NIST SP 800-53 es un componente crítico del cumplimiento de FISMA. Controles de seguridad altamente recomendados para Organizaciones y Sistemas de Información Federales.
La Publicación Especial 800-53 del NIST, conocida como Publicación Especial 800-53 del Instituto Nacional de Estándares y Tecnología, establece estándares y pautas sobre cómo las agencias gubernamentales de EE. UU. deben diseñar, implementar, gestionar sus sistemas de seguridad de la información y los datos almacenados en sus sistemas.
La Ley Federal de Gestión de la Seguridad de la Información (FISMA) requiere que NIST SP 800-53 establezca estándares y pautas para agencias y contratistas federales.
NIST SP 800-53 también desempeña un papel en el desarrollo Estándares federales de procesamiento de información (FIPS) junto a FISMA.
A medida que seguimos viendo una creciente dependencia de Internet y una mayor dependencia de sistemas de información para la comunicación empresarial y personal, la necesidad de privacidad y seguridad de la información no hace más que aumentar.
ISMS.online puede ayudar a su organización a cumplir y lograr NIST SP 800-53.
Las pautas se aplican a todos los elementos de un sistema de información que almacena, procesa o transmite información federal.
Las directrices cubren áreas como computación móvil y en la nube, amenazas internas, seguridad de aplicaciones, seguridad de la cadena de suministro y han sido elaborados bajo la naturaleza cambiante de la seguridad de la información.
NIST SP 800-533 cubre los pasos en el marco de gestión de riesgos que abordan la selección del control de seguridad para sistemas de información federales de acuerdo con los requisitos de seguridad en FIPS.
Las normas de seguridad cubren áreas como control de acceso, respuesta a incidentes, continuidad del negocio y recuperación ante desastres. Una parte vital de la política federal Proceso de evaluación y autorización de sistemas de información. está seleccionando e implementando un subconjunto de controles del catálogo de controles de seguridad, NIST 800-53, Apéndice F.
Las salvaguardias de gestión, operativas y técnicas están prescritas para un sistema de informacion para proteger la confidencialidad, integridad, disponibilidad del sistema y su información.
Los controles se pueden ajustar y adaptar para que se ajusten más estrechamente a los objetivos y entornos de la organización.
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
La norma proporciona más sistemas de información seguros a través de familias de control. Las organizaciones privadas cumplen con NIST SP 800-53 porque sus 18 familias de controles les ayudan a afrontar el desafío de seleccionar controles, políticas y procedimientos de seguridad básicos adecuados.
Garantizar la seguridad y el cumplimiento es sólo uno de los beneficios del proceso de personalización. Promueve la coherencia y la aplicación rentable de controles en toda su infraestructura de tecnología de la información. Para garantizar su relevancia para su infraestructura y entorno, lo alienta a analizar cada control de seguridad y privacidad que seleccione.
El impacto de los incidentes en diversos datos y Los sistemas de información requieren una cuidadosa evaluación de riesgos.. NIST 800-53 tiene un catálogo de controles de seguridad, privacidad y controles de orientación. Los controles deben elegirse en función de los requisitos de protección del contenido.
Como se mencionó anteriormente, los Estándares Federales de Procesamiento de Información (FIPS) pueden ayudarlo a elegir los controles que su organización necesita frente a los tres niveles de impacto que se encuentran en FIPS.
