Site Overlay

förstå NIST Risk Management Framework (RMF)

hanteringen av organisatorisk risk är en viktig del i någon organisations informationssäkerhetsprogram, särskilt de som Department of Defense (DoD) entreprenörer som behandlar mycket känsliga, kritiska data.,

med detta i åtanke har National Institute of Standards and Technology (NIST) utvecklat Risk Management Framework (RMF), en uppsättning processer för federala organ för att integrera informationssäkerhet och riskhantering i sina systemutvecklingslivscykler.

de sex stegen i RISKHANTERINGSRAMEN (RMF)

RMF består av sex steg för att hjälpa en organisation att välja lämpliga säkerhetskontroller för att skydda mot resurs -, tillgångs-och operativ risk., De är:

Steg 1: kategorisera systemet och den information som behandlas, lagras och överförs av systemet.

steg 2: Välj en första uppsättning grundläggande säkerhetskontroller för systemet baserat på kategorisering, skräddarsy och komplettera efter behov.

steg 3: implementera säkerhetskontrollerna och dokumentera hur de distribueras.

steg 4: bedöma säkerhetskontrollerna för att avgöra i vilken utsträckning de uppfyller säkerhetskraven för systemet.

Steg 5: godkänn systemdrift baserat på en bestämning av att risknivån är acceptabel.,

steg 6: övervaka och bedöma valda säkerhetskontroller i systemet löpande och rapportera systemets säkerhetstillstånd till lämpliga organisatoriska tjänstemän.

Vem behöver implementera RMF och varför?

industrier med kritiska eller mycket känsliga databehov antar alltmer RMF i ett försök att hantera växande risker och följa deras strikta lagstiftning— think defense (DFARS), healthcare (HIPAA) och retail/payment (PCI).,

det är dock vår professionella åsikt att varje organisation som hanterar känsliga data kan dra nytta av att anta RMF. Varför?

först fungerar RMF som ett mycket effektivt säkerhetsplaneringsverktyg som ger dig en omfattande bild av din organisatoriska risk. Detta bidrar till att informera en solid riskhanteringsstrategi och fokusera din uppmärksamhet på de områden som betyder mest för din organisatoriska säkerhet.,

För det andra är RMF inte specifikt för någon byrå eller organ, vilket ger den flexibilitet som ska antas och tillämpas av organisationer av alla former, storlekar och branscher — inklusive din.

slutligen ses RMF som den guldstandard som många riskhanteringsmetoder modelleras på. Av den anledningen skulle det inte vara förvånande att se det mandat i någon form inom en snar framtid, särskilt för högriskbranscher, men eventuellt över hela linjen.,

detta hände nyligen med EU: s allmänna dataskyddsförordning (GDPR), som gav i uppdrag att alla företag som hanterar känsliga uppgifter följer reglerna, oavsett bransch.

genom att anta RMF i din egen organisation, kommer du automatiskt att följa om och när någon liknande lagstiftning träder i kraft på våra egna stränder, medan dina konkurrenter sannolikt kommer att klättra för att komma ikapp.

RMF och försvar entreprenörer

entreprenörer av DoD har en uppsättning rättsliga skyldigheter enligt Defense Federal Acquisition Regulation Supplement, eller DFARS., Denna lagstiftning kräver att sådana entreprenörer demonstrerar proaktiv överensstämmelse med bland annat NIST: s särskilda publikation 800-171 (NIST 800-171), som anger hur de måste skydda känslig försvarsinformation och rapportera cybersäkerhetsincidenter.

Så, om en entreprenör redan är DFARS-kompatibel, och de redan genomför de säkerhetskontroller som anges i NIST 800-171, varför måste de Anta RMF också? (Inte DFARS kompatibel?, Ladda ner våra 5 steg till DFARS Compliance Guide för att undvika påföljder och göra överensstämmelse till ett dokumenterat, automatiserat resultat av den dagliga driften.)

i arbetet med våra försvarskunder på att säkra sina förvärvsprocesser har vi konsekvent observerat behovet av säkerhetskontroller utöver vad NIST 800-171 kräver. Det är precis vad RMF ger, uppmärksamma områden som återhämtningsförbättringar och skräddarsydda krav.,

det är vår åsikt att RMF kan hjälpa försvarsleverantörer att planera riskbaserad säkerhetsstyrningsimplementering på ett mycket bredare, holistiskt sätt än DFARS och NIST 800-171-överensstämmelse ensam.

begränsningar av RMF

eftersom det är ett ramverk, berättar NIST RMF inte hur du ska uppnå de rekommenderade stegen. Det innebär att för små och medelstora organisationer utan betydande informationssäkerhet erfarenhet, eller resurser för att få det, genomförande av ramen kan vara en utmaning.,

det är där CyberSheath kommer in

våra cybersecurity-experter kan hjälpa dig att minimera din organisatoriska risk med omfattande riskhanteringsplanering, inklusive genomförandet av NIST-Riskhanteringsramen. Kontakta oss nu för att ta reda på hur vi kan hjälpa till att skydda din organisation.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *