NIST SP 800-53 er en kritisk komponent i FISMA-overholdelse. Stærkt anbefalede sikkerhedskontroller til føderale informationssystemer og organisationer.
NIST Special Publication 800-53, kendt som National Institute of Standards and Technology Special Publication 800-53, opstiller standarder og retningslinjer for, hvordan amerikanske regeringsorganer bør udforme, implementere, administrere deres informationssikkerhedssystemer og de data, der er gemt på deres systemer.
Federal Information Security Management Act (FISMA) kræver, at NIST SP 800-53 fastsætter standarder og retningslinjer for føderale agenturer og entreprenører.
NIST SP 800-53 har også en rolle i udviklingen Føderale informationsbehandlingsstandarder (FIPS) sammen med FISMA.
Efterhånden som vi fortsat ser en voksende afhængighed af internettet og en større afhængighed af informationssystemer til erhvervs- og personlig kommunikation, er behovet for informationsbeskyttelse og sikkerhed kun stigende.
ISMS.online kan hjælpe din organisation med at overholde og opnå NIST SP 800-53.
Retningslinjerne gælder for alle elementer i et informationssystem, der lagrer, behandler eller transmitterer føderal information.
Retningslinjerne dækker områder som mobil og cloud computing, insidertrusler, applikationssikkerhed, forsyningskædesikkerhed og er blevet udformet under den udviklende karakter af informationssikkerhed.
NIST SP 800-533 dækker trinene i risikostyringsrammen, der adresserer valg af sikkerhedskontrol til føderale informationssystemer i henhold til sikkerhedskravene i FIPS.
Sikkerhedsreglerne dækker områder som f.eks adgangskontrol, hændelsesrespons, forretningskontinuitet og katastrofeoprettelse. En vital del af føderal informationssystemers vurdering og godkendelsesproces udvælger og implementerer et undersæt af kontrollerne fra sikkerhedskontrolkataloget, NIST 800-53, appendiks F.
De ledelsesmæssige, operationelle og tekniske sikkerhedsforanstaltninger er foreskrevet for en informationssystem for at beskytte fortroligheden, integriteten, tilgængeligheden af systemet og dets oplysninger.
Styringerne kan justeres og skræddersyes, så de passer bedre til organisationens mål og miljøer.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Standarden giver mere sikre informationssystemer via kontrolfamilier. Private organisationer overholder NIST SP 800-53, fordi dets 18 kontrolfamilier hjælper dem med at møde udfordringen med at vælge passende grundlæggende sikkerhedskontroller, politikker og procedurer.
At sikre sikkerhed og overholdelse er kun en af fordelene ved tilpasningsprocessen. Konsistens og omkostningseffektiv anvendelse af kontroller på tværs af din informationsteknologiske infrastruktur fremmes af det. For at sikre dets relevans for din infrastruktur og miljø, opfordrer den dig til at analysere hver sikkerheds- og privatlivskontrol, du vælger.
Indvirkningen af hændelser på forskellige data og informationssystemer kræver en omhyggelig risikovurdering. NIST 800-53 har et katalog over sikkerhed, privatlivskontroller og vejledningskontroller. Kontrolelementer bør vælges ud fra indholdets beskyttelseskrav.
Som tidligere nævnt kan Federal Information Processing Standards (FIPS) dig hjælpe med at vælge de kontroller, din organisation har brug for i forhold til de tre påvirkningsniveauer, der findes i FIPS.
