Система управления рисками

Структура управления рисками (RMF) — это федерального правительства США, руководство, стандарт и процесс управления рисками призванные обеспечить безопасность информационных систем (компьютеров и сетей), разработанные Национальным институтом стандартов и технологий (NIST). RMF, показанный на диаграмме справа, обеспечивает дисциплинированный и структурированный процесс, который интегрирует действия по информационной безопасности , конфиденциальности и управлению рисками в жизненный цикл разработки системы . ^[1]^[2]

Обзор

Основным документом, описывающим детали RMF, является специальная публикация NIST 800-37 , «Структура управления рисками для информационных систем и организаций: подход к жизненному циклу системы для обеспечения безопасности и конфиденциальности». ^[1] Это вторая редакция данного документа, которая заменяет первую редакцию «Руководства по применению структуры управления рисками в федеральных информационных системах». ^[3]

Различные этапы RMF связаны с несколькими другими стандартами и рекомендациями NIST, включая специальную публикацию NIST 800-53 , «Контроль безопасности и конфиденциальности для информационных систем и организаций».

Шаги RMF включают в себя:

Подготовьтесь к выполнению RMF, установив контекст и приоритеты для управления рисками безопасности и конфиденциальности на уровне организации и системы. ^[4]^[5]
Классифицировать информационную систему и информацию, обрабатываемую, хранимую и передаваемую этой системой, на основе анализа воздействия. ^[6]^[7]^[8]
Выберите начальный набор базовых мер безопасности для информационной системы на основе категоризации безопасности; адаптация и дополнение базового уровня мер безопасности по мере необходимости на основе организационной оценки риска и местных условий. Если к системе применимы какие-либо наложения, они будут добавлены на этом этапе. ^[2]^[9]
Внедрите меры безопасности, определенные на шаге 2. ^[2]
Оценка : третья сторона оценивает средства контроля и проверяет, правильно ли применяются средства контроля к системе. ^[10]
Авторизация : информационной системе предоставляется или отказано в разрешении на эксплуатацию (ATO), в некоторых случаях оно может быть отложено, пока определенные элементы не будут исправлены. ATO основывается на отчете этапа оценки. ATO обычно предоставляется на срок до 3 лет, и процесс необходимо повторить в конце периода. ^[1]
Постоянно контролируйте меры безопасности в информационной системе заранее запланированным образом, как описано ранее в процессе. ^[5]

История

Закон о тентрилистском правительстве 2002 года (публичный закон 107-347) под названием FISMA 2002 (Закон об управлении федеральной информационной безопасностью) был законом, принятым в 2002 году для защиты интересов экономической и национальной безопасности Соединенных Штатов, связанных с информационной безопасностью . ^[11]

Позже Конгресс принял FISMA 2014 (Закон о модернизации федеральной информационной безопасности), чтобы внести улучшения по сравнению с FISMA 2002 путем:

Кодификация полномочий Министерства внутренней безопасности (DHS) по администрированию реализации политики информационной безопасности для систем федеральной исполнительной власти, не связанных с национальной безопасностью, включая предоставление технической помощи и внедрение технологий в такие системы;
Внесение изменений и уточнение полномочий Управления управления и бюджета (OMB) по надзору за практикой информационной безопасности федеральных агентств; и по
Требовать от OMB внести поправки или пересмотреть OMB A-130, чтобы «устранить неэффективную и расточительную отчетность». ^[12]

FISMA требовала защиты информации и информационных систем от несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения для обеспечения конфиденциальности, целостности и доступности. ^[13] Раздел III FISMA 2002 возложил на NIST ответственность за стандарты и рекомендации, включая разработку:

Стандарты, которые должны использоваться всеми федеральными агентствами для классификации всей информации и информационных систем, собранных или поддерживаемых каждым агентством или от его имени, исходя из целей обеспечения соответствующего уровня информационной безопасности в соответствии с диапазоном уровней риска. Эту задачу выполнила Публикация ФИПС 199; ^[8]
Руководящие принципы, рекомендующие типы информации и информационных систем, которые следует включить в каждую категорию. Эту задачу выполнила специальная публикация NIST 800-60, тома 1 и 2; ^[6]^[7] и
Минимальные требования информационной безопасности (т. е. управленческий, операционный и технический контроль) для информации и информационных систем каждой такой категории. Эта задача была решена путем разработки Публикации FIPS 200. ^[9]

