Специальная публикация NIST 800-53

Стандарт кибербезопасности правительства США

Специальная публикация NIST 800-53 — это стандарт информационной безопасности , который предоставляет каталог мер безопасности и конфиденциальности для всех федеральных информационных систем США , за исключением тех, которые связаны с национальной безопасностью. Он публикуется Национальным институтом стандартов и технологий , который является нерегулирующим агентством Министерства торговли США . NIST разрабатывает и выпускает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федерального закона о модернизации информационной безопасности 2014 года ( FISMA ) и помочь в управлении экономически эффективными программами по защите их информации и информационных систем. ^[1]

Два связанных документа — 800-53A и 800-53B, которые содержат рекомендации и базовые показатели, основанные на 800-53.

Цель

Специальная публикация NIST 800-53 является частью специальной публикации серии 800, в которой сообщается об исследованиях Лаборатории информационных технологий (ITL), руководящих принципах и информационно-пропагандистской деятельности в области безопасности информационных систем, а также о деятельности ITL с промышленностью, правительством и академическими кругами. организации. ^[2]

В частности, специальная публикация NIST 800-53 описывает шаги в системе управления рисками, которые касаются выбора мер безопасности для федеральных информационных систем в соответствии с требованиями безопасности Федерального стандарта обработки информации (FIPS) 200. Это включает в себя выбор начального набора базовых мер безопасности. меры безопасности основаны на анализе воздействия наихудшего случая FIPS 199, адаптируя базовые меры безопасности и дополняя меры безопасности на основе организационной оценки риска. ^[3] Правила безопасности охватывают 20 областей, включая контроль доступа, реагирование на инциденты, непрерывность бизнеса и аварийное восстановление. ^[4]

Ключевой частью процесса оценки и авторизации (ранее — сертификации и аккредитации ) для федеральных информационных систем является выбор и реализация подмножества средств контроля (защит) из Каталога средств управления безопасностью (NIST 800-53, Приложение F). Эти меры контроля представляют собой управленческие, эксплуатационные и технические меры безопасности (или контрмеры), предписанные для информационной системы для защиты конфиденциальности, целостности и доступности системы и ее информации. Чтобы реализовать необходимые меры защиты или контроля, агентства должны сначала определить категорию безопасности своих информационных систем в соответствии с положениями FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». Категоризация безопасности информационной системы (низкая, средняя или высокая) определяет базовый набор мер контроля, которые необходимо реализовать и отслеживать. Агентства имеют возможность корректировать эти элементы управления и адаптировать их для более точного соответствия целям или среде своей организации. ^[1]

Согласие

Хотя любая частная организация может принять использование NIST 800-53 в качестве руководящей основы для своей практики обеспечения безопасности, все федеральные правительственные учреждения и подрядчики США обязаны соблюдать эту структуру, чтобы защитить свои критически важные данные.

Ожидается, что агентства будут соответствовать стандартам и рекомендациям безопасности NIST в течение одного года с даты публикации (февраль 2005 г.), если не указано иное. Ожидается, что информационные системы, находящиеся в стадии разработки, будут соответствовать требованиям после развертывания. ^[1]

Редакции

Начальная версия

Специальная публикация NIST 800-53 была первоначально выпущена в феврале 2005 года как «Рекомендуемые меры безопасности для федеральных информационных систем». ^[5]

Первая редакция

Специальная публикация NIST 800-53, редакция 1 была первоначально выпущена в декабре 2006 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Вторая редакция

Специальная публикация NIST 800-53, редакция 2 была первоначально выпущена в декабре 2007 года как «Рекомендуемые меры безопасности для федеральных информационных систем».

Третья редакция

Третья версия специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» включает в себя несколько рекомендаций от людей, которые комментировали ранее опубликованные версии и рекомендовали сократить количество мер безопасности для систем с низким уровнем воздействия. , новый набор средств управления на уровне приложений и более широкие полномочия организаций по переходу на более раннюю версию. В окончательный проект также включена формулировка, позволяющая федеральным агентствам сохранять существующие меры безопасности, если они смогут продемонстрировать, что уровень безопасности эквивалентен стандартам, предлагаемым NIST. ^[6] Третья версия также представляет собой попытку гармонизировать требования безопасности между правительственными сообществами, а также между правительственными и неправительственными системами. В прошлом рекомендации NIST не применялись к правительственным информационным системам, отнесенным к системам национальной безопасности. Управленческий, операционный и технический контроль в SP 800-53 Редакция 3 обеспечивает общий язык информационной безопасности для всех государственных информационных систем. Пересмотренный каталог мер безопасности также включает в себя современные меры защиты и контрмеры для борьбы с современными киберугрозами и эксплойтами. Существенные изменения в этой версии документа включают:

