NIST SP 800-37
¿Qué es NIST SP 800-37?
NIST SP 800-37Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema.
NIST SP 800-37 Revision 2, Risk Management Framework (RMF) para sistemas de informacion y organizaciones, es publicado por el National Institute of Standards and Technology de EE. UU. Establece un proceso de siete pasos: Preparar, Categorizar, Seleccionar, Implementar, Evaluar, Autorizar y Monitorizar. La publicacion integra la gestion de riesgos de seguridad, privacidad y cadena de suministro en un unico marco alineado con FISMA, la Circular A-130 de la OMB y el NIST CSF. Se aplica a sistemas federales, pero tambien lo adoptan contratistas, la base industrial de defensa y muchas organizaciones estatales, locales, tribales y privadas para emitir decisiones de Autorizacion de Operacion (ATO) repetibles.
● Ejemplos
- 01
Un program manager federal ejecuta un ATO siguiendo los siete pasos RMF para autorizar una nueva carga SaaS.
- 02
Un contratista de defensa hereda controles comunes de un CSP y los documenta en la fase Implementar del RMF.
● Preguntas frecuentes
¿Qué es NIST SP 800-37?
Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa NIST SP 800-37?
Marco de gestion de riesgos del NIST que define un proceso de siete pasos para gestionar el riesgo de seguridad y privacidad durante todo el ciclo de vida del sistema.
¿Cómo funciona NIST SP 800-37?
NIST SP 800-37 Revision 2, Risk Management Framework (RMF) para sistemas de informacion y organizaciones, es publicado por el National Institute of Standards and Technology de EE. UU. Establece un proceso de siete pasos: Preparar, Categorizar, Seleccionar, Implementar, Evaluar, Autorizar y Monitorizar. La publicacion integra la gestion de riesgos de seguridad, privacidad y cadena de suministro en un unico marco alineado con FISMA, la Circular A-130 de la OMB y el NIST CSF. Se aplica a sistemas federales, pero tambien lo adoptan contratistas, la base industrial de defensa y muchas organizaciones estatales, locales, tribales y privadas para emitir decisiones de Autorizacion de Operacion (ATO) repetibles.
¿Cómo defenderse de NIST SP 800-37?
Las defensas contra NIST SP 800-37 combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para NIST SP 800-37?
Nombres alternativos comunes: SP 800-37, RMF, Marco de Gestion de Riesgos.
● Términos relacionados
- compliance№ 735
NIST SP 800-30
Publicacion especial del NIST que ofrece directrices para realizar evaluaciones de riesgo de los sistemas de informacion y de las misiones que respaldan.
- compliance№ 738
NIST SP 800-61
Guia del NIST para el tratamiento de incidentes de seguridad informatica, que describe el ciclo de vida en cuatro fases utilizado por equipos de respuesta en el sector publico y privado.
- compliance№ 236
CRISC
Certificacion de ISACA para profesionales de riesgo y control de TI, que abarca gobierno, evaluacion de riesgos, respuesta e informes y seleccion de controles en cuatro dominios.
- compliance№ 176
CISM
Certificacion de nivel directivo de ISACA para responsables de seguridad de la informacion, que abarca gobierno, riesgo, desarrollo del programa y gestion de incidentes en cuatro dominios.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
● Véase también
- № 175CISA