Специальная публикация NIST 800-53

Специальная публикация NIST 800-53
Статус	Опубликовано
Год начался	февраль 2005 г.
Последняя версия	5-я редакция
Организация	Национальный институт стандартов и технологий
Домен	Информационная безопасность
Авторское право	Общественное достояние (правительство США)
Веб-сайт	csrc .nist .gov /пабы /сп /800 /53 /r5 /upd1 /финал

Специальная публикация NIST 800-53 — это стандарт информационной безопасности , который предоставляет каталог средств контроля конфиденциальности и безопасности для информационных систем . Первоначально предназначался для федеральных агентств США, за исключением тех, которые связаны с национальной безопасностью, с 5-й версии он является стандартом для общего использования. Он публикуется Национальным институтом стандартов и технологий , который является нерегулирующим органом Министерства торговли США . NIST разрабатывает и выпускает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федерального закона о модернизации информационной безопасности 2014 года ( FISMA ) и помочь в управлении экономически эффективными программами по защите их информации и информационных систем. ^[1]

Два связанных документа — 800-53A и 800-53B, которые содержат рекомендации и базовые показатели, основанные на 800-53.

Цель [ править ]

Специальная публикация NIST 800-53 является частью специальной публикации серии 800, в которой сообщается об исследованиях Лаборатории информационных технологий ( ITL ), руководящих принципах и информационно-пропагандистской деятельности в области безопасности информационных систем, а также о деятельности ITL с промышленностью, правительством и академическими кругами. организации. ^[2]

В частности, специальная публикация NIST 800-53 описывает шаги в системе управления рисками, которые касаются выбора мер безопасности для федеральных информационных систем в соответствии с требованиями безопасности Федерального стандарта обработки информации (FIPS) 200. Это включает в себя выбор начального набора базовых мер безопасности. меры безопасности на основе анализа воздействия наихудшего случая FIPS 199, адаптации базовых мер безопасности и дополнения мер безопасности на основе организационной оценки риска. ^[3] Правила безопасности охватывают 20 областей, включая контроль доступа, реагирование на инциденты, непрерывность бизнеса и аварийное восстановление. ^[4]

Ключевой частью процесса оценки и авторизации (ранее сертификация и аккредитация ) для федеральных информационных систем является выбор и реализация подмножества средств контроля (защит) из Каталога средств управления безопасностью (NIST 800-53, Приложение F). Эти меры контроля представляют собой управленческие, эксплуатационные и технические меры безопасности (или контрмеры), предписанные для информационной системы для защиты конфиденциальности, целостности и доступности системы и ее информации. Чтобы реализовать необходимые меры безопасности или контроля, агентства должны сначала определить категорию безопасности своих информационных систем в соответствии с положениями FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». Категоризация безопасности информационной системы (низкая, средняя или высокая) определяет базовый набор мер контроля, которые необходимо реализовать и отслеживать. Агентства имеют возможность корректировать эти средства контроля и адаптировать их для более точного соответствия целям или среде своей организации. ^[1]

Соответствие [ править ]

Хотя любая частная организация может принять использование NIST 800-53 в качестве руководящей основы для своей практики обеспечения безопасности, все федеральные правительственные учреждения и подрядчики США обязаны соблюдать эту структуру, чтобы защитить свои критически важные данные.

Ожидается, что агентства будут соответствовать стандартам и рекомендациям безопасности NIST в течение одного года с даты публикации (февраль 2005 г.), если не указано иное. Ожидается, что информационные системы, находящиеся в стадии разработки, будут соответствовать требованиям после развертывания. ^[1]

Изменения [ править ]

Первоначальный выпуск [ править ]

Специальная публикация NIST 800-53 была первоначально выпущена в феврале 2005 года как «Рекомендуемые меры безопасности для федеральных информационных систем». ^[5]

Первая редакция [ править ]

Специальная публикация NIST 800-53, редакция 1 была первоначально выпущена в декабре 2006 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Вторая редакция [ править ]

Специальная публикация NIST 800-53, редакция 2 была первоначально выпущена в декабре 2007 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Третья редакция [ править ]

Третья версия специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» включает в себя несколько рекомендаций от людей, которые комментировали ранее опубликованные версии и рекомендовали сократить количество мер безопасности для систем с низким уровнем воздействия. , новый набор средств управления на уровне приложений и более широкие полномочия организаций по переходу на более раннюю версию. В окончательный проект также включена формулировка, позволяющая федеральным агентствам сохранять существующие меры безопасности, если они смогут продемонстрировать, что уровень безопасности эквивалентен стандартам, предлагаемым NIST. ^[6] Третья версия также представляет собой попытку гармонизировать требования безопасности между правительственными сообществами, а также между правительственными и неправительственными системами. В прошлом рекомендации NIST не применялись к правительственным информационным системам, отнесенным к системам национальной безопасности. Управленческий, операционный и технический контроль в SP 800-53 Редакция 3 обеспечивает общий язык информационной безопасности для всех государственных информационных систем. Пересмотренный каталог мер безопасности также включает современные меры защиты и контрмеры для борьбы с современными киберугрозами и эксплойтами. Существенные изменения в этой версии документа включают:

