NIST Risk Management Framework
Was ist NIST Risk Management Framework?
NIST Risk Management FrameworkSiebenstufiger NIST-Prozess gemäß SP 800-37 zur Integration von Sicherheits-, Datenschutz- und Lieferketten-Risikomanagement in den System-Lebenszyklus.
Das NIST Risk Management Framework (RMF) ist in NIST SP 800-37 Revision 2 beschrieben und richtet sich primär an US-Bundessysteme und deren Auftragnehmer, wird aber auch in anderen Sektoren breit genutzt. Es umfasst sieben Schritte: Prepare, Categorize (mit FIPS 199 und SP 800-60), Select von Kontrollen (SP 800-53), Implement, Assess (SP 800-53A), Authorize (über eine ATO) und Monitor mit Continuous Monitoring. Das RMF verzahnt Sicherheits-, Datenschutz- und Cyber-Supply-Chain-Risikomanagement über den gesamten System-Lebenszyklus und bildet das operative Rückgrat von FISMA, FedRAMP und CMMC. Es ergänzt das NIST Cybersecurity Framework als Implementierungsmaschine für risikobasierte Kontrollen.
● Beispiele
- 01
Eine Bundesbehörde schließt den RMF-Schritt Authorize ab, um einer neuen Cloud-Workload eine ATO zu erteilen.
- 02
Ein Auftragnehmer nutzt den Schritt Monitor, um POA&M-Punkte und Continuous-Monitoring-Kennzahlen eines FedRAMP-Systems zu verfolgen.
● Häufige Fragen
Was ist NIST Risk Management Framework?
Siebenstufiger NIST-Prozess gemäß SP 800-37 zur Integration von Sicherheits-, Datenschutz- und Lieferketten-Risikomanagement in den System-Lebenszyklus. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet NIST Risk Management Framework?
Siebenstufiger NIST-Prozess gemäß SP 800-37 zur Integration von Sicherheits-, Datenschutz- und Lieferketten-Risikomanagement in den System-Lebenszyklus.
Wie schützt man sich gegen NIST Risk Management Framework?
Schutzmaßnahmen gegen NIST Risk Management Framework kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NIST Risk Management Framework?
Übliche alternative Bezeichnungen: RMF, NIST SP 800-37.