Специальная публикация NIST 800-53 — это стандарт информационной безопасности , который предоставляет каталог мер безопасности и конфиденциальности для всех федеральных информационных систем США , за исключением тех, которые связаны с национальной безопасностью. Он публикуется Национальным институтом стандартов и технологий , который является нерегулирующим агентством Министерства торговли США . NIST разрабатывает и выпускает стандарты, руководства и другие публикации, чтобы помочь федеральным агентствам в реализации Федерального закона о модернизации информационной безопасности 2014 года ( FISMA ) и помочь в управлении экономически эффективными программами по защите их информации и информационных систем. [1]
Два связанных документа — 800-53A и 800-53B, которые содержат рекомендации и базовые показатели, основанные на 800-53.
Специальная публикация NIST 800-53 является частью специальной публикации серии 800, в которой сообщается об исследованиях Лаборатории информационных технологий (ITL), руководящих принципах и информационно-пропагандистской деятельности в области безопасности информационных систем, а также о деятельности ITL с промышленностью, правительством и академическими кругами. организации. [2]
В частности, специальная публикация NIST 800-53 описывает шаги в системе управления рисками, которые касаются выбора мер безопасности для федеральных информационных систем в соответствии с требованиями безопасности Федерального стандарта обработки информации (FIPS) 200. Это включает в себя выбор начального набора базовых мер безопасности. меры безопасности основаны на анализе воздействия наихудшего случая FIPS 199, адаптируя базовые меры безопасности и дополняя меры безопасности на основе организационной оценки риска. [3] Правила безопасности охватывают 20 областей, включая контроль доступа, реагирование на инциденты, непрерывность бизнеса и аварийное восстановление. [4]
Ключевой частью процесса оценки и авторизации (ранее — сертификации и аккредитации ) для федеральных информационных систем является выбор и реализация подмножества средств контроля (защит) из Каталога средств управления безопасностью (NIST 800-53, Приложение F). Эти меры контроля представляют собой управленческие, эксплуатационные и технические меры безопасности (или контрмеры), предписанные для информационной системы для защиты конфиденциальности, целостности и доступности системы и ее информации. Чтобы реализовать необходимые меры защиты или контроля, агентства должны сначала определить категорию безопасности своих информационных систем в соответствии с положениями FIPS 199 «Стандарты категоризации безопасности федеральной информации и информационных систем». Категоризация безопасности информационной системы (низкая, средняя или высокая) определяет базовый набор мер контроля, которые необходимо реализовать и отслеживать. Агентства имеют возможность корректировать эти элементы управления и адаптировать их для более точного соответствия целям или среде своей организации. [1]
Хотя любая частная организация может принять использование NIST 800-53 в качестве руководящей основы для своей практики обеспечения безопасности, все федеральные правительственные учреждения и подрядчики США обязаны соблюдать эту структуру, чтобы защитить свои критически важные данные.
Ожидается, что агентства будут соответствовать стандартам и рекомендациям безопасности NIST в течение одного года с даты публикации (февраль 2005 г.), если не указано иное. Ожидается, что информационные системы, находящиеся в стадии разработки, будут соответствовать требованиям после развертывания. [1]
Специальная публикация NIST 800-53 была первоначально выпущена в феврале 2005 года как «Рекомендуемые меры безопасности для федеральных информационных систем». [5]
Специальная публикация NIST 800-53, редакция 1 была первоначально выпущена в декабре 2006 года как «Рекомендуемые меры безопасности для федеральных информационных систем».
Специальная публикация NIST 800-53, редакция 2 была первоначально выпущена в декабре 2007 года как «Рекомендуемые меры безопасности для федеральных информационных систем».
