Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonsági szabványok XV

NIST 800-53 rev. 5

2023. július 15. - icscybersec

A mai poszt témája, a NIST 800-53 rev. 5 (röviden 800-53) némileg kakukktojásnak számít ebben a sorozatban, mert nem kifejezetten ICS kiberbiztonsági szabványról lesz szó, sokkal inkább egy IT biztonsági szabványról. Az ok, ami miatt mégis úgy gondoltam, hogy helye van a 800-53-nak az ICS biztonsági szabványokat bemutató sorozatban, többrétű, egyrészt az erős kapcsolat a sorozat következő részében feldolgozásra kerülő 800-82-es NIST szabvánnyal, másrészt ez a szabvány az alapja a magyar kritikus infrastruktúrák számára mostanra erősen ismerőssé vált (tegyük hozzá, hosszú idő kellett hozzá...) 41/2015 BM rendeletnek, amiről még szintén lesz szó ebben a sorozatban.

A 800-53 összesen 20 témakörben tárgyalja a kiberbiztonsági kontrollokkal kapcsolatos követelményeket, az alábbi bontásban:

AC - Access Control (Hozzáférés-vezérlés) - 25 kontroll
AT - Awarness and Training (Biztonságtudatosság és képzés) - 6 kontroll
AU - Audit and Accountability (Auditálás és elszámoltathatóság) - 16 kontroll
CA - Assessment, Authorization, and Monitoring (Értékelés, jogosultságkezelés és monitoring) - 9 kontroll
CM - Configuration Management (Konfigurációmenedzsment) - 14 kontroll
CP - Contingency Planning (Üzletmenet-folytonosság tervezés) - 13 kontroll
IA - Identification and Authentication (Azonosítás és authentikáció) - 12 kontroll
IR - Incident Response (Incidenskezelés) - 10 kontroll
MA - Maintenance (Karbantartás) - 7 kontroll
MP - Media Protection (Adathordozó-védelem) - 8 kontroll
PE - Physical and Environmental Protection (Fizikai és környezeti biztonság) - 23 kontroll
PL - Planning (Tervezés) - 11 kontroll
PM - Program Management (Programmenedzsment) - 32 kontroll
PS - Personnel Security (Személyi biztonság) - 9 kontroll
PT - PII Processing and Transparency (Személyes azonosító adatok feldolgozása és átláthatósága) - 8 kontroll
RA - Risk Assessment (Kockázatelemzés) - 10 kontroll
SA - System and Services Acquisition (Rendszer- és szolgáltatás-beszerzés) - 23 kontroll
SC - System and Communications Protection (Rendszer- és kommunikációvédelem) - 51 kontroll
SI - System and Information Integrity (Rendszer- és információ sértetlenség) - 23 kontroll
SR - Supply Chain Risk Management (Beszállítói lánc menedzsmentje) - 12 kontroll

A 800-53 jelenleg (2023.07.19-én) érvényes változata itt érhető el: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr418166438

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása