กรอบการบริหารความเสี่ยง (Risk Management Framework หรือ RMF) เป็นแนวทาง มาตรฐาน และกระบวนการของรัฐบาลกลางสหรัฐอเมริกา สำหรับการจัดการ ความเสี่ยงเพื่อช่วยรักษาความปลอดภัยของระบบสารสนเทศ (คอมพิวเตอร์และเครือข่าย) RMF ได้รับการพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technologyหรือ NIST) และเป็นกระบวนการที่มีโครงสร้างซึ่งบูรณาการความปลอดภัยของข้อมูลความเป็นส่วนตัว และกิจกรรมการบริหารความเสี่ยงเข้ากับวงจรชีวิตการพัฒนาระบบ [ ^{1 ] [ 2 ] RMF}เป็นส่วนสำคัญของการได้รับสิทธิ์ในการดำเนินการ (Authority to Operate หรือ ATO) ของระบบ

เอกสารหลักที่สรุป RMF คือNIST Special Publication 800-37 [ ^{1 ] [ 3 ] ขั้น}ตอน RMF เชื่อมโยงกับมาตรฐานและแนวทางปฏิบัติอื่นๆ ของ NIST หลายรายการ รวมถึงNIST Special Publication 800-53

กระบวนการ RMF ประกอบด้วยขั้นตอนต่อไปนี้:

• เตรียมพร้อมที่จะดำเนินการ RMF โดยการสร้างบริบทและกำหนดลำดับความสำคัญสำหรับการจัดการความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัวทั้งในระดับองค์กรและระดับระบบ^{[ 4 ] [ 5 ]}
• จัดหมวดหมู่ระบบสารสนเทศและข้อมูลที่ระบบประมวลผล จัดเก็บ และส่งผ่าน โดยอิงจากการวิเคราะห์ผลกระทบ^{[ 6 ] [ 7 ] [ 8 ]}
• เลือกชุดการควบคุมความปลอดภัย พื้นฐาน สำหรับระบบสารสนเทศโดยพิจารณาจากการจัดประเภทความปลอดภัยปรับแต่งและเสริมการควบคุมพื้นฐานตามความจำเป็น โดยพิจารณาจากการประเมินความเสี่ยง ขององค์กร และเงื่อนไขเฉพาะในพื้นที่ หากเหมาะสม จะมีการเพิ่มการซ้อนทับในขั้นตอนนี้^{[ 2 ] [ 9 ]}
• ดำเนินการตามมาตรการควบคุมความปลอดภัยที่ระบุไว้ในขั้นตอนก่อนหน้า^{[ 2 ]}
• การประเมิน : ผู้ประเมินจากภายนอกจะประเมินว่าการควบคุมได้รับการดำเนินการอย่างเหมาะสมและมีประสิทธิภาพหรือไม่^{[ 10 ]}
• อนุมัติ : จากผลการประเมิน ระบบจะได้รับการอนุมัติหรือปฏิเสธการอนุญาตให้ดำเนินการ (ATO) หากยังมีปัญหาบางประการที่ยังไม่ได้รับการแก้ไข การอนุมัติ ATO อาจถูกเลื่อนออกไป โดยทั่วไปแล้ว การอนุมัติ ATO จะมีระยะเวลาสูงสุดสามปี หลังจากนั้นจะต้องดำเนินการซ้ำอีกครั้ง^{[ 1 ]}
• ตรวจสอบการควบคุมความปลอดภัยอย่างต่อเนื่องเพื่อให้มั่นใจถึงประสิทธิภาพอย่างต่อเนื่องตามที่ได้ระบุไว้ก่อนหน้านี้ในกระบวนการ^{[ 5 ]}

พระราชบัญญัติการจัดการความปลอดภัยข้อมูลของรัฐบาลกลางปี ​​2545 (FISMA 2002) ได้รับการประกาศใช้เพื่อปกป้องเศรษฐกิจและความมั่นคงแห่งชาติของสหรัฐอเมริกาผ่านการปรับปรุง^ความปลอดภัยของข้อมูล [ ^{11 ]}

