Jump to content

Система управления рисками

7-шаговый процесс RMF

Структура управления рисками (RMF) — это федерального правительства США, руководство, стандарт и процесс управления рисками призванные обеспечить безопасность информационных систем (компьютеров и сетей), разработанные Национальным институтом стандартов и технологий (NIST). RMF, показанный на диаграмме справа, обеспечивает дисциплинированный и структурированный процесс, который интегрирует действия по информационной безопасности , конфиденциальности и управлению рисками в жизненный цикл разработки системы . [1] [2]

Основным документом, описывающим детали RMF, является специальная публикация NIST 800-37 , «Структура управления рисками для информационных систем и организаций: подход к жизненному циклу системы для обеспечения безопасности и конфиденциальности». [1] Это вторая редакция данного документа, которая заменяет первую редакцию «Руководства по применению структуры управления рисками в федеральных информационных системах». [3]

Различные этапы RMF связаны с несколькими другими стандартами и рекомендациями NIST, включая специальную публикацию NIST 800-53 , «Контроль безопасности и конфиденциальности для информационных систем и организаций».

Шаги RMF включают в себя:

  • Подготовьтесь к выполнению RMF, установив контекст и приоритеты для управления рисками безопасности и конфиденциальности на уровне организации и системы. [4] [5]
  • Классифицировать информационную систему и информацию, обрабатываемую, хранимую и передаваемую этой системой, на основе анализа воздействия. [6] [7] [8]
  • Выберите начальный набор базовых мер безопасности для информационной системы на основе категоризации безопасности; адаптация и дополнение базового уровня мер безопасности по мере необходимости на основе организационной оценки риска и местных условий. Если к системе применимы какие-либо наложения, они будут добавлены на этом этапе. [2] [9]
  • Внедрите меры безопасности, определенные на шаге 2. [2]
  • Оценка : третья сторона оценивает средства контроля и проверяет, правильно ли применяются средства контроля к системе. [10]
  • Авторизация : информационной системе предоставляется или отказано в разрешении на эксплуатацию (ATO), в некоторых случаях оно может быть отложено, пока определенные элементы не будут исправлены. ATO основывается на отчете этапа оценки. ATO обычно предоставляется на срок до 3 лет, и процесс необходимо повторить в конце периода. [1]
  • Постоянно контролируйте меры безопасности в информационной системе заранее запланированным образом, как описано ранее в процессе. [5]

Закон о тентрилистском правительстве 2002 года (публичный закон 107-347) под названием FISMA 2002 (Закон об управлении федеральной информационной безопасностью) был законом, принятым в 2002 году для защиты интересов экономической и национальной безопасности Соединенных Штатов, связанных с информационной безопасностью . [11]

Позже Конгресс принял FISMA 2014 (Закон о модернизации федеральной информационной безопасности), чтобы внести улучшения по сравнению с FISMA 2002 путем:

  • Кодификация полномочий Министерства внутренней безопасности (DHS) по администрированию реализации политики информационной безопасности для систем федеральной исполнительной власти, не связанных с национальной безопасностью, включая предоставление технической помощи и внедрение технологий в такие системы;
  • Внесение изменений и уточнение полномочий Управления управления и бюджета (OMB) по надзору за практикой информационной безопасности федеральных агентств; и по
  • Требовать от OMB внести поправки или пересмотреть OMB A-130, чтобы «устранить неэффективную и расточительную отчетность». [12]

FISMA требовала защиты информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения для обеспечения конфиденциальности, целостности и доступности. [13] Раздел III FISMA 2002 возложил на NIST ответственность за стандарты и рекомендации, включая разработку:

  • Стандарты, которые должны использоваться всеми федеральными агентствами для классификации всей информации и информационных систем, собранных или поддерживаемых каждым агентством или от его имени, исходя из целей обеспечения соответствующего уровня информационной безопасности в соответствии с диапазоном уровней риска. Эту задачу выполнила Публикация ФИПС 199; [8]
  • Руководящие принципы, рекомендующие типы информации и информационных систем, которые следует включить в каждую категорию. Эту задачу выполнила специальная публикация NIST 800-60, тома 1 и 2; [6] [7] и
  • Минимальные требования информационной безопасности (т. е. управленческий, операционный и технический контроль) для информации и информационных систем каждой такой категории. Эта задача была решена путем разработки Публикации FIPS 200. [9]

