venerdì 14 febbraio 2014

US Government's Cybersecurity-Framework

Preannunciato dal SANS NewsBites, è stato pubblicato il US Government's
Cybersecurity Framework e lo si trova a questa pagina:
- http://www.nist.gov/cyberframework/

Ho cercato di capire di cosa si tratta. Riducendo al massimo, mi pare dica:
fate un risk assessment e stabilite quali funzioni di sicurezza applicare.
Mi ricorda un po' troppo la ISO/IEC 27001, se non che la descrizione delle
misure di sicurezza si riduce a circa 100 titoli.

Per la verità, per ciascun titolo sono riportati i documenti dove la
funzione è meglio descritta (CCS CSC, COBIT 5, ISA 62443-2-1:2009, ISA
62443-3-3:2013, ISO/IEC 27001:2013 e NIST SP 800-53 Rev. 4). Ma allora che
serve avere un nuovo elenco di misure (o controlli, o funzioni) di
sicurezza?

Un po' interessante è la suddivisione delle misure in 5 famiglie:
identificazione, protezione, rilevazione, risposta e ripristino.

Un altro aspetto interessante è la possibilità di stabilire il livello
(Tiers) di attuazione del framework, sulla base di valutazioni del processo
di risk managment, integrazione del programma di risk management e di
partecipazione di entità esterne. La descrizione dei livelli è ridotta
poche righe e mi pare un po' poco.

Se qualcuno vuole segnalare posizioni diverse è il benvenuto.

Nessun commento:

Posta un commento