Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"

В современном мире всеобъемлющей цифровизации и диджитализации большинства бизнес-процессов обмен информацией играет ключевую роль, будь то пересылка файлов по электронной почте, предоставление онлайн-сервиса заказчикам, совместное использование облачной инфраструктуры или передача информации через VPN-туннель между компаниями-партнерами. Во всех случаях, как правило, речь идет о необходимости согласовать единый формат обмена и защиты информации, заключить юридически значимые договоренности о правилах обмена и соблюдении конфиденциальности, поддерживать выбранный способ обмена и корректно завершить взаимодействие по достижении цели.

Документ NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges" («Управление безопасностью информационных обменов») содержит рекомендации по выстраиванию процессов обмена информацией без привязки к конкретным технологиям и форматам передачи данных, фокусируясь на согласовании процессов обмена информацией и обеспечении её защиты, а также на выполнении соглашений между участниками обмена. Целями защищенного обмена являются управление соответствующими киберрисками и обеспечение защищенности информации на уровне не меньшем, чем в организации-источнике информации, что достигается применением мер ИБ и подписанием юридически значимых договоренностей.

В рамках публикации NIST SP 800-47 рассматривается защищенный доступ и обмен данными между информационными системами, которые управляются различными организациями/подразделениями или которые пересекают границы авторизации систем (термин из публикации по управлению киберрисками NIST SP 800-37, означающий формальную зону ответственности за ИТ-системы). Для управления и обеспечения защиты информационного обмена в документе NIST SP 800-47 предлагается использовать структурированный подход, состоящий из 4 фаз:

Подробнее по этой теме: