NIST网络安全框架

NIST, or the 国家标准与技术研究所, 是美国商会下属的一个涵盖制造业的联邦机构吗, 质量控制, 以及信息安全, 其他行业. 该机构与安全行业专家合作, 其他政府机构, 学者建立一套控制和平衡，以帮助关键基础设施的运营商管理网络安全风险. Today, 许多组织利用NIST指南来管理和减少可能影响其环境和客户的风险.

NIST 800-53

NIST特别出版物800-53, 题为“联邦信息系统和组织的安全和隐私控制”,主要与联邦机构相关，因为他们正在努力遵守联邦信息安全管理法(FISMA)。. 800-53确实包括广义指导，以帮助各机构了解如何健全 风险管理和信息安全程序 should function, 但它最出名的是采用FISMA的高级要求，并深入了解其每个组件, 帮助组织了解他们需要实现的特定类型的安全控制 FISMA合规.

这是一份厚重的文件, 到第四版时已经超过450页了, 因此，NIST有许多数据分类，以帮助读者更好地理解适用于他们的指导. 为了便于理解，NIST 800-53将所有控制分为18个安全控制“家族”. 即使在十八个家庭的安全控制, there are numerous subcategories and controls outlined within; to help organizations understand where to start and how to prioritize the controls to implement, NIST给每个控件一个优先级代码(1表示高优先级), 意思是先实现, 到3作为低优先级). NIST建议在处理P2和P3之前实施800-53中的所有P1控制. 

800-53还帮助各机构了解不同类型系统控制所需的严格基线水平. 这些基线水平(低), medium, 高)取决于该系统对整个组织的潜在影响, 该系统对保密性的影响是什么, integrity, 和可用性. 掌握控制的优先级和对不同系统的潜在影响, 机构可以更容易地浏览这份庞大的文件，并带着可操作的步骤和改进的途径离开.

截至2017年9月, 800-53是第四次修订, 第五版正在积极开发中. 到目前为止，第五次修订包含了一些语言上的变化，以帮助800-53的指导更广泛地适用于所有行业和企业的信息安全系统, 不仅仅是那些为联邦政府工作的人.

NIST 800-171

NIST特别出版物800-171, 保护非联邦信息系统和组织中的受控非机密信息,与800-53直接相关. Like 800-53, 800-171还为联邦机构必须实施的安全措施和控制提供指导, 但是在这种情况下, 它侧重于专门处理受控非机密信息(CUI)的组织的一个狭窄子集。.

由于DFARS的附录, 或《pg电子》, 出版于2015年12月, 任何与美国政府和商店合作的组织, 传输或以其他方式处理敏感的政府数据需要遵循800-171中概述的政策，并在2017年底之前证明符合该政策, 每笔政府订单. 800-171还将各种合规要求分为14个“家庭”,就像800-53的安全控制分类一样.

NIST网络安全框架目标

NIST“改善关键基础设施网络安全框架”采用了比800-53和800-171更广泛和更高层次的安全最佳实践方法. 此框架概述了在设计健壮的安全性实践时要牢记的关键概念和流程, 无论组织类型如何实施指南. Though, 正如标题所示, 该文件的大部分建议都是为关键基础设施组织准备的, 比如银行和公用事业.

NIST的网络安全框架的目标是帮助组织确定哪些流程和控制与他们独特的挑战最相关, 以及如何最好地实施和测试他们所采取的安全措施的有效性. The Framework doesn’t list tables of security controls; instead, 它将其关键点分为5个领域，这些领域构成了框架核心, Protect, Detect, Respond, and Recover. 在这五个方面, NIST提供与行业无关的指导，以帮助组织实现与安全相关的能力和遵从性的理想水平. 

不像800-53和800-171, 分别与FISMA和CUI合规性法规相关联, 任何合规计划都不需要网络安全框架的最佳实践指南.

NIST框架文档中建议的深度和广度是联邦机构或组织与美国国防部合作的重要资源.S. 至少是联邦政府. However, FISMA合规性范围之外的任何组织也可以求助于NIST指南来建模他们自己的合规性计划和安全基线. 如果您的组织正在寻找如何应用最佳实践的彻底检查 遵从性和监管框架，您可以通过研究NIST的框架文档得到很好的帮助.

阅读更多有关法规 & Compliance

遵从性:来自博客的最新消息