NIST SP 800-53 ist eine entscheidende Komponente der FISMA-Konformität. Sehr empfehlenswerte Sicherheitskontrollen für Bundesinformationssysteme und -organisationen.
Die NIST-Sonderveröffentlichung 800-53, bekannt als National Institute of Standards and Technology Special Publication 800-53, legt Standards und Richtlinien dafür fest, wie US-Regierungsbehörden entwerfen, implementieren und verwalten ihre Informationssicherheitssysteme und die auf ihren Systemen gespeicherten Daten.
Das Federal Information Security Management Act (FISMA) verlangt von NIST SP 800-53 die Festlegung von Standards und Richtlinien für Bundesbehörden und Auftragnehmer.
Auch NIST SP 800-53 spielt bei der Entwicklung eine Rolle Federal Information Processing Standards (FIPS) neben FISMA.
Da wir weiterhin eine wachsende Abhängigkeit vom Internet und eine größere Abhängigkeit von sehen Informationssysteme für die geschäftliche und persönliche Kommunikation, der Bedarf an Datenschutz und Sicherheit nimmt immer weiter zu.
ISMS.online kann Ihrem Unternehmen dabei helfen, NIST SP 800-53 einzuhalten und zu erreichen.
Die Richtlinien gelten für alle Elemente eines Informationssystems, das Bundesinformationen speichert, verarbeitet oder übermittelt.
Die Richtlinien umfassen Bereiche wie Mobil- und Cloud-Computing, Insider-Bedrohungen, Anwendungssicherheit, Sicherheit in der Lieferkette und wurden im Hinblick auf die sich weiterentwickelnde Natur der Informationssicherheit entwickelt.
NIST SP 800-533 deckt die Schritte im Risikomanagement-Framework ab, die sich mit der Auswahl der Sicherheitskontrollen für Bundesinformationssysteme gemäß den Sicherheitsanforderungen in FIPS befassen.
Die Sicherheitsregeln umfassen Bereiche wie Zutrittskontrolle, Reaktion auf Vorfälle, Geschäftskontinuität und Notfallwiederherstellung. Ein wichtiger Teil des Bundes Bewertungs- und Autorisierungsprozess von Informationssystemen wählt und implementiert eine Teilmenge der Kontrollen aus dem Sicherheitskontrollkatalog, NIST 800-53, Anhang F.
Die verwaltungstechnischen, betrieblichen und technischen Schutzmaßnahmen sind für einen vorgeschrieben Informationssystem zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit des Systems und seiner Informationen.
Die Kontrollen können angepasst und angepasst werden, um besser zu den Zielen und Umgebungen der Organisation zu passen.
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Der Standard bietet mehr sichere Informationssysteme über Kontrollfamilien. Private Organisationen halten sich an NIST SP 800-53, da die 18 Kontrollfamilien ihnen dabei helfen, die Herausforderung zu meistern, geeignete grundlegende Sicherheitskontrollen, -richtlinien und -verfahren auszuwählen.
Die Gewährleistung von Sicherheit und Compliance ist nur einer der Vorteile des Anpassungsprozesses. Dadurch wird die Konsistenz und kostengünstige Anwendung von Kontrollen in Ihrer gesamten Informationstechnologie-Infrastruktur gefördert. Um sicherzustellen, dass es für Ihre Infrastruktur und Umgebung relevant ist, werden Sie dazu aufgefordert, jede von Ihnen ausgewählte Sicherheits- und Datenschutzkontrolle zu analysieren.
Die Auswirkungen von Vorfällen auf verschiedene Daten und Informationssysteme erfordern eine sorgfältige Risikobewertung. NIST 800-53 verfügt über einen Katalog von Sicherheits-, Datenschutz- und Anleitungskontrollen. Die Auswahl der Kontrollen sollte auf den Schutzanforderungen des Inhalts basieren.
Wie bereits erwähnt, können Ihnen die Federal Information Processing Standards (FIPS) dabei helfen, die Kontrollen auszuwählen, die Ihr Unternehmen im Hinblick auf die drei Auswirkungsstufen von FIPS benötigt.
