среда, 29 февраля 2012 г.

США: NIST открыл публичное обсуждение новой редакции руководства по мерам безопасности и защиты персональных данных в федеральных информационных системах

28 февраля 2012 года американский Национальный институт стандартов и технологий выложил для публичного обсуждения первоначальный проект 4-й редакции Специальной публикации SP 800-53  «Меры обеспечения безопасности и защиты персональных данных в федеральных информационных системах и организациях» (Security and Privacy Controls for Federal Information Systems and Organizations).

Документ объёмом 375 страниц доступен по адресу http://csrc.nist.gov/publications/drafts/800-53-rev4/sp800-53-rev4-ipd.pdf . Публичное обсуждение проекта продлится до 6 апреля 2012 года. Окончательную версию документа предполагается опубликовать уже в июле этого года.

В опубликованном на сайте NIST информационном сообщении также отмечается следующее:

«4-я редакция Специальной публикации 800-53 представляет собой кульминацию продолжавшейся в течение года инициативы по обновлению содержания каталога мер безопасности и руководства по выбору мер обеспечения безопасности для федеральных информационных систем и организаций и по подготовке соответствующих спецификаций.»

«Проект выполнялся институтом в сотрудничестве и взаимодействии с Министерством обороны, разведывательным сообществом, Комитетом по информационным системам обеспечения национальной безопасности (Committee on National Security Systems) и Министерства внутренней безопасности (Department of Homeland Security). Предлагаемые в новой редакции изменения непосредственно связаны с текущим состоянием угроз (т.е. с возможностями и намерениями противников, и выбором ими целей для атак). Они также опираются на собранные и проанализированные данные об атаках за продолжительный период времени. В число основных изменений входят:
  • Ряд новых и улучшения уже имевшихся мер обеспечения безопасности;

  • Более ясный язык при формулировке требований и спецификаций для мер обеспечения безопасности;

  • Новое руководство по индивидуализации и настройке мер безопасности, включая создание специализированных наборов мер безопасности (overlays);

  • Дополнительные вспомогательные указания по мерам безопасности и их усилению;

  • Новые меры защиты персональных данных и указания по их внедрению;

  • Обновленные базовые профили мер безопасности (security control baselines);

  • Новые, более удобные для использования сводные таблицы мер безопасности, а также

  • Пересмотренные меры обеспечения уверенности (designated assurance controls) и требования в отношении минимальных гарантий (minimum assurance).»
«Многие изменения были обусловлены специфическими вопросами обеспечения кибербезопасности и проблемами, требующими повышенного внимания - такими, как, например,  угрозы со стороны инсайдеров, мобильные и облачные вычисления, безопасность программных приложений, целостность прошивок (firmware), риски, связанные с цепочкой поставок, а также постоянные угрозы повышенной сложности (advanced persistent threat, APT).»

«Предлагаемые в данной публикации меры обеспечения безопасности и защиты персональных данных, вместе с гибкостью, предусмотренной в указаниях по их внедрению, обеспечивают необходимые инструменты для реализации эффективной, опирающейся на анализ рисков программы обеспечения кибербезопасности, способной противостоять самые сложным угрозам.»

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html

Комментариев нет:

Отправка комментария