آموزش NIST Cybersecurity A-Z: NIST Risk Management Framework (RMF)

NIST Cybersecurity A-Z: NIST Risk Management Framework (RMF)

نکته: آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
توضیحات دوره: ایجاد یک چارچوب مدیریت ریسک کامل از ابتدا با دستورالعمل های NIST Risk Management را بیاموزید

آنچه یاد خواهید گرفت

  • شیرجه عمیق در تمام 6 مرحله NIST RMF: دسته بندی، انتخاب، پیاده سازی، ارزیابی، مجوز، نظارت
  • راهنمای استفاده از چارچوب مدیریت ریسک در سیستم‌های اطلاعات فدرال را بیاموزید
  • تسلط بر راهنمای کنترل‌های امنیتی و حریم خصوصی برای سیستم‌ها و سازمان‌های اطلاعات فدرال
  • درک عمیق استانداردهای NIST SP 800-37, SP 800-53 و SP 800-53A
  • تجزیه و تحلیل تاثیر امنیتی
  • FIPS 199 و استانداردهای FIPS 200
  • طبقه بندی امنیتی 4 مرحله ای
  • انتخاب پایه کنترل‌های امنیتی
  • اجرای کنترل امنیتی را در طرح امنیتی مستند کنید
  • تهیه گزارش ارزیابی امنیتی
  • گواهینامه و اعتبار
  • کاربردهای عملی چارچوب مدیریت ریسک NIST
  • اجرای کنترل‌های امنیت اطلاعات و ارزیابی مجموعه کنترل

چارچوب مدیریت ریسک NIST (RMF) یک فرآیند ۷ مرحله‌ای جامع، انعطاف‌پذیر، قابل تکرار و قابل اندازه‌گیری را ارائه می‌کند که هر سازمانی می‌تواند از آن برای مدیریت امنیت اطلاعات و ریسک حریم خصوصی برای سازمان‌ها و سیستم‌ها و پیوندهایی به مجموعه‌ای از استانداردهای NIST استفاده کند. دستورالعمل‌هایی برای حمایت از اجرای برنامه‌های مدیریت ریسک برای برآوردن الزامات قانون نوسازی امنیت اطلاعات فدرال (FISMA).


  • فعالیت های ضروری را برای آماده سازی سازمان برای مدیریت خطرات امنیتی و حریم خصوصی آماده کنید

  • طبقه بندی سیستم و اطلاعات پردازش، ذخیره و ارسال شده بر اساس تجزیه و تحلیل تاثیر

  • مجموعه کنترل‌های NIST SP 800-53 را برای محافظت از سیستم بر اساس ارزیابی(های) خطر انتخاب کنید

  • کنترل‌ها را پیاده‌سازی کنید و نحوه استقرار کنترل‌ها را مستند کنید

  • ارزیابی برای تعیین اینکه آیا کنترل‌ها در جای خود هستند یا خیر، همانطور که در نظر گرفته شده عمل می‌کنند و نتایج مورد نظر را تولید می‌کنند

  • یک مقام ارشد مجاز تصمیمی مبتنی بر ریسک برای مجوز دادن به سیستم (برای عملکرد) می گیرد

  • اجرای کنترل و خطرات سیستم را به طور مستمر نظارت کنید

این دوره به شما درک جامعی از فرآیند مدیریت ریسک برای همه سازمان ها می دهد. بنابراین، NIST RMF نیز به طور بالقوه برای مدیریت ریسک در تمام تنظیمات شرکت قابل استفاده است. این دوره توضیحی جامع از مبحث مدیریت ریسک است و به فرد امکان می دهد کاربرد و کاربردهای محتوای RMF را درک کند. افرادی که از این دانش بهره مند می شوند، از مدیران گرفته تا انواع کارگران فنی و متخصصان را شامل می شود.


بخش 2: مقدمه ای بر مدیریت ریسک امنیت سازمانی

این بخش مروری بر مدیریت ریسک سازمانی از طریق کاوش در انواع ریسک‌های سازمانی که رهبران ارشد باید شناسایی کنند، ضرورت و مزایای مدیریت آن ریسک‌ها، و مقررات امنیت اطلاعات که رهبران ارشد باید هنگام مدیریت ریسک در نظر بگیرند، ارائه می‌کند. .


