Nist 800-14
Páginas: 60 (14787 palabras)
Publicado: 14 de diciembre de 2012
National Institute of Standards and Technology
Technology Administration
U.S. Department of Commerce
Generally Accepted Principles and Practices
for Securing
Information Technology Systems
Marianne Swanson
Barbara Guttman
September 1996
Principles and Practices
for Securing IT Systems
Table of Contents
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.3 Relationship of Principles and Practices . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.5 Audience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.6 Structure of this Document . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 3
1.7 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Generally Accepted System Security Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.1 Computer Security Supports the Mission of the Organization . . . . . . . . . . . . . . . . . 52.2 Computer Security is an Integral Element of Sound Management . . . . . . . . . . . . . . 6
2.3 Computer Security Should Be Cost-Effective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4 Systems Owners Have Security Responsibilities Outside Their Own Organizations
.............................................................7
2.5 Computer Security Responsibilitiesand Accountability Should Be Made Explicit . 8
2.6 Computer Security Requires a Comprehensive and Integrated Approach . . . . . . . . 9
2.7 Computer Security Should Be Periodically Reassessed . . . . . . . . . . . . . . . . . . . . . . 9
2.8 Computer Security is Constrained by Societal Factors . . . . . . . . . . . . . . . . . . . . . 10
3. Common IT Security Practices . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 Program Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2 Issue-Specific Policy . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . .
3.1.3 System-Specific Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.4 All Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Program Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Central Security Program . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.2 System-Level Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3.3.2 Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.3 Uncertainty Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 Life Cycle Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1 Security Plan . . . . . . . . . . . . . . . . . . . . . . ....
Technology Administration
U.S. Department of Commerce
Generally Accepted Principles and Practices
for Securing
Information Technology Systems
Marianne Swanson
Barbara Guttman
September 1996
Principles and Practices
for Securing IT Systems
Table of Contents
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.1 Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.3 Relationship of Principles and Practices . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.5 Audience . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.6 Structure of this Document . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . 3
1.7 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Generally Accepted System Security Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.1 Computer Security Supports the Mission of the Organization . . . . . . . . . . . . . . . . . 52.2 Computer Security is an Integral Element of Sound Management . . . . . . . . . . . . . . 6
2.3 Computer Security Should Be Cost-Effective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.4 Systems Owners Have Security Responsibilities Outside Their Own Organizations
.............................................................7
2.5 Computer Security Responsibilitiesand Accountability Should Be Made Explicit . 8
2.6 Computer Security Requires a Comprehensive and Integrated Approach . . . . . . . . 9
2.7 Computer Security Should Be Periodically Reassessed . . . . . . . . . . . . . . . . . . . . . . 9
2.8 Computer Security is Constrained by Societal Factors . . . . . . . . . . . . . . . . . . . . . 10
3. Common IT Security Practices . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 Program Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2 Issue-Specific Policy . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . .
3.1.3 System-Specific Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.4 All Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Program Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.1 Central Security Program . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2.2 System-Level Program . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3 Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3.3.2 Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.3 Uncertainty Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4 Life Cycle Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.4.1 Security Plan . . . . . . . . . . . . . . . . . . . . . . ....
Leer documento completo
Regístrate para leer el documento completo.