NIST SP 800-53 on tärkeä osa FISMA-yhteensopivuutta. Erittäin suositeltavat turvatarkastukset liittovaltion tietojärjestelmille ja organisaatioille.
NIST Special Publication 800-53, joka tunnetaan nimellä National Institute of Standards and Technology Special Publication 800-53, sisältää standardeja ja ohjeita siitä, kuinka Yhdysvaltain valtion virastojen tulee suunnitella, toteuttaa hallita tietoturvajärjestelmiään ja heidän järjestelmiinsä tallennetut tiedot.
- Federal Information Security Management Act (FISMA) vaatii NIST SP 800-53:n asettamaan standardeja ja ohjeita liittovaltion virastoille ja urakoitsijoille.
NIST SP 800-53:lla on myös roolinsa kehittämisessä Federal Information Processing Standards (FIPS) FISMAn rinnalla.
Koska näemme jatkuvasti kasvavan riippuvuuden Internetistä ja lisääntyvän riippuvuuden tietojärjestelmät yritys- ja henkilökohtaista viestintää varten, tiedon yksityisyyden ja turvallisuuden tarve vain kasvaa.
ISMS.online voi auttaa organisaatiotasi noudattamaan NIST SP 800-53 -standardia ja saavuttamaan sen.
Ohjeet koskevat kaikkia liittovaltion tietoja tallentavan, käsittelevän tai välittävän tietojärjestelmän osia.
Ohjeet kattavat muun muassa mobiili- ja pilvitekniikan, sisäpiiriuhat, sovellusturvallisuuden, toimitusketjun turvallisuus ja ne on luotu tietoturvan kehittyvän luonteen mukaisesti.
NIST SP 800-533 kattaa riskinhallintakehyksen vaiheet, jotka koskevat liittovaltion tietojärjestelmien turvavalvontavalintoja FIPS turvallisuusvaatimusten mukaisesti.
Turvallisuussäännöt kattavat mm kulunvalvonta, tapaturmien reagointi, liiketoiminnan jatkuvuus ja katastrofipalautus. Tärkeä osa liittovaltiota tietojärjestelmien arviointi- ja lupaprosessi valitsee ja ottaa käyttöön osan ohjaimista turvavalvontaluettelosta, NIST 800-53, liite F.
Hallinnolliset, toiminnalliset ja tekniset suojatoimet on määrätty an tietojärjestelmä järjestelmän ja sen tietojen luottamuksellisuuden, eheyden, saatavuuden suojelemiseksi.
Säätimiä voidaan säätää ja räätälöidä vastaamaan paremmin organisaation tavoitteita ja ympäristöjä.
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Standardi tarjoaa enemmän turvallisia tietojärjestelmiä kontrolliperheiden kautta. Yksityiset organisaatiot noudattavat NIST SP 800-53 -standardia, koska sen 18 valvontaperhettä auttavat niitä vastaamaan haasteeseen, joka liittyy sopivien perusturvallisuuden valvontaan, käytäntöihin ja menettelyihin.
Turvallisuuden ja vaatimustenmukaisuuden varmistaminen on vain yksi räätälöintiprosessin eduista. Se edistää ohjainten johdonmukaisuutta ja kustannustehokasta soveltamista tietotekniikan infrastruktuurissasi. Varmistaaksesi sen merkityksen infrastruktuurillesi ja ympäristöllesi, se rohkaisee sinua analysoimaan jokaisen valitsemasi suojauksen ja yksityisyyden suojauksen.
Tapahtumien vaikutus erilaisiin tietoihin ja tietojärjestelmät edellyttävät huolellista riskinarviointia. NIST 800-53:ssa on luettelo tietoturva-, tietosuoja- ja ohjausobjekteista. Ohjaimet tulee valita sisällön suojausvaatimusten perusteella.
Kuten aiemmin mainittiin, liittovaltion tietojenkäsittelystandardit (FIPS) voivat auttaa sinua valitsemaan organisaatiosi tarvitsemat hallintalaitteet FIPSin kolmeen vaikutustasoon nähden.
Nämä vaikutustasot ovat:
NIST SP 800-53 -ohjaimet on jaettu seuraaviin:
| Sukunimi | ID | Esimerkki säätimistä |
|---|---|---|
| Kulunvalvonta | AC | Tilinhallinta ja seuranta |
| Tietoisuus ja koulutus | AT | Käyttäjien tietoisuus ja koulutus turvallisuusuhkista |
| Tilintarkastus ja vastuullisuus | AU | Tarkastusasiakirjojen sisältö – Analyysi ja raportointi – Tietueiden säilyttäminen |
| Arviointi, valtuutus ja seuranta | CA | Yhteydet julkisiin verkkoihin ja ulkoisiin järjestelmiin – Läpäisytestaus |
| Configuration Management | CM | Valtuutetut ohjelmistokäytännöt |
| Varautumissuunnittelu | CP | Vaihtoehtoiset käsittely- ja varastointipaikat – Liiketoiminnan jatkuvuusstrategiat |
| Tunnistaminen ja todennus | IA | Käyttäjien, laitteiden ja palveluiden todennuskäytännöt – tunnistetietojen hallinta |
| Yksilöllinen osallistuminen | IP | Suostumus ja tietosuojavaltuutus |
| Vahinkotapahtuma | IR | Tapahtumavalvontakoulutus, seuranta ja raportointi |
| kunnossapito | MA | Järjestelmän, henkilöstön ja työkalujen huolto |
| Median suojaus | MP | Median pääsy, varastointi, kuljetus, desinfiointi ja käyttö |
| Tietosuojavaltuutus | PA | Henkilökohtaisten tietojen kerääminen, käyttö ja jakaminen |
| Fyysinen ja ympäristönsuojelu | PE | Fyysinen pääsy – Varavirta – Palosuojaus – Lämpötilan valvonta |
| Suunnittelu | PL | Sosiaalinen media ja verkostoitumisrajoitukset – Syvällinen suojausarkkitehtuuri |
| Program Management | PM | Riskienhallintastrategia – Sisäpiiriuhkaohjelma – Yritysarkkitehtuuri |
| Henkilöstön turvallisuus | PS | Henkilöstön seulonta, irtisanominen ja siirto – Ulkopuolinen henkilöstö – Seuraamukset |
| Riskinarviointi | RA | Riskinarviointi – Haavoittuvuuden skannaus – Tietosuojavaikutusten arviointi |
| Järjestelmän ja palveluiden hankinta | SA | Järjestelmäkehityksen elinkaari – Hankintaprosessi – Toimitusketjun riskien hallinta |
| Järjestelmän ja tietoliikenteen suojaus | SC | Sovellusten osiointi – Rajasuojaus – Salausavainten hallinta |
| Järjestelmän ja tietojen eheys | SI | Vikojen korjaus – Järjestelmän valvonta ja hälytykset |
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
NIST SP 800-53 Revision 1 julkaistiin joulukuussa 2006 nimellä "Suositellut suojaussäädöt liittovaltion tietojärjestelmille."
NIST SP 800-53 Revision 2 julkaistiin joulukuussa 2007 nimellä "Suositellut suojaussäädöt liittovaltion tietojärjestelmille."
NIST SP 800-53 Revision 3 julkaistiin elokuussa 2009 nimellä "Suositellut suojaussäädöt liittovaltion tietojärjestelmille ja organisaatioille.". Tämä versio sisältää useita suosituksia ihmisiltä, jotka kommentoivat aiemmin julkaistuja versioita.
Määrää suositeltiin vähentämään turvatarkastukset vähän iskeviä järjestelmiä varten. Ehdota myös uusia sovellustason ohjaimia ja suurempia oikeuksia organisaatioille alentaa valvontaa.
