Publicación especial 800-53 del NIST

Publicación especial 800-53 del NIST
Estado	Publicado
Año iniciado	Febrero de 2005
Última versión	5ta revisión
Organización	Instituto Nacional de Normas y Tecnología
Dominio	Seguridad de la información
Derechos de autor	Dominio público (gobierno de los EE. UU.)
Sitio web	csrc.nist.gov/pubs/sp/800/53/r5/upd1/final

Norma de ciberseguridad del gobierno de EE. UU.

La Publicación Especial 800-53 del NIST es un estándar de seguridad de la información que proporciona un catálogo de controles de privacidad y seguridad para los sistemas de información . Originalmente destinado a las agencias federales de los EE. UU . excepto las relacionadas con la seguridad nacional, desde la quinta revisión es un estándar de uso general. Es publicado por el Instituto Nacional de Estándares y Tecnología , que es una agencia no reguladora del Departamento de Comercio de los Estados Unidos . El NIST desarrolla y emite estándares, pautas y otras publicaciones para ayudar a las agencias federales a implementar la Ley Federal de Modernización de la Seguridad de la Información de 2014 ( FISMA ) y para ayudar con la gestión de programas rentables para proteger su información y sistemas de información. ^[1]

Dos documentos relacionados son 800-53A y 800-53B, que proporcionan orientación y líneas de base basadas en 800-53.

Objetivo

La Publicación Especial 800-53 del NIST es parte de la serie de Publicaciones Especiales 800 que informa sobre las investigaciones, pautas y esfuerzos de divulgación del Laboratorio de Tecnología de la Información (ITL) en seguridad de sistemas de información, y sobre la actividad del ITL con la industria, el gobierno y organizaciones académicas. ^[2]

En concreto, la Publicación Especial 800-53 del NIST cubre los pasos del Marco de Gestión de Riesgos que abordan la selección de controles de seguridad para sistemas de información federales de acuerdo con los requisitos de seguridad del Estándar Federal de Procesamiento de Información (FIPS) 200. Esto incluye la selección de un conjunto inicial de controles de seguridad de referencia basados en un análisis de impacto del peor caso de FIPS 199, la adaptación de los controles de seguridad de referencia y la complementación de los controles de seguridad basados en una evaluación organizacional del riesgo. ^[3] Las reglas de seguridad cubren 20 áreas, entre ellas el control de acceso, la respuesta a incidentes, la continuidad del negocio y la recuperación ante desastres. ^[4]

Una parte clave del proceso de evaluación y autorización (anteriormente certificación y acreditación ) para los sistemas de información federales es la selección e implementación de un subconjunto de los controles (salvaguardias) del Catálogo de Control de Seguridad (NIST 800-53, Apéndice F). Estos controles son las salvaguardas (o contramedidas) técnicas, operativas y de gestión prescritas para un sistema de información con el fin de proteger la confidencialidad, integridad y disponibilidad del sistema y su información. Para implementar las salvaguardas o controles necesarios, las agencias deben determinar primero la categoría de seguridad de sus sistemas de información de acuerdo con las disposiciones de FIPS 199, “Estándares para la categorización de seguridad de la información federal y los sistemas de información”. La categorización de seguridad del sistema de información (baja, moderada o alta) determina el conjunto de controles de referencia que se deben implementar y monitorear. Las agencias tienen la capacidad de ajustar estos controles y adaptarlos para que se ajusten más estrechamente a sus objetivos o entornos organizacionales. ^[1]

Cumplimiento

Si bien cualquier organización privada puede adoptar el uso de NIST 800-53 como marco guía para sus prácticas de seguridad, todas las agencias y contratistas del gobierno federal de EE. UU. deben cumplir con el marco para proteger sus datos críticos.