Упрощенная шестиступенчатая система управления рисками;
Дополнительные меры безопасности и улучшения для сложных киберугроз;
Рекомендации по определению приоритетов мер безопасности во время внедрения или развертывания;
Пересмотренная структура контроля безопасности с новым разделом ссылок;
Исключение требований безопасности из дополнительных разделов руководства;
Руководство по использованию структуры управления рисками для устаревших информационных систем и для внешних поставщиков услуг информационных систем;
Обновления базовых показателей безопасности на основе текущей информации об угрозах и кибератаках;
Средства контроля безопасности на уровне организации для управления программами информационной безопасности;
Руководство по управлению общими средствами контроля внутри организаций; и
Стратегия гармонизации стандартов и руководств безопасности FISMA с международным стандартом безопасности ISO/IEC 27001. ^[7]

Четвертая редакция [ править ]

В рамках продолжающегося партнерства в области кибербезопасности между Министерством обороны США, разведывательным сообществом и федеральными гражданскими агентствами NIST выпустил двухгодичное обновление специальной публикации 800-53 «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций». », с первоначальным общедоступным проектом, опубликованным 28 февраля 2012 года. Инициатива 2011–2012 годов будет включать обновление текущих мер безопасности, улучшения мер безопасности, дополнительные рекомендации и обновленную информацию по адаптации и дополнению руководств, которые формируют ключевые элементы процесса выбора мер безопасности. . Ключевые направления включают, помимо прочего:

Инсайдерские угрозы;
Безопасность программных приложений (включая веб-приложения);
Социальные сети, мобильные устройства и облачные вычисления;
Междоменные решения;
Расширенные постоянные угрозы;
Безопасность цепочки поставок;
Конфиденциальность.

Версия 4 разбита на 18 контрольных семейств. ^[8] включая:

AC – Контроль доступа
AU – Аудит и подотчетность
AT – Осведомленность и обучение
CM – Управление конфигурацией
CP – Планирование на случай непредвиденных обстоятельств
IA – Идентификация и аутентификация
IR – Реагирование на инциденты
МА - Техническое обслуживание
МП - Защита СМИ
ПС - Кадровая безопасность
PE - Физическая защита и защита окружающей среды
ПЛ – Планирование
Премьер-министр – Управление программой
РА – Оценка рисков
CA – Оценка безопасности и авторизация
SC - Защита систем и коммуникаций
SI — целостность системы и информации
SA – Приобретение систем и услуг

Информацию об этих семействах средств контроля и средствах контроля, содержащихся в них, можно найти на веб-сайте NIST по следующей ссылке: https://nvd.nist.gov/800-53/Rev4.

Пятая редакция [ править ]

В пятой редакции NIST SP 800-53 слово «федеральный» удалено, чтобы указать, что эти правила могут применяться ко всем организациям, а не только к федеральным организациям. Первый публичный проект был опубликован 15 августа 2017 года. Окончательный вариант проекта был запланирован к публикации в декабре 2018 года, а окончательная дата публикации назначена на март 2019 года». ^[9] По данным Ресурсного центра компьютерной безопасности NIST (CSRC), ^[10] Основные изменения в публикации включают:

Сделать меры безопасности и конфиденциальности более ориентированными на результат, изменив структуру средств контроля;
Полная интеграция элементов управления конфиденциальностью в каталог элементов управления безопасностью, создавая консолидированный и унифицированный набор элементов управления для систем и организаций;
Отделение процесса выбора средств управления от самих средств управления, что позволяет использовать средства управления различными заинтересованными кругами, включая системных инженеров, разработчиков программного обеспечения, архитекторов предприятия; и владельцы миссий/бизнеса;
Устранение термина «информационная система» и замена его термином «система», чтобы элементы управления можно было применять к любому типу систем, включая, например, системы общего назначения, киберфизические системы, системы управления промышленными/процессами и Интернет вещей. устройства;
Уменьшение акцента на федеральную направленность публикации, чтобы стимулировать более широкое ее использование нефедеральными организациями;
Содействие интеграции с различными подходами и словарями по управлению рисками и кибербезопасности, включая структуру кибербезопасности;
Уточнение взаимосвязи между безопасностью и конфиденциальностью для улучшения выбора средств контроля, необходимых для устранения всего спектра рисков безопасности и конфиденциальности; и
Внедрение новых современных средств контроля, основанных на анализе угроз и эмпирических данных об атаках, включая средства контроля для усиления кибербезопасности, управления конфиденциальностью и подотчетности.

