NIST SP 800-53 est un élément essentiel de la conformité FISMA. Contrôles de sécurité hautement recommandés pour les systèmes d'information et les organisations fédérales.
La publication spéciale 800-53 du NIST, connue sous le nom de publication spéciale 800-53 du National Institute of Standards and Technology, définit les normes et les lignes directrices sur la manière dont les agences gouvernementales américaines devraient concevoir, mettre en œuvre, gérer leurs systèmes de sécurité de l’information et les données stockées sur leurs systèmes.
La Loi fédérale sur la gestion de la sécurité de l'information (FISMA) exige que le NIST SP 800-53 établisse des normes et des lignes directrices pour les agences fédérales et les entrepreneurs.
NIST SP 800-53 joue également un rôle dans le développement Normes fédérales de traitement de l'information (FIPS) aux côtés de la FISMA.
Alors que nous constatons une dépendance croissante à l'égard d'Internet et une plus grande dépendance à l'égard systèmes d'information pour la communication professionnelle et personnelle, le besoin de confidentialité et de sécurité des informations ne fait qu’augmenter.
ISMS.online peut aider votre organisation à se conformer et à atteindre le NIST SP 800-53.
Les lignes directrices s'appliquent à tous les éléments d'un système d'information qui stocke, traite ou transmet des informations fédérales.
Les lignes directrices couvrent des domaines tels que l'informatique mobile et cloud, les menaces internes, la sécurité des applications, sécurité de la chaîne d'approvisionnement et ont été conçus dans le cadre de la nature évolutive de la sécurité de l’information.
NIST SP 800-533 couvre les étapes du cadre de gestion des risques qui traitent de la sélection des contrôles de sécurité pour les systèmes d'information fédéraux conformément aux exigences de sécurité de FIPS.
Les règles de sécurité couvrent des domaines tels que contrôle d'accès, la réponse aux incidents, la continuité des activités et la reprise après sinistre. Un élément essentiel du gouvernement fédéral processus d'évaluation et d'autorisation des systèmes d'information sélectionne et met en œuvre un sous-ensemble de contrôles du catalogue de contrôle de sécurité, NIST 800-53, Annexe F.
Les garanties de gestion, opérationnelles et techniques sont prescrites pour un Système d'Information pour protéger la confidentialité, l’intégrité, la disponibilité du système et de ses informations.
Les contrôles peuvent être ajustés et adaptés pour s'adapter plus étroitement aux objectifs et aux environnements de l'organisation.
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
La norme fournit plus systèmes d'informations sécurisés via des familles témoins. Les organisations privées se conforment à la norme NIST SP 800-53 car ses 18 familles de contrôles les aident à relever le défi de la sélection des contrôles, politiques et procédures de sécurité de base appropriés.
Garantir la sécurité et la conformité n’est que l’un des avantages du processus de personnalisation. Il favorise la cohérence et l'application rentable des contrôles dans l'ensemble de votre infrastructure informatique. Pour garantir sa pertinence pour votre infrastructure et votre environnement, il vous encourage à analyser chaque contrôle de sécurité et de confidentialité que vous sélectionnez.
L’impact des incidents sur diverses données et les systèmes d’information nécessitent une évaluation minutieuse des risques. NIST 800-53 dispose d'un catalogue de contrôles de sécurité, de confidentialité et de guidage. Les contrôles doivent être choisis en fonction des exigences de protection du contenu.
Comme mentionné précédemment, les Federal Information Processing Standards (FIPS) peuvent vous aider à choisir les contrôles dont votre organisation a besoin par rapport aux trois niveaux d'impact trouvés dans FIPS.