NIST 800-37 Risk Management Framework (RMF) представляет собой набор руководств по управлению рисками кибербезопасности, призванных помочь организациям управлять рисками безопасности и конфиденциальности и соответствовать требованиям Федерального закона о модернизации информационной безопасности 2014 года (FISMA ), Закона о конфиденциальности 1974 года. , политики OMB и федеральные стандарты обработки информации , а также другие законы, постановления и политики. ^[1]

Риски

В течение своего жизненного цикла информационная система сталкивается со многими типами рисков , которые влияют на ее общее состояние безопасности и меры безопасности, которые необходимо реализовать. Процесс RMF поддерживает раннее обнаружение и устранение рисков. На высоком уровне риски можно разделить на инфраструктурные, проектные, прикладные, информационные активы, непрерывность бизнеса, аутсорсинг, внешние и стратегические риски. Инфраструктурные риски сосредоточены на надежности компьютеров и сетевого оборудования. Риски проекта сосредоточены на бюджете, сроках и качестве системы. Риски приложений сосредоточены на производительности и общей емкости системы. Риски информационных активов связаны с потенциальным повреждением или потерей информационных активов и несанкционированным раскрытием этих активов. Риски непрерывности бизнеса связаны с поддержанием надежной системы с максимальным временем безотказной работы. Риски аутсорсинга связаны с влиянием сторонних поставщиков на выполнение их требований. ^[14] Внешние риски — это факторы, находящиеся вне контроля информационной системы, которые могут повлиять на ее безопасность. Стратегические риски связаны с необходимостью согласования функций информационной системы с бизнес-стратегией, которую поддерживает система. ^[15]

Обновления второй версии

Основные цели обновления до версии 2 включали следующее: ^[16]

Обеспечить более тесную связь и связь между процессами и деятельностью по управлению рисками на уровне высшего руководства или управления организации и отдельными лицами, процессами и деятельностью на системном и оперативном уровне организации;
Институционализировать подготовительные мероприятия по управлению критическими рисками на всех уровнях управления рисками, чтобы способствовать более эффективному, действенному и экономически выгодному осуществлению RMF;
Продемонстрировать, как структура кибербезопасности NIST может быть согласована с RMF и реализована с использованием установленных процессов управления рисками NIST;
Интегрировать процессы управления рисками конфиденциальности в RMF, чтобы лучше поддерживать потребности в защите конфиденциальности, за которые отвечают программы конфиденциальности;
Содействие разработке надежного безопасного программного обеспечения и систем путем согласования процессов системного проектирования на основе жизненного цикла в NIST SP 800-160, том 1, ^[17] с соответствующими задачами в РМФ;
Интегрировать концепции управления рисками в цепочке поставок (SCRM), связанные с безопасностью, в RMF для борьбы с ненадежными поставщиками, внедрением подделок, фальсификацией, несанкционированным производством, кражами, внедрением вредоносного кода, а также неэффективными методами производства и разработки во всем SDLC; и
Разрешить подход к выбору мер, генерируемый организацией, в дополнение к традиционному подходу к выбору базовых мер и поддержать использование консолидированного каталога средств контроля в NIST SP 800-53, редакция 5. ^[2]

Во второй версии также добавлен новый шаг «Подготовка» в нулевой позиции для достижения более эффективных, действенных и экономичных процессов управления рисками безопасности и конфиденциальности. ^[16]

