Cadrul De Gestionare a Riscurilor (RMF) este un set de criterii care dictează modul în care guvernul Statelor Unite a sistemelor informatice trebuie să fie proiectat, asigurate și monitorizate.inițial dezvoltat de Departamentul Apărării (DoD), RMF a fost adoptat de restul sistemelor informatice federale din SUA în 2010. Astăzi, Institutul Național de standarde și Tehnologie (NIST) menține NIST și oferă o bază solidă pentru orice strategie de securitate a datelor.,
pentru a Primi Gratuit Ghidul Esential pentru a NE Conformității privind Protecția Datelor și a Reglementărilor
RMF se bazează pe mai multe anterioare de gestionare a riscurilor și include mai multe independente procese și sisteme. Este necesar ca firmele să implementeze sisteme sigure de guvernanță a datelor și să efectueze modelarea amenințărilor pentru a identifica zonele de risc cibernetic.în acest ghid, vă vom prezenta tot ce trebuie să știți despre RMF. Vom descompune componentele cadrului în mai multe secțiuni:
- ce cuprinde RMF?,
- 5 Managementul Riscului componente
- 6 RMF pași
- beneficiile RMF pentru afaceri
- Cum Varonis poate ajuta să devină RMF conforme
Ce Cuprinde Cadrul de Gestionare a Riscurilor?
conceptul general de ” management al riscului „și” Cadrul de management al riscului ” ar putea părea a fi destul de similar, dar este important să se înțeleagă distincția dintre cele două. Procesul de gestionare a riscurilor este detaliat în mod specific de către NIST în mai multe cadre subsidiare.cel mai important este titlul elegant ” NIST SP 800-37 Rev.,1″, Care definește RMF ca un proces în 6 pași pentru a arhitecta și proiecta un proces de securitate a datelor pentru noile sisteme IT și sugerează cele mai bune practici și proceduri pe care fiecare agenție federală trebuie să le urmeze atunci când permite un nou sistem.,
În plus față de document primar SP 800-37, RUȘII utilizează documentele suplimentare SP 800-30, SP 800-53, SP 800-53A, și SP 800-137:
- NIST SP 800-30, intitulat Ghid pentru Efectuarea de Evaluări de Risc, oferă o imagine de ansamblu a modului de gestionare a riscurilor se potrivește în sistemul de dezvoltare a ciclului de viață (SDLC) și descrie modul de a efectua evaluări de risc și cum pentru a reduce riscurile.
- NIST SP 800-37 discută cadrul de management al riscului în sine și conține o mare parte din informațiile pe care le vom acoperi în restul acestui ghid.,
- în cele din urmă, NIST SP 800-39, intitulat gestionarea riscului de securitate a informațiilor, definește abordarea pe mai multe niveluri, la nivel de organizație, a managementului riscurilor, crucială pentru atingerea conformității cu RMF.
cele 5 componente de management al riscului
când începeți cu RMF, poate fi util să împărțiți cerințele de management al riscului în diferite categorii. Aceste categorii oferă o modalitate de lucru către un sistem eficient de management al riscurilor, de la identificarea celor mai critice riscuri cu care vă confruntați până la modul în care le veți atenua.,
identificarea riscurilor
prima și, fără îndoială, cea mai importantă parte a RMF este de a efectua identificarea riscurilor. NIST spune: „factorii de risc tipici includ amenințarea, vulnerabilitatea, impactul, probabilitatea și starea predispozantă.”În timpul acestui pas, veți brainstorming toate riscurile posibile pe care le puteți imagina în toate sistemele dvs. și apoi le prioritizați folosind diferiți factori: amenințările sunt evenimente care ar putea dăuna organizației prin intruziune, distrugere sau dezvăluire.,
măsurarea și evaluarea riscurilor
după ce ați identificat amenințările, vulnerabilitățile, impactul, probabilitatea și condițiile predispozante, puteți calcula și clasifica riscurile pe care organizația dvs. trebuie să le abordeze.
