NIST SP 800-53 הוא מרכיב קריטי בתאימות FISMA. בקרות אבטחה מומלצות ביותר עבור מערכות מידע וארגונים פדרליים.
פרסום מיוחד של NIST 800-53, המכונה פרסום מיוחד 800-53 של המכון הלאומי לתקנים וטכנולוגיה, מגדיר תקנים והנחיות כיצד סוכנויות ממשלתיות בארה"ב צריכות לבנות, ליישם, לנהל את מערכות אבטחת המידע שלהם והנתונים המאוחסנים במערכות שלהם.
השמיים חוק ניהול אבטחת מידע הפדרלי (FISMA) דורש NIST SP 800-53 לקבוע סטנדרטים והנחיות עבור סוכנויות וקבלנים פדרליים.
ל-NIST SP 800-53 יש גם תפקיד בפיתוח תקני עיבוד מידע פדרליים (FIPS) לצד FISMA.
ככל שאנו ממשיכים לראות תלות גוברת באינטרנט ותלות גדולה יותר באינטרנט מערכות מידע לתקשורת עסקית ואישית, הצורך בפרטיות ואבטחת מידע רק הולך וגדל.
ISMS.online יכול לעזור לארגון שלך לעמוד בדרישות ולהשיג NIST SP 800-53.
ההנחיות חלות על כל המרכיבים של מערכת מידע המאחסנת, מעבדת או משדרת מידע פדרלי.
ההנחיות מכסות תחומים כמו מחשוב נייד ומחשוב ענן, איומים פנימיים, אבטחת יישומים, אבטחת שרשרת האספקה ועוצבו תחת האופי המתפתח של אבטחת מידע.
NIST SP 800-533 מכסה את השלבים במסגרת ניהול הסיכונים העוסקים בבחירת בקרת אבטחה עבור מערכות מידע פדרליות בהתאם לדרישות האבטחה ב- FIPS.
כללי האבטחה מכסים תחומים כגון בקרת גישה, תגובה לאירועים, המשכיות עסקית והתאוששות מאסון. חלק חיוני בפדרל תהליך ההערכה וההרשאה של מערכות מידע בוחר ומיישם תת-קבוצה של הפקדים מקטלוג בקרת האבטחה, NIST 800-53, נספח ו'.
אמצעי ההגנה הניהוליים, התפעוליים והטכניים נקבעים עבור א מערכת מידע להגן על הסודיות, השלמות, הזמינות של המערכת והמידע שלה.
ניתן להתאים ולהתאים את הבקרות כך שיתאימו יותר למטרות ולסביבות הארגון.
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
התקן מספק יותר מערכות מידע מאובטחות באמצעות משפחות בקרה. ארגונים פרטיים מצייתים ל-NIST SP 800-53 מכיוון ש-18 משפחות הבקרה שלו מסייעות להם לעמוד באתגר של בחירת בקרות אבטחה בסיסיות, מדיניות ונהלים.
הבטחת אבטחה ותאימות היא רק אחד מהיתרונות של תהליך ההתאמה האישית. עקביות ויישום חסכוני של בקרות על פני תשתית טכנולוגיית המידע שלך מקודמים על ידי זה. כדי להבטיח את הרלוונטיות שלו לתשתית ולסביבה שלך, הוא מעודד אותך לנתח כל בקרת אבטחה ופרטיות שתבחר.
השפעת האירועים על נתונים שונים ו מערכות מידע דורשות הערכת סיכונים מדוקדקת. ל-NIST 800-53 יש קטלוג של בקרות אבטחה, פרטיות ובקרות הדרכה. יש לבחור בקרות על סמך דרישות ההגנה של התוכן.
כפי שצוין קודם לכן, תקני עיבוד מידע פדרליים (FIPS) יכולים לעזור לבחור את הבקרות שהארגון שלך צריך מול שלוש רמות ההשפעה שנמצאות ב- FIPS.
רמות ההשפעה הללו הן:
בקרי NIST SP 800-53 מוקצים לחלקים הבאים:
| שם משפחה | ID | דוגמה לפקדים |
|---|---|---|
| בקרת גישה | AC | ניהול וניטור חשבונות |
| מודעות והדרכה | AT | מודעות המשתמש והדרכה בנושא איומי אבטחה |
| ביקורת ואחריות | AU | תוכן רישומי ביקורת - ניתוח ודיווח - שמירת רשומות |
| הערכה, הרשאה ומעקב | CA | חיבורים לרשתות ציבוריות ומערכות חיצוניות - בדיקת חדירה |
| ניהול תצורה | CM | מדיניות תוכנה מורשית |
| תכנון מגירה | CP | אתרי עיבוד ואחסון חלופיים - אסטרטגיות המשכיות עסקית |
| זיהוי ואימות | IA | מדיניות אימות עבור משתמשים, מכשירים ושירותים - ניהול אישורים |
| השתתפות אישית | IP | הסכמה ואישור פרטיות |
| תגובה לאירועי אבטחה | IR | הדרכה, ניטור ודיווח בתגובה לתקריות |
| תחזוקה | MA | תחזוקת מערכת, כוח אדם וכלי עבודה |
| הגנת מדיה | MP | גישה, אחסון, הובלה, חיטוי ושימוש במדיה |
| אישור פרטיות | PA | איסוף, שימוש ושיתוף של מידע אישי מזהה |
| הגנה פיזית וסביבה | PE | גישה פיזית - כוח חירום - הגנה מפני אש - בקרת טמפרטורה |
| תכנון | PL | הגבלות מדיה חברתית ורשתות - ארכיטקטורת אבטחה מעמיקה |
| ניהול תכנית | PM | אסטרטגיית ניהול סיכונים – תוכנית איומים פנימיים – ארכיטקטורה ארגונית |
| אבטחת כוח אדם | PS | מיון כוח אדם, סיום והעברת כוח אדם - כוח אדם חיצוני - סנקציות |
| הערכת סיכונים | RA | הערכת סיכונים – סריקת פגיעות – הערכת השפעת פרטיות |
| רכישת מערכות ושירותים | SA | מחזור חיים של פיתוח מערכת – תהליך רכישה – ניהול סיכונים בשרשרת האספקה |
| הגנה על מערכת ותקשורת | SC | חלוקת אפליקציות – הגנת גבולות – ניהול מפתחות קריפטוגרפיים |
| שלמות מערכת ומידע | SI | תיקון תקלות - ניטור והתראה של המערכת |
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
NIST SP 800-53 גרסה 1 שוחררה בדצמבר 2006 בשם "בקרות אבטחה מומלצות עבור מערכות מידע פדרליות."
NIST SP 800-53 גרסה 2 שוחררה בדצמבר 2007 בשם "בקרות אבטחה מומלצות עבור מערכות מידע פדרליות."
NIST SP 800-53 גרסה 3 שוחררה באוגוסט 2009 בשם "בקרות אבטחה מומלצות עבור מערכות מידע וארגונים פדרליים.". גרסה זו משלבת מספר המלצות מאנשים שהגיבו על גרסאות שפורסמו בעבר.
הומלץ להפחית במספר בקרות אבטחה עבור מערכות השפעה נמוכה. כמו כן, הצע קבוצה חדשה של בקרות ברמת האפליקציה וסמכויות גדולות יותר לארגונים לשדרג לאחור את הבקרה.
שינויים שהוכנסו על ידי גרסה 3:
NIST SP 800-53 גרסה 4 שוחררה לראשונה בפברואר 2012 בשם "בקרות אבטחה ופרטיות עבור מערכות מידע וארגונים פדרליים".
גרסה 4 כללה עדכונים לבקרות האבטחה, הנחיות משלימות ושיפורי בקרה. הוא גם עדכן את הנחיית התפירה וההשלמה המהווים מרכיבים בתהליך בחירת הבקרה.
NIST SP 800-53 גרסה 5 נידונה לראשונה באוגוסט 2017 והוסרה "פדרלי" החל מ- "בקרות אבטחה ופרטיות עבור מערכות מידע וארגונים פדרליים" לציין שניתן להחיל תקנות על כל הארגונים, ולא רק על ארגונים פדרליים. הגרסה הסופית של גרסה 5 שוחררה בספטמבר 2020.
כמה שינויים בגרסה זו כוללים:
NIST SP 800-53A מכיל קבוצה של נהלים לביצוע הערכות של בקרות אבטחה ובקרות פרטיות בתוך מערכות וארגונים פדרליים.
השמיים ניתן להתאים בקלות נהלים כדי לתת לארגונים את הגמישות לבצע הערכות בקרת אבטחה והערכות בקרת פרטיות בהתאם לסובלנות הסיכון המוצהרת של הארגון.
ניתנת הדרכה על ניתוח תוצאות הערכה, עם מידע על בניית תכניות אפקטיביות להערכת אבטחה ופרטיות.
NIST SP 800-53B מספק בקרות אבטחה בסיסיות ובקרות פרטיות עבור מערכות מידע.
ניתנת הדרכה בנושא ניתוח תוצאות הערכה ומידע על בניית אבטחה יעילה תוכניות הערכה.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
חובה למערכות מידע פדרליות להשתמש בתקן. כדי לשמור על הקשר, כל ארגון שעובד עם הממשל הפדרלי חייב לציית ל-NIST SP 800-53.
התקן מספק מסגרת לכל ארגון לפיתוח, תחזוקה ו לשפר את נוהלי אבטחת המידע שלהם, כולל ממשלות מדינה, מקומיות, שבטיות וחברות פרטיות.
