万众瞩目、七年等一回的NIST SP 800-53 第5版(信息系统和组织的安全和隐私控制)终于在2020年9月23日正式发布。

SP 800-53一直被视作NIST信息安全的支撑性文件。而本次的历史性更新,直接产生了第一个全面的安全和隐私控制目录

下载地址:https://doi.org/10.6028/NIST.SP.800-53r5

1、历史意义

NIST旗舰性的安全和隐私指南文件SP 800-53《信息系统和组织的安全和隐私控制》的上一次重大更新已经过去了七年。自2013年以来,该出版物已从NIST网站访问或下载数百万次

2020年9月,NIST公布了其安全和隐私控制目录的历史性更新,它将在21世纪为保护组织和系统(包括的个人隐私)奠定坚实的基础。

NIST SP 800-53 版本5不是一个小的更新,而是一个完整的更新,解决了结构问题和技术内容。这项更新是多年来的努力,旨在开发第一个全面的安全和隐私控制目录,可用于管理任何部门和规模的组织的风险,以及从超级计算机到工业控制系统到物联网(IoT)设备的所有类型的系统的风险。这些控制措施提供了一种积极主动和系统性的方法,以确保关键的系统、组件和服务具有足够的可信度,并具有必要的恢复力,以维护美国的经济和国家安全利益。

2、最重要的变化

SP 800-53版本5最重要的变化包括

  • 使得控制是基于成果(Making controls outcome-based):版本5通过从控制说明(control statement)中删除负责满足控制的实体(即信息系统、组织)来实现这一点,从而将重点放在了通过控制的应用来实现的保护成果(protection outcome)上。注意,为了保持历史连续性,附录C(控制的总结)现在包括一个“由[系统/组织]实现”的列。

  • 合并控制目录:信息安全和隐私控制现在已集成到系统和组织的一个无缝、整合的控制目录中。版本4附录J中的隐私控制已并入一个新的隐私系列和现有的计划管理(Program Management)系列。一些隐私控制也被纳入当前的安全控制中,使得这些控制既能为安全和隐私社区服务,又能取得更有效的控制实现。

  • 整合供应链风险管理:版本5建立了一个新的供应链风险管理(SCRM)控制系列,并将SCRM方面整合到其他的控制系列中,以帮助保护作为关键系统和基础设施一部分的系统组件、产品和服务。SCRM控制有助于确保在整个系统开发生命周期以及国家和国际供应链中解决安全和隐私要求、威胁和其他问题。

  • 将控制的选择过程与控制本身分离:拥有一个统一的、独立的控件目录,可允许不同的利益团体使用这些控制,包括系统工程师、安全架构师、软件开发人员、企业架构师、系统安全和隐私工程师、任务或业务所有者。这样一来,这些利益团体就可以在交叉点上更好地协作,或者根据需要使用个性化的流程来选择控制,以管理与其任务和业务需求以及内部组织策略和程序相一致的风险。

  • 控制基线和裁剪指南转移到单独的出版物控制基线已移到新的NISTSP 800-53B《信息系统和组织的控制基线》。三条安全基线一条隐私基线适用于联邦机构,反映了《联邦信息安全现代化法案(FISMA)》和《管理和预算办公室(OMB)A-130号通知》的具体要求。其他组织可根据其任务或业务需要和组织风险承受能力,选择制定自己的定制基线。

  • 改进对内容关系的描述:版本5澄清了要求和控制之间的关系,以及安全和隐私控制之间的关系。这些关系对于理解您是在企业级选择和实施控制,还是作为基于生命周期的系统工程过程的一部分,是很重要的。

  • 增加了新的可实践的控制:随着网络威胁的迅速发展,需要新的保障措施和对策来保护组织的关键和高价值资产,包括个人隐私和个人识别信息(PII)。版本5中的新控制,基于最新的威胁情报和网络攻击数据(例如,支持网络弹性、安全系统设计、安全和隐私治理、问责的控制)。

SP 800-53版本5中的控制的结构如下图所示:

图1-控制的结构

3、待发布的附加材料

额外的附加材料也将立即或在不久的将来提供,包括:

  • 安全和隐私控制协作索引模板。

  • SP800-53版本4和版本5的比较

  • 网络安全和隐私框架的控制映

  • 到OMB A-130通告之隐私要求的控制映射

  • 控制的关键词。

  • SP 800-53版本5中控制的OSCAL(开放式安全控制评估语言)版本

  • SP 800-53版本5中控制的电子表格。

4、相关框架和自动化计划

除了作为世界上第一个合并的安全和隐私控制目录之外,NIST还提供了多种框架来帮助选择和实施这些控制,包括风险管理框架(RMF)、网络安全框架(CSF)、隐私框架(PF)

为了使所有的安全和隐私框架和控制对客户而言更加高效和经济,NIST正在发起一项新的自动化计划,以不同格式提供其合并的控制目录的内容,并通过https://csrc.nist.gov发布该内容。

令人激动的时刻就在前方,我们鼓励您了解SP 800-53的最新更新,使用其内容来构建或改进您的安全、隐私和供应链风险管理计划。

图2-NIST SP 800-53 第5版的目录

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。