ต่อมารัฐสภาได้ผ่านร่างพระราชบัญญัติการปรับปรุงความปลอดภัยข้อมูลของรัฐบาลกลางปี ​​2014 (FISMA 2014) เพื่อปรับปรุงกฎหมายเดิมโดยมอบอำนาจให้กระทรวงความมั่นคงแห่งชาติ (DHS) มีอำนาจมากขึ้นในการดูแลความปลอดภัยข้อมูลของรัฐบาลกลาง และกำหนด หน้าที่ ของสำนักงานบริหารงบประมาณ (OMB) ในการจัดการแนวปฏิบัติด้านความปลอดภัยข้อมูลของหน่วยงานรัฐบาลกลาง^{[ 12 ]}

FISMA กำหนดให้มีการปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึง การใช้งาน การเปิดเผย การรบกวน การแก้ไข หรือการทำลายโดยไม่ได้รับอนุญาต เพื่อให้มั่นใจในความลับ ความสมบูรณ์ และความพร้อมใช้งาน^{[ 13 ]}หัวข้อ III ของ FISMA 2002 มอบหมายให้ NIST พัฒนามาตรฐาน แนวทาง และข้อกำหนดด้านความปลอดภัยของข้อมูลและการจัดการความเสี่ยง^{[ 6 ] [ 7 ] [ 8 ] [ 9 ]}

RMF ซึ่งระบุไว้ใน NIST Special Publication 800-37 และเผยแพร่ครั้งแรกในเดือนกุมภาพันธ์ 2010 ได้รับการออกแบบมาเพื่อช่วยให้องค์กรต่างๆ จัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์และปฏิบัติตามกฎหมายและข้อบังคับต่างๆ ของสหรัฐอเมริกา รวมถึงพระราชบัญญัติการปรับปรุงความปลอดภัยข้อมูลของรัฐบาลกลางปี ​​2014พระราชบัญญัติความเป็นส่วนตัวปี 1974และมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง เป็นต้น^{[ 1 ]}ในเดือนธันวาคม 2019 ได้มีการเผยแพร่ NIST Special Publication 800-37 ฉบับแก้ไขครั้งที่ 2 ซึ่งได้เพิ่มขั้นตอนการเตรียมการเข้าไปในกระบวนการโดยรวม

ตลอดวงจรชีวิตของระบบสารสนเทศ ระบบ จะเผชิญกับ ความเสี่ยงหลายประเภทที่อาจส่งผลกระทบต่อสถานะความปลอดภัย กระบวนการ RMF ช่วยในการระบุและแก้ไขความเสี่ยงเหล่านี้ตั้งแต่เนิ่นๆ โดยทั่วไป ความเสี่ยงสามารถจำแนกได้เป็น ความเสี่ยงด้านโครงสร้างพื้นฐาน โครงการ แอปพลิเคชันสินทรัพย์ สารสนเทศ ความต่อเนื่องทางธุรกิจ การเอาท์ซอร์ส ความเสี่ยงภายนอก และความเสี่ยงเชิงกลยุทธ์ ความเสี่ยงด้านโครงสร้างพื้นฐานเกี่ยวข้องกับความน่าเชื่อถือของคอมพิวเตอร์และเครือข่าย ในขณะที่ความเสี่ยงด้านโครงการเกี่ยวข้องกับงบประมาณ กำหนดเวลา และคุณภาพของระบบ ความเสี่ยงด้านแอปพลิเคชันเกี่ยวข้องกับประสิทธิภาพและความจุของระบบ ความเสี่ยงด้านสินทรัพย์สารสนเทศเกี่ยวข้องกับการสูญเสียหรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต ความเสี่ยง ด้านความต่อเนื่องทางธุรกิจมุ่งเน้นไปที่การรักษาความน่าเชื่อถือและเวลาการทำงานของระบบ ความเสี่ยงด้านการเอาท์ซอร์สเกี่ยวข้องกับผลกระทบของผู้ให้บริการบุคคลที่สามต่อระบบ^{[ 14 ]}

