話說CWE 4.3的新視圖 - 數(shù)據(jù)保護檢查

1. 按照慣例，先說故事

用12月初在深圳參加的"全球C++及系統(tǒng)軟件技術(shù)大會"里C++之父Bjarne講的一個故事, 致敬一下這位大能。

由于疫情, Bjarne不能親自來到會場, 只能通過視頻的方式和大家溝通。 下面這張照片，是我在他在做"C++20 與C++的持續(xù)演化"的演講時，拍攝的的一張照片.

演講中，Bjarne回顧了C++的發(fā)展歷程, 重點介紹了C++20的新特性。同時也坦言面對一個語言發(fā)展方向的各種選擇時的不易, 更多的是需要平衡。 在報告的最后，講述了"瓦薩號"的故事, 來說明對于C++新特性的發(fā)布的慎重。

Be careful remember Vasal

"瓦薩"號的沉沒

瑞典瓦薩王朝(1523-1654)統(tǒng)治時期，瑞典是歐洲的強國之一。為了與勁敵丹麥、波蘭對抗，稱霸波羅的海，瑞典國王古斯塔夫·阿道夫斯二世要求建造一批新的戰(zhàn)艦，并要求戰(zhàn)艦航速要快、火力要強、裝飾要華麗，只有這樣才彰顯瓦薩王朝的權(quán)力、財富和戰(zhàn)斗力。1626年初，作為其中最大的戰(zhàn)艦“瓦薩”號，在國王的親自監(jiān)督下正式開始建造。

在“瓦薩”號建造期間，他不斷下令依照他的旨意改變設(shè)計和建造要求。比如在“瓦薩”號的骨架已經(jīng)安裝好的時候，他下令增加戰(zhàn)艦的長度;

國王得知了丹麥建成雙層炮艦的消息，于是他又決定，在原計劃修建單層炮艦的“瓦薩”號增加一個槍械甲板，把它改建成“雙層”炮艦。這樣一來，“瓦薩”號便擁有了雙排共64門艦炮，全長達到了69米，成了當(dāng)時裝備最齊全、武裝程度最高的戰(zhàn)船。

“瓦薩”號進行的穩(wěn)定性測試：讓30個船員從船一端跑到另一端，以此檢測船的搖動情況。試驗中“瓦薩”號發(fā)生了危險的搖動，但對這個預(yù)警信號，建造師卻視而不見，還是決定取消試驗，準(zhǔn)備航行。

1628年8月10日，斯德哥爾摩碼頭人頭攢動，觀看著堪稱世界最頂級的“瓦薩”號戰(zhàn)艦。但離岸還沒來得及揚帆遠航的“瓦薩”號在一陣大風(fēng)浪過后，開始傾斜，接著又慢慢恢復(fù)平衡，但隨即再一次朝右舷傾斜, 下層甲板在慢慢進水，艦體開始晃動下沉。就這樣“瓦薩”號就在眾目睽睽之下沉沒了。“瓦薩”號首航僅僅10多分鐘就結(jié)束了。

“瓦薩”號上安置了太多的重炮，卻沒有足夠的壓艙物，導(dǎo)致戰(zhàn)艦重心過高；以及首航前沒有經(jīng)過嚴(yán)格測試等等，都是造成“瓦薩”號沉沒的原因。

這些年各種語言越來越成熟，Go、Rust都對C++的應(yīng)用市場形成了不小的沖擊，為此C++也在不斷的調(diào)整發(fā)布節(jié)奏和內(nèi)容。 但一旦在語言特性方向發(fā)生戰(zhàn)略性的錯誤，很可能就會導(dǎo)致無法挽回的局面。

2. CWE 4.3的新視圖

才寫完話說CWE 4.2的新視圖, CWE就又趕在2020年結(jié)束之前, 12月10號發(fā)布了CWE 4.3.