Se espera que las agencias cumplan con las normas y directrices de seguridad del NIST en el plazo de un año a partir de la fecha de publicación (febrero de 2005), a menos que se indique lo contrario. Se espera que los sistemas de información que se encuentran en desarrollo cumplan con las normas en el momento de su implementación. ^[1]

Revisiones

Lanzamiento inicial

La publicación especial 800-53 del NIST se publicó inicialmente en febrero de 2005 con el título "Controles de seguridad recomendados para los sistemas de información federales". ^[5]

Primera revisión

La Publicación Especial 800-53 Revisión 1 del NIST se publicó inicialmente en diciembre de 2006 como "Controles de seguridad recomendados para sistemas de información federal".

Segunda revisión

La Publicación Especial 800-53 Revisión 2 del NIST se publicó inicialmente en diciembre de 2007 como "Controles de seguridad recomendados para los sistemas de información federal".

Tercera revisión

La tercera versión de la Publicación Especial 800-53 del NIST, "Controles de seguridad recomendados para sistemas y organizaciones de información federal", incorpora varias recomendaciones de personas que comentaron versiones publicadas anteriormente, que recomendaron una reducción en la cantidad de controles de seguridad para sistemas de bajo impacto, un nuevo conjunto de controles a nivel de aplicación y mayores poderes discrecionales para que las organizaciones reduzcan los controles. También se incluye en el borrador final un lenguaje que permite a las agencias federales mantener sus medidas de seguridad existentes si pueden demostrar que el nivel de seguridad es equivalente a los estándares propuestos por el NIST. ^[6] La tercera versión también representa un esfuerzo por armonizar los requisitos de seguridad en todas las comunidades gubernamentales y entre los sistemas gubernamentales y no gubernamentales. En el pasado, la guía del NIST no se ha aplicado a los sistemas de información gubernamentales identificados como sistemas de seguridad nacional. Los controles de gestión, operativos y técnicos en la Revisión 3 de SP 800-53 proporcionan un lenguaje de seguridad de la información común para todos los sistemas de información gubernamentales. El catálogo de control de seguridad revisado también incluye salvaguardas y contramedidas de última generación para abordar amenazas y ataques cibernéticos avanzados. Los cambios significativos en esta revisión del documento incluyen:

Un marco de gestión de riesgos simplificado de seis pasos;
Controles de seguridad adicionales y mejoras para amenazas cibernéticas avanzadas;
Recomendaciones para priorizar los controles de seguridad durante la implementación o despliegue;
Estructura de control de seguridad revisada con una nueva sección de referencias;
Eliminación de requisitos de seguridad de las secciones de orientación complementaria;
Orientación sobre el uso del marco de gestión de riesgos para sistemas de información heredados y para proveedores de servicios de sistemas de información externos;
Actualizaciones de las líneas base de control de seguridad basadas en información actual sobre amenazas y ataques cibernéticos;
Controles de seguridad a nivel de organización para gestionar programas de seguridad de la información;
Orientación sobre la gestión de controles comunes dentro de las organizaciones; y
Estrategia para armonizar las normas y directrices de seguridad de FISMA con la norma internacional de seguridad ISO/IEC 27001. ^[7]

Cuarta revisión

Como parte de la colaboración en materia de ciberseguridad entre el Departamento de Defensa de los Estados Unidos, la comunidad de inteligencia y las agencias civiles federales, el NIST ha lanzado su actualización bienal de la Publicación Especial 800‐53, "Controles de seguridad y privacidad para sistemas y organizaciones de información federales", con un borrador público inicial publicado el 28 de febrero de 2012. La iniciativa 2011-2012 incluirá una actualización de los controles de seguridad actuales, mejoras de los controles, orientación complementaria y una actualización de la orientación sobre adaptación y complementación que forman elementos clave del proceso de selección de controles. Las áreas de enfoque clave incluyen, entre otras:

Amenazas internas;
Seguridad de aplicaciones de software (incluidas aplicaciones web);
Redes sociales, dispositivos móviles y computación en la nube;
Soluciones multidominio;
Amenazas persistentes avanzadas;
Seguridad de la cadena de suministro;
Privacidad.

