从NIST修订的SP 800-53文件内容预测美国未来安全趋势

4月7日讯 美国国家标准技术研究所（nist）关于修订sp 800-53相关的消息虽算不上最振奋人心，但对于联网it管理人员而言，文件中有关网络安全控制的权威目录就如同"赞美诗集”和教堂祷告用书的融合版，让人愉悦并给人宽慰和希望。修订版nist 800-53将更广泛的用于物联网与工控系统，并且在未来一段时间内作为风向标，引领者各企业技术不断发展。

从nist修订的sp 800-53文件内容预测美国未来安全趋势 - e安全

修订nist 800-53可谓美国的一件大事。其中一名主要作者表示，nist顶尖联邦科学家在最新版中也融合了隐私控制。

谈及《nist sp 800-53：联邦信息系统和组织机构的安全和隐私控制》的新草案时，nist研究员罗恩·罗斯称这是一份超越式的文件。

罗斯及其它nist的网络专家上周在nist信息安全和隐私委员会上简要提到了期待已久的修订版的800-53 rev5。这份新的sp 800-53罗列了联邦管理人员必须选择的安全控制，以确保it系统符合《联邦信息安全现代化法案》规定的安全标准。除此之外，该文件还为联邦政府以外的其它组织机构所用。

从nist修订的sp 800-53文件内容预测美国未来安全趋势-e安全.jpg

修订版800-53 rev5文件拥有更为广泛的适用性

罗斯表示，修订是大事，rev5尤其备受期待。本次修订版进行了一系列更改，旨在将隐私措施更全面地整合到安全目录中。修订版在整个文件中和标题中取消了“联邦”，并使其更受私有行业（自愿使用）欢迎，并为其它想要保护非传统it系统的群体提供更宽泛、更具包容性的依据。 而原有的“系统”替换成“信息系统”，这更清晰地表明可以将文件用于物联网、医疗设备、汽车等等任何计算机联网场所。这些变化意味着新文件将更名为“系统和组织机构的安全与隐私控制”（security and privacy controls for systems and organizations）。

修订新版原计划于上周发布，但要经过内部审查，这份文件正等白宫签署通过。nist计算机安全中心上周五晚称希望能在不久的将来以刊物的形式发布。

罗斯指出，另一个重大变化是，将控制从选择过程中分离开来。

现存版本（2012年）旨在与nist联邦风险管理框架一起使用，但修订之后这块被砍掉，所以现在的控制过程是不可知的：可以与联邦风险框架一起使用，也可以与nist网络安全框架一起使用，亦可以与iso 27001一起使用，并可用于组织机构的任何过程。因此，nist认为建立了最全面的控制集，拥有无与伦比的广度和深度，并希望为更多人所用。

意识、培训、审计仍然为未来美国安全工作的重点

罗斯称，nist科学家采用了一个附录，列出了组织机构可以采用的隐私控制，并将其融合到目录中。该文件包含隐私控制、安全控制以及双用途控制。罗斯在举例中提到“意识和培训”，以及“审计”。他表示，为了将隐私和安全纳入其中，培训应当包含在内。审计可以衡量隐私和安全。

文件后面还有一张表格罗列了所有隐私相关的控制，而nist将这些控制完全融入到整个文件之中。

本文转自d1net（转载）