NIST 800-37 Risk Management Framework (RMF) представляет собой набор руководств по управлению рисками кибербезопасности, призванных помочь организациям управлять рисками безопасности и конфиденциальности и соответствовать требованиям Федерального закона о модернизации информационной безопасности 2014 года (FISMA ), Закона о конфиденциальности 1974 года. , политики OMB и федеральные стандарты обработки информации , а также другие законы, постановления и политики. [1]

В течение своего жизненного цикла информационная система сталкивается со многими типами рисков , которые влияют на ее общее состояние безопасности и меры безопасности, которые необходимо реализовать. Процесс RMF поддерживает раннее обнаружение и устранение рисков. На высоком уровне риски можно разделить на инфраструктурные, проектные, прикладные, информационные активы, непрерывность бизнеса, аутсорсинг, внешние и стратегические риски. Инфраструктурные риски сосредоточены на надежности компьютеров и сетевого оборудования. Риски проекта сосредоточены на бюджете, сроках и качестве системы. Риски приложений сосредоточены на производительности и общей емкости системы. Риски информационных активов связаны с потенциальным повреждением или потерей информационных активов и несанкционированным раскрытием этих активов. Риски непрерывности бизнеса связаны с поддержанием надежной системы с максимальным временем безотказной работы. Риски аутсорсинга связаны с влиянием сторонних поставщиков на выполнение их требований. [14] Внешние риски — это факторы, находящиеся вне контроля информационной системы, которые могут повлиять на ее безопасность. Стратегические риски связаны с необходимостью согласования функций информационной системы с бизнес-стратегией, которую поддерживает система. [15]

Обновления второй версии

[ редактировать ]

Основные цели обновления до версии 2 включали следующее: [16]

  • Обеспечить более тесную связь и связь между процессами и деятельностью по управлению рисками на уровне высшего руководства или управления организации и отдельными лицами, процессами и деятельностью на системном и оперативном уровне организации;
  • Институционализировать подготовительные мероприятия по управлению критическими рисками на всех уровнях управления рисками, чтобы способствовать более эффективному, действенному и экономически выгодному осуществлению RMF;
  • Продемонстрировать, как структура кибербезопасности NIST может быть согласована с RMF и реализована с использованием установленных процессов управления рисками NIST;
  • Интегрировать процессы управления рисками конфиденциальности в RMF, чтобы лучше поддерживать потребности в защите конфиденциальности, за которые отвечают программы конфиденциальности;
  • Содействие разработке надежного безопасного программного обеспечения и систем путем согласования процессов системного проектирования на основе жизненного цикла в NIST SP 800-160, том 1, [17] с соответствующими задачами в РМФ;
  • Интегрировать концепции управления рисками в цепочке поставок (SCRM), связанные с безопасностью, в RMF для борьбы с ненадежными поставщиками, внедрением подделок, фальсификацией, несанкционированным производством, кражами, внедрением вредоносного кода, а также неэффективными методами производства и разработки во всем SDLC; и
  • Разрешить подход к выбору мер, генерируемый организацией, в дополнение к традиционному подходу к выбору базовых мер и поддержать использование консолидированного каталога средств контроля в NIST SP 800-53, редакция 5. [2]

Во второй версии также добавлен новый шаг «Подготовка» в нулевой позиции для достижения более эффективных, действенных и экономичных процессов управления рисками безопасности и конфиденциальности. [16]

