随着美国政府希望收紧关键软件的采购法规,美国国家标准与技术研究院(NIST)发布了一份特别的合规评估指南,详细介绍了评估组织是否遵守该机构(NIST)为“保护受控但非机密信息(CUI)的增强安全要求”的准入清单的方法。
因此,和该文件最相关的是组织内部和外部的审计员,他们将根据2021年5月拜登政府发布的行政命令,以及五角大楼网络安全程度度模型认证计划等,在网络安全政策中发挥核心作用。
NIST发布的SP 800-172A指南写到,“在评估过程中,评估人员要获取相应的证据,以便让政府部门能够确定,是否符合CUI的增强安全要求。这些证据可以从多个渠道获得,包括自我评估、第三方独立评估、政府自主评估以及其他类型的评估,具体取决于制定增强安全要求的机构和进行评估的组织的需要。”
对此,美国政府部门长期警告,保护机密信息的程序是另外一种,很多的非机密但很敏感或有价值的信息同样需要保护,以免美国实体知识产权被获取。针对此类“受控但非机密信息”的保护也是五角大楼网络安全成熟度模型认证(CMMC)计划的重点。
此前,五角大楼官员就曾以CMMC进行辩解,原因是国防承包商参照800-171指南的要求,对“受控非密信息”进行相应的安全防护,但最后却失败了。CMMC 将建立一个由独立第三方审计师组成的新生态系统,以检查承包商是否遵守那些在NIST的网络安全框架中也大量引用的安全控制措施。
根据拜登政府出台的要求,第三方评估时非常有必要的,但是现在似乎不太确定,因为一些承包商可能再次被允许为政府服务,而这些承包商只是简单地进行了自我评估。SolarWinds 事件之后,2021年5月行政命令还依赖于遵守安全标准的证明,而美国总务管理局的联邦风险和授权管理计划要求第三方对云提供商的安全性进行认证。
无论如何,预计机构官员将在不久的将来与其承包商开展更多工作,以确定此类评估所需的适当范围和保证水平。
NIST表示,“作为选定增强安全要求的一部分的组织定义参数,包含在评估程序的初始确定声明中。评估对象与被评估的特定项目相关联,这些对象可以包括规范、机制、活动和个人。其中规范是与系统相关的基于文档的工作(包括安全策略、程序、计划、要求、功能规范、架构设计)。”
SP-800-171条例中包含了确定评估机构具备评估能力的指南。周二发布的指南附件展示了三种评估方法,即检查、调研和测试,以满足不同水平的评估方开展评估活动。
NIST表示,每种评估方法的应用都是根据评估深度、评估范围以及从基础到重点再到全面的评估程序来定义的,每种评估方法的水平与机构指定的要求相关。
参考来源
https://www.nextgov.com/cybersecurity/2022/03/nist-releases-guidance-assessing-compliance-core-cybersecurity-publication/363166/