Definition und Zweck

Der Zweck von NIST 800-137 besteht darin, Bundesbehörden und -organisationen dabei zu unterstützen, eine kontinuierliche Überwachungsstrategie zu definieren und ein kontinuierliches Überwachungsprogramm zu etablieren und umzusetzen, das Einblick in organisatorische Vermögenswerte, Bedrohungs- und Schwachstellenbewusstsein sowie fortlaufende Gewissheit über die Wirksamkeit der eingesetzten Sicherheitskontrollen bietet.

Aufbauend auf den in NIST SP 800-37 eingeführten Überwachungskonzepten konzentriert sich diese Veröffentlichung darauf, die Wirksamkeit der Sicherheitskontrollen und den Sicherheitsstatus der Organisation gemäß der Risikotoleranz der Organisation besser zu bewerten und zu analysieren, um die Entscheidungen des Risikomanagements der Organisation besser zu unterstützen.

Gremien

Das National Institute of Standards and Technology (NIST) ist das Gremium, das für die 800er-Serie der Veröffentlichungen, einschließlich NIST 800-137, verantwortlich ist.

Zuletzt aktualisiert

NIST 800-137 wurde 2011 veröffentlicht und hat bisher keine wesentlichen Aktualisierungen erfahren.

Gilt für

NIST 800-137 gilt in erster Linie für Organisationen, die föderale Informationssysteme verwalten und betreiben. Obwohl es für den öffentlichen Sektor entwickelt wurde, können seine Prinzipien und Konzepte auch in anderen Branchen oder Organisationen adaptiert werden.

Kontrollen und Anforderungen

NIST 800-137 präsentiert keinen Satz von Kontrollen oder Anforderungen in der gleichen Weise wie ein Compliance-Standard. Stattdessen deckt es die Grundlagen und den Prozess für die Entwicklung einer kontinuierlichen Informationssicherheitsüberwachungsstrategie (ISCM) und die Implementierung eines

ISCM-Programms ab. Dieser Prozess umfasst wichtige Schritte, darunter:

• Definition der ISCM-Strategie
• Etablierung eines ISCM-Programms
• Implementierung des ISCM-Programms
• Analyse und Berichterstattung der Ergebnisse
• Reaktion auf die Ergebnisse
• Überprüfung und Aktualisierung der ISCM-Strategie und des Programms

Bitte konsultieren Sie die offizielle NIST SP 800-137 Veröffentlichung für weitere Details.

Audit-Typ, Häufigkeit und Dauer

Da NIST 800-137 ein Leitfaden zur Entwicklung und Implementierung einer kontinuierlichen Überwachungsstrategie und -programms und kein Compliance-Standard ist, schreibt es keine bestimmten Audit-Typen, -Häufigkeiten oder -Dauern vor.

Organisationen sollten die Überwachungsstrategie und das Überwachungsprogramm regelmäßig überprüfen, um sicherzustellen, dass die Organisation innerhalb akzeptabler Risikotoleranzgrenzen arbeitet, dass die Metriken relevant bleiben und dass die Daten aktuell und vollständig sind. Jede Organisation kann ein eigenes Verfahren für die Überprüfung und Aktualisierung dieser Strategie festlegen, das auf ihren Bedürfnissen und dem Reifegrad der Informationssicherheit basiert.