пятница, 14 августа 2020 г.

США: Национальный институт стандартов и технологий начал публичное обсуждение специальной публикации NIST SP 800-53B «Базовые профили мер контроля и управления для информационных систем и организаций»


Данная новость была опубликована на сайте и в новостной рассылке американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) 31 июня 2020 года.

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 31 июля 2020 года выложил для публичного обсуждения проект новой специальной публикации NIST SP 800-53B «Базовые профили мер контроля и управления для информационных систем и организаций» (Control Baselines for Information Systems and Organizations) объёмом 85 страниц, см. https://csrc.nist.gov/publications/detail/sp/800-53b/draft  ; прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53B-draft.pdf .

NIST SP 800-53B предусматривает три базовых профиля для обеспечения безопасности (security control baseline) для федеральных систем с низким, средним и высоким уровнем воздействия, а также базовый профиль для обеспечения неприкосновенности частной жизни для систем - вне зависимости от их уровня воздействия.

Базовые профили обеспечения безопасности и неприкосновенности частной жизни были дополнены мерами контроля и управления, описанными в специальной публикации NIST SP 800-53 «Меры обеспечения безопасности и неприкосновенности частной жизни для информационных систем и организаций» (Security and Privacy Controls for Information Systems and Organizations, о ней см. также http://rusrim.blogspot.com/2017/08/nist.html - Н.Х.) 5-й редакции. Содержание базовых профилей отражает результаты всестороннего межведомственного анализа, проведенного в 2017 году, а также постоянно поступающие  материалы и результаты анализа данных об угрозах и реальных кибератаках, собранные после обновления публикации NIST SP 800-53.

В дополнение к базовым профилям, данная публикация содержит руководство по адаптации и набор рабочих предположений, которые помогут направлять и формировать проводимый организациями процесс отбора мер и средств контроля и управления.

Наконец, данная публикация содержит руководство по разработке расширений профилей (overlays), с тем, чтобы облегчить подстройку базовых профилей под потребности и особенности конкретных сообществ по интересам, технологий и условий деятельности. Базовые профили ранее входили в состав публикации NIST SP 800-53, но были выделены из неё в отдельный документ - с тем, чтобы публикация NIST SP 800-53 могла служить объединённым каталогом мер и средств контроля и управления, применяемых для обеспечения безопасности и неприкосновенности частной жизни, пригодным для  использования различными сообществами по интересам.

Помимо Вашего мнения о трёх базовых профилях безопасности, NIST также хотел бы узнать Ваше мнение о базовом профиле для обеспечения неприкосновенности частной жизни и соответствующих критериям отбора.

Поскольку отбор элементов этого базового уровня основан на сопоставлении мер и средств контроля и управления и их расширений, описанных в NIST SP 800-53, с обязанностями, установленными  программы обеспечения конфиденциальности в соответствии с циркуляром А-130 «Управление информацией как стратегическим ресурсом» (Circular No.A-130, Managing Information as a Strategic Resource, https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf ) Административно-бюджетного управления президентской администрации (Office of Management and Budget, OMB), - предлагаемые изменения в базовом профиле для обеспечения неприкосновенности частной жизни должны поддерживаться ссылкой на циркуляр OMB А-130. В качестве альтернативы, Вы можете предоставить описание и обоснование новых или модифицированных критериев отбора элементов для этого базового профиля.

Ваше мнение об этом проекте специальной публикации очень важно для нас. Мы ценим вклад каждого из наших рецензентов – представителей как государственного, так и частного секторов, национальных и зарубежных специалистов, помогающих нам формировать публикации NIST таким образом, чтобы они соответствовали потребностям и ожиданиям наших клиентов.

Общественное обсуждение данного документа открыто до 11 сентября 2020 года.

Мой комментарий: Содержание документа следующее:
Глава 1: Введение
Глава 2: Основные положения
Глава 3: Профили
Литература
Приложение А. Глоссарий
Приложение B. Сокращения
Приложение C. Расширения профилей (overlays)
Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-53b/draft
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53B-draft.pdf

Комментариев нет:

Отправить комментарий