چارچوب مدیریت ریسک NIST (RMF) یک فرآیند ۷ مرحلهای جامع، انعطافپذیر، قابل تکرار و قابل اندازهگیری را ارائه میکند که هر سازمانی میتواند از آن برای مدیریت امنیت اطلاعات و ریسک حریم خصوصی برای سازمانها و سیستمها و پیوندهایی به مجموعهای از استانداردهای NIST استفاده کند. دستورالعملهایی برای حمایت از اجرای برنامههای مدیریت ریسک برای برآوردن الزامات قانون نوسازی امنیت اطلاعات فدرال (FISMA).
فعالیت های ضروری را برای آماده سازی سازمان برای مدیریت خطرات امنیتی و حریم خصوصی آماده کنید
طبقه بندی سیستم و اطلاعات پردازش، ذخیره و ارسال شده بر اساس تجزیه و تحلیل تاثیر
مجموعه کنترلهای NIST SP 800-53 را برای محافظت از سیستم بر اساس ارزیابی(های) خطر انتخاب کنید
کنترلها را پیادهسازی کنید و نحوه استقرار کنترلها را مستند کنید
ارزیابی برای تعیین اینکه آیا کنترلها در جای خود هستند یا خیر، همانطور که در نظر گرفته شده عمل میکنند و نتایج مورد نظر را تولید میکنند
یک مقام ارشد مجاز تصمیمی مبتنی بر ریسک برای مجوز دادن به سیستم (برای عملکرد) می گیرد
اجرای کنترل و خطرات سیستم را به طور مستمر نظارت کنید
این دوره به شما درک جامعی از فرآیند مدیریت ریسک برای همه سازمان ها می دهد. بنابراین، NIST RMF نیز به طور بالقوه برای مدیریت ریسک در تمام تنظیمات شرکت قابل استفاده است. این دوره توضیحی جامع از مبحث مدیریت ریسک است و به فرد امکان می دهد کاربرد و کاربردهای محتوای RMF را درک کند. افرادی که از این دانش بهره مند می شوند، از مدیران گرفته تا انواع کارگران فنی و متخصصان را شامل می شود.
بخش 2: مقدمه ای بر مدیریت ریسک امنیت سازمانی
این بخش مروری بر مدیریت ریسک سازمانی از طریق کاوش در انواع ریسکهای سازمانی که رهبران ارشد باید شناسایی کنند، ضرورت و مزایای مدیریت آن ریسکها، و مقررات امنیت اطلاعات که رهبران ارشد باید هنگام مدیریت ریسک در نظر بگیرند، ارائه میکند. .
بخش 3: بررسی مدلهای مدیریت ریسک موجود
این بخش مدلهای مختلفی را که میتوان برای پیادهسازی NIST RMF استفاده کرد، مورد بحث قرار میدهد. هدف ارائه یک ارزیابی مقایسه ای از مدل های موجود و نشان دادن این است که چگونه چارچوب NIST خود را از سایر مدل ها متمایز می کند.
بخش 4: طبقه بندی اطلاعات و سیستم های اطلاعاتی
این بخش با تعریفی از تجزیه و تحلیل تاثیر امنیتی آغاز می شود. طبقه بندی و انتخاب کنترل امنیتی CNSSI 1253 برای سیستم های امنیت ملی و استانداردهای FIPS 199 برای طبقه بندی امنیتی سیستم های اطلاعات و اطلاعات فدرال به عنوان منبعی از دستورالعمل ها برای سازمان ها برای انجام فرآیند طبقه بندی سیستم های اطلاعاتی بررسی، مقایسه و مقایسه می شوند. تمرکز اصلی این بخش بر درک جداول موجود در NIST SP 800-60، Guide for Mapping Types of Information and Information Systems متمرکز است. دسته بندی های امنیتی؛ و استفاده از FIPS 199 به عنوان وسیله ای برای اجرای طبقه بندی امنیتی. و فرآیند طبقه بندی اطلاعات NIST RMF.
بخش 5: کنترلهای امنیتی
را انتخاب کنیداین بخش با معرفی FIPS 200، حداقل الزامات امنیتی برای اطلاعات فدرال و سیستم های اطلاعاتی آغاز می شود. علاوه بر این، این دستورالعمل برای ایجاد مرزهای امنیتی و شناسایی حداقل الزامات امنیتی استفاده می شود. این بخش همچنین بحثی در رابطه با محتوای طرح امنیتی و استراتژی نظارت مستمر (که دو خروجی اساسی فرآیند انتخاب کنترل هستند) ارائه میکند.