Tarkistuksen 3 tuomat muutokset:
NIST SP 800-53 Revision 4 julkaistiin alun perin helmikuussa 2012 nimellä "Federal Information Systems and Organisations Security and Privacy Controls for Federal Information Systems and Organisations".
Versio 4 sisälsi päivityksiä suojausohjaimiin, lisäohjeita ja ohjausparannuksia. Se myös päivitti räätälöinti- ja täydennysohjeita, jotka muodostavat elementtejä kontrollin valintaprosessissa.
NIST SP 800-53 Revision 5:stä keskusteltiin alun perin elokuussa 2017 ja se poistettiin "liittovaltion" alkaen "Federal Information Systems and Organisations Security and Privacy Controls for Federal Information Systems and Organisations" tarkoittaa, että määräyksiä voidaan soveltaa kaikkiin organisaatioihin, ei vain liittovaltion organisaatioihin. Revision 5:n lopullinen versio julkaistiin syyskuussa 2020.
Joitakin muutoksia tähän versioon ovat:
NIST SP 800-53A sisältää joukon menettelyjä, joiden avulla voidaan arvioida liittovaltion järjestelmien ja organisaatioiden turvallisuus- ja yksityisyyden valvontaa.
- menettelyjä voidaan helposti räätälöidä antamaan organisaatioille joustavuutta suorittaa turvallisuusvalvonta- ja yksityisyyden valvontaarviointeja organisaation ilmoittaman riskinsietokyvyn mukaisesti.
Arviointitulosten analysointiin annetaan ohjeita sekä tietoa tehokkaiden turvallisuus- ja yksityisyysarviointisuunnitelmien laatimisesta.
NIST SP 800-53B tarjoaa tietojärjestelmien perussuojaus- ja yksityisyyshallintalaitteet.
Analysoinnissa opastetaan arviointitulokset ja tiedot tehokkaan turvallisuuden rakentamisesta arviointisuunnitelmat.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Olemme kustannustehokkaita ja nopeita
Liittovaltion tietojärjestelmien on käytettävä standardia. Suhteen ylläpitämiseksi kaikkien liittovaltion hallituksen kanssa työskentelevien organisaatioiden on noudatettava NIST SP 800-53 -standardia.
Standardi tarjoaa puitteet mille tahansa organisaatiolle kehittää, ylläpitää ja parantaa tietoturvakäytäntöjäänmukaan lukien valtion, paikalliset, heimohallitukset ja yksityiset yritykset.
Liittovaltion virastojen on oltava NIST SP 800-53:n uusimman version mukaisia vuoden kuluessa uuden version julkaisusta, ja uusien järjestelmien on oltava yhteensopivia käyttöönoton yhteydessä.
NIST SP 800-53 auttaa kaikenmuotoisia ja -kokoisia organisaatioita noudattamaan liittovaltion tietoturvan modernisointilakia (FISMA). Turvallisuuden parantamiseksi on laaja valikoima valvontalaitteita.
FISMAn tarkoitus on suojata viranomaisten luvattomalta pääsyltä, käytöltä, paljastamiselta, häiriöltä, muuttamiselta ja tuhoamiselta. tiedot ja omaisuus.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
On yleinen väärinkäsitys, että organisaation on valittava NIST SP 800-53 tai ISO 27001 ja että toinen on parempi kuin toinen. Molempia voidaan käyttää organisaatiossa, ja niiden välillä on paljon synergiaa. Tietoturva, riskinarvioinnit ja turvallisuusohjelmat ovat sekä ISO 27001 että NIST SP 800-53 -standardien alaisia.
- NIST-kehykset tehtiin vapaaehtoisiksi ja joustaviksi. Niillä on useita yhteisiä periaatteita, mukaan lukien ylimmän johdon tuen vaatiminen, a jatkuva parantamisprosessi, ja riskiperusteinen lähestymistapa, mikä tekee niistä helppoa toteuttaa yhdessä ISO 27001:n kanssa.
