Rámec řízení rizik - Risk management framework - Wikipedia

Rámec pro řízení rizik (NIST Special Publication 800-37).

The Rámec řízení rizik je Spojené státy politika a standardy federální vlády pro zabezpečení zabezpečených informačních systémů (počítačů a sítí) vyvinutých Národní institut pro standardy a technologie.

Dvě hlavní publikace, které pokrývají podrobnosti RMF, jsou Speciální publikace NIST 800-37 "Průvodce aplikací rámce pro řízení rizik na federální informační systémy" a Speciální publikace NIST 800-53 „„ Kontrola zabezpečení a soukromí pro federální informační systémy a organizace “.

Zvláštní publikace NIST 800-37 „Příručka k uplatňování rámce pro řízení rizik na federální informační systémy“, vyvinutá pracovní skupinou Společné pracovní skupiny pro transformační iniciativu, transformuje tradiční Certifikace a akreditace (C&A) do šestistupňového rámce pro řízení rizik (RMF).

Rámec řízení rizik (RMF), znázorněný vpravo, poskytuje disciplinovaný a strukturovaný proces, který se integruje informační bezpečnost a řízení rizik činnosti do životní cyklus vývoje systému.^[1]

Kroky RMF zahrnují:

Zařadit do kategorií informační systém a informace zpracovávané, ukládané a přenášené tímto systémem na základě analýzy dopadů. Identifikovaná strana.
Vybrat počáteční sada základních bezpečnostních kontrol pro informační systém na základě kategorizace zabezpečení; přizpůsobení a doplnění základní úrovně kontroly zabezpečení podle potřeby na základě organizačního posouzení rizik a místních podmínek. Pokud se na systém vztahují překryvy, budou přidány v tomto kroku
Nářadí bezpečnostní kontroly uvedené v kroku 2.
Posoudit: třetí strana posoudí kontroly a ověří, zda jsou kontroly v systému správně použity.
Povolit: informačnímu systému je uděleno nebo odepřeno oprávnění k provozu (ATO), v některých případech může být odloženo, zatímco některé položky jsou opraveny. ATO je založen na zprávě z fáze hodnocení.
Monitor: bezpečnostní kontroly v informačním systému jsou monitorovány předem naplánovaným způsobem zdokumentovaným dříve v procesu. ATO je dobré po dobu 3 let, každé 3 roky je třeba postup opakovat.

Rizika

Během svého životního cyklu informační systém se setká s mnoha typy riziko které ovlivňují celkovou bezpečnostní pozici systému a bezpečnostní kontroly, které musí být implementovány. Proces RMF podporuje včasnou detekci a řešení rizik. Rizika lze kategorizovat na vysoké úrovni jako rizika infrastruktury, rizika projektů, rizika aplikací, rizika informačních aktiv, rizika pokračování činnosti, rizika outsourcingu, vnější rizika a strategická rizika. Rizika infrastruktury se zaměřují na spolehlivost počítačů a síťových zařízení. Rizika projektu se zaměřují na rozpočet, časovou osu a kvalitu systému. Rizika aplikací se zaměřují na výkon a celkovou kapacitu systému. Rizika informačních aktiv se zaměřují na poškození, ztrátu nebo vyzrazení neoprávněné části informačních aktiv. Kontinuita podnikání rizika se zaměřují na udržení spolehlivého systému s maximální dobou provozu. Rizika outsourcingu se zaměřují na dopad dodavatelů třetích stran, kteří splňují jejich požadavky. ^[2] Vnější rizika jsou položky mimo kontrolu informačního systému, které mají dopad na bezpečnost systému. Strategická rizika se zaměřují na potřebu funkcí informačního systému sladit s obchodní strategií, kterou systém podporuje. ^[3]

Viz také

Proces certifikace a akreditace ministerstva obrany, předchozí program
Kvantifikace kybernetického rizika

Reference

^ Průvodce aplikací rámce pro řízení rizik na federální informační systémy
^ Rámec řízení rizik IT pro kontinuitu podnikání změnou analýzy informačního systému
^ Empirická studie rámce rizik založená na podnikovém informačním systému

externí odkazy

[1] Průvodce aplikací rámce pro řízení rizik na federální informační systémy

[2] Rámec řízení rizik IT pro kontinuitu podnikání změnou analýzy informačního systému

[3] Empirická studie rámce rizik založená na podnikovém informačním systému

[1]

[2]

[3]