? ? ? ? 9月23日,NIST發(fā)布《SP 800-53 第5版 信息系統(tǒng)和組織的安全和隱私控制》铆农,該文件一直被視作NIST信息安全的支撐性文件嫁怀,本次更新旨在開發(fā)一個全面的安全和隱私控制目錄锅铅,用于管理不同規(guī)模的組織從超級計算機到工業(yè)控制系統(tǒng)再到物聯(lián)網(wǎng)(IoT)設備的所有類型的系統(tǒng)風險刃唐。這些控制措施提供了一種主動而又系統(tǒng)的方法羞迷,以確保關(guān)鍵的系統(tǒng)、組件和服務具有足夠的可信度和必要的網(wǎng)絡彈性画饥,從而維護美國的國家安全和經(jīng)濟利益衔瓮。
? ? ? 【注】SP800(SP,Special Publications)是美國國家標準與技術(shù)研究院(NIST)發(fā)布的一系列關(guān)于“信息安全的指南”抖甘。在NIST的標準系列文件中热鞍,雖然NIST SP并不作為正式法定標準,但在實際工作中,已經(jīng)成為美國和國際安全界得到廣泛認可的事實標準和權(quán)威指南薇宠。NIST SP800系列成為了指導美國信息安全管理建設的主要標準和參考資料偷办。
? ? ? ? SP 800-53是信息安全風險管理框架的重要組成部分,為選擇和規(guī)定信息系統(tǒng)安全控制措施提供了指導原則昼接。主要介紹了安全控制措施選擇和規(guī)范化的基本概念以及為信息系統(tǒng)選擇和說明控制措施的過程爽篷,以幫助組織達到對信息系統(tǒng)安全和風險的有效管理悴晰。
? ? ? ? ?SP 800-53 是不定期更新的文檔慢睡,第5版的重要變更如下:
? ? ? ? ??控制要求變?yōu)榻Y(jié)果導向:從控制說明中刪除了“由信息系統(tǒng)、組織滿足控制要求”铡溪,強調(diào)通過應用來實現(xiàn)安全保障作用漂辐。為了與上版內(nèi)容保持連貫,新版在附錄C(控制的總結(jié))中額外增加了內(nèi)容為“由‘系統(tǒng)/組織’實現(xiàn)”的一列棕硫。
? ? ? ? ??合并控制目錄:將信息安全和隱私控制集成到系統(tǒng)和組織的統(tǒng)一控制目錄中髓涯。原修訂版4附錄J中的隱私控制已合并到新的隱私體系和現(xiàn)有的程序管理體系中。此外哈扮,一些隱私控制還被合并到當前的安全控制中纬纪,從而使這些控制既可以服務于安全又可以保護隱私,進一步提升了控制功能滑肉。
? ? ? ? ??整合供應鏈風險管理:建立了一個新的供應鏈風險管理(SCRM)控制體系包各,并將這個新的體系與已有體系相結(jié)合,以保護關(guān)鍵系統(tǒng)和基礎設施中的系統(tǒng)組件靶庙、產(chǎn)品和服務问畅。SCRM控制體系有助于解決國家乃至全球供應鏈在整個系統(tǒng)開發(fā)生命周期中的隱私安全和威脅問題。
? ? ? ? ??將選擇控制過程與控制目錄分離:新版本擁有一個統(tǒng)一的六荒、獨立的控制目錄护姆,可允許系統(tǒng)工程師、安全架構(gòu)師掏击、軟件開發(fā)人員卵皂、企業(yè)架構(gòu)師、系統(tǒng)安全和隱私工程師砚亭、業(yè)務所有者等各類人員根據(jù)組織策略和業(yè)務需要使用個性化的流程來選擇控制灯变,并使其更好地協(xié)作。
? ? ? ? ??將控制基線和裁剪指南轉(zhuǎn)移到單獨的出版物:將控制基線移到了新的NIST SP 800-53B《信息系統(tǒng)和組織的控制基線》中钠惩。這三條安全基線和一條隱私基線適用于聯(lián)邦機構(gòu)柒凉,反映了《聯(lián)邦信息安全現(xiàn)代化法案(FISMA)》和《管理和預算辦公室(OMB)A-130號通知》的具體要求。其他組織可根據(jù)其業(yè)務需要和組織風險承受能力篓跛,選擇制定自己的定制基線膝捞。
? ? ? ? ??改進對內(nèi)容關(guān)系的描述:澄清了要求和控制之間的關(guān)系,以及安全和隱私控制之間的關(guān)系。這些關(guān)系有助于用戶判斷是在企業(yè)級選擇和實施控制蔬咬,還是將其作為基于生命周期的系統(tǒng)工程過程的一部分鲤遥。
? ? ? ? ??新增可實踐控制:隨著網(wǎng)絡威脅的迅速發(fā)展,需要新的保障措施和對策來保護組織的重要資產(chǎn)林艘,包括個人隱私和個人身份信息盖奈。版本5基于最新的威脅情報和網(wǎng)絡攻擊數(shù)據(jù)增加了新的控制(如支持網(wǎng)絡彈性、安全系統(tǒng)設計狐援、安全和隱私治理等)钢坦。
? ? ? ? ?目前,NIST SP 800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件啥酱,形成了從計劃爹凹、風險管 理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系镶殷,如:
?NIST SP800-53和SP800-60描述了信息系統(tǒng)與安全目標及風險級別對應指南
?NIST SP800-26和SP800-30分別描述了自評估指南和風險管理指南
?NIST SP800-51描述通用缺陷和暴露(CVE)缺陷命名方案的使用
?NIST SP800-30分別描述了自評估指南和風險管理指南
?NIST SP800-34信息技術(shù)系統(tǒng)應急計劃指南
?NIST SP800-34安全內(nèi)容自動化協(xié)議(SCAP)指南
? ? ? ? ?此外禾酱,NIST還陸續(xù)發(fā)布了多種框架來幫助用戶選擇和實施這些控制,包括風險管理框架(RMF)绘趋、網(wǎng)絡安全框架(CSF)颤陶、隱私框架(PF)。這次新版控制目錄的內(nèi)容NIST將以不同格式陸續(xù)發(fā)布陷遮,詳情可參見NIST官網(wǎng):https://csrc.nist.gov滓走。