Ces niveaux d’impact sont :
Les contrôles NIST SP 800-53 sont répartis comme suit :
| Nom de famille | ID | Exemple de contrôles |
|---|---|---|
| Contrôle d'accès | AC | Gestion et suivi des comptes |
| Sensibilisation et formation | AT | Sensibilisation et formation des utilisateurs aux menaces de sécurité |
| Audit et responsabilité | AU | Contenu des dossiers d'audit – Analyse et reporting – Conservation des dossiers |
| Évaluation, autorisation et surveillance | CA | Connexions aux réseaux publics et systèmes externes – Tests d’intrusion |
| Configuration Management | CM | Politiques relatives aux logiciels autorisés |
| Planification d'urgence | CP | Sites alternatifs de traitement et de stockage – Stratégies de continuité des activités |
| Identification et authentification | IA | Politiques d'authentification pour les utilisateurs, les appareils et les services – gestion des informations d'identification |
| Participation Individuelle | IP | Consentement et autorisation de confidentialité |
| Réponse aux incidents | IR | Formation, surveillance et reporting en réponse aux incidents |
| Entretien | MA | Maintenance des systèmes, du personnel et des outils |
| Protection des médias | MP | Accès, stockage, transport, désinfection et utilisation des supports |
| Autorisation de confidentialité | PA | Collecte, utilisation et partage d'informations personnellement identifiables |
| Protection physique et environnementale | PE | Accès physique – Alimentation de secours – Protection incendie – Contrôle de température |
| Préproduction | PL | Restrictions relatives aux médias sociaux et aux réseaux – Architecture de sécurité de défense en profondeur |
| Gestion de programme | PM | Stratégie de gestion des risques – Programme de menaces internes – Architecture d’entreprise |
| Protection des Personnes | PS | Sélection, licenciement et transfert du personnel – Personnel externe – Sanctions |
| Évaluation des risques | RA | Évaluation des risques – Analyse des vulnérabilités – Évaluation des impacts sur la vie privée |
| Acquisition de systèmes et de services | SA | Cycle de vie de développement du système – Processus d’acquisition – Gestion des risques de la chaîne d’approvisionnement |
| Protection du système et des communications | SC | Partitionnement des applications – Protection des limites – Gestion des clés cryptographiques |
| Intégrité du système et de l’information | SI | Correction des failles – Surveillance du système et alertes |
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
NIST SP 800-53 Révision 1 a été publiée en décembre 2006 sous le nom « Contrôles de sécurité recommandés pour les systèmes d'information fédéraux. »
NIST SP 800-53 Révision 2 a été publiée en décembre 2007 sous le nom « Contrôles de sécurité recommandés pour les systèmes d'information fédéraux. »
NIST SP 800-53 Révision 3 a été publiée en août 2009 sous le nom « Contrôles de sécurité recommandés pour les systèmes et organisations d'information fédéraux. ». Cette version intègre plusieurs recommandations de personnes ayant commenté les versions publiées précédemment.
Il a été recommandé de réduire le nombre de contrôles de sécurité pour les systèmes à faible impact. Suggérez également un nouvel ensemble de contrôles au niveau des applications et des pouvoirs accrus pour les organisations afin de rétrograder les contrôles.
Modifications apportées par la révision 3 :
NIST SP 800-53 Révision 4 a été initialement publiée en février 2012 sous le nom de «Contrôles de sécurité et de confidentialité pour les systèmes et organisations d'information fédéraux».
La révision 4 comprenait des mises à jour des contrôles de sécurité, des conseils supplémentaires et des améliorations des contrôles. Il a également mis à jour les orientations d’adaptation et de complément qui constituent des éléments du processus de sélection des contrôles.
NIST SP 800-53 Révision 5 a été initialement discutée en août 2017 et supprimée "fédéral" de «Contrôles de sécurité et de confidentialité pour les systèmes et organisations d'information fédéraux» pour indiquer que les réglementations peuvent être appliquées à toutes les organisations, plutôt qu'aux seules organisations fédérales. La version finale de la révision 5 a été publiée en septembre 2020.
Certains changements dans cette version incluent :
NIST SP 800-53A contient un ensemble de procédures pour mener des évaluations des contrôles de sécurité et des contrôles de confidentialité au sein des systèmes et organisations fédéraux.
La les procédures peuvent être facilement adaptées pour donner aux organisations la flexibilité mener des évaluations de contrôle de sécurité et des évaluations de contrôle de confidentialité alignées sur la tolérance au risque déclarée de l'organisation.
Des conseils sur l’analyse des résultats de l’évaluation sont fournis, ainsi que des informations sur l’élaboration de plans efficaces d’évaluation de la sécurité et de la confidentialité.
NIST SP 800-53B fournit des contrôles de sécurité de base et des contrôles de confidentialité pour les systèmes d'information.
Des conseils sont fournis pour analyser résultats de l’évaluation et informations sur la mise en place d’une sécurité efficace plans d’évaluation.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
Nous sommes économiques et rapides
Il est obligatoire pour les systèmes d'information fédéraux d'utiliser la norme. Pour maintenir la relation, toute organisation qui travaille avec le gouvernement fédéral doit se conformer au NIST SP 800-53.
La norme fournit un cadre permettant à toute organisation de développer, maintenir et améliorer leurs pratiques de sécurité de l’information, y compris les gouvernements étatiques, locaux, tribaux et les entreprises privées.
