PrzybornikStandardyŚwiatWieści

Piąte wydanie znanego standardu

NIST Special Publication 800-53

Ważne
  • Wszystko się zmienia. Zmienia się też podejście do problematyki zarządzania ryzykiem IT. Niestety, chcąc być na bieżąco trzeba poświęcić sporo czasu na studiowanie nowości ...

We wrześniu, a więc stosunkowo niedawno, National Institute of Standards and Technology (NIST) opublikował kolejną, piątą już wersję tzw. specjalnej publikacji uchodzącej powszechnie za standard w dziedzinie zarządzania bezpieczeństwem technologii informatycznych: „Security and Privacy Controls for Information Systems and Organizations”.

Publikacja w całości poświęcona jest zagadnieniom zapewnienia bezpieczeństwa i ochrony prywatności związanych z wykorzystywaniem technologii informatycznych. W porównaniu z wcześniejszymi wersjami (wydaniami) dokonano kilku zmian. Część z nich miała charakter redakcyjny i precyzujący istniejące dotychczas zapisy. Ale też pojawiły się nowe idee skutkujące utworzeniem rodziny mechanizmów kontrolnych w ramach zarządzania ryzykiem łańcucha dostaw. Rzecz jasna, dotyczy to łańcucha dostaw technologii informatycznych a nie np. towarów, podzespołów i półproduktów wykorzystywanych w produkcji przemysłowej.

Ogółem, w publikacji zdefiniowanych jest 20 grup (rodzin) mechanizmów kontrolnych w zakresie zarządzania bezpieczeństwem i prywatnością w aspekcie technologii informatycznych:

  • Sterowanie dostępem
  • Świadomość i szkolenia
  • Audyt i odpowiedzialność
  • Ocena, autoryzacja i monitorowanie
  • Zarządzanie konfiguracją
  • Planowanie ciągłości
  • Identyfikacja i autentykacja
  • Reagowanie na incydenty
  • Utrzymanie
  • Ochrona nośników
  • Ochrona fizyczna i środowiskowa
  • Planowanie
  • Zarządzanie programem
  • Bezpieczeństwo personelu
  • Przetwarzanie i transparentność informacji osobowych
  • Ocena ryzyka
  • Nabywanie systemów i usług
  • Ochrona systemów i komunikacji
  • Integralność systemów i informacji
  • Zarządzanie ryzykiem łańcucha dostaw

Jak widać, dwie grupy mają bezpośrednie odwołania do mechanizmów zarządzania ryzykiem – tutaj ryzykiem IT.

Ocena ryzyka

To grupa (rodzina), w ramach której zdefiniowano 9 głównych kategorii mechanizmów kontrolnych (ang: controls):

Opracowanie własne na podstawie NIST 800-53. Kliknij, żeby powiększyć …

Zarządzanie ryzykiem łańcucha dostaw

Jak już wspomnieliśmy, to nowa grupa (rodzina), nie było jej we wcześniejszych wersjach standardu NIST 800-53. Zawiera 12 głównych kategorii:

 1. Zasady i procedury

 2. Plan zarządzania ryzykiem łańcucha dostaw

  • Powołanie zespołu zarządzania ryzykiem łańcucha dostaw

 3. Kontrole i procesy łańcucha dostaw

  • Zróżnicowane źródła dostaw
  • Ograniczanie szkód
  • Odpowiedzialność dostawców obejmuje odpowiedzialność poddostawców

 4. Pochodzenie

  • Tożsamość
  • Śledzenie i monitorowanie
  • Weryfikacja oryginalności i niezmienności
  • Integralność łańcucha dostaw – pochodzenie

 5. Strategie, narzędzia i metody pozyskiwania

  • Odpowiednia dostawa
  • Oceny przed wyborem, akceptacją, modyfikacją lub aktualizacją

 6. Oceny i przeglądy dostawców

  • Testy i analizy

 7. Bezpieczeństwo funkcjonowania łańcucha dostaw

 8. Umowy powiadamiania

 9. Odporność na manipulacje i wykrywanie

  • Wiele etapów w cyklu życia rozwoju systemu

 10. Inspekcja systemów lub komponentów

 11. Autentyczność składników / komponentów

  • Szkolenie w zakresie podrabiania / fałszowania
  • Kontrola konfiguracji utrzymania i napraw składników
  • Skanowanie zapobiegające podrabianiu / fałszowaniu

 12. Dysponowanie składnikami systemów

Warto pamiętać, że to nie jedyna publikacja, z której mogą czerpać osoby odpowiedzialne za systemy zarządzania ryzykiem – szczególnie w dużych firmach i organizacjach.

W „Bibliotece Zarządzania Ryzykiem” powinny się również znaleźć inne publikacje NIST:

  • NIST SP 800-53B; Control Baselines for Information Systems and Organizations; October 2020
  • NIST SP 800-37 R2; Risk Management Framework for Information Systems and Organizations; December 2018
  • NISTIR 8286; Integrating Cybersecurity and Enterprise Risk Management (ERM); October 2020

Tej ostatniej publikacji poświęciliśmy osobny artykuł.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły