NIST SP 800-53 איז אַ קריטיש קאָמפּאָנענט פון FISMA העסקעם. העכסט רעקאַמענדיד זיכערהייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און אָרגאַנאַזיישאַנז.
NIST ספּעציעלע ויסגאַבע 800-53, באקאנט ווי די נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע ספּעציעלע ויסגאַבע 800-53, שטעלט סטאַנדאַרדס און גיידליינז פֿאַר ווי יו. עס. רעגירונג יידזשאַנסיז זאָל אַרכיטעקט, ינסטרומענט, פירן זייער אינפֿאָרמאַציע זיכערהייט סיסטעמען און די דאַטן סטאָרד אויף זייער סיסטעמען.
די Federal Information Security Management Act (FISMA) ריקווייערז NIST SP 800-53 צו שטעלן סטאַנדאַרדס און גיידליינז פֿאַר פעדעראלע יידזשאַנסיז און קאָנטראַקטאָרס.
NIST SP 800-53 אויך האט אַ ראָלע אין דעוועלאָפּינג פעדעראלע אינפֿאָרמאַציע פּראַסעסינג סטאַנדאַרדס (FIPS) צוזאמען מיט FISMA.
ווי מיר פאָרזעצן צו זען אַ גראָוינג אָפענגיקייַט אויף די אינטערנעט און אַ גרעסערע אָפענגיקייַט אויף אינפֿאָרמאַציע סיסטעמען פֿאַר געשעפט און פּערזענלעך קאָמוניקאַציע, די נויט פֿאַר אינפֿאָרמאַציע פּריוואַטקייט און זיכערהייט איז בלויז ינקריסינג.
ISMS.online קענען העלפֿן דיין אָרגאַניזאַציע נאָכקומען און דערגרייכן NIST SP 800-53.
די גיידליינז אַפּלייז צו אַלע עלעמענטן פון אַן אינפֿאָרמאַציע סיסטעם וואָס סטאָרז, פּראַסעסאַז אָדער טראַנסמיטטעד פעדעראלע אינפֿאָרמאַציע.
די גיידליינז דעקן געביטן ווי רירעוודיק און וואָלקן קאַמפּיוטינג, ינסייד טרעץ, אַפּלאַקיישאַן זיכערהייט, צושטעלן קייט זיכערהייַט און האָבן שוין קראַפטעד אונטער די יוואַלווינג נאַטור פון אינפֿאָרמאַציע זיכערהייט.
NIST SP 800-533 קאָווערס די סטעפּס אין די ריזיקירן פאַרוואַלטונג פריימווערק וואָס אַדרעס די סעלעקציע פון זיכערהייט קאָנטראָל פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען לויט די זיכערהייט רעקווירעמענץ אין FIPS.
די זיכערהייט כּללים דעקן געביטן אַזאַ ווי אַקסעס קאָנטראָל, אינצידענט ענטפער, געשעפט קאַנטיניויישאַן, און ומגליק אָפּזוך. א וויטאַל טייל פון פעדעראלע אַסעסמאַנט און דערלויבעניש פּראָצעס פון אינפֿאָרמאַציע סיסטעמען איז סאַלעקטינג און ימפּלאַמענינג אַ סאַבסעט פון די קאָנטראָלס פון די זיכערהייט קאָנטראָל קאַטאַלאָג, NIST 800-53, אַפּפּענדיקס F.
די פאַרוואַלטונג, אַפּעריישאַנאַל און טעכניש סייפגאַרדז זענען פּריסקרייבד פֿאַר אַ אינפֿאָרמאַציע סיסטעם צו באַשיצן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, אַוויילאַבילאַטי פון די סיסטעם און זייַן אינפֿאָרמאַציע.
די קאָנטראָלס קענען זיין אַדזשאַסטיד און טיילערד צו פּאַסיק מער ענג מיט די גאָולז און ינווייראַנמאַנץ פון דער אָרגאַניזאַציע.
אויב איר טאָן ניט נוצן ISMS.online, איר מאַכן דיין לעבן מער שווער ווי עס דאַרף צו זיין!
דער נאָרמאַל גיט מער זיכער אינפֿאָרמאַציע סיסטעמען דורך קאָנטראָל משפחות. פּריוואַט אָרגאַנאַזיישאַנז נאָכקומען מיט NIST SP 800-53 ווייַל די 18 קאָנטראָל פאַמיליעס אַרוישעלפן זיי צו טרעפן די אַרויסרופן פון סעלעקטינג צונעמען יקערדיק זיכערהייט קאָנטראָלס, פּאַלאַסיז און פּראָוסידזשערז.
