Структура управления рисками - Risk management framework - Wikipedia

Структура управления рисками (Специальная публикация NIST 800-37).

В Система управления рисками это Соединенные Штаты политика и стандарты федерального правительства по обеспечению безопасности информационных систем (компьютеров и сетей), разработанные Национальный институт стандартов и технологий.

Двумя основными публикациями, посвященными деталям RMF, являются: Специальная публикация NIST 800-37, «Руководство по применению концепции управления рисками к федеральным информационным системам» и Специальная публикация NIST 800-53, «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций».

Специальная публикация NIST 800-37 «Руководство по применению концепции управления рисками в федеральных информационных системах», разработанная Рабочей группой инициативы по трансформации Объединенной целевой группы, трансформирует традиционные Сертификация и аккредитация (C&A) в шестиступенчатую структуру управления рисками (RMF).

Структура управления рисками (RMF), показанная справа, обеспечивает дисциплинированный и структурированный процесс, который объединяет информационная безопасность и управление рисками деятельности в жизненный цикл разработки системы.[1]

Этапы RMF включают:

  • Категоризировать информационная система и информация, обрабатываемая, хранимая и передаваемая этой системой на основе анализа воздействия. Идентифицирован жилетный отряд.
  • Выбирать начальный набор базовых мер безопасности для информационной системы на основе категоризации безопасности; адаптация и дополнение базовой линии контроля безопасности по мере необходимости на основе организационной оценки риска и местных условий. Если к системе применимы какие-либо оверлеи, они будут добавлены на этом этапе.
  • Воплощать в жизнь меры безопасности, указанные на шаге 2.
  • Оценивать: третья сторона оценивает элементы управления и проверяет, правильно ли они применены к системе.
  • Авторизовать: информационной системе предоставлено или отказано в разрешении на работу (ATO), в некоторых случаях оно может быть отложено на время исправления некоторых элементов. ATO основывается на отчете по этапу оценки.
  • Монитор: меры безопасности в информационной системе контролируются заранее запланированным образом, задокументированным ранее в процессе. АТО действует 3 года, каждые 3 года процесс нужно повторять.

Риски

В течение своего жизненного цикла информационная система столкнется со многими типами рисковать которые влияют на общее состояние безопасности системы и меры безопасности, которые должны быть реализованы. Процесс RMF поддерживает раннее обнаружение и устранение рисков. Риски можно классифицировать на высоком уровне как риски инфраструктуры, риски проектов, риски приложений, риски информационных активов, риски непрерывности бизнеса, риски аутсорсинга, внешние риски и стратегические риски. Инфраструктурные риски сосредоточены на надежности компьютеров и сетевого оборудования. Риски проекта сосредоточены на бюджете, сроках и качестве системы. Риски приложений связаны с производительностью и общей емкостью системы. Риски информационных активов сосредоточены на повреждении, потере или раскрытии неавторизованной части информационных активов. Непрерывность бизнеса риски сосредоточены на поддержании надежной системы с максимальным временем безотказной работы. Риски аутсорсинга связаны с влиянием стороннего поставщика, выполняющего их требования. [2] Внешние риски - это элементы, находящиеся вне контроля информационной системы, которые влияют на безопасность системы. Стратегические риски сосредоточены на необходимости согласования функций информационной системы с бизнес-стратегией, которую поддерживает система. [3]

Смотрите также

Рекомендации

  1. ^ Руководство по применению концепции управления рисками в федеральных информационных системах
  2. ^ Структура управления ИТ-рисками для обеспечения непрерывности бизнеса путем анализа изменений информационной системы
  3. ^ Эмпирическое исследование структуры рисков на основе информационной системы предприятия

внешняя ссылка