Estos niveles de impacto son:
Los controles NIST SP 800-53 se asignan a lo siguiente:
| nombre familiar | ID | Ejemplo de controles |
|---|---|---|
| Control de Acceso | AC | Gestión y seguimiento de cuentas |
| Concienciación y Formación | AT | Sensibilización y formación de usuarios sobre amenazas a la seguridad. |
| Auditoría y rendición de cuentas | AU | Contenido de los registros de auditoría – Análisis e informes – Conservación de registros |
| Evaluación, autorización y seguimiento | CA | Conexiones a redes públicas y sistemas externos – Pruebas de penetración |
| Configuration Management | CM | Políticas de software autorizadas |
| Planes de Contingencia | CP | Sitios alternativos de procesamiento y almacenamiento: estrategias de continuidad del negocio |
| Identificación y autenticación | IA | Políticas de autenticación para usuarios, dispositivos y servicios: gestión de credenciales |
| Participación individual | IP | Consentimiento y autorización de privacidad |
| Respuesta al incidente | IR | Capacitación, monitoreo y presentación de informes en respuesta a incidentes |
| Mantenimiento | MA | Mantenimiento de sistemas, personal y herramientas. |
| Protección de medios | MP | Acceso, almacenamiento, transporte, desinfección y uso de medios. |
| Autorización de privacidad | PA | Recopilación, uso e intercambio de información de identificación personal |
| Protección física y ambiental | PE | Acceso físico – Energía de emergencia – Protección contra incendios – Control de temperatura |
| Planificación | PL | Restricciones de redes sociales y redes: arquitectura de seguridad de defensa en profundidad |
| Gestión de Programas | PM | Estrategia de gestión de riesgos – Programa de amenazas internas – Arquitectura empresarial |
| Personal de Seguridad | PS | Selección, despido y transferencia de personal – Personal externo – Sanciones |
| Evaluación de Riesgos | RA | Evaluación de riesgos – Escaneo de vulnerabilidades – Evaluación de impacto en la privacidad |
| Adquisición de Sistemas y Servicios | SA | Ciclo de vida del desarrollo del sistema – Proceso de adquisición – Gestión de riesgos de la cadena de suministro |
| Protección de sistemas y comunicaciones | SC | Partición de aplicaciones – Protección de límites – Gestión de claves criptográficas |
| Integridad del sistema y de la información | SI | Solución de fallas: monitoreo y alertas del sistema |
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
NIST SP 800-53 Revisión 1 se publicó en diciembre de 2006 como "Controles de seguridad recomendados para sistemas de información federales".
NIST SP 800-53 Revisión 2 se publicó en diciembre de 2007 como "Controles de seguridad recomendados para sistemas de información federales".
NIST SP 800-53 Revisión 3 se publicó en agosto de 2009 como "Controles de seguridad recomendados para organizaciones y sistemas de información federales".. Esta versión incorpora varias recomendaciones de personas que comentaron versiones publicadas anteriormente.
Se recomendó reducir el número de controles de seguridad para sistemas de bajo impacto. Además, sugiera un nuevo conjunto de controles a nivel de aplicación y mayores poderes para que las organizaciones reduzcan los controles.
Cambios introducidos por la revisión 3:
NIST SP 800-53 Revisión 4 se publicó inicialmente en febrero de 2012 como “Controles de seguridad y privacidad para organizaciones y sistemas de información federales”.
La revisión 4 incluyó actualizaciones de los controles de seguridad, orientación complementaria y mejoras de control. También actualizó las directrices de adaptación y suplementación que forman elementos en el proceso de selección de controles.
NIST SP 800-53 Revisión 5 se discutió inicialmente en agosto de 2017 y se eliminó "federal" en “Controles de seguridad y privacidad para organizaciones y sistemas de información federales” para indicar que las regulaciones pueden aplicarse a todas las organizaciones, en lugar de solo a las organizaciones federales. La versión final de la Revisión 5 se lanzó en septiembre de 2020.
Algunos cambios en esta versión incluyen:
NIST SP 800-53A contiene un conjunto de procedimientos para realizar evaluaciones de controles de seguridad y controles de privacidad dentro de sistemas y organizaciones federales.
La Los procedimientos se pueden adaptar fácilmente para dar a las organizaciones la flexibilidad. realizar evaluaciones de control de seguridad y evaluaciones de control de privacidad alineadas con la tolerancia al riesgo declarada por la organización.
Se proporciona orientación sobre el análisis de los resultados de la evaluación, con información sobre cómo crear planes eficaces de evaluación de seguridad y privacidad.
NIST SP 800-53B proporciona controles de seguridad básicos y controles de privacidad para sistemas de información.
Se proporciona orientación sobre el análisis resultados de la evaluación e información sobre cómo construir una seguridad efectiva planes de evaluación.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
Es obligatorio que los sistemas de información federales utilicen el estándar. Para mantener la relación, cualquier organización que trabaje con el gobierno federal debe cumplir con NIST SP 800-53.
El estándar proporciona un marco para que cualquier organización desarrolle, mantenga y mejorar sus prácticas de seguridad de la información, incluidos gobiernos estatales, locales, tribales y empresas privadas.
Las agencias federales deben cumplir con la última revisión de NIST SP 800-53 dentro del año posterior al lanzamiento de la nueva revisión, y los nuevos sistemas deben cumplirla en el momento de su implementación.
NIST SP 800-53 ayuda a organizaciones de todas las formas y tamaños a cumplir con la Ley Federal de Modernización de la Seguridad de la Información (FISMA). Existe un amplio catálogo de controles para reforzar la seguridad.
El propósito de la FISMA es proteger contra el acceso, uso, divulgación, interrupción, modificación y destrucción no autorizados de la información gubernamental. información y activos.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Es un error común pensar que una organización debe elegir entre NIST SP 800-53 o ISO 27001 y que uno es mejor que el otro. Ambos se pueden utilizar dentro de una organización y tienen muchas sinergias entre ellos. Seguridad de los datosLas evaluaciones de riesgos y los programas de seguridad están bajo el alcance de ISO 27001 y NIST SP 800-53.
La Marcos NIST se hicieron voluntarios y flexibles. Tienen varios principios comunes, incluido el de exigir el apoyo de la alta dirección, un proceso de mejora continuay un enfoque basado en riesgos, lo que facilita su implementación junto con la norma ISO 27001.
El proceso de evaluación de riesgos especificado por ISO 27001 adopta un enfoque muy similar al NIST SP 800-53. En ambos casos son necesarios controles adecuados al riesgo, identificar riesgos para la información de la organización y monitorear su desempeño.
| ISO/IEC 27001 (Organización Internacional de Normalización) | NIST (Instituto Nacional de Estándares y Tecnología) |
|---|---|
| ISO 27001 es un enfoque reconocido internacionalmente para establecer y mantener un sistema de gestión de seguridad de la información (SGSI). | La creación del NIST fue para ayudar a las agencias y organizaciones federales de EE. UU. a gestionar mejor sus riesgos. |
| ISO 27001 es menos técnica y hace más énfasis en la gestión basada en riesgos que proporciona recomendaciones de mejores prácticas para proteger toda la información. | Los tres componentes principales del marco son el núcleo, los niveles de implementación y los perfiles, que son las actividades necesarias para cumplir cada función. |
| Hay 14 categorías de control y 114 controles en el anexo A de la norma ISO 27001. | Los marcos NIST tienen varios catálogos de control. |
| Hay diez cláusulas en la norma ISO 27001 que guían a las organizaciones en su recorrido por el SGSI. | El marco NIST tiene cinco funciones que se pueden utilizar para modificar y personalizar los controles de seguridad cibernética. |
| Se utilizan organismos independientes de auditoría y certificación para garantizar el cumplimiento de la norma ISO 27001. | El NIST tiene un mecanismo de autocertificación que es voluntario. |
ISMS.online evoluciona continuamente para Satisfacer las necesidades de seguridad de la información, privacidad y continuidad del negocio de las organizaciones. a traves del globo. Nuestra plataforma simplificada, segura y sostenible admite mucho más que solo ISO/IEC 27001. Como nuestra plataforma crece, también crece la lista de estándares y regulaciones que apoyamos.
Además, nuestra plataforma viene con varios marcos prediseñados que puede adoptar, adaptar o agregar según sus necesidades. necesidades únicas de la organización. O puede crear fácilmente el suyo propio para proyectos de cumplimiento personalizados.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Descargue nuestra guía gratuita para una certificación rápida y sostenible
Los datos de las redes federales pueden incluir información confidencial que es esencial para el funcionamiento continuo del gobierno de los EE. UU.
Podría incluir datos privados del usuario, conocidos como información de identificación personal, que también es importante salvaguardar y que está protegida por NIST SP 800-171.
NIST SP 800-53 es un enfoque sistemático para proteger los sistemas informáticos y de información.
Los sistemas incluyen:
Los tipos de datos que se pueden proteger variarán debido a la diversidad de sistemas y organizaciones.
Las siguientes mejores prácticas ayudan a seleccionar e implementar controles de seguridad y privacidad adecuados para el cumplimiento de NIST 800-53 SP.
NIST SP 800-53 se publicó inicialmente en febrero de 2005. Acertadamente se denomina "Controles de seguridad recomendados para sistemas de información federales".
