NIST Sonderveröffentlichung 800-53 Revision 4

NinjaOne hat dieses Rahmenwerk als Ergänzung zu CSF v1.1 und 800-171r1 gewählt, da diese Veröffentlichung die Kontrollen aufzählt und weitere Einzelheiten zu den Anforderungen enthält. 

https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final

Diese Veröffentlichung bietet einen Katalog von Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und Organisationen sowie einen Prozess zur Auswahl von Kontrollen zum Schutz von organisatorischen Operationen (einschließlich Auftrag, Funktionen, Image und Reputation), Organisationsvermögen, Einzelpersonen, anderen Organisationen und der Nation vor einer Vielzahl von Bedrohungen, einschließlich feindlicher Cyberangriffe, Naturkatastrophen, struktureller Fehler und menschlicher Fehler (sowohl absichtlich als auch unabsichtlich). Die Sicherheits- und Datenschutzkontrollen sind anpassbar und werden als Teil eines unternehmensweiten Prozesses implementiert, der das Risiko der Informationssicherheit und des Datenschutzes verwaltet. Die Kontrollen beziehen sich auf eine Vielzahl von Sicherheits- und Datenschutzanforderungen in der gesamten Bundesregierung und in der kritischen Infrastruktur, die sich aus der Gesetzgebung, den Verordnungen der Exekutive, den Richtlinien, Direktiven, Vorschriften, Standards und/oder den Bedürfnissen von Missionen/Geschäften ergeben. Die Veröffentlichung beschreibt auch, wie man spezialisierte Kontrollsätze oder Überlagerungen entwickelt, die auf bestimmte Arten von Missionen/Geschäftsfunktionen, Technologien oder Betriebsumgebungen zugeschnitten sind. Schließlich behandelt der Katalog mit Sicherheitskontrollen die Sicherheit sowohl aus der Funktionalitätsperspektive (die Stärke der Sicherheitsfunktionen und -mechanismen) als auch aus der Vertrauensperspektive (in welchem Maße der implementierte Sicherheitsfähigkeit vertraut wird). Die Berücksichtigung sowohl der Sicherheitsfunktionalität als auch der Vertrauensperspektive trägt dazu bei, sicherzustellen, dass die informationstechnischen Komponentenprodukte und die aus diesen Produkten unter Verwendung solider System- und Sicherheitstechnikprinzipien aufgebauten Informationssysteme ausreichend vertrauenswürdig sind.

In dieser Veröffentlichung abgedeckte Steuerungsfamilien:

  • Zugriffssteuerung
  • Prüfung und Rechenschaftspflicht
  • Sensibilisierung und Fortbildung
  • Sicherheitsbewertung und Autorisierung
  • Konfigurationsmanagement
  • Notfallplanung
  • Identifizierung und Authentifizierung
  • Reaktion auf Vorfälle
  • Wartung
  • Medienschutz
  • Persönliche Sicherheit
  • Physischer und Umweltschutz
  • Planung
  • Risikobewertung
  • System- und Kommunikationsschutz
  • System- und Informationsintegrität
  • Erwerb von Systemen und Dienstleistungen

NIST SP 800-53