atenuarea riscurilor
organizațiile iau lista clasată anterior și încep să-și dea seama cum să atenueze amenințările de la cel mai mare la cel mai mic., La un moment dat în listă, organizația poate decide că riscurile sub acest nivel nu merită abordate, fie pentru că există o probabilitate mică ca acea amenințare să fie exploatată, fie dacă există prea multe amenințări mai mari pentru a gestiona imediat pentru a încadra amenințările scăzute în planul de lucru.
raportarea și Monitorizarea riscurilor
RMF impune ca organizațiile să mențină o listă de riscuri cunoscute și să monitorizeze riscurile cunoscute pentru respectarea politicilor., Statisticile privind încălcările de date indică faptul că multe companii încă nu raportează toate atacurile de succes la care sunt expuse, ceea ce ar putea avea un impact asupra colegilor lor.în cele din urmă, toate etapele de mai sus ar trebui codificate într-un sistem de guvernanță a riscurilor.
the 6 Risk Management Framework (RMF) Steps
la cel mai larg nivel, RMF solicită companiilor să identifice la ce riscuri de sistem și date sunt expuse și să implementeze măsuri rezonabile pentru a le atenua., RMF împarte aceste obiective în șase etape interconectate, dar separate.
clasificați sistemele informaționale
- utilizați standardele NIST pentru a clasifica informațiile și sistemele, astfel încât să puteți oferi o evaluare exactă a riscurilor acestor sisteme.
- NIST vă spune ce tipuri de sisteme și informații ar trebui să includă.
- și ce nivel de securitate trebuie să implementați pe baza clasificării.
Referințe: FIPS Publicarea 199, Standarde de Securitate Clasificarea Federal de Informații și Sisteme informaționale; Publicație Specială 800-60 Rev., 1 (Volumul 1, Volumul 2), Ghid pentru Cartografiere Tipuri de Informații și Sisteme de Informații pentru Securitate Categorie
Selectați Controalele de Securitate
Selectați corespunzătoare de securitate de la NIST publicarea 800-53 de a „facilita o mai coerente, comparabile și repetabile abordare pentru selectarea și specificarea măsurilor de securitate pentru sisteme.referințe: special Publication 800-53 Security and Privacy Controls for federal Information Systems and Organizations ed. Notă Versiunea actualizată a 800-53 intră în vigoare la 23 septembrie 2021. Stay tuned pentru detalii.,
implementați controalele de securitate
puneți controalele pe care le-ați selectat în pasul anterior și documentați toate procesele și procedurile de care aveți nevoie pentru a menține funcționarea acestora.referințe: publicațiile Multiple oferă cele mai bune practici pentru implementarea controalelor de securitate. Check out această pagină pentru a le căuta.
evaluați controalele de securitate
asigurați-vă că controalele de securitate pe care le-ați implementat funcționează așa cum trebuie, astfel încât să puteți limita riscurile pentru operațiunile și datele dvs.,
autorizarea sistemelor informatice
controalele de securitate funcționează corect pentru a reduce riscul pentru organizație? Atunci acel control asupra acelui sistem este autorizat! Felicitări!
Referințe: Publicație Specială 800-37 Rev. 2 Cadrul de Gestionare a Riscului pentru Sistemele de Informații și Organizații: Un Sistem de Abordare a Ciclului de Viață pentru Securitate și Confidențialitate
Monitor de Securitate
Continuu monitorizează și evaluează controalele de securitate pentru eficacitatea și de a face modificări în timpul funcționării pentru a asigura aceste sisteme de eficacitate., Documentați orice modificări, efectuați analize de impact periodice și raportați starea controalelor de securitate oficialilor desemnați.
