Специальная публикация NIST 800-53 - NIST Special Publication 800-53

Специальная публикация NIST 800-53 предоставляет каталог мер безопасности и конфиденциальности для всех федеральных информационные системы кроме связанных с национальной безопасностью. Он публикуется Национальный институт стандартов и технологий, который является ненормативным агентством Министерство торговли США. NIST разрабатывает и издает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федеральный закон о модернизации информационной безопасности 2014 г. (FISMA ) и помочь с управлением экономически эффективными программами для защиты информации и информационных систем.^[1]

Цель

Специальная публикация NIST 800-53 является частью серии специальных публикаций 800, в которой рассказывается о Лаборатория информационных технологий S (ITL ) исследования, руководства и информационно-пропагандистские мероприятия в области безопасности информационных систем, а также о деятельности ITL с промышленностью, правительством и академическими организациями.^[2]

В частности, специальная публикация NIST 800-53 описывает шаги в структуре управления рисками, которые касаются выбора средств управления безопасностью для федеральных информационных систем в соответствии с требованиями безопасности в Федеральный стандарт обработки информации (FIPS) 200. Это включает в себя выбор начального набора базовых мер безопасности на основе анализа наихудшего случая FIPS 199, адаптацию базовых мер безопасности и дополнение мер безопасности на основе организационной оценки риска.^[3] Правила безопасности охватывают 18 областей, включая управление доступом, реагирование на инциденты, непрерывность бизнеса и возможность восстановления после сбоев.^[4]

Ключевая часть оценки и авторизации (ранее сертификация и аккредитация ) процесс для федеральных информационные системы выбирает и реализует подмножество средств управления (мер безопасности) из Каталога средств контроля безопасности (NIST 800-53, Приложение F). Эти средства контроля представляют собой управленческие, операционные и технические меры безопасности (или контрмеры), предписанные для информационной системы для защиты конфиденциальности, целостности и доступности системы и ее информации. Для реализации необходимых мер безопасности или контроля агентства должны сначала определить категорию безопасности своих информационных систем в соответствии с положениями FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». Категоризация безопасности информационной системы (низкая, средняя или высокая) определяет базовый набор средств управления, которые необходимо реализовать и отслеживать. Агентства имеют возможность настраивать эти элементы управления и адаптировать их в соответствии с целями или средой их организации.^[1]

Согласие

Ожидается, что агентства будут соответствовать стандартам безопасности и руководящим принципам NIST в течение одного года с даты публикации (февраль 2005 г.), если не указано иное. Ожидается, что информационные системы, которые находятся в стадии разработки, будут соответствовать требованиям после развертывания.^[1]

Редакции

Изначальный выпуск

Специальная публикация NIST 800-53 была первоначально выпущена в феврале 2005 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Первая редакция

Специальная публикация NIST 800-53 Revision 1 была первоначально выпущена в декабре 2006 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Вторая редакция

Специальная публикация NIST 800-53 Revision 2 была первоначально выпущена в декабре 2007 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Третья редакция

Третья версия специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» включает в себя несколько рекомендаций от людей, которые комментировали ранее опубликованные версии, которые рекомендовали сократить количество мер безопасности для систем с низким уровнем воздействия. , новый набор элементов управления на уровне приложений и более широкие дискреционные полномочия для организаций по понижению уровня управления. В окончательный проект также включена формулировка, которая позволяет федеральным агентствам сохранять свои существующие меры безопасности, если они могут продемонстрировать, что уровень безопасности эквивалентен стандартам, предлагаемым NIST.^[5] Третья версия также представляет собой попытку гармонизировать требования безопасности во всех правительственных сообществах и между правительственными и негосударственными системами. В прошлом руководство NIST не применялось к правительственным информационным системам, определенным как системы национальной безопасности. Управленческий, операционный и технический контроль в SP 800-53 Revision 3 обеспечивает общий язык информационной безопасности для всех государственных информационных систем. Пересмотренный каталог средств безопасности также включает в себя современные меры безопасности и меры противодействия продвинутым киберугрозам и эксплойтам. Существенные изменения в этой редакции документа включают:

