Что такое структура управления рисками? (с шагами и преимуществами)

14 апреля 2022 г.

Управление безопасностью онлайн-сетей и наборов данных является важнейшим компонентом кибербезопасности как государственных, так и гражданских сетей и активов. Правительство Соединенных Штатов описывает свою собственную систему управления рисками, или RMF, в которой подробно описывается, как правительственные сети, цифровые активы и информация остаются в безопасности. Понимание RMF важно для понимания того, как правительство защищает данные на правительственном уровне, что влияет на гражданскую кибербезопасность. В этой статье мы исследуем определение и цель структуры управления рисками и перечислим семь шагов в этой структуре.

Что представляет собой система управления рисками?

Структура управления рисками, установленная правительством США, представляет собой серию из семи компонентов, которые помогают организациям управлять рисками информационной безопасности и конфиденциальности. Эти принципы, поддерживаемые NIST или Национальным институтом стандартов и технологий, защищают как правительственные сети высокого уровня, так и информационные и гражданские наборы данных. Защита конфиденциальности и безопасности правительственных и гражданских данных может иметь важное значение для усилий по национальной безопасности, требуя строгих протоколов, бдительности и постоянной эволюции стандартов и методов безопасности по мере роста и изменения угроз.

Компоненты системы управления рисками

Система управления рисками состоит из нескольких основных компонентов, в том числе:

Идентификация. Идентификация риска включает идентификацию и анализ угроз, уязвимостей в системе безопасности, воздействия потенциальных угроз, вероятности атаки и предрасполагающих условий, которые могут сделать систему или организацию более уязвимой.
Управление: Управление рисками охватывает все усилия организации по управлению рисками и помогает управлять их влиянием и вероятностью.
Смягчение: Смягчение включает все усилия организации по минимизации воздействия, вероятности и серьезности любых угроз.
Измерение и оценка: организации измеряют и оценивают уровень угрозы или уровень риска, определяя его серьезность и вероятность.
Отчетность и мониторинг: организации сообщают об угрозах, вероятных угрозах и отслеживают предыдущие или текущие угрозы.

Этапы системы управления рисками

Система управления рисками состоит из семи ключевых шагов:

1. Подготовьте

Организации сначала готовятся к потенциальной угрозе. Это может включать в себя выделение средств на обеспечение безопасности, поиск правильных инструментов или систем для смягчения и мониторинга угроз и подготовку персонала к эффективному реагированию на любые угрозы. Процесс помогает достичь следующих целей:

Определите ключевые роли в процессе управления рисками: этот процесс помогает назначить нужных людей для процесса управления рисками на основе навыков и знакомства со снижением рисков и реагированием.
Определение устойчивости к риску: эта часть процесса определяет устойчивость организации к риску и устанавливает систему управления рисками для организации.
Создайте процесс оценки рисков в масштабах всей организации. Этот шаг помогает организации создать процесс оценки рисков для всей организации и ее компонентов.
Создайте стратегию мониторинга: устанавливает общеорганизационную стратегию постоянного мониторинга угроз и определяет общие элементы управления.

2. Категоризировать

Этот этап процесса помогает организации классифицировать угрозы по неблагоприятным последствиям. К неблагоприятным последствиям обычно относятся такие вещи, как нарушение конфиденциальности и доступность систем, которые обрабатывают и хранят эту информацию. Категоризация угроз может помочь организациям быстрее реагировать на определенные угрозы. Классификация обычно преследует следующие цели:

Документирование характеристик системы: процесс категоризации помогает документировать каждый компонент системы и его характеристики, чтобы более эффективно выявлять угрозы, влияющие на эти компоненты, и реагировать на них.
Категоризация безопасности системы. Этот процесс помогает классифицировать каждый компонент системы и его меры безопасности.
Проверка и утверждение категоризации. Уполномоченный официальный представитель проверяет и утверждает каждую категорию в процессе, проверяя их на предмет полноты и точности.

3. Выберите

Организация выбирает, какие элементы управления ей необходимы для защиты системы. При правильной подготовке и категоризации организация, как правило, гораздо лучше понимает, какие меры защиты могут потребоваться для смягчения угроз и реагирования на них. Процесс отбора направлен на достижение следующих целей:

Выберите базовые параметры контроля: Группа управления рисками выбирает базовые уровни контроля или базовые элементы управления для структуры управления рисками.
Назначьте элементы управления: команда назначает средства управления с помощью системных средств управления для отдельных систем или общих средств управления, которые являются базовыми универсальными средствами управления. Они также могут использовать гибридные элементы управления, которые представляют собой комбинацию обоих.
Разработайте процессы мониторинга на уровне системы. Команда выбирает процесс мониторинга на уровне системы для постоянного отслеживания потенциальных угроз.
Проверка и утверждение планов. Уполномоченное должностное лицо проверяет и утверждает планы безопасности и конфиденциальности, созданные и реализованные группой управления рисками.

4. Реализовать

Команда внедряет элементы управления, которые они выбрали на предыдущем шаге, контролируя каждый из них по конкретным параметрам, чтобы измерить успех и внести изменения, если это необходимо. Команды по управлению рисками реализуют как системные меры для отдельных систем внутри организации, так и общеорганизационные методы. Внедрение позволяет достичь следующих целей:

Внедрение протоколов безопасности и конфиденциальности: команда внедряет элементы управления, которые они рассмотрели и выбрали на этапе выбора.
Обновите планы безопасности и конфиденциальности: команда внедряет свои элементы управления и обновляет элементы управления и протоколы по мере необходимости, уменьшая прогресс и успех каждого элемента управления.

