Управление рисками информационной безопасности с помощью Nist Cybersecurity Framework
Фреймворк как язык для описания, понимания и управления рисками информационной безопасности, как внешними, так и внутренними. Части фреймворка: ядро, профили, уровни реализации. Процесс управления рисками. Сравнение профилей и выявление недостатков.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 05.05.2019 |
Размер файла | 907,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Статья по теме:
Управление рисками информационной безопасности с помощью Nist Сybersecurity Framework
Мищенко В.И., Шилов А.К., Инженерно-технологическая академия Южного Федерального Университета Таганрог, Россия
Национальная и экономическая безопасность каждого государства зависит от надежного функционирования критически важных объектов инфраструктуры. Именно поэтому в США распоряжением президента был создан Фреймворк на основе существующих стандартов, руководящих принципов и практик - для уменьшения киберрисков для критически важных объектов инфраструктуры. NIST Cybersecurity Framework (CSF) используется для управления рисками информационной безопасности (ИБ).
Фреймворк представляет из себя общий язык для описания, понимания и управления рисками ИБ, как внешними, так и внутренними. Он используется для облегчения процесса идентификации и приоритизации активностей по компенсации рисков ИБ. По замыслу создателей применяться он может самыми различными структурными единицами, начиная с отделов и заканчивая организациями и даже ассоциациями.
В целом весь Фреймворк делится на 3 основных части:
Ядро (the Framework Core)
Профили (the Framework Profile)
Уровни реализации (the Framework Implementation Tiers)
Ядро представляет собой набор информативных ссылок по информационной безопасности, общий для некоторого набора критических ресурсов. Изображен на рис. 1.
Рис. 1 - Структура ядра фреймворка
Функции систематизируют базовые активности ИБ на самом высоком уровне абстракции. К ним относятся: идентификация (Identify), защита (Protect), обнаружение (Detect), реагирование(Respond) и восстановление (Recover).
Категории являются подразделами Функций, тесно связанными с практическими нуждами и реальными мероприятиями. Например: управление активами (Asset Management), контроль доступа (Access Control,), планирование восстановления (Recovery Planning).
Информативные ссылки (Informative References) указывают на конкретные разделы руководств, практик и стандартов, иллюстрирующие методы выполнения конкретных активностей. Например, ссылки на контроли безопасности из NIST SP 800-53 rev 4 или COBIT 5.
Профили являются инструментом, позволяющим организации определить последовательность устранения рисков ИБ в соответствии с задачами всей организации и отдельных её структурных подразделений, учитывающим требования законодательства, регуляторов и лучших практик, а также отражающим приоритеты процесса управления рисками. Профили могут быть использованы для описания как текущего, так и целевого статуса ИБ, что позволяет обнаружить недостатки для дальнейшего устранения рисков ИБ. Целевой профиль создаётся для отражения требований ИБ, предъявляемых к бизнесу, и может использоваться при взаимодействии между организациями по вопросам ИБ.
Пример сравнения профилей и выявления недостатков показан на рис. 2.
Рис. 2 - Сравнение профилей и выявление недостатков
фреймворк риск управление ядро
Уровни реализации Фреймворка показывают, как в организации осуществляется управление рисками ИБ. Уровни описывают строгость и сложность применяемых практик управления рисками ИБ и в какой степени управление рисками ИБ интегрировано в общий процесс управления рисками.
Уровень 1: Частичный;
Уровень 2: Информированный о рисках;
Уровень 3: Информированный о рисках и повторяемый;
Уровень 4: Адаптивный.
Само ядро Фреймворка приведено на рис. 3.
Рис. 3 - Ядро фреймворка
NIST Cybersecurity Framework была создана американской организацией National Institute of Standards and Technology. Суть Фреймворка заключается в предоставлении организациям, ответственным за критические ресурсы, единого подхода для управления рисками ИБ, основывающегося на приоритизации, гибкости, производительности и экономической эффективности. Он, прежде всего, будет полезен государственным или особо важным организациям, обеспечение информационной безопасности которых критично для безопасности страны.
Библиографический список
1. Framework for Improving Critical Infrastructure Cybersecurity. // National Institute of Standards and Technology.
Размещено на Allbest.ru
Подобные документы
Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Структурная схема ЛВС. Информационные ресурсы (классификация объектов). Пользователи ИС (классификация субъектов). Класс безопасности. Управление рисками. Экономический аспект. Процедуры информационной безопасности. Поддержка работоспособности системы.
курсовая работа [1,3 M], добавлен 28.11.2008Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Основные методы атак на информацию и способы защиты от компьютерных злоумышленников. Системы и технологии информационной безопасности, определение угроз и управление рисками. Понятие криптосистемы, построение антивирусной защиты и работа брандмауэров.
курсовая работа [52,5 K], добавлен 31.08.2010Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Критерии определения безопасности компьютерных систем и механизмы их реализации. Содержание международного стандарта управления информационной безопасностью ISO 17799. Критерии оценки защищенности информационных систем и практика прохождения аудита.
реферат [336,8 K], добавлен 03.11.2010Характеристика и состав Microsoft Solution Framework. Модель команды, её характеристики. Цели качества команды проекта. Модель процессов, её содержание. Принципы управления рисками. Утверждение целей и границ, плана проекта. Модель приложений MSF.
презентация [752,5 K], добавлен 10.05.2013