ינשורינג זיכערהייט און העסקעם איז בלויז איינער פון די בענעפיץ פון די קוסטאָמיזאַטיאָן פּראָצעס. קאָנסיסטענסי און קאָס-עפעקטיוו אַפּלאַקיישאַן פון קאָנטראָלס איבער דיין אינפֿאָרמאַציע טעכנאָלאָגיע ינפראַסטראַקטשער זענען פּראָמאָטעד דורך עס. צו ענשור די שייכות צו דיין ינפראַסטראַקטשער און סוויווע, עס ינקעראַדזשאַז איר צו אַנאַלייז יעדער זיכערהייט און פּריוואַטקייט קאָנטראָל וואָס איר סעלעקטירן.
די פּראַל פון ינסאַדאַנץ אויף פאַרשידן דאַטן און אינפֿאָרמאַציע סיסטעמען ריקווייערז אַ אָפּגעהיט ריזיקירן אַסעסמאַנט. NIST 800-53 האט אַ קאַטאַלאָג פון זיכערהייט, פּריוואַטקייט קאָנטראָלס און גיידאַנס קאָנטראָלס. קאָנטראָלס זאָל זיין אויסדערוויילט באזירט אויף די שוץ רעקווירעמענץ פון די אינהאַלט.
ווי פריער דערמאנט, פעדעראלע אינפֿאָרמאַציע פּראַסעסינג סטאַנדאַרדס (FIPS) קענען העלפן קלייַבן די קאָנטראָלס וואָס דיין אָרגאַניזאַציע דאַרף קעגן די דריי פּראַל לעוועלס געפֿונען אין FIPS.
די פּראַל לעוועלס זענען:
NIST SP 800-53 קאָנטראָלס זענען אַלאַקייטיד אין די פאלגענדע:
| משפּחה נאָמען | ID | בייַשפּיל פון קאָנטראָלס |
|---|---|---|
| אַקסעס קאָנטראָל | AC | אַקאַונט פאַרוואַלטונג און מאָניטאָרינג |
| וויסיקייַט און טריינינג | AT | באַניצער וויסיקייַט און טריינינג אויף זיכערהייט טרעץ |
| קאָנטראָלירן און אַקאַונטאַביליטי | AU | אינהאַלט פון קאָנטראָלירן רעקאָרדס - אַנאַליסיס & ריפּאָרטינג - רעקאָרד ריטענשאַן |
| אַססעססמענט, דערלויבעניש און מאָניטאָרינג | CA | קאַנעקשאַנז צו ציבור נעטוואָרקס און פונדרויסנדיק סיסטעמען - דורכדרונג טעסטינג |
| Configuration Management | CM | אָטערייזד ווייכווארג פּאַלאַסיז |
| קאָנטינגענסי פּלאַנירונג | CP | אָלטערנאַטיוו פּראַסעסינג און סטאָרידזש זייטלעך - געשעפט קאַנטיניויישאַן סטראַטעגיעס |
| לעגיטימאַציע און אָטענטאַקיישאַן | IA | אָטענטאַקיישאַן פּאַלאַסיז פֿאַר יוזערז, דעוויסעס און באַדינונגס - קראַדענטשאַל פאַרוואַלטונג |
| יחיד אָנטייל | IP | צושטימען און פּריוואַטקייט דערלויבעניש |
| ינסידענט ענטפער | IR | ינסידענט ענטפער טריינינג, מאָניטאָרינג און ריפּאָרטינג |
| וישאַלט | MA | וישאַלט פון סיסטעם, פּערסאַנעל און מכשירים |
| מעדיע פּראַטעקשאַן | MP | אַקסעס, סטאָרידזש, אַריבערפירן, סאַניטיזיישאַן און נוצן פון מעדיע |
| פּריוואַטקייט דערלויבעניש | PA | זאַמלונג, נוצן און ייַנטיילונג פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע |
| גשמיות און ענוויראָנמענט פּראַטעקשאַן | PE | גשמיות אַקסעס - עמערגענסי מאַכט - פייער שוץ - טעמפּעראַטור קאָנטראָל |
| פּלאַנירונג | PL | ריסטריקשאַנז אויף געזעלשאַפטלעך מידיאַ און נעטוואָרקינג - פאַרטיידיקונג-אין-טיפקייַט זיכערהייט אַרקאַטעקטשער |
| פּראָגראַם מאַנאַגעמענט | PM | ריזיקירן פאַרוואַלטונג סטראַטעגיע - ינסידער סאַקאָנע פּראָגראַם - פאַרנעמונג אַרקאַטעקטשער |
| פּערסאַנעל זיכערהייַט | PS | פּערסאַנעל זיפּונג, טערמאַניישאַן און אַריבערפירן - פונדרויסנדיק פּערסאַנעל - סאַנגשאַנז |
| ריזיקירן אַססעססמענט | RA | ריזיקירן אַסעסמאַנט - וואַלנעראַביליטי סקאַנינג - פּריוואַטקייט פּראַל אַסעסמאַנט |
| סיסטעם און באַדינונגס אַקוואַזישאַן | SA | סיסטעם אַנטוויקלונג לייפסייק - אַקוואַזישאַן פּראָצעס - צושטעלן קייט ריזיקירן פאַרוואַלטונג |
| סיסטעם און קאָמוניקאַציע שוץ | SC | אַפּפּליקאַטיאָן פּאַרטישאַנינג - גרענעץ שוץ - קריפּטאָגראַפיק שליסל פאַרוואַלטונג |
| סיסטעם און אינפֿאָרמאַציע אָרנטלעכקייַט | SI | פלאָ רימידייישאַן - סיסטעם מאָניטאָרינג און אַלערטינג |
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
NIST SP 800-53 Revision 1 איז באפרייט אין דעצעמבער 2006 ווי "רעקאַמענדיד זיכערהייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען."
