NIST SP 800-53 är en kritisk komponent i FISMA-efterlevnad. Rekommenderade säkerhetskontroller för federala informationssystem och organisationer.
NIST Special Publication 800-53, känd som National Institute of Standards and Technology Special Publication 800-53, anger standarder och riktlinjer för hur amerikanska statliga myndigheter bör utforma, implementera, hantera sina informationssäkerhetssystem och de data som lagras i deras system.
Smakämnen Federal Information Security Management Act (FISMA) kräver att NIST SP 800-53 sätter standarder och riktlinjer för federala myndigheter och entreprenörer.
NIST SP 800-53 har också en roll i utvecklingen Federal Information Processing Standards (FIPS) tillsammans med FISMA.
När vi fortsätter att se ett växande beroende av internet och ett större beroende av informationssystem för affärs- och personlig kommunikation, behovet av informationsintegritet och säkerhet bara ökar.
ISMS.online kan hjälpa din organisation att följa och uppnå NIST SP 800-53.
Riktlinjerna gäller alla delar av ett informationssystem som lagrar, bearbetar eller överför federal information.
Riktlinjerna täcker områden som mobil och molnberäkning, insiderhot, applikationssäkerhet, försörjningskedjans säkerhet och har skapats under utvecklingen av informationssäkerhet.
NIST SP 800-533 täcker stegen i riskhanteringsramverket som adresserar val av säkerhetskontroll för federala informationssystem enligt säkerhetskraven i FIPS.
Säkerhetsreglerna omfattar områden som t.ex åtkomstkontroll, incidentrespons, affärskontinuitet och katastrofåterställning. En viktig del av federal informationssystemens bedömnings- och auktoriseringsprocess väljer och implementerar en delmängd av kontrollerna från säkerhetskontrollkatalogen, NIST 800-53, Appendix F.
De förvaltningsmässiga, operativa och tekniska skyddsåtgärderna är föreskrivna för en informationssystem för att skydda sekretessen, integriteten, tillgängligheten av systemet och dess information.
Kontrollerna kan justeras och skräddarsys för att passa bättre med organisationens mål och miljöer.
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Standarden ger mer säkra informationssystem via kontrollfamiljer. Privata organisationer följer NIST SP 800-53 eftersom dess 18 kontrollfamiljer hjälper dem att möta utmaningen att välja lämpliga grundläggande säkerhetskontroller, policyer och procedurer.
Att säkerställa säkerhet och efterlevnad är bara en av fördelarna med anpassningsprocessen. Konsekvens och kostnadseffektiv tillämpning av kontroller över din informationsteknologiska infrastruktur främjas av det. För att säkerställa dess relevans för din infrastruktur och miljö, uppmuntrar den dig att analysera varje säkerhets- och integritetskontroll som du väljer.
Incidenternas inverkan på olika data och informationssystem kräver en noggrann riskbedömning. NIST 800-53 har en katalog med säkerhetskontroller, integritetskontroller och vägledningskontroller. Kontroller bör väljas utifrån innehållets skyddskrav.
Som tidigare nämnts, Federal Information Processing Standards (FIPS) kan du hjälpa dig att välja de kontroller som din organisation behöver mot de tre effektnivåerna som finns i FIPS.
