National Institute of Standards and Technology (NIST) เผยแพร่ฉบับร่างฉบับปรับปรุงแก้ไข 5 ของ Special Publication (SP) 800-53, Security and Privacy Controls for Information Systems and Organizationsเมื่อปลายเดือนมีนาคม 2020แม้ว่าจะยังไม่สิ้นสุด แต่การแก้ไข 5 แสดงถึงการปรับโครงสร้างพื้นฐานของ 800-53 เพื่อให้ครอบคลุมมากขึ้นและรองรับฐานผู้ใช้ที่กว้างขึ้น ตั้งแต่โปรแกรมระดับองค์กรที่ใช้ 800-53 พร้อมกรอบการบริหารความเสี่ยง
ไปจนถึงองค์ประกอบใหม่ของบทบาทด้านไอทีที่ไม่ได้รับ
ไม่มีอยู่ก่อนการแก้ไข พื้นที่โฟกัสใหม่เหล่านี้เสริมสร้างการรักษาความปลอดภัยและการกำกับดูแลความเป็นส่วนตัวและความรับผิดชอบ สนับสนุนการอยู่รอดของระบบจากการถูกโจมตี และสนับสนุนการออกแบบระบบที่ปลอดภัย
ในช่วงหลายปีที่ผ่านมา ความเป็นส่วนตัวได้รับการพิสูจน์แล้วว่าเป็นข้อกังวลที่สำคัญซึ่งจำเป็นต้องมีการมองเห็นแบบเดียวกับที่ความปลอดภัยในโลกไซเบอร์ได้รับ ด้วยเหตุนี้ NIST จึงเริ่ม FISMA 2020 ซึ่งเป็นความพยายามหลายปีในการผสานรวมความเป็นส่วนตัวเข้ากับระเบียบข้อบังคับ Federal Information Security Management Act ซึ่งมีผลสูงสุดในการอัปเดตที่รวมอยู่ใน Revision 5 และการควบคุมอื่นๆ ซึ่งเป็นข้อกำหนดพื้นฐานที่สำคัญสำหรับความพยายามในการปฏิบัติตามกฎระเบียบของหน่วยงานรัฐบาลกลางส่วนใหญ่
800-53 R5 ของ NIST ใช้เทคโนโลยีและแนวทางที่เป็นกลางด้านนโยบายโดยการพัฒนาการป้องกันอย่างเป็นระบบสำหรับแพลตฟอร์มคอมพิวเตอร์ทุกประเภท รวมถึงระบบคอมพิวเตอร์ที่ใช้งานทั่วไป ระบบไซเบอร์ฟิสิคัล ระบบคลาวด์และระบบเคลื่อนที่ ระบบควบคุมอุตสาหกรรม/กระบวนการ และ Internet of Things (IoT) อุปกรณ์
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
แยกการควบคุมความปลอดภัยและความเป็นส่วนตัวออกจากบรรทัดฐาน
นอกจากนี้ NIST ได้ตัดสินใจออกแบบครั้งใหญ่เพื่อแยกส่วนควบคุมออกจากเส้นฐาน คำแนะนำในการปรับแต่ง และตารางการแมป 800-53 R5 จะยังคงมีการควบคุมความปลอดภัยและความเป็นส่วนตัวต่อไป และบรรทัดฐาน คำแนะนำในการปรับแต่ง และตารางการแมปจะถูกย้ายไปยังสิ่งพิมพ์ใหม่ 800-53B บรรทัดฐานการควบคุมและคำแนะนำในการปรับแต่งสำหรับระบบข้อมูลกลางและองค์กร ซึ่งคาดว่าจะเผยแพร่ใน ปลายปี 2563
นอกจากนี้ยังย้ายการควบคุมความเป็นส่วนตัวจากภาคผนวก (ใน 800-53 R4 การควบคุมความเป็นส่วนตัวมีรายละเอียดในภาคผนวก J) ลงในแคตตาล็อกหลักโดยรวมเข้ากับการควบคุมความปลอดภัยที่เกี่ยวข้องและสร้างตระกูลการควบคุมความเป็นส่วนตัวใหม่ การประมวลผลข้อมูลที่ระบุตัวตนได้และความโปร่งใส ( PT) ซึ่งกล่าวถึงการจัดการความเสี่ยงด้านความเป็นส่วนตัว