بخش 3: بررسی مدل‌های مدیریت ریسک موجود

این بخش مدل‌های مختلفی را که می‌توان برای پیاده‌سازی NIST RMF استفاده کرد، مورد بحث قرار می‌دهد. هدف ارائه یک ارزیابی مقایسه ای از مدل های موجود و نشان دادن این است که چگونه چارچوب NIST خود را از سایر مدل ها متمایز می کند.


بخش 4: طبقه بندی اطلاعات و سیستم های اطلاعاتی

این بخش با تعریفی از تجزیه و تحلیل تاثیر امنیتی آغاز می شود. طبقه بندی و انتخاب کنترل امنیتی CNSSI 1253 برای سیستم های امنیت ملی و استانداردهای FIPS 199 برای طبقه بندی امنیتی سیستم های اطلاعات و اطلاعات فدرال به عنوان منبعی از دستورالعمل ها برای سازمان ها برای انجام فرآیند طبقه بندی سیستم های اطلاعاتی بررسی، مقایسه و مقایسه می شوند. تمرکز اصلی این بخش بر درک جداول موجود در NIST SP 800-60، Guide for Mapping Types of Information and Information Systems متمرکز است. دسته بندی های امنیتی؛ و استفاده از FIPS 199 به عنوان وسیله ای برای اجرای طبقه بندی امنیتی. و فرآیند طبقه بندی اطلاعات NIST RMF.


بخش 5: کنترل‌های امنیتی

را انتخاب کنید

این بخش با معرفی FIPS 200، حداقل الزامات امنیتی برای اطلاعات فدرال و سیستم های اطلاعاتی آغاز می شود. علاوه بر این، این دستورالعمل برای ایجاد مرزهای امنیتی و شناسایی حداقل الزامات امنیتی استفاده می شود. این بخش همچنین بحثی در رابطه با محتوای طرح امنیتی و استراتژی نظارت مستمر (که دو خروجی اساسی فرآیند انتخاب کنترل هستند) ارائه می‌کند.


بخش 6: اجرای کنترل های امنیتی

این بخش با مروری بر چرخه حیات توسعه سیستم (SDLC) شروع می‌شود و زمان انجام فعالیت‌ها و وظایف مرتبط با اجرای کنترل امنیتی را بررسی می‌کند. تاکید بر فرآیندهای توسعه و اکتساب استانداردها به عنوان ابزاری برای ارائه جزئیات مربوط به توسعه معماری امنیت اطلاعات سازمانی و در عین حال ادغام آن در معماری سازمانی سازمان است.


بخش 7: ارزیابی کنترل های امنیتی

این بخش با استفاده از NIST 800-30، راهنمای انجام ارزیابی ریسک، به عنوان دستورالعملی برای بحث در مورد فرآیند ارزیابی ریسک امنیتی آغاز می شود. متوجه خواهید شد که ارزیابی ریسک امنیتی و ارزیابی کنترل امنیتی نه تنها فرآیندهای متفاوتی هستند، بلکه ماهیت تکمیلی نیز دارند. تمرکز اصلی این بخش بر نحوه استفاده از NIST SP 800-53A، ارزیابی کنترل‌های امنیتی و حریم خصوصی در سیستم‌های اطلاعات فدرال و سازمان‌ها – ایجاد طرح‌های ارزیابی موثر است. این شامل توسعه یک طرح ارزیابی کنترل امنیتی است. این بخش همچنین نشان می‌دهد که از طریق ارزیابی کنترل امنیتی بر اساس یک برنامه تعیین‌شده، می‌توانید خطرات امنیتی را که ممکن است در سازمان وجود داشته باشد شناسایی و بیشتر افشا کنید.


بخش 8: مجوز سیستم های اطلاعاتی

اولین جزء اصلی این بخش، بحث مفصلی در مورد ایجاد و انتشار بسته مجوز امنیتی ارائه می دهد که شامل: طرح امنیتی، گزارش ارزیابی امنیتی، و برنامه اقدام و نقاط عطف است. این بخش با بحث در مورد معیارهای گنجانده شده و ایجاد یک برنامه اقدام و نقاط عطف آغاز می شود. قدردان خواهید بود که این طرح استراتژی هایی را برای چگونگی تصحیح نقاط ضعف امنیتی یا کاستی های شناسایی شده توسط ارزیابی کنترل امنیتی توسط سازمان ارائه می دهد.


بخش 9: نظارت بر وضعیت امنیتی

این بخش بر استراتژی‌های مرتبط با ارزیابی‌های کنترل امنیتی مداوم، استراتژی‌های اقدام اصلاحی، رویه‌های پیاده‌سازی اسناد و به‌روزرسانی‌های طرح، اجرای رویه‌های گزارش وضعیت امنیتی، استراتژی‌های مرتبط با تعیین ریسک و پذیرش مداوم، و رویه‌های ایمن برای حذف سیستم اطلاعاتی تأکید می‌کند. و از کار افتادن.


بخش 10: کاربرد عملی NIST RMF

این بخش نمونه های خاصی از فرآیند پیاده سازی را برای برنامه های کاربردی سازمانی در مقیاس کوچک، متوسط ​​و بزرگ ارائه می دهد. این در قالب مطالعات موردی است که به عنوان نمایش مدلی از مزایا و مشکلات عملی اجرای RMF به عنوان یک فرآیند پایان به انتها ارائه خواهد شد. هدف این بخش پایانی این است که به شما درک دقیقی از مسائل دنیای واقعی مرتبط با مدیریت ریسک سازمانی بدهد، و همچنین استراتژی‌های عملی برای اجرای RMF در طیف وسیعی از تنظیمات را پیشنهاد کند.


شما تجربه یادگیری نهایی را خواهید داشت زیرا هر بخش با آزمون تمرینی دنبال می‌شود و منابع خواندن آپلود شده است.

این دوره برای چه کسانی است:

  • متخصصان فناوری اطلاعات
  • تحلیلگران امنیت سایبری
  • مدیران پایگاه داده
  • همه کسانی که مایل به یادگیری امنیت سایبری هستند
  • دانشجویان ارشد امنیت سایبری
  • توسعه دهندگان نرم افزار
  • مهندسان
  • دانشجویان علوم کامپیوتر
  • مدیران فناوری اطلاعات
  • سهامداران

سرفصل ها و درس ها

مقدمه Introduction

  • مقدمه Introduction

  • یادداشت های دوره و ناوبری Course Notes and Navigation

مقدمه ای بر مدیریت ریسک امنیت سازمانی Introduction to Organizational Security Risk Management

  • مقدمه ای بر مدیریت ریسک امنیت سازمانی Introduction to Organizational Security Risk Management

  • حاکمیت استراتژیک و مدیریت ریسک Strategic Governance and Risk Management

  • انواع ریسک و استراتژی های مدیریت ریسک Risk Types and Risk Handling Strategies

  • مروری بر فرآیند مدیریت ریسک Overview of the Risk Management Process

  • شناسایی و طبقه بندی محیط ریسک Identifying and Categorizing the Risk Environment

  • ارزیابی ریسک Risk Assessment

  • طراحی برای مدیریت ریسک موثر Designing for Effective Risk Management

  • ارزیابی نامزدهای کنترل Evaluating Candidates for Control

  • اجرای کنترل های مدیریت ریسک Implementing Risk Management Controls

  • ارزیابی و اثربخشی کنترل های ریسک Assessment and Effectiveness of Risk Controls

  • پایداری Sustainment

  • ارزیابی عملکرد مدیریت ریسک Evaluation of the Risk Management Function

چارچوب های مدیریت ریسک موجود Existing Risk Management Frameworks

  • بررسی چارچوب های مدیریت ریسک موجود Survey of Existing Risk Management Frameworks

  • ملموس کردن مدیریت ریسک Making Risk Management Tangible

  • معماری های رسمی Formal Architectures

  • شکل کلی فرآیند RMF General Shape of the RMF Process

  • پیاده سازی RMF RMF Implementation

  • استانداردهای سازمان بین المللی International Organization Standards

  • فرآیند پیاده سازی OSI 31000 OSI 31000 Implementation Process

  • چارچوب مدیریت ریسک سازمانی COSO COSO Enterprise Risk Management Framework

  • چارچوب امنیتی مشترک اتحاد اعتماد اطلاعات سلامت Health Information Trust Alliance Common Security Framework

  • پیاده سازی ساختار کنترل CSF HITRUST Implementing the HITRUST CSF Control Structure

  • استانداردهای NIST SP 800-30 و NIST SP 800-39 NIST SP 800-30 and NIST SP 800-39 Standards

مرحله 1- طبقه بندی اطلاعات و سیستم های اطلاعاتی Step 1—Categorize Information and Information Systems

  • مرحله 1- طبقه بندی اطلاعات و سیستم های اطلاعاتی Step 1—Categorize Information and Information Systems

  • تجزیه و تحلیل تاثیر امنیتی Security Impact Analysis

  • استانداردهای FIPS 199 FIPS 199 Standards

  • FIPS 199 استانداردهای انواع اطلاعات FIPS 199 Standards of Information Types

  • طبقه بندی امنیتی CNSSI CNSSI Security Categorization

  • پیاده سازی مرحله 1: طبقه بندی امنیتی Implementation of Step 1: Security Categorization

  • طبقه بندی امنیتی از دیدگاه سازمانی Security Categorization from the Organizational Perspective

  • با نهادهای سازمانی ارتباط برقرار کنید Establish Relationships with Organizational Entities

  • یک برنامه راهنمایی در سطح سازمان تهیه کنید Prepare an Organization-Wide Guidance Program

  • طبقه بندی امنیتی از دیدگاه مدیریت Security Categorization from Management Prospective

  • آماده سازی برای طبقه بندی امنیت سیستم Preparing for System Security Categorization

  • طبقه بندی امنیت سیستم: مرحله 2، مرحله 3 و مرحله 4 System Security Categorization: Step 2, Step 3 and Step 4

  • برای رده امنیت سیستم و سطح تأثیر تأییدیه دریافت کنید Obtain Approval for the System Security Category and Impact Level

مرحله 2 - کنترل های امنیتی را انتخاب کنید Step 2—Select Security Controls

  • مرحله 2 - کنترل های امنیتی را انتخاب کنید Step 2—Select Security Controls

  • درک انتخاب کنترل Understanding Control Selection

  • استاندارد پردازش اطلاعات فدرال Federal Information Processing Standard

  • پیاده سازی مرحله 2 - کنترل های امنیتی را انتخاب کنید Implementation of Step 2—Select Security Controls

  • Initial Security Control Baselines و Minimum Assurance Requirements را انتخاب کنید Select Initial Security Control Baselines and Minimum Assurance Requirements

  • رهنمودهای محدوده را برای خطوط پایه اولیه اعمال کنید Apply Scoping Guidance to Initial Baselines

  • نیاز به کنترل های جبرانی را تعیین کنید Determine Need for Compensating Controls

  • مکمل کنترل های امنیتی Supplement Security Controls

  • طرح امنیتی کامل Complete Security Plan

  • سایر کتابخانه های کنترلی Other Control Libraries

مرحله 3-کنترل های امنیتی را اجرا کنید Step 3—Implement Security Controls

  • مرحله 3-کنترل های امنیتی را اجرا کنید Step 3—Implement Security Controls

  • اجرای کنترل های امنیتی مشخص شده توسط طرح امنیتی Implementation of the Security Controls Specified by the Security Plan

  • دیدگاه سیستمی برای پیاده سازی A System Perspective to Implementation

  • دیدگاه مدیریتی برای اجرا A Management Perspective to Implementation

  • ایجاد پیاده سازی مؤثر امنیت از طریق مدیریت زیرساخت Establishing Effective Security Implementation through Infrastructure Management

  • پروژه های اجرایی امنیتی و نمونه کارها سازمان Security Implementation Projects and Organization Portfolios

  • اجرای کنترل امنیتی را در طرح امنیتی مستند کنید Document the Security Control Implementation in the Security Plan

مرحله 4- کنترل های امنیتی را ارزیابی کنید Step 4—Assess Security Controls

  • مرحله 4- کنترل های امنیتی را ارزیابی کنید Step 4—Assess Security Controls

  • مولفه های ارزیابی کنترل امنیتی Components of Security Control Assessment

  • ارزیابی کنترل و SDLC Control Assessment and the SDLC

  • حصول اطمینان از اجرای کنترل کافی Ensuring Adequate Control Implementation

  • توسعه، بررسی و تصویب طرح ارزیابی Assessment Plan Development, Review, and Approval

  • رویه ها و روش های ارزیابی کنترل امنیتی Security Control Assessment Procedures and Methodologies

