استاندارد NIST

۱۳ خرداد ۱۴۰۴ استانداردهای تحت وب

مجموعه‌ای از استانداردها و چارچوب‌ها را برای مدیریت امنیت سایبری، حریم خصوصی و مدیریت ریسک در سازمان‌ها ارائه می‌دهد. این استانداردها بیشتر برای سازمان‌هایی که با داده‌های حساس (مانند داده‌های دولتی یا تجاری) سروکار دارند، طراحی شده‌اند. NIST به‌ویژه در حوزه امنیت سایبری و مدیریت ریسک شناخته شده است و چارچوب‌هایی مانند NIST SP 800-53 و چارچوب مدیریت ریسک (RMF) از مهم‌ترین استانداردهای آن هستند.

ویژگی‌های کلیدی NIST

  • تمرکز بر امنیت سایبری و حریم خصوصی با رویکردی مبتنی بر ریسک.
  • استفاده از چارچوب مدیریت ریسک (RMF) که شامل هفت مرحله است:
    1. آماده‌سازی (Prepare)
    2. دسته‌بندی (Categorize)
    3. انتخاب (Select)
    4. اجرا (Implement)
    5. ارزیابی (Assess)
    6. مجوزدهی (Authorize)
    7. نظارت (Monitor)
  • تأکید بر سه‌گانه CIA (محرمانگی، یکپارچگی، دسترسی‌پذیری):
    • محرمانگی (Confidentiality): حفاظت از داده‌ها در برابر دسترسی غیرمجاز.
    • یکپارچگی (Integrity): جلوگیری از تغییر غیرمجاز داده‌ها.
    • دسترسی‌پذیری (Availability): اطمینان از دسترسی به داده‌ها و سیستم‌ها در زمان نیاز.

کلاسه‌های استاندارد NIST

NIST از سطوح تأثیر (Impact Levels) برای طبقه‌بندی داده‌ها و سیستم‌ها بر اساس تأثیر بالقوه نقض امنیت استفاده می‌کند. این سطوح در استانداردهایی مانند NIST SP 800-60 و FIPS 199 تعریف شده‌اند:

  • سطح پایین (Low): نقض داده‌ها تأثیر محدود دارد (مثلاً اطلاعات عمومی که افشای آن ضرر جدی ایجاد نمی‌کند).

  • سطح متوسط (Moderate): نقض داده‌ها می‌تواند تأثیر قابل‌توجهی بر عملیات یا افراد داشته باشد.
  • سطح بالا (High): نقض داده‌ها می‌تواند تأثیر شدید یا فاجعه‌بار داشته باشد (مثلاً داده‌های حساس دولتی یا اطلاعات حیاتی سازمان).
  • داده‌های طبقه‌بندی‌شده (Classified Information): اطلاعاتی که تحت قوانین خاص (مانند Executive Order 13526) نیاز به حفاظت ویژه دارند، مانند اطلاعات محرمانه، سری یا کاملاً سری.

NIST همچنین داده‌ها را بر اساس حساسیت و نیازهای حفاظتی دسته‌بندی می‌کند (مثلاً در NIST SP 800-60) و برای هر دسته، کنترل‌های امنیتی خاصی (مانند کنترل‌های NIST SP 800-53) پیشنهاد می‌دهد. این کنترل‌ها در 20 خانواده کنترلی سازمان‌دهی شده‌اند، از جمله:

  1. کنترل دسترسی (Access Control)
  2. مدیریت پیکربندی (Configuration Management)
  3. پاسخ به حوادث (Incident Response)
  4. حفاظت از داده‌ها (Data Protection)
  5. مدیریت ریسک (Risk Assessment)

کاربرد NIST

استانداردهای NIST به‌ویژه برای سازمان‌های دولتی آمریکا، شرکت‌های فناوری، و سازمان‌هایی که با داده‌های حساس کار می‌کنند (مانند حوزه سلامت یا مالی) استفاده می‌شود. این استانداردها به سازمان‌ها کمک می‌کنند تا با قوانین فدرال (مانند FISMA) و استانداردهای دیگر (مانند HIPAA یا SOC 2) هم‌راستا شوند.