- Văn bản
- Lịch sử
Raising the bar on assurance can be
Raising the bar on assurance can be difficult and costly for organizations—but sometimes
essential for critical applications, missions, or business functions. Determining what parts of the
organization’s information technology infrastructure demand higher assurance of implemented
security functionality is a Tier 1/Tier 2 risk management activity (see Figure 1 in Chapter Two).
This type of activity occurs when organizations determine the security requirements necessary to
protect organizational operations (i.e., mission, functions, image, and reputation), organizational
assets, individuals, other organizations, and the Nation. Determining security requirements and
the associated security capabilities needed to generate the appropriate protection is an integral
part of the organizational risk management process described in NIST Special Publication 800-
39—specifically, in the development of the risk response strategy following the risk framing and
risk assessment steps (where organizations establish priorities, assumptions, constraints, risk
tolerance and assess threats, vulnerabilities, mission/business impacts, and likelihood of threat
occurrence). After the security requirements and security capabilities are determined at Tiers 1
and 2 (including the necessary assurance requirements to provide measures of confidence in the
desired capabilities), those requirements/capabilities are reflected in the design of the enterprise
architecture, the associated mission/business processes, and the organizational information
systems that are needed to support those processes. Organizations can use the Risk Management
Framework (RMF), described in NIST Special Publication 800-37, to ensure that the appropriate
assurance levels are achieved for the information systems and system components deployed to
carry out core missions and business functions. This is primarily a Tier 3 activity but can have
some overlap with Tiers 1 and 2, for example, in the area of common control selection.
Trustworthy information systems are difficult to build from a software and systems development
perspective. However, there are a number of design, architectural, and implementation principles
that, if used, can result in more trustworthy systems. These core security principles include, for
example, simplicity, modularity, layering, domain isolation, least privilege, least functionality,
and resource isolation/encapsulation. Information technology products and systems exhibiting a
higher degree of trustworthiness (i.e., products/systems having the requisite security functionality
and security assurance) are expected to exhibit a lower rate of latent design/implementation flaws
and a higher degree of penetration resistance against a range of threats including, for example,
sophisticated cyber attacks, natural disasters, accidents, and intentional/unintentional errors.55 The
vulnerability and susceptibility of organizational missions/business functions and supporting
information systems to known threats, the environments of operation where those systems are
deployed, and the maximum acceptable level of information security risk, guide the degree of
trustworthiness needed.
Appendix E describes the minimum assurance requirements for federal information systems and
organizations and highlights the assurance-related controls in the security control baselines in
Appendix D needed to ensure that the requirements are satisfied.
essential for critical applications, missions, or business functions. Determining what parts of the
organization’s information technology infrastructure demand higher assurance of implemented
security functionality is a Tier 1/Tier 2 risk management activity (see Figure 1 in Chapter Two).
This type of activity occurs when organizations determine the security requirements necessary to
protect organizational operations (i.e., mission, functions, image, and reputation), organizational
assets, individuals, other organizations, and the Nation. Determining security requirements and
the associated security capabilities needed to generate the appropriate protection is an integral
part of the organizational risk management process described in NIST Special Publication 800-
39—specifically, in the development of the risk response strategy following the risk framing and
risk assessment steps (where organizations establish priorities, assumptions, constraints, risk
tolerance and assess threats, vulnerabilities, mission/business impacts, and likelihood of threat
occurrence). After the security requirements and security capabilities are determined at Tiers 1
and 2 (including the necessary assurance requirements to provide measures of confidence in the
desired capabilities), those requirements/capabilities are reflected in the design of the enterprise
architecture, the associated mission/business processes, and the organizational information
systems that are needed to support those processes. Organizations can use the Risk Management
Framework (RMF), described in NIST Special Publication 800-37, to ensure that the appropriate
assurance levels are achieved for the information systems and system components deployed to
carry out core missions and business functions. This is primarily a Tier 3 activity but can have
some overlap with Tiers 1 and 2, for example, in the area of common control selection.
Trustworthy information systems are difficult to build from a software and systems development
perspective. However, there are a number of design, architectural, and implementation principles
that, if used, can result in more trustworthy systems. These core security principles include, for
example, simplicity, modularity, layering, domain isolation, least privilege, least functionality,
and resource isolation/encapsulation. Information technology products and systems exhibiting a
higher degree of trustworthiness (i.e., products/systems having the requisite security functionality
and security assurance) are expected to exhibit a lower rate of latent design/implementation flaws
and a higher degree of penetration resistance against a range of threats including, for example,
sophisticated cyber attacks, natural disasters, accidents, and intentional/unintentional errors.55 The
vulnerability and susceptibility of organizational missions/business functions and supporting
information systems to known threats, the environments of operation where those systems are
deployed, and the maximum acceptable level of information security risk, guide the degree of
trustworthiness needed.
Appendix E describes the minimum assurance requirements for federal information systems and
organizations and highlights the assurance-related controls in the security control baselines in
Appendix D needed to ensure that the requirements are satisfied.
0/5000
Nâng thanh trên đảm bảo có thể được khó khăn và tốn kém cho các tổ chức — nhưng đôi khicần thiết cho ứng dụng quan trọng, nhiệm vụ hay chức năng kinh doanh. Việc xác định những gì một phần của cáccủa tổ chức thông tin công nghệ hạ tầng cơ sở nhu cầu cao hơn bảo đảm thực hiệnchức năng bảo mật là một Tier 1/tầng 2 rủi ro quản lý hoạt động (xem hình 1 ở chương 2).Kiểu hoạt động này xảy ra khi tổ chức xác định các yêu cầu an ninh cần thiết đểbảo vệ hoạt động tổ chức (ví dụ, nhiệm vụ, chức năng, hình ảnh và danh tiếng), tổ chứctài sản, cá nhân, tổ chức khác và các quốc gia. Xác định yêu cầu bảo mật vàkhả năng bảo mật liên quan cần thiết để tạo ra sự bảo vệ thích hợp là một tích phânmột phần của quá trình quản lý rủi ro tổ chức được mô tả trong NIST đặc biệt ấn phẩm 800-39-đặc biệt, trong sự phát triển của các chiến lược đáp ứng rủi ro sau khung rủi ro vàđánh giá bước (nơi tổ chức thiết lập ưu tiên, giả định, khó khăn, nguy cơ rủi rokhoan dung và đánh giá mối đe dọa, lỗ hổng, nhiệm vụ kinh doanh tác động và khả năng của mối đe dọalần xuất hiện). Sau khi an ninh yêu cầu và khả năng bảo mật được xác định tại tầng 1và 2 (bao gồm cả các yêu cầu cần thiết bảo đảm để cung cấp các biện pháp của sự tự tin trong cácmong muốn khả năng), các yêu cầu/khả năng được phản ánh trong các thiết kế của các doanh nghiệpkiến trúc, các quá trình kinh doanh/nhiệm vụ liên quan và các thông tin tổ chứcHệ thống cần thiết để hỗ trợ các quy trình. Tổ chức có thể sử dụng quản lý rủi roKhuôn khổ (RMF), được mô tả trong ấn phẩm đặc biệt NIST 800-37, để đảm bảo rằng thích hợpđảm bảo mức độ đạt được cho các hệ thống thông tin và các thành phần hệ thống bố trí đếnthực hiện nhiệm vụ cốt lõi và chức năng kinh doanh. Điều này là chủ yếu là một hoạt động Tier 3, nhưng có thể cómột số trùng với tầng 1 và 2, ví