NIST چیست؟ (استاندارد NIST SP 800-53)

NIST cover

شیوه‌نامه‌ 53-800 NIST (موسسه ملی فناوری و استانداردهای ایالات متحده) مجموعه‌ای از استانداردها و دستورالعمل‌هاست که تعیین می‌کنند سازمان‌های دولتی ایالات متحده چگونه باید سیستم‌های امنیت اطلاعات خود را طراحی، پیاده‌سازی و مدیریت کنند؛ استانداردها و دستورالعمل‌هایی که تاکیدی ویژه بر داده‌های قرارگرفته روی این سیستم‌ها دارند. شیوه‌نامه 53-800 بخشی از چارچوب امنیت سایبری موسسه NIST است، موسسه‌ای غیرنظارتی که مسئول انجام تحقیقات و تهیه‌ مجموعه‌ای از استانداردها برای نهادهای فدرال در ایالات متحده است.

 این چارچوب متشکل از پنج کارکرد مختلف است: شناسایی، حفاظت، تشخیص، پاسخ و بازیابی.
در ماه می 2017، رییس‌جمهور سابق آمریکا، دونالد ترامپ، دستور اجرایی 13800 را صادر و اعلام کرد که تمامی مدیران سازمان‌ها و نهادهای اجرایی ایالات متحده، از این پس ملزم هستند خطرات حوزه امنیت سایبری را در سازمان خود مدیریت کنند.

nist id

چارچوب امنیت سایبری NIST

چارچوب امنیت سایبری NIST راه‌حلی برای مشکل عدم وجود استاندارد در زمینه‌ی امنیت است. در حال حاضر در روش استفاده‌ی شرکت‌ها از فناوری‌ها، زبان‌ها و قوانین مختلف برای مبارزه با هکرها، سارقان داده و باج‌افزارها تفاوت‌هایی قابل ملاحظه وجود دارد.

حملات سایبری روز به روز گسترده‌تر و پیچیده‌تر می‌شوند، و مبارزه با این حملات سخت‌تر و سخت‌تر می‌شود. این در حالی است که سازمان‌های مختلف استراتژی واحدی برای روبه‌رویی با این حملات ندارند.

تفاوت‌های موجود در مجموعه سیاست‌ها، به‌روش‌ها و فناوری‌های مورد استفاده در امنیت سایبری مشکل دیگری را نیز به وجود می‌آورد: سازمان‌ها نمی‌توانند اطلاعاتی را که درباره‌ی حملات دارند با یکدیگر به اشتراک بگذارند. اگر سازمان شما هدف حمله‌ای قرار گرفت، می‌توانید با همکاران خود در سازمان‌های دیگر که حمله‌ی مشابهی را تجربه کرده‌اند درباره‌ی آن مشورت کنید، اگرچه باید به یاد داشته باشید که اقدامات آن سازمان الزاماً برای شما موثر نخواهد بود.

چارچوب امنیت سایبری NIST راه‌ حلی برای رفع این مشکلات است. با مجموعه‌ای واحد از قوانین، دستورالعمل‌ها و استانداردها، به‌اشتراک‌گذاشتن اطلاعات بین شرکت‌ها ساده‌تر شده، و اطلاع‌رسانی و هماهنگی آسان‌تر می‌شود.

درباره OSINT چه می‌دانید؟

استاندارد NIST 800-53 به زبان ساده

با توجه به این که چشم‌انداز تهدید همواره در حال تغییر و تکامل است و از طرف دیگر سیستم‌های دولتی همواره با تهدیدات بیشتری روبه‌رو هستند، حفاظت از یکپارچگی سیستم‌ها و داده‌ها برای همه سازمان‌ها، به امری ضروری تبدیل شده است. سیستم‌های دولتی و نظامی به‌طور خاص و به خاطر اطلاعات حساس و حیاتی که روی آن‌ها ذخیره و نگهداری می‌شود، با خطرات بیشتری روبه‌رو هستند.

همین مساله باعث شد استاندارد NIST 800-53 متولد شود. تمام سازمان‌های دولتی باید از دستورالعمل‌های این شیوه‌نامه پیروی کنند. هم‌چنین هر نهاد شخصی یا کسب‌وکاری که قصد دارد به عنوان پیمانکار با موسسات فدرال همکاری داشته باشد نیز باید پیرو این دستورالعمل‌ها باشد.

easy nist

چرا باید به استاندارد NIST 800-53 توجه داشت؟

شیوه‌نامه NIST 800-53 چارچوبی منسجم برای امنیت اطلاعات است که توانایی مدیریت موثر خطر را برای تمام سازمان‌ها بهبود می‌بخشد. اصلی‌ترین ماموریت موسسه NIST، کمک به نوآوری و رقابت صنعتی بین شرکت‌ها و سازمان‌ها، با ایجاد پیشرفت و بهبود در علوم، فناوری‌ها و استانداردهایی است که برای اندازه‌گیری و سنجش استفاده می‌شوند. هدف از به کارگیری این استاندارد این است که بتواند از این راه به ارتقای کیفیت زندگی و امنیت اقتصادی کمک کند.