Referințe: Publicație Specială 800-37 Rev. 2 Cadrul de Gestionare a Riscului pentru Sistemele de Informații și Organizații: Un Sistem de Abordare a Ciclului de Viață pentru Securitate și Confidențialitate
Cum Poate Un Management Eficient al Riscurilor Cadru Beneficia de O Afacere?deși RMF este o cerință pentru întreprinderile care lucrează cu Guvernul SUA, implementarea unui sistem eficient de management al riscurilor poate aduce beneficii oricărei companii., Scopul final al eforturilor de conformare cu RMF este crearea unui sistem de guvernanță a datelor și activelor care va oferi protecție completă împotriva tuturor riscurilor cibernetice cu care vă confruntați.mai exact, dezvoltarea unui cadru practic de management al riscurilor va oferi unei companii mai multe beneficii specifice:
protecția activelor
un cadru eficient de management al riscurilor va prioritiza înțelegerea riscurilor cu care se confruntă afacerea dvs. pentru a lua măsurile necesare pentru a vă proteja activele și afacerea., Aceasta înseamnă că un cadru cuprinzător de gestionare a riscurilor vă va ajuta să vă protejați datele și activele.managementul reputației este o parte esențială a practicilor moderne de afaceri, iar limitarea consecințelor negative ale atacurilor cibernetice este o parte integrantă a asigurării protecției reputației dvs. Consumatorii din SUA sunt din ce în ce mai conștienți de importanța confidențialității datelor, nu doar pentru că legile privind confidențialitatea din SUA devin din ce în ce mai stricte. O încălcare a datelor va afecta reputația afacerii dvs., Un cadru eficient de gestionare a riscurilor poate ajuta companiile să analizeze rapid lacunele controalelor la nivel de întreprindere și să dezvolte o foaie de parcurs pentru a reduce sau evita riscurile reputaționale.aproape fiecare companie are proprietate intelectuală care trebuie protejată, iar un cadru de gestionare a riscurilor se aplică la fel de mult acestei proprietăți ca și datele și activele dvs. Dacă vindeți, oferiți, distribuiți sau furnizați un produs sau serviciu care vă oferă un avantaj competitiv, sunteți expus unui potențial furt de Proprietate Intelectuală., Un cadru de gestionare a riscurilor ajută la protejarea împotriva pierderilor potențiale de avantaj competitiv, oportunități de afaceri și chiar riscuri juridice.în cele din urmă, dezvoltarea unui cadru de management al riscurilor poate avea efecte benefice asupra funcționării fundamentale a afacerii dvs. Catalogând riscurile cu care vă confruntați și luând măsuri pentru a le atenua, veți aduna, de asemenea, o mulțime de informații valoroase pe piața în care vă desfășurați activitatea, iar acest lucru – în sine – vă poate oferi un avantaj competitiv față de colegii dvs.
cum vă poate ajuta Varonis să vă conformați?,regulamentul NIST și RMF (de fapt, multe dintre standardele de securitate a datelor și reglementările de conformitate) au trei domenii în comun:
- identificați datele și sistemele sensibile și cu risc (inclusiv utilizatori, permisiuni, foldere etc.).);
- protejați datele respective, gestionați accesul și minimizați suprafața de risc;
- monitorizați și detectați ce se întâmplă cu datele respective, cine le accesează și identificați când există un comportament suspect sau o activitate neobișnuită a fișierelor.,platforma de securitate a datelor Varonis permite agențiilor federale să gestioneze (și să automatizeze) multe dintre recomandările și cerințele RMF.
DatAdvantage și Clasificare a Datelor Motor identifică datele sensibile de pe date de bază magazine, și hărți de utilizator, grup și permisiuni de folder astfel încât să puteți identifica în cazul în care datele sensibile este și cine le poate accesa. Știind cine are acces la datele dvs. este o componentă cheie a fazei de evaluare a riscurilor, definită în NIST SP 800-53.,
securitatea Datelor google analytics vă ajută să îndeplinească NIST SP 800-53 obligația de a monitoriza în mod constant de date: Varonis analizează miliarde de evenimente de acces la date activitate, VPN, DNS, proxy activitate, și Active Directory și construiește în mod automat profiluri comportamentale pentru fiecare utilizator și dispozitiv. Modelele de amenințări bazate pe învățarea automată identifică proactiv comportamentul anormal și amenințările potențiale, cum ar fi ransomware, malware, atacuri de forță brută și amenințări privilegiate.NIST SP 800-137 stabilește linii directoare pentru a vă proteja datele și solicită ca agenția să îndeplinească un model cu cel mai mic privilegiu., DatAdvantage suprafețe în care utilizatorii au acces pe care s-ar putea să nu mai aibă nevoie de baza. Automation Engine poate curăța permisiunile și elimina automat grupurile de acces global. DataPrivilege simplifică permisiunile și gestionarea accesului prin desemnarea proprietarilor de date și automatizarea revizuirilor dreptului.