dụ, trong lĩnh vực phổ biến kiểm soát lựa chọn.Hệ thống thông tin đáng tin cậy được khó khăn để xây dựng từ một phát triển phần mềm và hệ thốngquan điểm. Tuy nhiên, có một số thiết kế, kiến trúc, và các nguyên tắc thực hiệnđó, nếu sử dụng, có thể dẫn đến hệ thống đáng tin cậy hơn. Các nguyên tắc bảo mật cốt lõi bao gồm, choVí dụ, đơn giản, mô đun, lớp, tên miền bị cô lập, ít nhất là đặc quyền, ít nhất là chức năng,và nguồn lực cô lập/đóng gói. Sản phẩm công nghệ thông tin và các hệ thống trưng bày mộtcao hơn mức độ tin cậy (tức là, sản phẩm/Hệ thống có chức năng bảo mật cần thiếtvà đảm bảo an ninh) dự kiến sẽ triển lãm một tỷ lệ thấp hơn các lỗ hổng tiềm ẩn thiết kế/triển khai thực hiệnvà một mức độ cao của thâm nhập chống lại một loạt các mối đe dọa bao gồm, ví dụ:tinh vi tấn công, thiên tai, tai nạn và cố ý không chủ ý/errors.55 cáclỗ hổng bảo mật và tính nhạy cảm của chức năng nhiệm vụ tổ chức/doanh nghiệp và hỗ trợHệ thống thông tin để biết các mối đe dọa, môi trường hoạt động các hệ thống ở đâutriển khai, và mức độ chấp nhận được tối đa các nguy cơ bảo mật thông tin, hướng dẫn mức độtin cậy cần thiết.Phụ lục E mô tả các yêu cầu tối thiểu đảm bảo cho hệ thống thông tin liên bang vàtổ chức và nổi bật điều khiển liên quan đến bảo đảm an ninh kiểm soát đường cơ sở trongPhụ lục D cần thiết để đảm bảo các yêu cầu được hài lòng.
đang được dịch, vui lòng đợi..
Nâng thanh về bảo đảm có thể khó khăn và tốn kém cho các tổ chức, nhưng đôi khi
rất cần thiết cho các ứng dụng quan trọng, nhiệm vụ, hoặc các chức năng kinh doanh. Xác định những phần nào của
nhu cầu cơ sở hạ tầng công nghệ thông tin của tổ chức đảm bảo cao hơn thực hiện
chức năng bảo mật là một hoạt động Tier 1 / Tier 2 quản lý rủi ro (xem hình 1 ở Chương Hai).
Đây là loại hoạt động xảy ra khi các tổ chức xác định các yêu cầu an ninh cần thiết để
bảo vệ tổ chức hoạt động (tức là, nhiệm vụ, chức năng, hình ảnh và danh tiếng), tổ chức
tài sản, cá nhân, tổ chức khác, và quốc gia. Xác định các yêu cầu an ninh và
khả năng bảo mật liên quan cần thiết để tạo ra sự bảo vệ thích hợp là một tách rời
một phần của quá trình quản lý rủi ro của tổ chức được mô tả trong NIST bản đặc biệt 800
39-cụ thể, trong sự phát triển của các chiến lược ứng phó nguy cơ sau các khung rủi ro và
đánh giá rủi ro bước (nơi tổ chức thiết lập các ưu tiên, các giả định, khó khăn, nguy cơ
khoan dung và đánh giá các mối đe dọa, lỗ hổng, nhiệm vụ / tác động kinh doanh và khả năng đe dọa
xảy ra). Sau khi yêu cầu bảo mật và khả năng bảo mật được xác định ở Bậc 1
và 2 (bao gồm cả các yêu cầu đảm bảo cần thiết để cung cấp các biện pháp niềm tin vào
khả năng mong muốn), những yêu cầu / khả năng được phản ánh trong các thiết kế của các doanh nghiệp
kiến trúc, các nhiệm vụ liên quan / doanh nghiệp quy trình, và các thông tin về tổ chức
hệ thống cần thiết để hỗ trợ các quy trình. Các tổ chức có thể sử dụng quản lý rủi ro
Framework (RMF), được mô tả trong NIST Ấn phẩm đặc biệt 800-37, để đảm bảo rằng thích hợp
mức đảm bảo đạt được cho các hệ thống thông tin và các thành phần hệ thống được triển khai để
thực hiện nhiệm vụ cốt lõi và chức năng kinh doanh. Điều này chủ yếu là hoạt động cấp 3 nhưng có thể có
một số chồng chéo với Bậc 1 và 2, ví dụ, trong lĩnh vực lựa chọn kiểm soát chung.
