800-я серия стандартов по информационной безопасности от National Institute of Science and Technologies дополнилась проектом нового стандарта по управлению информационными рисками.
На смену старому доброму SP 800-30 Risk Management Guide for Information Technology System приходит новый SP 800-39 "Integrated Enterprise-Wide Risk Management: Organization, Mission, and Information System View". SP 800-39 стандарт заменит SP 800-30 в вопросах управления рисками. Сам же SP 800-30 будет пересмотрен в следующем году и будет віполнять роль вспомогательного стандарта, сосредоточившись сугубо на вопросах оценки рисков.
Как понятно из названия нового стандарта, акцент смещается с вопросов управления информационными рисками на интеграцию в общекорпоративную систему управления рисками.
Приятно, что есть регуляторы, не только хорошо понимающие современные тенденции в информационной безопасности и своевременно обновляющие нормативную базу, но и умеющие описывать те самые тенденции на простом и понятном языке.
В итоге, кроме выше упомянутых стандартов, вопросы управления информационными рисками будут регламентировать следующие документы:
На смену старому доброму SP 800-30 Risk Management Guide for Information Technology System приходит новый SP 800-39 "Integrated Enterprise-Wide Risk Management: Organization, Mission, and Information System View". SP 800-39 стандарт заменит SP 800-30 в вопросах управления рисками. Сам же SP 800-30 будет пересмотрен в следующем году и будет віполнять роль вспомогательного стандарта, сосредоточившись сугубо на вопросах оценки рисков.
Как понятно из названия нового стандарта, акцент смещается с вопросов управления информационными рисками на интеграцию в общекорпоративную систему управления рисками.
Приятно, что есть регуляторы, не только хорошо понимающие современные тенденции в информационной безопасности и своевременно обновляющие нормативную базу, но и умеющие описывать те самые тенденции на простом и понятном языке.
В итоге, кроме выше упомянутых стандартов, вопросы управления информационными рисками будут регламентировать следующие документы:
- SP 800-37 Rev. 1 Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach
- SP 800-53 Rev. 3 Recommended Security Controls for Federal Information Systems and Organizations
- SP 800-53 A Rev. 1 Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans
- И будущий 800-30, который поменяет свое название в соответствие с новой ролью на "Guide for Conducting Risk Assessment"
Комментариев нет:
Отправить комментарий