當的運作安全狀態 |
| 資訊安全架構師 | 確保企業架構的各個方面都能充分滿足所需的資訊安全要求,以保護組織核心任務和業務流程 |
| 資訊系統安全經理 (ISSM) | 進行 ISSO 指定的資訊系統安全管理活動。開發和維護系統層級的網路安全計畫 |
| 安全控制評估員 (SCA) | 對資訊系統的管理、操作和技術安全控制進行評估 |
NIST 和資訊科技實驗室 (Information Technology Lab,ITL) 在其 NIST RMF 快速入門指南中列出的 NIST RMF 角色包括:
- 授權官方人員或授權官方指定代表
- 採購長
- 資訊長
- 共用控制提供者
- 控制評估員
- 企業架構師
- 機構負責人
- 資訊擁有者或管理者(或系統擁有者)
- 任務或業務負責人
- 風險主管或風險管理高階人員
- 安全或隱私架構師
- 高級機構資訊安全長
- 高級機構隱私長
- 系統管理員
- 系統負責人
- 系統安全或隱私工程師
- 系統安全或隱私長
- 使用者
NIST 風險管理框架資源
NIST 特別發佈 800-37,第2修訂版(又稱為 NIST RMF)
《適用於資訊系統與組織的風險管理框架:針對安全與隱私的系統生命週期方法》
NIST SP 800-37,NIST RMF,指導在整個系統開發生命週期中監控安全控制
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-37r2.pdf
NIST 特別發佈 800-53,第5修訂版
《適用於資訊系統與組織的安全及隱私控制措施》
NIST SP 800-53 指引團隊選擇和實作安全控制措施以降低風險。
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
NIST RMF 框架 FAQ
一般與 NIST 特別出版品 (SP) 800-53
https://csrc.nist.gov/Projects/risk-management/faqs
NIST RMF 快速入門指南
角色與職責對照表是基於 NIST RMF 中詳細說明的關鍵步驟和職責。
https://csrc.nist.gov/csrc/media/Projects/risk-management/documents/Additional%20Resources/NIST%20RMF%20Roles%20and%20Responsibilities%20Crosswalk.pdf
NIST RMF 快速入門指南的準備步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/01-Prepare%20Step/NIST%20RMF%20Prepare%20Step-FAQs.pdf
NIST RMF 快速入門指南的分類步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/02-Categorize%20Step/NIST%20RMF%20Categorize%20Step-FAQs.pdf
NIST RMF 快速入門指南的選擇步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/03-Select%20Step/NIST%20RMF%20Select%20Step-FAQs.pdf
NIST RMF 快速入門指南的實作步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/04-Implement%20Step/NIST%20RMF%20Implement%20Step-FAQs.pdf
NIST RMF 快速入門指南的評估步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/05-Assess%20Step/NIST%20RMF%20Assess%20Step-FAQs.pdf
NIST RMF 快速入門指南的授權步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/06-Authorize%20Step/NIST%20RMF%20Authorize%20Step-FAQs.pdf
NIST RMF 快速入門指南的監控步驟
https://csrc.nist.gov/CSRC/media/Projects/risk-management/documents/07-Monitor%20Step/NIST%20RMF%20Monitor%20Step-FAQs.pdf
適用於私有部門的 NIST RMF
儘管 NIST RMF 是為聯邦機構使用而建立的,但也可用於私有部門的組織。NIST RMF 可協助各種類型和規模的組織降低網路安全風險,並更好地保護其 IT 資源。