NIST SP 800-53 Revision 2 איז באפרייט אין דעצעמבער 2007 ווי "רעקאַמענדיד זיכערהייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען."
NIST SP 800-53 Revision 3 איז באפרייט אין אויגוסט 2009 ווי "רעקאַמענדיד זיכערהייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און אָרגאַנאַזיישאַנז.". די ווערסיע ינקאָרפּערייץ עטלעכע רעקאַמאַנדיישאַנז פון מענטשן וואָס קאַמענטאַד אויף פריער ארויס ווערסיעס.
עס איז געווען רעקאַמענדיד אַ רעדוקציע אין נומער פון זיכערהייט קאָנטראָלס פֿאַר נידעריק פּראַל סיסטעמען. אויך פֿאָרשלאָגן אַ נייַע גאַנג פון אַפּלאַקיישאַן-מדרגה קאָנטראָלס און גרעסערע כוחות פֿאַר אָרגאַנאַזיישאַנז צו דאַונגרייד קאָנטראָלס.
ענדערונגען געבראכט אין רעוויזיע 3:
NIST SP 800-53 Revision 4 איז באפרייט טכילעס אין פעברואר 2012 ווי "זיכערהייט און פּריוואַטקייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און אָרגאַנאַזיישאַנז".
רעוויזיע 4 ינקלודעד דערהייַנטיקונגען צו זיכערהייט קאָנטראָלס, סאַפּלאַמענאַל גיידאַנס און קאָנטראָל ימפּרווומאַנץ. עס אויך דערהייַנטיקט טיילערינג און סופּפּלעמענטאַטיאָן גיידאַנס וואָס פאָרעם עלעמענטן אין די קאָנטראָל סעלעקציע פּראָצעס.
NIST SP 800-53 Revision 5 איז טכילעס דיסקאַסט אין אויגוסט 2017 און אַוועקגענומען "פעדעראלע" פון "זיכערהייט און פּריוואַטקייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען און אָרגאַנאַזיישאַנז" צו באצייכענען אז רעגולאציעס מעג מען צולייגן אויף אלע ארגאניזאציעס, אלא ווי נאר פעדעראלע ארגאניזאציעס. די לעצט ווערסיע פון Revision 5 איז באפרייט אין סעפטעמבער 2020.
עטלעכע ענדערונגען אין דעם ווערסיע אַרייַננעמען:
NIST SP 800-53A כּולל אַ גאַנג פון פּראָוסידזשערז פֿאַר קאַנדאַקטינג אַסעסמאַנץ פון זיכערהייט קאָנטראָלס און פּריוואַטקייט קאָנטראָלס אין פעדעראלע סיסטעמען און אָרגאַנאַזיישאַנז.
די פּראָוסידזשערז קענען זיין לייכט טיילערד צו געבן אָרגאַנאַזיישאַנז די בייגיקייט צו דורכפירן זיכערהייט קאָנטראָל אַסעסמאַנץ און פּריוואַטקייט קאָנטראָל אַסעסמאַנץ אַליינד מיט דער אָרגאַניזאַציע ס סטייטיד ריזיקירן טאָלעראַנץ.
גיידאַנס פֿאַר אַנאַלייזינג אַסעסמאַנט רעזולטאַטן איז צוגעשטעלט, מיט אינפֿאָרמאַציע וועגן בויען עפעקטיוו זיכערהייט און פּריוואַטקייט אַסעסמאַנט פּלאַנז.
NIST SP 800-53B גיט באַסעלינע זיכערהייט קאָנטראָלס און פּריוואַטקייט קאָנטראָלס פֿאַר אינפֿאָרמאַציע סיסטעמען.
גיידאַנס איז צוגעשטעלט אויף אַנאַלייזינג אַסעסמאַנט רעזולטאַטן און אינפֿאָרמאַציע אויף בנין עפעקטיוו זיכערהייַט אַססעססמענט פּלאַנז.
עס העלפּס פאָר אונדזער נאַטור אין אַ positive וועג וואָס אַרבעט פֿאַר אונדז
& אונדזער קולטור.
מיר זענען פּרייַז-עפעקטיוו און שנעל
עס איז מאַנדאַטאָרי פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען צו נוצן דעם נאָרמאַל. צו האַלטן די שייכות, יעדער אָרגאַניזאַציע וואָס אַרבעט מיט די פעדעראלע רעגירונג מוזן נאָכקומען מיט NIST SP 800-53.
דער סטאַנדאַרט גיט אַ פריימווערק פֿאַר יעדער אָרגאַניזאַציע צו אַנטוויקלען, טייַנען און פֿאַרבעסערן זייער אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז, אַרייַנגערעכנט שטאַט, היגע, טרייבאַל גאַווערמאַנץ און פּריוואַט קאָמפּאַניעס.
פעדעראלע יידזשאַנסיז דאַרפֿן צו זיין געהאָרכיק מיט די לעצטע רעוויזיע פון NIST SP 800-53 אין איין יאָר פון די מעלדונג פון די נייַע רעוויזיע, און נייַע סיסטעמען מוזן זיין געהאָרכיק אין דער צייט פון דיפּלוימאַנט.
NIST SP 800-53 העלפּס אָרגאַנאַזיישאַנז פון אַלע שאַפּעס און סיזעס נאָכקומען מיט די Federal Information Security Modernization Act (FISMA). עס איז אַ ברייט קאַטאַלאָג פון קאָנטראָלס צו פארשטארקן זיכערהייט.
דער ציל פון די FISMA איז צו באַשיצן קעגן אַנאָטערייזד אַקסעס, נוצן, אַנטפּלעקונג, דיסראַפּשאַן, מאָדיפיקאַטיאָן און צעשטערונג פון רעגירונג אינפֿאָרמאַציע און אַסעץ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
עס איז אַ פּראָסט מיסקאַנסעפּשאַן אַז אַן אָרגאַניזאַציע מוזן קלייַבן צווישן NIST SP 800-53 אָדער ISO 27001 און אַז איינער איז בעסער ווי די אנדערע. ביידע קענען זיין געוויינט אין אַן אָרגאַניזאַציע און האָבן אַ פּלאַץ פון סינערדזשיז צווישן זיי. Data security, ריזיקירן אַסעסמאַנץ און זיכערהייט מגילה זענען אונטער די פאַרנעם פון ביידע ISO 27001 און NIST SP 800-53.
די NIST פראַמעוואָרקס זענען געמאכט פרייוויליק און פלעקסאַבאַל. זיי האָבן עטלעכע פּראָסט פּרינסאַפּאַלז, אַרייַנגערעכנט ריקוויירינג עלטער פאַרוואַלטונג שטיצן, אַ קעסיידערדיק פֿאַרבעסערונג פּראָצעס, און אַ ריזיקירן-באזירט צוגאַנג, מאכן עס גרינג צו ינסטרומענט זיי אין קאַנדזשאַנגקשאַן מיט ISO 27001.
די ריזיקירן אַסעסמאַנט פּראָצעס ספּעסיפיעד דורך ISO 27001 נעמט אַ זייער ענלעך צוגאַנג צו NIST SP 800-53. קאָנטראָלס צונעמען צו די ריזיקירן, ידענטיפיצירן ריסקס צו די אינפֿאָרמאַציע פון דער אָרגאַניזאַציע און מאָניטאָרינג זייער פאָרשטעלונג זענען נייטיק אונטער ביידע.