بخش 6: اجرای کنترل های امنیتی
این بخش با مروری بر چرخه حیات توسعه سیستم (SDLC) شروع میشود و زمان انجام فعالیتها و وظایف مرتبط با اجرای کنترل امنیتی را بررسی میکند. تاکید بر فرآیندهای توسعه و اکتساب استانداردها به عنوان ابزاری برای ارائه جزئیات مربوط به توسعه معماری امنیت اطلاعات سازمانی و در عین حال ادغام آن در معماری سازمانی سازمان است.
بخش 7: ارزیابی کنترل های امنیتی
این بخش با استفاده از NIST 800-30، راهنمای انجام ارزیابی ریسک، به عنوان دستورالعملی برای بحث در مورد فرآیند ارزیابی ریسک امنیتی آغاز می شود. متوجه خواهید شد که ارزیابی ریسک امنیتی و ارزیابی کنترل امنیتی نه تنها فرآیندهای متفاوتی هستند، بلکه ماهیت تکمیلی نیز دارند. تمرکز اصلی این بخش بر نحوه استفاده از NIST SP 800-53A، ارزیابی کنترلهای امنیتی و حریم خصوصی در سیستمهای اطلاعات فدرال و سازمانها – ایجاد طرحهای ارزیابی موثر است. این شامل توسعه یک طرح ارزیابی کنترل امنیتی است. این بخش همچنین نشان میدهد که از طریق ارزیابی کنترل امنیتی بر اساس یک برنامه تعیینشده، میتوانید خطرات امنیتی را که ممکن است در سازمان وجود داشته باشد شناسایی و بیشتر افشا کنید.
بخش 8: مجوز سیستم های اطلاعاتی
اولین جزء اصلی این بخش، بحث مفصلی در مورد ایجاد و انتشار بسته مجوز امنیتی ارائه می دهد که شامل: طرح امنیتی، گزارش ارزیابی امنیتی، و برنامه اقدام و نقاط عطف است. این بخش با بحث در مورد معیارهای گنجانده شده و ایجاد یک برنامه اقدام و نقاط عطف آغاز می شود. قدردان خواهید بود که این طرح استراتژی هایی را برای چگونگی تصحیح نقاط ضعف امنیتی یا کاستی های شناسایی شده توسط ارزیابی کنترل امنیتی توسط سازمان ارائه می دهد.
بخش 9: نظارت بر وضعیت امنیتی
این بخش بر استراتژیهای مرتبط با ارزیابیهای کنترل امنیتی مداوم، استراتژیهای اقدام اصلاحی، رویههای پیادهسازی اسناد و بهروزرسانیهای طرح، اجرای رویههای گزارش وضعیت امنیتی، استراتژیهای مرتبط با تعیین ریسک و پذیرش مداوم، و رویههای ایمن برای حذف سیستم اطلاعاتی تأکید میکند. و از کار افتادن.
بخش 10: کاربرد عملی NIST RMF
این بخش نمونه های خاصی از فرآیند پیاده سازی را برای برنامه های کاربردی سازمانی در مقیاس کوچک، متوسط و بزرگ ارائه می دهد. این در قالب مطالعات موردی است که به عنوان نمایش مدلی از مزایا و مشکلات عملی اجرای RMF به عنوان یک فرآیند پایان به انتها ارائه خواهد شد. هدف این بخش پایانی این است که به شما درک دقیقی از مسائل دنیای واقعی مرتبط با مدیریت ریسک سازمانی بدهد، و همچنین استراتژیهای عملی برای اجرای RMF در طیف وسیعی از تنظیمات را پیشنهاد کند.
شما تجربه یادگیری نهایی را خواهید داشت زیرا هر بخش با آزمون تمرینی دنبال میشود و منابع خواندن آپلود شده است.
مهندس نرم افزار
اسم من مارتین یانف یک مهندس نرم افزار هوافضا بین المللی تحسین شده است.
من یک مدرک لیسانس در مهندسی هوانوردی و دو مدرک کارشناسی ارشد در دینامیک هوافضا و مهندسی نرم افزار دارم. من عضو وابسته انجمن سلطنتی هوانوردی در بریتانیا هستم. من دارای گواهینامه ISTQB با تجربه قوی در تست/ادغام سیستم هستم.
من مهارت های برنامه نویسی قوی خود را در 7 سال گذشته با توسعه و آزمایش الگوریتم های نرم افزاری پیچیده برای برنامه های هوافضا به دست آورده ام. من در حال حاضر در پروژه آسمان واحد اروپایی هستم که هدف آن افزایش ظرفیت فضای هوایی اروپا با استفاده از پیشرفته ترین سیستم های مدیریت ترافیک هوایی است.
در مورد هر موضوع مرتبط با علوم کامپیوتر و مهندسی هوافضا با من تماس بگیرید زیرا من واقعاً به این زمینه ها علاقه دارم.
امیدوارم از دوره های من لذت ببرید و پیشرفت شغلی خود را با آنها بهبود بخشید.
نمایش نظرات