آموزش NIST Cybersecurity A-Z: NIST Risk Management Framework (RMF)

سرفصل ها و درس ها

مقدمه Introduction

• مقدمه Introduction

• یادداشت های دوره و ناوبری Course Notes and Navigation

مقدمه ای بر مدیریت ریسک امنیت سازمانی Introduction to Organizational Security Risk Management

• مقدمه ای بر مدیریت ریسک امنیت سازمانی Introduction to Organizational Security Risk Management

• حاکمیت استراتژیک و مدیریت ریسک Strategic Governance and Risk Management

• انواع ریسک و استراتژی های مدیریت ریسک Risk Types and Risk Handling Strategies

• مروری بر فرآیند مدیریت ریسک Overview of the Risk Management Process

• شناسایی و طبقه بندی محیط ریسک Identifying and Categorizing the Risk Environment

• ارزیابی ریسک Risk Assessment

• طراحی برای مدیریت ریسک موثر Designing for Effective Risk Management

• ارزیابی نامزدهای کنترل Evaluating Candidates for Control

• اجرای کنترل های مدیریت ریسک Implementing Risk Management Controls

• ارزیابی و اثربخشی کنترل های ریسک Assessment and Effectiveness of Risk Controls

• پایداری Sustainment

• ارزیابی عملکرد مدیریت ریسک Evaluation of the Risk Management Function

چارچوب های مدیریت ریسک موجود Existing Risk Management Frameworks

• بررسی چارچوب های مدیریت ریسک موجود Survey of Existing Risk Management Frameworks

• ملموس کردن مدیریت ریسک Making Risk Management Tangible

• معماری های رسمی Formal Architectures

• شکل کلی فرآیند RMF General Shape of the RMF Process

• پیاده سازی RMF RMF Implementation

• استانداردهای سازمان بین المللی International Organization Standards

• فرآیند پیاده سازی OSI 31000 OSI 31000 Implementation Process

• چارچوب مدیریت ریسک سازمانی COSO COSO Enterprise Risk Management Framework

• چارچوب امنیتی مشترک اتحاد اعتماد اطلاعات سلامت Health Information Trust Alliance Common Security Framework

• پیاده سازی ساختار کنترل CSF HITRUST Implementing the HITRUST CSF Control Structure

• استانداردهای NIST SP 800-30 و NIST SP 800-39 NIST SP 800-30 and NIST SP 800-39 Standards

مرحله 1- طبقه بندی اطلاعات و سیستم های اطلاعاتی Step 1—Categorize Information and Information Systems

• مرحله 1- طبقه بندی اطلاعات و سیستم های اطلاعاتی Step 1—Categorize Information and Information Systems

• تجزیه و تحلیل تاثیر امنیتی Security Impact Analysis

• استانداردهای FIPS 199 FIPS 199 Standards

• FIPS 199 استانداردهای انواع اطلاعات FIPS 199 Standards of Information Types

• طبقه بندی امنیتی CNSSI CNSSI Security Categorization

• پیاده سازی مرحله 1: طبقه بندی امنیتی Implementation of Step 1: Security Categorization

• طبقه بندی امنیتی از دیدگاه سازمانی Security Categorization from the Organizational Perspective

• با نهادهای سازمانی ارتباط برقرار کنید Establish Relationships with Organizational Entities

• یک برنامه راهنمایی در سطح سازمان تهیه کنید Prepare an Organization-Wide Guidance Program

• طبقه بندی امنیتی از دیدگاه مدیریت Security Categorization from Management Prospective

• آماده سازی برای طبقه بندی امنیت سیستم Preparing for System Security Categorization

• طبقه بندی امنیت سیستم: مرحله 2، مرحله 3 و مرحله 4 System Security Categorization: Step 2, Step 3 and Step 4

• برای رده امنیت سیستم و سطح تأثیر تأییدیه دریافت کنید Obtain Approval for the System Security Category and Impact Level

مرحله 2 - کنترل های امنیتی را انتخاب کنید Step 2—Select Security Controls

• مرحله 2 - کنترل های امنیتی را انتخاب کنید Step 2—Select Security Controls

• درک انتخاب کنترل Understanding Control Selection

• استاندارد پردازش اطلاعات فدرال Federal Information Processing Standard

• پیاده سازی مرحله 2 - کنترل های امنیتی را انتخاب کنید Implementation of Step 2—Select Security Controls

• Initial Security Control Baselines و Minimum Assurance Requirements را انتخاب کنید Select Initial Security Control Baselines and Minimum Assurance Requirements

