Marco de gestión de riesgos
El marco de gestión de riesgos (RMF) es una directriz, estándar y proceso del gobierno federal de los Estados Unidos para la gestión de riesgos para ayudar a proteger los sistemas de información (computadoras y redes) desarrollado por el Instituto Nacional de Estándares y Tecnología . El marco de gestión de riesgos (RMF), ilustrado en el diagrama de la derecha, proporciona un proceso disciplinado y estructurado que integra la seguridad de la información , la privacidad y las actividades de gestión de riesgos en el ciclo de vida del desarrollo del sistema . [1] [2]
El documento principal que describe los detalles de RMF es la publicación especial NIST 800-37 , "Marco de gestión de riesgos para sistemas y organizaciones de información: un enfoque del ciclo de vida del sistema para la seguridad y la privacidad". [3] Esta es la segunda revisión de este documento y reemplaza la primera revisión "Guía para la Aplicación del Marco de Gestión de Riesgos a los Sistemas de Información Federales". [1]
Los diversos pasos del RMF se vinculan con varios otros estándares y pautas del NIST, incluida la Publicación especial del NIST 800-53 , "Controles de seguridad y privacidad para sistemas de información y organizaciones".
La Ley de Gobierno Electrónico de 2002 (Ley Pública 107-347) titulada FISMA 2002 (Ley Federal de Gestión de la Seguridad de la Información) fue una ley aprobada en 2002 para proteger los intereses económicos y de seguridad nacional de los Estados Unidos relacionados con la seguridad de la información . [11]
Posteriormente, el Congreso aprobó FISMA 2014 (Ley Federal de Modernización de la Seguridad de la Información) para proporcionar mejoras sobre FISMA 2002 al:
FISMA requería proteger la información y los sistemas de información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para brindar Confidencialidad, Integridad y Disponibilidad. [13] El Título III de FISMA 2002 encargó al NIST la responsabilidad de las normas y directrices, incluido el desarrollo de:
