2005年,NIST SP800-53发布,采取了积极主动的系统方法来制定,并向广泛的公共和私营部门组织提供针对所有人的计算平台提供全面保护措施。这些计算机系统包括:通用计算系统、网络物理系统、基于云的系统、移动设备、物联网(IoT)设备、武器系统、空间系统、通信系统、环境控制系统、超级计算机和工业控制系统。这些保护措施包括实施安全和隐私控制,以保护组织的关键和必要操作和资产以及个人隐私。目标是使我们依赖的信息系统具有更高的抗渗透性,限制攻击发生时的破坏,使系统具有网络弹性和生存能力,并保护个人隐私。
NIST SP 800-53是一个独立的控制框架,为安全治理提供了全面的方法。它为信息系统和组织提供了安全和隐私控制的目录(catalog),以保护组织的运营和资产、个人、其他组织和国家免受各种威胁和风险的侵害,包括敌对攻击、人为错误、自然灾害、结构性威胁故障、外国情报实体和隐私风险。并有助于确保信息技术产品和依赖这些产品的系统具有足够的可信度。安全和隐私控制目录以及基于风险的控制选择过程的组合,可以帮助组织遵守既定的安全和隐私要求,为其信息系统获得足够的安全,并保护个人隐私。
这些控件是灵活且可自定义的,并作为组织范围内的风险管理过程的一部分而实施;
这些控件满足了从任务和业务需求、法律、行政命令、指令、法规、政策、标准和指南中得出的各种要求;
控件目录从功能的角度(即控件提供的功能和机制)和保证的角度(即控件提供的安全性或隐私功能的可信度)解决安全性和隐私问题;
控件独立于控件的使用过程。控制选择过程可以是:组织范围的风险管理过程、系统工程过程[SP 800-160-1],风险管理框架[SP 800-37]、网络安全框架[NIST CSF]或隐私框架[NIST PF];
可以根据许多因素来指导和告知控制选择标准,包括任务和业务需求、利益相关者保护需求、威胁,漏洞以及遵守联邦法律、行政命令、指令、法规、政策、标准和准则。
目前修订版本Rev5,是2020/10/12发布。
3.2.2. NIST SP800-171NIST SP 800-171: 保护非联邦系统和组织中的受控非密信息(Protecting Controlled Unclassified Information in Non federal Systems and Organizations)。
为响应有关管理受控未分类信息 (Controlled Unclassified Information(CUI)) 的管理命令 13556,发布了 NIST SP 800-171,保护非 Federal 信息系统和组织中的受控未分类信息。 CUI 定义为数字和物理信息,由政府 (或代表其实体创建) 虽然未分类,但仍敏感且需要保护。
NIST SP 800-171是NIST SP 800-53的一个子集,与特定的过程要求一起。NIST SP 800-171在附录中包括了与NIST CSF和NIST SP 800-53的控制映射。NIST SP 800-171 最初于 2015 年 6 月发布,此后为了响应不断变化的网络威胁,已进行了多次更新。2020/02/21 发布Rev2。
它提供有关如何安全访问、传输 CUI 以及将 CUI 存储在非信息系统和组织的准则;其要求分为四个主要类别:
用于管理和保护的控件和过程;
监视和管理 IT 系统;
针对最终用户的清晰做法和过程;
技术和物理安全措施的实施。
3.3. 网络安全成熟度模型认证(CMMC)美国国防部(The United States Department of Defense(US DoD)) 每年在都需要为美军进行多达$1.8万亿的巨量武器采购, 这些采购涉及30万个国防部国防工业基地(Defence Industry Base(DIB))供应商。这些采购活动是在各种不同的数字平台上完成的。如果这些DIB的网络系统收到攻击,则可能对DIB承包商带来经济影响,进而影响到国防部供应链中产品和服务的流动,并可能影响一线作战力量。
为了网络防御要求,于是出台了国防联邦采购要求补充(Defence Federal Acquisition Requirements Supplement (DFARS))。DFARS是一套全面的要求,列出了向美军采购和供应产品与服务的期望。定义了实施NIST(SP)800 – 171(当前修订版2)的必要性,其中详细介绍了NIST(SP)800-171的一系列网络安全实践保护受控未分类信息(Controlled Unclassified Information(CUI))。所有CUI类别均在美国国家档案局控制的未分类信息(CUI)注册表中进行了描述。 根据DFARS 252.204-7012的规定,DIB承包商及其分包商应自2017年12月31日起遵守NIST(SP)800 – 171规定。