NIST SP 800-30
Что такое NIST SP 800-30?
NIST SP 800-30Специальная публикация NIST, дающая рекомендации по проведению оценки рисков информационных систем и поддерживаемых ими задач.
NIST SP 800-30 Revision 1, Guide for Conducting Risk Assessments, выпускается Национальным институтом стандартов и технологий США и входит в состав NIST Risk Management Framework. Документ определяет четырехэтапный процесс оценки рисков: подготовка к оценке, проведение оценки, информирование о результатах и поддержание актуальности оценки. В публикации описано, как выявлять источники и события угроз, уязвимости, вероятность и воздействие, а также комбинировать их в качественные или полу-количественные рейтинги риска. Это основной ориентир для многоуровневых оценок на уровнях организации, миссии и системы, применяемый федеральными агентствами, подрядчиками и многими частными организациями вместе с SP 800-37 и SP 800-39.
● Примеры
- 01
Федеральный подрядчик использует таблицы SP 800-30 для оценки вероятности и влияния угроз в пакете ATO.
- 02
Банк адаптирует шаблоны SP 800-30 для оценки рисков SaaS-поставщиков до заключения договора.
● Частые вопросы
Что такое NIST SP 800-30?
Специальная публикация NIST, дающая рекомендации по проведению оценки рисков информационных систем и поддерживаемых ими задач. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает NIST SP 800-30?
Специальная публикация NIST, дающая рекомендации по проведению оценки рисков информационных систем и поддерживаемых ими задач.
Как работает NIST SP 800-30?
NIST SP 800-30 Revision 1, Guide for Conducting Risk Assessments, выпускается Национальным институтом стандартов и технологий США и входит в состав NIST Risk Management Framework. Документ определяет четырехэтапный процесс оценки рисков: подготовка к оценке, проведение оценки, информирование о результатах и поддержание актуальности оценки. В публикации описано, как выявлять источники и события угроз, уязвимости, вероятность и воздействие, а также комбинировать их в качественные или полу-количественные рейтинги риска. Это основной ориентир для многоуровневых оценок на уровнях организации, миссии и системы, применяемый федеральными агентствами, подрядчиками и многими частными организациями вместе с SP 800-37 и SP 800-39.
Как защититься от NIST SP 800-30?
Защита от NIST SP 800-30 обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия NIST SP 800-30?
Распространённые альтернативные названия: SP 800-30, Руководство по проведению оценки рисков.
● Связанные термины
- compliance№ 736
NIST SP 800-37
Risk Management Framework NIST: семишаговый процесс управления рисками безопасности и конфиденциальности на протяжении жизненного цикла системы.
- compliance№ 738
NIST SP 800-61
Руководство NIST по обработке инцидентов компьютерной безопасности, описывающее четырехэтапный жизненный цикл, используемый командами реагирования в государственном и частном секторах.
- compliance№ 236
CRISC
Сертификация ISACA для специалистов по ИТ-рискам и контролям, охватывающая управление, оценку рисков, реагирование и отчетность, выбор контролей в четырех доменах.
- compliance№ 176
CISM
Управленческая сертификация ISACA для руководителей по информационной безопасности, охватывающая управление, риски, развитие программы и реагирование на инциденты в четырех доменах.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.