NIST SP 800-53 is 'n kritieke komponent van FISMA-nakoming. Hoogs aanbevole sekuriteitskontroles vir federale inligtingstelsels en organisasies.
NIST Spesiale Publikasie 800-53, bekend as die Nasionale Instituut vir Standaarde en Tegnologie Spesiale Publikasie 800-53, stel standaarde en riglyne uiteen vir hoe Amerikaanse regeringsagentskappe moet bou, implementeer, hul inligtingsekuriteitstelsels bestuur en die data wat op hul stelsels gestoor is.
Die Federal Information Security Management Act (FISMA) vereis dat NIST SP 800-53 standaarde en riglyne vir federale agentskappe en kontrakteurs stel.
NIST SP 800-53 het ook 'n rol in die ontwikkeling Federale inligtingsverwerkingstandaarde (FIPS) saam met FISMA.
Soos ons steeds 'n groeiende afhanklikheid van die internet sien en 'n groter afhanklikheid van inligtingstelsels vir besigheids- en persoonlike kommunikasie, neem die behoefte aan inligting privaatheid en sekuriteit net toe.
ISMS.online kan jou organisasie help om daaraan te voldoen en NIST SP 800-53 te bereik.
Die riglyne is van toepassing op alle elemente van 'n inligtingstelsel wat federale inligting stoor, verwerk of oordra.
Die riglyne dek gebiede soos mobiele en wolkrekenaars, binnebedreigings, toepassingsekuriteit, voorsieningskettingsekuriteit en is vervaardig onder die ontwikkelende aard van inligtingsekuriteit.
NIST SP 800-533 dek die stappe in die risikobestuursraamwerk wat sekuriteitsbeheerseleksie vir federale inligtingstelsels aanspreek volgens die sekuriteitsvereistes in FIPS.
Die sekuriteitsreëls dek areas soos toegangsbeheer, voorvalreaksie, besigheidskontinuïteit en rampherstel. 'N belangrike deel van die federale inligtingstelsels se assesserings- en magtigingsproses selekteer en implementeer 'n subset van die kontroles uit die sekuriteitsbeheerkatalogus, NIST 800-53, Bylaag F.
Die bestuurs-, operasionele en tegniese veiligheidsmaatreëls word voorgeskryf vir 'n inligtingstelsel om die vertroulikheid, integriteit, beskikbaarheid van die stelsel en sy inligting te beskerm.
Die kontroles kan aangepas en aangepas word om nouer te pas by die doelwitte en omgewings van die organisasie.
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Die standaard bied meer veilige inligtingstelsels via beheerfamilies. Private organisasies voldoen aan NIST SP 800-53 omdat sy 18 beheerfamilies hulle help om die uitdaging die hoof te bied om toepaslike basiese sekuriteitskontroles, -beleide en -prosedures te kies.
Die versekering van sekuriteit en voldoening is slegs een van die voordele van die aanpassingsproses. Konsekwentheid en koste-effektiewe toepassing van beheermaatreëls oor jou inligtingstegnologie-infrastruktuur word daardeur bevorder. Om die relevansie daarvan vir jou infrastruktuur en omgewing te verseker, moedig dit jou aan om elke sekuriteit- en privaatheidsbeheer wat jy kies, te ontleed.
Die impak van voorvalle op verskeie data en inligtingstelsels vereis 'n noukeurige risikobepaling. NIST 800-53 het 'n katalogus van sekuriteit, privaatheidkontroles en leidingkontroles. Kontroles moet gekies word op grond van die beskermingsvereistes van die inhoud.
Soos voorheen genoem, kan Federal Information Processing Standards (FIPS) u help om die kontroles te kies wat u organisasie benodig teen die drie impakvlakke wat in FIPS voorkom.
