воскресенье, 13 марта 2011 г.

США: Новая публикация Национального института стандартов и технологий «кардинально» изменяет управление информационной безопасностью в федеральном правительстве

Данная статья была опубликована 4 марта 2011 года на сайте www.infosecurity-us.com .

Новая публикация по вопросам управления информационной безопасностью в федеральном правительстве, выпущенная американским Национальным институтом стандартов и технологий (National Institute of Standards and Technology, NIST) «кардинально изменит используемый нами сегодня  способ управления нашими рисками, связанными с информационной безопасностью», сказал один из её авторов Рон Росс (Ron Ross).

В начале марта NIST выпустил финальную версию ключевого документа NIST SP 800-39 «Управление рисками информационной безопасности: Взгляд с точки зрения организации, её миссии и  информационных систем» (NIST Special Publication 800-39 “Managing Information Security Risk: Organization, Mission, and Information System View”, http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf  ), подготовленного объединенной целевой группой «Инициатива по преобразованию» (Transformation Initiative), сообщил Росс.

Эта публикация - один из пяти документов, подготовленных возглавляемой Россом  целевой группой, объединяющей представителей NIST, Министерства обороны и национального разведывательного сообщества и занимающейся пересмотром существующих публикаций по вопросам ИБ, с тем, чтобы во всех органах федеральной власти можно было бы использовать единую концепцию информационной безопасности для исполнения требований закона об управлении информационной безопасностью в федеральном правительстве (Federal Information Security Management Act, FISMA).

По словам Росса, данный документ «содержит всеобъемлющую стратегию для организаций, основанную на анализе рисков; в нем говорится о том, как другие публикации NIST могут быть интегрированы в процесс практической реализации общей стратегии управления рисками организации. В этом смысле, это наиболее важная публикация, поскольку она сводит воедино всё остальное».

Публикация описывает трехуровневый подход к управления рисками ИБ. Первый уровень - уровень общего управления (governance level); второй уровень - уровень миссии организации и её деловых процессов; а третий уровень – это уровень информационных систем.

Процесс управления рисками (рис.1 из публикации)

Окончательный вариант содержит ряд изменений по сравнению с опубликованным в декабре прошлого года текстом проекта документа. Росс пояснил, что первое изменение связано с графическим представлением процесса управления рисками на всех трех уровнях. NIST переместил блок описания среды, в условиях которой принимаются решения на основе анализа рисков (risk framing, на рис. frame), в центр диаграммы,  подчёркивая тем самым, что оно занимает центральное место во всем процессе, а не является лишь одним из шагов многоступенчатого процесса, включающего оценку рисков, реагирование на них, и их мониторинг.

По его словам, «именно здесь устанавливается контекст, в условиях которого организации управляет рисками. Именно здесь сосредоточены первоначальные предположения, ограничения, допустимые величины рисков, приоритеты и компромиссы. Другие три этапа функционируют в этом контексте».

Интеграция требований к информационной безопасности (рис.3 из публикации)

Кроме того, NIST изменил название публикации (раньше она называлась «Интегрированное общекорпоративное управление рисками» -  Integrated Enterprise-wide Risk Management), с тем, чтобы избежать путаницы с процессом управления корпоративными рисками (Enterprise Risk Management, ERM). Росс объяснил, что процесс ERM является более масштабным и включает в себя, помимо рисков ИБ, более широкий спектр корпоративных рисков (например, правовые риски и риски, связанные с цепочкой поставок): «Мы не хотели, чтобы этот документ путали с более высокоуровневым ERM-процессом. Именно поэтому мы его переименовали». Данная публикация вписывается в более общую программу управления корпоративными рисками.

По словам Росса,  целевая группа разрабатывает пять публикаций  таким образом, чтобы они были применимы как к системам Министерства обороны и агентств разведывательного сообщества, так и к системам гражданских государственных органов. Росс подчеркнул, что, согласно указанию Административно-бюджетного управления администрации Президента США (Office of Management and Budget, OMB), применение стандартов и руководств NIST является обязательным, - однако предусмотрена значительная степень гибкости для государственных органов в плане их реализации на практике.

Три подготовленных целевой группой документа уже были ранее опубликованы. Проект пятой публикации, «Руководства по проведению оценки рисков» (NIST SP 800-30), как ожидается, будет готов к концу апреля.

Росс сообщил, что целевая группа также работает над руководством по проектированию систем и безопасности (systems and security engineering guideline), которое, как ожидается, будет готово в конце 2011-го или в 2012 году. Кроме того, NIST обновляет предназначенный для органов федерального правительства каталог мер и средств обеспечения безопасности, и предлагает заинтересованным сторонам присылать свои предложения.

Источник: сайт infosecurity-us.com / сайт NIST
http://www.infosecurity-us.com/view/16391/nist-pub-fundamentally-changes-federal-information-security-management/
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf

Комментариев нет:

Отправка комментария