                 
Специальная публикация NIST 800-53
Пересмотр 4
Меры обеспечения безопасности и приватности для
Федеральных информационных систем
и организаций
ОБЪЕДИНЕННАЯ ЭКСПЕРТНАЯ ГРУППА
ПО ИНИЦИАТИВЕ ПРЕОБРАЗОВАНИЯ
Эта публикация доступна бесплатно на:
http://dx.doi.org/10.6028/NIST.SP.800-53r4
Специальная публикация NIST 800-53
Пересмотр 4
Меры обеспечения безопасности и приватности для
Федеральных информационных систем
и организаций
ОБЪЕДИНЕННАЯ ЭКСПЕРТНАЯ ГРУППА
ПО ИНИЦИАТИВЕ ПРЕОБРАЗОВАНИЯ
Эта публикация доступна бесплатно на:
http://dx.doi.org/10.6028/NIST.SP.800-53r4
Апрель 2013
Включая дополнения от 01-22-2015
Министерство торговли США
Rebecca M. Blank, ИО Министра
Национальный институт стандартов и технологий
Patrick D. Gallagher, Заместитель министра торговли по стандартам и технологиям и Директор
Полномочия
Эта публикация была разработана NIST в соответствии с его обязанностями, установленными согласно Закону об управлении безопасностью федеральной информации (FISMA), Общественный закон (P.L). 107-347. NIST является ответственным за разработку стандартов и руководств по информационной безопасности, включая минимальные требования для федеральных информационных систем, но такие стандарты и руководства не должны применяться к системам национальной безопасности без специального санкционирования соответствующих федеральных должностных лиц, осуществляющих полномочия по таким системам. Это руководство непротиворечиво с требованиями Циркуляра A-130 Министерства управления и бюджета (OMB), Раздел 8b (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре A-130, Приложение IV: Анализ ключевых разделов. Дополнительная информация предоставлена в Циркуляре A-130, Приложение III, Безопасность федеральных автоматизированных информационных ресурсов.
Ничто в этой публикации не должно использоваться в противоречие со стандартами и руководствами, определенными Министром торговли в соответствие с его законными полномочиями как обязательные для федеральных агентств. Также, это руководство не должно быть интерпретировано как изменение или замена существующих полномочий Министра торговли, Директора OMB или какого-либо другого федерального должностного лица. Эта публикация может быть использована на добровольной основе неправительственными организациями и это не попадает по действие авторского права в Соединенных Штатах. Однако упоминание приветствовалось бы NIST.
Национальный институт стандартов и технологий, Специальная публикация 800-53, Пересмотр 4
462 страницы (Апрель 2013)
CODEN: NSPUE2
Эта публикация доступна бесплатно на: http://dx.doi.org/10.6028/NIST.SP.800-53r4
Некоторые коммерческие сущности, оборудование или материалы могут быть указаны в этом документе, чтобы описать экспериментальную процедуру или концепцию соответственно. Такое указание не предназначено, чтобы означать рекомендацию или одобрение NIST, а также оно не предназначено, чтобы означать, что сущности, материалы или оборудование - обязательно наилучшие имеющиеся по предназначению.
В этой публикации могут быть ссылки к другим разрабатываемым в настоящий момент публикациям NIST в соответствии с возложенными на него законными обязанностями. Информация в этой публикации, включая концепции и методологию, может быть использована федеральными агентствами ещё до завершения таких сопутствующих публикаций. Таким образом, до тех пор, пока каждая публикация не завершена, текущие требования, руководства и процедуры, где они существуют, остаются действующими. Для целей планирования и перехода федеральные агентства имеют возможность постоянно отслеживать разработку этих новых публикаций в NIST.
