В современном мире информационные системы стали неотъемлемой частью нашей жизни, которыми мы пользуемся как в работе, так и в повседневных делах. Мы стали более открытыми и доверчивыми к передаче наших личных данных, финансовой информации и других важных сведений. Почему мы верим в безопасность информационных систем и рассчитываем на отсутствие ущерба, который они могут причинить нам?
Циркуляр № A-130 указывает политику контроля ресурсами Федеральной информации. Административно-бюджетное управление (Office of Management and Budget, OMB) США обеспечивает процедурные и аналитические положения, чтобы реализовать аспекты политики в Циркуляре № A-130. Требования в данном Циркуляре № A-130 применяются к информационной деятельности всех агентств исполнительной власти Федерального правительства. Информация, классифицированная как предназначенная для национальной безопасности, должна обрабатываться в соответствии с директивами национальной безопасности.
Инструкция № 1253 Комитета по Системам национальной безопасности (CNSS), Категорирование и выбор мер безопасности для систем национальной безопасности, предоставляет всем департаментам Федерального правительства, агентствам, бюро и офисам руководство по первым двум шагам Основ управления риском (Risk Management Framework, RMF), для систем национальной безопасности (NSS). Эта Инструкция является документом Специальной публикации (SP) 800-53 Национального института стандартов и технологий (NIST), Меры обеспечения безопасности и приватности для Федеральных информационных систем и организаций; поэтому она отформатирована так, чтобы соответствовать системе нумерации секций этого документа. Эта Инструкция должна использоваться разработчиками по информационной безопасности систем, санкционирующими должностными лицами, высшими директорами по информационной безопасности и другими для выбора и согласования соответствующей защиты для NSS.
Публикация 199 FIPS адресована первой указанной задаче - разработке стандартов для категорирования информации и информационных систем. Стандарты категорирования безопасности информации и информационных систем обеспечивают общие основы и понимание для определения безопасности, что для Федерального правительства способствует: (I) эффективному управлению и надзору за программами информационной безопасности, включая координацию усилий по информационной безопасности по гражданскому сектору, национальной безопасности, подготовке к чрезвычайным ситуациям, безопасности отечества и обеспечению общественного правопорядка; и (II) подготовке непротиворечивых отчетов для Министерства управления и бюджета (OMB) и Конгресса по соответствию и эффективности политик информационной безопасности, процедур и методов. Последующие стандарты NIST и руководства будут адресоваться второй и третьей указанным задачам.
Закон об Электронном правительстве 2002 (Общественный закон 107-347), принятый 107 Конгрессом и утвержденный Президентом в декабре 2002, определил важность информационной безопасности по отношению к интересам экономической и национальной безопасности Соединенных Штатов. Название III закона об Электронном правительстве "Закон об управлении безопасностью Федеральной информации (FISMA)", подчеркивает необходимость для каждого федерального агентства разработать, задокументировать и реализовать общеагентскую программу, чтобы обеспечить информационную безопасность для информации и информационных систем, которые поддерживают деятельность и активы агентства, включая обеспеченных или управляемых другим агентством, подрядчиком или другим источником. FISMA предписал обнародование федеральных стандартов для: (I) категорирования безопасности федеральной информации и информационных систем, основанного на целях обеспечения соответствующих уровней информационной безопасности согласно масштабу уровней риска; и (II) минимальных требований безопасности для информации и информационных систем в каждой такой категории. Этот стандарт адресует спецификацию минимальных требований безопасности для федеральной информации и информационных систем.
FISMA - Федеральный закон об управлении информационной безопасностью в США (Federal Information Security Management Act, FISMA) был принят в 2002 году и ввел регламент, позволяющий государственным органам сертифицировать на соответствие защиту систем управления информацией.
Цель планирования обеспечения безопасности системы состоит в том, чтобы улучшить защиту ресурсов информационной системы. Все федеральные системы имеют некоторый уровень уязвимости и требуют защиты, что является хорошей практикой управления. Защита системы должна быть задокументирована в план обеспечения безопасности системы. Наличие планов безопасности системы - требование Циркуляра A-130 Министерства управления и бюджета (OMB), "Управление ресурсами федеральной информации," Приложение III, "Безопасность федеральных автоматизированных информационных ресурсов," и Раздела III закона об Электронном правительстве, названного Закон об управлении безопасностью Федеральной информации (FISMA).
Данная публикация была разработана NIST в соответствии с его обязанностями, установленными согласно Закона об управлении безопасностью федеральной информации (FISMA), Общественный закон (P.L). 107-347. NIST является ответственным за разработку стандартов и руководств по информационной безопасности, включая минимальные требования для федеральных информационных систем, но такие стандарты и руководства не должны применяться к системам национальной безопасности без специального санкционирования соответствующих федеральных должностных лиц, осуществляющих полномочия по таким системам. Это руководство не противоречит требованиям Циркуляра A-130 Министерства управления и бюджета (OMB), Раздел 8b (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре A-130, Приложение IV: Анализ ключевых разделов. Дополнительная информация предоставлена в Циркуляре A-130, Приложение III, Безопасность федеральных автоматизированных информационных ресурсов.
Реагирование на инциденты компьютерной безопасности стало важным компонентом программ по информационным технологиям (ИТ). Поскольку выполнение эффективного реагирования на инциденты является сложным мероприятием и требует существенного планирования и ресурсов. Публикация Руководства помогает организациям в установлении способности по реагированию на инциденты компьютерной безопасности и обработке инцидентов эффективно и продуктивно. Эта публикация предоставляет руководство по обработке инцидентов, особенно для анализа связанных с инцидентами данных и определения соответствующей сведения на каждый инцидент. Руководство может использоваться независимо от конкретных аппаратных платформ, операционных систем, протоколов или приложений.
Данный документ предоставляет технические рекомендации, поддерживающие отказоустойчивость встроенного микропрограммного обеспечения платформы и данных от потенциально вредоносных атак. Последствия успешной атаки на встроенное микропрограммное обеспечение платформы может привести к прекращению работы или потребовать перепрограммирования производителем. Технические руководства в этом документе продвигают отказоустойчивость платформы, описывая механизмы безопасности для защиты платформы от несанкционированных изменений, обнаружения происходящих несанкционированных изменений и восстановления после атак быстро и безопасно. Разработчики, включая производителей укомплектованного оборудования (OEMs) и поставщиков компонентов/устройств, могут использовать эти руководства, чтобы встроить в платформы более стойкие механизмы защиты. Системные администраторы, специалисты по безопасности и пользователи могут использовать этот документ, чтобы формировать стратегии и приоритеты для будущих систем.
