США: Опубликована новая редакция руководства NIST SP 800-53 «Меры обеспечения безопасности и неприкосновенности частной жизни для информационных систем и организаций»

23 сентября 2020 года на сайте и в новостной рассылке американского Национального института стандартов и технологий (NIST) было объявлено о выходе в свет новой редакции (Revision 5) специальной публикации NIST SP 800-53 «Меры обеспечения безопасности и неприкосновенности частной жизни для информационных систем и организаций» (Security and Privacy Controls for Information Systems and Organizations) объёмом 483 страницы, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf .

Ранее я уже рассказывала о работе над этим документом, см. http://rusrim.blogspot.com/2017/08/nist.html ; а также о предыдущей редакции (Revision 4), см. http://rusrim.blogspot.com/2012/02/nist.html

В аннотации на документ сказано следующее:

«Настоящая публикация представляет собой предназначенный для информационных систем и организаций каталог мер и средств контроля и управления для обеспечения безопасности и неприкосновенности частной жизни, направленных на защиту операций и активов организации, отдельных лиц, других организаций и американского народа от набора разнообразных угроз и рисков, включая враждебные атаки, человеческие ошибки, стихийные бедствия, структурные сбои, деятельность иностранных разведок и риски для неприкосновенности частной жизни.

Меры и средства контроля и управления являются гибкими, настраиваемыми и реализуются в рамках общеорганизационного процесса менеджмента риска. Данные меры нацелены на удовлетворение различных требований, вытекающим из миссии организации и потребностей деловой деятельности, законов, президентских указов, директив, нормативных актов, политик, стандартов и руководств.

Наконец, консолидированный каталог мер и средств контроля и управления решает вопросы обеспечения безопасности и неприкосновенности частной жизни как с точки зрения функциональности (т.е. силы функций и механизмов, обеспечиваемых мерами контроля и управления), так и с точки зрения обеспечения уверенности (т.е. степени уверенности в возможности обеспечить безопасность и неприкосновенности частной жизни, которую дает применение мер контроля и управления). Такой подход, при котором рассматриваются функциональность и обеспечение уверенности, помогает обеспечить достаточную надежность ИТ-продуктов и опирающихся на эти продукты систем.»

В новости NIST также отмечает: «Данная редакция специальной публикации NIST SP 800-53 представляет собой итог многолетних усилий по подготовке нового поколения мер обеспечения безопасности и защиты неприкосновенности частной жизни, необходимых для укрепления и поддержки деятельности федерального правительства и всех сегментов критически-важной инфраструктуры. Эти меры контроля и управления нового поколения поддерживают упреждающий систематический подход к обеспечению того, чтобы критически важные системы, компоненты и сервисы были в достаточной степени надежными и жизнестойкими для защиты экономических интересов и интересов национальной безопасности США.»

Среди наиболее существенных отличий новой редакции от предыдущей названы следующие:

• Консолидация каталога мер: Меры и средства обеспечения информационной безопасностью и неприкосновенности частной жизни (защиты персональных данных) теперь интегрированы в единый консолидированный каталог мер для информационных систем и организаций;
  
  
• Интеграция менеджмента риска для цепочек поставок: В новой редакции вводится новое семейство мер и средств управления рисками цепочек поставок (supply chain risk management, SCRM) и интегрируются аспекты SCRM по всему каталогу;
  
  
• Добавление новых, соответствующих передовой практике мер и средств контроля и управления: Эти меры основаны на последних сведениях об угрозах и данных о кибератаках (например, это меры для поддержки киберустойчивости, безопасного проектирования систем, стратегического управления безопасностью и защитой неприкосновенности частной жизни, а также подотчётности);
  
  
• Преобразование описаний мер и средств контроля и управления таким образом, чтобы те были нацелены на результат: В новой редакции это достигается путем удаления упоминания о том, кто отвечает за реализацию мер (информационная система, организация) из их описания;
  
  
• Улучшение описаний взаимосвязей между элементами контента: В новой редакции более четко объясняется взаимосвязь между требованиями и мерами контроля и управления, а также взаимосвязь между мерами обеспечения безопасности и защиты неприкосновенности частной жизни;
  
  
• Отделение процессов выбора мер контроля и управления от самих мер: Это позволяет использовать меры и средства контроля и управления различным сообществам по интересам, включая системных инженеров, архитекторов безопасности, разработчиков программного обеспечения, корпоративных архитекторов, специалистов по безопасности и конфиденциальности систем, а также владельцев миссий или бизнеса;
  
  
• Перенос базовых контрольных показателей и руководства по адаптации в специальную публикацию NIST SP 800-53B «Базовые профили мер контроля и управления для информационных систем и организаций» (Control Baselines for Information Systems and Organizations – о ней см. мой пост http://rusrim.blogspot.com/2020/08/nist-sp-800-53b.html - Н.Х.).

Содержание документа следующее:

1. Введение
2. Основные положения
3. Меры и средства контроля и управления
Литература
Приложение A: Глоссарий
Приложение B: Сокращения
Приложение C: Сводное описание мер и средств контроля и управления

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf