NIST Special Publication 800-53 Revision 4

NinjaOne a choisi ce cadre en complément des normes CSF v1.1 et 800-171r1, car cette publication répète les contrôles et fournit plus de détails sur les exigences  

https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final

Cette publication fournit un catalogue des contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations fédérales, ainsi qu'un processus de sélection des contrôles pour protéger les opérations organisationnelles (y compris la mission, les fonctions, l'image et la réputation), les actifs organisationnels, les individus, les autres organisations et la nation contre un ensemble diversifié de menaces, y compris les cyberattaques hostiles, les catastrophes naturelles, les défaillances structurelles et les erreurs humaines (intentionnelles et non intentionnelles). Les contrôles de sécurité et de confidentialité sont personnalisables et mis en place dans le cadre d'un processus à l'échelle de l'organisation qui gère la sécurité des informations et le risque de confidentialité. Les contrôles portent sur un ensemble diversifié d'exigences en matière de sécurité et de protection de la vie privée au sein du gouvernement fédéral et des infrastructures essentielles, découlant de la législation, des décrets («Executive Orders»), des politiques, des directives, des règlements, des normes et/ou des besoins de la mission/des affaires. La publication décrit également comment développer des ensembles de contrôles spécialisés et adaptés à des types spécifiques de missions/fonctions commerciales, de technologies ou d'environnements d'opération. Enfin, le catalogue des contrôles de sécurité aborde la sécurité à la fois du point de vue des fonctionnalités (la force des fonctions et des mécanismes de sécurité fournis) et du point de vue de l'assurance (les mesures de confiance dans la capacité de la sécurité mise en place). La prise en compte à la fois de la fonctionnalité et de l'assurance de la sécurité permet de garantir que les produits composants des technologies de l'information et les systèmes d'information, construits à partir de ces produits en utilisant des principes solides d'ingénierie des systèmes et de la sécurité, sont suffisamment fiables.

Catégories de contrôle abordées dans cette publication :

  • Contrôle des Accès
  • Audits et Responsabilité
  • Sensibilisation et Formation
  • Évaluation de la Sécurité et Autorisation
  • Gestion des Configurations
  • Plan de Continuité
  • Identification et Authentification
  • Réponse aux Incidents
  • Maintenance
  • Protection des Médias
  • Sécurité du Personnel
  • Protection Physique et Environnementale
  • Planification
  • Évaluation des Risques
  • Protection des Systèmes et des Communications
  • Intégrité des Systèmes et des Informations
  • Acquisition des Systèmes et des Services

NIST SP 800-53