本文是与国防部(包括国家安全局)共同编纂的用于识别信息系统是否为国家安全系统的指南。这些指南的法律依据是2002年《联邦信息安全管理法案》(FISMA,公共法107-347,2002年12月17日),后者取代《政府信息安全改革法案》和《计算机安全法案》,提出了所有政府机构均须遵守的信息安全要求。
FISMA不仅为确保对支持联邦政府运行和资产的信息资源实施有效信息安全控制提供了一个框架,同时还为保持被要求用来保护联邦信息和信息系统的最低控制提供了框架。联邦机构负责对其本身或其代表收集或保有的信息以及其本身或其代表使用或操作的信息系统提供信息安全保护。每个联邦机构的领导人还负责:
1、评价因未经授权访问、使用、泄露、破坏、篡改或毁坏支持所涉机构运行或资产的信息或信息系统而产生伤害的风险及其程度。
2、确定适合于保护所述信息和信息系统的信息安全等级。
3、执行可低本高效地将风险降低至可接受水平的策略和规程。
4、定期测试和评估信息安全控制和技术,以确保它们得到有效执行。
除了FISMA定义的国家安全系统外,商务部长还负责在NIST开发的标准和指南的基础上制定有关联邦信息系统的标准和指南。国家安全系统委员会(CNSS)连同运行着符合国家安全系统定义的系统的联邦机构,为国家安全系统提供安全标准和指南。除了定义国家安全系统这一术语外,FISMA还在《美国法典》第15编第278g-3(b)(3)款修正了《NIST法案》,要求NIST为识别国家安全系统提供指南。如国会议院委员会报告所述,“该指南虽然并不辖制此类系统,但是它能确保机构在识别应受国家安全系统要求辖制的信息系统方面接受统一指导”(Report of the Committee on Government Reform, U.S House of Representatives, Report 107-787, November 14,2002,p.85)
国防部及中央情报局局长有权为国家安全系统制定策略、指南和标准。中央情报局局长要对与处理情报信息相关的策略负责。国家安全系统委员会(国家安全局是其所属行政机构)的建立,就是为执行“国家电信和信息系统安全国家政策”(参加NSTISSD Number 502)规定而制定必要的操作策略、规程、指南、指引和标准。管理和预算办公室(OBM)主任依然负有监督落实国家安全系统信息安全政策和实践规范的责任:
1、 监督机构遵守《美国法典》第44编第3章第Ⅲ节之要求的情况,其中包括通过《美国法典》第40编第11303款授权的行动执行遵守要求追责。
2、 每年不晚于3月1日将机构遵守《美国法典》第44编第3章第Ⅲ节之要求的情况上报国会,其中包括:
1)《美国法典》第44编第3545款要求的评估的结果归纳。
2)对根据《美国法典》第15编第278g-3款指定并根据《美国法典》第40编第11331款推行的标准的开发、推广、采用和遵守情况的评价。
3)机构信息安全工作的重大缺陷。
4)计划用来弥补缺陷的补救行动。
5)OMB审查NIST根据《美国法典》第15编第278g-3款要求提交的报告后的归纳性意见。
由此可见,这些指南的目的不是对国家安全系统提要求,而是帮助机构确定它们的系统中有哪些(如果有的话)符合FISMA的国家安全系统定义,必须遵守根据法律和总统指示而针对此类系统提出的适用要求。
