NIST SP 800-37
Qu'est-ce que NIST SP 800-37 ?
NIST SP 800-37Cadre de gestion des risques du NIST definissant un processus en sept etapes pour gerer les risques de securite et de vie privee tout au long du cycle de vie du systeme.
Le NIST SP 800-37 Revision 2, Risk Management Framework (RMF) for Information Systems and Organizations, est publie par l'institut americain NIST. Il etablit un cycle de vie en sept etapes pour gerer le risque de securite et de vie privee: preparer, categoriser, selectionner, implementer, evaluer, autoriser et surveiller. La publication integre la gestion des risques de securite, de vie privee et de chaine d'approvisionnement dans un seul cadre, aligne sur FISMA, la circulaire OMB A-130 et le NIST CSF. Il s'applique aux systemes federaux mais est aussi adopte par les prestataires, la base industrielle de defense et de nombreuses organisations etatiques, locales, tribales et privees pour produire des decisions d'ATO repetables.
● Exemples
- 01
Un chef de programme federal mene un ATO selon les sept etapes du RMF pour autoriser une nouvelle charge SaaS.
- 02
Un prestataire defense herite de controles communs d'un CSP et les documente lors de l'etape Implementer du RMF.
● Questions fréquentes
Qu'est-ce que NIST SP 800-37 ?
Cadre de gestion des risques du NIST definissant un processus en sept etapes pour gerer les risques de securite et de vie privee tout au long du cycle de vie du systeme. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie NIST SP 800-37 ?
Cadre de gestion des risques du NIST definissant un processus en sept etapes pour gerer les risques de securite et de vie privee tout au long du cycle de vie du systeme.
Comment fonctionne NIST SP 800-37 ?
Le NIST SP 800-37 Revision 2, Risk Management Framework (RMF) for Information Systems and Organizations, est publie par l'institut americain NIST. Il etablit un cycle de vie en sept etapes pour gerer le risque de securite et de vie privee: preparer, categoriser, selectionner, implementer, evaluer, autoriser et surveiller. La publication integre la gestion des risques de securite, de vie privee et de chaine d'approvisionnement dans un seul cadre, aligne sur FISMA, la circulaire OMB A-130 et le NIST CSF. Il s'applique aux systemes federaux mais est aussi adopte par les prestataires, la base industrielle de defense et de nombreuses organisations etatiques, locales, tribales et privees pour produire des decisions d'ATO repetables.
Comment se défendre contre NIST SP 800-37 ?
Les défenses contre NIST SP 800-37 combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de NIST SP 800-37 ?
Noms alternatifs courants : SP 800-37, RMF, Cadre de gestion des risques.
● Termes liés
- compliance№ 735
NIST SP 800-30
Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.
- compliance№ 738
NIST SP 800-61
Guide NIST de gestion des incidents de securite informatique, decrivant le cycle de vie en quatre phases utilise par les equipes de reponse a incidents publiques et privees.
- compliance№ 236
CRISC
Certification de l'ISACA pour les professionnels du risque et du controle IT, couvrant gouvernance, evaluation, reponse et reporting de risque, et selection de controles en quatre domaines.
- compliance№ 176
CISM
Certification de niveau direction de l'ISACA pour les responsables securite, couvrant gouvernance, risque, developpement du programme et gestion des incidents en quatre domaines.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
● Voir aussi
- № 175CISA