El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la ciencia de la medición (metrología) creando una ingeniería precisa y una manufacturación requerida para la mayoría de los avances tecnológicos actuales. También están directamente involucrados en el desarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fue originalmente llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre que tuvo desde 1901 hasta 1988. El progreso e innovación tecnológica de Estados Unidos dependen de las habilidades del NIST, especialmente si hablamos de cuatro áreas: biotecnología, nanotecnología, tecnologías de la información y fabricación avanzada.

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad.

Los controles de seguridad descritos en 800-53 tienen una organización bien definida y estructurada. Para facilidad de selección del Control de Seguridad y las especificaciones de sus procesos se organizan en 17 familias.

Las organizaciones tienen la obligación de mitigar adecuadamente los riesgos derivados del uso de la información y sistemas de información en la ejecución de las misiones y funciones de negocios.

Un reto importante para las organizaciones es determinar el conjunto adecuado de controles de seguridad, que si se ejecuta y decidido a ser efectiva, sería más rentable a mitigar el riesgo, mientras cumpla con los requisitos de seguridad definidos por las leyes federales, órdenes ejecutivas, directivas, políticas, normas o reglamentos.

Para ayudar a las organizaciones en la toma de la selección adecuada de los controles de seguridad para un sistema de información, se introduce el concepto de los controles de referencia. Los controles de referencia son el punto de partida para el proceso de selección de los controles de seguridad descritos en SP800-53 y son elegidos en base a la categoría de seguridad y nivel de impacto de los asociados del sistema de información determinado de conformidad con FIPS 199 y FIPS 200 respectivamente. La medida de referencia de control de seguridad es el conjunto mínimo de controles de seguridad para el sistema de información.

Debido a que la base de referencia está destinado a ser un punto de partida de aplicación general, los suplementos a la medida de referencia es probable que sea necesario para lograr la mitigación de riesgos adecuada. La medida de referencia de control de seguridad se completará sobre la base de una evaluación organizacional de riesgo y los controles que resulta documentado en el plan de seguridad para el sistema de información.

Los controles más comunes son los controles de seguridad que se pueden heredar de uno o más sistemas de información de la organización. La organización asigna la responsabilidad de los controles comunes a los funcionarios apropiados de organización y coordina el desarrollo, implementación, evaluación, autorización y supervisión de los controles. La identificación de los mandos común es más eficaz a cabo como una actividad de toda la organización con la participación activa del responsable de información de alto oficial de seguridad de la información, el ejecutivo de riesgo (función), se autoriza a los funcionarios, los propietarios de sistema de información, los propietarios de la información / administradores, y la información oficiales de seguridad del sistema. La actividad de toda la organización considera que las categorías de seguridad y niveles de impacto asociados de los sistemas de información dentro de la organización, de conformidad con FIPS 199 y FIPS 200, así como los controles de seguridad necesarias para mitigar adecuadamente los riesgos derivados de la utilización de esos sistemas.

Por ejemplo, los controles comunes pueden ser identificados para todos los sistemas de información de bajo impacto, teniendo en cuenta los controles de seguridad asociados de referencia en el Apéndice D. ejercicios similares pueden llevarse a cabo por impacto moderado y alto impacto de los sistemas de información también. Cuando los controles comunes de protección de múltiples sistemas de información de la organización de los diferentes niveles de impacto, los controles se aplican en relación con el nivel más alto impacto entre los sistemas.

Muchos de los controles de seguridad necesarios para proteger los sistemas de información de la organización (por ejemplo, los controles de la planificación de contingencia, los controles de respuesta a incidentes, la formación de seguridad y control de sensibilización, el personal de los controles de seguridad, los controles de protección física y ambiental, y los controles de detección de intrusos) son excelentes candidatos para el régimen de control común.

Programa de información de gestión de seguridad de control (véase el anexo G, la familia PM) también pueden considerarse controles comunes de la organización dado que el control se emplean en el nivel de organización y suelen atender a múltiples sistemas de información. Mediante la gestión centralizada y documentar el desarrollo, implementación, evaluación, autorización y supervisión de los controles comunes, los gastos de seguridad puede ser amortizado a través de múltiples sistemas de información.

Controles comunes son por lo general se documenta en la organización en todo el plan de seguridad de la información del programa a no ser aplicado como parte de un sistema de información específica, en cuyo caso los controles están documentados en el plan de seguridad para ese sistema. Las organizaciones tienen la flexibilidad para describir los controles comunes en un solo documento o en varios documentos. En el caso de varios documentos, los documentos que describen los controles comunes se incluyen como anexos a la información del plan de programa de seguridad. Si la información del plan de seguridad del programa contiene varios documentos, la organización se especifica en cada documento