NIST SP 800-18 R2

Editors' Pick

A NIST kiadta az SP 800-18 Revision 2 végleges változatát, amely alapjaiban korszerűsíti a rendszertervezési dokumentációt. A korábbi, kizárólag System Security Plan szemlélet helyett a szabvány egységes keretbe foglalja a biztonsági, adatvédelmi és kiberbiztonsági ellátásilánc-kockázatkezelési terveket. Az új útmutató szerint ezek együtt alkotják a System Plan dokumentációt, amely a rendszer célját, engedélyezési határait, eszközeit, adatfolyamait, felelőseit, a bevezetett kontrollok állapotát, valamint a biztonsági, adatvédelmi és beszállítói kockázatok kezelését egyetlen, összehangolt dokumentumban rögzíti. A cél, hogy a szervezetek egységes képet kapjanak a rendszer teljes kockázati helyzetéről, és elkerüljék a párhuzamos, eltérő tartalmú dokumentációk fenntartását. 

Az új kiadás szorosan illeszkedik a NIST Risk Management Framework (RMF), a NIST Privacy Framework, valamint az SP 800-161 Rev.1 ellátásilánc-biztonsági ajánlásaihoz. A dokumentum nagy hangsúlyt helyez a géppel feldolgozható rendszertervek és GRC eszközök használatára, hogy a rendszerleltár, a kontrollok, a sérülékenységek és a megfelelőségi információk automatikusan naprakészen tarthatók legyenek. A NIST szerint a rendszertervnek a teljes életciklust támogatnia kell: a rendszer tervezését, engedélyezését, üzemeltetését, folyamatos felügyeletét, változáskezelését és kivezetését is. 

Az SP 800-18r2 különösen fontos a kritikus infrastruktúrát üzemeltető szervezetek számára, mivel a beszállítói kockázatkezelést már nem különálló folyamatként, hanem a rendszerbiztonság szerves részeként kezeli. 

FORRÁS