Hệ thống thông tin đáng tin cậy là khó khăn để xây dựng từ một phát triển phần mềm và hệ thống
quan điểm. Tuy nhiên, có một số thiết kế, nguyên tắc kiến trúc, và thực hiện
điều đó, nếu được sử dụng, có thể dẫn đến các hệ thống đáng tin cậy hơn. Những nguyên tắc bảo mật cốt lõi bao gồm, ví
dụ, đơn giản, mô đun, lớp, cô lập miền, đặc quyền nhất, ít nhất là chức năng,
và sự cô lập nguồn / đóng gói. Sản phẩm công nghệ thông tin và hệ thống trưng bày một
mức độ cao hơn của sự tin cậy (ví dụ, sản phẩm / hệ thống có chức năng bảo mật cần thiết
và đảm bảo an ninh) dự kiến sẽ triển lãm một tỷ lệ thấp hơn lỗi trong thiết kế / thực hiện tiềm ẩn
và một mức độ đề kháng cao hơn thâm nhập chống lại một loạt các mối đe dọa bao gồm, ví dụ,
các cuộc tấn công mạng tinh vi, thiên tai, tai nạn, và cố ý / errors.55 không chủ ý các
tổn thương và nhạy cảm của các nhiệm vụ / chức năng kinh doanh của tổ chức và hỗ trợ
các hệ thống thông tin cho các mối đe dọa được biết đến, các môi trường của hoạt động nơi những hệ thống được
triển khai, và mức độ chấp nhận được tối đa nguy cơ bảo mật thông tin, hướng dẫn, mức độ
tin cậy cần thiết.
Phụ lục E mô tả các yêu cầu đảm bảo tối thiểu cho các hệ thống thông tin liên bang và
các tổ chức và làm nổi bật các điều khiển bảo đảm liên quan trong đường cơ sở kiểm soát an ninh trong
Phụ lục D cần thiết để đảm bảo rằng yêu cầu được thỏa mãn.
rất cần thiết cho các ứng dụng quan trọng, nhiệm vụ, hoặc các chức năng kinh doanh. Xác định những phần nào của
nhu cầu cơ sở hạ tầng công nghệ thông tin của tổ chức đảm bảo cao hơn thực hiện
chức năng bảo mật là một hoạt động Tier 1 / Tier 2 quản lý rủi ro (xem hình 1 ở Chương Hai).