2.1.?CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖

在CWE 4.3 中, 又增加了一張非常有用的視圖: CWE-1340 CISQ Data Protection Measures.?在話說CWE 4.2的新視圖中, 我們介紹了CISQ的CWE-1305: CISQ Quality Measures (2020)視圖, 也介紹了有關(guān)CISQ的一些信息, 這次又是一個CISQ的視圖, 不禁讓人有些驚奇。

下面是CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖的具體內(nèi)容：

CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖的節(jié)點分類信息匯總：

節(jié)點類型說明詳見：話說CWE 4.2的新視圖

2.2.?CISQ自動源碼數(shù)據(jù)保護檢測工作組

CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖 是CISQ的一個"自動源碼數(shù)據(jù)保護檢測(AUTOMATED SOURCE CODE MEASURE FOR DATA PROTECTION)"工作組，組織制定的，我們來看下這個工作組的一些主要信息。

工作目標(biāo)

這個工作組創(chuàng)建的目的是為了, 根據(jù)一組相關(guān)的軟件弱點(CWE), 創(chuàng)建一個自動源代碼數(shù)據(jù)保護措施，該措施將用于支持企業(yè)和供應(yīng)鏈在保護數(shù)據(jù)、機密信息、知識產(chǎn)權(quán)和隱私方面的需求。

參與人員

Dr. Bill Curtis， CISQ的創(chuàng)立者；

Synopsys和CAST兩個工具廠商的專家；

MITRE、CGI的幾位專家；

來自諾斯羅普·格魯曼(Northrop Grumman)一位專家。 這個公司是世界第三大軍火商，世界上最大的雷達制造商和最大的海軍船只制造商。我們熟悉的B-2隱形轟炸機、RQ-4全球鷹無人機、E2-C預(yù)警機等都是出自這個公司。

規(guī)范制定的機理

規(guī)范通過包含與數(shù)據(jù)泄漏(未經(jīng)授權(quán)的訪問可以讀取/修改數(shù)據(jù))相關(guān)的CWE, 來形成一個可以使用自動源代碼檢測的防范方法, 從而使數(shù)據(jù)保護措施成為一個可以落實到具體檢測工具的保護規(guī)范.

規(guī)范的關(guān)聯(lián)性

標(biāo)準(zhǔn)與GDPR、CCPA和CMMC高度相關(guān)，重點關(guān)注尋求遵守與數(shù)據(jù)保護和隱私相關(guān)的監(jiān)管指南的企業(yè)和軟件弱點(CWE)與的相關(guān)性。許多組織為了接受與CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相關(guān)的過程評估，在企業(yè)中對運行的系統(tǒng)、設(shè)備、傳輸數(shù)據(jù)的軟件進行代碼掃描，以發(fā)現(xiàn)是否存在數(shù)據(jù)泄漏，從而揭示與流程評估相關(guān)的數(shù)據(jù)保護/隱私控制是否得到了適當(dāng)實施。

規(guī)范的適用范圍

可以為軟件開發(fā)、第三方軟件的驗收測試和審核、以及獨立驗證和校驗(Independence Verification & Validation(IV&V))的用例。

規(guī)范的將來

作為后續(xù)工作，CISQ尋求使其與ISO/IEC 25000系列（25010軟件產(chǎn)品質(zhì)量特征）保持一致，以將數(shù)據(jù)保護指定為安全的子特征。

項目組是2020年5月開始工作，2020年12月向?qū)ο蠊芾斫M織(Object Management Group (OMG))提交了規(guī)范, 預(yù)計該措施將在2021年初成為OMG標(biāo)準(zhǔn)。OMG就是CISQ的背后的資助組織, 是一個國際性、開放成員、非營利性技術(shù)標(biāo)準(zhǔn)聯(lián)盟。OMG標(biāo)準(zhǔn)由供應(yīng)商，用戶，學(xué)術(shù)機構(gòu)和政府機構(gòu)推動，OMG工作組針對各種技術(shù)和更廣泛的行業(yè)制定企業(yè)集成標(biāo)準(zhǔn)。 可見這個規(guī)范剛剛完成制定（12月初），就立刻（12月10號）被納入了CWE的新版本中了。

2.3. 建議的違規(guī)報告

在工作組的網(wǎng)站上還給出了一個建議的違規(guī)報告,?如果這些工具給出了些軟件弱點(CWE)相關(guān)的缺陷, 則說明軟件中存在未經(jīng)授權(quán)訪問以讀取或修改數(shù)據(jù)的源地方，會存在數(shù)據(jù)泄漏或數(shù)據(jù)損壞的場景。 如果這些軟件作為網(wǎng)絡(luò)連接資產(chǎn)的一部分運行，則組織企業(yè)將面臨不符合CMMC、GDPR、CCPA或HIPAA監(jiān)管要求的風(fēng)險。

