NIST SP 800-171 skitserer sikkerhedsstandarder og -praksis for ikke-føderale organisationer, der håndterer CUI (kontrolleret uklassificeret information) på deres netværk.
NIST 800-171 har modtaget regelmæssige opdateringer på grund af vedvarende cybertrusler og stadigt skiftende teknologier. Den seneste version, kaldet revision 2, blev udgivet i februar 2020.
NIST er et ikke-regulerende føderalt agentur, der er ansvarlig for at etablere retningslinjer, der gælder for føderale agenturer om mange emner, såsom cybersikkerhed.
At opnå NIST SP 800 171-overensstemmelse er afgørende. Hvis du ønsker at handle med offentlige myndigheder, er det en krav. ISMS.online tilbyder NIST SP 800 171 compliance softwareløsninger, der kan skræddersyes til din organisations behov.
National Institute of Standards & Technology Special Publication 800-171 kræver, at enhver organisation, der behandler eller opbevarer følsomme, uklassificerede oplysninger, for at den amerikanske regering skal være i overensstemmelse med cybersikkerhedsstandarden.
NIST 800-171 er designet til at beskytte CUI i it-netværk af offentlige entreprenører og underleverandører.
NIST 800-171 styrker sikkerheden for hele den føderale forsyningskæde ved at definere krav til entreprenører, der håndterer følsomme regeringsoplysninger. Det sikrer en samlet grundlæggende cybersikkerhedsstandard for alle entreprenører og deres respektive entreprenører.
NIST 800-171 kræver, at nogle få agenturer og organisationer overholder den, disse er:
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
NIST 800-171 kan umiddelbart virke som et hårdt krav (det er det ikke – din organisation vil mestre det på ingen tid!), men der er fordele, som en organisation kan få ved at implementere alle de nødvendige kontroller, disse er:
Kontrolleret uklassificeret information (CUI) er information, der er oprettet eller ejet af regeringen, som ikke er klassificeret. Patenter, tekniske data eller oplysninger vedrørende fremstilling eller erhvervelse af varer og tjenester kan være inkluderet.
En CUI er et paraplybegreb, der dækker over mange forskellige markeringer for at identificere information, der ikke er klassificeret, men som bør beskyttes. Disse er:
Selvom CUI ikke er klassificeret information, kan det stadig føre til negative nationale sikkerhedsmæssige og økonomiske konsekvenser. Manglende overholdelse af NIST 800-171-kravene kan resultere i tab af kontrakter, retssager, bøder og skade på omdømmet. ISMS.online kan hjælpe dig med at overholde NIST SP 800-171 krav med en række præbyggede rammer, du kan vælge at adoptere, tilpasse eller tilføje til afhængigt af unikke behov i din organisation.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Overholdelses- og sikkerhedsprotokoller skal oprettes for 14 kritiske områder af entreprenører, der har brug for adgang til CUI.
De 14 nøgleområder er forklaret nedenfor.
Toogtyve forskellige krav hjælper til sikre, at kun autoriserede brugere kan få adgang til systemet. Bestemmelser beskytter strømmen af følsomme oplysninger inden for netværket og giver vejledning om netværksenheder i systemet.
Der er tre krav til bevidstheds- og træningsafsnittet. det er krævet, at systemadministratorer og brugere er opmærksomme på sikkerhedsrisici (og deres relaterede cybersikkerhedsprocedurer), og at medarbejdere er uddannet til at udføre sikkerhedsrelaterede roller.
Ni krav fokus på revision og analysere system- og hændelseslogfiler. Best practice analyse og rapportering kan ske med pålidelig revision optegnelser. Cybersikkerhedshændelser kan afbødes ved regelmæssig gennemgang af sikkerhedslogfiler.
Den korrekte konfiguration af hardware, software og enheder er dækket af ni krav. Uautoriseret softwareinstallation og begrænsning af ikke-essentielle programmer er en del af denne familie af krav.
Organisationens netværk eller systemer kan kun tilgås af brugere, der er autoriseret til at være der. Der er 11 krav for at sikre, at skelnen mellem privilegerede og ikke-privilegerede konti afspejles i netværksadgang.
