Специальная публикация NIST 800-53 - NIST Special Publication 800-53

Национальный институт стандартов и технологий
NIST logo.svg

Специальная публикация NIST 800-53 предоставляет каталог мер безопасности и конфиденциальности для всех федеральных информационные системы кроме связанных с национальной безопасностью. Он публикуется Национальный институт стандартов и технологий, который является ненормативным агентством Министерство торговли США. NIST разрабатывает и издает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федеральный закон о модернизации информационной безопасности 2014 г. (FISMA ) и помочь с управлением экономически эффективными программами для защиты информации и информационных систем.[1]

Цель

Специальная публикация NIST 800-53 является частью серии специальных публикаций 800, в которой рассказывается о Лаборатория информационных технологий S (ITL ) исследования, руководства и информационно-пропагандистские мероприятия в области безопасности информационных систем, а также о деятельности ITL с промышленностью, правительством и академическими организациями.[2]

В частности, специальная публикация NIST 800-53 описывает шаги в структуре управления рисками, которые касаются выбора средств управления безопасностью для федеральных информационных систем в соответствии с требованиями безопасности в Федеральный стандарт обработки информации (FIPS) 200. Это включает в себя выбор начального набора базовых мер безопасности на основе анализа наихудшего случая FIPS 199, адаптацию базовых мер безопасности и дополнение мер безопасности на основе организационной оценки риска.[3] Правила безопасности охватывают 18 областей, включая управление доступом, реагирование на инциденты, непрерывность бизнеса и возможность восстановления после сбоев.[4]

Ключевая часть оценки и авторизации (ранее сертификация и аккредитация ) процесс для федеральных информационные системы выбирает и реализует подмножество средств управления (мер безопасности) из Каталога средств контроля безопасности (NIST 800-53, Приложение F). Эти средства контроля представляют собой управленческие, операционные и технические меры безопасности (или контрмеры), предписанные для информационной системы для защиты конфиденциальности, целостности и доступности системы и ее информации. Для реализации необходимых мер безопасности или контроля агентства должны сначала определить категорию безопасности своих информационных систем в соответствии с положениями FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». Категоризация безопасности информационной системы (низкая, средняя или высокая) определяет базовый набор средств управления, которые необходимо реализовать и отслеживать. Агентства имеют возможность настраивать эти элементы управления и адаптировать их в соответствии с целями или средой их организации.[1]

Согласие

Ожидается, что агентства будут соответствовать стандартам безопасности и руководящим принципам NIST в течение одного года с даты публикации (февраль 2005 г.), если не указано иное. Ожидается, что информационные системы, которые находятся в стадии разработки, будут соответствовать требованиям после развертывания.[1]

Редакции

Изначальный выпуск

Специальная публикация NIST 800-53 была первоначально выпущена в феврале 2005 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Первая редакция

Специальная публикация NIST 800-53 Revision 1 была первоначально выпущена в декабре 2006 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Вторая редакция

Специальная публикация NIST 800-53 Revision 2 была первоначально выпущена в декабре 2007 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Третья редакция

Третья версия специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» включает в себя несколько рекомендаций от людей, которые комментировали ранее опубликованные версии, которые рекомендовали сократить количество мер безопасности для систем с низким уровнем воздействия. , новый набор элементов управления на уровне приложений и более широкие дискреционные полномочия для организаций по понижению уровня управления. В окончательный проект также включена формулировка, которая позволяет федеральным агентствам сохранять свои существующие меры безопасности, если они могут продемонстрировать, что уровень безопасности эквивалентен стандартам, предлагаемым NIST.[5] Третья версия также представляет собой попытку гармонизировать требования безопасности во всех правительственных сообществах и между правительственными и негосударственными системами. В прошлом руководство NIST не применялось к правительственным информационным системам, определенным как системы национальной безопасности. Управленческий, операционный и технический контроль в SP 800-53 Revision 3 обеспечивает общий язык информационной безопасности для всех государственных информационных систем. Пересмотренный каталог средств безопасности также включает в себя современные меры безопасности и меры противодействия продвинутым киберугрозам и эксплойтам. Существенные изменения в этой редакции документа включают:

