Bộ phận bảo mật NIST cung cấp tài liệu theo hai dạng. Một là các chuẩn xử lý thông tin liên bang (FIPS - Federal Information Processing Standards) là tiêu chuẩn bắt buộc đối với tất cả các cơ quan trong liên bang Mỹ. Trong khi đó các ấn phẩm đặc biệt (SP - Special Publications) đƣợc ban hành bởi NIST nhƣ hƣớng dẫn thực hiện và các khuyến nghị có tính chất ít nghiêm ngặt hơn.
Trong việc tìm kiếm thông tin tôi đã xác định đƣợc cách dữ liệu phân loại đƣợc sử dụng trong các hệ thống thông tin hiện nay và phát hiện ra rằng FIPS 199 và SP 800-60 mô tả chi tiết sự phân loại dữ liệu. Các chi tiết này đƣợc trình bày cụ thể trong chƣơng sau.
Trƣớc tiên là phát triển một mô hình, kết hợp với các tài liệu nghiên cứu và sự phân loại dữ liệu sau đó kiểm tra tính hữu dụng của cách tiếp cận trên mô hình này. Trong các cuộc thảo luận với các chuyên gia ĐTĐM và chuyên gia bảo mật, tôi nhận ra rằng trong mô hình này vấn đề liên quan đến ĐTĐM đã không đƣợc xác định rõ ràng. Mô hình dựa trên sự phân loại dữ liệu và các thông tin từ tài liệu
không đủ để trả lời các câu hỏi nghiên cứu và do vậy cần một cái nhìn tổng quát hơn.
Chuẩn FIPS Tên đầy đủ Ấn phẩm liên
quan
Tên đầy đủ của ấn phẩm
FIPS 199 [5]
Các tiêu chuẩn phân loại bảo mật Thông tin Liên bang và bảo mật tối thiểu của các hệ thống thông tin
SP800-60 [7]
Hƣớng dẫn các kiểu ánh xạ Thông tin và các hệ thống thông tin với các phân loại bảo mật
FIPS 200 [6] Các yêu cầu thông tin liên bang và các hệ thống thông tin
SP800-60 [7]
Khuyến nghị kiểm soát bảo mật cho các hệ thống thông tin liên bang và các tổ chức Bảng 2.1. Các tiêu chuẩn và quy tắc bảo mật thông tin liên quan của NIST
Phân loại thông tin và hệ thống thông tin đƣợc mô tả trong FIPS 199 và SP 800-60 đƣợc khuyến nghị tuân theo việc lựa chọn các kiểm soát bảo mật, đƣợc quy định trong FIPS 200 và hƣớng dẫn tại SP 800-53. Xem bảng 2.1 để hiểu thêm mối quan hệ giữa các ấn phẩn này.
Thông tin phản hồi từ các chuyên gia bảo mật khuyên tôi đƣa các ấn phẩm này vào mức độ rộng hơn bằng cách thêm vào trong các chiến lƣợc quản lý rủi ro. Nghiên cứu thêm cho rằng những tiêu chuẩn - quy tắc là các bƣớc trong một chiến lƣợc quản lý rủi ro IT mà NIST gọi là Framework quản lý rủi ro.