Publicación especial del NIST 800-53 Revisión 4

NinjaOne seleccionó este marco como complemento de CSF v1.1 y 800-171r1, ya que esta publicación alitera los controles y proporciona más detalles sobre los requisitos.

https://csrc.nist.gov/pubs/sp/800/53/r4/upd3/final

Esta publicación proporciona un catálogo de controles de seguridad y privacidad para los sistemas de información y organizaciones federales, así como un proceso de selección de controles para proteger las operaciones de la organización (incluyendo la misión, las funciones, la imagen y la reputación), los activos de la organización, los individuos, otras organizaciones y la nación de un conjunto diverso de amenazas, incluyendo ciberataques hostiles, desastres naturales, fallos estructurales y errores humanos (tanto intencionales como no intencionales).

Los controles de seguridad y privacidad son personalizables y se implementan como parte de un proceso de toda la organización que gestiona la seguridad de la información y el riesgo de privacidad. Los controles abordan un conjunto diverso de requisitos de seguridad y privacidad en todo el gobierno federal y la infraestructura crítica, derivados de la legislación, órdenes ejecutivas, políticas, directivas, reglamentos, normas y / o necesidades de la misión / negocio.

La publicación también describe cómo desarrollar conjuntos especializados de controles, o superposiciones, adaptados a tipos específicos de misiones/funciones empresariales, tecnologías o entornos de operación.

Por último, el catálogo de controles de seguridad aborda la seguridad tanto desde el punto de vista de la funcionalidad (la solidez de las funciones y mecanismos de seguridad proporcionados) como de la garantía (las medidas de confianza en la capacidad de seguridad implementada).

Abordar tanto la funcionalidad como la garantía de la seguridad ayuda a garantizar que los productos de los componentes de la tecnología de la información y los sistemas de información construidos a partir de esos productos utilizando sólidos principios de ingeniería de sistemas y de seguridad son suficientemente fiables.

Familias de control cubiertas en esta publicación:

  • Control de acceso
  • Auditoría y rendición de cuentas
  • Concienciación y formación
  • Evaluación y autorización de la seguridad
  • Gestión de la configuración
  • Planificación de contingencias
  • Identificación y autenticación
  • Respuesta a incidentes
  • Mantenimiento
  • Protección de medios
  • Seguridad del personal
  • Protección física y medioambiental
  • Planificación
  • Evaluación de riesgos
  • Protección de sistemas y comunicaciones
  • Integridad del sistema y de la información
  • Adquisición de sistemas y servicios

NIST SP 800-53