  • Упрощенная шестиэтапная структура управления рисками;
  • Дополнительные меры безопасности и улучшения для расширенных киберугроз;
  • Рекомендации по приоритезации мер безопасности во время внедрения или развертывания;
  • Пересмотренная структура контроля безопасности с новым разделом ссылок;
  • Исключение требований безопасности из дополнительных разделов руководства;
  • Руководство по использованию структуры управления рисками для устаревших информационных систем и для поставщиков услуг внешних информационных систем;
  • Обновления базовых показателей безопасности на основе текущей информации об угрозах и кибератаках;
  • Контроль безопасности на уровне организации для управления программами информационной безопасности;
  • Руководство по управлению общими средствами контроля в организациях; и
  • Стратегия гармонизации стандартов и рекомендаций FISMA с международным стандартом безопасности ISO / IEC 27001.[6]

Четвертая редакция

В рамках продолжающегося партнерства в области кибербезопасности между Министерством обороны США, разведывательным сообществом и федеральными гражданскими агентствами NIST выпустил раз в два года обновление специальной публикации 800-53 «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций. , "с первоначальным общедоступным проектом, выпущенным 28 февраля 2012 года. Инициатива на 2011–2012 годы будет включать обновление текущих мер безопасности, усовершенствования элементов управления, дополнительные руководства и обновление руководства по адаптации и дополнению, которые образуют ключевые элементы процесса выбора элементов управления. . Ключевые направления деятельности включают, но не ограничиваются:

  • Инсайдерские угрозы;
  • Безопасность программных приложений (включая веб-приложения);
  • Социальные сети, мобильные устройства и облачные вычисления;
  • Междоменные решения;
  • Продвинутые постоянные угрозы;
  • Безопасность цепочки поставок;
  • Конфиденциальность.

Версия 4 разбита на 18 контрольных семейств.[7], включая:

  • AC - Контроль доступа
  • AU - Аудит и отчетность
  • AT - осведомленность и обучение
  • CM - Управление конфигурацией
  • CP - планирование на случай непредвиденных обстоятельств
  • IA - Идентификация и аутентификация
  • IR - реагирование на инциденты
  • MA - Техническое обслуживание
  • MP - Защита СМИ
  • PS - Безопасность персонала
  • PE - Физическая защита и защита окружающей среды
  • PL - Планирование
  • PM - Управление программами
  • RA - Оценка риска
  • CA - Оценка безопасности и авторизация
  • SC - Защита системы и коммуникаций
  • SI - Целостность системы и информации
  • SA - Приобретение системы и услуг

Информацию об этих семействах элементов управления и содержащихся в них элементах управления можно найти на веб-сайте NIST по следующей ссылке: https://nvd.nist.gov/800-53/Rev4

Пятая редакция

NIST SP 800-53 Revision 5 удаляет слово «федеральный», чтобы указать, что эти правила могут применяться ко всем организациям, а не только к федеральным организациям. Первый общедоступный черновик был опубликован 15 августа 2017 года. Окончательный вариант проекта был намечен к публикации в декабре 2018 года, а окончательная дата публикации была назначена на март 2019 года ».[8] Согласно Центру ресурсов компьютерной безопасности NIST (CSRC),[9] Основные изменения в публикации включают:

  • Сделать средства контроля безопасности и конфиденциальности более ориентированными на результат путем изменения структуры средств контроля;
  • Полная интеграция средств контроля конфиденциальности в каталог средств контроля безопасности, создание консолидированного и унифицированного набора средств контроля для систем и организаций;
  • Отделение процесса выбора элементов управления от фактических элементов управления, что позволяет использовать элементы управления различными интересующими вас сообществами, включая системных инженеров, разработчиков программного обеспечения, архитекторов предприятия; и владельцы миссии / бизнеса;
  • Исключение термина «информационная система» и его замена термином «система», чтобы средства управления могли применяться к любому типу системы, включая, например, системы общего назначения, киберфизические системы, системы управления производством / процессами и устройства Интернета вещей;
  • Снижение акцента на федеральном фокусе публикации для поощрения более широкого использования нефедеральными организациями;
  • Содействие интеграции с различными подходами и лексиконами к управлению рисками и кибербезопасностью, включая структуру кибербезопасности;
  • Уточнение взаимосвязи между безопасностью и конфиденциальностью для улучшения выбора средств контроля, необходимых для устранения всего спектра рисков безопасности и конфиденциальности; и
  • Внедрение новых, практических мер контроля, основанных на данных об угрозах и эмпирических атаках, включая средства контроля для усиления кибербезопасности и управления конфиденциальностью и подотчетности.