حتی برای کسب‌وکارهایی که ملزم به پیروی از NIST SP 800-53 نیستند، این استانداردها هم‌چنان مبنایی عالی برای مدیریت امنیت اطلاعات به شمار می‌روند.

کنترل‌های امنیتی در NIST SP 800-53 

شیوه‌نامه 53-800 روی 18 خانواده از کنترل‌های امنیتی تمرکز دارد که از لحاظ اهمیت و حیاتی‌بودن به سه دسته‌ «کم، متوسط و زیاد» طبقه‌بندی می‌شوند. این کنترل‌ها به تفصیل در شیوه‌نامه NIST SP 800-53 تصریح شده‌اند و عبارتند از:

1. کنترل دسترسی
2. ممیزی و حسابرسی
3. آگاهی‌بخشی و آموزش
4. مدیریت پیکربندی
5. برنامه‌ریزی برای حوادث غیرمترقبه
6. شناسایی و احراز هویت

7. پاسخ به حادثه
8. نگهداری
9. حفاظت از بسترهای ذخیره‌‎سازی
10. امنیت کارکنان
11. حفاظت فیزیکی و محیطی
12. برنامه‌ریزی

13. مدیریت برنامه
14. ارزیابی خطر
15. ارزیابی و تایید صلاحیت امنیتی
16. حفاظت از سیستم‌ها و ارتباطات
17. یکپارچگی سیستم‌ها و اطلاعات
18. تهیه‌ سیستم‌ها و سرویس‌ها

NIST list

چه سازمان‌هایی باید از NIST پیروی کنند؟ 

بر اساس دستور اجرایی 13800، تمامی سازمان‌های فدرال ایالات متحده ملزم به پیروی از چارچوب امنیت سایبری NIST هستند. به شرکت‌ها و سازمان‌های بخش خصوصی نیز توصیه می‌شود از NIST 800-53 پیروی کنند. چارچوب NIST معمولا به عنوان یک نقشه‌راه برای تمام سازمان‌هایی توصیه می‌شود که به دنبال توسعه، بهبود و حفظ رویکردهای خود در زمینه‌ امنیت‌اطلاعات هستند. ضمن این که این چارچوب، راهنمایی مطمئن برای کسب‌وکارهای کوچک تا متوسط فراهم می‌کند.
پیروی از NIST 800-53 و دیگر «استانداردهای بهینه» در چارچوب امنیت سایبری، به سازمان‌ها کمک می‌کند پیروی خود از دیگر قوانین و مقررات مانند PCI-DSS، GDPR و HIPAA را نیز تسهیل کنند.

آخرین تغییرات مهم NIST 800-53 

مانند بسیاری از مقررات و دستورالعمل‌های مشابه دیگر، NIST 800-53 نیز سندی پویا و در حال تکامل است که با گذشت زمان بازبینی‌های زیادی روی آن انجام خواهد شد. آخرین بازبینی NIST 800-53 در حال حاضر، نسخه پنجم این شیوه‌نامه است. تغییر بزرگی که در این نسخه ایجاد شده این است که NIST 800-53 دیگر به سیستم‌‎های فدرال محدود نبوده و تمام سیستم‌ها را شامل می‌شود. 

این بازبینی حاوی یک رویکرد فعال و نظام‌مند است که با استفاده از آن می‌توان مجموعه‌ای جامع از تدابیر و تمهیدات حفاظتی را در اختیار طیف وسیعی از سازمان‌های دولتی و خصوصی قرار داد. این تمهیدات تمامی انواع بسترهای رایانشی از جمله سیستم‌های سایبری-فیزیکی، سیستم‌های موبایلی و ابری، سیستم‌های رایانشی چندمنظوره، سیستم‌های کنترل فرایند و کنترل صنعتی و دستگاه‌های IoT را شامل می‌شوند.

NIST update

پیاده‌سازی چارچوب امنیت سایبری NIST

پیاده‌سازی چارچوب امنیتی NIST بدون شک یک از ضروری‌ترین اولویت‌ها به شمار می‌رود. هیچ دلیلی برای انجام‌ندادن این کار وجود ندارد. اولین مزیت آن این است که این چارچوب شما را در برابر حملات سایبری که قطعاً برای شما هم اتفاق خواهند افتاد حفاظت می‌کند. دنبال‌نکردن دستورالعمل‌های NIST باعث ضعف امنیتی خواهد شد. ممکن است فرایند پیاده‌سازی این چارچوب سخت و سنگین به نظر برسد، ولی با این کار می‌توانید ایمنی خود را بهبود دهید. با این کار نه‌تنها اعتماد مشتریانتان به شما بیشتر می‌شود، بلکه کارکنان شما هم حین کارکردن این ملاحظات امنیتی را در اولویت قرار می‌دهند.

درواقع از هر 10 متخصص امنیت و کارشناس IT، 7 نفر معتقد هستند که چارچوب NIST چارچوب مفیدی بوده و پیاده‌سازی آن یک به‌روش محسوب می‌شود.