  • گزارش ارزیابی امنیتی را تهیه کنید Prepare the Security Assessment Report

  • اقدامات اصلاحی اولیه یافته های ارزیابی Initial Remedy Actions of Assessment Findings

مرحله 5 - مجوز: آماده سازی سیستم اطلاعات برای استفاده Step 5—Authorize: Preparing the Information System for Use

  • مرحله 5 - مجوز: آماده سازی سیستم اطلاعات برای استفاده Step 5—Authorize: Preparing the Information System for Use

  • عناصر مدیریت ریسک Elements of Risk Management

  • صدور گواهینامه و اعتبار Certification and Accreditation

  • کاربرد RMF Application of the RMF

  • مجوزهای امنیتی/تاییدیه های عملیاتی Security Authorizations/Approvals to Operate

  • گواهی صحت کنترل های امنیتی Certification of the Correctness of Security Controls

  • نقش خاص الزامات Particular Role of Requirements

  • تهیه برنامه اقدام Preparing the Action Plan

  • آماده سازی بسته مجوز امنیتی Preparing the Security Authorization Package

مرحله 6- نظارت بر وضعیت امنیتی Step 6—Monitor Security State

  • مرحله 6- نظارت بر وضعیت امنیتی Step 6—Monitor Security State

  • پایش موثر ریسک Sustaining Effective Risk Monitoring

  • ساختار فرآیند نظارت بر ریسک Structuring the Risk-Monitoring Process

  • تداوم یک فرآیند کنترل و نظارت مستمر Sustaining an Ongoing Control-Monitoring Process

  • ایجاد یک فرآیند ارزیابی کنترل مستمر Establishing a Continuous Control Assessment Process

  • انجام نظارت مستمر Conducting Continuous Monitoring

  • ملاحظات اندازه گیری کمی Quantitative Measurement Considerations

  • درست نگه داشتن مجموعه کنترل در طول زمان Keeping the Control Set Correct over Time

کاربردهای عملی چارچوب مدیریت ریسک NIST Practical Applications of the NIST Risk Management Framework

  • کاربردهای عملی چارچوب مدیریت ریسک NIST Practical Applications of the NIST Risk Management Framework

  • صدور گواهینامه و اعتبار بخشی در فضای فدرال Certification and Accreditation in the Federal Space

  • قانون دولت الکترونیک The E-Government Act

  • اجرای کنترل های امنیت اطلاعات و ارزیابی مجموعه کنترل Implementing Information Security Controls and Evaluating the Control Set

نمایش نظرات

آموزش NIST Cybersecurity A-Z: NIST Risk Management Framework (RMF)
جزییات دوره
9h 42m
84
Udemy (یودمی) Udemy (یودمی)
(آخرین آپدیت)
8,386
4.1 از 5
ندارد
دارد
دارد
Martin Yanev
جهت دریافت آخرین اخبار و آپدیت ها در کانال تلگرام عضو شوید.

Google Chrome Browser

Internet Download Manager

Pot Player

Winrar

Martin Yanev Martin Yanev

مهندس نرم افزار

اسم من مارتین یانف یک مهندس نرم افزار هوافضا بین المللی تحسین شده است.

من یک مدرک لیسانس در مهندسی هوانوردی و دو مدرک کارشناسی ارشد در دینامیک هوافضا و مهندسی نرم افزار دارم. من عضو وابسته انجمن سلطنتی هوانوردی در بریتانیا هستم. من دارای گواهینامه ISTQB با تجربه قوی در تست/ادغام سیستم هستم.

من مهارت های برنامه نویسی قوی خود را در 7 سال گذشته با توسعه و آزمایش الگوریتم های نرم افزاری پیچیده برای برنامه های هوافضا به دست آورده ام. من در حال حاضر در پروژه آسمان واحد اروپایی هستم که هدف آن افزایش ظرفیت فضای هوایی اروپا با استفاده از پیشرفته ترین سیستم های مدیریت ترافیک هوایی است.

در مورد هر موضوع مرتبط با علوم کامپیوتر و مهندسی هوافضا با من تماس بگیرید زیرا من واقعاً به این زمینه ها علاقه دارم.

امیدوارم از دوره های من لذت ببرید و پیشرفت شغلی خود را با آنها بهبود بخشید.