Упрощенная шестиэтапная структура управления рисками;
Дополнительные меры безопасности и улучшения для расширенных киберугроз;
Рекомендации по приоритезации мер безопасности во время внедрения или развертывания;
Пересмотренная структура контроля безопасности с новым разделом ссылок;
Исключение требований безопасности из дополнительных разделов руководства;
Руководство по использованию структуры управления рисками для устаревших информационных систем и для поставщиков услуг внешних информационных систем;
Обновления базовых показателей безопасности на основе текущей информации об угрозах и кибератаках;
Контроль безопасности на уровне организации для управления программами информационной безопасности;
Руководство по управлению общими средствами контроля в организациях; и
Стратегия гармонизации стандартов и рекомендаций FISMA с международным стандартом безопасности ISO / IEC 27001.^[6]

Четвертая редакция

В рамках продолжающегося партнерства в области кибербезопасности между Министерством обороны США, разведывательным сообществом и федеральными гражданскими агентствами NIST выпустил раз в два года обновление специальной публикации 800-53 «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций. , "с первоначальным общедоступным проектом, выпущенным 28 февраля 2012 года. Инициатива на 2011–2012 годы будет включать обновление текущих мер безопасности, усовершенствования элементов управления, дополнительные руководства и обновление руководства по адаптации и дополнению, которые образуют ключевые элементы процесса выбора элементов управления. . Ключевые направления деятельности включают, но не ограничиваются:

Инсайдерские угрозы;
Безопасность программных приложений (включая веб-приложения);
Социальные сети, мобильные устройства и облачные вычисления;
Междоменные решения;
Продвинутые постоянные угрозы;
Безопасность цепочки поставок;

Конфиденциальность.

Версия 4 разбита на 18 контрольных семейств.^[7], включая:

AC - Контроль доступа
AU - Аудит и отчетность
AT - осведомленность и обучение
CM - Управление конфигурацией
CP - планирование на случай непредвиденных обстоятельств
IA - Идентификация и аутентификация
IR - реагирование на инциденты
MA - Техническое обслуживание
MP - Защита СМИ
PS - Безопасность персонала
PE - Физическая защита и защита окружающей среды
PL - Планирование
PM - Управление программами
RA - Оценка риска
CA - Оценка безопасности и авторизация
SC - Защита системы и коммуникаций
SI - Целостность системы и информации
SA - Приобретение системы и услуг

Информацию об этих семействах элементов управления и содержащихся в них элементах управления можно найти на веб-сайте NIST по следующей ссылке: https://nvd.nist.gov/800-53/Rev4

Пятая редакция

NIST SP 800-53 Revision 5 удаляет слово «федеральный», чтобы указать, что эти правила могут применяться ко всем организациям, а не только к федеральным организациям. Первый общедоступный черновик был опубликован 15 августа 2017 года. Окончательный вариант проекта был намечен к публикации в декабре 2018 года, а окончательная дата публикации была назначена на март 2019 года ».^[8] Согласно Центру ресурсов компьютерной безопасности NIST (CSRC),^[9] Основные изменения в публикации включают:

Сделать средства контроля безопасности и конфиденциальности более ориентированными на результат путем изменения структуры средств контроля;
Полная интеграция средств контроля конфиденциальности в каталог средств контроля безопасности, создание консолидированного и унифицированного набора средств контроля для систем и организаций;
Отделение процесса выбора элементов управления от фактических элементов управления, что позволяет использовать элементы управления различными интересующими вас сообществами, включая системных инженеров, разработчиков программного обеспечения, архитекторов предприятия; и владельцы миссии / бизнеса;
Исключение термина «информационная система» и его замена термином «система», чтобы средства управления могли применяться к любому типу системы, включая, например, системы общего назначения, киберфизические системы, системы управления производством / процессами и устройства Интернета вещей;
Снижение акцента на федеральном фокусе публикации для поощрения более широкого использования нефедеральными организациями;
Содействие интеграции с различными подходами и лексиконами к управлению рисками и кибербезопасностью, включая структуру кибербезопасности;
Уточнение взаимосвязи между безопасностью и конфиденциальностью для улучшения выбора средств контроля, необходимых для устранения всего спектра рисков безопасности и конфиденциальности; и
Внедрение новых, практических мер контроля, основанных на данных об угрозах и эмпирических атаках, включая средства контроля для усиления кибербезопасности и управления конфиденциальностью и подотчетности.

