Структура управления рисками - Risk management framework
В Система управления рисками это Соединенные Штаты политика и стандарты федерального правительства по обеспечению безопасности информационных систем (компьютеров и сетей), разработанные Национальный институт стандартов и технологий.
Двумя основными публикациями, посвященными деталям RMF, являются: Специальная публикация NIST 800-37, «Руководство по применению концепции управления рисками к федеральным информационным системам» и Специальная публикация NIST 800-53, «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций».
Специальная публикация NIST 800-37 «Руководство по применению концепции управления рисками в федеральных информационных системах», разработанная Рабочей группой инициативы по трансформации Объединенной целевой группы, трансформирует традиционные Сертификация и аккредитация (C&A) в шестиступенчатую структуру управления рисками (RMF).
Структура управления рисками (RMF), показанная справа, обеспечивает дисциплинированный и структурированный процесс, который объединяет информационная безопасность и управление рисками деятельности в жизненный цикл разработки системы.[1]
Этапы RMF включают:
- Категоризировать информационная система и информация, обрабатываемая, хранимая и передаваемая этой системой на основе анализа воздействия. Идентифицирован жилетный отряд.
- Выбирать начальный набор базовых мер безопасности для информационной системы на основе категоризации безопасности; адаптация и дополнение базовой линии контроля безопасности по мере необходимости на основе организационной оценки риска и местных условий. Если к системе применимы какие-либо оверлеи, они будут добавлены на этом этапе.
- Воплощать в жизнь меры безопасности, указанные на шаге 2.
- Оценивать: третья сторона оценивает элементы управления и проверяет, правильно ли они применены к системе.
- Авторизовать: информационной системе предоставлено или отказано в разрешении на работу (ATO), в некоторых случаях оно может быть отложено на время исправления некоторых элементов. ATO основывается на отчете по этапу оценки.
- Монитор: меры безопасности в информационной системе контролируются заранее запланированным образом, задокументированным ранее в процессе. АТО действует 3 года, каждые 3 года процесс нужно повторять.
Риски
В течение своего жизненного цикла информационная система столкнется со многими типами рисковать которые влияют на общее состояние безопасности системы и меры безопасности, которые должны быть реализованы. Процесс RMF поддерживает раннее обнаружение и устранение рисков. Риски можно классифицировать на высоком уровне как риски инфраструктуры, риски проектов, риски приложений, риски информационных активов, риски непрерывности бизнеса, риски аутсорсинга, внешние риски и стратегические риски. Инфраструктурные риски сосредоточены на надежности компьютеров и сетевого оборудования. Риски проекта сосредоточены на бюджете, сроках и качестве системы. Риски приложений связаны с производительностью и общей емкостью системы. Риски информационных активов сосредоточены на повреждении, потере или раскрытии неавторизованной части информационных активов. Непрерывность бизнеса риски сосредоточены на поддержании надежной системы с максимальным временем безотказной работы. Риски аутсорсинга связаны с влиянием стороннего поставщика, выполняющего их требования. [2] Внешние риски - это элементы, находящиеся вне контроля информационной системы, которые влияют на безопасность системы. Стратегические риски сосредоточены на необходимости согласования функций информационной системы с бизнес-стратегией, которую поддерживает система. [3]
Смотрите также
- Процесс сертификации и аккредитации Министерства обороны США, предыдущая программа
- Количественная оценка кибер-рисков
Рекомендации
- ^ Руководство по применению концепции управления рисками в федеральных информационных системах
- ^ Структура управления ИТ-рисками для обеспечения непрерывности бизнеса путем анализа изменений информационной системы
- ^ Эмпирическое исследование структуры рисков на основе информационной системы предприятия