ISO 27001:n määrittelemä riskinarviointiprosessi noudattaa hyvin samanlaista lähestymistapaa kuin NIST SP 800-53. Molemmissa tapauksissa tarvitaan riskiin sopivaa valvontaa, organisaation tietoon kohdistuvien riskien tunnistamista ja niiden suorituskyvyn seurantaa.
| ISO/IEC 27001 (Kansainvälinen standardointijärjestö) | NIST (Kansallinen standardi- ja teknologiainstituutti) |
|---|---|
| ISO 27001 on kansainvälisesti tunnustettu lähestymistapa tietoturvan hallintajärjestelmän (ISMS) perustamiseen ja ylläpitoon. | NIST:n luomisen tarkoituksena oli auttaa Yhdysvaltain liittovaltion virastoja ja organisaatioita hallitsemaan riskejä paremmin. |
| ISO 27001 on vähemmän tekninen, ja siinä painotetaan enemmän riskiin perustuvaa hallintaa, joka tarjoaa parhaita käytäntöjä koskevia suosituksia kaiken tiedon suojaamiseksi. | Viitekehyksen kolme pääkomponenttia ovat ydin, toteutustasot ja profiilit, jotka ovat kunkin toiminnon suorittamiseen tarvittavia toimintoja. |
| ISO 14 -standardin liitteessä A on 114 ohjausluokkaa ja 27001 kontrollia. | NIST-kehykset sisältävät erilaisia ohjausluetteloita. |
| ISO 27001 -standardissa on kymmenen lauseketta, jotka ohjaavat organisaatioita ISMS-matkallaan. | NIST-kehyksessä on viisi toimintoa, joiden avulla voidaan muokata ja mukauttaa kyberturvallisuuden valvontaa. |
| ISO 27001 -standardin noudattamisen varmistamiseen käytetään riippumattomia auditointi- ja sertifiointielimiä. | NIST:llä on itsevarmennusmekanismi, joka on vapaaehtoinen. |
ISMS.online kehittyy jatkuvasti vastaamaan organisaatioiden tietoturvan, yksityisyyden ja liiketoiminnan jatkuvuuden tarpeisiin maapallon ympäri. Yksinkertaistettu, turvallinen ja kestävä alustamme tukee paljon muutakin kuin vain ISO/IEC 27001:tä. meidän alustamme kasvaa, samoin tukemiemme standardien ja määräysten luettelo.
Lisäksi alustamme sisältää erilaisia valmiiksi rakennettuja kehyksiä, joita voit ottaa käyttöön, mukauttaa tai lisätä tarpeidesi mukaan organisaation ainutlaatuisiin tarpeisiin. Tai voit helposti rakentaa oman räätälöityjä vaatimustenmukaisuusprojekteja varten.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Lataa ilmainen opas nopeaan ja kestävään sertifiointiin
Liittovaltion verkkojen tiedot voivat sisältää arkaluontoisia tietoja, jotka ovat välttämättömiä Yhdysvaltain hallituksen jatkuvan toiminnan kannalta.
Se voi sisältää käyttäjän henkilökohtaisia tietoja, jotka tunnetaan henkilökohtaisina tunnistetietoina, mikä on myös tärkeää NIST SP 800-171:n suojaamisen varmistamiseksi.
NIST SP 800-53 on järjestelmällinen lähestymistapa tietojen ja tietokonejärjestelmien suojaamiseen.
Järjestelmät sisältävät:
Tietotyypit, jotka voidaan suojata, vaihtelevat järjestelmien ja organisaatioiden monimuotoisuuden vuoksi.
Seuraavat parhaat käytännöt auttavat valitsemaan ja ottamaan käyttöön asianmukaiset suojaus- ja yksityisyyshallintalaitteet NIST 800-53 SP -yhteensopivuutta varten.
NIST SP 800-53 julkaistiin alun perin helmikuussa 2005. Se nimettiin osuvasti "Recommended Security Controls for Federal Information Systems".