Disse påvirkningsniveauer er:
NIST SP 800-53 kontroller er fordelt på følgende:
| Familie navn | ID | Eksempel på kontroller |
|---|---|---|
| Adgangskontrol | AC | Kontostyring og overvågning |
| Bevidsthed og træning | AT | Brugerbevidsthed og træning i sikkerhedstrusler |
| Revision og ansvarlighed | AU | Indhold af revisionsoptegnelser – Analyse og rapportering – Opbevaring af journaler |
| Vurdering, autorisation og overvågning | CA | Forbindelser til offentlige netværk og eksterne systemer – Penetrationstest |
| Configuration Management | CM | Autoriseret softwarepolitikker |
| Contingency Planning | CP | Alternative behandlings- og lagringssteder – Forretningskontinuitetsstrategier |
| Identifikation og autentificering | IA | Godkendelsespolitikker for brugere, enheder og tjenester – legitimationsadministration |
| Individuel deltagelse | IP | Samtykke og privatlivsgodkendelse |
| Hændelsesrespons | IR | Hændelsesberedskab træning, overvågning og rapportering |
| Vedligeholdelse | MA | Vedligeholdelse af system, personale og værktøj |
| Mediebeskyttelse | MP | Adgang, opbevaring, transport, sanitisering og brug af medier |
| Privatlivsautorisation | PA | Indsamling, brug og deling af personligt identificerbare oplysninger |
| Fysisk og miljøbeskyttelse | PE | Fysisk adgang – Nødstrøm – Brandsikring – Temperaturkontrol |
| Planlægning | PL | Sociale medier og netværksbegrænsninger – Dybdegående forsvarsarkitektur |
| Program Management | PM | Risikostyringsstrategi – Insider-trusselprogram – Enterprise-arkitektur |
| Personalsikkerhed | PS | Personalescreening, opsigelse & overførsel – Eksternt personale – Sanktioner |
| Risikovurdering | RA | Risikovurdering – Sårbarhedsscanning – Vurdering af privatlivets fred |
| System og tjenester erhvervelse | SA | Systemudviklings livscyklus – Opkøbsproces – Supply chain risikostyring |
| System- og kommunikationsbeskyttelse | SC | Applikationspartitionering – Grænsebeskyttelse – Kryptografisk nøglehåndtering |
| System- og informationsintegritet | SI | Fejlafhjælpning – Systemovervågning og alarmering |
NIST SP 800-53 Revision 1 blev udgivet i december 2006 som "Anbefalet sikkerhedskontrol for føderale informationssystemer."
NIST SP 800-53 Revision 2 blev udgivet i december 2007 som "Anbefalet sikkerhedskontrol for føderale informationssystemer."
NIST SP 800-53 Revision 3 blev udgivet i august 2009 som "Anbefalet sikkerhedskontrol for føderale informationssystemer og organisationer.". Denne version indeholder adskillige anbefalinger fra personer, der har kommenteret tidligere offentliggjorte versioner.
Det blev anbefalet en reduktion i antallet af sikkerhedskontrol til systemer med lav effekt. Foreslå også et nyt sæt kontrolelementer på applikationsniveau og større beføjelser for organisationer til at nedgradere kontroller.
Ændringer medført af revision 3:
NIST SP 800-53 Revision 4 blev oprindeligt udgivet i februar 2012 som "Sikkerheds- og privatlivskontrol for føderale informationssystemer og organisationer".
Revision 4 inkluderede opdateringer til sikkerhedskontroller, supplerende vejledning og kontrolforbedringer. Den opdaterede også skræddersy- og supplerende vejledning, der udgør elementer i kontroludvælgelsesprocessen.
NIST SP 800-53 Revision 5 blev oprindeligt diskuteret i august 2017 og fjernet "føderale" fra "Sikkerheds- og privatlivskontrol for føderale informationssystemer og organisationer" for at angive, at regler kan anvendes på alle organisationer, snarere end kun føderale organisationer. Den endelige version af Revision 5 blev udgivet i september 2020.
Nogle ændringer i denne version omfatter:
NIST SP 800-53A indeholder et sæt procedurer til at udføre vurderinger af sikkerhedskontrol og privatlivskontrol inden for føderale systemer og organisationer.
procedurer kan nemt skræddersyes til at give organisationer fleksibiliteten at udføre sikkerhedskontrolvurderinger og privatlivskontrolvurderinger i overensstemmelse med organisationens erklærede risikotolerance.
Der gives vejledning om analyse af vurderingsresultater med oplysninger om opbygning af effektive sikkerheds- og privatlivsvurderingsplaner.
NIST SP 800-53B giver grundlæggende sikkerhedskontrol og privatlivskontrol til informationssystemer.
Der gives vejledning om at analysere vurderingsresultater og information om opbygning af effektiv sikkerhed vurderingsplaner.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Vi er omkostningseffektive og hurtige
Det er obligatorisk for føderale informationssystemer at bruge standarden. For at opretholde forholdet skal enhver organisation, der arbejder med den føderale regering, overholde NIST SP 800-53.
