styring av organisatoriske risiko er et sentralt element i enhver organisasjon er informasjon security-programmet, spesielt de som Department of Defense (DoD) entreprenører som behandler svært sensitive, kritiske data.,
Med dette i tankene, National Institute of Standards and Technology (NIST) har utviklet Rammeverk for risikostyring (RMF), et sett av prosesser for føderale organer for å integrere informasjon sikkerhet og risikostyring i sine systemer utvikling livssyklus.
De Seks Trinnene av Rammeverk for risikostyring (RMF)
RMF består av seks trinn for å hjelpe en organisasjon med å velge riktig sikkerhetskontroller for å beskytte mot ressurs -, id-og operasjonell risiko., De er:
Trinn 1: Kategorisering av systemet og den informasjon som behandles, lagres og overføres ved systemet.
Trinn 2: Velg et første sett av baseline security controls for system basert på kategorisering, skreddersøm og supplere etter behov.
Trinn 3: Gjennomføre sikkerhetskontroller og dokumentere hvordan de distribueres.
Trinn 4: Vurdere sikkerhetskontroller for å finne ut i hvilken grad de oppfyller de krav til sikkerhet for systemet.
Trinn 5: Godkjenne drift av systemet basert på en beslutning om at risikoen er akseptabel.,
Trinn 6: Overvåke og vurdere valgt sikkerhetskontroller i system på en kontinuerlig basis og rapportering sikkerhet tilstand av systemet til hensiktsmessige organisatoriske tjenestemenn.
Som Trenger å Gjennomføre RMF og Hvorfor?
Bransjer med kritisk eller meget sensitive data må i økende grad å ta i bruk RMF i et forsøk på å takle økende risiko og overholde sine strenge lovgivning— tror forsvar (DFARS), helsetjenester (FORSKRIFTER), og detaljhandel/betaling (PCI).,
Imidlertid, det er vår faglige vurdering at enhver organisasjon som håndterer sensitive data kan ha nytte av å ta i bruk RMF. Hvorfor?
Først, RMF fungerer som en meget effektiv sikkerhet planlegging verktøy som gir deg et helhetlig bilde av organisasjonens risiko. Dette bidrar til å informere en solid risikostyring strategi og fokusere oppmerksomheten på de områdene som betyr mest for din organisatorisk sikkerhet.,
Andre, RMF er ikke spesifikke for noen et byrå eller for kroppen, som gir den fleksibilitet til å bli vedtatt og brukt av organisasjoner i alle former, størrelser, og bransjer — inkludert din.
til Slutt, RMF er sett på som gullstandarden som mange risikostyring tilnærminger er modellert. Av den grunn, det ville ikke være overraskende å se at det mandat i noen form i nær fremtid, spesielt for høy-risiko bransjer, men muligens på tvers av brettet.,
Dette skjedde nylig med EU ‘ s General Data Protection Regulation (GDPR), som mandat at noen og enhver selskapet håndtering av sensitive data som er i samsvar med regelverket, uavhengig av bransje.
Ved å vedta RMF i egen organisasjon, vil du automatisk bli kompatibel hvis og når noen liknende lovgivning trer i kraft på vår egen kysten, mens dine konkurrenter vil trolig bli desperat å fange opp.
RMF og Forsvar Kontraktører
Entreprenører av DoD har et sett av rettslige forpliktelser under Defense Federal Acquisition Regulation Supplement, eller DFARS., Denne lovgivningen krever slike entreprenører for å demonstrere proaktiv samsvar med blant annet rammer den NIST Special Publication 800-171 (NIST 800-171), som legger ut om hvordan de skal beskytte sensitive forsvar informasjon og rapportere hendelser cybersecurity.
Så, hvis en entreprenør er allerede DFARS-kompatibel, og de er allerede å gjennomføre sikkerhetskontroller satt ut i NIST 800-171, hvorfor de trenger til å vedta RMF også? (Ikke DFARS Kompatibel?, Last ned vår 5 Trinn til DFARS Samsvar Guide for å unngå utvisninger og gjøre samsvar med en dokumentert, automatiserte utfallet av dag-til-dag operasjon.)
I arbeidet med vårt forsvar klienter på å sikre sine oppkjøp prosesser, har vi konsekvent observert behovet for sikkerhet kontrollerer utover hva som NIST 800-171 krever. Det er akkurat hva RMF gir, betaler oppmerksomhet til områder som standhaftighet forbedringer og tilpasninger som trengs.,
Det er vår mening, at den RMF kan hjelpe forsvar entreprenører for å planlegge risiko-basert sikkerhet kontroll implementering i en mye mer omfattende, helhetlig måte enn DFARS og NIST 800-171 samsvar alene.
Begrensninger av RMF
Fordi det er et rammeverk for NIST RMF ikke fortelle deg hvordan du skal oppnå de anbefalte trinnene. Det betyr at for små og mellomstore organisasjoner uten vesentlig informasjon sikkerhet erfaring, eller ressurser til å innhente den, for å implementere rammeverket kan være en utfordring.,
Det er Der CyberSheath Kommer I
Vår cybersecurity eksperter kan hjelpe deg med å minimere organisatorisk risiko med helhetlig risikostyring planlegging, herunder gjennomføringen av NIST Rammeverk for risikostyring. Kontakt oss nå for å finne ut hvordan vi kan bidra til å beskytte organisasjonen.