La revisión 4 se divide en 18 familias de control, ^[8] incluidas:

AC - Control de acceso
AU - Auditoría y rendición de cuentas
AT - Concientización y Formación
CM - Gestión de la configuración
CP - Planificación de contingencias
IA - Identificación y Autenticación
IR - Respuesta a incidentes
MA - Mantenimiento
MP - Protección de los medios de comunicación
PS - Seguridad del personal
PE - Protección Física y Ambiental
PL - Planificación
PM - Gestión de programas
RA - Evaluación de riesgos
CA - Evaluación y autorización de seguridad
SC - Protección de sistemas y comunicaciones
SI - Integridad del sistema y de la información
SA - Adquisición de Sistemas y Servicios

Puede encontrar información sobre estas familias de controles y los controles que contienen en el sitio web del NIST en el siguiente enlace: https://nvd.nist.gov/800-53/Rev4

Quinta revisión

La revisión 5 de la norma NIST SP 800-53 elimina la palabra "federal" para indicar que estas normas pueden aplicarse a todas las organizaciones, no solo a las federales. El primer borrador público se publicó el 15 de agosto de 2017. Se programó la publicación del borrador final para diciembre de 2018, y la fecha de publicación final se fijó para marzo de 2019. ^[9] Según el Centro de recursos de seguridad informática (CSRC) del NIST, ^[10] los principales cambios en la publicación incluyen:

Hacer que los controles de seguridad y privacidad estén más basados en resultados modificando la estructura de los controles;
Integrar completamente los controles de privacidad en el catálogo de controles de seguridad creando un conjunto consolidado y unificado de controles para sistemas y organizaciones;
Separar el proceso de selección de controles de los controles reales, permitiendo así que los controles sean utilizados por diferentes comunidades de interés, incluidos ingenieros de sistemas, desarrolladores de software, arquitectos empresariales y propietarios de misiones/negocios;
Eliminar el término "sistema de información" y reemplazarlo por el término "sistema" para que los controles puedan aplicarse a cualquier tipo de sistema, incluidos, por ejemplo, sistemas de propósito general, sistemas ciberfísicos, sistemas de control industrial/de procesos y dispositivos IoT;
Restar importancia al enfoque federal de la publicación para fomentar un mayor uso por parte de organizaciones no federales;
Promover la integración con diferentes enfoques y léxicos de gestión de riesgos y ciberseguridad, incluido el Marco de Ciberseguridad;
Aclarar la relación entre seguridad y privacidad para mejorar la selección de los controles necesarios para abordar todo el alcance de los riesgos de seguridad y privacidad; y
Incorporar nuevos controles de última generación basados en inteligencia sobre amenazas y datos empíricos de ataques, incluidos controles para fortalecer la gobernanza y la responsabilidad de la ciberseguridad y la privacidad.

A partir de septiembre de 2019 ^[actualizar], la Revisión 5 se retrasó debido a un posible desacuerdo entre la Oficina de Información y Asuntos Regulatorios (OIRA) y otras agencias estadounidenses. ^[11]

La versión final de la Revisión 5 se publicó el 23 de septiembre de 2020 ^[12] y está disponible en el sitio web del NIST en el siguiente enlace: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

800-53A

La Publicación Especial 800-53A del NIST proporciona un conjunto de procedimientos para realizar evaluaciones de los controles de seguridad y privacidad empleados en los sistemas y organizaciones de información federales. Los procedimientos son personalizables y se pueden adaptar fácilmente para brindar a las organizaciones la flexibilidad necesaria para realizar evaluaciones de control de seguridad y de privacidad que respalden los procesos de gestión de riesgos organizacionales y que estén alineadas con la tolerancia al riesgo declarada de la organización. También se proporciona información sobre la elaboración de planes de evaluación de seguridad y de privacidad eficaces, junto con orientación sobre el análisis de los resultados de la evaluación. ^[13]

