Khung quản lý rủi ro của NIST (NIST’s Risk Management Framework)

Thứ ba - 13/06/2023 03:06 963 0
Như bạn có thể nhớ từ trước đó trong các bài trước, Viện Tiêu chuẩn và Công nghệ Quốc gia (National Institute of Standards and Technology), NIST, cung cấp nhiều khuôn khổ được sử dụng bởi các chuyên gia bảo mật để quản lý rủi ro, mối đe dọa và lỗ hổng.
1
1

Khung quản lý rủi ro của NIST hoặc RMF

Là một nhà phân tích cấp đầu vào, bạn có thể không tham gia vào tất cả các bước này, nhưng điều quan trọng là phải làm quen với khuôn khổ này. Có hiểu biết nền tảng vững chắc làm thế nào để giảm thiểu và quản lý rủi ro có thể tạo sự khác biệt với các ứng viên khác khi bạn bắt đầu tìm kiếm công việc của bạn trong lĩnh vực an ninh.

Có bảy bước trong RMF: chuẩn bị (prepare), phân loại (categorize), lựa chọn (select), thực hiện (implement), đánh giá (assess), ủy quyền (authorize) và giám sát (monitor)

Bước một, chuẩn bị (prepare).

Bước Chuẩn bị đề cập đến các hoạt động cần thiết để quản lý rủi ro bảo mật và quyền riêng tư trước khi vi phạm xảy ra. Là một nhà phân tích cấp đầu vào, bạn có thể sẽ sử dụng bước này để theo dõi rủi ro và xác định các biện pháp kiểm soát có thể được sử dụng để giảm thiểu những rủi ro đó.

Bước hai là phân loại (categorize),

Được sử dụng để phát triển quy trình và nhiệm vụ quản lý rủi ro. Sau đó, các chuyên gia bảo mật sẽ sử dụng các quy trình đó và phát triển các nhiệm vụ bằng cách suy nghĩ về cách bảo mật, tính toàn vẹn và tính sẵn có của hệ thống và thông tin có thể bị ảnh hưởng bởi rủi ro. Là một nhà phân tích cấp đầu vào, bạn sẽ cần phải có khả năng hiểu làm thế nào để làm theo các quy trình được thiết lập
bởi tổ chức của bạn để giảm rủi ro cho tài sản quan trọng, chẳng hạn như thông tin khách hàng cá nhân.

Bước ba là chọn (select).

Chọn có nghĩa là chọn, tùy chỉnh, và chụp tài liệu của các điều khiển bảo vệ một tổ chức. Một ví dụ về bước chọn sẽ được giữ một playbook cập nhật hoặc giúp quản lý các tài liệu khác cho phép bạn và nhóm của bạn để giải quyết các vấn đề hiệu quả hơn.

Bước bốn là thực hiện (implement)

Thực hiện kế hoạch bảo mật và quyền riêng tư cho tổ chức. Có kế hoạch tốt tại chỗ là điều cần thiết cho giảm thiểu tác động của các rủi ro bảo mật đang diễn ra. Ví dụ, nếu bạn nhận thấy một mô hình của nhân viên liên tục cần đặt lại mật khẩu, thực hiện một sự thay đổi để yêu cầu mật khẩu có thể giúp giải quyết vấn đề này.

Bước năm là đánh giá (assess).

Đánh giá có nghĩa là xác định xem kiểm soát được thiết lập được thực hiện một cách chính xác. Một tổ chức luôn muốn để hoạt động hiệu quả nhất có thể. Vì vậy, điều cần thiết là dành thời gian để phân tích xem các giao thức được triển khai, các thủ tục và kiểm soát trong địa điểm đang đáp ứng nhu cầu của tổ chức. Trong bước này, các nhà phân tích xác định điểm yếu tiềm năng và xác định
liệu các công cụ của tổ chức, thủ tục, kiểm soát, và các giao thức nên được thay đổi để quản lý tốt hơn các rủi ro tiềm tàng.

Bước sáu là ủy quyền (authorize).

Ủy quyền có nghĩa là chịu trách nhiệm về các rủi ro về bảo mật và quyền riêng tư mà có thể tồn tại trong một tổ chức. Là một nhà phân tích, bước ủy quyền có thể liên quan đến việc tạo báo cáo, xây  dựng kế hoạch hành động, và thiết lập các mốc quan trọng của dự án phù hợp với các mục tiêu bảo mật của tổ chức bạn.

Bước bảy là giám sát (monitor).

Giám sát có nghĩa là nhận thức được hệ thống đang hoạt động như thế nào. Đánh giá và duy trì hoạt động kỹ thuật là những nhiệm vụ mà các nhà phân tích hoàn thành hàng ngày. Một phần của việc duy trì mức độ thấp của rủi ro cho một tổ chức là biết các hệ thống hiện tại hỗ trợ như thế nào
các mục tiêu an ninh của tổ chức. Nếu các hệ thống tại chỗ không đáp ứng các mục tiêu đó, thay đổi có thể cần thiết.

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây