机构名称:
¥ 1.0
800-172rev3 的初始公开草案的一个重要问题是,它的变化是为了与 NIST SP 800-53 中的安全控制语言保持一致,而不是保留 -172rev0 中使用的专用安全要求声明。NIST SP 800-172rev0 源自一项旨在将数据与外国对手(尤其是高级持续性威胁 (APT))隔离的研究。最初的 800-172 要求声明是从该研究中采纳的,专门为对抗 APT 而构建。虽然每个 800-172rev0 要求通常与一个或多个 800-53rev5 控制相关联,但定制的 800-172rev0 要求在应对 APT 风险方面的有效性超过了这些相关 800-53 控制的总和。因此,放弃定制的 800-172rev0 安全要求/讨论并转换为 800-172r3 中的 800-53rev5 控制将导致系统响应 APT 的能力低于采用更具体的 -172rev0 要求的系统。例如,实施安全信息传输能力 (3.1.3e) 的重要 800-172rev0 要求已被撤销,并被远不那么具体的“流程执行”800-53r5 控制取代。在另一个例子中,由于 800-53r5 措辞的变化,172rev0 3.14.4e 中定期从已知受信任状态刷新系统组件的要求已更改为 03.14.04E 要求从受信任来源刷新,但没有要求实际刷新 IT(这是重点)。以下许多评论都与这个一般问题有关:向 800-53r5 控制文本的过渡不必要地降低了原始 800-172rev0 要求的有效性。
附件是对 NIST SP 800-172rev3 初始公开草案的评论。
主要关键词
相关文件推荐
