het beheer van organisatorische risico ‘ s is een belangrijk element in het informatiebeveiligingsprogramma van elke organisatie, in het bijzonder die zoals het Ministerie van Defensie (DoD) contractanten die zeer gevoelige, kritieke gegevens verwerken.,met dit in het achterhoofd heeft het National Institute of Standards and Technology (NIST) het Risk Management Framework (RMF) ontwikkeld, een reeks processen voor federale instanties om informatiebeveiliging en risicobeheer te integreren in hun levenscycli van systeemontwikkeling.
de zes stappen van het Risk Management Framework (RMF)
De RMF bestaat uit zes stappen om een organisatie te helpen de juiste beveiligingscontroles te selecteren om te beschermen tegen resource, asset en operationeel risico., Deze zijn:
Stap 1: Categoriseer het systeem en de informatie die door het systeem wordt verwerkt, opgeslagen en verzonden.
Stap 2: Selecteer een initiële set basisbeveiligingscontroles voor het systeem op basis van de categorisering, aanpassing en aanvulling indien nodig.
Stap 3: Implementeer de beveiligingscontroles en documenteer hoe ze worden geïmplementeerd.
Stap 4: Beoordeel de beveiligingscontroles om te bepalen in welke mate zij voldoen aan de beveiligingseisen voor het systeem.
Stap 5: de werking van het systeem toestaan op basis van de vaststelling dat het risiconiveau aanvaardbaar is.,
Stap 6: toezicht houden op en beoordelen van geselecteerde beveiligingscontroles in het systeem op een permanente basis en rapporteren van de veiligheidstoestand van het systeem aan geschikte organisatorische functionarissen.
wie moet de RMF implementeren en waarom?
industrieën met kritieke of zeer gevoelige gegevensbehoeften nemen in toenemende mate de RMF over in een poging om het hoofd te bieden aan groeiend risico en te voldoen aan hun strikte wetgeving— denk aan defensie (DFARS), gezondheidszorg (HIPAA) en retail/payment (PCI).,
echter, het is onze professionele mening dat elke organisatie die gevoelige gegevens verwerkt kan profiteren van het gebruik van de RMF. Waarom?
ten eerste functioneert de RMF als een zeer effectief beveiligingsplanninghulpmiddel dat u een uitgebreid beeld geeft van uw organisatorische risico. Dit helpt om een solide risicobeheerstrategie te informeren en uw aandacht te richten op de gebieden die het belangrijkst zijn voor uw organisatiebeveiliging.,
ten tweede is de RMF niet specifiek voor één agentschap of instantie, wat het de flexibiliteit geeft om te worden aangenomen en toegepast door organisaties van alle vormen, maten en industrieën — met inbegrip van de uwe.
ten slotte wordt de RMF gezien als de gouden standaard waarop veel risicobeheerbenaderingen zijn gemodelleerd. Om die reden, het zou niet verwonderlijk zijn om te zien het verplicht in een of andere vorm in de nabije toekomst, met name voor risico-industrieën, maar mogelijk over de hele linie.,
Dit gebeurde onlangs met de Algemene Verordening Gegevensbescherming (GDPR) van de EU, die verplichtte dat elk bedrijf dat gevoelige gegevens verwerkt, voldoet aan de regelgeving, ongeacht de sector.
door RMF in uw eigen organisatie aan te nemen, zult u automatisch compliant zijn als en wanneer een soortgelijke wetgeving van kracht wordt op onze eigen kusten, terwijl uw concurrenten waarschijnlijk zullen proberen in te halen.
RMF en Defensiecontractanten
contractanten van het Ministerie van Defensie hebben een reeks wettelijke verplichtingen onder het Defense Federal Acquisition Regulation Supplement, of DFARS., Deze wetgeving vereist dat dergelijke aannemers proactief voldoen aan, onder andere, de NIST speciale publicatie 800-171 (nist 800-171), waarin wordt uiteengezet hoe ze gevoelige defensie-informatie moeten beschermen en cybersecurity incidenten moeten melden.
dus, als een contractant al DFARS-compliant is, en ze al de beveiligingscontroles in NIST 800-171 implementeren, waarom moeten ze dan ook de RMF gebruiken? (Niet DFARS Compliant?, Download onze 5 stappen naar DFARS Compliance Guide om boetes te voorkomen en compliance een gedocumenteerd, geautomatiseerd resultaat van de dagelijkse werking te maken.)
bij het werken met onze defensiecliënten aan het beveiligen van hun acquisitieprocessen, hebben we consequent de behoefte aan beveiligingscontroles waargenomen die verder gaan dan wat NIST 800-171 vereist. Dat is precies wat de RMF biedt, met aandacht voor gebieden zoals veerkrachtverbeteringen en maatwerkvereisten.,
het is dan ook onze mening dat de RMF defensie-aannemers kan helpen bij het plannen van risicogebaseerde security control implementatie op een veel bredere, holistische manier dan DFARS en NIST 800-171 compliance alleen.
beperkingen van RMF
omdat het een framework is, vertelt de NIST RMF u niet hoe u de aanbevolen stappen kunt uitvoeren. Dat betekent dat Voor kleine en middelgrote organisaties zonder significante informatiebeveiliging ervaring, of de middelen om het te verkrijgen, de uitvoering van het raamwerk kan een uitdaging zijn.,
dat is waar CyberSheath komt in
onze cybersecurity experts kunnen u helpen om uw organisatorische risico te minimaliseren met uitgebreide risicomanagementplanning, inclusief de implementatie van het NIST Risk Management Framework. Neem nu contact met ons op om erachter te komen hoe we uw organisatie kunnen helpen beschermen.