Hierdie impakvlakke is:
NIST SP 800-53 kontroles word in die volgende verdeel:
| Familie naam | ID | Voorbeeld van kontroles |
|---|---|---|
| Toegangsbeheer | AC | Rekeningbestuur en monitering |
| Bewusmaking en opleiding | AT | Gebruikersbewustheid en opleiding oor sekuriteitsbedreigings |
| Oudit en aanspreeklikheid | AU | Inhoud van ouditrekords – Ontleding en verslagdoening – Rekordbehoud |
| Assessering, magtiging en monitering | CA | Verbindings met openbare netwerke en eksterne stelsels – Penetrasietoetsing |
| Konfigurasiebestuur | CM | Gemagtigde sagtewarebeleide |
| Gebeurlikheidsbeplanning | CP | Alternatiewe verwerkings- en bergingswerwe – Besigheidskontinuïteitstrategieë |
| Identifikasie en verifikasie | IA | Stawingbeleide vir gebruikers, toestelle en dienste – geloofsbriewebestuur |
| Individuele deelname | IP | Toestemming en privaatheid magtiging |
| Insidentreaksie | IR | Insidente reaksie opleiding, monitering en verslagdoening |
| Onderhoud | MA | Stelsel, personeel en gereedskap instandhouding |
| Mediabeskerming | MP | Toegang, berging, vervoer, ontsmetting en gebruik van media |
| Privaatheid magtiging | PA | Insameling, gebruik en deel van persoonlik identifiseerbare inligting |
| Fisiese en Omgewingsbeskerming | PE | Fisiese toegang – Noodkrag – Brandbeskerming – Temperatuurbeheer |
| Beplanning | PL | Sosiale media en netwerkbeperkings – Verdediging-in-diepte sekuriteitsargitektuur |
| Program Management | PM | Risikobestuurstrategie – Insider-bedreigingsprogram – Ondernemingsargitektuur |
| Personeel Sekuriteit | PS | Personeel sifting, beëindiging en oordrag – Eksterne personeel – Sanksies |
| Risiko-assessering | RA | Risikobepaling – Kwesbaarheidskandering – Privaatheidsimpakbepaling |
| Stelsel- en diensteverkryging | SA | Stelselontwikkelingslewensiklus – Verkrygingsproses – Voorsieningskettingrisikobestuur |
| Stelsel- en kommunikasiebeskerming | SC | Toepassingsverdeling – Grensbeskerming – Kriptografiese sleutelbestuur |
| Stelsel- en inligtingintegriteit | SI | Foutremediëring – Stelselmonitering en -waarskuwing |
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
NIST SP 800-53 Hersiening 1 is in Desember 2006 vrygestel as "Aanbevole sekuriteitskontroles vir federale inligtingstelsels."
NIST SP 800-53 Hersiening 2 is in Desember 2007 vrygestel as "Aanbevole sekuriteitskontroles vir federale inligtingstelsels."
NIST SP 800-53 Hersiening 3 is in Augustus 2009 vrygestel as "Aanbevole sekuriteitskontroles vir federale inligtingstelsels en organisasies.". Hierdie weergawe bevat verskeie aanbevelings van mense wat kommentaar gelewer het op voorheen gepubliseerde weergawes.
Dit is aanbeveel om 'n vermindering in aantal sekuriteitskontroles vir lae impak stelsels. Stel ook 'n nuwe stel toepassingsvlakkontroles voor en groter magte vir organisasies om kontroles af te gradeer.
Veranderinge ingebring deur hersiening 3:
NIST SP 800-53 Hersiening 4 is aanvanklik in Februarie 2012 vrygestel as "Sekuriteits- en privaatheidskontroles vir federale inligtingstelsels en organisasies".
Hersiening 4 het opdaterings aan sekuriteitskontroles, aanvullende leiding en beheerverbeterings ingesluit. Dit het ook pasmaak- en aanvullingsleiding opgedateer wat elemente in die kontroleseleksieproses vorm.
NIST SP 800-53 Hersiening 5 is aanvanklik in Augustus 2017 bespreek en verwyder "federaal" van "Sekuriteits- en privaatheidskontroles vir federale inligtingstelsels en organisasies" om aan te dui dat regulasies op alle organisasies toegepas kan word, eerder as net federale organisasies. Die finale weergawe van Hersiening 5 is in September 2020 vrygestel.
Sommige veranderinge in hierdie weergawe sluit in:
NIST SP 800-53A bevat 'n stel prosedures vir die uitvoer van assesserings van sekuriteitskontroles en privaatheidskontroles binne federale stelsels en organisasies.
Die prosedures kan maklik aangepas word om organisasies die buigsaamheid te gee om sekuriteitskontrole-assesserings en privaatheidskontrole-assesserings uit te voer in ooreenstemming met die organisasie se gestelde risikotoleransie.
Leiding oor die ontleding van assesseringsresultate word verskaf, met inligting oor die bou van effektiewe sekuriteit- en privaatheidsassesseringsplanne.
NIST SP 800-53B bied basiese sekuriteitskontroles en privaatheidskontroles vir inligtingstelsels.
Leiding word verskaf oor ontleding assesseringsresultate en inligting oor die bou van effektiewe sekuriteit assesseringsplanne.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
Dit is verpligtend vir federale inligtingstelsels om die standaard te gebruik. Om die verhouding te handhaaf, moet enige organisasie wat met die federale regering werk, voldoen aan NIST SP 800-53.
Die standaard verskaf 'n raamwerk vir enige organisasie om te ontwikkel, in stand te hou en hul inligtingsekuriteitspraktyke te verbeter, insluitend staats-, plaaslike, stamregerings en private maatskappye.
