美国国家标准与技术研究所(NIST)推出风险管理框架(RMF) 2.0 更新最终版,为公司企业定义及管理风险提供全新详细指南。
RMF 2.0 于12月20日正式发布,是历经7个月咨询与意见收集的成果。RMF 2.0 的正式名称为“NIST特殊出版物 (SP) 800-37 修订 2”,概述了联邦机构和想要符合该标准的公司企业解决安全和隐私风险管理问题的方法。RMF 2.0 更新主要是与NIST网络安全框架做了融合,该框架描述的是美国政府机构应采用的控制与过程。
RMF 2.0 作者之一,NIST 的 Ron Ross 在媒体通告中写道:RMF 2.0 赋予了联邦机构强有力的管理工具,使他们能以统一的框架管理安全和隐私风险。新框架的发布确保合规意味着真正的网络安全和隐私风险管理,而不仅仅是照着静态的控制措施列表划勾。
RMF 2.0 本身是个长达183页的报告,任何人都能免费下载。报告指出,实现该RMF的组织机构将能最大化自动化工具的使用,大幅提升安全分类管理和控制选择、评估与监视的效率。
RMF中写道:本框架为在充满复杂高级威胁,职能使命及系统和组织性漏洞经常变化发展的动态环境中有效管理安全和隐私风险提供了动态而灵活的方法。本框架无关策略与技术,方便IT资源与IT现代化工作的持续升级,可支持并确保转型期间基本任务与服务的持续提供。
RMF 2.0 包含多项任务,其中就有列出组织机构中所有风险管理角色及策略这一项。确定常用控制并实现持续监视策略是RMF的另一大重点。风险本身是 RMF 2.0 的核心,要求组织机构执行涵盖所有需保护资产的风险评估。
作为风险评估的主要部分,资产基于其遗失后果加以优先排序。每种资产类型都要定义出遗失的含义以确定遗失后果(例如遗失的不利影响)。
行业反应
NIST的网络安全指南已成为多家监管、风险及合规(GRC)供应商产品组合中的基本元素。多名业内专家对RMF的改良更新及其对网络安全的促进作用满腔热忱。
RSA风险管理策略师 Steve Schlarma 表示:他们将 NIST RMF 视为NIST风险管理操作建议的进一步精炼,以及在企业安全、个人隐私和组织性风险管理领域持续指导的桥梁。他们一直以来都坚信,想要高效管理信息安全,企业必须采取基于风险的方法。
迈克菲首席策略官和政府事务主管 Tom Gann 也支持 RMF 2.0。他指出,NIST网络安全框架呈现出的是识别及管理组织机构网络安全风险的渐进式合理方法。
Fidelis Cybersecurity 首席数据科学家 Abdul Rahman 评论道,本次 RMF 2.0 更新重点强调了对个人敏感数据的保护。
组织机构光做好威胁预防是不够的,我们已经见证了仅用预防性工具并不足以拦住动机强烈的高级攻击者。
One Identity 产品市场营销经理兼合规专家 Istvan Molnar 同样认为 RMF 2.0 中对隐私的强调值得一提。Molnar称, RMF 2.0 文档特别指出了组织机构需考虑该如何推进并制度化隐私和信息安全项目之间的协作,确保这两个领域的目标在过程中每一步都相辅相成。
Molnar表示:值得一提的是,该报告不仅仅提到了访问,还有‘系统行为’,比仅仅关注数据访问控制更进了一步。而且,该框架提倡在整个系统开发生命周期中将风险管理融入信息系统的安全及隐私功能中。
Forcepoint首席信息官 Meerah Rajavel 认为 RMF 2.0 有3个关键点,首先就是数字及网络安全正成为董事会议程的中心议题。
RMF 2.0 聚焦与高管的联系与沟通,对网络安全&风险管理框架之间的协同效应提供了指导,有助提升CISO和CIO在董事会会议桌上的分量。
其次就是该框架重视IT/OT和供应链,这些都是关键基础设施防御的重中之重。
最后一个重要元素就是将隐私与风险关联了起来,有助于其他合规操作,比如GDPR、加州隐私法案等等。
RMF 2.0 报告:
https://doi.org/10.6028/NIST.SP.800-37r2
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。