• Упрощенная шестиступенчатая система управления рисками;
• Дополнительные меры безопасности и улучшения для сложных киберугроз;
• Рекомендации по определению приоритетов мер безопасности во время внедрения или развертывания;
• Пересмотренная структура контроля безопасности с новым разделом ссылок;
• Исключение требований безопасности из дополнительных разделов руководства;
• Руководство по использованию структуры управления рисками для устаревших информационных систем и для внешних поставщиков услуг информационных систем;
• Обновления базовых показателей безопасности на основе текущей информации об угрозах и кибератаках;
• Средства контроля безопасности на уровне организации для управления программами информационной безопасности;
• Руководство по управлению общими средствами контроля внутри организаций; и
• Стратегия гармонизации стандартов и руководств безопасности FISMA с международным стандартом безопасности ISO/IEC 27001. ^[7]

Четвертая редакция

В рамках продолжающегося партнерства в области кибербезопасности между Министерством обороны США, разведывательным сообществом и федеральными гражданскими агентствами NIST выпустил раз в два года обновление специальной публикации 800-53 «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций». », с первоначальным общедоступным проектом, опубликованным 28 февраля 2012 года. Инициатива 2011–2012 годов будет включать обновление текущих мер безопасности, улучшения мер безопасности, дополнительные рекомендации и обновленную информацию по адаптации и дополнению руководств, которые формируют ключевые элементы процесса выбора мер безопасности. . Ключевые направления включают, помимо прочего:

• Инсайдерские угрозы;
• Безопасность программных приложений (включая веб-приложения);
• Социальные сети, мобильные устройства и облачные вычисления;
• Междоменные решения;
• Расширенные постоянные угрозы;
• Безопасность цепочки поставок;
• Конфиденциальность.

Версия 4 разбита на 18 контрольных семейств, ^[8] в том числе:

• AC – Контроль доступа
• AU – Аудит и подотчетность
• AT – Осведомленность и обучение
• CM – Управление конфигурацией
• CP – Планирование на случай непредвиденных обстоятельств
• IA – Идентификация и аутентификация
• IR – Реагирование на инциденты
• МА - Техническое обслуживание
• МП - Защита СМИ
• ПС - Кадровая безопасность
• PE - Физическая защита и защита окружающей среды
• ПЛ – Планирование
• Премьер-министр – Управление программой
• РА – Оценка риска
• CA – Оценка безопасности и авторизация
• SC - Защита систем и коммуникаций
• SI — целостность системы и информации
• SA – Приобретение систем и услуг

Информацию об этих семействах средств контроля и средствах контроля, содержащихся в них, можно найти на веб-сайте NIST по следующей ссылке: https://nvd.nist.gov/800-53/Rev4.

Пятая редакция

В пятой редакции NIST SP 800-53 слово «федеральный» удалено, чтобы указать, что эти правила могут применяться ко всем организациям, а не только к федеральным организациям. Первый общедоступный проект был опубликован 15 августа 2017 года. Окончательный вариант проекта был запланирован к публикации в декабре 2018 года, а окончательная дата публикации назначена на март 2019 года». [ ^9] По данным Ресурсного центра компьютерной безопасности NIST (CSRC), ^{[ 10]} основные изменения в публикации включают:

• Сделать меры безопасности и конфиденциальности более ориентированными на результат, изменив структуру средств контроля;
• Полная интеграция элементов управления конфиденциальностью в каталог элементов управления безопасностью, создавая консолидированный и унифицированный набор элементов управления для систем и организаций;
• Отделение процесса выбора средств управления от самих средств управления, что позволяет использовать средства управления различными заинтересованными кругами, включая системных инженеров, разработчиков программного обеспечения, архитекторов предприятия; и владельцы миссий/бизнеса;
• Устранение термина «информационная система» и замена его термином «система», чтобы средства контроля можно было применять к любому типу систем, включая, например, системы общего назначения, киберфизические системы, системы управления промышленными/процессами и устройства IoT;
• Уменьшение акцента на федеральную направленность публикации, чтобы стимулировать более широкое ее использование нефедеральными организациями;
• Содействие интеграции с различными подходами и словарями по управлению рисками и кибербезопасности, включая структуру кибербезопасности;
• Уточнение взаимосвязи между безопасностью и конфиденциальностью для улучшения выбора средств контроля, необходимых для устранения всего спектра рисков безопасности и конфиденциальности; и
• Внедрение новых современных средств контроля, основанных на анализе угроз и эмпирических данных об атаках, включая средства контроля для усиления кибербезопасности, управления конфиденциальностью и подотчетности.

По состоянию на сентябрь 2019 года ^{[обновлять]}выпуск пятой редакции был отложен из-за потенциальных разногласий между Управлением по информации и регулированию (OIRA) и другими агентствами США. ^[11]

Финальная версия Revision 5 была выпущена 23 сентября 2020 г. ^[12] и доступна на сайте NIST по следующей ссылке: https://csrc.nist.gov/publications/detail/sp/800-53/rev- 5/финал

800-53А

Специальная публикация NIST 800-53A предоставляет набор процедур для проведения оценок мер безопасности и мер конфиденциальности, используемых в федеральных информационных системах и организациях. Процедуры настраиваемы и могут быть легко адаптированы, чтобы предоставить организациям необходимую гибкость для проведения оценок мер безопасности и оценок мер конфиденциальности, которые поддерживают процессы управления рисками организации и соответствуют заявленной толерантности к рискам организации. Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. ^[13]

Редакция 1

Специальная публикация NIST 800-53A называется «Руководство по оценке мер безопасности в федеральных информационных системах и организациях». В этой версии будут описаны процедуры тестирования и оценки для 17 требуемых семейств мер безопасности. ^[4] Эти рекомендации по оценке разработаны для обеспечения возможности периодического тестирования и используются федеральными агентствами для определения того, какие меры безопасности необходимы для защиты операций и активов организации, отдельных лиц, других организаций и нации. ^[3] По словам Рона Росса, старшего специалиста по информатике и исследователя информационной безопасности в NIST, эти рекомендации также будут позволить федеральным агентствам оценить, «правильно ли реализованы обязательные меры контроля, работают ли они по назначению и... соответствуют ли требования безопасности организации».

Чтобы сделать это, версия A описывает методы и процедуры оценки для каждого из мер безопасности, предусмотренных в Специальной Публикации 800-53. Эти методы и процедуры будут использоваться в качестве руководства для федеральных агентств. Эти рекомендации призваны ограничить путаницу и гарантировать, что агентства интерпретируют и реализуют меры безопасности одинаковым образом. ^[4]

Редакция 4

NIST SP 800-53A, редакция 4 — «Оценка средств контроля безопасности и конфиденциальности в федеральных информационных системах и организациях». Номер редакции был изменен с версии 1 на версию 4, чтобы лучше отражать специальную публикацию NIST 800-53, с которой она предназначена для использования.

800-53Б

Специальная публикация NIST 800-53B предоставляет набор базовых мер безопасности и мер конфиденциальности для информационных систем и организаций. Базовые показатели устанавливают средства контроля по умолчанию на основе показателей FISMA (конфиденциальность, низкий, средний и высокий) и могут быть легко адаптированы к процессам управления рисками организации.

Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. ^[14]

Начальная версия

Специальная публикация NIST 800-53B была первоначально выпущена в сентябре 2020 года как «Базовые уровни управления для информационных систем и организаций». ^[15]

Рекомендации

1. Росс и др., с. 4
2. Росс и др., с. 2
3. Росс и др., с. 8
4. Виджаян, Джайкумар (2005). «Руководство по безопасности для агентств США выйдет в июле». Компьютерный мир . Проверено 23 февраля 2011 г.
5. «Рекомендуемые меры безопасности для федеральных информационных систем». Публикации НИСТ . 19 февраля 2017 года . Проверено 13 июня 2021 г.
6. Виджаян, Джайкумар (2005). «Федералы надеются завершить контроль над ИТ-безопасностью». Компьютерный мир . Проверено 23 февраля 2011 г.
7. Джексон, Уильям (2009). «NIST выпускает« историческую »финальную версию специальной публикации 800-53» . Правительственные компьютерные новости . Проверено 23 февраля 2011 г.
8. «Структура управления рисками NIST». НИСТ . 3 марта 2022 г. . Проверено 27 мая 2022 г.
9. «График - CSRC по управлению рисками» . Ресурсный центр NIST по компьютерной безопасности . Проверено 9 ноября 2018 г.
10. Force, совместная задача (15 августа 2017 г.). «СП 800-53, Ред. 5 (ПРОЕКТ)». Ресурсный центр NIST по компьютерной безопасности . Проверено 12 марта 2018 г.
11. Миллер, Дж. (3 сентября 2019 г.). «Регулярная проверка OMB создает отставание в киберстандартах». Федеральная сеть новостей — Записная книжка репортера . Радио Хаббарда Вашингтон, округ Колумбия, LLC . Проверено 19 декабря 2019 г.
12. [email protected] (22 сентября 2020 г.). «Следующее поколение средств контроля безопасности и конфиденциальности — защита важнейших активов страны». НИСТ . Проверено 25 сентября 2020 г.
13. Росс, Рональд С. (2014). «Специальная публикация NIST 800-53A, редакция 4. Оценка мер безопасности и конфиденциальности в федеральных информационных системах и организациях: построение эффективных планов оценки». doi : 10.6028/NIST.SP.800-53Ar4 . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
14. Пиллиттери, Виктория (2020). «Специальная публикация NIST 800-53B Базовые параметры управления для информационных систем и организаций». doi : 10.6028/NIST.SP.800-53B . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
15. Force, совместная задача (10 декабря 2020 г.). «Базы управления информационными системами и организациями». Публикации НИСТ . doi : 10.6028/NIST.SP.800-53B . Проверено 10 ноября 2021 г.

• Росс, Рон; Янсон, Арнольд; Кацке, Стю; Тот, Патрисия; Стоунбернер, Гэри; Роджерс, Джордж (2008), Руководство по оценке мер безопасности в федеральных информационных системах, Создание эффективных планов оценки безопасности (PDF) , получено 14 февраля 2011 г.
• Шу, Кори (2006). Информационное обеспечение предприятия . Бостон: МакГроу Хилл Ирвин. ISBN 978-0-07-225524-9.

Внешние ссылки

• Список всех специальных публикаций NIST 800 серии
• Специальная публикация NIST 800-53, редакция 4
• Специальная публикация NIST 800-37 «Руководство по применению структуры управления рисками к федеральным информационным системам»