برای ساده‌ترکردن پیاده‌سازی دستورالعمل‌های ذکرشده در این چارچوب برای شرکت‌ها و دفاتر دولتی، موسسه NIST چندین منبع را از طریق وبسایت خود در دسترس آن‌ها قرار داده است. این منابع شامل سوالات رایج، راهنماهای عملیاتی، مطالعات موردی و دیگر راهنماها می‌شوند.

در حال حاضر سازمان‌ها و بنیادهای دولتی در آمریکا در این زمینه حق انتخابی ندارند. دولت ترامپ نود روز پس از امضای فرمان اجرایی در ماه می 2017، تمام سازمان‌ها و موسسات را ملزم کرد برنامه‌ای مشخص برای پیاده‌سازی این چارچوب در نظر بگیرند.

خلاصه‌ای از چارچوب امنیت سایبری NIST

هسته‌ی چارچوب

هسته‌ی چارچوب فعالیت‌هایی را مشخص می‌کند که باید برای حصول نتایج مختلف در حوزه‌ی امنیت سایبری انجام دهید. این فعالیت‌ها به چهار بخش کلی تقسیم می‌شوند:

1.کارکردها

پنج کارکردی که در چارچوب امنیت سایبری NIST مشخص شده‌‌اند عبارتند از شناسایی، تشخیص، حافظت، واکنش و بازیابی. این موارد پایه‌ای‌ترین وظایف شما در زمینه‌ی امنیت سایبری را تشکیل می‌دهند.

2.دسته‌بندی‌ها

برای هر کدام از پنج کارکرد، دسته‌بندی‌هایی وجود دارند که در اصل چالش‌ها یا وظایفی خاص هستند که باید به آن‌ها بپردازید. برای مثال، برای حفاظت از سیستم‌های خود (که یک کارکرد است) باید به‌روزرسانی‌های نرم‌افزاری را انجام دهید، برنامه‌های ضد ویروس و ضد بدافزار نصب کنید و سیاست‌های کنترل دسترسی وضع کنید.

3.زیردسته‌ها

این موارد وظایف یا چالش‌هایی هستند که به هر دسته‌بندی مربوط می‌شوند. برای مثال، در اجرای به‌روزرسانی‌های نرم‌افزاری (که یک دسته‌بندی است)، باید اطمینان حاصل کنید که در تمام دستگاه‌های ویندوزی به‌روزرسانی خودکار فعال باشد.

4.منابع آگاهی‌بخش

این منابع اسناد یا راهنماهایی هستند که جزییات مربوط به وظایف خاص و نحوه‌ی انجام کارهای مختلف را برای کاربران تشریح کرده‌اند. برای مثال، باید مستنداتی داشته باشید که در آن‌ها نحوه‌ی فعال‌سازی به‌روزرسانی خودکار در دستگاه‌های ویندوزی تشریح شده باشد.

سطوح پیاده‌سازی

چارچوب امنیت سایبری NIST چهار سطح از پیاده‌سازی را مشخص کرده است. این سطوح به شما کمک می‌کنند بدانید مجموعه‌ی شما تا چه حد با این چارچوب تطبیق دارد. هرچه سطح پیاده‌سازی بالاتر باشد، تطبیق‌پذیری مجموعه‌ی شما با این چارچوب بیشتر است.

پروفایل‌ها

پروفایل‌های موجود در چارچوب امنیت سایبری NIST هم وضعیت فعلی شاخص‌های امنیت سایبری سازمان شما را مشخص می‌کنند، هم مسیرهایی را که باید برای تطبیق‌پذیری کامل با این چارچوب طی کنید. به گفته‌ی موسسه NIST در اختیار داشتن این پروفایل‌ها سازمان‌ها را قادر می‌سازد در هر قدم از مسیر نسبت به نقطه‌ضعف‌های امنیتی خود آگاه شوند. وقتی سازمان‌ها این نقاط ضعف را برطرف کنند، حرکت به سوی سطوح بالاتر پیاده‌سازی چارچوب برای آن‌ها آسان‌تر می‌شود.

مدیران کسب‌وکارها نیز می‌توانند با کمک این پروفایل‌ها ارزیابی کنند که به طور کلی هر کارکرد، دسته‌بندی یا زیردسته چه فوایدی برای سازمان آن‌ها دارد و بتوانند مزایای تطبیق‌پذیری با چارچوب امنیت سایبری NIST را بهتر متوجه شوند.

پروفایل‌ها را می‌توان خلاصه‌ای اجرایی از تمام فعالیت‌هایی دانست که یک سازمان برای تطبیق‌پذیری با چارچوب امنیت سایبری NIST انجام داده است.

سخن آخر

اگر قصد دارید سازمان خود را با شیوه‌نامه 53-800 هماهنگ کنید، اولین گام تشکیل یک چارچوب ممیزی برای کنترل‌های امنیتی این شیوه‌نامه است. وجود چنین ساختاری به شما کمک می‌کند حفره‌های موجود در بستر امنیت خود را یافته و خطرات حاصل از آن‌ها برای زیرساخت خود را ارزیابی کنید. این کار اولین گام برای پیروی از این استانداردها بوده و به سازمان شما کمک می‌کند تا امنیت خود را به طور قابل ملاحظه‌ای تقویت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دوره هکر قانونمند