تم تطوير ونشر إطار إدارة المخاطر (RMF) من قبل المعهد الوطني للمعايير والتكنولوجيا (NIST) في عام 2010 واعتمدته لاحقًا وزارة الدفاع (DoD) للعمل كمعايير لتعزيز وتوحيد عملية إدارة المخاطر لأمن المعلومات المنظمات. يمكن استخدام هذا الإطار من قبل أي شركة تقريبًا مهتمة بتعزيز الأمن السيبراني وإدارة المخاطر.
إدارة المخاطر هي وسيلة لحماية الأصول والأنظمة التنظيمية من خلال تطبيق الضوابط الأمنية التي تدعم الكشف المبكر عن المخاطر وحلها. يحقق RMF ذلك من خلال مساعدة الشركات على تحقيق المزيد من الهيكل والإشراف على دورة حياة تطوير النظام من خلال دمج الأمن السيبراني وإدارة المخاطر في المراحل الأولى من عملية تطوير النظام.
بينما يُطلب من الوكالات الفيدرالية اتباع RMF عند تطوير أنظمة للمنصات الحكومية ، يمكن للإطار أيضًا مساعدة الشركات غير الحكومية في ممارسات إدارة مخاطر تكنولوجيا المعلومات.
خطوات إطار إدارة المخاطر
تساعد RMF الشركات على توحيد إدارة المخاطر من خلال تطبيق ضوابط صارمة لأمن المعلومات. يحتوي الإصدار الأحدث من RMF ، الذي تم إصداره في عام 2018 ، على سبع خطوات ستحتاج إلى اتباعها لتنفيذه بشكل صحيح. الهدف النهائي لمنهج RMF المكون من سبع خطوات هو الوصول إلى مرحلة التفويض بالتشغيل (ATO) ، وهو الوقت الذي يُسمح فيه للأنظمة بالعمل في بيئة حكومية.
إليك كيفية الوصول إلى ATO باتباع خطوات RMF السبع هذه:
- إعداد: أضاف المعهد القومي للمعايير والتقنية هذه الخطوة في المراجعة 2 من RMF ، مدركًا أهمية إعداد المنظمة للحصول على أكبر قيمة من RMF ، مع التركيز بشكل حاسم على الاتصال. كما يشرح نيست ، “إعداد ينفذ الأنشطة الأساسية على مستوى المؤسسة والمهمة والعمل ، ومستوى نظام المعلومات للمؤسسة للمساعدة في إعداد المنظمة لإدارة مخاطر الأمن والخصوصية باستخدام إطار إدارة المخاطر “.
- صنف: تتعلق هذه الخطوة بكيفية معالجة المعلومات وتخزينها وإرسالها بواسطة النظام المعني. يتطلب منك تحديد كيفية تفاعل النظام مع أنظمة وشبكات تكنولوجيا المعلومات الأخرى ، لفهم تدابير الامتثال التي تحتاج إلى اتخاذها ، ووضع وصف معماري للنظام.
- تحديد: تتضمن خطوة التحديد تحديد خط أساس لعناصر التحكم في الأمان استنادًا إلى الفئة التي تقع ضمنها المخاطر أثناء الخطوة الأولى. أثناء هذه الخطوة ، ستتخذ قرارات بشأن ضوابط الأمان الأساسية التي تريد تنفيذها استنادًا إلى الفئة التي تقع ضمنها المخاطر.
- التنفيذ: تتضمن الخطوة الثالثة تنفيذ الإجراءات الأمنية المنصوص عليها في الخطوة الثانية. أثناء هذه الخطوة ، يجب عليك التأكد من أن عملية التنفيذ الخاصة بك موثقة جيدًا في حالة احتياجك إلى إعادة النظر في التنفيذ بعد الخطوة التالية.
- تقييم: خلال الخطوة الرابعة ، حان الوقت للتأكد من أن كل شيء يعمل على النحو المنشود ومن تطبيق عناصر التحكم بشكل صحيح على النظام. خطوة التقييم هي عند التحقق لمعرفة ما إذا تم تنفيذ الفئات وعناصر تحكم الأمان الأساسية التي تم وضعها في الخطوات الأولى بشكل صحيح أثناء التنفيذ. إذا لم يكن الأمر كذلك ، فستحتاج إلى العودة إلى خطوة التنفيذ حتى يعمل كل شيء بسلاسة قبل أن تتمكن من الانتقال إلى الخطوة الخامسة.
- تفويض: هذه هي الخطوة التي تحاول الوصول إليها في نهاية المطاف باستخدام RMF. يمكنك الانتقال إلى الخطوة الخامسة بناءً على ما تفعله خلال مرحلة التقييم. بمجرد تنفيذ الفئات وعناصر التحكم في الأمان بشكل صحيح ، عندها يمكن منح النظام أو رفضه سلطة التشغيل (ATO). إذا تم رفضه ، سيتم تأجيل خطوة التفويض حتى يتم سحب كل شيء.
- مراقب: بمجرد وضع ضوابط النظام في مكانها ، يجب مراقبتها باستمرار. يعتبر ATO الممنوح في المرحلة الخامسة جيدًا لمدة ثلاث سنوات فقط وستحتاج إلى تكرار العملية بأكملها بمجرد انتهاء صلاحيتها.
شهادة RMF والتدريب
يجب تدريب جميع الموظفين الفيدراليين العاملين في القوى العاملة لتأمين معلومات وزارة الدفاع (IA) على RMF ومؤهلون لتطبيق RMF في مكان العمل ، وفقًا لتفويض DoD8570. للحصول على التدريب والاعتماد ، هناك العديد من البرامج المتاحة التي تم تصميمها لتساعدك على تحقيق أقصى سرعة على RMF. حتى إذا كنت لا تعمل في وظيفة IA حكومية ، لا يزال بإمكان هذه البرامج إطلاعك على كل ما تحتاج إلى معرفته لتنفيذ RMF في دورة التطوير الخاصة بك.