報告中列舉了違反以下規(guī)范的具體條目：

NIST SP 800-171 Rev 2: 7 類， 20個規(guī)則；

NIST SP 800-53： 7 類，19個規(guī)則；

ISO/IEC 27001： 7 類，13個規(guī)則；

3. 主要涉及法規(guī)和規(guī)范

從規(guī)范的關(guān)聯(lián)性我們可以知道，為了滿足或支持企業(yè)和供應(yīng)鏈在保護數(shù)據(jù)、機密信息、知識產(chǎn)權(quán)和隱私方面的需求，參考了目前業(yè)界主要的法規(guī)或標(biāo)準(zhǔn)中與數(shù)據(jù)保護相關(guān)的部分，并把這些條例、規(guī)則或內(nèi)容，映射成了一個可以通過工具檢測的軟件弱點(CWE)，從而實現(xiàn)對數(shù)據(jù)保護可實施的自動檢測措施。下邊我們對這些涉及的法規(guī)或規(guī)范做個介紹。

3.1. 隱私保護

3.1.1.?GDPR

通用數(shù)據(jù)保護條例(General Data Protection Regulation (GDPR))，旨在協(xié)調(diào)整個歐洲的數(shù)據(jù)隱私法，以保護和授權(quán)所有歐盟公民數(shù)據(jù)隱私，并重塑整個地區(qū)的組織處理數(shù)據(jù)的方式隱私。 GDPR于2018年5月25日生效，為組織提供了有關(guān)如何處理個人數(shù)據(jù)的框架。適用于向歐盟 (EU) 民眾提供商品和服務(wù)的組織，或收集并分析歐盟居民相關(guān)數(shù)據(jù)的組織。無論你或你的企業(yè)位于何處，都要遵守這些新規(guī)定。

GDPR 授予人們管理組織收集的個人數(shù)據(jù)的權(quán)限, 可通過數(shù)據(jù)主體請求 (Data subject requests(DSR)) 來行使這些權(quán)限。組織需要及時提供有關(guān) DSR 和數(shù)據(jù)泄露的信息，并執(zhí)行數(shù)據(jù)保護影響評估(Data Protection Impact Assessment (DPIA))。

個人數(shù)據(jù)

是指與已識別或可識別的自然人（“數(shù)據(jù)主體”）相關(guān)的任何信息；可識別的自然人是指可以直接或間接識別的人，尤其是通過引用諸如名稱、識別號、位置數(shù)據(jù)、在線標(biāo)識符或該自然人的身體、生理、遺傳、精神、經(jīng)濟、文化或社會身份所特有的一個或多個因素。

個人數(shù)據(jù)泄露

是指導(dǎo)致傳輸、存儲或以其他方式處理的個人數(shù)據(jù)遭到意外或非法破壞、丟失、更改、未經(jīng)授權(quán)披露或訪問的違反安全之事宜。

與應(yīng)用程序安全性有關(guān)，并要求企業(yè)在其產(chǎn)品和服務(wù)的設(shè)計和開發(fā)過程中保護個人數(shù)據(jù)的GDPR章節(jié)為

第25條，通過設(shè)計和默認(rèn)方式進行數(shù)據(jù)保護-要求“控制者應(yīng)采取適當(dāng)?shù)募夹g(shù)和組織措施，以確保默認(rèn)情況下僅處理處理每個特定目的所需的個人數(shù)據(jù)。”

第32條，處理的安全性-要求企業(yè)保護其系統(tǒng)和應(yīng)用程序“免受意外或非法破壞、丟失、更改、未經(jīng)授權(quán)披露或訪問個人數(shù)據(jù)”。

3.1.2.?CCPA

《California Consumer Privacy Act》, 簡稱《CCPA》。 加州是世界第五大經(jīng)濟體，與 GDPR 類似，CCPA 的影響范圍是全球性的。 在2020年1月1日，在加利福尼亞州開展業(yè)務(wù)的公司或組織將必須遵守該州嚴(yán)格的新隱私法，該法律為每個加利福尼亞州居民建立了合法且可執(zhí)行的隱私權(quán)，于2020年7月1日起正式實施。

營利性企業(yè)如果收集加州居民的個人信息，并滿足以下任何一條，則需要合規(guī)：

年營業(yè)額超過2500萬美元;

購買、獲取、銷售達到或超過5萬個消費者、家庭和設(shè)備的信息;

超過50%的年度營收由銷售消費者個人信息獲得

CCPA為加利福尼亞消費者的個人數(shù)據(jù)提供以下保護：

所有權(quán)：保護消費者有權(quán)告訴企業(yè)不要共享或出售個人信息的權(quán)利;

控制：提供消費者對收集到的有關(guān)他們的個人信息的控制權(quán);

安全：要求企業(yè)負(fù)責(zé)保護個人信息。

3.1.3. GDPR vs CCPA

盡管CCPA的范圍與GDPR有所不同，但它們都授予了消費者控制和否決其數(shù)據(jù)使用的相關(guān)權(quán)利。兩項法規(guī)都要求公司安全地存儲數(shù)據(jù)，對收集的個人數(shù)據(jù)類型保持透明，并管理消費者刪除個人數(shù)據(jù)的請求（“被遺忘的權(quán)利”），這意味著能夠從整個系統(tǒng)的所有系統(tǒng)中刪除個人數(shù)據(jù)。相同之處包括：

透明度/披露義務(wù)；

消費者訪問、刪除和接收數(shù)據(jù)副本的權(quán)利；

“服務(wù)提供商”的定義，它與 GDPR 定義具有類似合同義務(wù)的“處理者”的方式一樣；

“公司”的定義，它包含了 GDPR 對“控制者”的定義。

CCPA 中最大的差別是，準(zhǔn)許選擇不出售數(shù)據(jù)給第三方的這一核心要求（其中，“出售”廣義定義為包含共享數(shù)據(jù)來換取有值對價的行為）。 與反對數(shù)據(jù)處理的廣義 GDPR 權(quán)利相比，該項義務(wù)范圍更窄且更具體，它包含此類型的“出售”，但并未特別局限于包含此類型的共享。 CCPA要求用戶具有選擇性退出的能力，而不是需要在收集個人身份信息（PII）之前獲得明確同意的能力。

3.2.?NIST Special Publication 800

SP800是美國NIST（National Institute of Standards and Technology）發(fā)布的一系列關(guān)于信息安全的指南（SP是Special Publications的縮寫）。它們專門為美國聯(lián)邦機構(gòu)提供基線和框架，是聯(lián)邦信息安全管理法案（FISMA）合規(guī)性的重要組成部分。

在NIST的標(biāo)準(zhǔn)系列文件中，雖然NIST SP并不作為正式法定標(biāo)準(zhǔn)，但在實際工作中，已經(jīng)成為美國和國際安全界得到廣泛認(rèn)可的事實標(biāo)準(zhǔn)和權(quán)威指南。NIST SP800系列成為了指導(dǎo)美國信息安全管理建設(shè)的主要標(biāo)準(zhǔn)和參考資料。

大家重視這個框架有以下原因：

它比ISO 27002略為全面，因為它包括選擇控制和評估安全性的過程（通過NIST SP 800-53A），以及修訂版5中與隱私相關(guān)的特定控制，這使得NIST 800系列幾乎成為一個現(xiàn)成的安全計劃。

許多美國組織更喜歡使用NIST框架。向聯(lián)邦機構(gòu)提供服務(wù)的組織，必須遵守NIST SP 800-171，該標(biāo)準(zhǔn)與NIST SP 800-53緊密結(jié)合。使用NIST SP 800-53作為初步或擴展到800-171合規(guī)性，是合乎邏輯的步驟。

目前，NIST SP 800系列已經(jīng)出版了近176個同信息安全相關(guān)的正式文件，形成了從計劃、風(fēng)險管理、安全意識培訓(xùn)和教育以及安全控制措施的一整套信息安全管理體系。

3.2.1.?NIST SP800-53

2020/10/12, NIST SP 800-53：聯(lián)邦信息系統(tǒng)和組織機構(gòu)的安全和隱私控制(Security and Privacy Controls for Information Systems and Organizations)。

隨著計算機信息系統(tǒng)和設(shè)備日益復(fù)雜，2017年美國防科學(xué)委員會(Defense Science Board(DSB))的網(wǎng)絡(luò)威脅工作組提交的報告顯示，對美國關(guān)鍵基礎(chǔ)架構(gòu)和支持任務(wù)必需的操作和公共和私營部門資產(chǎn)的信息系統(tǒng)中的漏洞對系統(tǒng)的威脅更大。因此迫切需要一種更加主動和系統(tǒng)的方法來應(yīng)對美國的網(wǎng)絡(luò)威脅，進一步加強國家在關(guān)鍵基礎(chǔ)架構(gòu)的每個部門中依賴的基礎(chǔ)信息系統(tǒng)、組件產(chǎn)品和服務(wù)。 確保這些系統(tǒng)、組件和服務(wù)足夠值得信賴，并提供必要的彈性來支持美國的經(jīng)濟和國家安全利益。

2005年，NIST SP800-53發(fā)布，采取了積極主動的系統(tǒng)方法來制定，并向廣泛的公共和私營部門組織提供針對所有人的計算平臺提供全面保護措施。這些計算機系統(tǒng)包括：通用計算系統(tǒng)、網(wǎng)絡(luò)物理系統(tǒng)、基于云的系統(tǒng)、移動設(shè)備、物聯(lián)網(wǎng)（IoT）設(shè)備、武器系統(tǒng)、空間系統(tǒng)、通信系統(tǒng)、環(huán)境控制系統(tǒng)、超級計算機和工業(yè)控制系統(tǒng)。這些保護措施包括實施安全和隱私控制，以保護組織的關(guān)鍵和必要操作和資產(chǎn)以及個人隱私。目標(biāo)是使我們依賴的信息系統(tǒng)具有更高的抗?jié)B透性，限制攻擊發(fā)生時的破壞，使系統(tǒng)具有網(wǎng)絡(luò)彈性和生存能力，并保護個人隱私。

NIST SP 800-53是一個獨立的控制框架，為安全治理提供了全面的方法。它為信息系統(tǒng)和組織提供了安全和隱私控制的目錄(catalog)，以保護組織的運營和資產(chǎn)、個人、其他組織和國家免受各種威脅和風(fēng)險的侵害，包括敵對攻擊、人為錯誤、自然災(zāi)害、結(jié)構(gòu)性威脅故障、外國情報實體和隱私風(fēng)險。并有助于確保信息技術(shù)產(chǎn)品和依賴這些產(chǎn)品的系統(tǒng)具有足夠的可信度。安全和隱私控制目錄以及基于風(fēng)險的控制選擇過程的組合，可以幫助組織遵守既定的安全和隱私要求，為其信息系統(tǒng)獲得足夠的安全，并保護個人隱私。

這些控件是靈活且可自定義的，并作為組織范圍內(nèi)的風(fēng)險管理過程的一部分而實施;

這些控件滿足了從任務(wù)和業(yè)務(wù)需求、法律、行政命令、指令、法規(guī)、政策、標(biāo)準(zhǔn)和指南中得出的各種要求;

控件目錄從功能的角度（即控件提供的功能和機制）和保證的角度（即控件提供的安全性或隱私功能的可信度）解決安全性和隱私問題；

控件獨立于控件的使用過程。控制選擇過程可以是:組織范圍的風(fēng)險管理過程、系統(tǒng)工程過程[SP 800-160-1]，風(fēng)險管理框架[SP 800-37]、網(wǎng)絡(luò)安全框架[NIST CSF]或隱私框架[NIST PF]；

可以根據(jù)許多因素來指導(dǎo)和告知控制選擇標(biāo)準(zhǔn)，包括任務(wù)和業(yè)務(wù)需求、利益相關(guān)者保護需求、威脅，漏洞以及遵守聯(lián)邦法律、行政命令、指令、法規(guī)、政策、標(biāo)準(zhǔn)和準(zhǔn)則。

目前修訂版本Rev5，是2020/10/12發(fā)布。

3.2.2.?NIST SP800-171

NIST SP 800-171: 保護非聯(lián)邦系統(tǒng)和組織中的受控非密信息(Protecting Controlled Unclassified Information in Non federal Systems and Organizations)。

為響應(yīng)有關(guān)管理受控未分類信息 (Controlled Unclassified Information(CUI)) 的管理命令 13556，發(fā)布了 NIST SP 800-171，保護非 Federal 信息系統(tǒng)和組織中的受控未分類信息。 CUI 定義為數(shù)字和物理信息，由政府 (或代表其實體創(chuàng)建) 雖然未分類，但仍敏感且需要保護。

