США: Начато обсуждение новой редакции «Концепции управления рисками» Национального института стандартов и технологий NIST

США: Начато обсуждение новой редакции «Концепции управления рисками» Национального института стандартов и технологий NIST
Данное извещение американский Национальный институт стандартов и технологий опубликовал на своём сайте 9 мая 2018 года.

Специальная публикация NIST SP 800-37 редакция 2 (проект) «Концепция управления рисками для информационных систем и организаций: Подход к обеспечению безопасности и неприкосновенности частной жизни с точки зрения жизненного цикла системы» (Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy)

Мой комментарий: данный 149-страничный документ доступен по адресу
https://csrc.nist.gov/CSRC/media/Publications/sp/800-37/rev-2/draft/documents/sp800-37r2-draft-ipd.pdf

Данное обновление – 2-я редакция специальной публикации NIST 800-37, является реакцией на призыв (см.   https://www.acq.osd.mil/dsb/reports/2010s/ResilientMilitarySystemsCyberThreat.pdf - это отчет о живучих военных системах и новых киберугрозах – Н.Х.) Совета по оборонной науке (Defense Science Board), Исполнительный приказ Президента США №13800 от 11 мая 2017 года (см. https://federalregister.gov/d/2017-10004 , об укреплении кибербезопасности федеральных сетей и критической инфраструктуры – Н.Х.) и Меморандум M-17-25 от 19 мая 2017 года (см. https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2017/M-17-25.pdf - это руководство по представлению отчетности о выполнении исполнительного приказа 13800 – Н.Х.) Административно-бюджетного управления президентской администрации (Office of Management and Budget, OMB) о разработки Концепции управления рисками следующего поколения для информационных систем, организаций и отдельных лиц.

Данное обновление преследует семь основных целей:
  • Обеспечить более тесную связь и обмен информацией между процессами управления рисками и деятельностью на уровне высшего руководства /стратегического управления организацией, а также отдельными лицами, процессами и деятельностью на системном и оперативном уровнях организации;
  • Регламентировать критически-важные подготовительные мероприятия по управлению рисками в масштабах всей организации для содействия более эффективной, продуктивной и экономичной реализации концепции управления рисками;
  • Показать, как Концепцию кибербезопасности можно согласовать с Концепцией управления рисками и внедрить с использованием регламентированных NIST процессов управления рисками;
  • Интегрировать в Концепцию управления рисками понятия и принципы управления рисками для неприкосновенности частной жизни; и способствовать применению консолидированного каталога мер и средств обеспечения безопасности и неприкосновенности частной жизни, содержащегося в специальной публикации NIST SP 800-53 редакция 5 (см. https://csrc.nist.gov/CSRC/media//Publications/sp/800-53/rev-5/draft/documents/sp800-53r5-draft.pdf - Н.Х.);
  • Содействовать разработке доверенного безопасного программного обеспечения и систем путем согласования процессов проектирования систем на основе жизненного цикла, описанных в специальной публикации NIST 800-160 (см. https://doi.org/10.6028/NIST.SP.800-160v1 и https://csrc.nist.gov/CSRC/media/Publications/sp/800-160/vol-2/draft/documents/sp800-160-vol2-draft.pdf - Н.Х.), с шагами, предусмотренными Концепцией управления рисками;
  • Интегрировать в Концепцию управления рисками понятия, относящиеся к управлению рисками в цепочке поставок (supply chain risk management, SCRM) для защиты от ненадежных поставщиков, вброса контрафакта, несанкционированного вмешательства, неавторизованного производства, кражи, внедрения вредоносного кода, плохих практик производства и разработки на протяжении всей цепочки поставок; а также
  • Обеспечить возможность альтернативного подхода к выбору мер и средств контроля и управления, разработанного самой организацией, в дополнение к традиционному «базовому» подходу к выбору таких мер.
Публичное обсуждение данного проекта продлится до 22 июня 2018 года.

Мой комментарий: В новостной рассылке NIST также отмечается, что проект NIST SP 800-37 2-й редакции содержит обновленные рекомендации по применению Концепции управления рисками для информационных систем и организаций. Эти рекомендации были разработаны для обеспечения того, чтобы управление связанными с системами рисками безопасности и защиты неприкосновенности частной жизни соответствовало миссии и деловым целям организации, а также стратегии управления рисками, установленной высшим руководством.

Эти рекомендации также направлены на обеспечение безопасности и защиты персональных данных для информации и систем организации посредством реализации соответствующих стратегий реагирования на риски.

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/draft
информационная безопасность персональные данные стандарты США управление рисками NIST
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!