研究NIST 800-53B信息系统和组织的控制基线

简介

800-53B是800-53的定制版本。为低、中、高影响的系统提供了安全与隐私控制手段。对于所有企业，定制控制手段不是强制的，必须的，可以参考NIST SP 800-37(800-37)提供了关于定制方法的指导。

目的和适用性

实施NIST SP 800-53(800-53)中的最小控制集。定制过程在第2.4节中描述，可以由许多因素指导：

• 组织任务、
• 业务需求（P3）、
• 利益相关者的保护需求、
• 对风险的评估、
• 具体技术、操作环境、
• 行业最佳实践（P5）。

2.2 选择控制基线

安全控制基线

根据FIPS199，按关键性和敏感性进行安全分类。归类后的组织系统为：

• 低影响
• 中度影响
• 高影响

并非800-53中的所有控制都用于800-53B中：并非800-53中的所有控制都用于800-53B中。

隐私控制基线

组织可以根据第三章的隐私风险评估来增加或删除控制措施。如增加定制的控制措施来减轻隐私风险。你也可以从800-53中选择控制措施。

2.3 控制基线假设

800-53B没有涉及以下风险：

• 内部威胁
• 机密文件
• APTs
• 立法、指令、条例或政策的特殊要求
• 跨越安全领域的系统。

2.4 调整控制基线

识别和指定共同控制

使用更常见的控制，以节省更多的开支。

选择补偿性控件

补偿性控制的重点是：

• 实施基线在技术上是不可行的；

不是

• 成本效益高；
• 实施对组织的任务或业务功能产生负面影响。

目的：

提供同等或类似的保护。

指派控制参数值

通常情况下，嵌入的参数是：

• 分配操作
• 选择操作

和组织可以指定更多的参数来满足要求。如增加法律、指令规定的栏目。这是一个描述控制的新栏目。

安全和隐私控制基线关系

只分配给隐私控制基线的控制、以及两者的安全控制基线。

控制措施	描述
只有	对管理隐私的重要性
两个	CIA的隐私责任和风险

附录

以下是隐私控制基线或安全类别LOW安全控制基线的4个示例控制的例子

				安全控制基线
控制类别	控制标识符	控制（或控制增强）名称	隐私控制基线	低	中等水平	高
AC	AC-1	政策和程序	x	x	x	x
AC	AC-2	帐户管理		x	x	x
AC	AC-3	访问执法		x	x	x
AC	AC-3(14)	访问权的执行｜个人访问	x

下载SP 800-53B的安全类别LOW的完整Excel是这里。

https://files.cnblogs.com/files/blogs/792238/NIST.SP.800-53B.zip?t=1683165842&download=true