în Timp ce Cadrul de Gestionare a Riscurilor este complexă pe suprafață, în cele din urmă, este un nu-prostii și o abordare logică de date bune practici de securitate– a se vedea cât de Varonis poate ajuta să îndeplinească NIST SP 800-37 RMF orientări astăzi.,
un cuvânt Final
care lucrează pentru respectarea RMF nu este doar o cerință pentru companiile care lucrează cu Guvernul SUA. Dacă implementați eficient o strategie de evaluare a riscurilor și de guvernanță, aceasta vă poate oferi, de asemenea, o mulțime de beneficii operaționale.procesele RMF ar trebui să se concentreze în principal pe integritatea datelor, deoarece amenințările la adresa datelor sunt probabil cele mai critice cu care se confruntă afacerea dvs. De aceea, am construit suita software Varonis cu caracteristici care vă permit să implementați rapid și eficient un proces de evaluare a riscurilor și de guvernanță.
DatAdvantage și Clasificare a Datelor Motor identifică datele sensibile de pe date de bază magazine, și hărți de utilizator, grup și permisiuni de folder astfel încât să puteți identifica în cazul în care datele sensibile este și cine le poate accesa. Știind cine are acces la datele dvs. este o componentă cheie a fazei de evaluare a riscurilor, definită în NIST SP 800-53.,
securitatea Datelor google analytics vă ajută să îndeplinească NIST SP 800-53 obligația de a monitoriza în mod constant de date: Varonis analizează miliarde de evenimente de acces la date activitate, VPN, DNS, proxy activitate, și Active Directory și construiește în mod automat profiluri comportamentale pentru fiecare utilizator și dispozitiv. Modelele de amenințări bazate pe învățarea automată identifică proactiv comportamentul anormal și amenințările potențiale, cum ar fi ransomware, malware, atacuri de forță brută și amenințări privilegiate.NIST SP 800-137 stabilește linii directoare pentru a vă proteja datele și solicită ca agenția să îndeplinească un model cu cel mai mic privilegiu., DatAdvantage suprafețe în care utilizatorii au acces pe care s-ar putea să nu mai aibă nevoie de baza. Automation Engine poate curăța permisiunile și elimina automat grupurile de acces global. DataPrivilege simplifică permisiunile și gestionarea accesului prin desemnarea proprietarilor de date și automatizarea revizuirilor dreptului.
în Timp ce Cadrul de Gestionare a Riscurilor este complexă pe suprafață, în cele din urmă, este un nu-prostii și o abordare logică de date bune practici de securitate– a se vedea cât de Varonis poate ajuta să îndeplinească NIST SP 800-37 RMF orientări astăzi.,
un cuvânt Final
care lucrează pentru respectarea RMF nu este doar o cerință pentru companiile care lucrează cu Guvernul SUA. Dacă implementați eficient o strategie de evaluare a riscurilor și de guvernanță, aceasta vă poate oferi, de asemenea, o mulțime de beneficii operaționale.procesele RMF ar trebui să se concentreze în principal pe integritatea datelor, deoarece amenințările la adresa datelor sunt probabil cele mai critice cu care se confruntă afacerea dvs. De aceea, am construit suita software Varonis cu caracteristici care vă permit să implementați rapid și eficient un proces de evaluare a riscurilor și de guvernanță.