NIST SP 800-30
Qu'est-ce que NIST SP 800-30 ?
NIST SP 800-30Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.
Le NIST SP 800-30 Revision 1, Guide pour la conduite d'evaluations de risque, est publie par l'institut americain NIST et fait partie du cadre RMF. Il definit un processus en quatre etapes: preparer l'evaluation, conduire l'evaluation, communiquer les resultats et maintenir l'evaluation. Le document explique comment identifier sources et evenements de menace, vulnerabilites, vraisemblance et impact, puis les combiner en notations de risque qualitatives ou semi-quantitatives. C'est la reference pour les evaluations a plusieurs niveaux — organisation, mission et systeme — utilisee par les agences federales, prestataires et de nombreuses entreprises privees aux cotes des SP 800-37 et SP 800-39.
● Exemples
- 01
Un prestataire federal exploite les tableaux du SP 800-30 pour noter la vraisemblance et l'impact dans un dossier ATO.
- 02
Une banque adapte les modeles SP 800-30 pour evaluer les risques de prestataires SaaS avant contractualisation.
● Questions fréquentes
Qu'est-ce que NIST SP 800-30 ?
Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie NIST SP 800-30 ?
Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.
Comment fonctionne NIST SP 800-30 ?
Le NIST SP 800-30 Revision 1, Guide pour la conduite d'evaluations de risque, est publie par l'institut americain NIST et fait partie du cadre RMF. Il definit un processus en quatre etapes: preparer l'evaluation, conduire l'evaluation, communiquer les resultats et maintenir l'evaluation. Le document explique comment identifier sources et evenements de menace, vulnerabilites, vraisemblance et impact, puis les combiner en notations de risque qualitatives ou semi-quantitatives. C'est la reference pour les evaluations a plusieurs niveaux — organisation, mission et systeme — utilisee par les agences federales, prestataires et de nombreuses entreprises privees aux cotes des SP 800-37 et SP 800-39.
Comment se défendre contre NIST SP 800-30 ?
Les défenses contre NIST SP 800-30 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de NIST SP 800-30 ?
Noms alternatifs courants : SP 800-30, Guide pour la conduite d'evaluations de risque.
● Termes liés
- compliance№ 736
NIST SP 800-37
Cadre de gestion des risques du NIST definissant un processus en sept etapes pour gerer les risques de securite et de vie privee tout au long du cycle de vie du systeme.
- compliance№ 738
NIST SP 800-61
Guide NIST de gestion des incidents de securite informatique, decrivant le cycle de vie en quatre phases utilise par les equipes de reponse a incidents publiques et privees.
- compliance№ 236
CRISC
Certification de l'ISACA pour les professionnels du risque et du controle IT, couvrant gouvernance, evaluation, reponse et reporting de risque, et selection de controles en quatre domaines.
- compliance№ 176
CISM
Certification de niveau direction de l'ISACA pour les responsables securite, couvrant gouvernance, risque, developpement du programme et gestion des incidents en quatre domaines.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.