NIST SP 800-171 skets sekuriteitstandaarde en -praktyke vir nie-federale organisasies wat CUI (Beheerde Ongeklassifiseerde Inligting) op hul netwerke.
NIST 800-171 het gereelde opdaterings ontvang as gevolg van aanhoudende kuberbedreigings en steeds veranderende tegnologieë. Die mees onlangse weergawe, genaamd hersiening 2, is in Februarie 2020 vrygestel.
NIST is 'n nie-regulerende federale agentskap wat verantwoordelik is vir die daarstelling van riglyne wat van toepassing is op federale agentskappe oor baie onderwerpe, soos kuberveiligheid.
Die bereiking van NIST SP 800 171-nakoming is van kardinale belang. As jy met staatsagentskappe wil handel, is dit 'n vereiste. ISMS.online bied NIST SP 800 171-nakomingsagteware-oplossings wat aangepas kan word vir jou organisasie se behoeftes.
Nasionale Instituut vir Standaarde en Tegnologie Spesiale Publikasie 800-171 vereis dat enige organisasie wat sensitiewe, ongeklassifiseerde inligting verwerk of stoor sodat die Amerikaanse regering aan die kubersekuriteitstandaard moet voldoen.
NIST 800-171 is ontwerp om CUI te beskerm in die IT-netwerke van staatskontrakteurs en subkontrakteurs.
NIST 800-171 versterk die sekuriteit van die hele federale voorsieningsketting deur vereistes te definieer vir kontrakteurs wat sensitiewe regeringsinligting hanteer. Dit verseker 'n verenigde basislyn kuberveiligheidstandaard vir alle kontrakteurs en hul onderskeie kontrakteurs.
NIST 800-171 vereis dat 'n paar agentskappe en organisasies daaraan voldoen, dit is:
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
NIST 800-171 kan aanvanklik soos 'n moeilike vereiste lyk (dit is nie - jou organisasie sal dit binne 'n japtrap baasraak!), maar daar is voordele wat 'n organisasie kan kry uit die implementering van al die vereiste kontroles, dit is:
Beheerde ongeklassifiseerde inligting (CUI) is inligting wat deur die regering geskep of besit word wat nie geklassifiseer is nie. Patente, tegniese data of inligting met betrekking tot die vervaardiging of verkryging van goedere en dienste kan ingesluit word.
'n CUI is 'n sambreelterm wat baie verskillende merke dek om inligting te identifiseer wat nie geklassifiseer is nie, maar beskerm behoort te word. Hierdie is:
Alhoewel CUI nie geklassifiseerde inligting is nie, kan dit steeds tot negatiewe nasionale veiligheid en ekonomiese gevolge lei. Versuim om te voldoen aan NIST 800-171 vereistes kan lei tot verlies van kontrakte, regsgedinge, boetes en skade aan reputasie. ISMS.online kan jou help om aan NIST SP 800-171-vereistes te voldoen met 'n verskeidenheid voorafgeboude raamwerke wat jy kan kies om aan te neem, aan te pas of by te voeg, afhangende van die unieke behoeftes van jou organisasie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Voldoenings- en sekuriteitsprotokolle moet vir 14 kritieke areas geskep word deur kontrakteurs wat toegang tot CUI benodig.
Die 14 sleutelareas word hieronder verduidelik.
Twee-en-twintig verskillende vereistes help om verseker dat slegs gemagtigde gebruikers toegang tot die stelsel het. Bepalings beskerm die vloei van sensitiewe inligting binne die netwerk en verskaf leiding oor netwerktoestelle in die stelsel.
Daar is drie vereistes vir die afdeling vir bewusmaking en opleiding. dit is vereis dat stelseladministrateurs en gebruikers bewus is van sekuriteitsrisiko's (en hul verwante kubersekuriteitsprosedures) en dat werknemers opgelei word om sekuriteitsverwante rolle uit te voer.
Nege vereistes fokus op ouditering en die ontleding van stelsel- en gebeurtenislogboeke. Beste praktyk analise en verslagdoening kan met betroubare oudit gedoen word Records. Kuberveiligheidsvoorvalle kan versag word deur gereelde hersiening van sekuriteitslogboeke.
Die behoorlike opstelling van hardeware, sagteware en toestelle word in nege vereistes gedek. Ongemagtigde sagteware-installasie en die beperking van nie-noodsaaklike programme is deel van hierdie familie van vereistes.
Die organisasie se netwerk of stelsels kan slegs verkry word deur gebruikers wat gemagtig is om daar te wees. Daar is 11 vereistes om te verseker dat die onderskeid tussen bevoorregte en nie-bevoorregte rekeninge word weerspieël in netwerktoegang.
Daar is drie vereistes vir die organisasie om op ernstige kuberaanvalle te reageer. Prosedures is in plek om voorvalle binne die organisasie op te spoor, te bevat en te herstel. Gereelde toetsing van vermoëns is deel van behoorlike opleiding en beplanning.
Daar is ses vereistes vir insig in beste praktykstelsels en netwerkonderhoudsprosedures. Sluit die uitvoering van gereelde stelselinstandhouding in en maak seker dat eksterne instandhouding gemagtig is.
Organisasies kan toegang tot sensitiewe media beheer met behulp van nege sekuriteitsvereistes. Berging en vernietiging van sensitiewe inligting en media in beide fisiese en digitale formate word deur die vereistes vereis.
Wat personeelsekuriteit en werknemers betref, moet aan twee sekuriteitsvereistes voldoen word. Die behoefte aan sekuriteitsondersoeke van individue voor toegang tot stelsels wat CUI bevat, word in die eerste gedek. Die tweede maak seker dat CUI beskerm word tydens die oordrag van personeel, insluitend die terugbesorging van boupasse of hardeware.