5. Оценить

Этап оценки представляет собой процесс обзора, в ходе которого группа управления рисками анализирует средства контроля на предмет правильного внедрения, работы и результата. Они проверяют каждый элемент управления по отдельности и как сеть элементов управления безопасностью, чтобы определить, работают ли они для своих конкретных целей и как единое целое. Команда может вносить коррективы на основе этого анализа. Вот желаемые результаты этапа оценки:

Выберите группу оценки. Как правило, уполномоченный менеджер выбирает группу специалистов по безопасности для оценки средств контроля.
Разработайте планы оценки: команда разрабатывает план оценки каждого элемента управления, определяя параметры успеха и неудачи для измерения каждого элемента управления.
Оценка элементов управления: команда оценивает каждый элемент управления в соответствии с планом оценки и определяет успех или неудачу каждого элемента управления.
Создание отчетов об оценке: команда создает отчеты о своей оценке средств контроля конфиденциальности и безопасности для внутренней проверки или отправки в проверяющие органы.
Создайте планы реагирования на недостатки: команда создает план реагирования на любые недостатки в элементах управления или методах обеспечения безопасности и конфиденциальности.
Разработка вех: команда разрабатывает вехи, чтобы помочь измерить прогресс, успех и неудачи каждого элемента управления и всей системы.

6. Авторизоваться

Процесс авторизации помогает повысить подотчетность всего процесса, требуя окончательного одобрения со стороны старшего должностного лица в организации. Это может помочь гарантировать, что меры контроля и методы обеспечения безопасности или конфиденциальности соответствуют современным стандартам, и позволит организации контролировать каждый шаг в процессе. Авторизация обычно достигается:

Создание разрешительных документов: создание разрешительных документов, таких как резюме, планы безопасности и конфиденциальности, отчеты об оценке и основные этапы, для обеспечения письменного отчета о процессе.
Обеспечьте авторизацию для каждого элемента управления: старший сотрудник просматривает и утверждает каждый шаг в процессе и каждый отдельный элемент безопасности или конфиденциальности.
Обеспечьте подотчетность организации: высокопоставленное должностное лицо, утверждающее каждый элемент управления, помогает обеспечить большую ответственность за процесс и позволяет быстрее выявлять ошибки и реагировать на них.

7. Монитор

Мониторинг каждого элемента управления и угрозы имеет решающее значение для успеха RMF, поскольку он гарантирует, что организация реагирует на возникающие угрозы и вносит изменения по мере необходимости. Ситуационная осведомленность может иметь решающее значение при возникновении новых угроз и во многом зависит от хорошо зарекомендовавшей себя структуры и хорошего руководства со стороны старших должностных лиц. Мониторинг обычно достигает следующих целей:

Мониторинг систем и элементов управления: команда контролирует всю систему и каждый отдельный элемент управления в системе, чтобы быстрее и эффективнее реагировать на изменения или угрозы.
Проведение текущих оценок: Мониторинг также позволяет команде RMF проводить непрерывные оценки для выявления любых ошибок или проблем в средствах контроля.
Предлагайте постоянные разрешения: непрерывный мониторинг также дает возможность старшим должностным лицам предлагать разрешения для новых средств контроля, изменений или реагирования на угрозы.

Преимущества системы управления рисками

Использование RMF может предложить организациям множество преимуществ, в том числе:

Более быстрое реагирование на угрозы. Организуя и постоянно отслеживая элементы управления системой, организации могут быстрее выявлять потенциальные угрозы и реагировать соответствующим образом, смягчая любые угрозы финансового или другого ущерба, которые могут возникнуть.
Больше организации: RMF помогает организовать процесс мониторинга, управления и реагирования на угрозы, что может помочь команде лучше понять свои роли.
Повышение ответственности. Использование RMF помогает организации повысить ответственность за процесс защиты данных и конфиденциальности. Сеть подотчетности может помочь определить, где происходят сбои, и привлечь виновных к ответственности за свои действия или бездействие.

Обратите внимание, что ни одна из компаний, упомянутых в этой статье, не связана с компанией Indeed.

Что представляет собой система управления рисками?

Компоненты системы управления рисками

Этапы системы управления рисками

1. Подготовьте

2. Категоризировать

3. Выберите

4. Реализовать

5. Оценить

6. Авторизоваться

7. Монитор

Преимущества системы управления рисками

Что такое отказ от работы? (Включает советы по созданию политики отказа от работы)

10 профессий в индустрии похоронных бюро

Узнайте о том, как быть официантом в ресторане

Полное руководство по внутренней и внешней коммуникации

Что такое мобильная реклама и как она работает?

Как написать резюме арт-куратора (с шаблоном и примером)

Добавить комментарий Отменить ответ

Что представляет собой система управления рисками?

Компоненты системы управления рисками

Этапы системы управления рисками

1. Подготовьте

2. Категоризировать

3. Выберите

4. Реализовать

5. Оценить

6. Авторизоваться

7. Монитор

Преимущества системы управления рисками

Похожие записи

Добавить комментарий Отменить ответ