Организации поощрены рассматривать все черновые публикации во время периодов для публичных комментариев и предоставлять обратную связь в NIST. Все публикации Отдела компьютерной безопасности NIST, кроме некоторых указанных выше, доступны в http://csrc.nist.gov/publications.
|
Комментарии по этой публикации могут быть направлены в:
Национальный институт стандартов и технологий
Для: Отдел компьютерной безопасности, Лаборатория информационных технологий
100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930
Электронная почта: sec-cert@nist.gov
Отчёты по технологиям компьютерных систем
Лаборатория информационных технологий (ITL) в Национальном институте стандартов и технологий (NIST) продвигает американскую экономику и общее благосостояние, обеспечивая техническое лидерство для национальной инфраструктуры измерений и стандартов. ITL разрабатывает тесты, методы испытаний, справочные данные, осуществляет подтверждения концепций реализации и технический анализ, чтобы продвинуть разработку и продуктивное использование информационных технологий. Обязанности ITL включают разработку управленческих, административных, технических и физических стандартов и руководств для обеспечения рентабельной безопасности и приватности информации не связанной с национальной безопасностью в федеральных информационных системах. Специальные публикации 800-серии содержат информацию относительно исследований, руководств и усилий ITL, направленных на повышение безопасности информационных систем, и ее совместных работ с отраслями, правительством и академическими организациями.
Краткий обзор
Эта публикация обеспечивает каталог мер обеспечения безопасности и приватности для федеральных информационных систем и организаций и процесса выбора мер безопасности для защититы деятельности организаций (включая предназначение, функции, имидж и репутацию), активов, организаций, людей, других организаций и Нации от набора разнообразных угроз, включая враждебные кибератаки, стихийные бедствия, структурные отказы и человеческие ошибки. Меры обеспечения адаптируются и реализуются как часть общего для организации процесса, который управляет информационными рисками безопасности и приватности. Меры обеспечения определяются разнообразным набором требований безопасности и приватности для федерального правительства и критической инфраструктуры, полученных из законодательства, Правительственных распоряжений, политик, директив, нормативных актов, стандартов и/или потребностей предназначения и деятельности. Публикация также описывает, как разработать специализированные наборы мер обеспечения или оверлеи, адаптированные для определенных типов функций предназначения/ деятельности, технологий или сред эксплуатации. Наконец, каталог мер безопасности определяет безопасность и с точки зрения функциональности (обеспечиваемой стойкостью функций и механизмов безопасности) и с точки зрения доверия (мер уверенности в реализованных возможностях безопасности). Обеспечение и функциональности безопасности и доверия к безопасности гарантирует, что продукты информационных технологий и информационные системы, созданные из этих продуктов, используя системные и инженерные принципы обеспечения безопасности, достаточно доверенны.
Ключевые слова
Доверие; компьютерная безопасность; FIPS публикация 199; FIPS публикация 200, FISMA; Закон о неприкосновенности частной жизни; Основы управления рисками; меры безопасности; требования безопасности.
Благодарность
Эта публикация была разработана Межведомственной рабочей группой объединенной экспертной группы по инициативе преобразования совместно с представителями Гражданского, Оборонного и Разведывательного ведомств в продолжение усилий создать единую основу информационной безопасности для федерального правительства. Национальный институт стандартов и технологий хочет выразить благодарность и признательность высшим руководителям от Министерств Торговли и Обороны, Офиса Директора Национальной Разведки, Комитета по Системам Национальной безопасности и членам межведомственной технической рабочей группы, чьи объединенные усилия значительно способствовали публикации. Высшие руководители, члены межведомственной рабочей группы и их организационная принадлежность включают:
Министерство обороны
Teresa M. Takai
Директор по информации МО
Robert J. Carey
Первый заместитель Директора по информации МО
Richard Hale
Заместитель Директора по информации по кибербезопасности
Dominic Cussatt
Заместитель директора, политика кибербезопасности
|
Офис Директора Национальной Разведки
Adolpho Tarasiuk Jr.
Помощник DNI и Директор по информации Разведывательного ведомства
Charlene Leubecker
Заместитель Директора по информации Разведывательного ведомства
Catherine A. Henson
Директор, управление данными
Greg Hall
Руководитель, Отдел программ управления рисками и информационной безопасности
|
Национальный институт стандартов и технологий
Charles H. Romine
Директор, Лаборатория информационных технологий
Donna Dodson
Советник по вопросам кибербезопасности, Лаборатория информационных технологий
Donna Dodson
Руководитель, Отдел компьютерной безопасности
Ron Ross
Руководитель проекта реализации FISMA
|
Комитет по Системам национальной безопасности
Teresa M. Takai
Председатель, CNSS
Richard Spires
Сопредседатель, CNSS
Dominic Cussatt
Сопредседатель подкомитета CNSS
Jeffrey Wilk
Сопредседатель подкомитета CNSS
Richard Tannich
Сопредседатель подкомитета
|
Межведомственная рабочая группа Объединенной экспертной группы по инициативе преобразования
Ron Ross
NIST, Лидер JTF
Esten Porter
MITRE Corporation
Kevin Stine
NIST
Lisa Kaiser
DNS
|
Gary Stoneburner
APL Джонса Хопкинса
Bennett Hodge
Буз Аллен Гамильтон
Jennifer Fabius
MITRE Corporation
Pam Miller
MITRE Corporation
|
Richard Graubart
MITRE Corporation
Karen Quigg
MITRE Corporation
Daniel Faigin
Aerospace Corporation
Sandra Miravalle
MITRE Corporation
|
Kelley Dempsey
NIST
Christian Enloe
NIST
Arnold Johnson
NIST
Victoria Pillitteri
NIST
|
В дополнение к вышеупомянутым выражаем специальную благодарность Peggy Himes и Elizabeth Lennon NIST за их превосходное техническое редактирование и административную поддержку. Авторы также хотят выделить Marshall Abrams, Nadya Bartol, Frank Belz, Deb Bodeau, Dawn Cappelli, Corinne Castanza, Matt Coose, George Dinolt, Kurt Eleam, Jennifer Guild, Cynthia Irvine, Cass Kelly, Steve LaFountain, Steve Lipner, Tom Macklin, Tim McChesney, Michael McEvilley, John Mildner, Joji Montelibano, George Moore, LouAnna Notargiacomo, Dorian Pappas, Roger Schell, Carol Woody и весь научный персонал Отдела компьютерной безопасности NIST за их исключительное содействие в помощи по улучшению текста публикации. И наконец, авторы также с благодарностью подтверждают и ценят существенные содействия от людей, рабочих групп и организаций в общественных и частных секторах и на национальном и международном уровне, чьи вдумчивые и конструктивные комментарии улучшили общее качество, тщательность и полноценность этой публикации.
FIPS 200 И SP 800-53
РЕАЛИЗАЦИЯ СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И РУКОВОДСТВ
Публикация FIPS 200, Минимальные требования безопасности для федеральной информации и информационных систем, является обязательным федеральным стандартом, разработанным NIST в ответ на FISMA. Чтобы соответствовать федеральному стандарту, организации сначала определяют категорию безопасности своей информационной системы в соответствии с FIPS Публикацией 199, Стандартами для классификации безопасности федеральной информации и информационных систем, исходя из категории безопасности, получают уровень воздействия на информационную систему в соответствии с FIPS 200, и затем применяют соответствующий специализированный набор мер базового уровня безопасности из Специальной публикации NIST 800-53, Меры обеспечения безопасности и приватности для федеральных информационных систем и организаций. У организаций есть гибкость в применении мер обеспечения базового уровня безопасности в соответствии с руководством, представленным в Специальной публикации 800-53. Это позволяет организациям адаптировать соответствующий базовый набор мер безопасности так, чтобы он более близко соответствовал их предназначением, требованиями к деятельности и средой эксплуатации.
FIPS 200 и Специальная публикация NIST 800-53 совместно гарантируют, что ко всей федеральной информации и информационным системам применены соответствующие требования безопасности и меры безопасности. Оценка организациями риска обеспечивает проверку начального выбора мер безопасности и определение, необходимы ли дополнительные меры, чтобы защитить деятельность организаций (включая задачу, функции, имидж или репутацию), активы организаций, людей, другие организации или Нацию. Результирующий набор мер безопасности устанавливает уровень должной безопасности для организаций.
