Définition - Que signifie NIST 800-53?
Un projet de l'Institut national des normes et de la technologie (NIST), NIST 800-53 est un ensemble complet de contrôles de données pour les bureaux gouvernementaux.
La norme NIST 800-53 s'applique à toutes les données fédérales à l'exception des données fédérales qui ont un impact sur la sécurité nationale. En d'autres termes, c'est la norme «non sensible à la sécurité» pour le gouvernement.
Un ensemble de commandes en trois parties pour trois catégories de données est essentiel à la construction du NIST 800-53:
- Faible impact
- Impact moyen
- Fort impact
Dans ces trois catégories, le NIST 800-53 comprend plusieurs dizaines de composants de commande individuels. Certains d'entre eux concernent les exigences et les processus de surveillance tels que l'audit, tandis que d'autres impliquent des contributions à la planification d'urgence et à la surveillance des incidents, etc.
L'ensemble complet de contrôles traite toutes sortes d'aspects de la cybersécurité et de l'hygiène des données, de l'analyse des menaces aux stratégies préventives telles que le cryptage.
NIST 800-53 est également connu sous le nom de publication spéciale NIST 800-53.
Definir Tech explique NIST 800-53
Le NIST 800-53 inclut également des problèmes de sécurité environnementale, tels que les contrôles de protection contre les incendies, bien que la grande majorité des contrôles concernent la protection des données numériques et l'utilisation des meilleures pratiques et protocoles universels pour éviter les fuites de données numériques.
Un autre élément clé inscrit dans le NIST 800-53 est un ensemble de commandes pour l'accès à distance et sans fil. Ce type de directive sera d'une importance cruciale à l'ère de la pandémie de coronavirus, car les opérations de la main-d'œuvre se déplacent rapidement en ligne et les entreprises se dirigent vers des systèmes de réseau virtuel.
Certaines des commandes du NIST 800-53, par exemple, seront très applicables aux situations BYOD (Bring Your Own Device) où l'appareil personnel d'un employé du gouvernement peut stocker des données gouvernementales sensibles ou contenir des passerelles vers ces données gouvernementales sensibles. Certains des contrôles aideront également à maintenir les normes de cybersécurité, car les appareils connectés à Internet prolifèrent rapidement à l'ère de «l'Internet des objets» (IoT).
Une autre façon de comprendre le NIST 800-53 est de le comparer à un développement plus récent appelé NIST Cybersecurity Framework ou NIST-CSF.
Les directives fédérales montrent que le NIST-CSF ne remplace pas le NIST 800-53, mais fournit plutôt une couverture supplémentaire de la sécurité complète des données. Par exemple, cinq fonctions de base constituant le cadre NIST-CSF, (identifier, détecter, protéger, répondre et récupérer,) sont un moyen sémantique de regrouper de nombreuses normes inhérentes au NIST 800-53, pour révéler plus de l'oiseau. vue d'ensemble des raisons pour lesquelles ces ensembles de règles et de protocoles sont en place.
Les catégories et sous-catégories des normes NIST-CSF et NIST 800-53 adoptent une approche «personnes, processus et actifs» pour les contrôles et l'analyse de la cybersécurité, en examinant des éléments tels que la gestion des actifs, le travail des parties prenantes collaboratrices, etc.
Le NIST-CSF fournit également quatre «niveaux» de réussite en matière de cybersécurité:
- Partiel
- Informé des risques
- Répétable
- Adaptable
Ces quatre niveaux peuvent aider à évaluer davantage les niveaux de succès des cadres appliqués.
«Vous pouvez utiliser le NIST CSF pour évaluer votre situation de sécurité actuelle», écrit un analyste de Cipher, décrivant l'utilisation connexe du cadre. "Passer en revue chaque catégorie et sous-catégories dans la fonction principale peut vous aider à déterminer où vous vous situez sur l'échelle de niveau NIST CSF."
En résumé, le NIST 800-53 aide les utilisateurs à documenter et à évaluer leur conformité en matière de cybersécurité et peut être utile dans les procédures légales. Le NIST-CSF s'appuie sur cet utilitaire en combinaison avec les spécifications d'origine de la ressource NIST 800-53 toujours pertinente.