從NIST修訂的SP 800-53檔案内容預測美國未來安全趨勢

4月7日訊 美國國家标準技術研究所（nist）關于修訂sp 800-53相關的消息雖算不上最振奮人心，但對于聯網it管理人員而言，檔案中有關網絡安全控制的權威目錄就如同"贊美詩集”和教堂禱告用書的融合版，讓人愉悅并給人寬慰和希望。修訂版nist 800-53将更廣泛的用于物聯網與工控系統，并且在未來一段時間内作為風向标，引領者各企業技術不斷發展。

從nist修訂的sp 800-53檔案内容預測美國未來安全趨勢 - e安全

修訂nist 800-53可謂美國的一件大事。其中一名主要作者表示，nist頂尖聯邦科學家在最新版中也融合了隐私控制。

談及《nist sp 800-53：聯邦資訊系統群組織機構的安全和隐私控制》的新草案時，nist研究員羅恩·羅斯稱這是一份超越式的檔案。

羅斯及其它nist的網絡專家上周在nist資訊安全和隐私委員會上簡要提到了期待已久的修訂版的800-53 rev5。這份新的sp 800-53羅列了聯邦管理人員必須選擇的安全控制，以確定it系統符合《聯邦資訊安全現代化法案》規定的安全标準。除此之外，該檔案還為聯邦政府以外的其它組織機構所用。

從nist修訂的sp 800-53檔案内容預測美國未來安全趨勢-e安全.jpg

修訂版800-53 rev5檔案擁有更為廣泛的适用性

羅斯表示，修訂是大事，rev5尤其備受期待。本次修訂版進行了一系列更改，旨在将隐私措施更全面地整合到安全目錄中。修訂版在整個檔案中和标題中取消了“聯邦”，并使其更受私有行業（自願使用）歡迎，并為其它想要保護非傳統it系統的群體提供更寬泛、更具包容性的依據。 而原有的“系統”替換成“資訊系統”，這更清晰地表明可以将檔案用于物聯網、醫療裝置、汽車等等任何計算機聯網場所。這些變化意味着新檔案将更名為“系統群組織機構的安全與隐私控制”（security and privacy controls for systems and organizations）。

修訂新版原計劃于上周釋出，但要經過内部審查，這份檔案正等白宮簽署通過。nist計算機安全中心上周五晚稱希望能在不久的将來以刊物的形式釋出。

羅斯指出，另一個重大變化是，将控制從選擇過程中分離開來。

現存版本（2012年）旨在與nist聯邦風險管理架構一起使用，但修訂之後這塊被砍掉，是以現在的控制過程是不可知的：可以與聯邦風險架構一起使用，也可以與nist網絡安全架構一起使用，亦可以與iso 27001一起使用，并可用于組織機構的任何過程。是以，nist認為建立了最全面的控制集，擁有無與倫比的廣度和深度，并希望為更多人所用。

意識、教育訓練、審計仍然為未來美國安全工作的重點

羅斯稱，nist科學家采用了一個附錄，列出了組織機構可以采用的隐私控制，并将其融合到目錄中。該檔案包含隐私控制、安全控制以及雙用途控制。羅斯在舉例中提到“意識和教育訓練”，以及“審計”。他表示，為了将隐私和安全納入其中，教育訓練應當包含在内。審計可以衡量隐私和安全。

檔案後面還有一張表格羅列了所有隐私相關的控制，而nist将這些控制完全融入到整個檔案之中。

本文轉自d1net（轉載）