(RMF) Risk Management Framework : Ein Überblick

RMF

Das Risk Management Framework (RMF) ist ein Kriteriensatz, der die Architektur, Absicherung und Überwachung von IT-Systemen der US-Regierung vorgibt. Das RMF wurde vom Verteidigungsministerium der USA entwickelt und im Jahr 2010 für alle anderen Informationssysteme auf US-Bundesebene übernommen.

Heute wird das RMF vom National Institute of Standards and Technology (NIST) gepflegt und bietet eine solide Grundlage für jede Datensicherheitsstrategie.

Was ist das Risk Management Framework (RMF)?

Im „NIST SP 800-37 Rev.1“ wird das RMF als 6-stufiger Prozess für die architektonische und technische Gestaltung eines Datensicherheitsprozesses für neue IT-Systeme definiert. Hier werden auch Best Practices und Verfahren vorgeschlagen, die jede US-Bundesbehörde bei der Einführung eines neuen System einhalten sollte. Ergänzend zum Ausgangsdokument SP 800-37 basiert das RMF auf den ergänzenden Dokumenten SP 800-30, SP 800-53, SP 800-53A und SP 800-137.

Stufen des Risk Management Framework (RMF)

Wir haben den 6-stufigen Prozess des RMF unten bildlich dargestellt. Betrachten Sie die Grafik und genauere Angaben zu den einzelnen Schritten darunter.

rmf risk management framework steps

Stufe 1: Kategorisieren des Informationssystems

Der Verantwortliche für das Informationssystem weist dem neuen IT-System eine Sicherheitsrolle zu, die sich an den Aufgaben und Geschäftszielen orientiert. Die Sicherheitsrolle muss mit der Risikomanagementstrategie der Organisation übereinstimmen.

Stufe 2: Auswählen der Sicherheitskontrollen

Die Sicherheitskontrollen für das Projekt werden von der Leitung aus den gängigen Kontrollen ausgewählt und durch hybride oder systemspezifische Kontrollen ergänzt. Sicherheitskontrollen sind Hardware, Software und technische Prozesse, die erforderlich sind, um die in der Risikobewertung aufgeführten Mindestanforderungen an die Sicherheit zu erfüllen. Außerdem muss die Behörde auf dieser Stufe Pläne für eine lückenlose Überwachung des neuen Systems entwickeln.

Stufe 3: Implementieren der Sicherheitskontrollen

Einfach gesagt wird hier Stufe 2 in die Tat umgesetzt. Am Ende dieser Stufe sollte die Behörde dokumentiert und nachgewiesen haben, dass sie die Mindestanforderungen an die Sicherheit erfüllt und den korrekten Einsatz von Informationssystemen und sicherheitstechnischen Methoden nachgewiesen hat.

Stufe 4: Bewerten der Sicherheitskontrollen

Ein unabhängiger Prüfer überprüft die in Stufe 3 eingeführten Sicherheitskontrolle und gibt sie frei. Bei Bedarf muss die Behörde vom Prüfer identifizierte Schwächen oder Mängel bearbeiten und beheben und danach die entsprechenden Änderungen in der Dokumentation im Sicherheitsplan vornehmen.

Stufe 5: Genehmigen des Informationssystems

Die Behörde reicht ein Genehmigungspaket für die Risikobewertung und Risikoermittlung ein. Danach stellt die Genehmigungsstelle den Genehmigungsentscheid für alle notwendigen Parteien aus.

Stufe 6: Überwachen der Sicherheitskontrollen

Die Behörde überwacht die aktuellen Sicherheitskontrollen kontinuierlich und aktualisiert sie in Abhängigkeit von Änderungen im System oder in der Umgebung. Die Behörde erstellt regelmäßig Berichte über den Sicherheitsstatus des Systems und behebt bei Bedarf Schwachstellen.

Wie kann Varonis Sie bei der Compliance unterstützen?

Die NIST-Richtlinie und das RMF (und zahlreiche weitere Datensicherheitsstandards und Compliance-Vorschriften) haben drei Bereiche gemein:

  • Identifzieren von sensiblen und gefährdeten Daten und Systemen (inklusive Benutzer, Berechtigungen, Ordner usw.)
  • Schützen der Daten, Verwalten der Zugriffe und Minimieren der Angriffsflächen
  • Überwachen und Erkennen aller Vorgänge mit den Daten, der Personen, die zugreifen, und Identifizieren von verdächtigen Verhaltensweisen oder auffälligen Dateiaktivitäten

Mit der Varonis Datensicherheitsplattform können Behörden viele dieser vom RMF vorgeschriebenen Praktiken und Vorgaben steuern (und automatisieren).

DatAdvantage und die Data Classification Engine identifizieren sensible Daten in zentralen Datenspeichern und mappen Benutzer-, Gruppen- und Ordnerberechtigungen, so dass Sie erkennen können, wo Ihre sensiblen Daten liegen und wer auf sie zugreifen kann. Klarheit über die Personen zu haben, die auf Ihre Daten zugreifen können, ist eine Schlüsselkomponente der in NIST SP 800-53 definierten Risikobeurteilungsstufe.

Datensicherheitsanalysen sind hilfreich, um die Anforderung zur fortlaufenden Überwachung Ihrer Daten gemäß NIST SP 800-53 zu erfüllen: Varonis analysiert die überwachten Daten im Hinblick auf mehrere Dutzend Bedrohungsmodelle, die Sie vor Ransomware, Malware, Fehlkonfigurationen, Insider-Angriffen uns vielem mehr warnen.

NIST SP 800-137 führt Richtlinien für den Datenschutz ein und verlangt von Behörden, dass sie das Prinzip der minimalen Rechtevergabe umsetzen. DatAdvantage, Automation Engine und DataPrivilege optimieren das Berechtigungs- und Zugriffsmanagement, vereinfachen die Durchsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe und die Automatisierung der Bereinigung von Berechtigungen.

Das Risk Management Framework sieht auf den ersten Blick zwar komplex aus, ist letztlich und im Kern aber ein vernünftiger und logischer Ansatz für guten Datenschutz. Erfahren Sie noch heute, wie Varonis Sie dabei unterstützen kann.