По состоянию на сентябрь 2019 г.^{[Обновить]}, Редакция 5 отложена из-за возможных разногласий между Управлением информации и нормативно-правового регулирования (OIRA) и другими агентствами США.^[10]

Финальная версия редакции 5 была выпущена 23 сентября 2020 г.^[11] и доступен на сайте NIST по следующей ссылке: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Версии

800-53A

Специальная публикация NIST 800-53A предоставляет набор процедур для проведения оценок мер безопасности и конфиденциальности, используемых в федеральных информационных системах и организациях. Процедуры настраиваются и могут быть легко адаптированы, чтобы предоставить организациям необходимую гибкость для проведения оценок контроля безопасности и контроля конфиденциальности, которые поддерживают процессы управления рисками в организации и согласуются с заявленной терпимостью к риску в организации. Информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности также предоставляется вместе с руководством по анализу результатов оценки.^[12].

Редакция 1

Специальная публикация NIST 800-53A называется «Руководство по оценке мер безопасности в федеральных информационных системах и организациях». В этой версии будут описаны процедуры тестирования и оценки для 17 требуемых семейств элементов управления.^[4] Эти руководящие принципы оценки предназначены для периодического тестирования и используются федеральными агентствами для определения мер безопасности, необходимых для защиты операций и активов организации, отдельных лиц, других организаций и страны.^[3]По словам Рона Росса, старшего специалиста по информатике и исследователя информационной безопасности в NIST, эти руководящие принципы также позволят федеральным агентствам оценить, «правильно ли реализованы обязательные меры контроля, работают ли они по назначению и ... соответствуют ли требованиям безопасности организации».

Для этого в версии A описаны методы и процедуры оценки для каждого из мер безопасности, указанных в специальной публикации 800-53. Эти методы и процедуры должны использоваться в качестве руководящих принципов для федеральных агентств. Эти инструкции предназначены для ограничения путаницы и обеспечения того, чтобы агентства одинаково интерпретировали и применяли меры безопасности.^[4]

Редакция 4

NIST SP 800-53A Revision 4 оценивает меры безопасности и конфиденциальности в федеральных информационных системах и организациях. Номер версии был изменен с версии 1 на версию 4, чтобы лучше отразить специальную публикацию NIST 800-53, с которой она предназначена.

внешняя ссылка

[Ross,_et._al.,_p._4-1] а ^б ^c Росс и др., Стр. 4

[2] Росс и др., Стр. 2

[Ross,_et._al,_p._8-3] а ^б Росс и др. al, p. 8

[Vijayan2005-July-4] а ^б ^c Виджаян, Джайкумар (2005), «Рекомендации по безопасности для агентств США должны быть опубликованы в июле», Computerworld, получено 23 февраля, 2011

[Vijayan2005-Final-5] Виджаян, Джайкумар (2005), «Федеральные органы планируют завершить контроль над ИТ-безопасностью», Computerworld, получено 23 февраля, 2011

[Jackson2009-6] Джексон, Уильям (2009), «NIST выпускает« историческую »окончательную версию специальной публикации 800-53», Государственные компьютерные новости, получено 23 февраля, 2011

[7] ttps://nvd.nist.gov/800-53/Rev4

[8] «График - Управление рисками CSRC». Центр ресурсов по компьютерной безопасности NIST. Получено 9 ноября, 2018.

[9] «СП 800-53 Ред. 5 (ПРОЕКТ)». Центр ресурсов по компьютерной безопасности NIST. Получено 12 марта, 2018.

[MillerOMB19-10] Миллер, Дж. (3 сентября 2019 г.). «Регуляторная проверка OMB создает резерв киберстандартов». Federal News Network - Записная книжка репортера. Радио Хаббарда, Вашингтон, округ Колумбия, LLC. Получено 19 декабря, 2019.

[11] [email protected] (22 сентября 2020 г.). «Новое поколение средств контроля безопасности и конфиденциальности - защита критически важных активов нации». NIST. Получено 25 сентября, 2020.

[12] Росс, Рональд С. (2014). «Специальная публикация NIST 800-53A, редакция 4, посвященная оценке средств контроля безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки». Дои:10.6028 / NIST.SP.800-53Ar4. Цитировать журнал требует | журнал = (помощь)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]