Le catalogue NIST 800-53

blog-12.jpg

Le référentiel 800-53 est un document important produit et régulièrement mis à jour par la NIST américain depuis sa création en 2005. C’est un catalogue structurant pour les agences publiques américaines dans le cadre de leur mise en conformité FISMA avec le FIPS 199 pour la catégorisation du système et le FIPS 200 pour le choix des niveaux d’impact et la sécurité associée. Au-delà des Etats-Unis, ce référentiel est aussi beaucoup utilisé par les groupes internationaux, y compris européens. Il se révèle très pratique pour sélectionner des mesures de sécurité et des niveaux de protection, dans tous les domaines de la cybersécurité : gouvernance, systèmes, contrôle d’accès, réseaux, systèmes, ressource humaines, cryptographie…C’est un bon complément du NIST Cybersecurity Framework qui est aussi très répandu en dehors des Etats-Unis.

Les fondamentaux

La notion de « due diligence » est centrale en sécurité et dans les mécanismes de conformité. L’idée fondamentale est de s’appuyer sur une véritable démarche risques plutôt que d’appliquer des check-lists « à l’aveugle » et inadaptées au contexte métiers des systèmes que l’on doit sécuriser. Par ailleurs, une annexe dédiée à la protection des données à caractère personnel a été ajoutée. Cela rejoint les évolutions des exigences légales dans ce domaine, que ce soit le RGPD européen ou la CCPA (California Consumer Privacy Act) californienne et les référentiels spécifiques comme la norme international ISO 27701 ou le document du NIST dédié à cette question. La dernière version du référentiel comprend un lien intéressant avec les critères communs (ISO 15408).

Le catalogue 800-53 se situe à la deuxième étape du cycle de sécurisation qui en comprend 6 : catégorisation du système en fonction des objectifs de sécurité, sélection, mise en œuvre, évaluation des mesures de sécurité, homologation et supervision. C’est donc une utilisation comparable au référentiel ISO 27002 pour la déclaration d’applicabilité (Statement of Applicability » de l’SO 27001 mais avec plus de détails et de mesures de sécurité. Il permet aussi un degré de priorisation référencée dans le catalogue. La correspondance avec les clauses ISO 27001 est intéressante et fait gagner un temps précieux pour passer d’un référentiel à l’autre.

Utilisation du catalogue

Ces mesures sont classées en 18 familles référencées dans le tableau ci-dessous.

Chaque mesure de sécurité se présente sous cette forme :

  • Control: description de la mesure.
  • Supplemental Guidance : recommandations d’implémentation et lien avec d’autres mesures.
  • Control Enhancements: description des mesures complémentaires, numérotées. Elle sont sont sélectionnées en fonction du niveau de protection souhaité.
  • Reference
  • Priority and Baseline Allocation: en fonction d’un choix lié à la due diligence et à l’analyse des risques, la mesure de sécurité est appliquée avec une certaine priorité et un niveau de protection « à la carte » par la sélection des mesures complémentaires.

PROSICA est en mesure de vous accompagner dans vos besoins de mise en conformité, par exemple pour la mise en œuvre des certifications ISO 27001 et Hébergeurs Données de Santé, des attestations ISEE 3402 SOC (type I et II) 1, 2, 3 et Cybersecurity ou encore dans le cadre des réglementations sur les activités d’importance vitales.

Retrouvez nos sessions de formations en présentiel ou à distance. Des sessions intra sont possibles en France ou à l’étranger, à partir de 4 collaborateurs, en français ou en anglais. Notre catalogue de formation est téléchargeable ici.

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Mots clés: ISO27017 RéférentielNIST ISO27001 NIST FISMA NIST800-53 CybersecurityFramework