07.12.2021
Специальная публикация NIST 800-37 «Структура управления рисками для информационных систем и организаций. Подход к обеспечению безопасности и конфиденциальности на основе жизненного цикла системы» (часть 1)

1. Вступление

Организации зависят от информационных систем для выполнения своих миссий и бизнес-функций. Успех миссий и бизнес-функций зависит от защиты конфиденциальности, целостности, доступности информации, обрабатываемой, хранимой и передаваемой этими системами, а также конфиденциальности отдельных лиц. К угрозам для информационных систем относятся отказ оборудования, нарушения окружающей среды, человеческие или машинные ошибки, а также целенаправленные атаки, которые часто бывают изощренными, дисциплинированными, хорошо организованными и хорошо финансируемыми. 

В случае успеха атаки на информационные системы могут привести к серьезному или катастрофическому ущербу для операций и активов организации, отдельных лиц, других организаций и нации. Таким образом, крайне важно, чтобы организации оставались бдительными и чтобы руководители высшего звена, руководители и менеджеры всей организации понимали свои обязанности и несли ответственность за защиту активов организации и за управление рисками.

В дополнение к ответственности по защите активов организации от угроз, существующих в сегодняшней среде, организации несут ответственность за рассмотрение и управление рисками для людей, когда информационные системы обрабатывают информацию, позволяющую установить личность (PII).

Программы информационной безопасности и конфиденциальности, реализуемые организациями, имеют дополнительные цели в отношении управления конфиденциальностью, целостностью и доступностью PII. Хотя многие риски конфиденциальности возникают из-за несанкционированных действий, которые приводят к потере конфиденциальности, целостности или доступности PII, другие риски конфиденциальности возникают в результате санкционированных действий, связанных с созданием, сбором, использованием, обработкой, хранением, обслуживанием, распространением, раскрытием или удалением. PII, который позволяет организации выполнять свою миссию или бизнес-цели. Например, организации могут не предоставить соответствующее уведомление об обработке PII, лишив человека информации о такой обработке, или человек может быть смущен или заклеймен из-за санкционированного раскрытия PII.

В то время как управление рисками конфиденциальности требует тесной координации между программами информационной безопасности и конфиденциальности из-за взаимодополняющего характера целей программ в отношении конфиденциальности, целостности и доступности PII, риски конфиденциальности также вызывают особые опасения, которые требуют специальных знаний и подходов. Поэтому крайне важно, чтобы организации также создали и поддерживали надежные программы обеспечения конфиденциальности, чтобы гарантировать соответствие применимым требованиям конфиденциальности и управлять рисками для лиц, связанными с обработкой PII.

Риск цепочки поставок, тесно связанный с рисками безопасности и конфиденциальности и являющийся частью рисков, также вызывает растущее беспокойство организаций. Из-за растущей зависимости от сторонних или внешних поставщиков и готовых коммерческих продуктов, систем и услуг увеличивается количество атак или сбоев в цепочке поставок, которые влияют на системы организации.

Такие атаки сложно отследить или управлять ими, и они могут привести к серьезным, серьезным или катастрофическим последствиям для систем организации. Управление рисками цепочки поставок (SCRM) пересекается и работает в гармонии с управлением рисками безопасности и конфиденциальности. Эта публикация объединяет методы управления рисками безопасности и конфиденциальности, связанные с SCRM, в RMF, чтобы способствовать продвижению комплексного подхода к управлению рисками безопасности и конфиденциальности. В то время как публикация в основном ориентирована на управление рисками информационной безопасности и конфиденциальности, концепции SCRM, которые поддерживают управление рисками безопасности и конфиденциальности, специально упоминаются в нескольких областях, чтобы добавить акцента и прояснить, как с ними можно бороться с помощью RMF.