| ISO/IEC 27001 (אינטערנאציאנאלע ארגאניזאציע פֿאַר סטאַנדערדיזיישאַן) | NIST (נאַשאַנאַל אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע) |
|---|---|
| ISO 27001 איז אַן ינטערנאַשאַנאַלי דערקענט צוגאַנג צו גרינדן און מיינטיינינג אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS). | די שאַפונג פון NIST איז געווען צו העלפֿן יו. עס. פעדעראלע יידזשאַנסיז און אָרגאַנאַזיישאַנז בעסער פירן זייער ריזיקירן. |
| ISO 27001 איז ווייניקער טעכניש מיט מער טראָפּ אויף ריזיקירן-באזירט פאַרוואַלטונג וואָס גיט בעסטער פּראַקטיסיז רעקאַמאַנדיישאַנז פֿאַר סיקיורינג אַלע אינפֿאָרמאַציע. | די דריי הויפּט קאַמפּאָונאַנץ פון די פריימווערק זענען די האַרץ, ימפּלאַמענטיישאַן טיערס און פּראָופיילז, וואָס זענען די אַקטיוויטעטן נייטיק צו מקיים יעדער פונקציע. |
| עס זענען 14 קאָנטראָל קאַטעגאָריעס און 114 קאָנטראָלס אין די ISO 27001 אַנעקס א. | NIST פראַמעוואָרקס האָבן פאַרשידן קאָנטראָל קאַטאַלאַגז. |
| עס זענען צען קלאָזיז אין די ISO 27001 וואָס פירן אָרגאַנאַזיישאַנז דורך זייער ISMS נסיעה. | די NIST פריימווערק האט פינף פאַנגקשאַנז וואָס קענען זיין געוויינט צו מאָדיפיצירן און קאַסטאַמייז סייבער זיכערהייט קאָנטראָלס. |
| אומאָפּהענגיק קאָנטראָלירן און סערטאַפאַקיישאַן ללבער זענען געניצט צו ענשור די העסקעם פון ISO 27001. | NIST האט אַ זעלבסט-סערטאַפאַקיישאַן מעקאַניזאַם וואָס איז וואַלאַנטערי. |
ISMS.online איז קעסיידער יוואַלווינג צו טרעפן די אינפֿאָרמאַציע זיכערהייט, פּריוואַטקייט און געשעפט קאַנטיניויישאַן באדערפענישן פון אָרגאַנאַזיישאַנז איבער דער גלאָבוס. אונדזער סימפּלאַפייד, זיכער, סאַסטיינאַבאַל פּלאַטפאָרמע שטיצט פיל מער ווי בלויז ISO/IEC 27001. אונדזער פּלאַטפאָרמע וואקסט, אַזוי אויך די רשימה פון סטאַנדאַרדס און רעגיאַליישאַנז וואָס מיר שטיצן.
פּלוס, אונדזער פּלאַטפאָרמע קומט מיט פאַרשידן פאַר-געבויט פראַמעוואָרקס איר קענען אַדאַפּט, אַדאַפּט אָדער לייגן צו דיפּענדינג אויף דיין אָרגאַניזאַציע ס יינציק באדערפענישן. אָדער איר קענען לייכט בויען דיין אייגענע פֿאַר בעספּאָכע העסקעם פּראַדזשעקס.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
אראפקאפיע אונדזער פריי גייד צו שנעל און סאַסטיינאַבאַל סערטאַפאַקיישאַן
די דאַטן אויף פעדעראלע נעטוואָרקס קען אַרייַננעמען שפּירעוודיק אינפֿאָרמאַציע וואָס איז יקערדיק פֿאַר די אָנגאָינג פֿונקציע פון די יו.
עס קען אַרייַננעמען די פּריוואַט דאַטן פון די באַניצער, באַוווסט ווי פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע, וואָס איז אויך וויכטיק צו באַשיצן וואָס איז פּראָטעקטעד דורך NIST SP 800-171.
NIST SP 800-53 איז אַ סיסטעמאַטיש צוגאַנג צו פּראַטעקטינג אינפֿאָרמאַציע און קאַמפּיוטינג סיסטעמען.
די סיסטעמען אַרייַננעמען:
די טייפּס פון דאַטן וואָס קענען זיין פּראָטעקטעד וועט בייַטן רעכט צו דער דייווערסיטי פון סיסטעמען און אָרגאַנאַזיישאַנז.
סעלעקטינג און ימפּלאַמענינג צונעמען זיכערהייט און פּריוואַטקייט קאָנטראָלס פֿאַר די העסקעם פון NIST 800-53 SP איז געהאָלפֿן דורך די פאלגענדע בעסטער פּראַקטיסיז.
NIST SP 800-53 איז טכילעס באפרייט אין פעברואר 2005. אַפּטלי געהייסן ווי "רעקאַמענדיד זיכערהייט קאָנטראָלס פֿאַר פעדעראלע אינפֿאָרמאַציע סיסטעמען."
