2018年12月下旬,NIST发布了SP800-37的第二版, 信息系统和组织的风险管理框架:安全和隐私的系统生命周期方法. 修订后的出版物涉及更新的信息系统风险管理框架(RMF), 组织, 和个人, 根据13800号行政命令和OMB通告A-130,将隐私纳入RMF流程.
既然尘埃落定,我们再来看看这次更新. 如果达到预期目标, 这些目标将c级高管更紧密地与运营联系起来,并显著减少组织的信息技术足迹和攻击面. 它们还促进了IT现代化目标, 优先考虑安全和隐私活动,将保护策略集中在最关键的资产和系统上. 它还更紧密地将供应链风险管理纳入框架.
仔细看看这些更新
本版本的出版物阐述了组织如何通过重点保护个人信息来评估和管理其数据和系统的风险. 信息安全和隐私程序共同负责管理未经授权的系统活动或行为带来的风险, 使他们的目标互补和协调必不可少. RMF的第二次修订现在将风险框架与NIST网络安全框架(CSF)更紧密地联系在一起。. 更新提供了交叉引用,以便使用RMF的组织可以看到CSF在哪里以及如何与RMF中的当前步骤对齐.
它还引入了一个额外的准备步骤, 处理关键的组织和系统级活动. 在组织层面上, 这些活动包括分配关键角色, 建立风险管理策略, 识别关键利益相关者, 了解对信息系统和组织的威胁. System level preparation activities include identifying stakeholders relevant to the system; determining the types of information processed, 存储, and transmitted by the system; conducting a system risk assessment; and identifying security and privacy requirements applicable to the system and its environment.
准备工作可以实现风险管理流程的高效和低成本执行. 组织级和系统级准备的主要目标是:
- 促进高级领导和高管之间更好的沟通, 以及系统所有者和运营商.
- 将组织优先级与系统级别的资源分配和优先级保持一致
- 在已建立的组织风险容忍度范围内,传达关于控制的选择和实施的可接受限度
- 促进组织范围内通用控制的识别和定制控制基线的开发, 减少个别系统拥有人的工作量,以及系统开发和保护的成本
- 通过整合降低IT基础设施的复杂性, 标准化, 优化系统, 应用程序, 并通过澳门赌场官方下载架构概念和模型的应用程序提供服务
- 识别, 优先考虑, 并将资源集中在需要提高保护水平的高价值资产和高影响系统上
- 促进系统特定任务的准备
的 整合供应链风险管理(SCRM) 在出版物中还有其他重要的主题吗. 具体地说, 组织必须确保外部提供者的安全和隐私需求, 包括系统处理的控制, 存储, 或者传递联邦信息, 必须在合同或其他正式协议中规定吗. 组织和授权官员最终有责任应对因使用产品而产生的风险, 系统, 以及来自外部提供者的服务.
最后,SP800-37 Rev. 2 支持NIST特别出版物800-53修订5的安全和隐私保护. 更新后的RMF文档声明,修订版5将控制目录与该出版物中历史上包含的控制基线分开. 一个新的配套出版物,NIST特别出版物800-53B, 联邦信息系统和组织的控制基线和裁剪指南,定义了建议的基线.
在RMF的其他更改中,附录F 系统和公共控制授权 现在包括 使用授权(ATU) 作为应用于云和共享系统、服务和应用程序的授权决策. 当一个组织选择接受另一个组织生成的现有授权包中的信息时,将使用它. 第123页, “授权使用要求客户组织审查来自提供商组织的授权包,作为确定风险的基本基础……授权使用提供了大量节省成本的机会,并避免了客户组织潜在的昂贵和耗时的授权过程。.此外,附录还提到了a 工厂授权, 允许驻留在已定义环境中的系统继承公共控制以及受影响的系统安全性和隐私计划.
总结
SP-800-37提高了 整合该机构的隐私计划 进入RMF, 允许组织生成有关组织系统的安全和隐私状态以及这些系统支持的任务/业务流程的风险相关信息. 它还 将高层领导与业务联系起来 以便更好地为RMF的执行做准备, 在风险管理过程和活动之间提供更紧密的联系和沟通,在C-suite或组织和个人的治理级别, 流程, 以及组织的系统和操作层面的活动. 总之, 这些都是非常受欢迎的框架变化, 因为更好的整合意味着更严格和更有效的控制,以确保私营和公共部门组织对资产进行适当的保护.
作者附言: 博安公司Alsinawi, 综合风险管理公司TalaTek的总裁和创始人, 在资讯科技方面有超过二十年的经验。. 她是ISC2的成员,并通过了CISSP和ITIL认证.
