Das Management des organisatorischen Risikos ist ein Schlüsselelement im Informationssicherheitsprogramm einer Organisation, insbesondere von Auftragnehmern des Verteidigungsministeriums (DoD), die hochsensible, kritische Daten verarbeiten.,
Vor diesem Hintergrund hat das National Institute of Standards and Technology (NIST) das Risk Management Framework (RMF) entwickelt, eine Reihe von Prozessen für Bundesbehörden zur Integration von Informationssicherheit und Risikomanagement in ihre Systementwicklungslebenszyklen.
Die sechs Schritte des Risk Management Framework (RMF)
Das RMF besteht aus sechs Schritten, die einer Organisation bei der Auswahl der geeigneten Sicherheitskontrollen zum Schutz vor Ressourcen -, Asset-und operationellen Risiken helfen., Sie sind:
Schritt 1: Kategorisieren Sie das System und die Informationen, die vom System verarbeitet, gespeichert und übertragen werden.
Schritt 2: Wählen Sie einen ersten Satz von Basissicherheitskontrollen für das System basierend auf der Kategorisierung, Anpassung und Ergänzung nach Bedarf aus.
Schritt 3: Implementieren Sie die Sicherheitskontrollen und dokumentieren Sie, wie sie bereitgestellt werden.
Schritt 4: Bewerten Sie die Sicherheitskontrollen, um festzustellen, inwieweit sie die Sicherheitsanforderungen für das System erfüllen.
Schritt 5: Autorisieren Sie den Systembetrieb basierend auf der Feststellung, dass das Risiko akzeptabel ist.,
Schritt 6: Überwachung und Bewertung ausgewählter Sicherheitskontrollen im System fortlaufend und Meldung des Sicherheitszustands des Systems an geeignete Organisationsbeamte.
Wer muss die RMF implementieren und warum?
Branchen mit kritischen oder hochsensiblen Datenanforderungen übernehmen zunehmend die RMF, um das wachsende Risiko zu bewältigen und ihre strengen Gesetze einzuhalten— Think Defense (DFARS), Healthcare (HIPAA) und Retail/Payment (PCI).,
Es ist jedoch unsere professionelle Meinung, dass jede Organisation, die mit sensiblen Daten umgeht, von der Einführung des RMF profitieren kann. Warum?
Zunächst fungiert das RMF als sehr effektives Sicherheitsplanungstool, das Ihnen ein umfassendes Bild Ihres organisatorischen Risikos vermittelt. Dies hilft, eine solide Risikomanagementstrategie zu entwickeln und Ihre Aufmerksamkeit auf die Bereiche zu richten, die für Ihre organisatorische Sicherheit am wichtigsten sind.,
Zweitens ist der RMF nicht spezifisch für eine Agentur oder Einrichtung, was ihm die Flexibilität gibt, von Organisationen aller Formen, Größen und Branchen — einschließlich Ihrer-angenommen und angewendet zu werden.
Schließlich wird der RMF als Goldstandard angesehen, auf dem viele Risikomanagementansätze modelliert werden. Aus diesem Grund wäre es nicht verwunderlich, wenn es in naher Zukunft in irgendeiner Form mandatiert würde, insbesondere für risikoreiche Branchen, aber möglicherweise auf der ganzen Linie.,
Dies geschah kürzlich mit der EU-Datenschutz-Grundverordnung (DSGVO), die vorschrieb, dass jedes Unternehmen, das mit sensiblen Daten umgeht, die Vorschriften einhält, unabhängig von der Branche.
Wenn Sie RMF in Ihrer eigenen Organisation einführen, werden Sie automatisch konform sein, wenn und wenn ähnliche Gesetze an unseren eigenen Ufern in Kraft treten, während Ihre Konkurrenten wahrscheinlich versuchen werden, aufzuholen.
RMF und Defense Contractors
Auftragnehmer des DoD haben eine Reihe von rechtlichen Verpflichtungen aus der Defense Federal Acquisition Regulation Supplement oder DFARS., Diese Gesetzgebung verlangt von solchen Auftragnehmern, dass sie unter anderem die NIST-Sonderpublikation 800-171 (NIST 800-171) proaktiv einhalten, in der festgelegt ist, wie sie sensible Verteidigungsinformationen schützen und Cybersicherheitsvorfälle melden müssen.
Wenn also ein Auftragnehmer bereits DFARS-konform ist und bereits die in NIST 800-171 festgelegten Sicherheitskontrollen implementiert, warum müssen sie dann auch die RMF übernehmen? (Nicht DFARS-Konform?, Laden Sie unseren 5 Steps to DFARS Compliance Guide herunter, um Strafen zu vermeiden und Compliance zu einem dokumentierten, automatisierten Ergebnis des täglichen Betriebs zu machen.)
In Zusammenarbeit mit unseren Verteidigungskunden bei der Sicherung ihrer Akquisitionsprozesse haben wir konsequent die Notwendigkeit von Sicherheitskontrollen beobachtet, die über das hinausgehen, was NIST 800-171 erfordert. Genau das bietet der RMF, indem er auf Bereiche wie Resilienzverbesserungen und Schneideranforderungen achtet.,
Wir sind daher der Meinung,dass die RMF Verteidigungsunternehmen dabei helfen kann, die Implementierung der risikobasierten Sicherheitskontrolle viel umfassender und ganzheitlicher zu planen als die Einhaltung von DFARS und NIST 800-171.
Einschränkungen von RMF
Da es sich um ein Framework handelt, sagt Ihnen der NIST RMF nicht, wie Sie die empfohlenen Schritte erreichen sollen. Das bedeutet, dass die Implementierung des Frameworks für kleine und mittlere Organisationen ohne umfangreiche Erfahrung in der Informationssicherheit oder die Ressourcen, um es zu erhalten, eine Herausforderung sein kann.,
Hier kommt CyberSheath ins Spiel
Unsere Cybersecurity-Experten können Ihnen helfen, Ihr organisatorisches Risiko mit einer umfassenden Risikomanagementplanung, einschließlich der Implementierung des NIST Risk Management Framework, zu minimieren. Kontaktieren Sie uns jetzt, um herauszufinden, wie wir Ihre Organisation schützen können.