Suggerimenti per implementare il NIST, un framework, che racchiude le migliori pratiche in materia di sicurezza informatica.
Con l’utilizzo di questo framework, le aziende possono implementare i controlli di security adeguati ed una governance della security puntuale ed efficace.
Nella preparazione ed organizzazione di una governance della security è fondamentale applicare le guide comprendenti le fasi di assessment, pianificazione, gestione dei rischi applicazione dei controlli, valutazione dell’efficacia della security e dei controlli.
Le aziende dovrebbero condurre un risk assessment, la guida illustra come eseguire ciascuna fase del processo di valutazione dei rischi, le fasi includono la preparazione per la valutazione, la comunicazione di risultati della valutazione e il mantenimento della valutazione. Fornendo un supporto anche nel garantire la valutazione del rischio di altri processi organizzativi in modo che si integrino e vi sia uno scambio di informazioni tra tutti i processi.
Le guide fornisco il supporto all’organizzazione dei processi per identificare possibili fattori di rischio e determinare se i rischi sono aumentati a livelli inaccettabili e se devono essere adottate diverse linee di azione.
Pianificazione di emergenza per i sistemi di informazioni, vengono fornite una serie di raccomandazioni specifiche sulla pianificazione di emergenza per tre tipi di piattaforme fornisce strategie e tecniche comuni a tutti i sistemi: client/server, sistemi di telecomunicazione e sistemi mainframe. Fornendo istruzioni raccomandazioni e considerazioni, la guida fornisce un processo di pianificazione di emergenza in setta fasi che un’organizzazione può utilizzare per sviluppare e mantenere un programma di pianificazione di emergenza fattibile per i sistemi di informazione implementati.
Il modulo per l’applicazione del framework della gestione dei rischi dei sistemi informativi fornisce le linee guida per l’applicazione del Risk Management Framework includendo le attività di categorizzazione della sicurezza, selezione e implementazione del controllo di sicurezza, controllo di sicurezza valutazione, autorizzazione del sistema informativo e monitoraggio del controllo di sicurezza.
Il modulo fornisce le linee guida per la selezione dei controlli di sicurezza per le organizzazioni e per i sistemi di informazione governativi, le linee guida si applicano a tutti i componenti dei sistemi di informazione che elaborano, archiviano o trasmettono informazioni federali. La pubblicazione fornisce una serie di controlli di gestione dei programmi di sicurezza delle informazioni (PM) che sono tipicamente implementati a livelo di organizzazione e non diretti ai singoli sistemi di informazione governativa. Fornendo una serie di controlli sulla privacy basati su standard internazionali e migliori pratiche che aiutano le organizzazioni a fa rispettare i requisiti derivanti dalla legislazione delle direttive, dalle politiche, dai regolamenti e dagli standard federali.
Il modulo dei controlli fornisce le linee guida per la costruzione di efficaci piani di valutazione della sicurezza e della privacy per valutare l’efficacia e privacy impiegati nei sistemi e nelle organizzazioni di informazioni.
Lo standard viene utilizzato per:
Migliorare la resilienza contro il panorama delle minacce in continua evoluzione;
Abilitare la conformità con i principali standard relativi alla sicurezza delle informazioni;
Convalida delle disposizioni in materia di sicurezza delle informazioni con fornitori esterni;
Fornire una base per la valutazione del rischio di informazione;
Formare una base per politiche standard e procedure;
Aumentare la consapevolezza della sicurezza delle informazioni;
Sviluppare o migliorare la sicurezza delle informazioni in risposta al cambiamento delle minacce.
Il framework NIST contiene gli standard e i moduli a supporto delle attività di security tra cui:
800-37 RFM (Risk Management Framework)
800-39 Risk Management (InfoSec)
