由于NIST 800-53首次引入,因此控制数量大大扩展; 800-53的初始版本包含大约300个控件,NIST 800-53 Rev 4包含965个控件。 

尽管复杂性,但每个NIST 800-53修订版使控件设置越来越有价值。作为移动,物联网和云等的东西,NIST不断增强800-53,使迁移持续要求。

800-53(Rev.4)安全控制目录

影响低

适度影响

重大影响

 

2020-spectrum-nist-800-54-low-moder-high-basel-compliance.jpg







安全目标/影响/所需的安全控制

 

保密

正直

可用性

低的

登录审计
在途中加密
补丁管理
集中式身份验证

防病毒

现场备份
切换控制
补丁管理
漏洞管理
斯拉斯

缓和

登录审计
系统健康监测
休息加密
在途中加密
MFA.
安全删除
DLP.
补丁管理
集中式身份验证
机器认证
基于角色的身份验证
网络ID
云隔离

防病毒
文件完整性监控

高可用性
现场备份
切换控制
补丁管理
漏洞管理
斯拉斯

高的

登录审计
系统健康监测
休息加密
在途中加密
MFA.
PRITILEDGED访问管理
补丁管理
机器认证
宿主ID
网络ID
SSL解密
安全删除
DLP.
渗透测试
集中式身份验证
基于角色的身份验证
云隔离

防病毒
文件完整性监控

高可用性
现场/异地备份
可扩展性
博士网站
切换控制
补丁管理
漏洞管理
DDOS保护
斯拉斯

以下列表显示最常见的控件与800-53中的影响级别对齐。

影响/所需的安全控制(基于800-53))

 

低的

缓和

高的

访问控制/防火墙

 

 

 

帐户管理

 

 

 

安全意识培训

 

 

 

安全评估/分类

 

 

 

系统库存

 

 

 

关键保护/管理

 

 

 

DOS保护

 

 

 

来自外部网络的远程访问 

监控,管理,

特权命令控制和文档,

 受保护的信息,
禁用非安全网络协议

无线访问

身份验证,加密,监控,

(限制用户)

 

物理访问控制

 

 

 

系统维护

 

 

 

补丁管理

 

 

 

系统/登录审计/响应

 

 

 

系统健康,使用监控

 

 

 

在途中加密

 

 

 

系统硬化

 

 

 

软件使用限制

 

 

 

防病毒/ antimalware

 

 

 

漏洞扫描

 

 

 

现场备份/恢复

 

 

 

备用存储站点& Backup / Recovery

 

 

 

访问/配置更改控制

 

 

 

最重要的特权

 

 

 

PKI证书

 

 

 

反垃圾邮件

 

 

 

端点高级威胁保护

 

 

 

休息加密

 

 

 

设备识别& 
验证

 

 

 

网络ID

 

 

 

文件完整性监控

 

 

 

基于角色的身份验证

 

 

 

集中式身份验证

 

 

 

分开职责

 

 

 

DLP.

 

 

 

应用程序分区

 

 

 

多因素身份验证

 

 

 

安全删除

 

 

 

渗透测试

 

 

 

漏洞管理

 

 

 

供应链保护

 

 

 

网络隔离(DMZ,子网,MGMT接口)

 

 

 

博士网站

 

 

 

特权访问管理

 

 

 

暹粒

 

 

 

宿主ID

 

 

 

 

NIST SP 800-53完整控制列表

//www.stigviewer.com/controls/800-53

NIST优先级从P0到P5,P1是最优先级。一般为1-5决定了应在该命令中实现的顺序。

有一个p0 - 这是最低优先级。

num。

标题

影响

优先事项

学科领域

AC-1

使用权
控制政策和程序

低的

P1

访问控制

AC-2

帐户
管理

低的

P1

访问控制

AC-3

使用权
执法

低的

P1

访问控制

AC-7

不成功
登录尝试

低的

P2

访问控制

AC-8

系统
使用通知

低的

P1

访问控制

AC-14

允许
没有识别或身份验证的操作

低的

P3

访问控制

AC-17

偏僻的
使用权

低的

P1

访问控制

AC-18

无线的
使用权

低的

P1

访问控制

AC-19

使用权
控制移动设备

低的

P1

访问控制

AC-20


外部信息系统

低的

P1

访问控制

AC-22

公开
可访问的内容

低的

P3

访问控制

AT-1

安全
意识和培训政策和程序

低的

P1

意识和
训练

AT-2

安全
意识培训

低的

P1

意识和
训练

AT-3

角色为基础
安全培训

低的

P1

意识和
训练

AT-4

安全
培训记录

低的

P3

意识和
训练

AU-1

审计
和问责制政策和程序

低的

P1

审计和
问责制

AU-2

审计
活动

低的

P1

审计和
问责制

AU-3

内容
审计记录

低的

P1

审计和
问责制

AU-4

审计
存储容量

低的

P1

审计和
问责制

AU-5

回复
审核处理失败

低的

P1

审计和
问责制

AU-6

审计
审查,分析和报告

低的

P1

审计和
问责制

AU-8

时间
邮票

低的

P1

审计和
问责制

AU-9

保护
审计信息

低的

P1

审计和
问责制

AU-11

审计
记录保留

低的

P3

审计和
问责制

AU-12

审计
一代

低的

P1

审计和
问责制

CA-1

安全
评估和授权政策和程序

低的

P1

安全
评估和授权

CA-2

安全
评估

低的

P2

安全
评估和授权

CA-3

系统
互连

低的

P1

安全
评估和授权

CA-5

计划
行动和里程碑

低的

P3

安全
评估和授权

CA-6

安全
授权

低的

P2

安全
评估和授权

CA-7

连续的
监测

低的

P2

安全
评估和授权

CA-9

内部的
系统连接

低的

P2

安全
评估和授权

CM-1

配置
管理政策和程序

低的

P1

配置
管理

CM-2

基线
配置

低的

P1

配置
管理

CM-4

安全
影响分析

低的

P2

配置
管理

CM-6

配置
设置

低的

P1

配置
管理

CM-7

至少
功能

低的

P1

配置
管理

CM-8

信息
系统组件库存

低的

P1

配置
管理

CM-10

软件
使用限制

低的

P2

配置
管理

CM-11

用户安装
软件

低的

P1

配置
管理

CP-1

偶然性
规划政策和程序

低的

P1

偶然性
规划

CP-2

偶然性
计划

低的

P1

偶然性
规划

CP-3

偶然性
训练

低的

P2

偶然性
规划

CP-4

偶然性
计划测试

低的

P2

偶然性
规划

CP-9

信息
系统备份

低的

P1

偶然性
规划

CP-10

信息
系统恢复和重建

低的

P1

偶然性
规划

IA-1

鉴别
和身份验证政策和程序

低的

P1

鉴别
和身份验证

IA-2

鉴别
和身份验证(组织用户)

低的

P1

鉴别
和身份验证

IA-4

标识符
管理

低的

P1

鉴别
和身份验证

IA-5

验证者
管理

低的

P1

鉴别
和身份验证

IA-6

验证者
反馈

低的

P2

鉴别
和身份验证

IA-7

加密
模块身份验证

低的

P1

鉴别
和身份验证

IA-8

鉴别
和身份验证(非组织用户)

低的

P1

鉴别
和身份验证

IR-1

事件
响应政策和程序

低的

P1

事件响应

IR-2

事件
响应培训

低的

P2

事件响应

IR-4

事件
处理

低的

P1

事件响应

IR-5

事件
监测

低的

P1

事件响应

IR-6

事件
报告.