|
РАЗРАБОТКА ОБЩИХ ОСНОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СОТРУДНИЧЕСТВО СРЕДИ СУЩНОСТЕЙ ОБЩЕСТВЕННОГО И ЧАСТНОГО СЕКТОРА
При разработке стандартов и руководств, требуемых FISMA, NIST консультируется с другими федеральными агентствами и с частным сектором, чтобы улучшить информационную безопасность, избежать ненужного и дорогостоящего дублирования усилий и гарантировать, что его публикации соотносятся со стандартами и руководствами, используемыми для защиты систем национальной безопасности. В дополнение к общему всестороннему процессу рассмотрения и исследования, NIST сотрудничает с Офисом Директора национальной разведки (ODNI), Министерством обороны (DoD) и Комитетом по системам национальной безопасности (CNSS), чтобы установить унифицированную основу информационной безопасности для федерального правительства. Общая основа информационной безопасности обеспечит Гражданский, Оборонный и Разведывательный сектора федерального правительства и их подрядчиков более рентабельными и непротиворечивыми способами управления риском, связанным с информационной безопасностью, в отношении деятельности организаций, активов организаций, людей, других организаций и Нации. Унифицированная основа также обеспечит прочное основание для взаимного принятия решений по санкционированию и облегчит совместное использование информации. NIST также работает со многими сущностями общественного и частного сектора, чтобы установить отображения и отношения между стандартами обеспечения безопасности и руководствами, разработанными NIST и Международной организацией по стандартизации и Международной электротехнической комиссией (ISO/IEC).
|
ТРЕБОВАНИЯ БЕЗОПАСНОСТИ
С ТОЧКИ ЗРЕНИЯ РАЗЛИЧНЫХ СООБЩЕСТВ ПО ИНТЕРЕСАМ
Термин требования безопасности используется различными сообществами и группами по-разному и требуется дополнительное объяснение чтобы установить определеный контекст для различных вариантов использования. Требования безопасности могут быть заявлены на очень высоком уровне абстракции, например, в законодательстве, Правительственных распоряжениях, директивах, политиках, стандартах и описаниях потребностей предназначения/деятельности. FISMA и FIPS публикация 200 ясно формулируют требования безопасности на таком уровне.
Персонал приобретения разрабатывает требования безопасности для целей заключения контракта, которые определяют необходимость защиты, чтобы достигнуть потребности предназначения/ деятельности. Системные инженеры, инженеры по безопасности, разработчики систем и системные интеграторы разрабатывают проектные требования безопасности для информационных систем, разрабатывают архитектуру безопасности систем и архитектурно-зависимые требования безопасности, и впоследствии, реализуют конкретные функции безопасности в аппаратных средствах, программном обеспечении и на уровне компонентов встроенного микропрограммного обеспечения.
Требования безопасности также отражены в различных нетехнических мерах безопасности, которые определяют такие вопросы как политика и процедуры в управленческих и эксплуатационных элементах организаций в различных уровнях детализации. Важно определить контекст для каждого использования термина требования безопасности таким образом, чтобы соответствующие сообщества (включая людей, ответственных за политику, архитектуру, приобретение, технику и защиту предназначения/ деятельности) могли ясно передать свое намерение.
Организации могут определить некоторые возможности безопасности, необходимые для удовлетворения требованиям безопасности, и обеспечить соответствующую защиту предназначения и деятельности. Возможности безопасности, как правило, определяются объединением в конкретный набор мер защиты/контрмер (то есть, мер безопасности), полученных из соответственно уточненных базовых наборов мер, которые вместе формируют необходимые возможности.
|
НЕЙТРАЛНОСТЬ ТЕХНОЛОГИИ И ПОЛИТИКИ
ХАРАКТЕРИСТИКИ МЕР БЕЗОПАСНОСТИ
Меры безопасности в каталоге, за редким исключением, были разработаны, чтобы быть нейтральными в отношении политик и технологий. Это означает, что меры безопасности и улучшения мер безопасности сосредотачиваются на фундаментальных мерах защиты и контрмерах, необходимых, чтобы защитить информацию при обработке, во время хранения и при передаче. Поэтому, за рамки этой публикации выходит представление о приложении мер безопасности к конкретным технологиям, средам эксплуатации, сообществам интереса или функциям предназначения/деятельности. Специализированные области определяются при помощи процесса адаптации, описанного в Главе Три и использования оверлеев, описанных в Приложении I. Нужно также отметить, что в то время как меры безопасности в значительной степени нейтральны в отношении полит и технологий, это в действительности не подразумевает, что меры безопасности не подразумевают политик и технологий. Понимание политик и технологий необходимо, чтобы меры безопасности были значимы и соответствующе реализованы.
В немногих случаях, когда конкретные технологии упомянуты в мерах безопасности (например, мобильные устройства, PKI, беспроводная связь, VOIP), организациям дается предостережение, что потребность обеспечить адекватную безопасность находится вне требований к отдельной мере безопасности, связанной с определенной технологией. Многие из необходимых мер и контрмер защиты получаются из других мер безопасности в каталоге, выделением начального базоввого набора мер безопасности как начальной точки для разработки планов обеспечения безопасности и оверлеев, используя процесс адаптации. Может также быть некоторое перекрытие в защите, связанное с мерами безопасности в различных семействах мер безопасности.
В дополнение к управляемой клиентом разработке специализированных планов обеспечения безопасности и оверлеев, Специальные публикации NIST и Межведомственные отчеты могут дать представление о рекомендуемых мерах безопасности для конкретных технологий и специфичных для сектора приложений (например, программно-управляемые сети, здравоохранение, индустриальные системы управления и мобильные устройства).
Использование каталога мер безопасности, нейтрального в отношении технологий и политик, обладает следующими преимуществами:
Это поощряет организации сосредотачиваться на возможностях безопасности, требуемых для успеха в предназначении/деятельности и защите информации, независимо от информационных технологий, которые используются в информационных системах организаций.
Это поощряет организации анализировать каждую меру безопасности для ее применения в конкретных технологиях, средах эксплуатации, функциях предназначения/деятельности и сообществах интересов.
Это поощряет организации определять политику безопасности как часть процесса адаптации для мер безопасности, у которых есть переменные параметры.
Специализация планов обеспечения безопасности, с использованием руководства по адаптации и оверлеев, вместе с устойчивым набором нейтральных в отношении технологий и политик мер безопасности, способствует рентабельной, основанной на риске информационной безопасности для организаций в любом секторе, для любой технологии и в любой среде применения.
|
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДОЛЖНУЮ СТАРАТЕЛЬНОСТЬ
УПРАВЛЕНИЕ РИСКОМ В ОТНОШЕНИИ ФУНКЦИЙ ПРЕДНАЗНАЧЕНИЯ/ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИЙ
Меры безопасности в Специальной публикации NIST 800-53 разработаны, чтобы облегчить согласие с применимыми федеральными законами, Правительственными распоряжениями, директивами, политиками, нормативными актами, стандартами и руководствами. Согласие это не соблюдение статических контрольных списков или генерирование не требуемых FISMA отчетных документов. Скорее, согласие требует должной старательности организаций относительно информационной безопасности и управления рисками. Должная старательность в информационной безопасности включает использование всей соответствующей информации как часть общей для организации программы управления рисками, чтобы эффективно использовать руководство адаптации и свойственную публикациям NIST гибкость в том, чтобы выбранные меры безопасности, задокументированные в планы обеспечения безопасности организаций, выполняли требования по предназначению и деятельности организаций. Использование инструментов управления рисками и технологий, которые доступны организациям, важно в разработке, реализации и поддержании мер защиты и контрмер с необходимой и достаточной стойкостью механизмов, чтобы противостоять текущим угрозам деятельности и активам организаций, людям, другим организациям и Нации. Применение эффективных, основанных на риске процессов, процедур и технологий поможет гарантировать то, что у всех федеральных информационных систем и организаций есть необходимая устойчивость, чтобы поддерживать имеющиеся федеральные обязанности, критические приложения инфраструктуры и непрерывность руководства.
