28 февраля 2012 года американский Национальный институт стандартов и технологий выложил для публичного обсуждения первоначальный проект 4-й редакции Специальной публикации SP 800-53 «Меры обеспечения безопасности и защиты персональных данных в федеральных информационных системах и организациях» (Security and Privacy Controls for Federal Information Systems and Organizations).
Документ объёмом 375 страниц доступен по адресу http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800-53-rev4-ipd.pdf . Публичное обсуждение проекта продлится до 6 апреля 2012 года. Окончательную версию документа предполагается опубликовать уже в июле этого года.
В опубликованном на сайте NIST информационном сообщении также отмечается следующее:
«4-я редакция Специальной публикации 800-53 представляет собой кульминацию продолжавшейся в течение года инициативы по обновлению содержания каталога мер безопасности и руководства по выбору мер обеспечения безопасности для федеральных информационных систем и организаций и по подготовке соответствующих спецификаций.»
«Проект выполнялся институтом в сотрудничестве и взаимодействии с Министерством обороны, разведывательным сообществом, Комитетом по информационным системам обеспечения национальной безопасности (Committee on National Security Systems) и Министерства внутренней безопасности (Department of Homeland Security). Предлагаемые в новой редакции изменения непосредственно связаны с текущим состоянием угроз (т.е. с возможностями и намерениями противников, и выбором ими целей для атак). Они также опираются на собранные и проанализированные данные об атаках за продолжительный период времени. В число основных изменений входят:
Документ объёмом 375 страниц доступен по адресу http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800-53-rev4-ipd.pdf . Публичное обсуждение проекта продлится до 6 апреля 2012 года. Окончательную версию документа предполагается опубликовать уже в июле этого года.
В опубликованном на сайте NIST информационном сообщении также отмечается следующее:
«4-я редакция Специальной публикации 800-53 представляет собой кульминацию продолжавшейся в течение года инициативы по обновлению содержания каталога мер безопасности и руководства по выбору мер обеспечения безопасности для федеральных информационных систем и организаций и по подготовке соответствующих спецификаций.»
«Проект выполнялся институтом в сотрудничестве и взаимодействии с Министерством обороны, разведывательным сообществом, Комитетом по информационным системам обеспечения национальной безопасности (Committee on National Security Systems) и Министерства внутренней безопасности (Department of Homeland Security). Предлагаемые в новой редакции изменения непосредственно связаны с текущим состоянием угроз (т.е. с возможностями и намерениями противников, и выбором ими целей для атак). Они также опираются на собранные и проанализированные данные об атаках за продолжительный период времени. В число основных изменений входят:
- Ряд новых и улучшения уже имевшихся мер обеспечения безопасности;
- Более ясный язык при формулировке требований и спецификаций для мер обеспечения безопасности;
- Новое руководство по индивидуализации и настройке мер безопасности, включая создание специализированных наборов мер безопасности (overlays);
- Дополнительные вспомогательные указания по мерам безопасности и их усилению;
- Новые меры защиты персональных данных и указания по их внедрению;
- Обновленные базовые профили мер безопасности (security control baselines);
- Новые, более удобные для использования сводные таблицы мер безопасности, а также
- Пересмотренные меры обеспечения уверенности (designated assurance controls) и требования в отношении минимальных гарантий (minimum assurance).»
«Многие изменения были обусловлены специфическими вопросами обеспечения кибербезопасности и проблемами, требующими повышенного внимания - такими, как, например, угрозы со стороны инсайдеров, мобильные и облачные вычисления, безопасность программных приложений, целостность прошивок (firmware), риски, связанные с цепочкой поставок, а также постоянные угрозы повышенной сложности (advanced persistent threat, APT).»
«Предлагаемые в данной публикации меры обеспечения безопасности и защиты персональных данных, вместе с гибкостью, предусмотренной в указаниях по их внедрению, обеспечивают необходимые инструменты для реализации эффективной, опирающейся на анализ рисков программы обеспечения кибербезопасности, способной противостоять самые сложным угрозам.»
Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html
«Предлагаемые в данной публикации меры обеспечения безопасности и защиты персональных данных, вместе с гибкостью, предусмотренной в указаниях по их внедрению, обеспечивают необходимые инструменты для реализации эффективной, опирающейся на анализ рисков программы обеспечения кибербезопасности, способной противостоять самые сложным угрозам.»
Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html
Комментариев нет:
Отправить комментарий