La publicación especial 800-53 del NIST proporciona un catálogo de controles de seguridad y privacidad para todos los sistemas de información federales de los EE. UU ., Excepto los relacionados con la seguridad nacional. Es publicado por el Instituto Nacional de Estándares y Tecnología , que es una agencia no reguladora del Departamento de Comercio de los Estados Unidos . NIST desarrolla y emite estándares, pautas y otras publicaciones para ayudar a las agencias federales a implementar la Ley Federal de Modernización de la Seguridad de la Información de 2014 ( FISMA ) y para ayudar con la gestión de programas rentables para proteger su información y sistemas de información. [1]
Propósito
La publicación especial 800-53 del NIST es parte de la serie 800 de la publicación especial que informa sobre la investigación, las directrices y los esfuerzos de divulgación del Laboratorio de Tecnología de la Información ( ITL ) en seguridad del sistema de información, y sobre la actividad de ITL con la industria, el gobierno y la academia. Organizaciones. [2]
Específicamente, la Publicación especial 800-53 del NIST cubre los pasos del Marco de gestión de riesgos que abordan la selección del control de seguridad para los sistemas de información federales de acuerdo con los requisitos de seguridad del Estándar federal de procesamiento de información (FIPS) 200. Esto incluye la selección de un conjunto inicial de seguridad de referencia. controles basados en un análisis de impacto en el peor de los casos FIPS 199, adaptando los controles de seguridad de referencia y complementando los controles de seguridad basados en una evaluación organizacional del riesgo. [3] Las reglas de seguridad cubren 18 áreas, incluido el control de acceso, la respuesta a incidentes, la continuidad del negocio y la capacidad de recuperación ante desastres. [4]
Una parte clave del proceso de evaluación y autorización (anteriormente certificación y acreditación ) para los sistemas de información federales es seleccionar e implementar un subconjunto de los controles (salvaguardas) del Catálogo de control de seguridad (NIST 800-53, Apéndice F). Estos controles son las salvaguardas de gestión, operativas y técnicas (o contramedidas) prescritas para un sistema de información para proteger la confidencialidad, integridad y disponibilidad del sistema y su información. Para implementar las salvaguardas o controles necesarios, las agencias deben determinar primero la categoría de seguridad de sus sistemas de información de acuerdo con las disposiciones de FIPS 199, "Estándares para la categorización de seguridad de la información y los sistemas de información federales". La categorización de seguridad del sistema de información (baja, moderada o alta) determina la colección de referencia de controles que deben implementarse y monitorearse. Las agencias tienen la capacidad de ajustar estos controles y adaptarlos para que se ajusten más a sus objetivos o entornos organizacionales. [1]
Cumplimiento
Se espera que las agencias cumplan con los estándares y pautas de seguridad del NIST dentro de un año a partir de la fecha de publicación (febrero de 2005) a menos que se indique lo contrario. Se espera que los sistemas de información que están en desarrollo cumplan con la implementación. [1]
Revisiones
Versión inicial
La Publicación especial 800-53 del NIST se publicó inicialmente en febrero de 2005 como "Controles de seguridad recomendados para los sistemas de información federales". [5]
Primera revisión
La Publicación especial 800-53 Revisión 1 del NIST se publicó inicialmente en diciembre de 2006 como "Controles de seguridad recomendados para los sistemas de información federales".
Segunda revisión
La Publicación especial 800-53 Revisión 2 del NIST se publicó inicialmente en diciembre de 2007 como "Controles de seguridad recomendados para los sistemas de información federales".
Tercera revisión
La tercera versión de la publicación especial 800-53 del NIST, "Controles de seguridad recomendados para organizaciones y sistemas de información federales", incorpora varias recomendaciones de personas que comentaron sobre versiones publicadas anteriormente, quienes recomendaron una reducción en la cantidad de controles de seguridad para sistemas de bajo impacto. , un nuevo conjunto de controles a nivel de aplicación y mayores poderes discrecionales para que las organizaciones rebajen los controles. También se incluye en el borrador final un lenguaje que permite a las agencias federales mantener sus medidas de seguridad existentes si pueden demostrar que el nivel de seguridad es equivalente a los estándares propuestos por NIST. [6] La tercera versión también representa un esfuerzo por armonizar los requisitos de seguridad en las comunidades gubernamentales y entre los sistemas gubernamentales y no gubernamentales. En el pasado, la guía del NIST no se ha aplicado a los sistemas de información gubernamentales identificados como sistemas de seguridad nacional. Los controles administrativos, operativos y técnicos en SP 800-53 Revisión 3 proporcionan un lenguaje común de seguridad de la información para todos los sistemas de información gubernamentales. El catálogo de control de seguridad revisado también incluye salvaguardas y contramedidas de última generación para abordar amenazas cibernéticas avanzadas y exploits. Los cambios significativos en esta revisión del documento incluyen
- Un marco de gestión de riesgos simplificado de seis pasos;
- Controles y mejoras de seguridad adicionales para amenazas cibernéticas avanzadas;
- Recomendaciones para priorizar los controles de seguridad durante la implementación o despliegue;
- Estructura de control de seguridad revisada con una nueva sección de referencias;
- Eliminación de los requisitos de seguridad de las secciones de orientación complementarias;
- Orientación sobre el uso del marco de gestión de riesgos para los sistemas de información heredados y para los proveedores de servicios de sistemas de información externos;
- Actualizaciones de las líneas de base de control de seguridad basadas en información actual sobre amenazas y ciberataques;
- Controles de seguridad a nivel de organización para gestionar programas de seguridad de la información;
- Orientación sobre la gestión de controles comunes dentro de las organizaciones; y
- Estrategia para armonizar las normas y directrices de seguridad FISMA con la norma internacional de seguridad ISO / IEC 27001. [7]
Cuarta revisión
Como parte de la asociación de seguridad cibernética en curso entre el Departamento de Defensa de los Estados Unidos, la comunidad de inteligencia y las agencias civiles federales, el NIST ha lanzado su actualización bienal de la Publicación especial 800‐53, "Controles de seguridad y privacidad para sistemas y organizaciones de información federales , "con un borrador público inicial publicado el 28 de febrero de 2012. La iniciativa 2011-2012 incluirá una actualización de los controles de seguridad actuales, mejoras de control, orientación complementaria y una actualización sobre la orientación de adaptación y complementación que forman los elementos clave del proceso de selección de control . Las áreas de enfoque clave incluyen, pero no se limitan a:
- Amenazas internas;
- Seguridad de las aplicaciones de software (incluidas las aplicaciones web);
- Redes sociales, dispositivos móviles y computación en la nube;
- Soluciones de dominio cruzado;
- Amenazas persistentes avanzadas;
- Seguridad de la cadena de suministro;
- Intimidad.
La revisión 4 se divide en 18 familias de control, [8] que incluyen:
- AC - Control de acceso
- AU - Auditoría y rendición de cuentas
- AT - Sensibilización y formación
- CM - Gestión de la configuración
- CP - Planificación de contingencias
- IA: identificación y autenticación
- IR - Respuesta a incidentes
- MA - Mantenimiento
- MP - Protección de medios
- PS - Seguridad del personal
- PE - Protección física y ambiental
- PL - Planificación
- PM - Gestión de programas
- RA - Evaluación de riesgos
- CA - Evaluación y autorización de seguridad
- SC - Protección del sistema y las comunicaciones
- SI - Integridad del sistema y de la información
- SA - Adquisición de sistemas y servicios
La información sobre estas familias de control y los controles que contienen se puede encontrar en el sitio web del NIST en el siguiente enlace: https://nvd.nist.gov/800-53/Rev4
Quinta revisión
NIST SP 800-53 Revisión 5 elimina la palabra "federal" para indicar que estas regulaciones pueden aplicarse a todas las organizaciones, no solo a las organizaciones federales. El primer borrador público se publicó el 15 de agosto de 2017. Se fijó un lanzamiento de borrador final para su publicación en diciembre de 2018, con la fecha de publicación final fijada para marzo de 2019 ". [9] Según el Centro de recursos de seguridad informática del NIST (CSRC), [ 10] cambios importantes en la publicación incluyen:
- Hacer que los controles de seguridad y privacidad se basen más en los resultados cambiando la estructura de los controles;
- Integrar completamente los controles de privacidad en el catálogo de controles de seguridad creando un conjunto de controles unificado y consolidado para sistemas y organizaciones;
- Separar el proceso de selección de controles de los controles reales, permitiendo así que los controles sean utilizados por diferentes comunidades de interés, incluidos ingenieros de sistemas, desarrolladores de software, arquitectos empresariales; y dueños de negocios / misiones;
- Eliminar el término sistema de información y reemplazarlo por el término sistema para que los controles se puedan aplicar a cualquier tipo de sistema, incluidos, por ejemplo, sistemas de propósito general, sistemas ciberfísicos, sistemas de control industrial / de procesos y dispositivos de IoT;
- Restar importancia al enfoque federal de la publicación para fomentar un mayor uso por parte de organizaciones no federales;
- Promover la integración con diferentes enfoques y léxicos de gestión de riesgos y ciberseguridad, incluido el Marco de Ciberseguridad;
- Aclarar la relación entre seguridad y privacidad para mejorar la selección de controles necesarios para abordar el alcance completo de los riesgos de seguridad y privacidad; y
- Incorporación de nuevos controles de práctica basados en inteligencia de amenazas y datos de ataques empíricos, incluidos controles para fortalecer la seguridad cibernética y la gobernanza y la responsabilidad de la privacidad.
A septiembre de 2019[actualizar], La Revisión 5 se retrasa debido a un posible desacuerdo entre la Oficina de Información y Asuntos Regulatorios (OIRA) y otras agencias de EE. UU. [11]
La versión final de la Revisión 5 se publicó el 23 de septiembre de 2020 [12] y está disponible en el sitio web del NIST en el siguiente enlace: https://csrc.nist.gov/publications/detail/sp/800-53/rev- 5 / final
Versiones
800-53A
La Publicación especial 800-53A del NIST proporciona un conjunto de procedimientos para realizar evaluaciones de los controles de seguridad y los controles de privacidad empleados dentro de los sistemas y organizaciones de información federales. Los procedimientos son personalizables y se pueden adaptar fácilmente para proporcionar a las organizaciones la flexibilidad necesaria para realizar evaluaciones de control de seguridad y evaluaciones de control de privacidad que respalden los procesos de gestión de riesgos de la organización y que estén alineados con la tolerancia al riesgo declarada de la organización. También se proporciona información sobre la elaboración de planes de evaluación de la seguridad y planes de evaluación de la privacidad eficaces, junto con una guía para analizar los resultados de la evaluación. [13]
Revisión 1
La publicación especial 800-53A del NIST se titula "Guía para evaluar los controles de seguridad en los sistemas y organizaciones de información federales". Esta versión describirá los procedimientos de prueba y evaluación para las 17 familias de control requeridas. [4] Estas pautas de evaluación están diseñadas para permitir pruebas periódicas y son utilizados por las agencias federales para determinar qué controles de seguridad son necesarios para proteger las operaciones y los activos de la organización, los individuos, otras organizaciones y la nación. [3] Según Ron Ross, científico informático e investigador de seguridad de la información del NIST, estas pautas también Permitir que las agencias federales evalúen "si los controles obligatorios se han implementado correctamente, están operando según lo previsto y están ... cumpliendo con los requisitos de seguridad de la organización".
Para hacer esto, la versión A describe los métodos y procedimientos de evaluación para cada uno de los controles de seguridad exigidos en la Publicación Especial 800-53. Estos métodos y procedimientos se utilizarán como directrices para las agencias federales. Estas pautas están destinadas a limitar la confusión y garantizar que las agencias interpreten e implementen los controles de seguridad de la misma manera. [4]
Revisión 4
NIST SP 800-53A Revisión 4 evalúa los controles de seguridad y privacidad en organizaciones y sistemas de información federales. El número de revisión pasó de la revisión 1 a la revisión 4 para reflejar mejor la publicación especial 800-53 del NIST con la que debe usarse.
Referencias
- ^ a b c Ross, et al., pág. 4
- ^ Ross, et al., P. 2
- ^ a b Ross, et. al. al, pág. 8
- ^ a b c Vijayan, Jaikumar (2005), "Directrices de seguridad para agencias de Estados Unidos que vencen en julio" , Computerworld , consultado el 23 de febrero de 2011
- ^ "Controles de seguridad recomendados para sistemas de información federales" . Publicaciones del NIST . 19 de febrero de 2017 . Consultado el 13 de junio de 2021 .
- ^ Vijayan, Jaikumar (2005), "Feds look to finalize IT security controls" , Computerworld , consultado el 23 de febrero de 2011.
- ^ Jackson, William (2009), "NIST publica la versión final 'histórica' de la publicación especial 800-53" , Government Computer News , consultado el 23 de febrero de 2011
- ^ https://nvd.nist.gov/800-53/Rev4
- ^ "Cronograma - CSRC Gestión de Riesgos" . Centro de recursos de seguridad informática del NIST . Consultado el 9 de noviembre de 2018 .
- ^ "SP 800-53, Rev. 5 (BORRADOR)" . Centro de recursos de seguridad informática del NIST . Consultado el 12 de marzo de 2018 .
- ^ Miller, J. (3 de septiembre de 2019). "La revisión regulatoria de OMB está creando una acumulación de estándares cibernéticos" . Federal News Network - Cuaderno del reportero . Hubbard Radio Washington DC, LLC . Consultado el 19 de diciembre de 2019 .
- ^ [email protected] (22 de septiembre de 2020). "Los controles de privacidad y seguridad de próxima generación: protección de los activos críticos de la nación" . NIST . Consultado el 25 de septiembre de 2020 .
- ^ Ross, Ronald S. (2014). "Publicación especial de NIST 800-53A revisión 4 evaluación de controles de seguridad y privacidad en organizaciones y sistemas de información federales: construcción de planes de evaluación eficaces" . doi : 10.6028 / NIST.SP.800-53Ar4 . Cite journal requiere
|journal=
( ayuda )
- Ross, Ron; Jahnson, Arnold; Katzke, Stu; Toth, Patricia; Stoneburner, Gary; Rogers, George (2008), Guía para evaluar los controles de seguridad en los sistemas de información federales, Creación de planes de evaluación de seguridad eficaces (PDF) , consultado el 14 de febrero de 2011
- Schou, Corey (2006). Aseguramiento de la información para la empresa . Boston: McGraw Hill Irwin. ISBN 978-0-07-225524-9.
enlaces externos
- Lista de todas las publicaciones especiales de la serie NIST 800
- Publicación especial del NIST 800-53, revisión 4
- Publicación especial 800-37 del NIST Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales