NIST publicación especial 800-53

NIST publicación especial 800-53, "Seguridad y privacidad de controles para sistemas de información federales y organizaciones," proporciona un catálogo de controles de seguridad para todos los Estados Unidos federal sistemas de información excepto los relacionados con la seguridad nacional. Es publicado por la Instituto Nacional de estándares y tecnología, que es una agencia no reglamentarias de la Departamento de comercio de Estados Unidos. NIST desarrolla y publica normas, directrices y otras publicaciones para ayudar a las agencias federales en la aplicación de la Ley Federal de gestión de seguridad información de 2002 (FISMA) y para ayudar a gestionar programas rentables para proteger su información y sistemas de información.^[1]

Contenido

1 Propósito
2 Cumplimiento de normas
3 Corrientes de aire
- 3.1 Tercer borrador
- 3.2 Cuarto borrador
4 Versiones
- 4.1 Versión A
5 Referencias
6 Acoplamientos externos

Propósito

NIST publicación especial 800-53 es parte de la publicación especial 800-serie que informes en el laboratorio información de tecnología (DIT) de investigación, directrices, esfuerzos de alcance en la seguridad del sistema de información y en la actividad del DIT con la industria, gobierno y organizaciones académicas.^[2]

Específicamente, NIST publicación especial 800-53 cubre los pasos en el marco de la gestión de riesgo selección de control de seguridad dirección de sistemas de información federales conforme a los requisitos de seguridad en Estándar de procesamiento de información federal (FIPS) 200. Esto incluye la selección de un conjunto inicial de referencia de controles de seguridad basados en un 199 FIPS análisis de peor impacto, adaptación de los controles de seguridad de línea de base y que complementa los controles de seguridad basado en una evaluación del riesgo organizacional.^[3] Las reglas de seguridad cubren 17 áreas incluyendo control de acceso, respuesta a incidentes, continuidad del negocio y recuperación ante desastres.^[4]

Una parte clave de la certificación y acreditación proceso federal sistemas de información selección y aplicación de un subconjunto de los controles (salvaguardias) en el catálogo de Control de seguridad (NIST 800-53, Apéndice F). Estos controles son la gestión, operacional, y medidas de seguridad técnicas (o medidas) prescriben para que un sistema de información proteger la confidencialidad, integridad y disponibilidad del sistema y su información. Para implementar los controles o salvaguardas necesarias, agencias primero deben determinar la categoría de seguridad de sus sistemas de información según las disposiciones del FIPS 199, "Normas para la clasificación de seguridad de la información Federal y sistemas de información." La clasificación de seguridad del sistema de información (bajo, moderado o alto) determina la colección de referencia de controles que deben ser implementadas y monitoreadas. Organismos tienen la capacidad de ajustar estos controles y adaptarlos para caber más de cerca con sus metas organizativas o entornos.^[1]

Cumplimiento de normas

Agencias deben ser obediente con estándares de seguridad NIST y directrices dentro de un año de la fecha de publicación (febrero de 2005) a menos que se indique lo contrario. Sistemas de información que están en desarrollo se esperan que sean obedientes al despliegue.^[1]

Corrientes de aire

Tercer borrador

La tercera versión de la publicación especial de NIST 800-53 documento incorpora varias recomendaciones de gente que comentó sobre las versiones publicadas, que recomienda una reducción en el número de controles de seguridad para sistemas de bajo impacto, un nuevo conjunto de controles de nivel de aplicación y mayores poderes discrecionales a organizaciones para rebajar los controles. También se incluye en el borrador final es idioma que permite a las agencias federales mantener sus medidas de seguridad existentes si puede demostrar el nivel de seguridad equivalente a las normas que se proponen por el NIST.^[5] La tercera versión también representa un esfuerzo por armonizar los requisitos de seguridad a través de las comunidades del gobierno y entre el gobierno y no gubernamentales sistemas. En el pasado, guía del NIST no aplicado a sistemas de información de gobierno identificados como sistemas nacionales de seguridad. Los controles de gestión, operativo y técnico en SP 800-53 revisión 3 proporcionan un lenguaje común de la seguridad de información para todos los sistemas de información gubernamentales. El catálogo de control de seguridad revisada también incluye práctica estatal salvaguardas y contramedidas para la dirección avanzada cyber amenazas y vulnerabilidades. Cambios significativos en esta revisión del documento incluye

A simplificado, marco de la gestión del riesgo de seis pasos;
Controles de seguridad adicionales y mejoras para avanzada cyber amenazas;
Recomendaciones para la priorización de controles de seguridad durante la ejecución o implementación;
Revisado la estructura de control de seguridad con una nueva sección de referencias;
Eliminación de requisitos de seguridad de las secciones de orientación suplementaria;
Orientación sobre el uso del marco de gestión de riesgo para los sistemas de información heredados y para proveedores de servicios de sistema de información externa;
Actualizaciones instantáneas de control de seguridad basadas en información actual de la amenaza y ataques cibernéticos;
Controles de seguridad de la organización para la gestión de programas de seguridad de información;
Orientación sobre la gestión de los controles comunes dentro de las organizaciones; y
Estrategia para la armonización de normas de seguridad FISMA y directrices con seguridad internacional estándar ISO/IEC 27001.^[6]

Cuarto borrador

Como parte de la Asociación de seguridad cibernética continua entre el Departamento de defensa de Estados Unidos, la comunidad de inteligencia y las agencias civiles federales, el NIST ha lanzado su actualización Bienal de 800‐53 de publicación especial, con un proyecto público inicial lanzado el 28 de febrero de 2012. La iniciativa de 2011-12 incluirá una actualización de los actuales controles de seguridad, mejoras de control, orientación suplementaria y una actualización sobre la orientación de sastrería y suplementación que forman elementos clave del proceso de selección de control. Áreas de especialidad claves incluyen, pero no se limitan a:

Amenazas internas;
Seguridad de aplicaciones de software (incluyendo aplicaciones web);
Social networking, dispositivos móviles y cloud computing;
Cruz soluciones de dominio;
Amenazas persistentes avanzadas;
Seguridad de la cadena de suministro;
Sistemas de control de proceso industrial; y
Privacidad.

Versiones

Versión A

NIST publicación especial 800-53 se titula a "Guía para controles de seguridad de la evaluación en organizaciones y sistemas de información federales." Esta versión describe procedimientos de prueba y evaluación de las 17 familias de control necesario.^[4] Estas pautas de evaluación están diseñadas para permitir pruebas periódicas y son utilizadas por agencias federales para determinar qué controles de seguridad son necesarias para proteger las operaciones de la organización y activos, individuos, organizaciones y la nación.^[3] Según Ron Ross, equipo senior información y científico investigador de seguridad en NIST, estas directrices también permitirá a las agencias federales para evaluar "si los controles se han implementado correctamente el mandato, están funcionando como se pretendía y se... cumpliendo requisitos de seguridad de la organización."

Para ello, versión A describe los métodos de evaluación y procedimientos para cada uno de los controles de seguridad por mandato en publicación especial 800-53. Estos métodos y procedimientos deben usarse como guías para agencias federales. Estas directrices están destinadas a limitar la confusión y asegurar que agencias de interpretaran y aplicación los controles de seguridad de la misma manera.^[4]

Referencias

^ ^a ^b ^c Ross, et al., p. 4
^ Ross, et al., p. 2
^ ^a ^b Ross, et. al, p. 8
^ ^a ^b ^c Vijayan, Jaikumar (2005), "Directrices de seguridad para las agencias de Estados Unidos en julio", Computerworld, obtenido 2011-02-23
^ Vijayan, Jaikumar (2005), "Feds look para finalizar controles de seguridad", Computerworld, obtenido 2011-02-23
^ Jackson, William (2009), "NIST lanza versión definitiva 'histórico' de la publicación especial 800-53", Noticias del equipo de gobierno, obtenido 2011-02-23

Ross, Ron; Jahnson, Arnold; Katzke, Stu; Toth, Patricia; Stoneburner, Gary; Rogers, George (2008), Guía para la evaluación de los controles de seguridad en sistemas de información Federal, planes de evaluación de eficacia de la seguridad del edificio (PDF), obtenido 2011-02-14
Schou, Corey (2006). Seguridad de la información para la empresa. Boston: McGraw Hill Irwin. ISBN 978-0-07-225524-9.

Acoplamientos externos

Lista de todas las publicaciones especiales de la serie 800 de NIST
NIST publicación especial 800-53, revisión 4
NIST publicación especial 800-37 Guía para aplicar el marco de la gestión de riesgo a los sistemas de información Federal

Otras Páginas

[Ross.2C_et._al..2C_p._4-1] Ross, et al., p. 4

[2] Ross, et al., p. 2

[Ross.2C_et._al.2C_p._8-3] Ross, et. al, p. 8

[Vijayan2005-July-4] Vijayan, Jaikumar (2005), "Directrices de seguridad para las agencias de Estados Unidos en julio", Computerworld, obtenido 2011-02-23

[Vijayan2005-Final-5] Vijayan, Jaikumar (2005), "Feds look para finalizar controles de seguridad", Computerworld, obtenido 2011-02-23

[Jackson2009-6] Jackson, William (2009), "NIST lanza versión definitiva 'histórico' de la publicación especial 800-53", Noticias del equipo de gobierno, obtenido 2011-02-23