hero-two-bg

NIST 800-30

NIST Special Publication 800-30, "Leitfaden zur Durchführung von Risikobewertungen," bietet Leitlinien für Organisationen zur Durchführung von Risikobewertungen von föderalen Informationssystemen und Organisationen. Sie verstärkt die Leitlinien in der NIST Special Publication 800-39, die den organisatorischen Risikomanagementprozess beschreibt.

Fordern Sie eine Demo von Secureframe Custom Frameworks anangle-right

Definition und Zweck

Der Zweck von NIST 800-30 besteht darin, Organisationen bei der Durchführung von Risikobewertungen zu unterstützen, um:

  • Schwachstellen und Bedrohungen ihrer Informationssysteme und Vermögenswerte zu identifizieren.
  • Die potenziellen Auswirkungen von Risiken auf die Organisation zu bewerten.
  • Risiken zu priorisieren, um Maßnahmen zur Minderung und Reaktion zu ergreifen.
  • Strategien zur Risikominderung zu entwickeln und umzusetzen.
  • Die gesamte Cybersecurity-Position und Widerstandsfähigkeit zu verbessern.

Verantwortliche Stelle

Das National Institute of Standards and Technology (NIST) ist die verantwortliche Stelle für die 800er Reihe der Veröffentlichungen, einschließlich NIST 800-30.

Zuletzt aktualisiert

NIST 800-30 wurde 2012 veröffentlicht und hat keine großen Updates erhalten.

Gilt für

Obwohl NIST 800-30 für Bundesbehörden entwickelt wurde, um die Anforderungen von FISMA zu erfüllen, wird auch staatlichen, lokalen und Stammesregierungen sowie Organisationen des privaten Sektors empfohlen, diese Leitlinien zu verwenden.

Kontrollen und Anforderungen

NIST 800-30 enthält keine spezifische Liste von Kontrollen oder Anforderungen. Es bietet stattdessen eine Methodik zur Durchführung von Risikobewertungen. Organisationen können andere NIST-Veröffentlichungen wie NIST SP 800-53 für spezifische Kontrollen und Anforderungen verwenden.

Bitte beziehen Sie sich auf die offizielle NIST 800-30 Veröffentlichung für weitere Details.

Audit-Typ, Häufigkeit und Dauer

Da NIST 800-30 ein Leitfaden zur Durchführung von Risikobewertungen und kein Compliance-Standard ist, diktiert es keine spezifischen Audit-Typen, Häufigkeiten oder Dauern.

Es bestimmt auch diese Aspekte für Risikoanalysen nicht. Stattdessen empfiehlt es Organisationen, kontinuierlich während des gesamten Systementwicklungslebenszyklus Risikoanalysen durchzuführen. In der Regel wird die Häufigkeit durch die sich entwickelnde Bedrohungslandschaft und Änderungen in der Umgebung der Organisation bestimmt. Die Dauer einer Risikoanalyse kann ebenfalls stark variieren, abhängig von der Komplexität der Organisation und dem Umfang der Analyse.

Erreichen Sie die Compliance mit Secureframe Custom Frameworks

Fordern Sie eine Demo anangle-right
cta-bg