Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
NIST 800-53: Una guida alla conformità

NIST 800-53: Una guida alla conformità

Mar 3, 2021

La norma NIST 800-53 offre solide indicazioni su come le organizzazioni dovrebbero selezionare e mantenere controlli di sicurezza e privacy personalizzati per i loro sistemi informativi. NIST SP 800-53 Revisione 5 è uno dei tanti documenti di conformità che devi conoscere se lavori con la tecnologia dell'informazione.

Questo post lo suddivide per te in parti digeribili che enfatizzano il significato pratico e l'applicazione dello standard.

Contenuti correlati selezionati:

Cos'è NIST 800-53?

NIST 800-53 è uno standard di conformità alla sicurezza creato dal Dipartimento del Commercio degli Stati Uniti e dal National Institute of Standards in Technology in risposta alle capacità tecnologiche in rapido sviluppo degli avversari nazionali. Raccoglie i controlli raccomandati dal Information Technology Laboratory (ITL).

NIST 800-53 è obbligatorio per tutti i sistemi informativi federali degli Stati Uniti ad eccezione di quelli relativi alla sicurezza nazionale ed è neutrale rispetto alla tecnologia. Tuttavia, le sue linee guida possono essere adottate da qualsiasi organizzazione che gestisce un sistema informativo con dati sensibili o regolamentati. Fornisce un catalogo di controlli sulla privacy e sulla sicurezza per proteggere da una varietà di minacce, da disastri naturali ad attacchi ostili.

Contenuti correlati selezionati:

The standard has evolved to integrate privacy and security controls and to promote integration with other cybersecurity and risk management approaches. In particular, it fits into the scope of the Federal Information Processing Standards (FIPS); FIPS requires that organizations implement a minimum baseline of security controls as defined in NIST 800-53. The NIST standard also helps organizations comply with the Federal Information Security Modernization Act (FISMA), which details security and privacy guidelines as part of administering federal programs.

Man mano che l'infrastruttura informativa continua ad espandersi e integrarsi, cresce anche la necessità di incorporare privacy e sicurezza in ogni applicazione, indipendentemente dal fatto che si tratti di un sistema federale o privato. Con il set completo di controlli e linee guida in NIST 800-53, le organizzazioni private non devono reinventare la ruota per mantenere la cybersecurity.

Qual è l'obiettivo del NIST 800-53?

L'obiettivo dello standard di sicurezza e privacy è triplice:

  • Per fornire un catalogo completo e flessibile di controlli per la protezione attuale e futura basato sull'evoluzione della tecnologia e delle minacce
  • Per sviluppare una base per valutare tecniche e processi per determinare l'efficacia del controllo
  • Per migliorare la comunicazione tra organizzazioni attraverso un lessico comune per la discussione dei concetti di gestione del rischio

I controlli stabiliti dalla NIST Special Publication (SP) 800-53 sono progettati per migliorare la gestione del rischio per qualsiasi organizzazione o sistema che elabora, memorizza o trasmette informazioni.

Contenuti correlati selezionati:

Chi deve conformarsi a NIST 800-53?

Lo standard è obbligatorio per i sistemi informativi federali, le organizzazioni e le agenzie. Qualsiasi organizzazione che lavora con il governo federale è anche tenuta a rispettare NIST 800-53 per mantenere il rapporto.

Tuttavia, lo standard fornisce un solido quadro di riferimento per qualsiasi organizzazione per sviluppare, mantenere e migliorare le proprie pratiche di sicurezza delle informazioni, incluse le amministrazioni statali, locali e tribali e le aziende private, dalle PMI alle grandi imprese.

Quali sono i vantaggi di NIST 800-53?

Il vantaggio più significativo dello standard è un sistema di informazioni più sicuro. Le organizzazioni private si conformano volontariamente a NIST 800-53 perché le sue 18 famiglie di controlli li aiutano a rispondere alla sfida di selezionare i controlli di sicurezza di base appropriati, le politiche e le procedure per proteggere la sicurezza delle informazioni e la privacy.

Inoltre, vi incoraggia ad analizzare ogni controllo di sicurezza e privacy che selezionate per assicurarvi della sua applicabilità alla vostra infrastruttura e ambiente. Questo processo di personalizzazione aiuta a garantire non solo la sicurezza e la conformità, ma anche il successo aziendale. Promuove un'applicazione coerente ed economica dei controlli in tutta l'infrastruttura tecnologica dell'informazione.

