NIST FIPS 199 - 安全分类的标准
FIPS199是在2004年2月发布的,这是一份古老的文件,但在实施信息安全时应首先遵循,无论你准备遵守哪种安全标准。常见的安全标准有:CIS、ISO27001、NIST网络安全框架等。
目的
根据风险程度提供适当的控制水平;
推荐信息系统类别的准则;
对所有类别都应做到的最低信息安全要求。
适用性
这些标准适用于:
所有的联邦信息系统(它对任何国家的信息系统都非常有用)。
分类
在评估一个组织的风险时,安全类别应与脆弱性和威胁信息一起使用。
安全目标
为了确保CIA。
保密性
保存经授权的访问不被泄露,保护信息。
诚信
防止修改、销毁,确保不可抵赖性、认证。
可利用性
确保可靠和及时的。
对组织和个人的潜在影响
|
影响 |
定义 |
|
|
低 |
有限的不利影响 |
|
|
中等水平 |
严重不良影响 |
|
|
高 |
灾难性的不利影响 |
应用于信息类型的安全分类
信息类型的安全类别(SC)={(保密性,影响)、(完整性,影响)、(可用性,影响)}。
例子:
SC公共信息={(保密性,NA),(完整性,MODERATE),(可用性,MODERATE)}。
SC管理信息={(保密性,低),(完整性,低),(可用性,低)}。
应用于信息系统的安全分类
一般来说,一个信息系统包含多种类型的数据,如电厂SCADA系统。
SC传感器数据={(保密性,NA),(完整性,高),(可用性,高)}、
和
SC管理信息={(保密性,低),(完整性,低),(可用性,低)}。
所以、
SC SCADA系统={(保密性,低),(完整性,高),(可用性,高)}、
参考资料
NIST.FIPS.199.pdf, https://doi.org/10.6028/NIST.FIPS.199