Diese Auswirkungsstufen sind:
NIST SP 800-53-Kontrollen werden wie folgt zugeordnet:
Familienname | ID | Beispiel für Kontrollen |
---|---|---|
Access Control | AC | Kontoverwaltung und -überwachung |
Bewusstsein und Schulung | AT | Benutzerbewusstsein und Schulung zu Sicherheitsbedrohungen |
Prüfung und Rechenschaftspflicht | AU | Inhalt der Auditaufzeichnungen – Analyse und Berichterstattung – Aufbewahrung von Aufzeichnungen |
Bewertung, Autorisierung und Überwachung | CA | Verbindungen zu öffentlichen Netzwerken und externen Systemen – Penetrationstests |
Configuration Management | CM | Autorisierte Softwarerichtlinien |
Notfallplanung | CP | Alternative Verarbeitungs- und Speicherstandorte – Strategien zur Geschäftskontinuität |
Identifikation und Authentifizierung | IA | Authentifizierungsrichtlinien für Benutzer, Geräte und Dienste – Anmeldeinformationsverwaltung |
Individuelle Teilnahme | IP | Einwilligung und Datenschutzautorisierung |
Vorfallreaktion | IR | Schulung, Überwachung und Berichterstattung zur Reaktion auf Vorfälle |
Wartung | MA | System-, Personal- und Werkzeugwartung |
Medienschutz | MP | Zugang, Lagerung, Transport, Desinfektion und Nutzung von Medien |
Datenschutzautorisierung | PA | Erhebung, Nutzung und Weitergabe personenbezogener Daten |
Physischer und Umweltschutz | PE | Physischer Zugang – Notstrom – Brandschutz – Temperaturkontrolle |
Planung | PL | Einschränkungen für soziale Medien und Netzwerke – Umfassende Sicherheitsarchitektur |
Programm-Management | PM | Risikomanagementstrategie – Insider-Bedrohungsprogramm – Unternehmensarchitektur |
Personalsicherheit | PS | Personalüberprüfung, Kündigung & Versetzung – Externes Personal – Sanktionen |
Risk Assessment | RA | Risikobewertung – Schwachstellenscan – Datenschutz-Folgenabschätzung |
Erwerb von Systemen und Dienstleistungen | SA | Lebenszyklus der Systementwicklung – Beschaffungsprozess – Risikomanagement der Lieferkette |
System- und Kommunikationsschutz | SC | Anwendungspartitionierung – Grenzschutz – Verwaltung kryptografischer Schlüssel |
System- und Informationsintegrität | SI | Fehlerbeseitigung – Systemüberwachung und Alarmierung |
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
NIST SP 800-53 Revision 1 wurde im Dezember 2006 veröffentlicht als „Empfohlene Sicherheitskontrollen für Bundesinformationssysteme.“
NIST SP 800-53 Revision 2 wurde im Dezember 2007 veröffentlicht als „Empfohlene Sicherheitskontrollen für Bundesinformationssysteme.“
NIST SP 800-53 Revision 3 wurde im August 2009 veröffentlicht als „Empfohlene Sicherheitskontrollen für Bundesinformationssysteme und -organisationen.“. Diese Version enthält mehrere Empfehlungen von Personen, die zuvor veröffentlichte Versionen kommentiert haben.
Es wurde eine Reduzierung der Anzahl empfohlen Sicherheitskontrollen für Systeme mit geringen Auswirkungen. Schlagen Sie außerdem einen neuen Satz von Kontrollen auf Anwendungsebene und größere Befugnisse für Unternehmen zur Herabstufung von Kontrollen vor.
Durch Revision 3 eingeführte Änderungen:
NIST SP 800-53 Revision 4 wurde ursprünglich im Februar 2012 veröffentlicht als „Sicherheits- und Datenschutzkontrollen für Bundesinformationssysteme und -organisationen“.
Revision 4 umfasste Aktualisierungen der Sicherheitskontrollen, zusätzliche Leitlinien und Kontrollverbesserungen. Außerdem wurden die Anpassungs- und Ergänzungsleitfäden aktualisiert, die Elemente im Kontrollauswahlprozess bilden.
NIST SP 800-53 Revision 5 wurde erstmals im August 2017 diskutiert und entfernt „föderal“ für „Sicherheits- und Datenschutzkontrollen für Bundesinformationssysteme und -organisationen“ um anzuzeigen, dass Vorschriften auf alle Organisationen und nicht nur auf Bundesorganisationen angewendet werden können. Die endgültige Version von Revision 5 wurde im September 2020 veröffentlicht.
Zu den Änderungen in dieser Version gehören:
NIST SP 800-53A enthält eine Reihe von Verfahren zur Durchführung von Bewertungen von Sicherheitskontrollen und Datenschutzkontrollen innerhalb föderaler Systeme und Organisationen.
Das Verfahren können einfach angepasst werden, um Organisationen die nötige Flexibilität zu geben Durchführung von Sicherheitskontrollbewertungen und Datenschutzkontrollbewertungen im Einklang mit der angegebenen Risikotoleranz der Organisation.
Es werden Anleitungen zur Analyse der Bewertungsergebnisse sowie Informationen zur Erstellung wirksamer Sicherheits- und Datenschutzbewertungspläne bereitgestellt.
NIST SP 800-53B bietet grundlegende Sicherheitskontrollen und Datenschutzkontrollen für Informationssysteme.
Es werden Anleitungen zur Analyse gegeben Bewertungsergebnisse und Informationen zum Aufbau effektiver Sicherheit Bewertungspläne.
Es trägt dazu bei, unser Verhalten auf eine positive Art und Weise zu steuern, die für uns funktioniert
& unsere Kultur.
Wir sind kostengünstig und schnell
Die Verwendung des Standards ist für Bundesinformationssysteme verpflichtend. Um die Beziehung aufrechtzuerhalten, muss jede Organisation, die mit der Bundesregierung zusammenarbeitet, NIST SP 800-53 einhalten.