ความเสี่ยงภายนอกคือปัจจัยที่อยู่นอกเหนือการควบคุมของระบบสารสนเทศซึ่งอาจส่งผลกระทบต่อความปลอดภัยของระบบ ความเสี่ยงเชิงกลยุทธ์เกี่ยวข้องกับความจำเป็นที่ฟังก์ชันของระบบสารสนเทศจะต้องสอดคล้องกับกลยุทธ์ทางธุรกิจที่ระบบสนับสนุน^{[ 15 ]}

วัตถุประสงค์หลักสำหรับการปรับปรุง RMF ฉบับแก้ไขครั้งที่ 2 ประกอบด้วยสิ่งต่อไปนี้: ^{[ 16 ]}

• ปรับปรุงการสื่อสารระหว่างกิจกรรมการบริหารความเสี่ยงในระดับผู้บริหาร (ระดับ C-suite) กับกิจกรรมในระดับระบบและระดับปฏิบัติการ
• วางระบบกิจกรรมเตรียมการบริหารความเสี่ยงที่สำคัญในทุกระดับ เพื่ออำนวยความสะดวกในการดำเนินการบริหารความเสี่ยงอย่างมีประสิทธิภาพและคุ้มค่ามากยิ่งขึ้น
• แสดงให้เห็นว่ากรอบงานความปลอดภัยทางไซเบอร์ของ NIST สามารถนำมาปรับให้สอดคล้องกับ RMF และนำไปใช้ผ่านกระบวนการบริหารความเสี่ยงของ NIST ที่กำหนดไว้ได้อย่างไร
• บูรณาการการจัดการความเสี่ยงด้านความเป็นส่วนตัวเข้ากับ RMF เพื่อให้สามารถจัดการกับความรับผิดชอบในการคุ้มครองความเป็นส่วนตัวได้ดียิ่งขึ้น
• ส่งเสริมการพัฒนาซอฟต์แวร์และระบบที่น่าเชื่อถือและปลอดภัยโดยการปรับกระบวนการวิศวกรรมระบบใน NIST SP 800-160 เล่ม 1 ^{[ 17 ]}ให้สอดคล้องกับงานที่เกี่ยวข้องใน RMF
• ผนวกรวมแนวคิด การจัดการความเสี่ยงในห่วงโซ่อุปทานที่เกี่ยวข้องกับความปลอดภัย(SCRM) เข้าไว้ใน RMF โดยกล่าวถึงความเสี่ยงต่างๆ เช่น ชิ้นส่วนปลอม การดัดแปลง การแทรกโค้ดที่เป็นอันตราย และแนวทางการผลิตที่ไม่ดีตลอดวงจรชีวิตการพัฒนาระบบ (SDLC) และ
• อนุญาตให้ใช้วิธีการเลือกการควบคุมที่สร้างขึ้นโดยองค์กรเพื่อเสริมวิธีการเลือกการควบคุมพื้นฐานแบบดั้งเดิม โดยสนับสนุนการใช้แคตตาล็อกการควบคุมแบบรวมใน NIST SP 800-53 ฉบับแก้ไข 5 ^{[ 2 ]}

การแก้ไขครั้งที่ 2 ยังได้แนะนำขั้นตอน "เตรียมการ" ใหม่ (ขั้นตอนที่ 0) เพื่อเพิ่มประสิทธิผล ประสิทธิภาพ และความคุ้มค่าของกระบวนการจัดการความเสี่ยงด้านความปลอดภัยและความเป็นส่วนตัว^{[ 16 ]}

• กระบวนการรับรองและการตรวจสอบความมั่นคงปลอดภัยของข้อมูลกระทรวงกลาโหม (DIACAP) - ซึ่งเป็นหน่วยงานก่อนหน้า RMF
• สถาปัตยกรรมความไว้วางใจเป็นศูนย์
• กรอบงานความปลอดภัยทางไซเบอร์ของ NIST
• การประเมินความเสี่ยงทางไซเบอร์
• ภาพรวมของความปลอดภัยทางคอมพิวเตอร์

• ภาพรวมกรอบการบริหารความเสี่ยง
• กรอบงานความปลอดภัยทางไซเบอร์ของ NIST (CSF)