SP 800-53 R5 ทำแผนที่อย่างไร
การแก้ไขครั้งที่ 5 มุ่งเน้นไปที่สามด้าน: 1) การพัฒนาการควบคุมเพื่อป้องกันภัยคุกคามและความเปราะบางทั้งในปัจจุบันและอนาคต 2) ความยืดหยุ่นทางไซเบอร์ และ 3) การจัดการความเสี่ยงของห่วงโซ่อุปทาน
เมื่อเทคโนโลยีใหม่ๆ ได้รับการพัฒนา เช่น คลาวด์ อุปกรณ์พกพา และ IoT NIST ต้องการให้แน่ใจว่าสามารถใช้การควบคุมเดียวกันได้โดยใช้การควบคุมที่แตกต่างกันไปตามเทคโนโลยี 800-53 R5 ครอบคลุมชุมชนไอทีมากขึ้น รวมถึงวิศวกรด้านความเป็นส่วนตัวและความปลอดภัย ซัพพลายเชน ภาคเอกชน องค์กรไม่แสวงหากำไร และสถาบันการศึกษา
การเปลี่ยนแปลงพื้นฐานอีกประการหนึ่งคือการย้ายของ NIST ไปยังรูปแบบการจัดส่งเนื้อหาออนไลน์ ซึ่งผู้ใช้จะไปที่เว็บไซต์เพื่อค้นหาแคตตาล็อกการควบคุม เลือกการควบคุมที่จำเป็น และสร้างแผนการรักษาความปลอดภัย โมเดลการนำส่งใหม่นี้ช่วยให้ผู้ใช้ไม่ต้องตรวจสอบเอกสารควบคุมกว่า 400 หน้า และค้นหาเฉพาะหัวข้อที่เกี่ยวข้องกับการดำเนินธุรกิจหรือภารกิจของตนได้อย่างง่ายดาย รูปแบบการจัดส่งออนไลน์จะช่วยให้ NIST สามารถอัปเดตได้บ่อยขึ้น ตัวอย่างเช่น เมื่อมีการระบุภัยคุกคามหรือการโจมตีทางไซเบอร์ใหม่ การควบคุมหรือการเพิ่มประสิทธิภาพสามารถดำเนินการออนไลน์ได้อย่างรวดเร็วและทดสอบเบต้าโดยชุมชนผู้ใช้และห้องปฏิบัติการ NIST
ด้วยวิธีนี้ ผู้ใช้มีสองวิธีในการเลือกการควบคุม:
สำหรับผู้ใช้ที่ต้องการใช้เส้นฐาน พวกเขาจะพบข้อมูลนั้นใน 800-53B
สำหรับผู้ใช้ที่ต้องการใช้การควบคุมในกระบวนการทางวิศวกรรม พวกเขาจะใช้ 800-53 R5 เพื่อเลือกการควบคุมความปลอดภัยและความเป็นส่วนตัวแต่ละรายการที่ตรงตามความต้องการ
Ron Ross เพื่อนของ NIST กล่าวระหว่างเหตุการณ์เสมือน 800-53 R5 ของ NIST ว่า “การควบคุมควรได้ผลสำหรับคุณ” “คุณไม่ควรทำสิ่งนี้เหมือนเป็นการปฏิบัติตามข้อบังคับ เราพยายามสร้างแคตตาล็อกที่มีความยืดหยุ่นและไดนามิก และสามารถใช้ได้สำหรับทุกสถานการณ์ที่คุณอาจพบว่าตัวเองอยู่ในสถานการณ์ใด โดยพิจารณาจากภัยคุกคามและความเปราะบาง ผลกระทบเฉพาะต่อภารกิจหรือการดำเนินธุรกิจของคุณ หากมีการฝ่าฝืนหรือการโจมตีบางประเภท . และทั้งหมดนี้มารวมกันเพื่อสร้างแค็ตตาล็อกการควบคุมของคุณ”
credit : เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์
