NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations
NIST SP 800-53
Стандартът NIST SP 800-53 "Security and Privacy Controls for Information Systems and Organizations е част от групата стандарти SP 800, съдържаща над 1300 документа на Националния институт за стандарти и технологии (NIST), САЩ. Разработен е от експерти по компютърна сигурност и поверителност в Националния институт по стандарти и технологии и е считан за "златен" стандарт по информационна сигурност, съдържащ препратки към много други стандарти в тази сфера.
NIST SP 800-53 е проектиран да осигури рамка от елементи, стратегии, системи и контролни механизми за нуждите и приоритетите на всяка организация по отношение на киберсигурността. Тъй като той не цитира и не изисква използването на специфични инструменти, механизми или производствени марки, той е гъвкав и актуален, независимо от възникващите нови технологии, системи или облачни ресурси.
За кого е предназначен NIST 800-53?
Съответствие с този стандарт е необходимо за всяка организация, която работи с федерални информационни системи, съвместно с американски агенции или с правителството на САЩ.
NIST SP 800-53 Контроли
Съгласно SP 800-53 Rev. 5 контролите са "описания на защитни механизми, подходящи за постигане на конкретните цели по сигурност и поверителност на организацията. Контролите се избират и прилагат от организацията така, че да удовлетворят системните изисквания".
Групите контроли съдържат основни контроли и пряко свързани с тях допълнителни контроли ("control enhancements"). Допълнителните контроли съдържат повече детайли и специфика по отношение на базовия контрол. Те следва да се прилагат в системи и работни среди, които изискват по-надеждна защита.
Контролите са систематизирани в 20 групи, които осигуряват оперативни, технически и управленски мерки за осигуряване на поверителността, целостта и сигурността на информационните системи.
Тъй като SP 800-53 Rev. 5 има 20 контролни семейства, важно е да се приоритизират усилията на организацията въз основа на областите с най-голямо въздействие върху нейната сигурност и сигурността на заинтересованите страни. В среда, в която много служители работят в потенциално неоторизирани мрежи и приложения, включително от личните си устройства, пет от групите контроли са от особена важност, за да се осигури адекватна защита: контрол на достъпа, осъзнаване и обучение на служителите, управление на конфигурацията, одити и мониторинг.
Може ли NIST SP 800-53 да подобри системата за сигурност на вашата организация?
Да. Въпреки че е първоначалната идея е била да се използва от федералните правителствени агенции на САЩ, той може да помогне на организации във всички индустрии да подобрят сигурността на информационните си системи. NIST SP 800-53 съдържа набор от мерки за защита на сигурността и поверителността за всички видове изчислителни платформи, облачни системи, мобилни системи, индустриални системи и устройства тип "Интернет на нещата" (IoT, "Internet of Things").
В много случаи прилагането на NIST SP 800-53 ще помогне на организациите да осигурят съответствие с други разпоредби, отнасящи се до киберрисковете и информационната сигурност, които използват NIST като референтна рамка.
NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.