NIST SP 800-53 is een cruciaal onderdeel van FISMA-compliance. Sterk aanbevolen beveiligingscontroles voor federale informatiesystemen en organisaties.
NIST Special Publication 800-53, bekend als de National Institute of Standards and Technology Special Publication 800-53, zet normen en richtlijnen uiteen voor de manier waarop Amerikaanse overheidsinstanties moeten ontwerpen, implementeren, beheren van hun informatiebeveiligingssystemen en de gegevens die op hun systemen zijn opgeslagen.
De Federale wet op het beheer van informatiebeveiliging (FISMA) vereist dat NIST SP 800-53 normen en richtlijnen vaststelt voor federale instanties en aannemers.
NIST SP 800-53 speelt ook een rol bij de ontwikkeling Federale normen voor informatieverwerking (FIPS) naast FISMA.
Terwijl we een groeiende afhankelijkheid van internet blijven zien en een grotere afhankelijkheid van internet informatiesystemen voor zakelijke en persoonlijke communicatieneemt de behoefte aan informatieprivacy en -beveiliging alleen maar toe.
ISMS.online kan uw organisatie helpen om NIST SP 800-53 na te leven en te behalen.
De richtlijnen zijn van toepassing op alle elementen van een informatiesysteem dat federale informatie opslaat, verwerkt of verzendt.
De richtlijnen hebben betrekking op gebieden als mobiel en cloud computing, bedreigingen van binnenuit, applicatiebeveiliging, beveiliging van de toeleveringsketen en zijn gemaakt onder de veranderende aard van informatiebeveiliging.
NIST SP 800-533 behandelt de stappen in het risicobeheerraamwerk die betrekking hebben op de selectie van beveiligingscontroles voor federale informatiesystemen volgens de beveiligingsvereisten in FIPS.
De beveiligingsregels hebben betrekking op gebieden zoals toegangscontrole, respons op incidenten, bedrijfscontinuïteit en herstel na rampen. Een essentieel onderdeel van federaal beoordelings- en autorisatieproces van informatiesystemen selecteert en implementeert een subset van de controles uit de beveiligingscontrolecatalogus, NIST 800-53, bijlage F.
Voor een informatie Systeem om de vertrouwelijkheid, integriteit en beschikbaarheid van het systeem en de informatie ervan te beschermen.
De bedieningselementen kunnen worden aangepast en afgestemd om beter aan te sluiten bij de doelstellingen en omgevingen van de organisatie.
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
De standaard biedt meer beveiligde informatiesystemen via controlefamilies. Particuliere organisaties voldoen aan NIST SP 800-53 omdat de 18 controlefamilies hen helpen bij het aangaan van de uitdaging van het selecteren van geschikte basisveiligheidscontroles, beleid en procedures.
Het garanderen van veiligheid en compliance is slechts een van de voordelen van het aanpassingsproces. Consistentie en kosteneffectieve toepassing van controles in uw informatietechnologie-infrastructuur worden hierdoor bevorderd. Om de relevantie ervan voor uw infrastructuur en omgeving te garanderen, moedigt het u aan om elke beveiligings- en privacycontrole die u selecteert te analyseren.
De impact van incidenten op diverse data en informatiesystemen vereisen een zorgvuldige risicobeoordeling. NIST 800-53 heeft een catalogus met beveiligings-, privacy- en begeleidingsfuncties. Controles moeten worden gekozen op basis van de beschermingsvereisten van de inhoud.
Zoals eerder vermeld, kunnen Federal Information Processing Standards (FIPS) u helpen bij het kiezen van de controles die uw organisatie nodig heeft op basis van de drie impactniveaus die in FIPS voorkomen.