По состоянию на сентябрь 2019 г. ^[update]Выпуск 5-й редакции был отложен из-за возможных разногласий между Управлением по информации и регулированию (OIRA) и другими агентствами США. ^[11]

Финальная версия Revision 5 вышла 23 сентября 2020 г. ^[12] и доступен на веб-сайте NIST по следующей ссылке: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

800-53А [ править ]

Специальная публикация NIST 800-53A предоставляет набор процедур для проведения оценок мер безопасности и мер конфиденциальности, используемых в федеральных информационных системах и организациях. Процедуры настраиваемы и могут быть легко адаптированы, чтобы предоставить организациям необходимую гибкость для проведения оценок мер безопасности и оценок мер конфиденциальности, которые поддерживают процессы управления рисками организации и соответствуют заявленной толерантности к риску организации. Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. ^[13]

Версия 1 [ править ]

Специальная публикация NIST 800-53A называется «Руководство по оценке мер безопасности в федеральных информационных системах и организациях». В этой версии будут описаны процедуры тестирования и оценки для 17 необходимых семейств мер безопасности. ^[4] Эти руководящие принципы оценки предназначены для обеспечения возможности периодического тестирования и используются федеральными агентствами для определения того, какие меры безопасности необходимы для защиты операций и активов организации, отдельных лиц, других организаций и страны. ^[3]По словам Рона Росса, старшего специалиста по информатике и исследователя информационной безопасности в NIST, эти рекомендации также позволят федеральным агентствам оценить, «правильно ли реализованы обязательные меры контроля, работают ли они по назначению и... отвечают требованиям безопасности организации».

Чтобы сделать это, версия A описывает методы и процедуры оценки для каждого из мер безопасности, предусмотренных в Специальной Публикации 800-53. Эти методы и процедуры будут использоваться в качестве руководства для федеральных агентств. Эти рекомендации призваны ограничить путаницу и гарантировать, что агентства интерпретируют и реализуют меры безопасности одинаковым образом. ^[4]

Редакция 4 [ править ]

NIST SP 800-53A, редакция 4 — «Оценка средств контроля безопасности и конфиденциальности в федеральных информационных системах и организациях». Номер редакции был изменен с версии 1 на версию 4, чтобы лучше отражать специальную публикацию NIST 800-53, с которой она предназначена для использования.

800-53Б [ править ]

Специальная публикация NIST 800-53B предоставляет набор базовых мер безопасности и мер конфиденциальности для информационных систем и организаций. Базовые показатели устанавливают средства контроля по умолчанию на основе показателей FISMA (конфиденциальность, низкий, средний и высокий) и могут быть легко адаптированы к процессам управления рисками организации.

Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. ^[14]

Первоначальный выпуск [ править ]

Специальная публикация NIST 800-53B была первоначально выпущена в сентябре 2020 года как «Базовые уровни управления для информационных систем и организаций». ^[15]

Ссылки [ править ]

↑ Перейти обратно: Перейти обратно: ^а ^б ^с Росс и др., с. 4
^ Росс и др., с. 2
↑ Перейти обратно: Перейти обратно: ^а ^б Росс и др., с. 8
↑ Перейти обратно: Перейти обратно: ^а ^б ^с Виджаян, Джайкумар (2005). «Руководство по безопасности для агентств США выйдет в июле» . Компьютерный мир . Проверено 23 февраля 2011 г.
^ «Рекомендуемые меры безопасности для федеральных информационных систем» . Публикации НИСТ . 19 февраля 2017 года . Проверено 13 июня 2021 г.
^ Виджаян, Джайкумар (2005). «Федеральные власти планируют завершить контроль над ИТ-безопасностью» . Компьютерный мир . Проверено 23 февраля 2011 г.
^ Джексон, Уильям (2009). «NIST выпускает «историческую» окончательную версию Специальной публикации 800-53» . Правительственные компьютерные новости . Проверено 23 февраля 2011 г.
^ «Структура управления рисками NIST» . НИСТ . 3 марта 2022 г. . Проверено 27 мая 2022 г.
^ «График – ЦРК «Управление рисками»» . Ресурсный центр NIST по компьютерной безопасности . Проверено 9 ноября 2018 г.
^ Силы, совместная задача (15 августа 2017 г.). «СП 800-53, Ред. 5 (ПРОЕКТ)» . Ресурсный центр NIST по компьютерной безопасности . Проверено 12 марта 2018 г.
^ Миллер, Дж. (3 сентября 2019 г.). «Регулярная проверка OMB создает отставание в киберстандартах» . Федеральная сеть новостей — Записная книжка репортера . Радио Хаббарда Вашингтон, округ Колумбия, LLC . Проверено 19 декабря 2019 г.
^ [адрес электронной почты защищен] (22 сентября 2020 г.). «Следующее поколение средств контроля безопасности и конфиденциальности — защита важнейших активов страны» . НИСТ . Проверено 25 сентября 2020 г.
^ Росс, Рональд С. (2014). «Специальная публикация NIST 800-53A, редакция 4. Оценка мер безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки» . doi : 10.6028/NIST.SP.800-53Ar4 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Пиллиттери, Виктория (2020). «Специальная публикация NIST 800-53B Базовые параметры управления для информационных систем и организаций» . doi : 10.6028/NIST.SP.800-53B . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
^ Силы, совместная задача (10 декабря 2020 г.). «Базовые показатели управления информационными системами и организациями» . Публикации НИСТ . doi : 10.6028/NIST.SP.800-53B . Проверено 10 ноября 2021 г.

