пятница, 18 мая 2018 г.

США: Начато обсуждение новой редакции «Концепции управления рисками» Национального института стандартов и технологий NIST


Данное извещение американский Национальный институт стандартов и технологий опубликовал на своём сайте 9 мая 2018 года.

Специальная публикация NIST SP 800-37 редакция 2 (проект) «Концепция управления рисками для информационных систем и организаций: Подход к обеспечению безопасности и неприкосновенности частной жизни с точки зрения жизненного цикла системы» (Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy)

Мой комментарий: данный 149-страничный документ доступен по адресу
https://csrc.nist.gov/CSRC/media/Publications/sp/800-37/rev-2/draft/documents/sp800-37r2-draft-ipd.pdf

Данное обновление – 2-я редакция специальной публикации NIST 800-37, является реакцией на призыв (см.  https://www.acq.osd.mil/dsb/reports/2010s/ResilientMilitarySystemsCyberThreat.pdf - это отчет о живучих военных системах и новых киберугрозах – Н.Х.) Совета по оборонной науке (Defense Science Board), Исполнительный приказ Президента США №13800 от 11 мая 2017 года (см. https://federalregister.gov/d/2017-10004 , об укреплении кибербезопасности федеральных сетей и критической инфраструктуры – Н.Х.) и Меморандум M-17-25 от 19 мая 2017 года (см. https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2017/M-17-25.pdf - это руководство по представлению отчетности о выполнении исполнительного приказа 13800 – Н.Х.) Административно-бюджетного управления президентской администрации (Office of Management and Budget, OMB) о разработки Концепции управления рисками следующего поколения для информационных систем, организаций и отдельных лиц.

Данное обновление преследует семь основных целей:
  • Обеспечить более тесную связь и обмен информацией между процессами управления рисками и деятельностью на уровне высшего руководства /стратегического управления организацией, а также отдельными лицами, процессами и деятельностью на системном и оперативном уровнях организации;

  • Регламентировать критически-важные подготовительные мероприятия по управлению рисками в масштабах всей организации для содействия более эффективной, продуктивной и экономичной реализации концепции управления рисками;

  • Показать, как Концепцию кибербезопасности можно согласовать с Концепцией управления рисками и внедрить с использованием регламентированных NIST процессов управления рисками;

  • Интегрировать в Концепцию управления рисками понятия и принципы управления рисками для неприкосновенности частной жизни; и способствовать применению консолидированного каталога мер и средств обеспечения безопасности и неприкосновенности частной жизни, содержащегося в специальной публикации NIST SP 800-53 редакция 5 (см. https://csrc.nist.gov/CSRC/media//Publications/sp/800-53/rev-5/draft/documents/sp800-53r5-draft.pdf - Н.Х.);

  • Содействовать разработке доверенного безопасного программного обеспечения и систем путем согласования процессов проектирования систем на основе жизненного цикла, описанных в специальной публикации NIST 800-160 (см. https://doi.org/10.6028/NIST.SP.800-160v1 и https://csrc.nist.gov/CSRC/media/Publications/sp/800-160/vol-2/draft/documents/sp800-160-vol2-draft.pdf - Н.Х.), с шагами, предусмотренными Концепцией управления рисками;

  • Интегрировать в Концепцию управления рисками понятия, относящиеся к управлению рисками в цепочке поставок (supply chain risk management, SCRM) для защиты от ненадежных поставщиков, вброса контрафакта, несанкционированного вмешательства, неавторизованного производства, кражи, внедрения вредоносного кода, плохих практик производства и разработки на протяжении всей цепочки поставок; а также

  • Обеспечить возможность альтернативного подхода к выбору мер и средств контроля и управления, разработанного самой организацией, в дополнение к традиционному «базовому» подходу к выбору таких мер.
Публичное обсуждение данного проекта продлится до 22 июня 2018 года.

Мой комментарий: В новостной рассылке NIST также отмечается, что проект NIST SP 800-37 2-й редакции содержит обновленные рекомендации по применению Концепции управления рисками для информационных систем и организаций. Эти рекомендации были разработаны для обеспечения того, чтобы управление связанными с системами рисками безопасности и защиты неприкосновенности частной жизни соответствовало миссии и деловым целям организации, а также стратегии управления рисками, установленной высшим руководством.

Эти рекомендации также направлены на обеспечение безопасности и защиты персональных данных для информации и систем организации посредством реализации соответствующих стратегий реагирования на риски.

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/draft

Комментариев нет:

Отправить комментарий