Третья версия специальной публикации NIST 800-53 «Рекомендуемые меры безопасности для федеральных информационных систем и организаций» включает в себя несколько рекомендаций от людей, которые комментировали ранее опубликованные версии и рекомендовали сократить количество мер безопасности для систем с низким уровнем воздействия. , новый набор средств управления на уровне приложений и более широкие полномочия организаций по переходу на более раннюю версию. В окончательный проект также включена формулировка, позволяющая федеральным агентствам сохранять существующие меры безопасности, если они смогут продемонстрировать, что уровень безопасности эквивалентен стандартам, предлагаемым NIST. [6] Третья версия также представляет собой попытку гармонизировать требования безопасности между правительственными сообществами, а также между правительственными и неправительственными системами. В прошлом рекомендации NIST не применялись к правительственным информационным системам, отнесенным к системам национальной безопасности. Управленческий, операционный и технический контроль в SP 800-53 Редакция 3 обеспечивает общий язык информационной безопасности для всех государственных информационных систем. Пересмотренный каталог мер безопасности также включает в себя современные меры защиты и контрмеры для борьбы с современными киберугрозами и эксплойтами. Существенные изменения в этой версии документа включают:
В рамках продолжающегося партнерства в области кибербезопасности между Министерством обороны США, разведывательным сообществом и федеральными гражданскими агентствами NIST выпустил раз в два года обновление специальной публикации 800-53 «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций». », с первоначальным общедоступным проектом, опубликованным 28 февраля 2012 года. Инициатива 2011–2012 годов будет включать обновление текущих мер безопасности, улучшения мер безопасности, дополнительные рекомендации и обновленную информацию по адаптации и дополнению руководств, которые формируют ключевые элементы процесса выбора мер безопасности. . Ключевые направления включают, помимо прочего:
Версия 4 разбита на 18 контрольных семейств, [8] в том числе:
Информацию об этих семействах средств контроля и средствах контроля, содержащихся в них, можно найти на веб-сайте NIST по следующей ссылке: https://nvd.nist.gov/800-53/Rev4.
В пятой редакции NIST SP 800-53 слово «федеральный» удалено, чтобы указать, что эти правила могут применяться ко всем организациям, а не только к федеральным организациям. Первый общедоступный проект был опубликован 15 августа 2017 года. Окончательный вариант проекта был запланирован к публикации в декабре 2018 года, а окончательная дата публикации назначена на март 2019 года». [ 9] По данным Ресурсного центра компьютерной безопасности NIST (CSRC), [ 10] основные изменения в публикации включают:
По состоянию на сентябрь 2019 года [обновлять]выпуск пятой редакции был отложен из-за потенциальных разногласий между Управлением по информации и регулированию (OIRA) и другими агентствами США. [11]
Финальная версия Revision 5 была выпущена 23 сентября 2020 г. [12] и доступна на сайте NIST по следующей ссылке: https://csrc.nist.gov/publications/detail/sp/800-53/rev- 5/финал
Специальная публикация NIST 800-53A предоставляет набор процедур для проведения оценок мер безопасности и мер конфиденциальности, используемых в федеральных информационных системах и организациях. Процедуры настраиваемы и могут быть легко адаптированы, чтобы предоставить организациям необходимую гибкость для проведения оценок мер безопасности и оценок мер конфиденциальности, которые поддерживают процессы управления рисками организации и соответствуют заявленной толерантности к рискам организации. Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. [13]
Специальная публикация NIST 800-53A называется «Руководство по оценке мер безопасности в федеральных информационных системах и организациях». В этой версии будут описаны процедуры тестирования и оценки для 17 требуемых семейств мер безопасности. [4] Эти рекомендации по оценке разработаны для обеспечения возможности периодического тестирования и используются федеральными агентствами для определения того, какие меры безопасности необходимы для защиты операций и активов организации, отдельных лиц, других организаций и нации. [3] По словам Рона Росса, старшего специалиста по информатике и исследователя информационной безопасности в NIST, эти рекомендации также будут позволить федеральным агентствам оценить, «правильно ли реализованы обязательные меры контроля, работают ли они по назначению и... соответствуют ли требования безопасности организации».
Чтобы сделать это, версия A описывает методы и процедуры оценки для каждого из мер безопасности, предусмотренных в Специальной Публикации 800-53. Эти методы и процедуры будут использоваться в качестве руководства для федеральных агентств. Эти рекомендации призваны ограничить путаницу и гарантировать, что агентства интерпретируют и реализуют меры безопасности одинаковым образом. [4]
NIST SP 800-53A, редакция 4 — «Оценка средств контроля безопасности и конфиденциальности в федеральных информационных системах и организациях». Номер редакции был изменен с версии 1 на версию 4, чтобы лучше отражать специальную публикацию NIST 800-53, с которой она предназначена для использования.
Специальная публикация NIST 800-53B предоставляет набор базовых мер безопасности и мер конфиденциальности для информационных систем и организаций. Базовые показатели устанавливают средства контроля по умолчанию на основе показателей FISMA (конфиденциальность, низкий, средний и высокий) и могут быть легко адаптированы к процессам управления рисками организации.
Также предоставляется информация о создании эффективных планов оценки безопасности и планов оценки конфиденциальности, а также рекомендации по анализу результатов оценки. [14]
Специальная публикация NIST 800-53B была первоначально выпущена в сентябре 2020 года как «Базовые уровни управления для информационных систем и организаций». [15]
{{cite journal}}
: Требуется цитировать журнал |journal=
( помощь ){{cite journal}}
: Требуется цитировать журнал |journal=
( помощь )