SP 800-53:联邦IT系统最低安全控制
SP 800-53是NIST系统认证与认可项目的第二部分。它的目标是“根据IT系统对机密性、完整性和机密性的低、中、高关注度,为其建立一组标准的最低安全控制。”它从其他的很多联邦资料获取信息,这些资料包括NIST.SP 800--26,美国国防部(DoD) 8500 号政策,clirector of central intelligence directive6-3,ISO/IEC标准17799,以及美国审计总署( GAO,General Accounting Office)的联邦信息系统控制审计手册。
正如先前的NIST文档(特别是SP 800-18)提到的,SP 800-53中的安全控制被划分为我们熟悉的3类:管理、操作和技术。这3个种类中的每一类都处理了安全问题的不同方面,包括“风险管理、系统开发与采集、配置管理、系统交互、人员安全、安全意识提升、教育和培训、物理以及环境保护、媒质保护、应急计划、硬件与系统软件维护、系统和数据的完整性、文档记录、事故响应能力、识别和认证、逻辑访问、审计和通讯。”对于C&A标准来说,关键要素是一个新的概念,这个概念最初是在SP 800-26里面定义的。关键要素表示“系统中与安全相关的重要中心领域,该系统的每一个关键要素都有一个或多个相应的安全控制。”因为技术在不停地发展,所以各种安全控制也会不断地进步,并且它还会需要另外的控制机制。 图64描述了认证认可流程中的参与者。
NIST SP 800-53,联邦信息技术系统最低安全控制,以及它的配套文件,NIST SP 800-53A,联邦信息技术系统安全控制有效性检验技术和流程,预计在2003年末或者2004年初发布。