На днях вышел обновленный NIST SP 800-53 (третья редакция), Recommended Security Controls for Federal Information Systems and Organizations. Восьмисотая серия "специальных публикаций" (SP = Special Publications) это набор стандартов, выпущенных лабораторией информационных систем (ITL) Американского национального института стандартов и технологий (NIST) для примемения в правительственных информационных системах. NIST SP 800-53 описывает стандартную библиотеку мер безопасности (контролей) с привязкой к критичности системы. Из нового:
- Полностью переработанные приложения G и H с описанием требований к "программе обеспечения информатионной безопасности" и привязкой контролей SP 800-53 к ISO 27001.
- Для каждого контроля теперь определен приоритет.
- Текст/содержание контролей сильно пререработан.
- Много новых дополнений (enhancements) - опциональных компонентов контролей, которые могут применяться в зависимости от классификации системы.
- Целый ряд новых контролей. Некоторые старые контроли убраны или объединены с существующими, при этом нумерация была сохранена.
Я всегда относился к этому стандарту как к хорошему каталогу мер безопасности, на основе которого можно строить свои базовые требования (baselines), рекомендации при оценке рисков, технические политики и стандарты а также проводить некоторые виды аудитов. В таком варианте применения документ очень полезен, всем рекомендую ознакомиться.
NIST SP 800-53 rev.3: http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final-errata.pdf
Список всех NIST SP: http://csrc.nist.gov/publications/PubsSPs.html