Вчера Белый дом опубликовал первую версию Фреймворка по улучшению информационной безопасности на критической инфраструктуре. Это перечень отраслевых стандартов и примеров их применения, которые могут применять компании для улучшения собственных программ информационной безопасности.

Фреймворк состоит из трех основных уровней: 1) ядро: набор правил, обязательных для всех программ; 2) профили: активности по обеспечению безопасности в соответствии с требованиями каждой компании; 3) классы (tiers): оценка соответствия имеющихся систем безопасности и управление рисками.

На схеме показаны информационные потоки в организации и модель принятия решений в области информационной безопасности, в соответствии с фреймворком

Представители администрации президента Обамы высказали мнение, что документ — «главный поворотный момент» в информационной безопасности.

По мнению критиков, он не несет в себе особой пользы. Во-первых, документ просто подтверждает существующий статус-кво по требованиям к информационной безопасности предприятий. Во-вторых, он необязателен к исполнению. Но принять документ чиновники были обязаны после декрета президента № 13636 от 12 февраля 2013 года. Они сделали, что смогли — целый год сотрудники Национального института по стандартам и технологиям (NIST) совместно с Министерством внутренней безопасности и некоторыми сторонними экспертами составляли список известных, общепринятых стандартов, которые можно использовать для выявления рисков, их своевременного обнаружения, защиты, ответных действий и последующего восстановления.

Ядро: набор правил, обязательных для всех программ: выявление рисков, их своевременное обнаружение, защита, ответные действия и последующее восстановление

Документ технологически нейтрален и не содержит конкретных названий продуктов и компаний-разработчиков. При Министерстве внутренней безопасности США организован экспертный центр Critical Infrastructure Cyber Community, куда частная компания может обратиться за экспертной помощью.



Оставить мнение