等保2.0--安全管理人员和安全建设管理
阅读 · 发布日期 2020-08-03 14:35 · 管理员安全管理人员
应定期对不同岗位的人员进行技能考核
首次提出针对技能进行考核,也就是针对不同岗位(运维、安全、开发、测试等),进行相关技能培训与考核。可以不用针对每一个 IT 相关岗位,但是要有一定的覆盖度,比如今年我们主要侧重运维和安全,明年主要侧重开发和测试,同时在制度和培训考核计划中也要有体现。
安全建设管理
应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。
应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
等保 2.0 标准开始,不再提倡自主定级,改为由专家进行定级。一般就是由测评机构或者知名安全厂商来进行定级,出具定级报告,其中包括评审和论证环节。可以是会议记录,也可以是最终的评审报告或定级报告。
应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件。
本项要求其实是对三同步的要求,即同步规划、同步建设、同步使用。本项不再多说,已经很熟悉了。
1
同步规划
在业务规划的阶段,应当同步纳入安全要求,引入安全措施。如同步建立信息资产管理情况检查机制,指定专人负责信息资产管理,对信息资产进行统一编号、统一标识、 统一发放,并及时记录信息资产状态和使用情况等安全保障措施。
2
同步建设
在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设。保证项目上线时,安全措施的验收和工程验收同步,外包开发的系统需要进行上线前安全检测,确保只有符合安全要求的系统才能上线。
3
同步使用
安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估。
应制定代码编写安全规范,要求开发人员参照规范编写代码。
应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
等保 2.0 标准首次提出安全开发流程的要求,可以理解为 SDL 体系。这里明确指出在编码阶段和测试阶段的安全性要求,均为上线前安全管控。以上两条是针对自研软件。
如果没有建立 SDL 流程的企业,可以先解决安全编码部分的问题,编码规范应该都会有的。上线前的安全测试,这块内容目前大多都会去做,如果没做,那我敬你是个好汉。
应在软件交付前检测其中可能存在的恶意代码
应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
这两条是对外包软件安全的要求,也是首次提出要外包开发商提供上线前安全测试报告、代码审计报告以及源代码。这下甲方开心坏了吧,可以更理直气壮的怼乙方了,虽然以前一直都是。但是介于刚刚实施这么靠谱的要求,很多乙方是不接受的,一开始可以双方一起来进行安全测试;代码审计一般不会要求严格意义的代码审计报告,可以用扫描加人工验证的方式来进行;而对于源代码,很对乙方是说死不给的,可以先提交一部分源码。但这些都是应对本次测评的准备,从长远来看,以后对于外包开发要求会规范化,标准化,强制化。SDL 体系建立会成为趋势。
应通过第三方工程监理控制项目的实施过程。
那么,除了以上这些,乙方觉得没事了么,呵呵。
明年开始,外包项目需要聘请第三方监理,对整个项目过程质量进行把控和监督,并实时汇报和协调。也就是说,除了甲方怼你,以后还有一个第三方监理也要怼你,爽不爽?
应进行上线前的安全性测试,并出具安全测试报告, 安全测试报告应包含密码应用安全性测试相关内容。
乙方的兄弟,你先别吐血,还没说完呢,这回不是你自己,甲方也要一样受苦,是不是好受一些了?这条要求也是首次提出,要求系统上线前的安全测试中应包含密码应用安全性测试。
那么,这个密码应用安全性测试又是个什么玩意呢。这是我在查阅了相关制度和材料得出的结果:
商用密码应用安全性评估
指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求,在系统规划阶段,可组织专家或委托测评机构进行评估;在系统建设完成后以及运行阶段,由测评机构进行评估。
哪些系统要做密评
《密码法》(《密码法草案》已于 2019 年 6 月 10 日经国务院常务会议讨论通过)要求「国家对关键信息基础设施的密码应用安全性进行分类分级评估,按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查」。《信息安全等级保护商用密码管理办法》规定:「国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查」。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定「第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行」。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外,在新版《网络安全等级保护条例》(征求意见稿)明确要求在规划、建设、运行阶段开展密码应用安全性评估。
密评关注哪些方面
为规范商用密码应用安全性评估工作,国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定,对测评机构、网络运营者、管理部分三类对象提出了要求,对评估程序、评估方法、监督管理等进行了明确。同时,组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准,及《商用密码应用安全性评估测评过程指南(试行)》《商用密码应用安全性评估测评作业指导书(试行)》等指导性文件,指导测评机构规范有序开展评估工作。其中,《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。
密评工作当前的进展
现阶段,商用密码应用安全性评估试点工作正在有序开展。经过层层评审,截止 2018 年 6 月第一批共有 10 家测评机构符合测评机构能力要求,具备独立承担并规范开展试点测评任务的能力。中科院 DCS 中心作为首批通过的优秀测评机构,正在积极参与密码应用安全性评估的各项试点工作,为我国密码事业的发展贡献自己的力量。
个人感觉,这项要求类似可信计算,在标准实施初期不做强制要求,以鼓励方式建议企业开展,但在后期随着技术和要求的成熟,会逐渐成为强制要求项。所以,明年各位可以不用太担心,先了解一下就好。
- 上一篇:等保2.0--安全管理制度和安全管理机构
- 下一篇:没有了