В сентябре 2022 года сайт американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) сообщил о публикации внутреннего отчёта (NIST Internal Report) NISTIR 8286C «Описание рисков кибербезопасности для целей управления корпоративными рисками и надзора со стороны руководства» (Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight) объёмом 43 страницы, см. https://csrc.nist.gov/publications/detail/nistir/8286c/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8286C.pdf ).
Данный документ является третьим документов в серии публикаций, дополняющих межведомственный / внутренний отчет NISTIR 8286 «Интеграция кибербезопасности и корпоративного менеджмента риска» (Integrating Cybersecurity and Enterprise Risk Management (ERM) – об этом документе см. также мой пост http://rusrim.blogspot.com/2020/11/nist-nistir-8286.html - Н.Х.).
В публикациях этой серии содержатся дополнительные сведения о корпоративном применении сведений о рисках кибербезопасности. В ранее опубликованные документы NISTIR 8286A и NISTIR 8286B включены подробные рекомендации по вопросам менеджмента риска для заинтересованных сторон и сведения о методах оценки и управления рисками кибербезопасности в свете корпоративных целей.
Отчёт NISTIR 8286C описывает, как задокументированная в реестрах рисков кибербезопасности (cybersecurity risk registers, CSRR) информация может быть интегрирована в рамках целостного подхода, обеспечивающего надлежащий учёт рисков для информации и технологий в рамках портфеля корпоративных рисков. Это согласованное понимание поддерживает корпоративный реестр рисков (enterprise risk register, ERR) и корпоративный профиль рисков (enterprise risk profile, ERP), которые, в свою очередь, способствуют достижению корпоративных целей.
NISTIR 8286C описывает методы объединения информации о рисках со всего предприятия, включая примеры агрегирования и нормализации результатов из реестров рисков кибербезопасности (CSRR) с учётом параметров риска, критериев и влияния риска на деловую деятельность. Полученная в итоге интеграция и нормализация информации о рисках используется при принятии связанных с риском решений и мониторинге рисков на корпоративном уровне, что помогает создать всеобъемлющую комплексную картину кибер-рисков. В отчёте описывается создание корпоративного профиля рисков (ERP), который поддерживает сравнение и управление кибер-рисками наряду с рисками других типов.
Содержание документа следующее:
Резюме для руководства
1. Введение
2. Агрегация и нормализация реестров рисков кибербезопасности
3. Интеграция риска кибербезопасности в ERR/ERP
4. Стратегическое управление рисками как основа управления рисками кибербезопасности
5. Мониторинг, оценка и корректировка рисков кибербезопасности
Литература
Отчёт NISTIR 8286C сочетается с несколькими другими отчетами NIST:
- NISTIR 8286 «Интеграция кибербезопасности и корпоративного менеджмента риска» (Integrating Cybersecurity and Enterprise Risk Management (ERM)) - основополагающий документ, описывающий процессы высокого уровня, см. https://csrc.nist.gov/publications/detail/nistir/8286/final (а также мой пост http://rusrim.blogspot.com/2020/11/nist-nistir-8286.html - Н.Х.)
- NISTIR 8286A «Выявление и оценка рисков кибербезопас6ности для целей корпоративного управления рисками» (Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management) - описывает идентификацию и анализ рисков, см. https://csrc.nist.gov/publications/detail/nistir/8286a/final
- NIST IR 8286B «Приоритизация рисков кибербезопасности для целей корпоративного управления рисками» (Prioritizing Cybersecurity Risk for Enterprise Risk Management) - описывает методы применения корпоративных целей для определения приоритетов выявленных рисков и последующего выбора и применения адекватных мер реагирования, см. https://csrc.nist.gov/publications/detail/nistir/8286b/final
- NIST IR 8286D «Использование результатов анализа воздействия на деловую деятельность для приоритизации рисков и реагирования» (Using Business Impact Analysis to Inform Risk Prioritization and Response) - описывает, как анализ воздействия на деловую деятельность (business impact analysis, BIA) может помочь оценивать воздействие на активы предприятия, включая расширение аспектов BIA-анализа путем добавления конфиденциальности и целостности к существующим вопросам доступности, см. https://csrc.nist.gov/publications/detail/nistir/8286d/draft
Серия публикаций NISTIR 8286 даёт возможность специалистам-практикам по управлению рисками более полно интегрировать деятельность по управлению рисками кибербезопасности (CSRM) в более широкие корпоративные процессы управления рисками.
Поскольку информация и технологии представляют собой одни из самых ценных ресурсов предприятия, крайне важно, чтобы у представителей высшего руководства всегда было чёткое представление о степени риска кибербезопасности. Точно так же крайне важно, чтобы те, кто занимается выявлением, оценкой и обработкой рисков кибербезопасности, понимали стратегические цели предприятия при принятии связанных с рисками решений.
Авторы серии NISTIR 8286 надеются, что эти публикации инициируют дальнейшее обсуждение в отрасли. По мере продолжения разработки NIST-ом концепций и руководств, поддерживающих применения и интеграции информации и технологий, многие из содержащихся в документах серии положений будут рассмотрены на предмет их включения в эти концепции.
Источник: сайт NIST
https://csrc.nist.gov/publications/detail/nistir/8286c/final
https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8286C.pdf
Комментариев нет:
Отправить комментарий