ISACA ha rilasciato (pdf, 58 pp, 707 K, download solo per gli associati) una nuova pubblicazione della serie "COBIT Mapping” dedicata alla cross-reference tra COBIT 4.1 e la guida NIST SP800-53 Rev 1- "Recommended Security Controls for Federal Information Systems".

Cos’è COBIT?

COBIT, Control Objectives for Information and related Technology,  è un insieme di best practice per la gestione manageriale dell'informatica aziendale. Si tratta di un vero e proprio framework di IT Governance creato originariamente da ISACA, Information Systems Audit and Control Association e successivamente gestito in partnership con l’IT Governance Institute (ITGI). La versione attuale, del maggio 2007, è la 4.1.

Cos’è NIST SP-800?

La pubblicazione NIST contiene le linee guida di sicurezza per la conformità delle agenzie federali USA rispetto al Federal Information Security Management Act (FISMA) e l'elenco dei controlli da adottare. I concetti fondamentali sono:

• la strutturazione dei controlli in famiglie
• i controlli minimi richiesti (minimum baseline security controls)
• gli esempi di information security program per tipologia di azienda
• definizione di un approccio alla gestione dei rischi
• aggiornamento dei controlli come parte del processo continuo di miglioramento.

Il documento classifica i security control secondo 17 macro famiglie per ciascuna delle quali viene fornito, oltre ad un codice identificativo, una breve descrizione e l'appartenenza all'area tecnologica (Technical), operativa (Operational) o manageriale (Management).

1. AC, Access Control, Technical
2. AT, Awareness and Training, Operational
3. AU, Audit and Accountability, Technical
4. CA, Certification, Accreditation and Security Assessments, Management
5. CM, Configuration Management, Operational
6. CP, Contingency Planning, Operational
7. IA, Identification and Authentication, Technical
8. IR, Incident Response, Operational
9. MA, Maintenance, Operational
10. MP, Media Protection, Operational
11. PE, Physical and Environmental Protection, Operational
12. PL, Planning, Management
13. PS, Personnel Security, Operational
14. RA, Risk Assessment, Management
15. SA, System and Services Acquisition, Management
16. SC, System and Communications Protection, Technical
17. SI, System and Information Integrity, Operational

COBIT Mapping con NIST SP800 - Indice del documento

1. Purpose of the Document
2. Methodology for the Mapping
3. COBIT Overview
4. NIST SP800-53 Overview
5. High-level Mapping
6. Detailed Mapping
7. References
8. Appendix—COBIT and Related Products

Link

• Alain De Cristofaris,  "NIST: nuova edizione dei "Recommended Security Controls" 
• Articoli sulla serie "COBIT Mapping" :
• COBIT Mapping: CMMI for Development V1.2
• CobiT: overview of international IT Guidance, seconda edizione
• COBIT: Overview of international IT Guidance - Project Management
• COBIT Mapping: ISO/IEC 17799: 2005, ITIL e PRINCE2
• COBIT Mapping: TOGAF 8.1
• COBIT - Mapping SEI’s CMM for Software
• CobiT e ISO/IEC 17799:2000
• COBIT: Overview of international IT Guidance - CMMI
• COBIT: PMBOK Mapping