Ses sekuriteitsvereistes handel oor die onderwerp van fisiese toegang tot CUI binne 'n organisasie, insluitend die beheer van gaste se toegang werksplekke toe. Hardeware, toestelle en toerusting moet beperk word tot gemagtigde personeel.
Daar is twee vereistes vir die uitvoering en ontleding van gereelde risikobeoordelings. Om netwerktoestelle en sagteware opgedateer en veilig te hou, is een van die dinge wat organisasies vereis te doen. Dit is moontlik om die hele stelsel se sekuriteit te verbeter deur kwesbaarhede uit te lig en te versterk.
Daar is vier vereistes vir die hernuwing van stelselkontroles en sekuriteitsplanne. Deur gereeld sekuriteitassesseringsprosedures te hersien, word kwesbaarhede uitgelig en verbeter. Planne om CUI te beskerm bly hiermee doeltreffend.
Daar is 16 vereistes vir die monitering en beveiliging van stelsels. Ongemagtig inligting oordrag en ontkenning van netwerkkommunikasieverkeer word vereis. Vereistes sluit beste praktyk kriptografiebeleide in.
Daar is sewe vereistes wat verband hou met die monitering en beskerming van stelsels. Monitering van stelselsekuriteitwaarskuwings en die identifisering van ongemagtigde gebruik van stelsels is ingesluit.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
NIST 800-171 voldoening kan bewys word deur 'n proses van selfassessering. Dit kan skrikwekkend lyk dat daar meer as 100 vereistes is waaraan voldoen moet word om nakoming te bereik.
Jou organisasie moet 'n eenvoudige proses instel om die NIST 800-171 assessering uit te voer:
Voldoening aan NIST 800-171 sal 'n kerndeel wees van enige kontrak tussen die Amerikaanse federale regering en 'n kontrakteur wat beheerde ongeklassifiseerde inligting op hul IT-netwerke hanteer.
Nakoming van NIST 800-171 kan vereis dat jy diep in jou netwerke en prosedures duik om toepaslike sekuriteitsprosedures aan te spreek. Versuim om daaraan te voldoen kan enige transaksies met regeringsagentskappe beïnvloed. As jy die sperdatum misloop, loop jy die risiko om staatskontrakte te verloor.
Om aan NIST-standaarde te voldoen, hou 'n paar voordele in. Die NIST Cybersecurity Framework help organisasies om hul sensitiewe data te beskerm.
Organisasies voldoen aan ander regerings- of industrieregulasies wanneer jy werk aan NIST-nakoming.
As jy 'n federale agentskap is, kan die bereiking van NIST 800-171-nakoming help om aan die vereistes van FISMA (Federal Information Security Management Act) te voldoen.
As jy wil voldoen aan HIPAA (wet op oordraagbaarheid en aanspreeklikheid van gesondheidsversekering) en SOX (Sarbanes-Oxley-wet), sal NIST-nakoming jou help om voldoening aan HIPAA en SOX te bereik, aangesien hulle baie van dieselfde pilare deel.
Onthou, NIST-nakoming verseker nie altyd volledige sekuriteit nie. Voldoening aan NIST en ander standaarde is slegs die eerste stap. Deurlopende monitering vir webtoepassings kwesbaarhede, die implementering van omvattende sekuriteitsbeleide, deurlopende opleiding van werknemers om kubersekuriteitbewustheid te bevorder, en meer is van die take wat gedoen moet word om robuuste kubersekuriteit te verseker.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
ISMS.online ontwikkel voortdurend om aan die inligtingsekuriteit te voldoen, privaatheid en besigheidskontinuïteitbehoeftes van organisasies regoor die wêreld. Bereik NIST SP 800 171 voldoening vereistes maklik met ons platform.
ISMS.online kom met 'n verskeidenheid voorafgeboude raamwerke jy kan kies om aan te neem, aan te pas of by te voeg, afhangende van die unieke behoeftes van jou organisasie. Of jy kan maklik jou eie bou vir pasgemaakte voldoeningsprojekte.
NIST 800-171 en ISO 27001 deel baie ooreenkomste tussen die twee. NIST 800-171 kan gekarteer word na die internasionale ISO 27001-standaard in die sleutelbeheerareas, insluitend:
ISMS.online nakomingsagteware kan jou help om NIST SP 800-171 kontroles na relevante ISO/IEC 27001 kontroles te karteer. Ons het 'n reeks intuïtiewe ontwikkel kenmerke en gereedskapstelle binne ons platform om jou tyd te bespaar en te verseker dat jy 'n ISMS bou dit is werklik volhoubaar.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Laai ons gratis gids vir vinnige en volhoubare sertifisering af
Die NIST 800-171 selfassessering is 'n ingewikkelde taak omdat dit alle elemente van 'n organisasie se sekuriteitstelsels en netwerk sal oudit. Voorbereiding is die sleutel.
Vyf kernstappe om voor te berei vir jou NIST-assessering:
NIST SP 800-171 is die eerste keer in Junie 2015 gepubliseer en is sedertdien verskeie kere bygewerk.
NIST 800-171 het gereelde opdaterings ontvang om tred te hou met opkomende kuberbedreigings en tegnologieë. Die jongste weergawe van 800-171, genaamd hersiening 2, is in Februarie 2020 vrygestel.
Hierdie publikasies het dieselfde doel om data veilig te hou, maar hulle het verskillende riglyne vir verskillende gebiede om dit te bereik.
Die maatreëls wat in plek moet wees om te verseker dat CUI toepaslik hanteer word, is die fokus van NIST 800-171, terwyl NIST 800-53 fokus op die berging van geklassifiseerde data en watter sekuriteitsmaatreëls in plek moet wees om te verseker dat data beskerm word.