Deze impactniveaus zijn:
NIST SP 800-53-besturingselementen zijn als volgt toegewezen:
| Achternaam | ID | Voorbeeld van bedieningselementen |
|---|---|---|
| Access Controle | AC | Accountbeheer en monitoring |
| Bewustwording en opleiding | AT | Bewustmaking van gebruikers en training over veiligheidsbedreigingen |
| Audit en verantwoording | AU | Inhoud van auditgegevens – Analyse en rapportage – Bewaring van gegevens |
| Beoordeling, autorisatie en monitoring | CA | Verbindingen met openbare netwerken en externe systemen – Penetratietesten |
| Configuration Management | CM | Geautoriseerd softwarebeleid |
| Contingency Planning | CP | Alternatieve verwerkings- en opslaglocaties – Strategieën voor bedrijfscontinuïteit |
| Identificatie en authenticatie | IA | Authenticatiebeleid voor gebruikers, apparaten en services – beheer van inloggegevens |
| Individuele deelname | IP | Toestemming en privacyautorisatie |
| Reactie op incidenten | IR | Training, monitoring en rapportage van incidentrespons |
| Onderhoud | MA | Systeem-, personeels- en gereedschapsonderhoud |
| Mediabescherming | MP | Toegang, opslag, transport, sanering en gebruik van media |
| Privacy-autorisatie | PA | Verzamelen, gebruiken en delen van persoonlijk identificeerbare informatie |
| Fysieke en milieubescherming | PE | Fysieke toegang – Noodstroomvoorziening – Brandbeveiliging – Temperatuurbeheersing |
| Planning | PL | Beperkingen op sociale media en netwerken – Een diepgaande beveiligingsarchitectuur |
| Program Management | PM | Risicobeheerstrategie – Insider-dreigingsprogramma – Enterprise-architectuur |
| Personeelsbeveiliging | PS | Personeelsscreening, ontslag & overplaatsing – Extern personeel – Sancties |
| Risicobeoordeling | RA | Risicobeoordeling – Scannen van kwetsbaarheden – Beoordeling van de impact op de privacy |
| Acquisitie van systemen en services | SA | Levenscyclus van systeemontwikkeling – Acquisitieproces – Risicobeheer van de toeleveringsketen |
| Systeem- en communicatiebeveiliging | SC | Partitionering van applicaties – Grensbescherming – Beheer van cryptografische sleutels |
| Systeem- en informatie-integriteit | SI | Foutherstel – Systeemmonitoring en waarschuwingen |
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
NIST SP 800-53 Revisie 1 werd in december 2006 uitgebracht als "Aanbevolen beveiligingscontroles voor federale informatiesystemen."
NIST SP 800-53 Revisie 2 werd in december 2007 uitgebracht als "Aanbevolen beveiligingscontroles voor federale informatiesystemen."
NIST SP 800-53 Revisie 3 werd in augustus 2009 uitgebracht als “Aanbevolen beveiligingscontroles voor federale informatiesystemen en organisaties.”. Deze versie bevat verschillende aanbevelingen van mensen die commentaar hebben geleverd op eerder gepubliceerde versies.
Er werd een vermindering van het aantal aanbevolen beveiligingscontroles voor systemen met een lage impact. Stel ook een nieuwe reeks controles op applicatieniveau voor en meer bevoegdheden voor organisaties om controles te downgraden.
Wijzigingen aangebracht door revisie 3:
NIST SP 800-53 Revisie 4 werd aanvankelijk in februari 2012 uitgebracht als “Beveiligings- en privacycontroles voor federale informatiesystemen en organisaties”.
Revisie 4 bevatte updates van beveiligingscontroles, aanvullende richtlijnen en controleverbeteringen. Ook werden de richtlijnen voor maatwerk en aanvulling bijgewerkt, die elementen vormen in het controleselectieproces.
NIST SP 800-53 Revisie 5 werd aanvankelijk besproken in augustus 2017 en verwijderd “federaal” oppompen van “Beveiligings- en privacycontroles voor federale informatiesystemen en organisaties” om aan te geven dat regelgeving op alle organisaties kan worden toegepast, in plaats van alleen op federale organisaties. De definitieve versie van Revisie 5 is in september 2020 uitgebracht.
Enkele wijzigingen in deze versie zijn onder meer:
NIST SP 800-53A bevat een reeks procedures voor het uitvoeren van beoordelingen van beveiligingscontroles en privacycontroles binnen federale systemen en organisaties.
De procedures kunnen eenvoudig worden aangepast om organisaties de flexibiliteit te geven om veiligheidscontrolebeoordelingen en privacycontrolebeoordelingen uit te voeren in overeenstemming met de aangegeven risicotolerantie van de organisatie.
Er worden richtlijnen gegeven voor het analyseren van de beoordelingsresultaten, met informatie over het opstellen van effectieve beveiligings- en privacybeoordelingsplannen.
NIST SP 800-53B biedt basisbeveiligingscontroles en privacycontroles voor informatiesystemen.
Er wordt begeleiding gegeven bij het analyseren beoordelingsresultaten en informatie over het opbouwen van effectieve beveiliging beoordelingsplannen.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Het is verplicht voor federale informatiesystemen om de standaard te gebruiken. Om de relatie in stand te houden, moet elke organisatie die met de federale overheid samenwerkt, voldoen aan NIST SP 800-53.
De standaard biedt een raamwerk voor elke organisatie om te ontwikkelen, te onderhouden en te onderhouden hun informatiebeveiligingspraktijken te verbeteren, inclusief staats-, lokale, tribale overheden en particuliere bedrijven.
Federale agentschappen moeten binnen een jaar na de release van de nieuwe herziening voldoen aan de laatste herziening van NIST SP 800-53, en nieuwe systemen moeten voldoen aan de eisen op het moment van implementatie.
NIST SP 800-53 helpt organisaties in alle soorten en maten te voldoen aan de Federal Information Security Modernization Act (FISMA). Er is een uitgebreide catalogus met controles om de veiligheid te versterken.
Het doel van de FISMA is het beschermen tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging en vernietiging van de overheid informatie en bezittingen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Het is een veel voorkomende misvatting dat een organisatie moet kiezen tussen NIST SP 800-53 of ISO 27001 en dat de een beter is dan de ander. Beiden kunnen binnen een organisatie worden gebruikt en hebben veel synergieën tussen hen. Gegevensbeveiliging, risicobeoordelingen en beveiligingsprogramma's vallen onder de reikwijdte van zowel ISO 27001 als NIST SP 800-53.
De NIST-frameworks werden vrijwillig en flexibel gemaakt. Ze hebben verschillende gemeenschappelijke principes, waaronder het vereisen van ondersteuning door het senior management continu verbeteringsprocesen een risicogebaseerde aanpak, waardoor deze eenvoudig kunnen worden geïmplementeerd in combinatie met ISO 27001.
Het door ISO 27001 gespecificeerde risicobeoordelingsproces volgt een aanpak die sterk lijkt op die van NIST SP 800-53. Voor beide zijn controles nodig die zijn afgestemd op het risico, het identificeren van risico's voor de informatie van de organisatie en het monitoren van de prestaties ervan.
| ISO/IEC 27001 (Internationale Organisatie voor Standaardisatie) | NIST (Nationaal instituut voor normen en technologie) |
|---|---|
| ISO 27001 is een internationaal erkende aanpak voor het opzetten en onderhouden van een informatiebeveiligingsmanagementsysteem (ISMS). | De oprichting van NIST was bedoeld om Amerikaanse federale agentschappen en organisaties te helpen hun risico's beter te beheren. |
| ISO 27001 is minder technisch en legt meer nadruk op risicogebaseerd beheer, dat aanbevelingen voor best practices biedt voor het beveiligen van alle informatie. | De drie hoofdcomponenten van het raamwerk zijn de kern, implementatielagen en profielen, de activiteiten die nodig zijn om elke functie te vervullen. |
| Er zijn 14 controlecategorieën en 114 controles in ISO 27001 bijlage A. | NIST-frameworks hebben verschillende controlecatalogi. |
| Er zijn tien clausules in ISO 27001 die organisaties begeleiden tijdens hun ISMS-traject. | Het NIST-framework heeft vijf functies die kunnen worden gebruikt om cyberbeveiligingscontroles te wijzigen en aan te passen. |
| Er wordt gebruik gemaakt van onafhankelijke audit- en certificeringsinstanties om de naleving van ISO 27001 te garanderen. | NIST heeft een zelfcertificeringsmechanisme dat vrijwillig is. |
ISMS.online evolueert voortdurend naar voldoen aan de informatiebeveiligings-, privacy- en bedrijfscontinuïteitsbehoeften van organisaties over de wereld. Ons vereenvoudigde, veilige, duurzame platform ondersteunt veel meer dan alleen ISO/IEC 27001. As ons platform groeit, en dat geldt ook voor de lijst met normen en voorschriften die wij ondersteunen.
Bovendien wordt ons platform geleverd met verschillende vooraf gebouwde raamwerken die u kunt overnemen, aanpassen of toevoegen, afhankelijk van uw wensen unieke behoeften van de organisatie. Of u kunt eenvoudig uw eigen systeem bouwen voor op maat gemaakte complianceprojecten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Download onze gratis gids voor snelle en duurzame certificering
De gegevens op federale netwerken kunnen gevoelige informatie bevatten die essentieel is voor het functioneren van de Amerikaanse overheid.
Het kan gaan om privégegevens van gebruikers, bekend als persoonlijk identificeerbare informatie, die ook belangrijk is om te beschermen en die worden beschermd door NIST SP 800-171.
NIST SP 800-53 is een systematische aanpak voor het beschermen van informatie- en computersystemen.
De systemen omvatten:
De soorten gegevens die kunnen worden beschermd, zullen variëren vanwege de diversiteit aan systemen en organisaties.
Het selecteren en implementeren van geschikte beveiligings- en privacycontroles voor naleving van NIST 800-53 SP wordt geholpen door de volgende best practices.
NIST SP 800-53 werd voor het eerst uitgebracht in februari 2005. Toepasselijk genoemd als “Aanbevolen beveiligingscontroles voor federale informatiesystemen.”
