NIST SP 800-37
Was ist NIST SP 800-37?
NIST SP 800-37Risikomanagement-Framework des NIST mit einem siebenstufigen Prozess zur Steuerung von Security- und Datenschutzrisiken uber den Systemlebenszyklus.
Das NIST SP 800-37 Revision 2, Risk Management Framework (RMF) for Information Systems and Organizations, wird vom National Institute of Standards and Technology (USA) veroffentlicht. Es etabliert einen siebenstufigen Lebenszyklus fur Sicherheits- und Datenschutzrisiken: Prepare, Categorize, Select, Implement, Assess, Authorize und Monitor. Die Publikation integriert Security-, Privacy- und Supply-Chain-Risikomanagement in einem Framework und ist mit FISMA, OMB Circular A-130 und dem NIST Cybersecurity Framework abgestimmt. Es gilt fur Bundessysteme, wird aber auch von Auftragnehmern, der Defense Industrial Base sowie staatlichen, kommunalen und privaten Organisationen genutzt, um reproduzierbare ATO-Entscheidungen (Authorization to Operate) zu treffen.
● Beispiele
- 01
Ein Bundes-Programmleiter durchlauft die sieben RMF-Schritte, um eine neue SaaS-Workload zu autorisieren.
- 02
Ein Defense-Auftragnehmer ubernimmt gemeinsame Kontrollen eines CSP und dokumentiert sie im RMF-Schritt Implement.
● Häufige Fragen
Was ist NIST SP 800-37?
Risikomanagement-Framework des NIST mit einem siebenstufigen Prozess zur Steuerung von Security- und Datenschutzrisiken uber den Systemlebenszyklus. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet NIST SP 800-37?
Risikomanagement-Framework des NIST mit einem siebenstufigen Prozess zur Steuerung von Security- und Datenschutzrisiken uber den Systemlebenszyklus.
Wie funktioniert NIST SP 800-37?
Das NIST SP 800-37 Revision 2, Risk Management Framework (RMF) for Information Systems and Organizations, wird vom National Institute of Standards and Technology (USA) veroffentlicht. Es etabliert einen siebenstufigen Lebenszyklus fur Sicherheits- und Datenschutzrisiken: Prepare, Categorize, Select, Implement, Assess, Authorize und Monitor. Die Publikation integriert Security-, Privacy- und Supply-Chain-Risikomanagement in einem Framework und ist mit FISMA, OMB Circular A-130 und dem NIST Cybersecurity Framework abgestimmt. Es gilt fur Bundessysteme, wird aber auch von Auftragnehmern, der Defense Industrial Base sowie staatlichen, kommunalen und privaten Organisationen genutzt, um reproduzierbare ATO-Entscheidungen (Authorization to Operate) zu treffen.
Wie schützt man sich gegen NIST SP 800-37?
Schutzmaßnahmen gegen NIST SP 800-37 kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NIST SP 800-37?
Übliche alternative Bezeichnungen: SP 800-37, RMF, Risikomanagement-Framework.
● Verwandte Begriffe
- compliance№ 735
NIST SP 800-30
NIST Special Publication mit Leitfaden zur Durchfuhrung von Risikobewertungen fur Informationssysteme und die von ihnen unterstutzten Missionen.
- compliance№ 738
NIST SP 800-61
NIST-Leitfaden fur die Behandlung von Computersicherheitsvorfallen, der den vierphasigen Lebenszyklus von Incident-Response-Teams in Behorden und Wirtschaft beschreibt.
- compliance№ 236
CRISC
ISACA-Zertifizierung fur IT-Risiko- und Kontroll-Experten, die Governance, IT-Risikobewertung, Reaktion und Reporting sowie Kontrollwahl in vier Domanen abdeckt.
- compliance№ 176
CISM
Management-Zertifizierung der ISACA fur Informationssicherheitsmanager, die Governance, Risiko, Programmentwicklung und Incident-Management in vier Domanen abdeckt.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
● Siehe auch
- № 175CISA