NIST SP 800-171 skisserer sikkerhetsstandarder og praksis for ikke-føderale organisasjoner som håndterer CUI (kontrollert uklassifisert informasjon) på deres nettverk.
NIST 800-171 har mottatt regelmessige oppdateringer på grunn av vedvarende cybertrusler og stadig skiftende teknologier. Den siste versjonen, kalt revisjon 2, ble utgitt i februar 2020.
NIST er et ikke-regulerende føderalt byrå som er ansvarlig for å etablere retningslinjer som gjelder for føderale byråer om mange emner, for eksempel cybersikkerhet.
Å oppnå NIST SP 800 171-samsvar er avgjørende. Hvis du ønsker å forholde deg til offentlige etater, er det en behov. ISMS.online tilbyr NIST SP 800 171 programvareløsninger som kan skreddersys til organisasjonens behov.
National Institute of Standards & Technology Special Publication 800-171 krever at enhver organisasjon som behandler eller lagrer sensitiv, uklassifisert informasjon for at amerikanske myndigheter skal være i samsvar med cybersikkerhetsstandarden.
NIST 800-171 er designet for å beskytte CUI i IT-nettverkene til offentlige entreprenører og underleverandører.
NIST 800-171 forsterker sikkerheten til hele den føderale forsyningskjeden ved å definere krav til entreprenører som håndterer sensitiv informasjon fra myndighetene. Det sikrer en enhetlig standard cybersikkerhetsstandard for alle entreprenører og deres respektive entreprenører.
NIST 800-171 krever at noen få byråer og organisasjoner overholder den, disse er:
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
NIST 800-171 kan virke som et vanskelig krav til å begynne med (det er det ikke – organisasjonen din vil mestre det på et blunk!), men det er fordeler som en organisasjon kan få ved å implementere alle de nødvendige kontrollene, disse er:
Kontrollert uklassifisert informasjon (CUI) er informasjon opprettet eller eid av myndighetene som ikke er klassifisert. Patenter, tekniske data eller informasjon knyttet til produksjon eller anskaffelse av varer og tjenester kan være inkludert.
En CUI er et paraplybegrep som dekker mange forskjellige merker for å identifisere informasjon som ikke er klassifisert, men som bør beskyttes. Disse er:
Selv om CUI ikke er klassifisert informasjon, kan det likevel føre til negative nasjonal sikkerhet og økonomiske konsekvenser. Unnlatelse av å overholde NIST 800-171-kravene kan resultere i tap av kontrakter, søksmål, bøter og skade på omdømmet. ISMS.online kan hjelpe deg med å overholde NIST SP 800-171-kravene med en rekke forhåndsbygde rammer du kan velge å adoptere, tilpasse eller legge til avhengig av unike behov for din organisasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Samsvars- og sikkerhetsprotokoller må opprettes for 14 kritiske områder av entreprenører som trenger tilgang til CUI.
De 14 nøkkelområdene er forklart nedenfor.
Tjueto forskjellige krav hjelper til sikre at kun autoriserte brukere har tilgang til systemet. Bestemmelser beskytter flyten av sensitiv informasjon i nettverket og gir veiledning om nettverksenheter i systemet.
Det er tre krav til bevisstgjørings- og opplæringsdelen. Det er kreves at systemadministratorer og brukere er klar over sikkerhetsrisikoer (og deres relaterte cybersikkerhetsprosedyrer) og at ansatte er opplært til å utføre sikkerhetsrelaterte roller.
Ni krav fokus på revisjon og analysere system og hendelseslogger. Beste praksis analyse og rapportering kan gjøres med pålitelig revisjon Records. Cybersikkerhetshendelser kan reduseres ved regelmessig gjennomgang av sikkerhetslogger.
Riktig konfigurasjon av maskinvare, programvare og enheter er dekket av ni krav. Uautorisert programvareinstallasjon og begrensning av ikke-essensielle programmer er en del av denne familien av krav.
Organisasjonens nettverk eller systemer kan kun nås av brukere som er autorisert til å være der. Det er 11 krav for å sikre at skillet mellom privilegerte og ikke-privilegerte kontoer gjenspeiles i nettverkstilgang.
Det er tre krav til organisasjonen for å reagere på alvorlige cyberangrep. Det er på plass prosedyrer for å oppdage, inneholde og gjenopprette hendelser i organisasjonen. Regelmessig testing av evner er en del av riktig opplæring og planlegging.
Det er seks krav for innsikt i beste praksis-systemer og vedlikeholdsprosedyrer for nettverket. Inkluderer utførelse av regelmessig systemvedlikehold og sørge for at eksternt vedlikehold er autorisert.
Organisasjoner kan kontrollere tilgangen til sensitive medier ved hjelp av ni sikkerhetskrav. Lagring og ødeleggelse av sensitiv informasjon og media i både fysiske og digitale formater kreves av kravene.
Når det gjelder personellsikkerhet og ansatte, må to sikkerhetskrav oppfylles. Behovet for sikkerhetskontroll av enkeltpersoner før tilgang til systemer som inneholder CUI er dekket i den første. Den andre sørger for at CUI er beskyttet under overføring av personell, inkludert retur av bygningskort eller maskinvare.
Seks sikkerhetskrav omhandler emnet fysisk tilgang til CUI i en organisasjon, inkludert kontroll av gjestetilgang til arbeidsplasser. Maskinvare, enheter og utstyr må begrenses til autorisert personell.
Det er to krav til utførelse og analyse av vanlige risikovurderinger. Å holde nettverksenheter og programvare oppdatert og sikker er en av tingene som organisasjoner krever å gjøre. Det er mulig å forbedre hele systemets sikkerhet ved å synliggjøre og styrke sårbarheter.
Det er fire krav til fornyelse av systemkontroller og sikkerhetsplaner. Ved å jevnlig gjennomgå sikkerhetsvurderingsprosedyrer, blir sårbarheter fremhevet og forbedret. Planer for å sikre CUI forblir effektive med dette.
Det er 16 krav til overvåking og sikring av systemer. Uautorisert informasjonsoverføring og avslag på nettverkskommunikasjonstrafikk er nødvendig. Kravene inkluderer retningslinjer for beste praksis for kryptografi.
Det er sju krav knyttet til overvåking og beskyttelse av systemer. Overvåking av systemsikkerhetsvarsler og identifisering av uautorisert bruk av systemer er inkludert.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
NIST 800-171-samsvar kan bevises gjennom en prosess med egenvurdering. Det kan virke skremmende at det er over 100 krav som må oppfylles for å oppnå samsvar.
Organisasjonen din bør sette en enkel prosess for å utføre NIST 800-171-vurderingen:
Overholdelse av NIST 800-171 vil være en kjernedel av enhver kontrakt mellom den amerikanske føderale regjeringen og en entreprenør som håndterer kontrollert uklassifisert informasjon på deres IT-nettverk.
NIST 800-171-samsvar kan kreve at du dykker dypt inn i nettverkene dine og prosedyrene dine for å håndtere passende sikkerhetsprosedyrer. Manglende overholdelse kan påvirke enhver forretning med offentlige etater. Hvis du overser fristen, risikerer du å miste offentlige kontrakter.
Å overholde NIST-standarder har noen fordeler. NIST Cybersecurity Framework hjelper organisasjoner med å beskytte sine sensitive data.
Organisasjoner overholder andre offentlige eller industriforskrifter når du jobber mot NIST-samsvar.
Hvis du er et føderalt byrå, kan det å oppnå NIST 800-171-samsvar bidra til å oppfylle kravene i FISMA (Federal Information Security Management Act).
Hvis du ønsker å overholde HIPAA (Health Insurance Portability and Accountability Act) og SOX (Sarbanes-Oxley Act), vil NIST-samsvar hjelpe deg med å oppnå samsvar med HIPAA og SOX, da de deler mange av de samme pilarene.
Husk at NIST-samsvar ikke alltid sikrer fullstendig sikkerhet. Å overholde NIST og andre standarder er bare det første trinnet. Kontinuerlig overvåking for sårbarheter i nettapplikasjoner, implementere omfattende sikkerhetspolicyer, gjennomføre løpende opplæring av ansatte for å fremme bevissthet om cybersikkerhet, og mer er noen av oppgavene som må gjøres for å sikre robust cybersikkerhet.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
ISMS.online utvikler seg kontinuerlig for å møte informasjonssikkerheten, personvern og forretningskontinuitetsbehov for organisasjoner over hele verden. Oppnå NIST SP 800 171-samsvar krav enkelt med vår plattform.
ISMS.online kommer med en rekke forhåndsbygde rammeverk du kan velge å adoptere, tilpasse eller legge til avhengig av organisasjonens unike behov. Eller du kan enkelt bygge din egen for skreddersydde overholdelsesprosjekter.
NIST 800-171 og ISO 27001 deler mange likheter mellom de to. NIST 800-171 kan kartlegges til den internasjonale ISO 27001-standarden i nøkkelkontrollområdene, inkludert:
ISMS.online-samsvarsprogramvare kan hjelpe deg med å kartlegge NIST SP 800-171-kontroller til relevante ISO/IEC 27001-kontroller. Vi har utviklet en serie med intuitive funksjoner og verktøysett i plattformen vår for å spare tid og sikre at du bygger et ISMS det er virkelig bærekraftig.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Last ned vår gratis guide til rask og bærekraftig sertifisering
NIST 800-171-egenvurderingen er en komplisert oppgave fordi den vil revidere alle elementer i en organisasjons sikkerhetssystemer og nettverk. Forberedelse er nøkkelen.
Fem kjernetrinn for å forberede NIST-vurderingen din:
NIST SP 800-171 ble først publisert i juni 2015 og har blitt oppdatert flere ganger siden.
NIST 800-171 har mottatt regelmessige oppdateringer for å holde tritt med nye cybertrusler og -teknologier. Den siste versjonen av 800-171, kalt revisjon 2, ble utgitt i februar 2020.
Disse publikasjonene har samme mål om å holde data sikre, men de har forskjellige retningslinjer for ulike områder for å oppnå dette.
Tiltakene som bør være på plass for å sikre at CUI håndteres riktig er fokuset til NIST 800-171, mens NIST 800-53 fokuserer på lagring av klassifisert data og hvilke sikkerhetstiltak som bør være på plass for å sikre at data er beskyttet.
