NIST SP(Special Publications) 800 Series based on FISMA, FIPS

중요성

NIST는 연방 기관이 최소 요구사항과 함께 Federal Information Security Management Act of 2002(FISMA)를 구현하여 기관의 모든 운영 및 자산에 충분한 정보 보안을 제공할 수 있는 표준, 가이드라인 및 기타 간행물을 개발하여 발급합니다. 하지만 이러한 표준 및 가이드라인은 국가 보안 시스템에는 적용되지 않습니다. NIST는 FISMA에 따라 Federal Information Processing Standards(FIPS)를 개발합니다. FISMA에서는 연방 기관이 이러한 표준을 준수하도록 규정하므로 NIST가 FISMA를 따라야 합니다. 가이드 문서 및 권장사항은 NIST Special Publication (SP) 800 시리즈에 발표되어 있습니다. 미국 예산 관리국(OMB) 정책에서는 국가 보안 프로그램 및 시스템 이외의 기관이 NIST 가이드를 준수해야 함을 명시하고 있습니다.

연방 정보 및 정보 시스템의 최소 요구사항인 FIPS 200은 FISMA를 준수하기 위해 개발된 확고한 필수 표준입니다. 기관이 연방 표준을 준수하려면 먼저 연방 정보 시스템의 보안 카테고리 표준인 FIPS 199 규정에 따라 해당 기관 정보 시스템의 보안 카테고리를 판별한 다음, NIST SP 800-53의 적절한 기준 보안 제어를 적용해야 합니다. 기관의 위험성 평가는 기관의 운영, 자산 또는 개인을 보호하는 데 추가 제어가 필요한지 여부를 판별하여 보안 제어 설정의 유효성을 검증합니다. 결과로 나타나는 보안 제어 설정은 연방 기관 및 관련 계약업체를 위한 "보안 기업 실사" 수준을 확립합니다.

기관들은 공시 날짜로부터 1년 내에 NIST 보안 표준 및 가이드라인을 시행해야 합니다. 그렇지 않으면 OMB 또는 NIST의 규제를 받습니다. NIST SP 개정안의 1년 시행일은 신규 및/또는 업데이트된 자료에만 적용됩니다.

 

 

 

NIST Special Publication 800-series General Information

Share

Facebook Google Plus Twitter 

Publications in NIST’s Special Publication (SP) 800 series present information of interest to the computer security community. The series comprises guidelines, recommendations, technical specifications, and annual reports of NIST’s cybersecurity activities.

SP 800 publications are developed to address and support the security and privacy needs of U.S. Federal Government information and information systems. NIST develops SP 800-series publications in accordance with its statutory responsibilities under the Federal Information Security Modernization Act (FISMA) of 2014, 44 U.S.C. § 3551 et seq., Public Law (P.L.) 113-283.

Created in 1990, the series reports on the Information Technology Laboratory’s research, guidelines, and outreach efforts in computer security, and its collaborative activities with industry, government, and academic organizations.

Applicability

Federal Government statutes (e.g., FISMA 2014), regulations, and policies (e.g., Office of Management and Budget [OMB] Circular A-130) may specify whether federal agencies are required, or encouraged, to comply with NIST’s SP 800-series publications.  

NIST’s SP 800 series publications shall not apply to national security systems without the express approval of appropriate federal officials exercising policy authority over such systems.

Regardless of whether they are mandatory for federal agencies, an individual SP 800 publication may use document conventions to state any requirements, recommended options, or permissible actions within the publication (e.g., shall, should, may). For example, an SP 800 publication that uses “shall” statements indicates what is necessary to correctly implement its requirements. Such statements do not reflect whether that publication is required to be implemented by a federal statute, regulation, or policy. Look in the document’s introductory text for any such relevant statement about document terminology.

Non-Federal Use

Entities outside of the U.S. Federal Government may voluntarily adopt NIST’s SP 800-series publications, unless they are contractually obligated to do so (e.g., see SP 800-171, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations). Such use may fall outside the purview of U.S. Government statutes, regulations and policies. However, other non-federal entities with oversight responsibilities may choose to require their implementation and use for specific user communities.

Copyright

NIST SP 800 publications are not subject to copyright in the United States.  Attribution would, however, be appreciated by NIST.

Patents

In general, the use of an essential patent claim (one whose use would be required for compliance with the guidance or requirements of a NIST SP 800 publication) may be considered if technical reasons justify this approach. In such cases, a patent holder would have to agree to either a Royalty-Free (RF) or Royalty-Bearing (RB) license on terms which are Reasonable and Non-Discriminatory (RAND). 

Commercial Terms and Products

Any mention of commercial products within NIST SP 800 publications is for informational purposes only; it does not imply recommendation or endorsement by NIST.

Disclaimer

The NIST’s SP 800-series publications should not be interpreted as altering or superseding the existing authorities of the Secretary of Commerce, Director of the OMB, or any other federal official.