США: Национальный институт стандартов и технологий начал обсуждение проекта NIST IR 8477, рассматривающего взаимосвязи между стандартами, нормами, концепциями и руководствами в сфере кибербезопасности

Данная заметка Виктории Бэкман (Victoria Beckman - на фото) была опубликована в социальной сети LinkedIn 18 августа 2023 года.

Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) опубликовал свой первоначальный проект отчёта NIST IR 8477 «Установление взаимосвязей между документированными стандартами, нормативными требованиями, концепциями и руководствами: Установление взаимосвязей между понятиями в области кибербезопасности и защиты персональных данных» (Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings). Открыто общественное обсуждение этого документа, которое продлится до 26 октября 2023 года.

Мой комментарий: Документ объёмом 26 страниц доступен по адресу https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8477.ipd.pdf  . Содержание документа следующее:

Краткое резюме для руководства
1. Введение
2. Обзор подхода, используемого для установления взаимосвязей между понятиями
3. Выявление и документирование вариантов использования взаимосвязей
4. Выбор стиля для взаимосвязей понятий
5. Оценка пар понятие и документирование их взаимосвязи
6. Дальнейшие шаги
Рекомендации
Приложение А: Глоссарий

В данном документе описывается подход NIST к выявлению и документированию взаимосвязей между такими понятиями, как меры и средства контроля и управления, требования, рекомендации, результаты, технологии, функции, процессы, методы, роли, знания и навыки.

Следуя этому подходу и формируя единую систему понятий, которая связывает взятые из многих источников понятия в сфере кибербезопасности и защиты персональных данных в однородный согласованный набор взаимосвязей в Справочном инструменте NIST по кибербезопасности и защите персональных данных (NIST Cybersecurity and Privacy Reference Tool, CPRT), компании смогут ответить на такие сложные и трудоемкие вопросы как:

• Каким образом соответствие одному стандарту помогает организации соответствовать другому стандарту?
  
  
• Какие вопросы, охватываемые вторым стандартом, не рассматриваются в первом стандарте?
  
  
• Где можно найти дополнительную информацию о том, как выполнить конкретное требование из руководства?
  
  
• Какие типы технологий мы можем использовать, и какими знаниями и навыками должны обладать внедряющие их специалисты?
  
  
• Если мы хотим соответствовать определенному стандарту, какие типы кибер-возможностей должны поддерживаться нашими поставщиками технологических продуктов и услуг?
  
  
• Если мы выполняем оценку безопасности следуя конкретной методологии, какие требования будут в достаточной степени проверены в нашем портфеле подлежащих исполнению законодательно-нормативных и иных установленных требований?
  
  
• Какие рекомендации существенно изменились в текущей версии руководства по сравнению с предыдущей версией?
  
  
• Какие меры и средства защиты персональных данных и обеспечения безопасности должны быть реализованы до того, как мы внедрим новую технологию?

Предлагаемый подход к «картографированию» понятий и концепций в сфере кибербезопасности и защиты персональных данных направлен на то, чтобы помочь компаниям понять, как элементы различных стандартов по кибербезопасности и защите персональных данных, правил, концепций, руководств и иного контента взаимосвязаны друг с другом.

Виктория Бэкман (Victoria Beckman)

Источники: сайт LinkedIn / сайт NIST
https://www.linkedin.com/posts/victoriabeckman_victoria-beckman-nist-cybersecurity-privacy-ugcPost-7098333306210893824-mWb4
https://csrc.nist.gov/News/2023/draft-nist-ir-8477-available-for-comment
https://csrc.nist.gov/pubs/ir/8477/ipd