Der Standard bietet einen Rahmen für jede Organisation zur Entwicklung, Wartung und ihre Informationssicherheitspraktiken verbessern, einschließlich staatlicher, lokaler, Stammesregierungen und privater Unternehmen.
Bundesbehörden müssen innerhalb eines Jahres nach Veröffentlichung der neuen Revision mit der neuesten Revision von NIST SP 800-53 konform sein, und neue Systeme müssen zum Zeitpunkt der Bereitstellung konform sein.
NIST SP 800-53 hilft Unternehmen jeder Art und Größe bei der Einhaltung des Federal Information Security Modernization Act (FISMA). Zur Stärkung der Sicherheit gibt es einen umfangreichen Katalog an Kontrollen.
Der Zweck des FISMA besteht darin, vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung und Zerstörung der Regierung zu schützen Informationen und Vermögenswerte.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Es ist ein weit verbreitetes Missverständnis, dass eine Organisation zwischen NIST SP 800-53 oder ISO 27001 wählen muss und dass das eine besser ist als das andere. Beide können innerhalb einer Organisation verwendet werden und bieten viele Synergien zwischen ihnen. Datensicherheit, Risikobewertungen und Sicherheitsprogramme fallen sowohl in den Geltungsbereich von ISO 27001 als auch von NIST SP 800-53.
Das NIST-Frameworks wurden freiwillig und flexibel gestaltet. Sie haben mehrere gemeinsame Grundsätze, einschließlich der Forderung nach Unterstützung durch die Geschäftsleitung, a kontinuierlicher Verbesserungsprozessund einen risikobasierten Ansatz, der eine einfache Umsetzung in Verbindung mit ISO 27001 ermöglicht.
Der in ISO 27001 festgelegte Risikobewertungsprozess verfolgt einen sehr ähnlichen Ansatz wie NIST SP 800-53. In beiden Fällen sind dem Risiko angemessene Kontrollen erforderlich, die Risiken für die Informationen der Organisation identifizieren und deren Leistung überwachen.
ISO/IEC 27001 (Internationale Organisation für Normung) | NIST (Nationales Institut für Standards und Technologie) |
---|---|
ISO 27001 ist ein international anerkannter Ansatz zur Einrichtung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS). | Die Gründung des NIST diente dazu, US-Bundesbehörden und -organisationen dabei zu helfen, ihre Risiken besser zu verwalten. |
ISO 27001 ist weniger technisch und legt mehr Wert auf risikobasiertes Management, das Best-Practice-Empfehlungen für die Sicherung aller Informationen bietet. | Die drei Hauptkomponenten des Frameworks sind der Kern, die Implementierungsebenen und die Profile, also die Aktivitäten, die zur Erfüllung jeder Funktion erforderlich sind. |
Im Anhang A der ISO 14 gibt es 114 Kontrollkategorien und 27001 Kontrollen. | NIST-Frameworks verfügen über verschiedene Kontrollkataloge. |
Es gibt zehn Klauseln in der ISO 27001, die Organisationen auf ihrem ISMS-Weg begleiten. | Das NIST-Framework verfügt über fünf Funktionen, mit denen Cybersicherheitskontrollen geändert und angepasst werden können. |
Zur Sicherstellung der ISO 27001-Konformität werden unabhängige Audit- und Zertifizierungsstellen eingesetzt. | NIST verfügt über einen freiwilligen Selbstzertifizierungsmechanismus. |
ISMS.online entwickelt sich ständig weiter Erfüllen Sie die Anforderungen von Unternehmen an Informationssicherheit, Datenschutz und Geschäftskontinuität über den Globus. Unsere vereinfachte, sichere und nachhaltige Plattform unterstützt weit mehr als nur ISO/IEC 27001. As unsere Plattform wächst, und damit auch die Liste der von uns unterstützten Standards und Vorschriften.
Darüber hinaus verfügt unsere Plattform über verschiedene vorgefertigte Frameworks, die Sie je nach Bedarf übernehmen, anpassen oder ergänzen können die individuellen Bedürfnisse der Organisation. Oder Sie können ganz einfach Ihre eigene Lösung für maßgeschneiderte Compliance-Projekte erstellen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Laden Sie unseren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter
Die Daten in Bundesnetzwerken können sensible Informationen enthalten, die für die laufende Funktion der US-Regierung unerlässlich sind.
Dazu können private Daten des Benutzers gehören, sogenannte personenbezogene Daten, deren Schutz ebenfalls wichtig ist und die durch NIST SP 800-171 geschützt sind.
NIST SP 800-53 ist ein systematischer Ansatz zum Schutz von Informations- und Computersystemen.
Zu den Systemen gehören:
Die Arten von Daten, die geschützt werden können, variieren aufgrund der Vielfalt der Systeme und Organisationen.
Die folgenden Best Practices helfen bei der Auswahl und Implementierung geeigneter Sicherheits- und Datenschutzkontrollen zur Einhaltung von NIST 800-53 SP.
NIST SP 800-53 wurde erstmals im Februar 2005 veröffentlicht. Der treffende Name lautet „Empfohlene Sicherheitskontrollen für Bundesinformationssysteme“.