По состоянию на сентябрь 2019 г., Редакция 5 отложена из-за возможных разногласий между Управлением информации и нормативно-правового регулирования (OIRA) и другими агентствами США.[10]

Финальная версия редакции 5 была выпущена 23 сентября 2020 г.[11] и доступен на сайте NIST по следующей ссылке: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

Версии

800-53A

Специальная публикация NIST 800-53A предоставляет набор процедур для проведения оценок мер безопасности и конфиденциальности, используемых в федеральных информационных системах и организациях. Процедуры настраиваются и могут быть легко адаптированы, чтобы предоставить организациям необходимую гибкость для проведения оценок контроля безопасности и контроля конфиденциальности, которые поддерживают процессы управления рисками в организации и согласуются с заявленной терпимостью к риску в организации. Информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности также предоставляется вместе с руководством по анализу результатов оценки.[12].

Редакция 1

Специальная публикация NIST 800-53A называется «Руководство по оценке мер безопасности в федеральных информационных системах и организациях». В этой версии будут описаны процедуры тестирования и оценки для 17 требуемых семейств элементов управления.[4] Эти руководящие принципы оценки предназначены для периодического тестирования и используются федеральными агентствами для определения мер безопасности, необходимых для защиты операций и активов организации, отдельных лиц, других организаций и страны.[3]По словам Рона Росса, старшего специалиста по информатике и исследователя информационной безопасности в NIST, эти руководящие принципы также позволят федеральным агентствам оценить, «правильно ли реализованы обязательные меры контроля, работают ли они по назначению и ... соответствуют ли требованиям безопасности организации».

Для этого в версии A описаны методы и процедуры оценки для каждого из мер безопасности, указанных в специальной публикации 800-53. Эти методы и процедуры должны использоваться в качестве руководящих принципов для федеральных агентств. Эти инструкции предназначены для ограничения путаницы и обеспечения того, чтобы агентства одинаково интерпретировали и применяли меры безопасности.[4]

Редакция 4

NIST SP 800-53A Revision 4 оценивает меры безопасности и конфиденциальности в федеральных информационных системах и организациях. Номер версии был изменен с версии 1 на версию 4, чтобы лучше отразить специальную публикацию NIST 800-53, с которой она предназначена.

Рекомендации

  1. ^ а б c Росс и др., Стр. 4
  2. ^ Росс и др., Стр. 2
  3. ^ а б Росс и др. al, p. 8
  4. ^ а б c Виджаян, Джайкумар (2005), «Рекомендации по безопасности для агентств США должны быть опубликованы в июле», Computerworld, получено 23 февраля, 2011
  5. ^ Виджаян, Джайкумар (2005), «Федеральные органы планируют завершить контроль над ИТ-безопасностью», Computerworld, получено 23 февраля, 2011
  6. ^ Джексон, Уильям (2009), «NIST выпускает« историческую »окончательную версию специальной публикации 800-53», Государственные компьютерные новости, получено 23 февраля, 2011
  7. ^ https://nvd.nist.gov/800-53/Rev4
  8. ^ «График - Управление рисками CSRC». Центр ресурсов по компьютерной безопасности NIST. Получено 9 ноября, 2018.
  9. ^ «СП 800-53 Ред. 5 (ПРОЕКТ)». Центр ресурсов по компьютерной безопасности NIST. Получено 12 марта, 2018.
  10. ^ Миллер, Дж. (3 сентября 2019 г.). «Регуляторная проверка OMB создает резерв киберстандартов». Federal News Network - Записная книжка репортера. Радио Хаббарда, Вашингтон, округ Колумбия, LLC. Получено 19 декабря, 2019.
  11. ^ [email protected] (22 сентября 2020 г.). «Новое поколение средств контроля безопасности и конфиденциальности - защита критически важных активов нации». NIST. Получено 25 сентября, 2020.
  12. ^ Росс, Рональд С. (2014). «Специальная публикация NIST 800-53A, редакция 4, посвященная оценке средств контроля безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки». Дои:10.6028 / NIST.SP.800-53Ar4. Цитировать журнал требует | журнал = (помощь)

внешняя ссылка