美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)推出風(fēng)險管理框架(RMF) 2.0 更新最終版，為公司企業(yè)定義及管理風(fēng)險提供全新詳細(xì)指南。

RMF 2.0 于12月20日正式發(fā)布，是歷經(jīng)7個月咨詢與意見收集的成果。RMF 2.0 的正式名稱為“NIST特殊出版物 (SP) 800-37 修訂 2”，概述了聯(lián)邦機(jī)構(gòu)和想要符合該標(biāo)準(zhǔn)的公司企業(yè)解決安全和隱私風(fēng)險管理問題的方法。RMF 2.0 更新主要是與NIST網(wǎng)絡(luò)安全框架做了融合，該框架描述的是美國政府機(jī)構(gòu)應(yīng)采用的控制與過程。

RMF 2. 0 作者之一，NIST的 Ron Ross 在媒體通告中寫道：RMF 2.0 賦予了聯(lián)邦機(jī)構(gòu)強(qiáng)有力的管理工具，使他們能以統(tǒng)一的框架管理安全和隱私風(fēng)險。新框架的發(fā)布確保合規(guī)意味著真正的網(wǎng)絡(luò)安全和隱私風(fēng)險管理，而不僅僅是照著靜態(tài)的控制措施列表劃勾。

RMF 2.0 本身是個長達(dá)183頁的報(bào)告，任何人都能免費(fèi)下載。報(bào)告指出，實(shí)現(xiàn)該RMF的組織機(jī)構(gòu)將能最大化自動化工具的使用，大幅提升安全分類管理和控制選擇、評估與監(jiān)視的效率。

RMF中寫道：本框架為在充滿復(fù)雜高級威脅，職能使命及系統(tǒng)和組織性漏洞經(jīng)常變化發(fā)展的動態(tài)環(huán)境中有效管理安全和隱私風(fēng)險提供了動態(tài)而靈活的方法。本框架無關(guān)策略與技術(shù)，方便IT資源與IT現(xiàn)代化工作的持續(xù)升級，可支持并確保轉(zhuǎn)型期間基本任務(wù)與服務(wù)的持續(xù)提供。

RMF 2.0 包含多項(xiàng)任務(wù)，其中就有列出組織機(jī)構(gòu)中所有風(fēng)險管理角色及策略這一項(xiàng)。確定常用控制并實(shí)現(xiàn)持續(xù)監(jiān)視策略是RMF的另一大重點(diǎn)。風(fēng)險本身是 RMF 2.0 的核心，要求組織機(jī)構(gòu)執(zhí)行涵蓋所有需保護(hù)資產(chǎn)的風(fēng)險評估。

“

作為風(fēng)險評估的主要部分，資產(chǎn)基于其遺失后果加以優(yōu)先排序。每種資產(chǎn)類型都要定義出遺失的含義以確定遺失后果(例如遺失的不利影響)。

行業(yè)反應(yīng)

NIST的網(wǎng)絡(luò)安全指南已成為多家監(jiān)管、風(fēng)險及合規(guī)(GRC)供應(yīng)商產(chǎn)品組合中的基本元素。多名業(yè)內(nèi)專家對RMF的改良更新及其對網(wǎng)絡(luò)安全的促進(jìn)作用滿腔熱忱。

RSA風(fēng)險管理策略師 Steve Schlarma 表示：他們將 NIST RMF 視為NIST風(fēng)險管理操作建議的進(jìn)一步精煉，以及在企業(yè)安全、個人隱私和組織性風(fēng)險管理領(lǐng)域持續(xù)指導(dǎo)的橋梁。他們一直以來都堅(jiān)信，想要高效管理信息安全，企業(yè)必須采取基于風(fēng)險的方法。

邁克菲首席策略官和政府事務(wù)主管 Tom Gann 也支持 RMF 2.0。他指出，NIST網(wǎng)絡(luò)安全框架呈現(xiàn)出的是識別及管理組織機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險的漸進(jìn)式合理方法。

Fidelis Cybersecurity 首席數(shù)據(jù)科學(xué)家 Abdul Rahman 評論道，本次 RMF 2.0 更新重點(diǎn)強(qiáng)調(diào)了對個人敏感數(shù)據(jù)的保護(hù)。

“

組織機(jī)構(gòu)光做好威脅預(yù)防是不夠的，我們已經(jīng)見證了僅用預(yù)防性工具并不足以攔住動機(jī)強(qiáng)烈的高級攻擊者。

One Identity 產(chǎn)品市場營銷經(jīng)理兼合規(guī)專家 Istvan Molnar 同樣認(rèn)為 RMF 2.0 中對隱私的強(qiáng)調(diào)值得一提。Molnar稱， RMF 2.0 文檔特別指出了組織機(jī)構(gòu)需考慮該如何推進(jìn)并制度化隱私和信息安全項(xiàng)目之間的協(xié)作，確保這兩個領(lǐng)域的目標(biāo)在過程中每一步都相輔相成。

Molnar表示：值得一提的是，該報(bào)告不僅僅提到了訪問，還有‘系統(tǒng)行為’，比僅僅關(guān)注數(shù)據(jù)訪問控制更進(jìn)了一步。而且，該框架提倡在整個系統(tǒng)開發(fā)生命周期中將風(fēng)險管理融入信息系統(tǒng)的安全及隱私功能中。

Forcepoint首席信息官 Meerah Rajavel 認(rèn)為 RMF 2.0 有3個關(guān)鍵點(diǎn)，首先就是數(shù)字及網(wǎng)絡(luò)安全正成為董事會議程的中心議題。

“

RMF 2.0 聚焦與高管的聯(lián)系與溝通，對網(wǎng)絡(luò)安全&風(fēng)險管理框架之間的協(xié)同效應(yīng)提供了指導(dǎo)，有助提升CISO和CIO在董事會會議桌上的分量。

其次就是該框架重視IT/OT和供應(yīng)鏈，這些都是關(guān)鍵基礎(chǔ)設(shè)施防御的重中之重。

最后一個重要元素就是將隱私與風(fēng)險關(guān)聯(lián)了起來，有助于其他合規(guī)操作，比如GDPR、加州隱私法案等等。

RMF 2.0 報(bào)告：

https://doi.org/10.6028/NIST.SP.800-37r2

本文轉(zhuǎn)自安全牛，nana

原文鏈接：https://mp.weixin.qq.com/s/ZrD2s8R2FeBsD2wDRvCqZg