NIST 800-53 و NIST 800-171 هر دو گزینههای چارچوب امنیت سایبری عالی هستند که توسط موسسه ملی استاندارد و فناوری (NIST) صادر شدهاند و میتوانند وضعیت امنیتی شما را تقویت کنند. هر یک از این چارچوبها بهترین شیوههای امنیت و حریم خصوصی را تشریح میکنند، بهترین شیوهها را به کنترلها دستهبندی میکنند و راهنمایی در مورد نحوه اجرای آن کنترلها در برنامه امنیتی شما ارائه میدهند.
در این پست وبلاگ موارد زیر را بررسی خواهیم کرد:
بررسی اجمالی: NIST 800-53 چیست؟
NIST 800-53 یک انتشارات موسسه ملی استاندارد و فناوری (NIST) است که کنترلهای امنیتی جامعی را برای سیستمهای اطلاعات فدرال فراهم میکند. این کنترل ها توسط آژانس های فدرال برای محافظت از اطلاعات حساس و طبقه بندی شده و همچنین اطلاعات غیر حساسی که برای عملکرد دولت فدرال حیاتی هستند، استفاده می شود.
بیش از 1000 کنترل امنیتی NIST 800-53 را می توان به این سه گروه کنترل طبقه بندی کرد:
- کنترل های مدیریتی: آنها خط مشی ها و رویه هایی را برای مدیریت و نظارت بر امنیت سیستم های اطلاعاتی ارائه می کنند.
- کنترل عملیاتی: آنها بر روی فعالیت های روزمره که امنیت سیستم های اطلاعاتی را تضمین می کند، تمرکز می کنند.
- کنترل فنی: اینها اقدامات امنیتی خاصی هستند که در سیستم های اطلاعاتی برای محافظت در برابر تهدیدات سایبری اجرا می شوند.
NIST 800-171 چیست؟
NIST 800-171 زیرمجموعه ای از NIST 800-53 است که به طور خاص به الزامات امنیتی برای سیستم های اطلاعاتی غیرفدرال که اطلاعات طبقه بندی نشده کنترل شده (CUI) را پردازش، ذخیره یا انتقال می دهند، می پردازد.
CUI اطلاعاتی است که طبقه بندی نشده است اما همچنان نیازمند حفاظت است، مانند اطلاعات مالی، مالکیت معنوی و اطلاعات شخصی.
NIST 800-171 شامل 110 الزامات امنیتی در 14 خانواده کنترل مختلف است. این الزامات برای محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن CUI در سیستم های اطلاعاتی در نظر گرفته شده است.
هر دو چارچوب امنیتی الزامات خاصی را ارائه می کنند که باید برای اطمینان از امنیت سیستم های اطلاعاتی برآورده شوند.
برای مثال، هر دو دستورالعمل مستلزم اجرای اقدامات کنترل دسترسی برای اطمینان از دسترسی افراد مجاز به اطلاعات حساس هستند.
تفاوت بین NIST 800-53 و NIST 800-171
اگرچه هر دو NIST 800-53 و NIST 800-171 راهنمایی در مورد کنترل های امنیتی سیستم های اطلاعاتی ارائه می دهند، این دو تفاوت های کلیدی متعددی دارند.
محدوده
NIST 800-53 مجموعه ای جامع از کنترل های امنیتی را برای سیستم های اطلاعات فدرال فراهم می کند، در حالی که NIST 800-171 به طور خاص به الزامات امنیتی برای سیستم های اطلاعاتی غیر فدرال که CUI را پردازش، ذخیره یا انتقال می دهند، می پردازد. تفاوت دیگر دامنه ای است که هر چارچوب امنیتی هنگام ارزیابی سیستم های اطلاعاتی از آن استفاده می کند. بیش از 1000 کنترل امنیتی NIST 800-53 طیف گسترده ای از خانواده های کنترل را شامل می شود، از جمله کنترل دسترسی، پاسخ به حادثه، حفاظت از سیستم و ارتباطات، و امنیت فیزیکی. هدف NIST 800-171 به طور خاص محافظت از CUI در برابر افشای اطلاعات به افراد غیرمجاز است.
تعداد کنترل ها
NIST 800-53 شامل بیش از 1000 کنترل امنیتی است، در حالی که NIST 800-171 شامل 110 الزامات امنیتی است. با وجود این تفاوت در دامنه، هر دو دستورالعمل کنترلهای مشابهی را ارائه میکنند که طیف کاملی از الزامات امنیتی را پوشش میدهد.
حضار
یکی از تفاوت های اصلی بین NIST 800-53 و NIST 800-171 مخاطبان هدف آنها است. NIST 800-53 به طور خاص برای سازمان هایی طراحی شده است که در اکوسیستم های اطلاعاتی فدرال فعالیت می کنند، در حالی که NIST 800-171 برای سازمان هایی طراحی شده است که اطلاعات طبقه بندی نشده کنترل شده (CUI) را برای دولت فدرال مدیریت می کنند.