|
МЕРЫ ОБЕСПЕЧЕНИЯ ПРИВАТНОСТИ
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПРИВАТНОСТИ ДЛЯ ФЕДЕРАЛЬНОЙ ИНФОРМАЦИИ
Приложение J, Каталог Мер приватности, является новым дополнением к NIST Специальной публикации 800-53. Оно предназначено, чтобы обеспечить потребности в приватности для федеральных агентств. Приложение приватности:
Обеспечивает структурированный набор мер приватности, основанных на лучших методах, что поможет организациям выполнять применимые федеральные законы, Правительственные распоряжения, директивы, инструкции, нормативные акты, политики, стандарты, руководства и специфичные для организаций публикации;
Устанавливает зависимости и отношения между мерами обеспечения приватности и безопасности с целью определения соответствующих требований приватности и безопасности, которые могут наложиться в проектах и в реализации для федеральных информационных систем, программ и организаций;
Демонстрирует применимость основ управления рисками NIST при выборе, реализации, оценке и постоянном мониторинге мер приватности, реализуемых в федеральных информационных системах, программах и организациях; и
Способствует более тесному сотрудничеству между должностными лицами по приватности и безопасности в рамках федерального правительства, чтобы помочь в достижении целей высших лидеров/руководителей по установлению требований в федеральном законодательстве, политиках, нормативных актах, директивах, стандартах и руководствах по приватности.
Есть большое сходство в структуре мер приватности в Приложении J и мер безопасности в Приложениях F и G. Например, мера AR-1 (Управление и программа приватности) требует, чтобы организации разработали планы обеспечения приватности, которые могут быть реализованы на уровне организации или на уровне программы. Эти планы могут также использоваться в соединении с планами обеспечения безопасности, что предоставляет возможность организациям выбрать соответствующий набор мер обеспечения безопасности и приватности в соответствии с требованиями к предназначению/деятельности организаций и средами, в которых действуют организации. Включение аналогичных концепций, используемых в управлении рисками информационной безопасности, помогает организациям реализовать меры приватности в более рентабельном, основанном на анализе риска способе, одновременно защищая отдельно приватность и удовлетворяя взаимоувязанным требованиям. Стандартизированные меры приватности обеспечивают более дисциплинированный и структурированный подход для того, чтобы он удовлетворил федеральным требованиям приватности и демонстрировал согласие с другими требованиями.
|
ПРЕДОСТЕРЕЖЕНИЕ
РЕАЛИЗАЦИЯ ИЗМЕНЕНИЙ, ОСНОВАННЫХ НА ПЕРЕСМОТРАХ СПЕЦИАЛЬНОЙ ПУБЛИКАЦИИ 800-53
Когда NIST публикует пересмотры Специальной публикации 800-53, есть четыре основных типа изменений, произведенных в документе: (i) меры безопасности или улучшения мер безопасности добавлены или удалены из Приложений F и G и/или для низкого, умеренного и высокого базовых уровней; (ii) изменено дополнительное руководство; (iii) изменен материал в основных главах или приложениях; и (iv) стиль изложения уточнен и/или обновлен всюду по документу.
Когда изменяются существующие специализированные базовыенаборы мер безопасности на Уровне 3 в иерархии управления рисками (как описано в Специальной публикации 800-39) и обновляются меры безопасности на любом уровне как результат пересмотра Специальной публикации 800-53, организации должны применять проверенный, основанный на риске подход, в соответствии с допустимым риска для организаций и текущими оценками степени риска. Если иначе не определено политикой OMB, следующие работы рекомендуется реализовать при изменениях в Специальной публикации 800-53:
Во-первых, организации определяют, применимы ли какие-либо дополнительные меры безопасности/улучшения мер безопасности к информационным системам организаций или средам эксплуатации после адаптации руководств в этой публикации.
Затем, организации пересматривают изменения в дополнительных руководствах, руководствах в основных главах и приложениях и обновления/разъяснения стиля изложения всюду по публикации, чтобы определить, применимы ли изменения к каким-либо информационным системам организаций и требуются ли любые немедленные действия.
Наконец, как только организации определили полноту изменений, требуемых ами публикации, изменения интегрируются в установленный непрерывный процесс контроля до самой большой возможной степени. Реализация новых или измененных мер безопасности, направленных на устранение специфических, актуальных угроз, всегда является самым высоким приоритетом для упорядочивания и реализации изменений. Модификации, такие как изменения к шаблонам или незначительные изменения стиля изложения в политиках или процедурах, являются обычно самым низким приоритетом и делаются в соответствии с установленным циклом пересмотра.
|
Оглавление
|
