NIST SP 800-53 er en kritisk komponent i FISMA-samsvar. Sterkt anbefalte sikkerhetskontroller for føderale informasjonssystemer og organisasjoner.
NIST Special Publication 800-53, kjent som National Institute of Standards and Technology Special Publication 800-53, angir standarder og retningslinjer for hvordan amerikanske offentlige etater bør utforme, implementere, administrere sine informasjonssikkerhetssystemer og dataene som er lagret på deres systemer.
De Federal Information Security Management Act (FISMA) krever at NIST SP 800-53 setter standarder og retningslinjer for føderale byråer og entreprenører.
NIST SP 800-53 har også en rolle i utviklingen Federal Information Processing Standards (FIPS) sammen med FISMA.
Som vi fortsetter å se en økende avhengighet av internett og en større avhengighet av informasjonssystemer for forretnings- og personlig kommunikasjon, er behovet for informasjonsvern og sikkerhet bare økende.
ISMS.online kan hjelpe organisasjonen din med å overholde og oppnå NIST SP 800-53.
Retningslinjene gjelder for alle elementer i et informasjonssystem som lagrer, behandler eller overfører føderal informasjon.
Retningslinjene dekker områder som mobil- og skydatabehandling, innsidetrusler, applikasjonssikkerhet, forsyningskjedens sikkerhet og har blitt laget under utviklingen av informasjonssikkerhet.
NIST SP 800-533 dekker trinnene i risikostyringsrammeverket som tar for seg sikkerhetskontrollvalg for føderale informasjonssystemer i henhold til sikkerhetskravene i FIPS.
Sikkerhetsreglene dekker områder som f.eks adgangskontroll, hendelsesrespons, forretningskontinuitet og katastrofegjenoppretting. En viktig del av føderal informasjonssystemers vurderings- og autorisasjonsprosess velger og implementerer et undersett av kontrollene fra sikkerhetskontrollkatalogen, NIST 800-53, vedlegg F.
De ledelsesmessige, operasjonelle og tekniske sikkerhetstiltakene er foreskrevet for en informasjon System for å beskytte konfidensialiteten, integriteten, tilgjengeligheten til systemet og dets informasjon.
Kontrollene kan justeres og skreddersys for å passe tettere med målene og miljøene i organisasjonen.
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Standarden gir mer sikre informasjonssystemer via kontrollfamilier. Private organisasjoner overholder NIST SP 800-53 fordi dets 18 kontrollfamilier hjelper dem med å møte utfordringen med å velge passende grunnleggende sikkerhetskontroller, retningslinjer og prosedyrer.
Å sikre sikkerhet og samsvar er bare en av fordelene med tilpasningsprosessen. Konsistens og kostnadseffektiv bruk av kontroller på tvers av din informasjonsteknologiske infrastruktur fremmes av det. For å sikre relevansen for din infrastruktur og miljø, oppfordrer den deg til å analysere hver sikkerhets- og personvernkontroll du velger.
Innvirkningen av hendelser på ulike data og informasjonssystemer krever en nøye risikovurdering. NIST 800-53 har en katalog over sikkerhet, personvernkontroller og veiledningskontroller. Kontroller bør velges basert på beskyttelseskravene til innholdet.
Som tidligere nevnt, Federal Information Processing Standards (FIPS) kan du hjelpe deg med å velge kontrollene organisasjonen din trenger mot de tre effektnivåene som finnes i FIPS.
Disse påvirkningsnivåene er:
NIST SP 800-53 kontroller er tildelt følgende:
| Familienavn | ID | Eksempel på kontroller |
|---|---|---|
| Access Control | AC | Kontoadministrasjon og overvåking |
| Bevissthet og opplæring | AT | Brukerbevissthet og opplæring i sikkerhetstrusler |
| Revisjon og ansvarlighet | AU | Innhold i revisjonsprotokoller – Analyse og rapportering – Oppbevaring av journaler |
| Vurdering, autorisasjon og overvåking | CA | Tilkoblinger til offentlige nettverk og eksterne systemer – Penetrasjonstesting |
| Configuration Management | CM | Autorisert programvarepolicy |
| Beredskapsplanlegging | CP | Alternative behandlings- og lagringssteder – Strategier for forretningskontinuitet |
| Identifikasjon og autentisering | IA | Retningslinjer for autentisering for brukere, enheter og tjenester – administrasjon av legitimasjon |
| Individuell deltakelse | IP | Samtykke og personvernautorisasjon |
| Hendelsesrespons | IR | Hendelsesrespons opplæring, overvåking og rapportering |
| Vedlikehold | MA | Vedlikehold av system, personell og verktøy |
| Mediebeskyttelse | MP | Tilgang, lagring, transport, sanitisering og bruk av media |
| Personvernautorisasjon | PA | Innsamling, bruk og deling av personlig identifiserbar informasjon |
| Fysisk og miljøvern | PE | Fysisk tilgang – Nødstrøm – Brannbeskyttelse – Temperaturkontroll |
| Planlegging | PL | Restriksjoner for sosiale medier og nettverk – Dybdeforsvarssikkerhetsarkitektur |
| programledelse | PM | Risikostyringsstrategi – Insider-trusselprogram – Enterprise-arkitektur |
| Personalsikkerhet | PS | Personellscreening, oppsigelse og overføring – Eksternt personell – Sanksjoner |
| Risk Assessment | RA | Risikovurdering – Sårbarhetsskanning – Vurdering av personvernkonsekvenser |
| Anskaffelse av system og tjenester | SA | Systemutvikling livssyklus – Anskaffelsesprosess – Risikostyring i forsyningskjeden |
| System- og kommunikasjonsbeskyttelse | SC | Applikasjonspartisjonering – Grensebeskyttelse – Kryptografisk nøkkelhåndtering |
| System- og informasjonsintegritet | SI | Feilretting – Systemovervåking og varsling |
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
NIST SP 800-53 Revisjon 1 ble utgitt i desember 2006 som "Anbefalte sikkerhetskontroller for føderale informasjonssystemer."
NIST SP 800-53 Revisjon 2 ble utgitt i desember 2007 som "Anbefalte sikkerhetskontroller for føderale informasjonssystemer."
NIST SP 800-53 Revisjon 3 ble utgitt i august 2009 som "Anbefalte sikkerhetskontroller for føderale informasjonssystemer og organisasjoner.". Denne versjonen inneholder flere anbefalinger fra personer som har kommentert tidligere publiserte versjoner.
Det ble anbefalt en reduksjon i antall sikkerhetskontroller for systemer med lav innvirkning. Foreslå også et nytt sett med kontroller på applikasjonsnivå og større krefter for organisasjoner til å nedgradere kontroller.
Endringer medført av revisjon 3:
NIST SP 800-53 Revisjon 4 ble først utgitt i februar 2012 som "Sikkerhets- og personvernkontroller for føderale informasjonssystemer og organisasjoner".
Revisjon 4 inkluderte oppdateringer av sikkerhetskontroller, tilleggsveiledning og kontrollforbedringer. Den oppdaterte også skreddersøm og kompletteringsveiledning som utgjør elementer i kontrollutvelgelsesprosessen.
NIST SP 800-53 revisjon 5 ble opprinnelig diskutert i august 2017 og fjernet "føderal" fra "Sikkerhets- og personvernkontroller for føderale informasjonssystemer og organisasjoner" for å markere at forskrifter kan brukes på alle organisasjoner, i stedet for bare føderale organisasjoner. Den endelige versjonen av revisjon 5 ble utgitt i september 2020.
Noen endringer i denne versjonen inkluderer:
NIST SP 800-53A inneholder et sett med prosedyrer for å utføre vurderinger av sikkerhetskontroller og personvernkontroller innenfor føderale systemer og organisasjoner.
De prosedyrer kan enkelt skreddersys for å gi organisasjoner fleksibiliteten å gjennomføre sikkerhetskontrollvurderinger og personvernkontrollvurderinger i tråd med organisasjonens uttalte risikotoleranse.
Veiledning for å analysere vurderingsresultater er gitt, med informasjon om å bygge effektive sikkerhets- og personvernvurderingsplaner.
NIST SP 800-53B gir grunnleggende sikkerhetskontroller og personvernkontroller for informasjonssystemer.
Det gis veiledning om å analysere vurderingsresultater og informasjon om å bygge effektiv sikkerhet vurderingsplaner.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Det er obligatorisk for føderale informasjonssystemer å bruke standarden. For å opprettholde forholdet må enhver organisasjon som jobber med den føderale regjeringen overholde NIST SP 800-53.
Standarden gir et rammeverk for enhver organisasjon for å utvikle, vedlikeholde og forbedre sin informasjonssikkerhetspraksis, inkludert statlige, lokale, stammemyndigheter og private selskaper.
Føderale byråer må være kompatible med den siste revisjonen av NIST SP 800-53 innen ett år etter utgivelsen av den nye revisjonen, og nye systemer må være kompatible på tidspunktet for distribusjon.
NIST SP 800-53 hjelper organisasjoner av alle former og størrelser med å overholde Federal Information Security Modernization Act (FISMA). Det er en omfattende katalog med kontroller for å styrke sikkerheten.
Formålet med FISMA er å beskytte mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifikasjon og ødeleggelse av myndighetene informasjon og eiendeler.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Det er en vanlig misforståelse at en organisasjon må velge mellom NIST SP 800-53 eller ISO 27001 og at den ene er bedre enn den andre. Begge kan brukes i en organisasjon og har mange synergier mellom dem. Datasikkerhet, risikovurderinger og sikkerhetsprogrammer er omfattet av både ISO 27001 og NIST SP 800-53.
De NIST rammer ble gjort frivillige og fleksible. De har flere felles prinsipper, inkludert å kreve støtte fra toppledelsen, a kontinuerlig forbedringsprosess, og en risikobasert tilnærming, som gjør det enkelt å implementere dem i forbindelse med ISO 27001.
Risikovurderingsprosessen spesifisert av ISO 27001 har en svært lik tilnærming til NIST SP 800-53. Kontroller som er passende for risikoen, identifisering av risikoer for organisasjonens informasjon og overvåking av ytelsen er nødvendig under begge.
| ISO/IEC 27001 (International Organization for Standardization) | NIST (National Institute of Standards and Technology) |
|---|---|
| ISO 27001 er en internasjonalt anerkjent tilnærming til å etablere og vedlikeholde et styringssystem for informasjonssikkerhet (ISMS). | Opprettelsen av NIST var å hjelpe amerikanske føderale byråer og organisasjoner bedre å håndtere risikoen deres. |
| ISO 27001 er mindre teknisk med mer vekt på risikobasert ledelse som gir beste praksisanbefalinger for å sikre all informasjon. | Rammeverkets tre hovedkomponenter er kjernen, implementeringsnivåer og profiler, som er aktivitetene som er nødvendige for å oppfylle hver funksjon. |
| Det er 14 kontrollkategorier og 114 kontroller i ISO 27001 vedlegg A. | NIST-rammeverk har ulike kontrollkataloger. |
| Det er ti klausuler i ISO 27001 som veileder organisasjoner gjennom deres ISMS-reise. | NIST-rammeverket har fem funksjoner som kan brukes til å modifisere og tilpasse cybersikkerhetskontroller. |
| Uavhengige revisjons- og sertifiseringsorganer brukes for å sikre samsvar med ISO 27001. | NIST har en egensertifiseringsmekanisme som er frivillig. |
ISMS.online utvikler seg kontinuerlig til møte behovene til informasjonssikkerhet, personvern og forretningskontinuitet til organisasjoner over hele kloden. Vår forenklede, sikre, bærekraftige plattform støtter langt mer enn bare ISO/IEC 27001. Som plattformen vår vokser, det samme gjør listen over standarder og forskrifter vi støtter.
I tillegg kommer plattformen vår med forskjellige forhåndsbygde rammer du kan ta i bruk, tilpasse eller legge til, avhengig av ditt organisasjonens unike behov. Eller du kan enkelt bygge din egen for skreddersydde overholdelsesprosjekter.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Last ned vår gratis guide til rask og bærekraftig sertifisering
Dataene på føderale nettverk kan inneholde sensitiv informasjon som er avgjørende for den amerikanske regjeringens pågående funksjon.
Det kan inkludere brukerens private data, kjent som personlig identifiserbar informasjon, som også er viktig å sikre som er beskyttet av NIST SP 800-171.
NIST SP 800-53 er en systematisk tilnærming til å beskytte informasjon og datasystemer.
Systemene inkluderer:
Hvilke typer data som kan beskyttes vil variere på grunn av mangfoldet av systemer og organisasjoner.
Å velge og implementere passende sikkerhets- og personvernkontroller for NIST 800-53 SP-samsvar blir hjulpet av følgende beste praksis.
NIST SP 800-53 ble opprinnelig utgitt i februar 2005. Passende kalt "Anbefalte sikkerhetskontroller for føderale informasjonssystemer."
