简介
800-53B是800-53的定制版本。NIST SP 800-37(800-37)提供了关于定制方法的指导。
目的和适用性
实施NIST SP 800-53(800-53)中的最小控制集。定制过程在第2.4节中描述,可以由许多因素指导:
- 组织任务、
- 业务需求(P3)、
- 利益相关者的保护需求、
- 对风险的评估、
- 具体技术、操作环境、
- 行业最佳实践(P5)。
2.2 选择控制基线
安全控制基线
根据FIPS199,按关键性和敏感性进行安全分类。归类后的组织系统为:
- 低影响
- 中度影响
- 高影响
并非800-53中的所有控制都用于800-53B中:并非800-53中的所有控制都用于800-53B中。
隐私控制基线
组织可以根据第三章的隐私风险评估来增加或删除控制措施。如增加定制的控制措施来减轻隐私风险。你也可以从800-53中选择控制措施。
2.3 控制基线假设
800-53B没有涉及以下风险:
- 内部威胁
- 机密文件
- APTs
- 立法、指令、条例或政策的特殊要求
- 跨越安全领域的系统。
2.4 调整控制基线
识别和指定共同控制
使用更常见的控制,以节省更多的开支。
选择补偿性控件
补偿性控制的重点是:
- 实施基线在技术上是不可行的;
不是
- 成本效益高;
- 实施对组织的任务或业务功能产生负面影响。
目的:
提供同等或类似的保护。
指派控制参数值
通常情况下,嵌入的参数是:
- 分配操作
- 选择操作
和组织可以指定更多的参数来满足要求。如增加法律、指令规定的栏目。这是一个描述控制的新栏目。
安全和隐私控制基线关系
只分配给隐私控制基线的控制、以及两者的安全控制基线。
|
控制措施 |
描述 |
|
|
只有 |
对管理隐私的重要性 |
|
|
两个 |
CIA的隐私责任和风险 |
|
附录
以下是隐私控制基线或安全类别LOW安全控制基线的4个示例控制的例子
|
安全控制基线 |
||||||
|
控制类别 |
控制标识符 |
控制(或控制增强)名称 |
隐私控制基线 |
低 |
中等水平 |
高 |
|
AC |
AC-1 |
政策和程序 |
x |
x |
x |
x |
|
AC |
AC-2 |
帐户管理 |
x |
x |
x |
|
|
AC |
AC-3 |
访问执法 |
x |
x |
x |
|
|
AC |
AC-3(14) |
访问权的执行|个人访问 |
x |
|||
下载SP 800-53B的安全类别LOW的完整Excel是这里。
https://files.cnblogs.com/files/blogs/792238/NIST.SP.800-53B.zip?t=1683165842&download=true