Notizie e informazioni dal mondo della CYBER SECURITY.

Suggerimenti per implementare il NIST, un framework, che racchiude le migliori pratiche in materia di sicurezza informatica.

logo tips

 

Con l’utilizzo di questo framework, le aziende possono implementare i controlli di security adeguati ed una governance della security puntuale ed efficace.
Nella preparazione ed organizzazione di una governance della security è fondamentale applicare le guide comprendenti le fasi di assessment, pianificazione, gestione dei rischi applicazione dei controlli, valutazione dell’efficacia della security e dei controlli.

Le aziende dovrebbero condurre un risk assessment, la guida illustra come eseguire ciascuna fase del processo di valutazione dei rischi, le fasi includono la preparazione per la valutazione, la comunicazione di risultati della valutazione e il mantenimento della valutazione. Fornendo un supporto anche nel garantire la valutazione del rischio di altri processi organizzativi in modo che si integrino e vi sia uno scambio di informazioni tra tutti i processi.

Le guide fornisco il supporto all’organizzazione dei processi per identificare possibili fattori di rischio e determinare se i rischi sono aumentati a livelli inaccettabili e se devono essere adottate diverse linee di azione.

Pianificazione di emergenza per i sistemi di informazioni, vengono fornite una serie di raccomandazioni specifiche sulla pianificazione di emergenza per tre tipi di piattaforme fornisce strategie e tecniche comuni a tutti i sistemi: client/server, sistemi di telecomunicazione e sistemi mainframe. Fornendo istruzioni raccomandazioni e considerazioni, la guida fornisce un processo di pianificazione di emergenza in setta fasi che un’organizzazione può utilizzare per sviluppare e mantenere un programma di pianificazione di emergenza fattibile per i sistemi di informazione implementati.

Il modulo per l’applicazione del framework della gestione dei rischi dei sistemi informativi fornisce le linee guida per l’applicazione del Risk Management Framework includendo le attività di categorizzazione della sicurezza, selezione e implementazione del controllo di sicurezza, controllo di sicurezza valutazione, autorizzazione del sistema informativo e monitoraggio del controllo di sicurezza.

Il modulo fornisce le linee guida per la selezione dei controlli di sicurezza per le organizzazioni e per i sistemi di informazione governativi, le linee guida si applicano a tutti i componenti dei sistemi di informazione che elaborano, archiviano o trasmettono informazioni federali. La pubblicazione fornisce una serie di controlli di gestione dei programmi di sicurezza delle informazioni (PM) che sono tipicamente implementati a livelo di organizzazione e non diretti ai singoli sistemi di informazione governativa. Fornendo una serie di controlli sulla privacy basati su standard internazionali e migliori pratiche che aiutano le organizzazioni a fa rispettare i requisiti derivanti dalla legislazione delle direttive, dalle politiche, dai regolamenti e dagli standard federali.

Il modulo dei controlli fornisce le linee guida per la costruzione di efficaci piani di valutazione della sicurezza e della privacy per valutare l’efficacia e privacy impiegati nei sistemi e nelle organizzazioni di informazioni.

Lo standard viene utilizzato per:

Migliorare la resilienza contro il panorama delle minacce in continua evoluzione;
Abilitare la conformità con i principali standard relativi alla sicurezza delle informazioni;
Convalida delle disposizioni in materia di sicurezza delle informazioni con fornitori esterni;
Fornire una base per la valutazione del rischio di informazione;
Formare una base per politiche standard e procedure;
Aumentare la consapevolezza della sicurezza delle informazioni;
Sviluppare o migliorare la sicurezza delle informazioni in risposta al cambiamento delle minacce.

 

Il framework NIST contiene gli standard e i moduli a supporto delle attività di security tra cui:

 

tips1 NIST

 

800-30 Risk Assessment

800-34 Contingency Planning

 

tips2 NIST

 

800-37 RFM (Risk Management Framework)

800-39 Risk Management (InfoSec)

 

tips3 NIST

 

800-53 Security Controls

800-53A Audit

tips4 NIST

 

800-55 Performance Metrics

 

tips5 NIST

 

800-40 Patch Mgt.

Alberto P.
Autore: Alberto P.
Founder
Alberto da 20 anni si occupa di Cyber Security e Information Security, attualmente lavora come CISO per un gruppo finanziario e tecnologico. Ha sviluppato come R&D progetti tecnologici di Cyber Security e Artificial Intelligence, ha inoltre cooperato con realtà universitarie nello sviluppo di progetti basati su Blockchain e sicurezza informatica.
Ultimi articoli

Partner