Il NIST ha pubblicato la rev. 2 del SP 800-37 dal titolo "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy":
- https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final.
Solitamente apprezzo le pubblicazioni del NIST, ma questa mi pare un rifacimento di cose vecchie. In particolare ripropone una valutazione del rischio basata sugli asset senza ulteriori riflessioni.
Dal NIST, poi, speravo di ricevere un maggior numero di esempi, che invece non ci sono.
Come pragmatismo, infine, non posso non notare quanto si aggrovigli sui concetti di "autorizzazione", dedicandoci anche due appendici per un totale di 32 pagine. Se ho capito correttamente, si tratta di "approvazione del rischio residuo e del piano di trattamento" e, quindi, parte delle riflessioni riguardano le responsabilità dei sistemi, visto che spesso si intrecciano in forme non facilmente discernibili.
Nessun commento:
Posta un commento