美國國家資訊保證驗證與認證計畫指導綱要介紹

1990 年 12 月 5 日，美國國家研究評議會(National Research Council)安全系 統研究委員會發表了其「電腦風險(Computers at Risk：Safe Computing in the Information Age，簡稱 CAR)報告」之結案報告指出[70]，在已來臨之無國界、不 受距離時間限制的全球資訊社會中，個人、企業、政府等均深受資訊系統的影響，

不僅是人與資訊系統共棲，並將演變成必須依賴報告資訊系統不斷發展演進的功 能。譬如：資訊系統使用的增加，已經促使各個組織內部之體制機構與作業程序 起了根本的變革；同時，更修正了組織內部交互運作的工作方式。在資訊系統無 法運作的狀況下，現今的作業程序將無法繼續下去，亦無法回復至先前的運作方 式；想想看，當資訊系統無法運作時，那將帶給如航空公司、證券交易、金融作 業、健保門診、捷運系統等之影響，均已是公共安全的議題，即可知其相恃性 (Dependability)的重要程度。在另一方面，因為資訊的使用日益頻繁，確實帶來 許多利益；然而，資訊系統在安全防護的需求，相較之下，在程度上實相距甚遠；

當包含公共服務、商業、個人等在內之整個社會均已十分依賴這尚不足以信任的 種種技術時，所有資訊系統的使用都經不起些許的故障或甚至遭受攻擊。

CAR 報告之影響是立即且深遠的，根基於該報告，美國總統於 1992 年下令 推 動 資 訊 系 統 安 全 之 國 家 目 標 ， 並 由 美 國 國 家 標 準 與 技 術 研 究 院 (National Institute of Standards and Technology，簡稱 NIST)負責執行所需「標準與指導綱要」

之工作，並與國際標準組織(International Organization for Standardization，簡稱 ISO) 合作推動，10 年來已公布近 30 份相關規範，從資訊技術安全評估共同準則 (Common Criteria，簡稱 CC)、資訊系統安全指導綱要與作業準則、規劃指引、

風險管理、驗證(Certification)與認證(Accreditation)等加以研究、綜覽而頒佈專 著，並於千禧年前(1999 年 12 月 15 日)由 ISO 將資訊技術安全評估共同準則公布 成提供資訊產品/系統之資訊技術安全驗證之國際標準[41]。2002 年起，要求美 國聯邦政府遵照過去 10 年頒佈之 NIST 規範執行資訊安全管理系統內部稽核，

其中將資訊安全管理系統依能力成熟度與整合程度區分為 5 級，自第 3 級起要求 依循驗證與認證作業；如表 4.2 所示之國家安全之電信與資訊系統安全政策第 11 號(National Security Telecommunications and Information Systems Security Policy No.11，簡稱 NSTISSP No.11 )，已於 2002 年 7 月 1 日起強制實施；並於 2002

年 10 月 28 日，根基於 CC 2.1 與美國聯邦政府於 2001 年 5 月 25 日公布之密碼 模 組 安 全 需 求 FIPS(Federal Information Processing Standard) PUB(Publication)140-2 [56]，NIST 頒布如表 4.3 所示之資訊保證驗證與認證計 畫供公開討論，預定在 2004 年秋季定案後實施 [68]，其遵循規範之說明文件如 圖 4.1 所示 [48]，內容則應如表 3.4 所示[26,41,46,53,54,56,68,70,72]，圖 4.2 是其 資訊安全保證作業之示意說明，其中將整個作業區分為定義、驗證(正確性查 證)、驗證(有效性確認)及維護認證等四個階段加以描述作業整個流程。

表 4.2：美國國家安全之電信與資訊系統安全政策第 11 號

1. 美國國家安全之電信與資訊系統安全委員會(National Security Telecommunications and Information Systems Security Committee，簡稱 NSTISSC)，依據 1990 年 7 月之 美國國家安全第 42 號指令(National Security Directive No.42，簡稱 NSD-42)，於 2000 年 1 月公布 NSTISSP No.11。

2. NSTISSC 為建立 NSTISSP No.11 之規範，於 1999 年 3 月 11 日先行公布 NSTISSAM (Advisory Memorandum) INFOSEC/1-99 預為準備；2000 年 4 月 NITISSC 頒布資訊 保 證 驗 證 與 認 證 過 程 (National Information Assurance Certification and Accreditation，簡稱 NIACAP) 之 NSTISSI (Instruction) No.1000。

3. 政策訓令：

3.1 2001 年 1 月 1 日起，通資訊基礎建設之資訊技遵循共同準則及國家技術與標準 研究院(National Institute of Standards and Technology，簡稱 NIST)之確認計畫。

3.2 2002 年 7 月 1 日起，總統決策令第 63 號(Presidential Decision Directive No.63，

簡稱 PDD-63) 中之範疇，強制(Mandated)實施 3.1 中的規定。

表 4.3：美國聯邦政府資訊保證驗證與認證過程 1. 啟始階段：

1.1 準備。

1.2 資源識別與告示。

1.3 安全計畫分析、更新與承認。

2. 安全驗證階段：

2.1 安全控制措施查證。

2.2 安全驗證文件。

3. 認證階段：

3.1 安全認證決策。

3.2 安全認證文件。

4.持續督導階段：

4.1 組態管理與控制。

4.2 進階安全控制查證。

4.3 狀態報告與文件。

5.依據:

5.1 美國國家安全之電信與資訊系統安全委員會於 2000 年 4 月頒布之第 1000 號訓令。

5.2 2002 年 12 月公布之聯邦資訊安全管理法案(Federal Information Security Management Act，簡稱 FISMA)。

資訊安全風險管理框架

(Security Control Documentation) (Security Control

Selection)

決定控制措施實施的範圍，操作並製 造出所需的結果以符合安全需求 SP 800-53A / SP 800-26 / SP 800-37

安全控制措施評鑑 (Security Control

Assessment) SP 800-53 / FIPS 200 / SP 800-30

安全控制措施區分 (Security Control

Refinement) (Security Control

Monitoring) (Security Control Implementation)

SP 800-70 起始點

資料來源：美國國家標準與技術研究院(2006-03-31)。

說明：這些出版品可由 NIST「電腦安全資源中心(Computer Security Resource Center)」(http://csrc.nist.gov)取得。

圖 4.1：美國聯邦資訊安全管理法驗證及鑑定程序之相關指引

說明： (Information Technology，簡稱 IT)面之系統進行驗證，同時遵循 ISO/IEC 17799 等標準進行資訊系統之操作環境面進行驗證，3 階段驗證工作所接受之殘餘風險 的處理過程是否合理則是認證階段之工作 [68]。