См. также

[ редактировать ]
  1. ^ Перейти обратно: а б с д Объединенная целевая группа (декабрь 2018 г.), SP 800-37 Ред. 2 – Структура управления рисками для информационных систем и организаций: подход к жизненному циклу системы для обеспечения безопасности и конфиденциальности , NIST , doi : 10.6028/NIST.SP.800-37r2
  2. ^ Перейти обратно: а б с д Объединенная целевая группа (сентябрь 2020 г.), SP 800-53 Ред. 5 – Средства контроля безопасности и конфиденциальности для информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-53r5
  3. ^ Объединенная целевая группа (февраль 2010 г.), SP 800-37 Ред. 1 — Руководство по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности , NIST , doi : 10.6028/NIST.SP.800-37r1
  4. ^ Инициатива по трансформации Объединенной целевой группы (сентябрь 2012 г.), SP 800-30 Rev. 1 – Руководство по проведению оценок рисков , NIST , doi : 10.6028/NIST.SP.800-30r1
  5. ^ Перейти обратно: а б Демпси, Келли; Чавла, Нирали; Джонсон, Л.; Джонстон, Рональд; Джонс, Алисия; Оребо, Анджела; Шолль, Мэтью; Стайн, Кевин (сентябрь 2011 г.), SP 800-137 — Непрерывный мониторинг информационной безопасности (ISCM) для федеральных информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-137
  6. ^ Перейти обратно: а б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Фальсинг, Джим; Гулик, Джессика (август 2008 г.), SP 800-60 Vol. 1 Ред. 1 — Руководство по сопоставлению типов информации и информационных систем с категориями безопасности , NIST , doi : 10.6028/NIST.SP.800-60v1r1
  7. ^ Перейти обратно: а б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Ли, Аннабель; Фальсинг, Джим (август 2008 г.), SP 800-60 Vol. 2 Ред. 1 – Руководство по сопоставлению типов информации и информационных систем с безопасностью. Категории: Приложения , NIST , doi : 10.6028/NIST.SP.800-60v2r1
  8. ^ Перейти обратно: а б NIST (февраль 2004 г.), FIPS 199 — Стандарты категоризации безопасности федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.199
  9. ^ Перейти обратно: а б NIST (март 2006 г.), FIPS 200 — Минимальные требования безопасности для федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.200
  10. ^ Объединенная целевая группа (январь 2022 г.), SP 800-53A Ред. 5 – Оценка мер безопасности и конфиденциальности в информационных системах и организациях , NIST , doi : 10.6028/NIST.SP.800-53Ar5
  11. ^ Паб. L. Подсказка по публичному праву (США)   107–347 (текст) (PDF)
  12. ^ «Закон о модернизации федеральной информационной безопасности» . СНГА . Проверено 26 июля 2024 г.
  13. ^ Паб. L. Подсказка по публичному праву (США)   113–283 (текст) (PDF)
  14. ^ Самедзима, М.; Ядзима, Х. (2012). Структура управления ИТ-рисками для обеспечения непрерывности бизнеса путем анализа изменений информационной системы . IEEE Международная конференция по системам, человеку и кибернетике (SMC). стр. 1670–1674. дои : 10.1109/ICSMC.2012.6377977 .
  15. ^ Цзи, Чжиган (2009). Эмпирическое исследование структуры рисков на основе информационной системы предприятия . Международная конференция 2009 г. по будущей биомедицинской информационной инженерии (FBIE). стр. 187–190. дои : 10.1109/FBIE.2009.5405879 .
  16. ^ Перейти обратно: а б Отдел компьютерной безопасности, Лаборатория информационных технологий (18 декабря 2018 г.). «Обновление RMF: NIST публикует SP 800-37 Rev. 2 | CSRC» . ЦКРС | НИСТ . Проверено 26 июля 2021 г.
  17. ^ Росс, Рон; МакЭвилли, Майкл; Уинстед, Марк (ноябрь 2022 г.), SP 800–160 Vol. 1 Ред. 1 — Разработка надежных безопасных систем , номер документа : 10.6028/NIST.SP.800-160v1r1
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 9cb261d441d885bd6836cfa0ea89bb8b__1721984820
URL1:https://arc.ask3.ru/arc/aa/9c/8b/9cb261d441d885bd6836cfa0ea89bb8b.html
Заголовок, (Title) документа по адресу, URL1:
Risk Management Framework - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)