Federale agentskappe moet voldoen aan die jongste hersiening van NIST SP 800-53 binne een jaar na die vrystelling van die nuwe hersiening, en nuwe stelsels moet voldoen aan die tyd van ontplooiing.
NIST SP 800-53 help organisasies van alle vorms en groottes om te voldoen aan die Federal Information Security Modernization Act (FISMA). Daar is 'n uitgebreide katalogus van kontroles om sekuriteit te versterk.
Die doel van die FISMA is om te beskerm teen ongemagtigde toegang, gebruik, openbaarmaking, ontwrigting, wysiging en vernietiging van die regering inligting en bates.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Dit is 'n algemene wanopvatting dat 'n organisasie moet kies tussen NIST SP 800-53 of ISO 27001 en dat die een beter is as die ander. Beide van hulle kan binne 'n organisasie gebruik word en het baie sinergieë tussen hulle. Data sekuriteit, risikobeoordelings en sekuriteitsprogramme is onder die omvang van beide ISO 27001 en NIST SP 800-53.
Die NIST-raamwerke is vrywillig en buigsaam gemaak. Hulle het verskeie algemene beginsels, insluitend die vereiste van senior bestuursondersteuning, a voortdurende verbeteringsproses, en 'n risiko-gebaseerde benadering, wat dit maklik maak om dit in samewerking met ISO 27001 te implementeer.
Die risikobepalingsproses wat deur ISO 27001 gespesifiseer word, volg 'n baie soortgelyke benadering as NIST SP 800-53. Beheermaatreëls wat geskik is vir die risiko, die identifisering van risiko's vir die organisasie se inligting, en die monitering van hul prestasie is onder beide nodig.
| ISO/IEC 27001 (Internasionale Organisasie vir Standaardisasie) | NIST (Nasionale Instituut vir Standaarde en Tegnologie) |
|---|---|
| ISO 27001 is 'n internasionaal erkende benadering tot die vestiging en instandhouding van 'n inligtingsekuriteitbestuurstelsel (ISMS). | Die skepping van NIST was om Amerikaanse federale agentskappe en organisasies te help om hul risiko beter te bestuur. |
| ISO 27001 is minder tegnies met meer klem op risiko-gebaseerde bestuur wat beste praktyk aanbevelings verskaf vir die beveiliging van alle inligting. | Die raamwerk se drie hoofkomponente is die kern, implementeringsvlakke en profiele, wat die aktiwiteite is wat nodig is om elke funksie te vervul. |
| Daar is 14 beheerkategorieë en 114 kontroles in die ISO 27001-bylae A. | NIST-raamwerke het verskeie beheerkatalogusse. |
| Daar is tien klousules in die ISO 27001 wat organisasies deur hul ISMS-reis lei. | Die NIST-raamwerk het vyf funksies wat gebruik kan word om kubersekuriteitskontroles te wysig en aan te pas. |
| Onafhanklike oudit- en sertifiseringsliggame word gebruik om die voldoening aan ISO 27001 te verseker. | NIST het 'n self-sertifiseringsmeganisme wat vrywillig is. |
ISMS.online ontwikkel voortdurend na voldoen aan die inligtingsekuriteit, privaatheid en besigheidskontinuïteitsbehoeftes van organisasies regoor die wêreld. Ons vereenvoudigde, veilige, volhoubare platform ondersteun veel meer as net ISO/IEC 27001. Soos ons platform groei, so ook die lys van standaarde en regulasies wat ons ondersteun.
Boonop kom ons platform met verskeie voorafgeboude raamwerke wat jy kan aanneem, aanpas of byvoeg, afhangende van jou organisasie se unieke behoeftes. Of jy kan maklik jou eie bou vir pasgemaakte voldoeningsprojekte.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Laai ons gratis gids vir vinnige en volhoubare sertifisering af
Die data op federale netwerke kan sensitiewe inligting insluit wat noodsaaklik is vir die voortgesette funksie van die Amerikaanse regering.
Dit kan gebruikers se private data insluit, bekend as persoonlik identifiseerbare inligting, wat ook belangrik is om te beskerm wat deur NIST SP 800-171 beskerm word.
NIST SP 800-53 is 'n sistematiese benadering tot die beskerming van inligting en rekenaarstelsels.
Die stelsels sluit in:
Die tipes data wat beskerm kan word, sal verskil vanweë die diversiteit van stelsels en organisasies.
Die keuse en implementering van toepaslike sekuriteits- en privaatheidskontroles vir NIST 800-53 SP-nakoming word aangehelp deur die volgende beste praktyke.
NIST SP 800-53 is aanvanklik in Februarie 2005 vrygestel. Gepas genoem as "Aanbevole sekuriteitskontroles vir federale inligtingstelsels."