低的

P1

事件响应

IR-7

事件
回复援助

低的

P2

事件响应

IR-8

事件
响应计划

低的

P1

事件响应

MA-1

系统
维护政策和程序

低的

P1

维护

MA-2

受控
维护

低的

P2

维护

MA-4

非本体
维护

低的

P2

维护

MA-5

维护
人员

低的

P2

维护

MP-1

媒体
保护政策和程序

低的

P1

媒体保护

MP-2

媒体
使用权

低的

P1

媒体保护

MP-6

媒体
消毒

低的

P1

媒体保护

MP-7

媒体

低的

P1

媒体保护

PE-1

身体的
和环境保护政策和程序

低的

P1

身体和
环境保护

PE-2

身体的
访问授权

低的

P1

身体和
环境保护

PE-3

身体的
访问控制

低的

P1

身体和
环境保护

PE-6

监测
物理访问

低的

P1

身体和
环境保护

PE-8

游客
访问记录

低的

P3

身体和
环境保护

PE-12

紧急情况
灯光

低的

P1

身体和
环境保护

PE-13


保护

低的

P1

身体和
环境保护

PE-14

温度
和湿度控制

低的

P1

身体和
环境保护

PE-15


损坏保护

低的

P1

身体和
环境保护

PE-16

交货
和删除

低的

P2

身体和
环境保护

PL-1

安全
规划政策和程序

低的

P1

规划

PL-2

系统
安全计划

低的

P1

规划

PL-4

规则
行为

低的

P2

规划

PS-1

人员
安全政策和程序

低的

P1

人员
安全

PS-2

位置
风险指定

低的

P1

人员
安全

PS-3

人员
筛选

低的

P1

人员
安全

PS-4

人员
终止

低的

P1

人员
安全

PS-5

人员
转移

低的

P2

人员
安全

PS-6

使用权
协议

低的

P3

人员
安全

PS-7

第三方
人员安全

低的

P1

人员
安全

PS-8

人员
制裁

低的

P3

人员
安全

RA-1

风险
评估政策和程序

低的

P1

风险评估

RA-2

安全
分类

低的

P1

风险评估

RA-3

风险
评估

低的

P1

风险评估

RA-5

漏洞
扫描

低的

P1

风险评估

SA-1

系统
和服务收购政策和程序

低的

P1

系统和
服务收购

SA-2

分配
资源

低的

P1

系统和
服务收购

SA-3

系统
发展生命周期

低的

P1

系统和
服务收购

SA-4

获得
过程

低的

P1

系统和
服务收购

SA-5

信息
系统文档

低的

P2

系统和
服务收购

SA-9

外部的
信息系统服务

低的

P1

系统和
服务收购

SC-1

系统
和通信保护政策和程序

低的

P1

系统和
通信保护

SC-5

否认
服务保护

低的

P1

系统和
通信保护

SC-7

边界
保护

低的

P1

系统和通信
保护

SC-12

加密
主要建立和管理

低的

P1

系统和
通信保护

SC-13

加密
保护

低的

P1

系统和
通信保护

SC-15

合作
计算设备

低的

P1

系统和
通信保护

SC-20

安全的
姓名/地址解答服务(权威来源)

低的

P1

系统和
通信保护

SC-21

安全的
名称/地址解析服务(递归或缓存解析器)

低的

P1

系统和
通信保护

SC-22

建筑学
并供应名称/地址解答服务

低的

P1

系统和
通信保护

SC-39

过程
隔离

低的

P1

系统和
通信保护

SI-1

系统
和信息完整性政策和程序

低的

P1

系统和
信息完整性

SI-2

缺陷
修复

低的

P1

系统和
信息完整性

SI-3

恶意
代码保护

低的

P1

系统和
信息完整性

SI-4

信息
系统监控

低的

P1

系统和
信息完整性

SI-5

安全
警报,建议和指令

低的

P1

系统和
信息完整性

SI-12

信息
处理和保留

低的

P2

系统和
信息完整性

 

num。

标题

影响

优先事项

学科领域

AC-4

信息流动执行

缓和

P1

访问控制

AC-5

分开职责

缓和

P1

访问控制

AC-6

最重要的特权

缓和

P1

访问控制

AC-11

会话锁定

缓和

P3

访问控制

AC-12

会议终止

缓和

P2

访问控制

AC-21

信息共享

缓和

P2

访问控制

AU-7

审计减少和报告生成

缓和

P2

审计和
问责制

CM-3

配置更改控制

缓和

P1

配置
管理

CM-5

改变的访问限制

缓和

P1

配置
管理

CM-9

配置管理计划

缓和

P1

配置
管理

CP-6

备用存储站点

缓和

P1

偶然性
规划

CP-7

备用处理站点

缓和

P1

偶然性
规划

CP-8

电信服务

缓和

P1

偶然性
规划

IA-3

设备识别和认证

缓和

P1

鉴别
和身份验证

IR-3

事件响应测试

缓和

P2

事件响应

MA-3

维护工具

缓和

P3

维护

MA-6

及时维护

缓和

P2

维护

MP-3

媒体标记

缓和

P2

媒体保护

MP-4

媒体存储

缓和

P1

媒体保护

MP-5

媒体运输

缓和

P1

媒体保护

PE-4

传输介质的访问控制

缓和

P1

身体和
环境保护

PE-5

输出设备的访问控制

缓和

P2

身体和
环境保护

PE-9

电力设备和布线

缓和

P1

身体和
环境保护

PE-10

紧急关闭

缓和

P1

身体和
环境保护

PE-11

紧急权力

缓和

P1

身体和
环境保护

PE-17

备用工作现场

缓和

P2

身体和
环境保护

PL-8

信息安全架构

缓和

P1

规划

SA-8

安全工程原则

缓和

P1

系统和
服务收购

SA-10

开发人员配置管理

缓和

P1

系统和
服务收购

SA-11

开发人员安全测试和评估

缓和

P1

系统和
服务收购

SC-2

应用程序分区

缓和

P1

系统和
通信保护

SC-4

共享资源的信息

缓和

P1

系统和
通信保护

SC-8

传输机密性和完整性

缓和

P1

系统和
通信保护

SC-10

网络断开

缓和

P2

系统和
通信保护

SC-17

公钥基础架构证书

缓和

P1

系统和
通信保护

SC-18

移动代码

缓和

P2

系统和
通信保护

SC-19

互联网协议的声音

缓和

P1

系统和通信
保护

SC-23

会话真实性

缓和

P1

系统和
通信保护

SC-28

保护信息休息

缓和

P1

系统和
通信保护

SI-7

软件,固件和信息完整性

缓和

P1

系统和
信息完整性

SI-8

垃圾邮件保护

缓和

P2

系统和
信息完整性

SI-10

信息输入验证

缓和

P1

系统和
信息完整性

SI-11

误差处理

缓和

P2

系统和
信息完整性

SI-16

记忆保护

缓和

P1

系统和
信息完整性

 


num。

标题

影响

优先事项

学科领域

AC-10

并发会话控制

高的

P3

访问控制

AU-10

不拒绝

高的

P2

审计和
问责制

CA-8

渗透测试

高的

P2

安全
评估和授权

PE-18

信息系统组件的位置

高的

P3

身体和
环境保护

SA-12

供应链保护

高的

P1

系统和
服务收购

SA-15

开发过程,标准和工具

高的

P2

系统和
服务收购

SA-16

开发者提供的培训

高的

P2

系统和
服务收购

SA-17

开发人员安全架构和设计

高的

P1

系统和
服务收购

SC-3

安全功能隔离

高的

P1

系统和
通信保护

SC-24

以已知状态失败

高的

P1

系统和
通信保护

SI-6

安全功能验证

高的

P1

系统和
信息完整性

 



num。

标题

影响

优先事项

学科领域

AC-9

上一个登录(访问)通知

P0

访问控制

AC-13

监督和审查
访问控制

访问控制

AC-15

自动标记

访问控制

AC-16

安全属性

P0

访问控制

AC-23

数据挖掘保护

P0

访问控制

AC-24

访问控制决策

P0

访问控制

AC-25

参考监视器

P0

访问控制

AT-5

与安全组和关联的联系人

意识和
训练

AU-13

信息披露监测

P0

审计和
问责制

AU-14

会议审计

P0

审计和
问责制

AU-15

替代审计能力

P0

审计和
问责制

AU-16

交叉组织审计

P0

审计和
问责制

CA-4

安全认证

安全
评估和授权

CP-5

应急计划更新

偶然性
规划

CP-11

替代通信协议

P0

偶然性
规划

CP-12

安全模式

P0

偶然性
规划

CP-13

替代安全机制

P0

偶然性
规划

IA-9

服务识别和认证

P0

鉴别
和身份验证

IA-10

自适应识别和认证

P0

鉴别
和身份验证

IA-11

重新认证

P0

鉴别
和身份验证

IR-9

信息溢出响应

P0

事件响应

IR-10

综合信息安全分析团队

P0

事件响应

MP-8

媒体降级

P0

媒体保护

PE-7

访客控制

身体和
环境保护

PE-19

信息泄露

P0

身体和
环境保护

PE-20

资产监测和跟踪

P0

身体和
环境保护

PL-3

系统安全计划更新

规划

PL-5

隐私影响评估

规划

PL-6

与安全相关的活动计划

规划

PL-7

安全概念

P0

规划

PL-9

中央管理

P0

规划

RA-4

风险评估更新

风险评估

RA-6

技术监测对策调查

P0

风险评估

SA-6

软件使用限制

系统和
服务收购

SA-7

用户安装的软件

系统和
服务收购

SA-13

值得信赖

P0

系统和
服务收购

SA-14

关键性分析

P0

系统和
服务收购

SA-18

抗篡改和检测

P0

系统和
服务收购

SA-19

组件真实性

P0

系统和
服务收购

SA-20

定制关键组件的开发

P0

系统和
服务收购

SA-21

开发人员筛选

P0

系统和
服务收购

SA-22

不支持的系统组件

P0

系统和
服务收购

SC-6

资源可用性

P0

系统和
通信保护

SC-9

传输机密性

系统和
通信保护

SC-11

值得信赖的道路

P0

系统和
通信保护

SC-14

公共访问保护

系统和
通信保护

SC-16

传输安全属性

P0

系统和
通信保护

SC-25

薄节点

P0

系统和
通信保护

SC-26

蜜罐

P0

系统和
通信保护

SC-27

平台独立应用

P0

系统和
通信保护

SC-29

异质性

P0

系统和
通信保护

SC-30

隐瞒和误导

P0

系统和
通信保护

SC-31

隐蔽信道分析

P0

系统和
通信保护

SC-32

信息系统分区

P0

系统和
通信保护

SC-33

传动准备完整性

系统和
通信保护

SC-34

不可修改的可执行程序

P0

系统和
通信保护

SC-35

蜜月

P0

系统和
通信保护

SC-36

分布式处理和存储

P0

系统和
通信保护

SC-37

带外频道

P0

系统和
通信保护

SC-38

运营安全

P0

系统和
通信保护

SC-40

无线链路保护

P0

系统和
通信保护

SC-41

端口和I / O设备访问

P0

系统和
通信保护

SC-42

传感器能力和数据

P0

系统和
通信保护

SC-43

使用限制

P0

系统和
通信保护

SC-44

爆炸腔室

P0

系统和
通信保护

SI-9

信息输入限制

系统和
信息完整性

SI-13

可预测的失败预防

P0

系统和
信息完整性

SI-14

非持久性

P0

系统和
信息完整性

SI-15

信息输出过滤

P0

系统和
信息完整性

SI-17

故障安全程序

P0

系统和
信息完整性

PM-1

信息安全计划计划

程序
管理

PM-2

高级信息安全官

程序
管理

PM-3

信息安全资源

程序
管理

PM-4

行动计划和里程碑流程

程序
管理

PM-5

信息系统库存

程序
管理

PM-6

信息安全措施

程序
管理

PM-7

企业架构

程序
管理

PM-8

关键基础设施计划

程序
管理

PM-9

风险管理战略

程序
管理

PM-10

安全授权过程

程序
管理

PM-11

任务/业务流程定义

程序
管理

PM-12

内幕威胁计划

程序
管理

PM-13

信息安全劳动力

程序
管理

PM-14

测试,培训和监控

程序
管理

PM-15

与安全组和关联的联系人

程序
管理

PM-16

威胁意识计划

程序
管理

 

经过 Netsec.

发表评论