Новая публикация по вопросам управления информационной безопасностью в федеральном правительстве, выпущенная американским Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) «кардинально изменит используемый нами сегодня способ управления нашими рисками, связанными с информационной безопасностью», сказал один из её авторов Рон Росс (Ron Ross).
В начале марта NIST выпустил финальную версию ключевого документа NIST SP 800-39 «Управление рисками информационной безопасности: Взгляд с точки зрения организации, её миссии и информационных систем» (NIST Special Publication 800-39 “Managing Information Security Risk: Organization, Mission, and Information System View”, http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf ), подготовленного объединенной целевой группой «Инициатива по преобразованию» (Transformation Initiative), сообщил Росс.
Эта публикация - один из пяти документов, подготовленных возглавляемой Россом целевой группой, объединяющей представителей NIST, Министерства обороны и национального разведывательного сообщества и занимающейся пересмотром существующих публикаций по вопросам ИБ, с тем, чтобы во всех органах федеральной власти можно было бы использовать единую концепцию информационной безопасности для исполнения требований закона об управлении информационной безопасностью в федеральном правительстве (Federal Information Security Management Act, FISMA).
По словам Росса, данный документ «содержит всеобъемлющую стратегию для организаций, основанную на анализе рисков; в нем говорится о том, как другие публикации NIST могут быть интегрированы в процесс практической реализации общей стратегии управления рисками организации. В этом смысле, это наиболее важная публикация, поскольку она сводит воедино всё остальное».
Публикация описывает трехуровневый подход к управления рисками ИБ. Первый уровень - уровень общего управления (governance level); второй уровень - уровень миссии организации и её деловых процессов; а третий уровень – это уровень информационных систем.
Процесс управления рисками (рис.1 из публикации)
Окончательный вариант содержит ряд изменений по сравнению с опубликованным в декабре прошлого года текстом проекта документа. Росс пояснил, что первое изменение связано с графическим представлением процесса управления рисками на всех трех уровнях. NIST переместил блок описания среды, в условиях которой принимаются решения на основе анализа рисков (risk framing, на рис. frame), в центр диаграммы, подчёркивая тем самым, что оно занимает центральное место во всем процессе, а не является лишь одним из шагов многоступенчатого процесса, включающего оценку рисков, реагирование на них, и их мониторинг.
По его словам, «именно здесь устанавливается контекст, в условиях которого организации управляет рисками. Именно здесь сосредоточены первоначальные предположения, ограничения, допустимые величины рисков, приоритеты и компромиссы. Другие три этапа функционируют в этом контексте».
Интеграция требований к информационной безопасности (рис.3 из публикации)
Кроме того, NIST изменил название публикации (раньше она называлась «Интегрированное общекорпоративное управление рисками» - Integrated Enterprise-wide Risk Management), с тем, чтобы избежать путаницы с процессом управления корпоративными рисками (Enterprise Risk Management, ERM). Росс объяснил, что процесс ERM является более масштабным и включает в себя, помимо рисков ИБ, более широкий спектр корпоративных рисков (например, правовые риски и риски, связанные с цепочкой поставок): «Мы не хотели, чтобы этот документ путали с более высокоуровневым ERM-процессом. Именно поэтому мы его переименовали». Данная публикация вписывается в более общую программу управления корпоративными рисками.
По словам Росса, целевая группа разрабатывает пять публикаций таким образом, чтобы они были применимы как к системам Министерства обороны и агентств разведывательного сообщества, так и к системам гражданских государственных органов. Росс подчеркнул, что, согласно указанию Административно-бюджетного управления администрации Президента США (Office of Management and Budget, OMB), применение стандартов и руководств NIST является обязательным, - однако предусмотрена значительная степень гибкости для государственных органов в плане их реализации на практике.
Три подготовленных целевой группой документа уже были ранее опубликованы. Проект пятой публикации, «Руководства по проведению оценки рисков» (NIST SP 800-30), как ожидается, будет готов к концу апреля.
Росс сообщил, что целевая группа также работает над руководством по проектированию систем и безопасности (systems and security engineering guideline), которое, как ожидается, будет готово в конце 2011-го или в 2012 году. Кроме того, NIST обновляет предназначенный для органов федерального правительства каталог мер и средств обеспечения безопасности, и предлагает заинтересованным сторонам присылать свои предложения.
Источник: сайт infosecurity-us.com / сайт NIST
http://www.infosecurity-us.com/view/16391/nist-pub-fundamentally-changes-federal-information-security-management/
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
Комментариев нет:
Отправить комментарий