NIST SP 800-171是NIST SP 800-53的一個子集，與特定的過程要求一起。NIST SP 800-171在附錄中包括了與NIST CSF和NIST SP 800-53的控制映射。

NIST SP 800-171 最初于 2015 年 6 月發(fā)布，此后為了響應(yīng)不斷變化的網(wǎng)絡(luò)威脅，已進行了多次更新。2020/02/21 發(fā)布Rev2。

它提供有關(guān)如何安全訪問、傳輸 CUI 以及將 CUI 存儲在非信息系統(tǒng)和組織的準(zhǔn)則;其要求分為四個主要類別：

用于管理和保護的控件和過程；

監(jiān)視和管理 IT 系統(tǒng)；

針對最終用戶的清晰做法和過程；

技術(shù)和物理安全措施的實施。

3.3.?網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)

美國國防部(The United States Department of Defense(US DoD)) 每年在都需要為美軍進行多達$1.8萬億的巨量武器采購, 這些采購涉及30萬個國防部國防工業(yè)基地(Defence Industry Base(DIB))供應(yīng)商。這些采購活動是在各種不同的數(shù)字平臺上完成的。如果這些DIB的網(wǎng)絡(luò)系統(tǒng)收到攻擊，則可能對DIB承包商帶來經(jīng)濟影響，進而影響到國防部供應(yīng)鏈中產(chǎn)品和服務(wù)的流動，并可能影響一線作戰(zhàn)力量。

為了網(wǎng)絡(luò)防御要求，于是出臺了國防聯(lián)邦采購要求補充(Defence Federal Acquisition Requirements Supplement (DFARS))。DFARS是一套全面的要求，列出了向美軍采購和供應(yīng)產(chǎn)品與服務(wù)的期望。定義了實施NIST（SP）800 – 171（當(dāng)前修訂版2）的必要性，其中詳細(xì)介紹了NIST（SP）800-171的一系列網(wǎng)絡(luò)安全實踐保護受控未分類信息（Controlled Unclassified Information(CUI))。所有CUI類別均在美國國家檔案局控制的未分類信息（CUI）注冊表中進行了描述。 根據(jù)DFARS 252.204-7012的規(guī)定，DIB承包商及其分包商應(yīng)自2017年12月31日起遵守NIST（SP）800 – 171規(guī)定。

但是這個一個要求并未完全滿足確保國防部供應(yīng)商已實施適當(dāng)網(wǎng)絡(luò)安全實踐的要求。為了解決這個問題，國防部于2019年提出了DFARS正式案例– D041“戰(zhàn)略評估和網(wǎng)絡(luò)安全認(rèn)證要求”。啟動程序以實施一種方法來評估國防部承包商對NIST（SP）800 – 171的遵守情況以及對受控非保密信息（CUI）的保護。為此，在2019年5月底對合作的研究機構(gòu)卡內(nèi)基梅隆大學(xué)和約翰霍普金斯大學(xué)應(yīng)用物理實驗室有限責(zé)任公司提出了整合現(xiàn)有體系標(biāo)準(zhǔn)，開發(fā)網(wǎng)絡(luò)安全成熟度模型認(rèn)證(Cybersecurity Maturity Model Certification(CMMC))框架的要求，將要保護的信息數(shù)據(jù)類型和敏感性以及相關(guān)的威脅范圍相結(jié)合，形成來自多個網(wǎng)絡(luò)安全標(biāo)準(zhǔn)、框架和其他參考的成熟流程和網(wǎng)絡(luò)安全最佳實踐。

CMMC解決了DFARS的監(jiān)督和保證的空白，CMMC計劃將需要對DIB承包商進行獨立的網(wǎng)絡(luò)安全評估，然后才能完成適用的DoD合同。第三方評估機構(gòu)（C3PAO）的認(rèn)證和CMMC評估人員的認(rèn)證。它將適用于所有30萬家全球承包商，美國國防部將僅接受經(jīng)過認(rèn)可的C3PAO組織的CMMC評估，因此承包商將必須確認(rèn)他們符合國防部在建議書（RFP）中定義的網(wǎng)絡(luò)安全成熟度級別。

網(wǎng)絡(luò)安全成熟度模型認(rèn)證(CMMC)框架包含:

