用户投稿根据机密性,应将要求国家安全信息的第12356号行政命令分类为“最高机密”,“机密”或“机密”只是对数据进行分类的一种方法。
计算机,软件,网络等是资产。可以根据不同的标准或观点对它们进行分类或分类。该问题介绍了FIPS 199所要求的方式。一般而言,可以根据“业务价值”对资产进行分类或分类。Wentz Wu的书 《有效的CISSP:安全和风险管理》中有详细信息。
-分类系统
如果您在NIST SP 800-60 V2 R1中查找有问题的信息类型,则表明航空运输的安全类别为“低”。但是,您可以证明评估的合理性并修改建议值。在这篇文章中,此航空运输的可用性等级为“中等”仅用于演示目的。
NIST RMF中的“分类系统”步骤需要两个文档:FIPS 199和NIST SP 800-60。
.FIPS 199定义了确定信息系统的安全类别及其处理的信息类型的标準和过程。
.信息类型的高水位标记(high water mark)确定了有关机密性,完整性和可用性的系统安全类别。
就机密性而言,“公共”和“机密”是常见的数据分类方案。这不是FIPS 199和RMF中採用的方式。“灾难性”是用于评估潜在影响的因素。
-NIST RMF–风险管理框架(NIST SP 800-12 R1)
-安全目标的潜在影响定义(来源:FIPS 199)
-任务信息的安全分类(来源:NIST SP 800-60 V2 R1)
资料来源: Wentz Wu QOTD-20210217
微信扫一扫打赏
支付宝扫一扫打赏