Đây là loại hoạt động xảy ra khi các tổ chức xác định các yêu cầu an ninh cần thiết để
bảo vệ tổ chức hoạt động (tức là, nhiệm vụ, chức năng, hình ảnh và danh tiếng), tổ chức
tài sản, cá nhân, tổ chức khác, và quốc gia. Xác định các yêu cầu an ninh và
khả năng bảo mật liên quan cần thiết để tạo ra sự bảo vệ thích hợp là một tách rời
một phần của quá trình quản lý rủi ro của tổ chức được mô tả trong NIST bản đặc biệt 800
39-cụ thể, trong sự phát triển của các chiến lược ứng phó nguy cơ sau các khung rủi ro và
đánh giá rủi ro bước (nơi tổ chức thiết lập các ưu tiên, các giả định, khó khăn, nguy cơ
khoan dung và đánh giá các mối đe dọa, lỗ hổng, nhiệm vụ / tác động kinh doanh và khả năng đe dọa
xảy ra). Sau khi yêu cầu bảo mật và khả năng bảo mật được xác định ở Bậc 1
và 2 (bao gồm cả các yêu cầu đảm bảo cần thiết để cung cấp các biện pháp niềm tin vào
khả năng mong muốn), những yêu cầu / khả năng được phản ánh trong các thiết kế của các doanh nghiệp
kiến trúc, các nhiệm vụ liên quan / doanh nghiệp quy trình, và các thông tin về tổ chức
hệ thống cần thiết để hỗ trợ các quy trình. Các tổ chức có thể sử dụng quản lý rủi ro
Framework (RMF), được mô tả trong NIST Ấn phẩm đặc biệt 800-37, để đảm bảo rằng thích hợp
mức đảm bảo đạt được cho các hệ thống thông tin và các thành phần hệ thống được triển khai để
thực hiện nhiệm vụ cốt lõi và chức năng kinh doanh. Điều này chủ yếu là hoạt động cấp 3 nhưng có thể có
một số chồng chéo với Bậc 1 và 2, ví dụ, trong lĩnh vực lựa chọn kiểm soát chung.
Hệ thống thông tin đáng tin cậy là khó khăn để xây dựng từ một phát triển phần mềm và hệ thống
quan điểm. Tuy nhiên, có một số thiết kế, nguyên tắc kiến trúc, và thực hiện
điều đó, nếu được sử dụng, có thể dẫn đến các hệ thống đáng tin cậy hơn. Những nguyên tắc bảo mật cốt lõi bao gồm, ví
dụ, đơn giản, mô đun, lớp, cô lập miền, đặc quyền nhất, ít nhất là chức năng,
và sự cô lập nguồn / đóng gói. Sản phẩm công nghệ thông tin và hệ thống trưng bày một
mức độ cao hơn của sự tin cậy (ví dụ, sản phẩm / hệ thống có chức năng bảo mật cần thiết
và đảm bảo an ninh) dự kiến sẽ triển lãm một tỷ lệ thấp hơn lỗi trong thiết kế / thực hiện tiềm ẩn
và một mức độ đề kháng cao hơn thâm nhập chống lại một loạt các mối đe dọa bao gồm, ví dụ,
các cuộc tấn công mạng tinh vi, thiên tai, tai nạn, và cố ý / errors.55 không chủ ý các
tổn thương và nhạy cảm của các nhiệm vụ / chức năng kinh doanh của tổ chức và hỗ trợ
các hệ thống thông tin cho các mối đe dọa được biết đến, các môi trường của hoạt động nơi những hệ thống được
triển khai, và mức độ chấp nhận được tối đa nguy cơ bảo mật thông tin, hướng dẫn, mức độ
tin cậy cần thiết.
Phụ lục E mô tả các yêu cầu đảm bảo tối thiểu cho các hệ thống thông tin liên bang và
các tổ chức và làm nổi bật các điều khiển bảo đảm liên quan trong đường cơ sở kiểm soát an ninh trong
Phụ lục D cần thiết để đảm bảo rằng yêu cầu được thỏa mãn.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- i like playing game, listening to music
- Our arrival in New York was spectacular.
- Nhà sàn
- still vulnerable
- vai trò chủ đạo
- tram
- Our arrival in New York was spectacular.
- Intelligent Exposure rigs
- Kịch tính và hấp dẫn
- appreciate
- yah still have variance using credited a
- mình sẽ đưa bạn đến bãi cỏ sinh viên của
- Tổng biên tập báo
- Interesting
- nơi đặt trọn niềm tin
- Dear Mr Arnold EliasThank you for kind i
- it has been said that marcus de medici w
- - Lau khô và làm sạch bề mặt
- be love
- Not now
- What you said again
- 생일, 기념일, 입학, 졸업 등의 개인 기념일에 현금대신 선물하여 현
- how was the movive?
- i would never have expected her to just