• رهنمودهای محدوده را برای خطوط پایه اولیه اعمال کنید Apply Scoping Guidance to Initial Baselines

• نیاز به کنترل های جبرانی را تعیین کنید Determine Need for Compensating Controls

• مکمل کنترل های امنیتی Supplement Security Controls

• طرح امنیتی کامل Complete Security Plan

• سایر کتابخانه های کنترلی Other Control Libraries

مرحله 3-کنترل های امنیتی را اجرا کنید Step 3—Implement Security Controls

• مرحله 3-کنترل های امنیتی را اجرا کنید Step 3—Implement Security Controls

• اجرای کنترل های امنیتی مشخص شده توسط طرح امنیتی Implementation of the Security Controls Specified by the Security Plan

• دیدگاه سیستمی برای پیاده سازی A System Perspective to Implementation

• دیدگاه مدیریتی برای اجرا A Management Perspective to Implementation

• ایجاد پیاده سازی مؤثر امنیت از طریق مدیریت زیرساخت Establishing Effective Security Implementation through Infrastructure Management

• پروژه های اجرایی امنیتی و نمونه کارها سازمان Security Implementation Projects and Organization Portfolios

• اجرای کنترل امنیتی را در طرح امنیتی مستند کنید Document the Security Control Implementation in the Security Plan

مرحله 4- کنترل های امنیتی را ارزیابی کنید Step 4—Assess Security Controls

• مرحله 4- کنترل های امنیتی را ارزیابی کنید Step 4—Assess Security Controls

• مولفه های ارزیابی کنترل امنیتی Components of Security Control Assessment

• ارزیابی کنترل و SDLC Control Assessment and the SDLC

• حصول اطمینان از اجرای کنترل کافی Ensuring Adequate Control Implementation

• توسعه، بررسی و تصویب طرح ارزیابی Assessment Plan Development, Review, and Approval

• رویه ها و روش های ارزیابی کنترل امنیتی Security Control Assessment Procedures and Methodologies

• گزارش ارزیابی امنیتی را تهیه کنید Prepare the Security Assessment Report

• اقدامات اصلاحی اولیه یافته های ارزیابی Initial Remedy Actions of Assessment Findings

مرحله 5 - مجوز: آماده سازی سیستم اطلاعات برای استفاده Step 5—Authorize: Preparing the Information System for Use

• مرحله 5 - مجوز: آماده سازی سیستم اطلاعات برای استفاده Step 5—Authorize: Preparing the Information System for Use

• عناصر مدیریت ریسک Elements of Risk Management

• صدور گواهینامه و اعتبار Certification and Accreditation

• کاربرد RMF Application of the RMF

• مجوزهای امنیتی/تاییدیه های عملیاتی Security Authorizations/Approvals to Operate

• گواهی صحت کنترل های امنیتی Certification of the Correctness of Security Controls

• نقش خاص الزامات Particular Role of Requirements

• تهیه برنامه اقدام Preparing the Action Plan

• آماده سازی بسته مجوز امنیتی Preparing the Security Authorization Package

مرحله 6- نظارت بر وضعیت امنیتی Step 6—Monitor Security State

• مرحله 6- نظارت بر وضعیت امنیتی Step 6—Monitor Security State

• پایش موثر ریسک Sustaining Effective Risk Monitoring

• ساختار فرآیند نظارت بر ریسک Structuring the Risk-Monitoring Process

• تداوم یک فرآیند کنترل و نظارت مستمر Sustaining an Ongoing Control-Monitoring Process

• ایجاد یک فرآیند ارزیابی کنترل مستمر Establishing a Continuous Control Assessment Process

• انجام نظارت مستمر Conducting Continuous Monitoring

• ملاحظات اندازه گیری کمی Quantitative Measurement Considerations

• درست نگه داشتن مجموعه کنترل در طول زمان Keeping the Control Set Correct over Time

کاربردهای عملی چارچوب مدیریت ریسک NIST Practical Applications of the NIST Risk Management Framework

• کاربردهای عملی چارچوب مدیریت ریسک NIST Practical Applications of the NIST Risk Management Framework

• صدور گواهینامه و اعتبار بخشی در فضای فدرال Certification and Accreditation in the Federal Space

• قانون دولت الکترونیک The E-Government Act

• اجرای کنترل های امنیت اطلاعات و ارزیابی مجموعه کنترل Implementing Information Security Controls and Evaluating the Control Set