Dessa effektnivåer är:
NIST SP 800-53 kontroller är indelade i följande:
| Efternamn | ID | Exempel på kontroller |
|---|---|---|
| Åtkomstkontroll | AC | Kontohantering & övervakning |
| Medvetenhet och utbildning | AT | Användarmedvetenhet och utbildning om säkerhetshot |
| Revision och ansvarighet | AU | Innehåll i revisionsprotokoll – Analys & rapportering – Dokumentlagring |
| Bedömning, auktorisering och övervakning | CA | Anslutningar till publika nätverk & externa system – Penetrationsprovning |
| Systemintegration | CM | Auktoriserade programvarupolicyer |
| Beredskapsplanering | CP | Alternativa bearbetnings- och lagringsplatser – Strategier för affärskontinuitet |
| Identifiering och autentisering | IA | Autentiseringspolicyer för användare, enheter och tjänster – autentiseringshantering |
| Individuellt deltagande | IP | Samtycke och integritetsauktorisering |
| Incidentrespons | IR | Incident respons utbildning, övervakning och rapportering |
| Underhåll | MA | System, personal & verktygsunderhåll |
| Mediaskydd | MP | Tillgång, lagring, transport, sanering och användning av media |
| Integritetsauktorisering | PA | Insamling, användning och delning av personligt identifierbar information |
| Fysiskt skydd och miljöskydd | PE | Fysisk åtkomst – Nödström – Brandskydd – Temperaturkontroll |
| Planering | PL | Restriktioner för sociala medier och nätverk – djupgående säkerhetsarkitektur |
| Program Management | PM | Riskhanteringsstrategi – Insiderhotsprogram – Företagsarkitektur |
| Personalsäkerhet | PS | Personalkontroll, uppsägning & övergång – Extern personal – Påföljder |
| Riskbedömning | RA | Riskbedömning – Sårbarhetsskanning – Integritetskonsekvensbedömning |
| System- och tjänsteförvärv | SA | Systemutveckling livscykel – Förvärvsprocess – Riskhantering i försörjningskedjan |
| System- och kommunikationsskydd | SC | Applikationspartitionering – Gränsskydd – Kryptografisk nyckelhantering |
| System- och informationsintegritet | SI | Felavhjälpning – Systemövervakning och larm |
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
NIST SP 800-53 Revision 1 släpptes i december 2006 som "Rekommenderade säkerhetskontroller för federala informationssystem."
NIST SP 800-53 Revision 2 släpptes i december 2007 som "Rekommenderade säkerhetskontroller för federala informationssystem."
NIST SP 800-53 Revision 3 släpptes i augusti 2009 som "Rekommenderade säkerhetskontroller för federala informationssystem och organisationer.". Den här versionen innehåller flera rekommendationer från personer som kommenterat tidigare publicerade versioner.
Det rekommenderades en minskning av antalet säkerhetskontroller för system med låg påverkan. Föreslå också en ny uppsättning kontroller på applikationsnivå och större befogenheter för organisationer att nedgradera kontroller.
Ändringar som införts av revision 3:
NIST SP 800-53 Revision 4 släpptes initialt i februari 2012 som "Säkerhets- och integritetskontroller för federala informationssystem och organisationer".
Revision 4 inkluderade uppdateringar av säkerhetskontroller, kompletterande vägledning och kontrollförbättringar. Den uppdaterade också skräddarsydda och kompletteringsvägledningar som utgör element i urvalsprocessen för kontroll.
NIST SP 800-53 Revision 5 diskuterades initialt i augusti 2017 och togs bort "statlig" från "Säkerhets- och integritetskontroller för federala informationssystem och organisationer" för att ange att bestämmelser kan tillämpas på alla organisationer, snarare än bara federala organisationer. Den slutliga versionen av Revision 5 släpptes i september 2020.
Några ändringar i den här versionen inkluderar:
NIST SP 800-53A innehåller en uppsättning procedurer för att utföra utvärderingar av säkerhetskontroller och integritetskontroller inom federala system och organisationer.
Smakämnen rutiner kan enkelt skräddarsys för att ge organisationer flexibilitet att genomföra säkerhetskontrollbedömningar och integritetskontrollbedömningar i linje med organisationens angivna risktolerans.
Vägledning för att analysera bedömningsresultat ges, med information om hur man bygger effektiva säkerhets- och integritetsbedömningsplaner.
NIST SP 800-53B tillhandahåller grundläggande säkerhetskontroller och integritetskontroller för informationssystem.
Vägledning ges för att analysera bedömningsresultat och information om att bygga effektiv säkerhet bedömningsplaner.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Det är obligatoriskt för federala informationssystem att använda standarden. För att upprätthålla relationen måste alla organisationer som arbetar med den federala regeringen följa NIST SP 800-53.
Standarden ger ett ramverk för vilken organisation som helst att utveckla, underhålla och förbättra sina rutiner för informationssäkerhet, inklusive statliga, lokala, stamregeringar och privata företag.
