El marco de gestión de riesgos es una política y estándares del gobierno federal de los Estados Unidos para ayudar a proteger los sistemas de información (computadoras y redes) desarrollados por el Instituto Nacional de Estándares y Tecnología .
Las dos publicaciones principales que cubren los detalles de RMF son la Publicación especial 800-37 del NIST , "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales", y la Publicación especial 800-53 del NIST , "Controles de seguridad y privacidad para sistemas de información federales y Organizaciones ".
La Publicación especial 800-37 del NIST, "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales", desarrollada por el Grupo de trabajo de la Iniciativa de transformación de la Fuerza de Tarea Conjunta, transforma el proceso tradicional de Certificación y Acreditación (C&A) en el Marco de Gestión de Riesgos (RMF) .
El Marco de Gestión de Riesgos (RMF), ilustrado a la derecha, proporciona un proceso disciplinado y estructurado que integra la seguridad de la información y las actividades de gestión de riesgos en el ciclo de vida de desarrollo del sistema . [1]
Los pasos de RMF incluyen:
- Categorizar el sistema de información y la información procesada, almacenada y transmitida por ese sistema en base a un análisis de impacto. Se identifica a la parte con derecho a voto.
- Seleccionar un conjunto inicial de controles de seguridad de línea base para el sistema de información según la categorización de seguridad; Adaptar y complementar la línea de base del control de seguridad según sea necesario en función de una evaluación organizacional del riesgo y las condiciones locales. Si se aplican superposiciones al sistema, se agregarán en este paso
- Implemente los controles de seguridad identificados en el paso 2.
- Evaluar : un tercero evalúa los controles y verifica que los controles se apliquen correctamente al sistema.
- Autorizar : al sistema de información se le otorga o deniega una Autorización de Operación (ATO), en algunos casos se puede posponer mientras se arreglan ciertos ítems. La ATO se basa en el informe de la fase de evaluación.
- Monitorear : los controles de seguridad en el sistema de información se monitorean de una manera planificada previamente documentada anteriormente en el proceso. ATO es bueno por 3 años, cada 3 años el proceso debe repetirse.
Riesgos
Durante su ciclo de vida, un sistema de información enfrentará muchos tipos de riesgos que afectan la postura de seguridad general del sistema y los controles de seguridad que deben implementarse. El proceso RMF admite la detección temprana y la resolución de riesgos. El riesgo se puede clasificar en un nivel alto como riesgos de infraestructura, riesgos de proyectos, riesgos de aplicaciones, riesgos de activos de información, riesgos de continuidad del negocio, riesgos de subcontratación, riesgos externos y riesgos estratégicos. Los riesgos de infraestructura se centran en la confiabilidad de las computadoras y los equipos de red. Los riesgos del proyecto se centran en el presupuesto, el cronograma y la calidad del sistema. Los riesgos de la aplicación se centran en el rendimiento y la capacidad general del sistema. Los riesgos de los activos de información se centran en el daño, la pérdida o la divulgación de una parte no autorizada de los activos de información. Los riesgos de continuidad del negocio se centran en mantener un sistema confiable con el máximo tiempo de actividad. Los riesgos de subcontratación se centran en el impacto de que un proveedor externo cumpla con sus requisitos. [2] Los riesgos externos son elementos fuera del control del sistema de información que afectan la seguridad del sistema. Los riesgos estratégicos se enfocan en la necesidad de que las funciones del sistema de información se alineen con la estrategia comercial que respalda el sistema. [3]
Ver también
Referencias
- ^ Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales
- ^ Marco de gestión de riesgos de TI para la continuidad del negocio mediante análisis de cambios del sistema de información
- ^ Un estudio empírico sobre el marco de riesgo basado en el sistema de información empresarial