Infine, seguire le linee guida NIST 800-53 aiuta a costruire una solida base per la conformità con altre normative e programmi come HIPAA, DFARS, PCI DSS e GDPR.

Quali dati protegge NIST SP 800-53?

Anche se lo standard non fornisce un elenco di tipi specifici di informazioni, offre raccomandazioni per classificare i tipi di dati che la tua organizzazione crea, memorizza e trasmette. Ad esempio, una classificazione potrebbe essere “protetta”; questi dati potrebbero includere nomi dei clienti, date di nascita e numeri di previdenza sociale.

Contenuti correlati selezionati:

Controlli di sicurezza NIST 800-53

NIST 800-53 offre un catalogo di controlli di sicurezza e privacy e una guida per la selezione. Ogni organizzazione dovrebbe scegliere i controlli basandosi sui requisiti di protezione dei suoi vari tipi di contenuto. Ciò richiede una valutazione del rischio attenta e un'analisi dell'impatto degli incidenti sui diversi dati e sistemi informativi. FIPS 199 definisce tre livelli di impatto:

  • Basso — La perdita avrebbe un impatto avverso limitato.
  • Moderato — La perdita avrebbe un impatto negativo serio.
  • Alto — La perdita avrebbe un impatto catastrofico.

Famiglie di Sicurezza e Controllo

I controlli NIST 800-53 sono suddivisi nelle seguenti 20 famiglie:

ID

Cognome

Esempi di controlli

AC

Controllo degli accessi

Gestione e monitoraggio degli account; principio del minimo privilegio; separazione dei compiti

AT

Consapevolezza e Formazione

Formazione degli utenti sulle minacce alla sicurezza; formazione tecnica per gli utenti privilegiati

AU

Audit e Responsabilità

Contenuto dei registri di audit; analisi e reporting; conservazione dei registri

CA

Valutazione, Autorizzazione e Monitoraggio

Connessioni a reti pubbliche e sistemi esterni; test di penetrazione

CM

Gestione della configurazione

Politiche del software autorizzato, controllo dei cambiamenti di configurazione

CP

Pianificazione delle contingenze

Siti alternativi di elaborazione e archiviazione; strategie di continuità operativa; test

IA

Identificazione e Autenticazione

Politiche di autenticazione per utenti, dispositivi e servizi; gestione delle credenziali

IP

Partecipazione individuale

Autorizzazione al consenso e alla privacy

IR

Risposta agli incidenti

Formazione sulla risposta agli incidenti, monitoraggio e reporting

MA

Manutenzione

Manutenzione di sistema, personale e strumenti

MP

Protezione dei media

Accesso, archiviazione, trasporto, sanificazione e utilizzo dei supporti

Privileged Access

Autorizzazione alla privacy

Raccolta, utilizzo e condivisione di informazioni personali identificabili (PII)

PE

Protezione fisica e dell'ambiente

Accesso fisico; alimentazione di emergenza; protezione antincendio; controllo della temperatura

PL

Pianificazione

Restrizioni sui social media e sul networking; architettura di sicurezza a difesa stratificata

PM

Gestione dei programmi

Strategia di gestione del rischio; insider threat program; architettura aziendale

PS

Sicurezza del personale

Screening del personale, cessazione e trasferimento; personale esterno; sanzioni

RA

Valutazione dei rischi

Valutazione dei rischi; scansione delle vulnerabilità; valutazione dell'impatto sulla privacy

SA

Acquisizione di Sistemi e Servizi

Ciclo di vita dello sviluppo del sistema; processo di acquisizione; gestione del rischio della catena di approvvigionamento

SC

Protezione dei Sistemi e delle Comunicazioni

Partizionamento delle applicazioni; protezione dei confini; gestione delle chiavi crittografiche

SI

Integrità del sistema e delle informazioni

Rimedio dei difetti; monitoraggio del sistema e allarmi

Consigli per la conformità a NIST 800-53

Le seguenti migliori pratiche ti aiuteranno a selezionare e implementare i controlli di sicurezza e privacy appropriati per la conformità a NIST SP 800-53.

  • Identifica i tuoi dati sensibili. Scopri di che tipo di dati si occupa la tua organizzazione, dove sono memorizzati e come vengono ricevuti, mantenuti e trasmessi. I dati sensibili possono essere distribuiti su più sistemi e applicazioni; non sono necessariamente solo dove pensi che siano.
  • Classifica i dati sensibili. Categorizza ed etichetta i tuoi dati in base al loro valore e sensibilità. Assegna a ciascun tipo di informazione un valore di impatto (basso, moderato o alto) per ciascun obiettivo di sicurezza (confidenzialità, integrità e disponibilità) e categorizzalo al livello di impatto più alto. Consulta FIPS 199 per le categorie di sicurezza appropriate e i livelli di impatto che si riferiscono agli obiettivi organizzativi, alla missione e al successo aziendale. Automatizza la scoperta e la classificazione per semplificare il processo e garantire risultati consistenti e affidabili.
  • Evaluate your current level of cybersecurity with a risk assessment. At a high level, risk assessment involves identifying risks, assessing the probability of their occurrence and their potential impact, taking steps to remediate the most serious risks, and then assessing the effectiveness of those steps.
  • Documentate un piano per migliorare le vostre politiche e procedure. Selezionate i controlli in base alle specifiche esigenze aziendali. L'ampiezza e il rigore del processo di selezione dovrebbero essere proporzionali al livello di impatto del rischio che si sta mitigando. Documentate il vostro piano e la motivazione per ogni scelta di controllo e politica.
  • Fornire una formazione continua ai dipendenti. Educare tutti i dipendenti sulla governance degli accessi e sulle migliori pratiche di cybersecurity, come ad esempio il riconoscimento e la segnalazione di malware.
  • Rendi la conformità un processo continuo. Una volta che hai portato il tuo sistema in conformità con NIST 800-53, mantieni e migliora la tua conformità con audit di sistema regolari, specialmente dopo un incidente di sicurezza.

Contenuti correlati selezionati:

Conclusione

Tutte le agenzie federali e le organizzazioni devono rispettare il NIST 800-53, e se interagisci con loro, dovrai essere conforme anche tu. La conformità non è un requisito per le organizzazioni che non fanno affari con il governo federale, ma soddisfare lo standard ti aiuterà a stabilire una solida base per la conformità con una vasta gamma di altre normative, come HIPAA e GDPR, quindi non dovrai reinventare la ruota ogni volta.

FAQ

  1. Cos'è la serie NIST 800?

La serie NIST 800 è un insieme di documenti che descrivono le politiche, le procedure e le linee guida del governo federale degli Stati Uniti per la sicurezza dei sistemi informativi.

  1. Cos'è NIST 800-53?

NIST 800-53 è uno standard normativo che definisce il livello minimo di controlli di sicurezza per tutti i sistemi informativi federali degli Stati Uniti, ad eccezione di quelli relativi alla sicurezza nazionale. Stabilisce il livello minimo di controlli di sicurezza richiesti dallo Standard di Elaborazione delle Informazioni Federali (FIPS).

  1. Qual è lo scopo del NIST 800-53?

NIST 800-53 aiuta le organizzazioni di tutti i tipi a progettare e gestire correttamente i loro sistemi di sicurezza delle informazioni e a conformarsi al Federal Information Security Modernization Act (FISMA). Offre un ampio catalogo di controlli per rafforzare la sicurezza e la privacy.

  1. Quanti controlli sono descritti nel NIST 800-53?

NIST 800-53 ha 20 famiglie di controlli composte da oltre 1.000 controlli separati. Ogni famiglia è correlata a un argomento specifico, come il controllo degli accessi.

  1. Qual è la versione attuale di NIST 800-53?

NIST 800-53 Revisione 5 è stata pubblicata nel settembre 2020.

  1. Chi deve conformarsi a NIST 800-53?

NIST 800-53 è obbligatorio solo per i sistemi informativi federali di tutte le agenzie e organizzazioni. Tuttavia, le linee guida sono molto utili anche per i governi statali, locali e tribali e le aziende private.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Mike Tierney

Ex Vicepresidente del Successo Cliente

Ex Vicepresidente del Successo Clienti presso Netwrix. Vanta un background variegato costruito in oltre 20 anni nell'industria del software, avendo ricoperto ruoli di CEO, COO e VP Product Management in diverse aziende focalizzate sulla sicurezza, conformità e sull'aumento della produttività dei team IT.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza