Nadat uw organisatie een algemeen plan heeft opgesteld om de problemen met cyberbeveiliging en privacyrisicobeheer aan te pakken, het heeft specifieke geavanceerde hulpmiddelen nodig om dat plan te realiseren. Computerbeveiliging en privacy-experts van het National Institute of Standards and Technology (NIST) hebben het antwoord met een bijgewerkte toolbox met waarborgen voor het beschermen van de activiteiten en activa van een organisatie, evenals de persoonlijke levenssfeer van personen.

NIST Draft Special Publication (SP) 800-53 Revisie 5, Beveiligings- en privacycontroles voor informatiesystemen en organisaties, is een verzameling van honderden specifieke maatregelen om de systemen te versterken, componentproducten en -diensten die ten grondslag liggen aan de bedrijven van het land, overheid en vitale infrastructuur. Een van NIST's vlaggenschip publicaties op het gebied van risicobeheer, het document ondergaat zijn eerste update in zeven jaar, en het bureau accepteert tot 15 mei openbare opmerkingen over het ontwerp, 2020.

De publicatie biedt waarborgen voor alle soorten platforms, van computers voor algemeen gebruik tot industriële besturingssystemen en internet of things (IoT)-apparaten. De tools zijn bedoeld voor een breed publiek van specialisten, van beveiligingsexperts tot systeemontwikkelaars tot cloud computing-providers.

"Ons doel is om de informatiesystemen waarvan we afhankelijk zijn beter bestand te maken tegen cyberaanvallen, " zei Ron Ross van NIST, een van de auteurs van de publicatie. "We willen de schade van die aanvallen beperken wanneer ze zich voordoen, de systemen cyberbestendig maken, en tegelijkertijd de veiligheid en privacy van informatie te beschermen."

de waarborgen, of "controles" zoals ze in de titel worden genoemd, komen in verschillende vormen, van technische oplossingen (zoals encryptie) tot operationele strategieën (zoals plannen voor respons op cyberaanvallen) tot managementbenaderingen (zoals het uitvoeren van een risicobeoordeling). Allemaal samen, de publicatie organiseert honderden controles in 20 verwante groepen.

Het gebruik van deze controles is verplicht in federale informatiesystemen, maar de controles kunnen selectief worden aangepast en geïmplementeerd binnen elke organisatie. Samen met andere ondersteunende NIST-publicaties, de catalogus is ontworpen om federale organisaties te helpen bij het identificeren van de controles die nodig zijn om te voldoen aan de beveiligings- en privacyvereisten in de Federal Information Security Management Act (FISMA), de privacywet van 1974, Office of Management and Budget-beleid en bepaalde Federal Information Processing Standards (FIPS).

Hoe kan een organisatie deze catalogus opnemen in haar bredere inspanningen om de veiligheid en privacy te vergroten? Ross zei dat de eerste stap is om de risico's waarmee een organisatie wordt geconfronteerd, te beoordelen met behulp van tools zoals NIST's Risk Management Framework, Cyberbeveiligingskader en privacykader. Door het gebruik van deze kaders, de organisatie kan identificeren waar zij waarborgen nodig heeft, en dan kan het zich wenden tot de catalogus om specifieke oplossingen te vinden.

"Een organisatie kan deze catalogus gebruiken in combinatie met elke benadering van risicobeheer, Ross zei. "Voor het gemak van de lezers verwijzen we naar andere NIST-publicaties, maar we hebben het ontworpen om agnostisch te zijn."

De vijfde revisie bevat een aantal verbeteringen ten opzichte van de vorige versies van SP 800-53:

• Een volledige integratie van privacy in de bedieningselementen. Terwijl in eerdere edities privacy werd verzonden naar een bijlage, hier maken de bedieningselementen deel uit van de uniforme catalogus, die het leven van gebruikers van het NIST Privacy Framework gemakkelijker moeten maken.
• Een nieuwe familie van supply chain-controles. De toeleveringsketen is een van de meest kwetsbare aspecten van de wereldwijde handel, en het beschermen ervan was het doel van andere recente NIST-inspanningen. Vorige edities hadden één controle over de supply chain, maar Revisie 5 heeft een hele speciale controlefamilie (hoofdstuk 3.20).
• Nieuw, state-of-the-practice controles, zoals die welke de cyberveerkracht en het ontwerp van veilige systemen ondersteunen, allemaal gebaseerd op de nieuwste bedreigingsinformatie en cyberaanvalgegevens.

De update is nodig om organisaties te helpen hun verdediging te handhaven in het licht van een steeds veranderend dreigingslandschap.

"Revisie 5 is belangrijk omdat bedreigingen, kwetsbaarheden en technologie evolueren dagelijks, " zei Dominic Cussatt, hoofd plaatsvervangend adjunct-secretaris en plaatsvervangend chief information officer voor het Department of Veterans Affairs. "Het is voor ons van cruciaal belang dat de besturing up-to-date en wendbaar blijft."

NIST plant in de toekomst een webcast om gebruikers kennis te laten maken met de waarborgen in de collectie.

"Wij geloven dat dit een set bedieningselementen van wereldklasse is, Ross zei. "Het biedt het grootste aantal waarborgen om de kritieke activa die we elke dag gebruiken te beschermen."

Dit verhaal is opnieuw gepubliceerd met dank aan NIST. Lees hier het originele verhaal.