Federala myndigheter måste vara kompatibla med den senaste revideringen av NIST SP 800-53 inom ett år efter utgivningen av den nya revisionen, och nya system måste vara kompatibla vid tidpunkten för implementeringen.
NIST SP 800-53 hjälper organisationer av alla former och storlekar att följa Federal Information Security Modernization Act (FISMA). Det finns en omfattande katalog med kontroller för att stärka säkerheten.
Syftet med FISMA är att skydda mot obehörig åtkomst, användning, avslöjande, avbrott, modifiering och förstörelse av regeringen information och tillgångar.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Det är en vanlig missuppfattning att en organisation måste välja mellan NIST SP 800-53 eller ISO 27001 och att den ena är bättre än den andra. Båda kan användas inom en organisation och har många synergier mellan dem. Datasäkerhet, riskbedömningar och säkerhetsprogram omfattas av både ISO 27001 och NIST SP 800-53.
Smakämnen NIST ramar gjordes frivilliga och flexibla. De har flera gemensamma principer, inklusive att kräva ledningsstöd, a ständig förbättringsprocess, och ett riskbaserat tillvägagångssätt, vilket gör det enkelt att implementera dem i kombination med ISO 27001.
Riskbedömningsprocessen specificerad av ISO 27001 har ett mycket liknande tillvägagångssätt som NIST SP 800-53. Kontroller som är lämpliga för risken, identifiering av risker för organisationens information och övervakning av deras prestanda är nödvändiga under båda.
| ISO/IEC 27001 (International Organization for Standardization) | NIST (National Institute of Standards and Technology) |
|---|---|
| ISO 27001 är en internationellt erkänd metod för att etablera och underhålla ett ledningssystem för informationssäkerhet (ISMS). | Skapandet av NIST var att hjälpa amerikanska federala myndigheter och organisationer att bättre hantera sina risker. |
| ISO 27001 är mindre tekniskt med mer betoning på riskbaserad hantering som ger rekommendationer om bästa praxis för att säkra all information. | Ramverkets tre huvudkomponenter är kärnan, implementeringsnivåer och profiler, vilka är de aktiviteter som krävs för att uppfylla varje funktion. |
| Det finns 14 kontrollkategorier och 114 kontroller i ISO 27001 bilaga A. | NIST-ramverk har olika kontrollkataloger. |
| Det finns tio klausuler i ISO 27001 som vägleder organisationer genom deras ISMS-resa. | NIST-ramverket har fem funktioner som kan användas för att modifiera och anpassa cybersäkerhetskontroller. |
| Oberoende revisions- och certifieringsorgan används för att säkerställa efterlevnad av ISO 27001. | NIST har en självcertifieringsmekanism som är frivillig. |
ISMS.online utvecklas ständigt till tillgodose organisationers behov av informationssäkerhet, integritet och affärskontinuitet över hela jorden. Vår förenklade, säkra och hållbara plattform stöder mycket mer än bara ISO/IEC 27001. Som vår plattform växer, så gör listan över standarder och förordningar vi stödjer.
Dessutom kommer vår plattform med olika förbyggda ramverk som du kan anta, anpassa eller lägga till beroende på ditt organisationens unika behov. Eller så kan du enkelt bygga din egen för skräddarsydda efterlevnadsprojekt.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Ladda ner vår gratis guide till snabb och hållbar certifiering
Uppgifterna om federala nätverk kan innehålla känslig information som är väsentlig för den amerikanska regeringens pågående funktion.
Det kan inkludera användarens privata data, känd som personligt identifierbar information, vilket också är viktigt att skydda som skyddas av NIST SP 800-171.
NIST SP 800-53 är ett systematiskt tillvägagångssätt för att skydda information och datorsystem.
Systemen inkluderar:
Vilka typer av data som kan skyddas kommer att variera beroende på mångfalden av system och organisationer.
Att välja och implementera lämpliga säkerhets- och integritetskontroller för NIST 800-53 SP-överensstämmelse är hjälpt av följande bästa praxis.
NIST SP 800-53 släpptes ursprungligen i februari 2005. Passande namnet som "Rekommenderade säkerhetskontroller för federala informationssystem."