См. также

Ссылки

^ Перейти обратно: ^а ^б ^с ^д Объединенная целевая группа (декабрь 2018 г.), SP 800-37 Ред. 2 – Структура управления рисками для информационных систем и организаций: подход к жизненному циклу системы для обеспечения безопасности и конфиденциальности , NIST , doi : 10.6028/NIST.SP.800-37r2
^ Перейти обратно: ^а ^б ^с ^д Объединенная целевая группа (сентябрь 2020 г.), SP 800-53 Ред. 5 – Средства контроля безопасности и конфиденциальности для информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-53r5
^ Объединенная целевая группа (февраль 2010 г.), SP 800-37 Ред. 1 — Руководство по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности , NIST , doi : 10.6028/NIST.SP.800-37r1
^ Инициатива по трансформации Объединенной целевой группы (сентябрь 2012 г.), SP 800-30 Rev. 1 – Руководство по проведению оценок рисков , NIST , doi : 10.6028/NIST.SP.800-30r1
^ Перейти обратно: ^а ^б Демпси, Келли; Чавла, Нирали; Джонсон, Л.; Джонстон, Рональд; Джонс, Алисия; Оребо, Анджела; Шолль, Мэтью; Стайн, Кевин (сентябрь 2011 г.), SP 800-137 — Непрерывный мониторинг информационной безопасности (ISCM) для федеральных информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-137
^ Перейти обратно: ^а ^б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Фальсинг, Джим; Гулик, Джессика (август 2008 г.), SP 800-60 Vol. 1 Ред. 1 — Руководство по сопоставлению типов информации и информационных систем с категориями безопасности , NIST , doi : 10.6028/NIST.SP.800-60v1r1
^ Перейти обратно: ^а ^б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Ли, Аннабель; Фальсинг, Джим (август 2008 г.), SP 800-60 Vol. 2 Ред. 1 – Руководство по сопоставлению типов информации и информационных систем с безопасностью. Категории: Приложения , NIST , doi : 10.6028/NIST.SP.800-60v2r1
^ Перейти обратно: ^а ^б NIST (февраль 2004 г.), FIPS 199 — Стандарты категоризации безопасности федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.199
^ Перейти обратно: ^а ^б NIST (март 2006 г.), FIPS 200 — Минимальные требования безопасности для федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.200
^ Объединенная целевая группа (январь 2022 г.), SP 800-53A Ред. 5 – Оценка мер безопасности и конфиденциальности в информационных системах и организациях , NIST , doi : 10.6028/NIST.SP.800-53Ar5
^ Паб. L. Подсказка по публичному праву (США) 107–347 (текст) (PDF)
^ «Закон о модернизации федеральной информационной безопасности» . СНГА . Проверено 26 июля 2024 г.
^ Паб. L. Подсказка по публичному праву (США) 113–283 (текст) (PDF)
^ Самедзима, М.; Ядзима, Х. (2012). Структура управления ИТ-рисками для обеспечения непрерывности бизнеса путем анализа изменений информационной системы . IEEE Международная конференция по системам, человеку и кибернетике (SMC). стр. 1670–1674. дои : 10.1109/ICSMC.2012.6377977 .
^ Цзи, Чжиган (2009). Эмпирическое исследование структуры рисков на основе информационной системы предприятия . Международная конференция 2009 г. по будущей биомедицинской информационной инженерии (FBIE). стр. 187–190. дои : 10.1109/FBIE.2009.5405879 .
^ Перейти обратно: ^а ^б Отдел компьютерной безопасности, Лаборатория информационных технологий (18 декабря 2018 г.). «Обновление RMF: NIST публикует SP 800-37 Rev. 2 | CSRC» . ЦКРС | НИСТ . Проверено 26 июля 2021 г.
^ Росс, Рон; МакЭвилли, Майкл; Уинстед, Марк (ноябрь 2022 г.), SP 800–160 Vol. 1 Ред. 1 — Разработка надежных безопасных систем , номер документа : 10.6028/NIST.SP.800-160v1r1

Внешние ссылки

Обзор системы управления рисками
Индексатор управления RMF
Структура кибербезопасности NIST (CSF)
Стандарт анализа рисков Duty of Care (DoCRA) — методы определения приемлемых уровней риска и обеспечения разумной безопасности.

[800-37-1] Перейти обратно: ^а ^б ^с ^д Объединенная целевая группа (декабрь 2018 г.), SP 800-37 Ред. 2 – Структура управления рисками для информационных систем и организаций: подход к жизненному циклу системы для обеспечения безопасности и конфиденциальности , NIST , doi : 10.6028/NIST.SP.800-37r2

[800-53-2] Перейти обратно: ^а ^б ^с ^д Объединенная целевая группа (сентябрь 2020 г.), SP 800-53 Ред. 5 – Средства контроля безопасности и конфиденциальности для информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-53r5

[3] Объединенная целевая группа (февраль 2010 г.), SP 800-37 Ред. 1 — Руководство по применению структуры управления рисками к федеральным информационным системам: подход к жизненному циклу безопасности , NIST , doi : 10.6028/NIST.SP.800-37r1

[4] Инициатива по трансформации Объединенной целевой группы (сентябрь 2012 г.), SP 800-30 Rev. 1 – Руководство по проведению оценок рисков , NIST , doi : 10.6028/NIST.SP.800-30r1

[800-137-5] Перейти обратно: ^а ^б Демпси, Келли; Чавла, Нирали; Джонсон, Л.; Джонстон, Рональд; Джонс, Алисия; Оребо, Анджела; Шолль, Мэтью; Стайн, Кевин (сентябрь 2011 г.), SP 800-137 — Непрерывный мониторинг информационной безопасности (ISCM) для федеральных информационных систем и организаций , NIST , doi : 10.6028/NIST.SP.800-137

[800-60v1-6] Перейти обратно: ^а ^б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Фальсинг, Джим; Гулик, Джессика (август 2008 г.), SP 800-60 Vol. 1 Ред. 1 — Руководство по сопоставлению типов информации и информационных систем с категориями безопасности , NIST , doi : 10.6028/NIST.SP.800-60v1r1

[800-60v2-7] Перейти обратно: ^а ^б Стайн, Кевин; Кисель, Ричард; Баркер, Уильям; Ли, Аннабель; Фальсинг, Джим (август 2008 г.), SP 800-60 Vol. 2 Ред. 1 – Руководство по сопоставлению типов информации и информационных систем с безопасностью. Категории: Приложения , NIST , doi : 10.6028/NIST.SP.800-60v2r1

[fips-199-8] Перейти обратно: ^а ^б NIST (февраль 2004 г.), FIPS 199 — Стандарты категоризации безопасности федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.199

[fips-200-9] Перейти обратно: ^а ^б NIST (март 2006 г.), FIPS 200 — Минимальные требования безопасности для федеральной информации и информационных систем , doi : 10.6028/NIST.FIPS.200

[10] Объединенная целевая группа (январь 2022 г.), SP 800-53A Ред. 5 – Оценка мер безопасности и конфиденциальности в информационных системах и организациях , NIST , doi : 10.6028/NIST.SP.800-53Ar5

[11] Паб. L. Подсказка по публичному праву (США) 107–347 (текст) (PDF)

[12] «Закон о модернизации федеральной информационной безопасности» . СНГА . Проверено 26 июля 2024 г.

[13] Паб. L. Подсказка по публичному праву (США) 113–283 (текст) (PDF)

[14] Самедзима, М.; Ядзима, Х. (2012). Структура управления ИТ-рисками для обеспечения непрерывности бизнеса путем анализа изменений информационной системы . IEEE Международная конференция по системам, человеку и кибернетике (SMC). стр. 1670–1674. дои : 10.1109/ICSMC.2012.6377977 .

[15] Цзи, Чжиган (2009). Эмпирическое исследование структуры рисков на основе информационной системы предприятия . Международная конференция 2009 г. по будущей биомедицинской информационной инженерии (FBIE). стр. 187–190. дои : 10.1109/FBIE.2009.5405879 .

[rev2-16] Перейти обратно: ^а ^б Отдел компьютерной безопасности, Лаборатория информационных технологий (18 декабря 2018 г.). «Обновление RMF: NIST публикует SP 800-37 Rev. 2 | CSRC» . ЦКРС | НИСТ . Проверено 26 июля 2021 г.

[17] Росс, Рон; МакЭвилли, Майкл; Уинстед, Марк (ноябрь 2022 г.), SP 800–160 Vol. 1 Ред. 1 — Разработка надежных безопасных систем , номер документа : 10.6028/NIST.SP.800-160v1r1

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]