NIST opdaterer og udvider sit flagskibskatalog over sikkerhedsforanstaltninger til informationssystemer

Når din organisation har dannet en generel plan for håndtering af dens spørgsmål om cybersikkerhed og risikostyring af risici, den har brug for særlige state-of-the-art værktøjer til at gøre denne plan til virkelighed. Computersikkerheds- og fortrolighedseksperter ved National Institute of Standards and Technology (NIST) har svaret med en opdateret værktøjskasse med sikkerhedsforanstaltninger til beskyttelse af en organisations drift og aktiver, samt individers personlige privatliv.

NIST Draft Special Publication (SP) 800-53 Revision 5, Sikkerhed og fortrolighedskontrol for informationssystemer og organisationer, er en samling af hundredvis af specifikke foranstaltninger til styrkelse af systemerne, komponentprodukter og tjenester, der ligger til grund for landets virksomheder, regering og kritisk infrastruktur. En af NISTs flagskibs risikostyringspublikationer, dokumentet undergår sin første opdatering i syv år, og agenturet accepterer offentlige kommentarer til udkastet indtil den 15. maj, 2020.

Publikationen tilbyder sikkerhedsforanstaltninger for alle typer platforme, fra almindelige computere til industrielle kontrolsystemer og tingenes internet (IoT) -enheder. Dens værktøjer er beregnet til et bredt publikum af specialister, fra sikkerhedseksperter til systemudviklere til cloud computing -udbydere.

"Vores mål er at gøre de informationssystemer, vi er afhængige af, mere modstandsdygtige over for cyberangreb, sagde NISTs Ron Ross, en af ​​publikationens forfattere. "Vi ønsker at begrænse skaden fra disse angreb, når de sker, gøre systemerne cyber-modstandsdygtige, og samtidig beskytte oplysningernes sikkerhed og fortrolighed. "

Beskyttelsesforanstaltninger, eller "kontroller", som de kaldes i titlen, kommer i forskellige former, fra tekniske løsninger (f.eks. kryptering) til operationelle strategier (f.eks. planer for cyberangreb -hændelsesrespons) til ledelsesmetoder (f.eks. gennemførelse af en risikovurdering). Alt i alt, publikationen organiserer hundredvis af kontroller i 20 beslægtede grupper.

Brugen af ​​disse kontroller er obligatorisk i føderale informationssystemer, men kontrollerne kan skræddersyes selektivt og implementeres inden for enhver organisation. Sammen med andre understøttende NIST -publikationer, kataloget er designet til at hjælpe føderale organisationer med at identificere de nødvendige kontroller for at opfylde sikkerhedskravene og fortrolighedskravene i Federal Information Security Management Act (FISMA), fortrolighedsloven af ​​1974, Kontor for forvaltning og budgetpolitikker og visse føderale informationsbehandlingsstandarder (FIPS).

Hvordan kan en organisation indarbejde dette katalog i sin bredere indsats for at øge sikkerhed og privatliv? Ross sagde, at det første trin er at vurdere de risici, en organisation står over for ved hjælp af værktøjer som NIST's Risk Management Framework, Cybersecurity Framework og Privacy Framework. Gennem brugen af ​​disse rammer, organisationen kan identificere, hvor den har brug for beskyttelsesforanstaltninger, og derefter kan det vende sig til kataloget for at finde specifikke løsninger.

"En organisation kan bruge dette katalog sammen med enhver tilgang til risikostyring, "Sagde Ross." Vi henviser til andre NIST -publikationer for læsernes bekvemmelighed, men vi har designet det til at være agnostisk. "

Den femte revision indeholder en række forbedringer i forhold til SP 800-53's tidligere versioner:

• En komplet integration af privatlivets fred i kontrollerne. Der henviser til, at i tidligere udgaver, fortrolighed blev sendt til et tillæg, her er kontrolelementerne en del af det samlede katalog, hvilket skulle gøre livet lettere for brugere af NIST Privacy Framework.
• En ny familie af supply chain -kontroller. Forsyningskæden er et af de mest sårbare aspekter ved global handel, og beskyttelse af det har været målet med andre nylige NIST -bestræbelser. Tidligere udgaver havde en enkelt forsyningskæde kontrol, men Revision 5 har en hel dedikeret kontrolfamilie (kapitel 3.20).
• Ny, state-of-the-practice-kontroller-f.eks. dem, der understøtter cyber-robusthed og sikkert systemdesign-alt baseret på de nyeste trusselsinformation og cyberangreb.

Opdateringen er nødvendig for at hjælpe organisationer med at opretholde deres forsvar i lyset af et stadigt skiftende trusselslandskab.

"Revision 5 er vigtig, fordi trusler, sårbarheder og teknologi udvikler sig dagligt, sagde Dominic Cussatt, hovedassistent assisterende sekretær og stedfortrædende informationschef for Department of Veterans Affairs. "Det er kritisk for os, at kontrollerne forbliver opdaterede og smidige."

NIST planlægger en webcast i fremtiden for at hjælpe brugerne med at introducere sikkerhedsforanstaltningerne i samlingen.

"Vi mener, at dette er et sæt kontroller i verdensklasse, "Ross sagde." Det giver det største antal sikkerhedsforanstaltninger for at beskytte de kritiske aktiver, vi bruger hver dag. "

Denne historie er genudgivet med tilladelse fra NIST. Læs den originale historie her.