1.1. Предпосылка

NIST в сотрудничестве с Министерством обороны, Управлением директора национальной разведки и Комитетом по системам национальной безопасности разработал структуру управления рисками (RMF) для улучшения информационной безопасности, усиления процессов управления рисками и поощрения взаимности между организациями. В июле 2016 года Управление управления и бюджета (OMB) пересмотрело циркуляр A-130, включив в него обязанности по программам обеспечения конфиденциальности в рамках RMF.

RMF делает упор на управление рисками, способствуя развитию возможностей безопасности и конфиденциальности в информационных системах на протяжении всего жизненного цикла разработки системы (SDLC); поддерживая ситуационную осведомленность о состоянии безопасности и конфиденциальности этих систем на постоянной основе посредством процессов непрерывного мониторинга; а также путем предоставления информации старшим руководителям и руководителям для облегчения принятия решений относительно принятия рисков для операций и активов организации, отдельных лиц, других организаций и нации, возникающих в результате использования и эксплуатации их систем. RMF:

  • Обеспечивает повторяемый процесс, предназначенный для содействия защите информации и информационных систем соразмерно риску;
  • Подчеркивает необходимость подготовки всей организации для управления рисками безопасности и конфиденциальности;
  • Облегчает категоризацию информации и систем, выбор, внедрение, оценку и мониторинг средств контроля, а также авторизацию информационных систем и общих средств контроля;
  • Способствует использованию автоматизации для управления рисками в режиме, близком к реальному времени, и постоянной авторизации системы и контроля посредством внедрения процессов непрерывного мониторинга;
  • Поощряет использование правильных и своевременных показателей для предоставления старшим руководителям и менеджерам необходимой информации для принятия рентабельных, основанных на оценке рисков решений для информационных систем, поддерживающих их миссии и бизнес-функции;
  • Облегчает интеграцию требований и средств контроля безопасности и конфиденциальности в архитектуру предприятия, SDLC, процессы приобретения и процессы системного проектирования;
  • Связывает процессы управления рисками на уровне организации и миссий / бизнес-процессов с процессами управления рисками на уровне информационной системы через старшего ответственного должностного лица по управлению рисками и руководителя (функции) риска; а также
  • Устанавливает ответственность и подотчетность за средства контроля, реализованные в информационных системах и унаследованные этими системами.

RMF обеспечивает динамический и гибкий подход для эффективного управления рисками безопасности и конфиденциальности в различных средах со сложными и изощренными угрозами, меняющимися задачами и бизнес-функциями, а также изменяющимися уязвимостями системы и организации. Эта структура нейтральна с точки зрения политики и технологий, что способствует постоянному обновлению ИТ-ресурсов и усилиям по модернизации ИТ - для поддержки и обеспечения предоставления основных миссий и услуг в такие переходные периоды.

1.2. Назначение и применение

Эта публикация описывает RMF и предоставляет рекомендации по управлению рисками безопасности и конфиденциальности, а также по применению RMF к информационным системам и организациям. Разработаны методические рекомендации:

  • Обеспечение соответствия управления системными рисками безопасности и конфиденциальности с миссией и бизнес-целями организации и стратегией управления рисками, установленной высшим руководством через руководителя (функцию) по управлению рисками;
  • Обеспечение защиты конфиденциальности для отдельных лиц и защиты информации и информационных систем посредством реализации соответствующих стратегий реагирования на риски;
  • Поддерживать последовательные, информированные и текущие решения об авторизации, 16 взаимность, а также прозрачность и отслеживаемость информации о безопасности и конфиденциальности;
  • Для облегчения интеграции требований и средств контроля безопасности и конфиденциальности в архитектуру предприятия, процессы SDLC, процессы приобретения и процессы системного проектирования; а также
  • Содействовать реализации Концепции улучшения кибербезопасности критически важной инфраструктуры [NIST CSF] в рамках федеральных агентств.

Эта публикация предназначена для того, чтобы помочь организациям управлять рисками безопасности и конфиденциальности и соответствовать требованиям Федерального закона о модернизации информационной безопасности 2014 г. [FISMA], Закона о конфиденциальности 1974 г. [PRIVACT], политик OMB и определенных федеральных стандартов обработки информации, в том числе другие законы, постановления и политики.

Сфера применения данной публикации относится к федеральным информационным системам, которые представляют собой дискретные наборы информационных ресурсов, организованных для сбора, обработки, обслуживания, использования, совместного использования, распространения или распоряжения информацией, независимо от того, находится ли такая информация в цифровой или нецифровой форме. Информационные ресурсы включают информацию и связанные ресурсы, такие как персонал, оборудование, фонды и информационные технологии.

Руководящие принципы были разработаны с технической точки зрения, чтобы дополнить руководящие принципы для систем национальной безопасности, и могут использоваться для таких систем с одобрения соответствующих федеральных должностных лиц, обладающих политическими полномочиями в отношении таких систем. Правительствам штатов, местным властям и племенам, а также организациям частного сектора рекомендуется при необходимости использовать эти руководящие принципы.

1.3. Целевая аудитория

Эта публикация предназначена для лиц, связанных с проектированием, разработкой, внедрением, оценкой, эксплуатацией, обслуживанием и удалением информационных систем, включая:

  • Лица с миссией или обязанностями по владению бизнесом или фидуциарными обязанностями (например, и главы федеральных агентств);
  • Лица, отвечающие за информационные системы, информационную безопасность или управление конфиденциальностью, надзор или управление (например, старшие руководители, руководители рисков, уполномоченные должностные лица, главные информационные службы, старшие сотрудники агентства по информационной безопасности и старшие должностные лица агентства по вопросам конфиденциальности);
  • Лица, ответственные за проведение оценок безопасности или конфиденциальности и за мониторинг информационных систем, например, контрольные оценщики, аудиторы и владельцы систем;
  • Лица, отвечающие за обеспечение безопасности или конфиденциальности и операционные обязанности, например, владельцы систем, поставщики общих средств контроля, владельцы / распорядители информации, владельцы миссий или бизнеса, архитекторы безопасности или конфиденциальности, а также инженеры по безопасности или конфиденциальности систем;
  • Лица, отвечающие за разработку и приобретение информационных систем (например, руководители программ, сотрудники отдела закупок, разработчики компонентов продуктов и систем, системные интеграторы и архитекторы предприятий); а также
  • Лица, отвечающие за логистику или распоряжение (например, руководители программ, сотрудники отдела закупок, системные интеграторы и управляющие недвижимостью).

1.4. Организация публикации

Остальная часть этой специальной публикации организована следующим образом:

  • Во второй главе описаны концепции, связанные с управлением рисками, связанными с безопасностью и конфиденциальностью информационных систем. Это включает в себя взгляд на управление рисками в масштабах всей организации; шаги и структура задач RMF; взаимосвязь между программами защиты информации и конфиденциальности и то, как эти программы рассматриваются в RMF; информационные ресурсы как система и системные элементы; границы авторизации; позиция безопасности и конфиденциальности; и соображения безопасности и конфиденциальности, связанные с управлением рисками в цепочке поставок.
  • В третьей главе описаны задачи, необходимые для реализации шагов в RMF, включая: подготовку на уровне организации и на уровне информационной системы; категоризация информации и информационных систем; контроль выбора, адаптации и реализации; оценка эффективности контроля; информационная система и авторизация общего контроля; постоянный мониторинг средств контроля; и поддержание осведомленности о состоянии безопасности и конфиденциальности информационных систем и организации.
  • Вспомогательные приложения содержат дополнительную информацию и руководство по применению RMF, включая:

  1. Использованная литература;
  2. Словарь терминов;
  3. Акронимы;
  4. Роли и обязанности;
  5. Обзор задач RMF;
  6. Системные и общие контрольные полномочия;
  7. Границы авторизации; а также
  8. Соображения жизненного цикла системы.


Комментарии 0