Qu'est-ce que le NIST SP 800-53 ?Utilisation de ce framework Étapes suivantes Ressources supplémentaires

NIST SP 800-53 Rév. 5

AWS Audit Manager fournit un cadre prédéfini qui prend en charge le NIST 800-53 Rev 5 : Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations.

Note

Pour plus d'informations sur le framework Audit Manager compatible avec le NIST SP 800-171, consultez. NIST SP 800-171 Rév. 2
Pour plus d'informations sur le framework Audit Manager qui prend en charge le NIST CSF, consultez. Cadre de cybersécurité du NIST v1.1

Qu'est-ce que le NIST SP 800-53 ?

Le National Institute of Standards and Technology (NIST) a été fondé en 1901 et fait désormais partie du ministère américain du Commerce. Le NIST est l’un des plus anciens laboratoires de sciences physiques des États-Unis. Le Congrès américain a créé l’agence pour améliorer ce qui était à l’époque une infrastructure de mesure de second ordre. L’infrastructure représentait un défi majeur pour la compétitivité industrielle des États-Unis, étant à la traîne par rapport à d’autres puissances économiques telles que le Royaume-Uni et l’Allemagne.

Les contrôles de sécurité du NIST SP 800-53 sont généralement applicables aux systèmes d'information fédéraux américains. Il s’agit généralement de systèmes qui doivent passer par un processus formel d’évaluation et d’autorisation. Ce processus garantit une protection suffisante de la confidentialité, de l’intégrité et de la disponibilité des informations et des systèmes d’information. Cela est basé sur la catégorie de sécurité et le niveau d’impact du système (faible, modéré ou élevé) ainsi que sur la détermination des risques. Les contrôles de sécurité sont sélectionnés à partir du catalogue de contrôles de sécurité NIST SP 800-53, et le système est évalué par rapport à ces exigences de contrôles de sécurité.

Le cadre NIST SP 800-53 représente les contrôles de sécurité et les procédures d'évaluation associées définis dans les Contrôles de sécurité recommandés pour les systèmes d'information fédéraux et les organisations, révision 5 du NIST SP 800-53. Pour toute divergence constatée dans le contenu entre ce framework NIST SP 800-53 et la dernière publication spéciale du NIST SP 800-53 révision 5, reportez-vous aux documents officiels publiés qui sont disponibles au centre de ressources sur la sécurité informatique du NIST.

Utilisation de ce framework

Vous pouvez utiliser le framework NIST SP 800-53 pour vous aider à vous préparer aux audits. Ce framework comprend un ensemble prédéfini de contrôles avec des descriptions et des procédures de test. Ces contrôles sont regroupés en ensembles de contrôles conformément aux exigences du NIST. Vous pouvez également personnaliser ce framework et ses contrôles pour prendre en charge les audits internes répondant à des exigences spécifiques.

En utilisant le framework comme point de départ, vous pouvez créer une évaluation Audit Manager et commencer à collecter des éléments probants pertinents pour votre audit. Après avoir créé une évaluation, Audit Manager commence à évaluer vos AWS ressources. Pour ce faire, il se base sur les contrôles définis dans le framework NIST SP 800-53. Au moment d’effectuer un audit, vous (ou le délégué de votre choix) pouvez examiner les preuves collectées par Audit Manager. Vous pouvez parcourir les dossiers de preuves dans votre évaluation et sélectionner les preuves que vous souhaitez inclure dans votre rapport d’évaluation. Ou, si vous avez activé l’outil de recherche de preuves, vous pouvez rechercher des preuves spécifiques et les exporter au format CSV, ou créer un rapport d’évaluation à partir des résultats de votre recherche. Dans tous les cas, vous pouvez utiliser ce rapport d’évaluation pour attester le bon fonctionnement de vos contrôles.

Les détails du framework sont les suivants :

Nom du framework dans AWS Audit Manager	Nombre de contrôles automatisés	Nombre de contrôles manuels	Nombre d’ensembles de contrôles
NIST 800-53 Rev 5 : Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations	308	699	20

Important

Pour garantir que ce framework collecte les preuves requises AWS Security Hub, assurez-vous que vous avez activé toutes les normes dans Security Hub.

Pour garantir que ce framework collecte les preuves voulues AWS Config, assurez-vous d'activer les AWS Config règles nécessaires. Pour consulter les AWS Config règles utilisées comme mappages de sources de données dans ce cadre standard, téléchargez le fichier AuditManager_ ConfigDataSourceMappings _NIST-800-53-Rev-5.zip.

Les contrôles de ce AWS Audit Manager cadre ne sont pas destinés à vérifier si vos systèmes sont conformes à la norme NIST. De plus, ils ne peuvent pas garantir que vous passerez un audit du NIST. AWS Audit Manager ne vérifie pas automatiquement les contrôles procéduraux qui nécessitent la collecte manuelle de preuves.

Étapes suivantes

Pour obtenir des instructions sur la façon d'afficher des informations détaillées sur ce framework, y compris la liste des contrôles standard qu'il contient, voirRévision d'un cadre dans AWS Audit Manager.

Pour des instructions sur la façon de créer une évaluation à l’aide de ce framework, consultez Création d'une évaluation dans AWS Audit Manager.

Pour obtenir des instructions sur la façon de personnaliser ce cadre afin de répondre à vos besoins spécifiques, consultezCréation d'une copie modifiable d'un framework existant dans AWS Audit Manager.

Ressources supplémentaires

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

ISO/IEC 27001:2013

NIST CSF v1.1