Росс, Рон; Янсон, Арнольд; Кацке, Стю; Тот, Патрисия; Стоунбернер, Гэри; Роджерс, Джордж (2008 г.), Руководство по оценке мер безопасности в федеральных информационных системах, Создание эффективных планов оценки безопасности (PDF) , получено 14 февраля 2011 г.
Шу, Кори (2006). Информационное обеспечение предприятия . Бостон: МакГроу Хилл Ирвин. ISBN 978-0-07-225524-9 .

Внешние ссылки [ править ]

[Ross,_et_al.,_p._4-1] Перейти обратно: Перейти обратно: ^а ^б ^с Росс и др., с. 4

[2] Росс и др., с. 2

[Ross,_et_al.,_p._8-3] Перейти обратно: Перейти обратно: ^а ^б Росс и др., с. 8

[Vijayan2005-July-4] Перейти обратно: Перейти обратно: ^а ^б ^с Виджаян, Джайкумар (2005). «Руководство по безопасности для агентств США выйдет в июле» . Компьютерный мир . Проверено 23 февраля 2011 г.

[5] «Рекомендуемые меры безопасности для федеральных информационных систем» . Публикации НИСТ . 19 февраля 2017 года . Проверено 13 июня 2021 г.

[Vijayan2005-Final-6] Виджаян, Джайкумар (2005). «Федеральные власти планируют завершить контроль над ИТ-безопасностью» . Компьютерный мир . Проверено 23 февраля 2011 г.

[Jackson2009-7] Джексон, Уильям (2009). «NIST выпускает «историческую» окончательную версию Специальной публикации 800-53» . Правительственные компьютерные новости . Проверено 23 февраля 2011 г.

[8] «Структура управления рисками NIST» . НИСТ . 3 марта 2022 г. . Проверено 27 мая 2022 г.

[9] «График – ЦРК «Управление рисками»» . Ресурсный центр NIST по компьютерной безопасности . Проверено 9 ноября 2018 г.

[10] Силы, совместная задача (15 августа 2017 г.). «СП 800-53, Ред. 5 (ПРОЕКТ)» . Ресурсный центр NIST по компьютерной безопасности . Проверено 12 марта 2018 г.

[MillerOMB19-11] Миллер, Дж. (3 сентября 2019 г.). «Регулярная проверка OMB создает отставание в киберстандартах» . Федеральная сеть новостей — Записная книжка репортера . Радио Хаббарда Вашингтон, округ Колумбия, LLC . Проверено 19 декабря 2019 г.

[12] [адрес электронной почты защищен] (22 сентября 2020 г.). «Следующее поколение средств контроля безопасности и конфиденциальности — защита важнейших активов страны» . НИСТ . Проверено 25 сентября 2020 г.

[13] Росс, Рональд С. (2014). «Специальная публикация NIST 800-53A, редакция 4. Оценка мер безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки» . doi : 10.6028/NIST.SP.800-53Ar4 . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[14] Пиллиттери, Виктория (2020). «Специальная публикация NIST 800-53B Базовые параметры управления для информационных систем и организаций» . doi : 10.6028/NIST.SP.800-53B . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )

[15] Силы, совместная задача (10 декабря 2020 г.). «Базовые показатели управления информационными системами и организациями» . Публикации НИСТ . doi : 10.6028/NIST.SP.800-53B . Проверено 10 ноября 2021 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]