17個功能域，43個功能

跨五個級別的5個流程來衡量流程的成熟度；

跨五個級別的171個實踐以衡量技術(shù)能力。

CMMC 成熟度過程使網(wǎng)絡(luò)安全活動制度化，以確保它們是一致的、可重復(fù)的和高質(zhì)量的。

成熟度等級過程描述：

CMMC 1.0 與NIST SP800-171對應(yīng)表

3.4. [ISO 27001]

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個部分：

BS7799-1，信息安全管理實施規(guī)則。第一部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實施或維護安全的人員使用；

BS7799-2，信息安全管理體系規(guī)范。第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。

它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。

2000年12月，BS7799-1：1999《信息安全管理實施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO/IEC 17799：2000《信息技術(shù)-信息安全管理實施細(xì)則》，后來該標(biāo)準(zhǔn)已升版為標(biāo)準(zhǔn)版。

規(guī)定了在組織范圍內(nèi)建立，實施，維護和持續(xù)改進信息安全管理系統(tǒng)的要求。 它還包括針對組織需求量身定制的信息安全風(fēng)險評估和處理要求。 ISO/IEC 27001：2013中列出的要求是通用的，旨在適用于所有組織，無論類型，規(guī)模或性質(zhì)如何。

該標(biāo)準(zhǔn)規(guī)定了一個組織建立、實施、運行、監(jiān)視、評審、保持、改進信息安全管理體系的要求；它基于風(fēng)險管理的思想，旨在通過持續(xù)改進的過程(一個基于“計劃、執(zhí)行、檢查、行動”(PDCA 模型）使組織達到有效的信息安全。該標(biāo)準(zhǔn)使用了和 ISO 9001、ISO 14001 相同的管理體系過程模型，是一個用于認(rèn)證和審核的標(biāo)準(zhǔn)。

ISO27001 標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個層次化的體系，通常是由四個層次構(gòu)成的：

信息安全手冊：該手冊由信息安全委員會負(fù)責(zé)制定和修改，是對信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標(biāo)準(zhǔn)要求建立并運行的。信息安全手冊包含各個一級文件。

一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等。一級文件至少包括（可能不限于此）：信息安全方針風(fēng)險評估報告適用性聲明（SoA）

二級文件：各類程序文件。至少包括（可能不限于此）：風(fēng)險評估流程風(fēng)險管理流程風(fēng)險處理計劃管理評審程序信息設(shè)備管理程序信息安全組織建設(shè)規(guī)定新設(shè)施管理程序內(nèi)部審核程序第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定系統(tǒng)開發(fā)與維護程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定信息系統(tǒng)安全img審計規(guī)定文件及材料控制程序安全事件處理流程。

三級文件：具體的作業(yè)指導(dǎo)書。描述了某項任務(wù)具體的操作步驟和方法，是對各個程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。

四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運行的有力證據(jù)，由各個相關(guān)部門自行維護。

ISO27001的3個內(nèi)容：

14個控制領(lǐng)域

39個控制目標(biāo)

133個控制措施

4. [總結(jié)]

CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖, GDPR、CCPA和CMMC高度相關(guān)，并重點尋求通過軟件弱點(CWE)來遵守與數(shù)據(jù)保護和隱私相關(guān)的監(jiān)管指南的企業(yè)的相關(guān)性；

代碼掃描工具可以通過檢測CWE-1340 CISQ 數(shù)據(jù)保護檢測視圖中對應(yīng)的軟件弱點(CWE), 從而發(fā)現(xiàn)系統(tǒng)或設(shè)備是否存在數(shù)據(jù)/隱私泄漏；

這樣的掃描將揭示與流程評估相關(guān)的數(shù)據(jù)保護/隱私控制是否得到了適當(dāng)實施；

這樣的掃描可以滿足CMMC、GDPR、CCPA、ISO 27001、NIST SP 800-53 r5、NIST SP 800-171等相關(guān)的過程評估；

這個的掃描可以實現(xiàn)工具對數(shù)據(jù)保護/隱私控制的自動化檢測。

5. [參考]

CISQ自動源碼數(shù)據(jù)保護檢測工作組

General Data Protection Regulation

California Consumer Privacy Act

Cybersecurity Maturity Model Certification

NIST.SP.800-53r5

NIST.SP.800-171r2

2020-02-27 網(wǎng)絡(luò)安全成熟度模型 (CMMC) 解讀：美國防部網(wǎng)空防御能力的重要變革

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。