Nieuwe publicatie verandert fundamenteel federaal informatiebeveiligingsrisicobeheer

Nieuwe publicatie verandert fundamenteel federaal informatiebeveiligingsrisicobeheer

Anonim

Door Evelyn Brown, National Institute of Standards and Technology

Het National Institute of Standards and Technology (NIST) heeft de definitieve versie van een speciale publicatie gepubliceerd die organisaties kan helpen informatieplanning voor informatiebeveiliging effectiever te integreren in hun missiekritieke functies en algemene doelen.

Beheer van informatiebeveiligingsrisico: organisatie, missie en informatiesysteemweergave (NIST Special Publication 800-39) biedt de basis voor een drieledige, risicobeheerbenadering die "fundamenteel verandert hoe we informatiebeveiligingsrisico's op federaal niveau beheren", zegt Ron Ross, NIST Fellow en een van de belangrijkste auteurs van de publicatie.

Al tientallen jaren beheren organisaties risico's op het niveau van het informatiesysteem, wat resulteerde in een zeer beperkt perspectief dat op risico gebaseerde beslissingen van het senior management beperkte, legt Ross uit. SP 800-39 roept op tot een holistische benadering waarin senior leiders bepalen wat moet worden beschermd op basis van de kernmissies en bedrijfsfuncties van de organisatie. Managers van een elektriciteitscentrale die is aangesloten op het distributienetwerk, moeten er bijvoorbeeld voor zorgen dat de computerbeveiliging ervoor zorgt dat hackers de stroomopwekking van de fabriek niet verstoren of het elektriciteitsnet betreden om grotere schade aan te richten.

De publicatie is de vierde in de reeks richtlijnen voor risicobeheer en informatiebeveiliging die wordt ontwikkeld door het Joint Task Force Transformation Initiative, een gezamenlijk partnerschap tussen het Department of Defence, Intelligence Community, NIST en de Commission on National Security Systems.

De meerlagige risicobeheerbenadering beschreven in SP 800-39 verloopt van organisatie tot missies tot informatiesystemen. Het doel is om ervoor te zorgen dat strategische overwegingen investeringen en operationele beslissingen stimuleren met betrekking tot het beheren van risico's voor organisatorische activiteiten (inclusief missie, functie, imago en reputatie), organisatorische activa, individuen, andere organisaties (samenwerken of samenwerken met federale agentschappen en aannemers) en de natie.

Dit soort op risico gebaseerde besluitvorming is van cruciaal belang omdat organisaties zich richten op geavanceerde aanhoudende bedreigingen van geavanceerde cyberaanvallen die het potentieel hebben om informatiesystemen te degraderen of te verzwakken die de kritieke toepassingen en operaties van de federale overheid ondersteunen.

"SP 800-39 gaat over het bouwen van veiligere informatiesystemen waarmee senior leiders en leidinggevenden uiteindelijk de missie en het bedrijfsrisico van hun ondernemingen beter kunnen begrijpen door het steeds toenemende gebruik van en afhankelijkheid van informatietechnologie en netwerkconnectiviteit, "Zegt Ross.