پیاده سازی
NIST 800-53 برای آژانس های فدرال اجباری است، در حالی که انطباق با NIST 800-171 برای سازمان های غیر فدرال داوطلبانه است. با این حال، سازمانهایی که CUI را از طرف دولت فدرال پردازش میکنند، باید طبق ضمیمه مقررات اکتساب فدرال دفاع (DFARS) با NIST 800-171 مطابقت داشته باشند.
سطح جزئیات
NIST 800-53 مجموعه دقیق تری از کنترل ها و راهنمایی های امنیتی را نسبت به NIST 800-171 ارائه می دهد که الزامات امنیتی بالاتری را فراهم می کند.
تاثیر بر امنیت سایبری
انطباق با NIST 800-53 و NIST 800-171 می تواند به سازمان ها کمک کند تا وضعیت امنیت سایبری خود را با ارائه مجموعه ای جامع از کنترل ها و الزامات امنیتی بهبود بخشند. پیروی از این دستورالعمل ها همچنین می تواند به سازمان ها کمک کند تا تعهد خود را به امنیت سایبری به مشتریان و ذینفعان نشان دهند.
انطباق با NIST 800-53 برای سازمان هایی که اطلاعات فدرال را پردازش می کنند اجباری است و عدم رعایت آن ممکن است منجر به جریمه و جریمه شود. برای سازمان های غیر فدرال، انطباق با NIST 800-171 داوطلبانه است، اما ممکن است طبق قرارداد با دولت فدرال الزامی شود. عدم رعایت NIST 800-171 ممکن است منجر به از بین رفتن قراردادهای دولتی یا اقدامات قانونی شود.
شباهت های بین NIST 800-53 و NIST 800-171
یک شباهت بین الزامات انطباق NIST 800-53 و الزامات انطباق NIST 8000 171 این است که هر دو بر اساس “ایجاد یک خط پایه کنترل امنیتی” برای استفاده شرکت ها هستند. این خط مبنا با ارائه راهنمایی برای توسعه و رویههای خطمشی امنیتی سازمانها، نقطه شروع روشنی در مسیر انطباق با آنها میدهد.
هر دو همچنین از چارچوب مدیریت ریسک به عنوان مبنایی برای تعریف یک فرآیند ثابت و قابل تکرار برای ارزیابی ریسکهای امنیتی و اجرای کنترلهای امنیتی مناسب برای کاهش خطرات امنیتی استفاده میکنند.
انطباق با NIST 800-53 و NIST 800-171 همچنین مستلزم وجود نظارت مستمر برای اطمینان از اجرای و حفظ کنترل های امنیتی در طول زمان است. نظارت مستمر شامل انجام ارزیابیهای دورهای است که اثربخشی کنترلهای امنیتی را تأیید میکند، شکافها را شناسایی میکند و اقدامات اصلاحی لازم برای اصلاح آنها انجام میشود.
اگرچه NIST 800-53 و NIST 800-171 راهنمایی های ارزشمندی برای امنیت اطلاعات ارائه می دهند، اما برای مخاطبان مختلف در نظر گرفته شده اند و از نظر دامنه، سطح جزئیات و پیاده سازی متفاوت هستند. اگر کسب و کار شما CUI را برای دولت فدرال پردازش می کند، برای الزامات انطباق به NIST 800-171 مراجعه کنید، و کسانی که از سیستم های اطلاعات فدرال استفاده می کنند یا استفاده می کنند باید به مجموعه کنترل های امنیتی NIST 800-53 مراجعه کنند.
بهترین رویکرد استفاده از NIST 800-53 و NIST 800-171 با هم برای ایجاد یک برنامه قوی و ایمن است که دارای مجموعه ای جامع از توصیه ها برای ایجاد یک پایه امنیتی محکم و مطابق با قوانین فدرال است.
مراحل بعدی: چگونه کاربید به تسریع فرآیند انطباق با NIST 800-53 و NIST 800-171 کمک می کند
کاربید با تعیین اهداف و وظایفی که باید انجام دهید، شما را برای موفقیت آماده می کند. طرح مورد اعتماد ما را به راحتی با پلتفرمی اجرا کنید که دید جامعی از وضعیت امنیتی شما به شما می دهد. در حین ارائه دامنه، روی کسبوکارتان تمرکز کنید، فرآیند جمعآوری شواهد شما را خودکار میکنیم (با بیش از 100 ادغام فنی ما)، و این گزارش امنیتی خودکار را برای سهامداران و تصمیمگیرندگان خود دریافت کنید تا بتوانید ایمن رشد کنید.
در اینجا دو راه برای شروع وجود دارد:
- برای کسب اطلاعات بیشتر، نسخه نمایشی را با تیم ما رزرو کنید.
- اگر این پست وبلاگ را از طریق لینکدین یا مفید می دانید به اشتراک بگذارید توییتر.