ledelse af organisatoriske risici er et centralt element i enhver organisation, information security program, især dem, som Department of Defense (DoD), entreprenører, at processen meget følsomme, kritiske data.,
Med dette i tankerne, National Institute of Standards and Technology (NIST) har udviklet Risk Management-Ramme (RMF), et sæt af processer for føderale organer til at integrere it-sikkerhed og risikostyring i deres systemer, udvikling livscyklus.
De Seks Trin af Risk Management-Ramme (RMF)
RMF består af seks trin til at hjælpe en organisation, skal du vælge den passende sikkerhedskontrol, der skal beskytte mod, at ressource -, aktiv-og operationel risiko., De er:
Trin 1: kategorisere systemet og de oplysninger, der behandles, lagres og overføres af systemet.Trin 2: Vælg et indledende sæt grundlæggende sikkerhedskontroller for systemet baseret på kategorisering, skræddersyning og supplering efter behov.Trin 3: Gennemfør sikkerhedskontrollerne, og dokument howr, hvordan de implementeres.
Trin 4: Vurder sikkerhedskontrollerne for at bestemme, i hvilket omfang de opfylder sikkerhedskravene til systemet.Trin 5: Godkend systemdrift baseret på en bestemmelse om, at risikoniveauet er acceptabelt.,Trin 6: Overvåg og vurder løbende udvalgte sikkerhedskontroller i systemet og rapporter systemets sikkerhedstilstand til relevante organisatoriske embedsmænd.
Hvem har brug for at implementere RMF og hvorfor?
industrier med kritiske eller meget følsomme databehov vedtager i stigende grad RMF i et forsøg på at klare voksende risiko og overholde deres strenge lovgivning— tænk forsvar (DFARS), sundhedspleje (HIPAA) og detailhandel / betaling (PCI).,
det er dog vores professionelle opfattelse, at enhver organisation, der håndterer følsomme data, kan drage fordel af at vedtage RMF. Hvorfor?
for det første fungerer RMF som et meget effektivt sikkerhedsplanlægningsværktøj, der giver dig et omfattende billede af din organisatoriske risiko. Dette hjælper med at informere en solid risikostyringsstrategi og fokusere din opmærksomhed på de områder, der betyder mest for din organisatoriske sikkerhed.,
for det andet er RMF ikke specifik for et agentur eller et organ, hvilket giver det den fleksibilitet, der skal vedtages og anvendes af organisationer i alle former, størrelser og brancher — inklusive din.
endelig ses RMF som guldstandarden, hvorpå mange risikostyringsmetoder modelleres. Af den grund ville det ikke være overraskende at se det mandat i en eller anden form i den nærmeste fremtid, især for højrisikoindustrier, men muligvis overalt.,
dette skete for nylig med EU ‘ s generelle databeskyttelsesforordning (GDPR), der gav mandat til, at enhver virksomhed, der håndterer følsomme data, overholder reglerne, uanset branche.
Ved at vedtage RMF i din egen organisation vil du automatisk overholde, hvis og når en lignende lovgivning træder i kraft på vores egne kyster, mens dine konkurrenter sandsynligvis vil scrambling for at indhente.
RMF og Forsvar Entreprenører
Entreprenører af DoD har et sæt af juridiske forpligtelser under Defense Federal Acquisition regulation Supplement, eller DFARS., Denne lovgivning kræver, at sådanne entreprenører til at udvise proaktiv overensstemmelse med blandt andre rammer, NIST Special Publication 800-171 (NIST 800-171), der fastlægger, hvordan de skal beskytte følsomme defense information og rapportere cybersecurity hændelser.
så hvis en entreprenør allerede er dfars-kompatibel, og de allerede implementerer sikkerhedskontrollen, der er beskrevet i NIST 800-171, hvorfor skal de også vedtage RMF? (Ikke Dfars kompatibel?, Do .nload vores 5 trin til Dfars Compliance Guide for at undgå sanktioner og gøre overholdelse til et dokumenteret, automatiseret resultat af den daglige drift.)
i samarbejde med vores forsvarskunder om at sikre deres erhvervelsesprocesser har vi konsekvent observeret behovet for sikkerhedskontrol ud over, hvad NIST 800-171 kræver. Det er præcis, hvad RMF giver, at være opmærksom på områder som modstandsdygtighed forbedringer og skræddersy krav.,
det er vores opfattelse, at RMF kan hjælpe forsvarsentreprenører med at planlægge risikobaseret implementering af sikkerhedskontrol på en meget mere bred, holistisk måde end dfars og NIST 800-171-overholdelse alene.
begrænsninger af RMF
da det er en ramme, fortæller NIST RMF dig ikke, hvordan du opnår de anbefalede trin. Det betyder, at for små og mellemstore organisationer uden betydelig informationssikkerhedserfaring eller ressourcerne til at få den, kan implementering af rammerne være en udfordring.,
Det er her, CyberSheath Kommer I
Vores cybersecurity eksperter, der kan hjælpe dig med at minimere din virksomheds risiko med omfattende risiko-planlægning, herunder gennemførelsen af NIST Risk Management-Ramme. Kontakt os nu for at finde ud af, hvordan vi kan hjælpe med at beskytte din organisation.