סוכנויות פדרליות צריכות להיות תאימות לגרסה האחרונה של NIST SP 800-53 בתוך שנה אחת משחרור הגרסה החדשה, ומערכות חדשות צריכות להיות תואמות בזמן הפריסה.
NIST SP 800-53 מסייע לארגונים מכל הצורות והגדלים לציית לחוק המודרניזציה של אבטחת מידע הפדרלית (FISMA). קיים קטלוג נרחב של בקרות לחיזוק האבטחה.
מטרת ה-FISMA היא להגן מפני גישה לא מורשית, שימוש, חשיפה, שיבוש, שינוי והרס של הממשלה מידע ונכסים.
זוהי תפיסה שגויה נפוצה שארגון חייב לבחור בין NIST SP 800-53 או ISO 27001 ושאחד טוב יותר מהשני. שניהם יכולים לשמש בתוך ארגון ויש הרבה סינרגיות ביניהם. אבטחת מידע, הערכות סיכונים ותוכניות אבטחה הן תחת ההיקף של ISO 27001 ו-NIST SP 800-53.
השמיים מסגרות NIST נעשו בהתנדבות וגמישות. יש להם מספר עקרונות משותפים, כולל דרישה לתמיכת ההנהלה הבכירה, א תהליך שיפור מתמיד, וגישה מבוססת סיכונים, המאפשרת ליישם אותם בקלות בשילוב עם ISO 27001.
תהליך הערכת הסיכונים שצוין על ידי ISO 27001 נוקט בגישה דומה מאוד ל-NIST SP 800-53. בקרות המתאימות לסיכון, זיהוי סיכונים למידע של הארגון ומעקב אחר ביצועיהן נחוצים בשתיהן.
| ISO/IEC 27001 (ארגון התקינה הבינלאומי) | NIST (המכון הלאומי לתקנים וטכנולוגיה) |
|---|---|
| ISO 27001 הוא גישה מוכרת בינלאומית להקמת ותחזוקה של מערכת ניהול אבטחת מידע (ISMS). | יצירת NIST נועדה לסייע לסוכנויות וארגונים פדרליים בארה"ב לנהל טוב יותר את הסיכון שלהם. |
| ISO 27001 הוא פחות טכני עם דגש רב יותר על ניהול מבוסס סיכונים המספק המלצות לשיטות עבודה מומלצות לאבטחת כל המידע. | שלושת המרכיבים העיקריים של המסגרת הם הליבה, שכבות היישום והפרופילים, שהם הפעילויות הנחוצות למילוי כל פונקציה. |
| ישנן 14 קטגוריות בקרה ו-114 בקרות בנספח ISO 27001. | למסגרות NIST יש קטלוגים שונים של בקרה. |
| ישנם עשרה סעיפים ב-ISO 27001 המנחים ארגונים במסע ה-ISMS שלהם. | למסגרת NIST יש חמש פונקציות שניתן להשתמש בהן כדי לשנות ולהתאים אישית את בקרות אבטחת הסייבר. |
| גופי ביקורת והסמכה עצמאיים משמשים להבטחת תאימות ל-ISO 27001. | ל-NIST יש מנגנון אישור עצמי שהוא וולונטרי. |
ISMS.online מתפתח ללא הרף ל לענות על צורכי אבטחת המידע, הפרטיות וההמשכיות העסקית של ארגונים על פני הגלובוס. הפלטפורמה הפשוטה, המאובטחת ובת-הקיימא שלנו תומכת בהרבה יותר מסתם ISO/IEC 27001. כמו הפלטפורמה שלנו גדלה, כך גם רשימת התקנים והתקנות שאנו תומכים בהם.
בנוסף, הפלטפורמה שלנו מגיעה עם מסגרות שונות מובנות מראש שתוכלו לאמץ, להתאים או להוסיף אליהן בהתאם הצרכים הייחודיים של הארגון. לחלופין, אתה יכול בקלות לבנות משלך עבור פרויקטי תאימות מותאמים אישית.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
הנתונים ברשתות הפדרליות עשויים לכלול מידע רגיש החיוני לתפקוד השוטף של ממשלת ארה"ב.
זה יכול לכלול נתונים פרטיים של המשתמש, הידוע כמידע אישי מזהה, שחשוב גם להגן עליו המוגן על ידי NIST SP 800-171.
NIST SP 800-53 היא גישה שיטתית להגנה על מערכות מידע ומחשוב.
המערכות כוללות:
סוגי הנתונים שניתן להגן עליהם ישתנו בשל מגוון המערכות והארגונים.
בחירה והטמעה מתאימות של בקרות אבטחה ופרטיות עבור תאימות NIST 800-53 SP נעזרת בשיטות העבודה המומלצות הבאות.
NIST SP 800-53 שוחרר לראשונה בפברואר 2005. המכונה המתאימה כ"בקרות אבטחה מומלצות עבור מערכות מידע פדרליות".