Revisión 1

La publicación especial 800-53A del NIST se titula “Guía para evaluar los controles de seguridad en los sistemas y organizaciones de información federales”. Esta versión describirá los procedimientos de prueba y evaluación para las 17 familias de controles requeridas. ^[4] Estas pautas de evaluación están diseñadas para permitir la realización de pruebas periódicas y las utilizan las agencias federales para determinar qué controles de seguridad son necesarios para proteger las operaciones y los activos de la organización, las personas, otras organizaciones y la nación. ^[3] Según Ron Ross, científico informático sénior e investigador de seguridad de la información del NIST, estas pautas también permitirán a las agencias federales evaluar “si los controles obligatorios se han implementado correctamente, están funcionando como se esperaba y están... cumpliendo con los requisitos de seguridad de la organización”.

Para ello, la versión A describe los métodos y procedimientos de evaluación para cada uno de los controles de seguridad exigidos en la Publicación Especial 800-53. Estos métodos y procedimientos deben utilizarse como directrices para las agencias federales. Estas directrices tienen por objeto limitar la confusión y garantizar que las agencias interpreten e implementen los controles de seguridad de la misma manera. ^[4]

Revisión 4

La revisión 4 de la publicación especial NIST SP 800-53A evalúa los controles de seguridad y privacidad en los sistemas y organizaciones de información federales. El número de revisión pasó de Revisión 1 a Revisión 4 para reflejar mejor la publicación especial NIST 800-53 con la que se pretende utilizar.

800-53B

La publicación especial 800-53B del NIST proporciona un conjunto de controles básicos de seguridad y privacidad para sistemas de información y organizaciones. Los controles básicos establecen controles predeterminados basados en las tasas de FISMA (Privacidad, Baja, Moderada y Alta) y se pueden adaptar fácilmente a los procesos de gestión de riesgos organizacionales.

También se proporciona información sobre cómo elaborar planes eficaces de evaluación de la seguridad y de la privacidad, junto con orientación sobre cómo analizar los resultados de la evaluación. ^[14]

Lanzamiento inicial

La publicación especial 800-53B del NIST se publicó inicialmente en septiembre de 2020 como "Líneas base de control para sistemas de información y organizaciones". ^[15]

Véase también

Referencias

^ abc Ross, et al., pág. 4
^ Ross y otros, pág. 2
^ ab Ross, et al., pág. 8
^ abc Vijayan, Jaikumar (2005). "Directrices de seguridad para agencias estadounidenses que se publicarán en julio". Computerworld . Consultado el 23 de febrero de 2011 .
^ "Controles de seguridad recomendados para sistemas de información federales". Publicaciones del NIST . 19 de febrero de 2017. Consultado el 13 de junio de 2021 .
^ Vijayan, Jaikumar (2005). "Los federales buscan finalizar los controles de seguridad de TI". Computerworld . Consultado el 23 de febrero de 2011 .
^ Jackson, William (2009). "NIST lanza la versión final 'histórica' de la Publicación Especial 800-53". Government Computer News . Consultado el 23 de febrero de 2011 .
^ "Marco de gestión de riesgos del NIST". NIST . 3 de marzo de 2022 . Consultado el 27 de mayo de 2022 .
^ "Programa - Gestión de riesgos CSRC". Centro de recursos de seguridad informática del NIST . Consultado el 9 de noviembre de 2018 .
^ Fuerza, tarea conjunta (15 de agosto de 2017). "SP 800-53, Rev. 5 (BORRADOR)". Centro de recursos de seguridad informática del NIST . Consultado el 12 de marzo de 2018 .
^ Miller, J. (3 de septiembre de 2019). "La revisión regulatoria de la OMB está creando una acumulación de estándares cibernéticos". Federal News Network - Reporter's Notebook . Hubbard Radio Washington DC, LLC . Consultado el 19 de diciembre de 2019 .
^ [email protected] (22 de septiembre de 2020). "Los controles de seguridad y privacidad de próxima generación: protección de los activos críticos de la nación". NIST . Consultado el 25 de septiembre de 2020 .
^ Ross, Ronald S. (2014). "Publicación especial 800-53A del NIST, revisión 4: evaluación de los controles de seguridad y privacidad en los sistemas y organizaciones de información federales: elaboración de planes de evaluación eficaces". Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53Ar4 .
^ Pillitteri, Victoria (2020). "Publicación especial NIST 800-53B Líneas base de control para sistemas de información y organizaciones". Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53B .
^ Fuerza, tarea conjunta (10 de diciembre de 2020). «Líneas base de control para sistemas de información y organizaciones». Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53B . Consultado el 10 de noviembre de 2021 .

Ross, Ron; Jahnson, Arnold; Katzke, Stu; Toth, Patricia; Stoneburner, Gary; Rogers, George (2008), Guía para evaluar los controles de seguridad en los sistemas de información federales, Elaboración de planes de evaluación de seguridad eficaces (PDF) , consultado el 14 de febrero de 2011
Schou, Corey (2006). Seguridad de la información para la empresa . Boston: McGraw Hill Irwin. ISBN 978-0-07-225524-9.

Enlaces externos

Lista de todas las publicaciones especiales de la serie NIST 800
Publicación especial 800-53 del NIST, revisión 4
Publicación especial 800-37 del NIST Guía para la aplicación del marco de gestión de riesgos a los sistemas de información federales

[Ross,_et_al.,_p._4-1] Ross, et al., pág. 4

[2] Ross y otros, pág. 2

[Ross,_et_al.,_p._8-3] Ross, et al., pág. 8

[Vijayan2005-July-4] Vijayan, Jaikumar (2005). "Directrices de seguridad para agencias estadounidenses que se publicarán en julio". Computerworld . Consultado el 23 de febrero de 2011 .

[5] "Controles de seguridad recomendados para sistemas de información federales". Publicaciones del NIST . 19 de febrero de 2017. Consultado el 13 de junio de 2021 .

[Vijayan2005-Final-6] Vijayan, Jaikumar (2005). "Los federales buscan finalizar los controles de seguridad de TI". Computerworld . Consultado el 23 de febrero de 2011 .

[Jackson2009-7] Jackson, William (2009). "NIST lanza la versión final 'histórica' de la Publicación Especial 800-53". Government Computer News . Consultado el 23 de febrero de 2011 .

[8] "Marco de gestión de riesgos del NIST". NIST . 3 de marzo de 2022 . Consultado el 27 de mayo de 2022 .

[9] "Programa - Gestión de riesgos CSRC". Centro de recursos de seguridad informática del NIST . Consultado el 9 de noviembre de 2018 .

[10] Fuerza, tarea conjunta (15 de agosto de 2017). "SP 800-53, Rev. 5 (BORRADOR)". Centro de recursos de seguridad informática del NIST . Consultado el 12 de marzo de 2018 .

[MillerOMB19-11] Miller, J. (3 de septiembre de 2019). "La revisión regulatoria de la OMB está creando una acumulación de estándares cibernéticos". Federal News Network - Reporter's Notebook . Hubbard Radio Washington DC, LLC . Consultado el 19 de diciembre de 2019 .

[12] [email protected] (22 de septiembre de 2020). "Los controles de seguridad y privacidad de próxima generación: protección de los activos críticos de la nación". NIST . Consultado el 25 de septiembre de 2020 .

[13] Ross, Ronald S. (2014). "Publicación especial 800-53A del NIST, revisión 4: evaluación de los controles de seguridad y privacidad en los sistemas y organizaciones de información federales: elaboración de planes de evaluación eficaces". Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53Ar4 .

[14] Pillitteri, Victoria (2020). "Publicación especial NIST 800-53B Líneas base de control para sistemas de información y organizaciones". Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53B .

[15] Fuerza, tarea conjunta (10 de diciembre de 2020). «Líneas base de control para sistemas de información y organizaciones». Publicaciones del NIST . doi : 10.6028/NIST.SP.800-53B . Consultado el 10 de noviembre de 2021 .