NIST учел конфиденциальность в фреймворке управления киберрисками

Влад Безмалый 10 Мая 2018 - 09:52

...

NIST учел конфиденциальность в фреймворке управления киберрисками

С целью усиления защиты важнейших государственных активов от угроз кибербезопасности, а также защиты частной жизни, Национальный институт стандартов и технологий (National Institute of Standards and Technology (NIST) опубликовал проект обновления своей структуры управления рисками (Risk Management Framework (RMF) для того чтобы помочь организациям достичь своих целей.

Обновление RMF, формально озаглавленное Draft NIST Special Publication (SP) 800-37 Revision 2 – документ, призванный помочь организациям оценить риски, связанные с их информацией. Предыдущие версии RMF в первую очередь касались защиты кибербезопасности от внешних угроз. Обновленная версия раскрывает общую проблему конфиденциальности частных лиц, что помогает организациям лучше выявлять и реагировать на эти риски, в том числе связанные с использованием персональной информации.

Обновление соединяет RMF с Cybersecurity Framework (CSF) NIST .

По заявлению одного из авторов публикации, Рональда Росса из NIST, до сих пор федеральные агентства использовали RMF и CSF отдельно. В свою очередь, обновление предоставляет перекрестные ссылки, чтобы организации, использующие RMF, могли видеть, где и как CSF выравнивается с текущими изменениями в RMF. И наоборот, если вы используете CSF, вы можете привлечь RMF и дать своей организации надежную методологию для управления рисками безопасности и конфиденциальности.

Кроме того, достижение соответствия RMF-CSF преследует несколько важных целей, в том числе:

Интеграция безопасности и конфиденциальности в развитие систем. Обеспечение безопасности и конфиденциальности в информационных системах на начальном этапе проектирования является серьезной проблемой. RMF также ссылается на рекомендации по проектированию систем безопасности NIST в соответствующих точках, включая SP 800-160 NIST, предназначенной для разработки надежных защищенных систем.
Подключение руководителей к операциям. RMF дает рекомендации о том, как руководители организации могут лучше подготовиться к выполнению RMF, а также как сообщить свои планы защиты и стратегии управления рисками для разработчиков и операторов систем.
Включение вопросов управления рисками цепи поставок. RMF обращает внимание на растущую обеспокоенность в отношении цепочки поставок в области контрафактных компонентов, фальсификацию, кражу, внедрение вредоносных программ и оборудования, плохую практику производства и разработки и другие потенциально опасные действия, которые могут повлиять на компоненты и системы организации.
Поддержка безопасности и конфиденциальности. Обновление RMF предоставит организациям дисциплинированный и структурированный процесс выбора элементов управления из недавно созданного объединенного каталога управления безопасностью и конфиденциальности в пакете SP 800-53 NIST , редакция 5.

Хотя соблюдение CSF является добровольным для частных компаний, его использование для федерального правительства является обязательным в соответствии с приказом 13800. Соблюдение RMF является обязательным для федеральных агентств в соответствии с Федеральным законом о модернизации информационной безопасности (FISMA).

Комментарии по проекту RMF принимаются до 22 июня 2018 года. Окончательная версия будет выпущена в октябре 2018 года.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 18:43

Solar webProxy Малый и средний бизнес Корпорации Сетевая безопасность Шлюзы информационной безопасности (Security Web Gateway) ГК «Солар»

Заказчики Solar webProxy в Беларуси смогут быстрее получать новые версии

ГК «Солар» сообщила, что её система фильтрации и контроля веб-трафика Solar webProxy теперь сможет обновляться для белорусских заказчиков без прежних задержек, связанных с сертификацией. Это стало возможно благодаря изменённому подходу к подтверждению соответствия в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Если раньше фактически приходилось отдельно проходить подтверждение для каждой новой версии продукта, то теперь последующие релизы будут автоматически получать одобрение регулятора.

На практике это значит, что белорусские клиенты смогут быстрее получать новые функции и обновления — без паузы между выходом версии и её допустимым использованием.

В первую очередь это касается организаций, для которых требования регулятора особенно чувствительны: госструктур, финансового сектора и объектов критической инфраструктуры.

Сам продукт относится к классу Secure Web Gateway. Такие системы используются для контроля веб-трафика, ограничения доступа к нежелательным ресурсам, защиты от фишинга и более тонкой настройки интернет-доступа для сотрудников. В случае Solar webProxy отдельно подчёркивается и контроль работы с публичными ИИ-сервисами — например, ChatGPT и Gemini.

Эта тема сейчас выглядит вполне актуально и для белорусского рынка. По приведённым в сообщении данным, всё больше компаний используют нейросети в повседневной работе — для маркетинга, аналитики, обучения и клиентского сервиса. Одновременно растёт и тревога вокруг утечек данных: сотрудники могут загружать в публичные ИИ-сервисы внутренние документы, отчёты, фрагменты исходного кода и другую чувствительную информацию.

На этом фоне решения класса SWG становятся не просто инструментом фильтрации трафика, а способом хотя бы частично контролировать, куда именно уходит корпоративная информация и какие внешние сервисы используют сотрудники.

В компании также сообщили, что сертификат подтверждает соответствие Solar webProxy требованиям технического регламента ТР 2013/027/BY и позволяет использовать продукт в автоматизированных системах 2 и 3 класса защищённости.

Solar webProxy стала уже третьим решением «Солара», сертифицированным в Беларуси. Ранее аналогичную процедуру прошли Solar inRights и Solar Dozor.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!