Les agences fédérales doivent être conformes à la dernière révision du NIST SP 800-53 dans l'année suivant la publication de la nouvelle révision, et les nouveaux systèmes doivent être conformes au moment du déploiement.
NIST SP 800-53 aide les organisations de toutes formes et tailles à se conformer à la loi fédérale sur la modernisation de la sécurité de l'information (FISMA). Il existe un vaste catalogue de contrôles pour renforcer la sécurité.
L'objectif de la FISMA est de protéger contre l'accès, l'utilisation, la divulgation, la perturbation, la modification et la destruction non autorisés des informations gouvernementales. informations et actifs.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
On croit souvent à tort qu'une organisation doit choisir entre NIST SP 800-53 ou ISO 27001 et que l'une est meilleure que l'autre. Les deux peuvent être utilisés au sein d’une organisation et présentent de nombreuses synergies entre eux. Sécurité des données, les évaluations des risques et les programmes de sécurité relèvent à la fois de la norme ISO 27001 et du NIST SP 800-53.
La Cadres NIST ont été rendus volontaires et flexibles. Ils ont plusieurs principes communs, notamment l'exigence du soutien de la haute direction, un processus d'amélioration continue, et une approche basée sur les risques, facilitant leur mise en œuvre en conjonction avec la norme ISO 27001.
Le processus d'évaluation des risques spécifié par la norme ISO 27001 adopte une approche très similaire à celle du NIST SP 800-53. Des contrôles adaptés au risque, identifiant les risques pour les informations de l'organisation et surveillant leurs performances sont nécessaires dans les deux cas.
| ISO/IEC 27001 (Organisation internationale de normalisation) | NIST (Institut national des normes et de la technologie) |
|---|---|
| La norme ISO 27001 est une approche internationalement reconnue pour établir et maintenir un système de gestion de la sécurité de l'information (ISMS). | La création du NIST visait à aider les agences et organisations fédérales américaines à mieux gérer leurs risques. |
| La norme ISO 27001 est moins technique et met davantage l'accent sur la gestion basée sur les risques et fournit des recommandations de bonnes pratiques pour sécuriser toutes les informations. | Les trois composants principaux du cadre sont les niveaux de base, les niveaux de mise en œuvre et les profils, qui sont les activités nécessaires pour remplir chaque fonction. |
| Il existe 14 catégories de contrôle et 114 contrôles dans l'annexe A de la norme ISO 27001. | Les frameworks NIST disposent de divers catalogues de contrôle. |
| Il existe dix clauses dans la norme ISO 27001 qui guident les organisations tout au long de leur parcours SMSI. | Le cadre NIST comporte cinq fonctions qui peuvent être utilisées pour modifier et personnaliser les contrôles de cybersécurité. |
| Des organismes d'audit et de certification indépendants sont utilisés pour garantir la conformité à la norme ISO 27001. | Le NIST dispose d'un mécanisme d'autocertification volontaire. |
ISMS.online évolue continuellement vers répondre aux besoins des organisations en matière de sécurité de l’information, de confidentialité et de continuité des activités à travers le monde. Notre plateforme simplifiée, sécurisée et durable prend en charge bien plus que la simple norme ISO/IEC 27001. notre plateforme s’allonge, tout comme la liste des normes et réglementations que nous soutenons.
De plus, notre plateforme est livrée avec divers cadres prédéfinis que vous pouvez adopter, adapter ou ajouter en fonction de votre les besoins uniques de l'organisation. Ou vous pouvez facilement créer le vôtre pour des projets de conformité sur mesure.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Téléchargez notre guide gratuit pour une certification rapide et durable
Les données sur les réseaux fédéraux peuvent inclure des informations sensibles essentielles au fonctionnement continu du gouvernement américain.
Il peut s'agir de données privées de l'utilisateur, connues sous le nom d'informations personnellement identifiables, qu'il est également important de protéger et qui sont protégées par le NIST SP 800-171.
NIST SP 800-53 est une approche systématique de la protection des systèmes d'information et informatiques.
Les systèmes comprennent:
Les types de données pouvant être protégées varient en raison de la diversité des systèmes et des organisations.
La sélection et la mise en œuvre de contrôles de sécurité et de confidentialité appropriés pour la conformité NIST 800-53 SP sont facilitées par les bonnes pratiques suivantes.
Le NIST SP 800-53 a été initialement publié en février 2005. Il porte bien son nom de « Contrôles de sécurité recommandés pour les systèmes d'information fédéraux ».