Standarden giver en ramme for enhver organisation til at udvikle, vedligeholde og forbedre deres informationssikkerhedspraksis, herunder statslige, lokale, stammeregeringer og private virksomheder.
Føderale agenturer skal være kompatible med den seneste revision af NIST SP 800-53 inden for et år efter udgivelsen af den nye revision, og nye systemer skal være kompatible på tidspunktet for implementering.
NIST SP 800-53 hjælper organisationer af alle former og størrelser med at overholde Federal Information Security Modernization Act (FISMA). Der er et omfattende katalog over kontroller for at styrke sikkerheden.
Formålet med FISMA er at beskytte mod uautoriseret adgang, brug, offentliggørelse, afbrydelse, ændring og ødelæggelse af regeringen information og aktiver.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Det er en almindelig misforståelse, at en organisation skal vælge mellem NIST SP 800-53 eller ISO 27001, og at den ene er bedre end den anden. Begge kan bruges i en organisation og har en masse synergier mellem dem. Datasikkerhed, risikovurderinger og sikkerhedsprogrammer er omfattet af både ISO 27001 og NIST SP 800-53.
NIST rammer blev gjort frivillige og fleksible. De har flere fælles principper, herunder at kræve seniorledelsesstøtte, en løbende forbedringsproces, og en risikobaseret tilgang, der gør det nemt at implementere dem i forbindelse med ISO 27001.
Risikovurderingsprocessen specificeret af ISO 27001 har en meget lignende tilgang til NIST SP 800-53. Kontroller, der passer til risikoen, identifikation af risici for organisationens information og overvågning af deres præstationer er nødvendige under begge.
| ISO/IEC 27001 (International Organisation for Standardization) | NIST (National Institute of Standards and Technology) |
|---|---|
| ISO 27001 er en internationalt anerkendt tilgang til etablering og vedligeholdelse af et informationssikkerhedsstyringssystem (ISMS). | Oprettelsen af NIST skulle hjælpe amerikanske føderale agenturer og organisationer med bedre at styre deres risiko. |
| ISO 27001 er mindre teknisk med mere vægt på risikobaseret styring, der giver anbefalinger om bedste praksis til sikring af al information. | Rammens tre hovedkomponenter er kerne, implementeringsniveauer og profiler, som er de aktiviteter, der er nødvendige for at opfylde hver funktion. |
| Der er 14 kontrolkategorier og 114 kontroller i ISO 27001 bilag A. | NIST-rammer har forskellige kontrolkataloger. |
| Der er ti klausuler i ISO 27001, der guider organisationer gennem deres ISMS-rejse. | NIST-rammen har fem funktioner, der kan bruges til at ændre og tilpasse cybersikkerhedskontroller. |
| Uafhængige revisions- og certificeringsorganer bruges til at sikre overholdelse af ISO 27001. | NIST har en selvcertificeringsmekanisme, der er frivillig. |
ISMS.online udvikler sig løbende til opfylder organisationers behov for informationssikkerhed, privatliv og forretningskontinuitet verden over. Vores forenklede, sikre, bæredygtige platform understøtter langt mere end blot ISO/IEC 27001. Som vores platform vokser, det samme gør listen over standarder og regler, vi støtter.
Plus, vores platform kommer med forskellige forudbyggede rammer, du kan adoptere, tilpasse eller tilføje til afhængigt af din organisationens unikke behov. Eller du kan nemt bygge din egen til skræddersyede overholdelsesprojekter.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Download vores gratis guide til hurtig og bæredygtig certificering
Dataene på føderale netværk kan omfatte følsomme oplysninger, der er afgørende for den amerikanske regerings fortsatte funktion.
Det kan omfatte brugerens private data, kendt som personligt identificerbare oplysninger, hvilket også er vigtigt at beskytte, som er beskyttet af NIST SP 800-171.
NIST SP 800-53 er en systematisk tilgang til beskyttelse af informations- og computersystemer.
Systemerne omfatter:
De typer af data, der kan beskyttes, vil variere på grund af mangfoldigheden af systemer og organisationer.
Valg og implementering af passende sikkerheds- og privatlivskontroller til NIST 800-53 SP-overholdelse er hjulpet af følgende bedste praksis.
NIST SP 800-53 blev oprindeligt udgivet i februar 2005. Passende navngivet som "Anbefalet sikkerhedskontrol for føderale informationssystemer."