Der er tre krav til, at organisationen skal reagere på alvorlige cyberangreb. Der er indført procedurer til at opdage, inddæmme og genoprette hændelser i organisationen. Regelmæssig test af evner er en del af korrekt træning og planlægning.
Der er seks krav til indsigt i best practice systemer & netværksvedligeholdelsesprocedurer. Omfatter udførelse af regelmæssig systemvedligeholdelse og sikring af, at ekstern vedligeholdelse er godkendt.
Organisationer kan kontrollere adgangen til følsomme medier ved hjælp af ni sikkerhedskrav. Opbevaring og destruktion af følsomme oplysninger og medier i både fysiske og digitale formater kræves af kravene.
Med hensyn til personalesikkerhed og ansatte skal to sikkerhedskrav være opfyldt. Behovet for sikkerhedsscreening af enkeltpersoner før adgang til systemer, der indeholder CUI, er dækket i den første. Den anden sikrer, at CUI er beskyttet under overførslen af personale, herunder returnering af bygningskort eller hardware.
Seks sikkerhedskrav omhandler emnet fysisk adgang til CUI i en organisation, herunder kontrol af gæsteadgang til arbejdssteder. Hardware, enheder og udstyr skal være begrænset til autoriseret personale.
Der er to krav til udførelse og analyse af regelmæssige risikovurderinger. At holde netværksenheder og software opdateret og sikker er en af de ting, som organisationer er påkrævet at gøre. Det er muligt at forbedre hele systemets sikkerhed ved at fremhæve og styrke sårbarheder.
Der er fire krav til fornyelse af systemkontroller og sikkerhedsplaner. Ved regelmæssig gennemgang af sikkerhedsvurderingsprocedurer fremhæves og forbedres sårbarheder. Planer for at beskytte CUI forbliver effektive med dette.
Der er 16 krav til overvågning og sikring af systemer. Uberettiget informationsoverførsel og nægtelse af netværkskommunikationstrafik er påkrævet. Kravene omfatter bedste praksis for kryptografi.
Der er syv krav vedrørende overvågning og beskyttelse af systemer. Overvågning af systemsikkerhedsalarmer og identifikation af uautoriseret brug af systemer er inkluderet.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Vi er omkostningseffektive og hurtige
NIST 800-171 overholdelse kan bevises gennem en proces med selvevaluering. Det kan virke skræmmende, at der er over 100 krav, der skal opfyldes for at opnå overholdelse.
Din organisation bør indstille en ligetil proces for at udføre NIST 800-171-vurderingen:
Overholdelse af NIST 800-171 vil være en kernedel af enhver kontrakt mellem den amerikanske føderale regering og en entreprenør, der håndterer kontrollerede uklassificerede oplysninger på deres it-netværk.
Overholdelse af NIST 800-171 kan kræve, at du dykker dybt ned i dine netværk og procedurer for at løse passende sikkerhedsprocedurer. Manglende overholdelse kan påvirke enhver forbindelse med offentlige myndigheder. Hvis du overskrider deadline, risikerer du at miste offentlige kontrakter.
Overholdelse af NIST-standarder har nogle få fordele. NIST Cybersecurity Framework hjælper organisationer med at beskytte deres følsomme data.
Organisationer overholder andre regerings- eller industriforskrifter når man arbejder hen imod NIST-overholdelse.
Hvis du er et føderalt agentur, kan opnåelse af NIST 800-171-overholdelse hjælpe med at opfylde kravene i FISMA (Federal Information Security Management Act).
Hvis du ønsker at overholde HIPAA (Health Insurance Portability and Accountability Act) og SOX (Sarbanes-Oxley Act), vil NIST-overholdelse hjælpe dig med at opnå overholdelse af HIPAA & SOX, da de deler mange af de samme søjler.
Husk, at NIST-overholdelse ikke altid sikrer fuldstændig sikkerhed. Overholdelse af NIST og andre standarder er kun det første skridt. Kontinuerlig overvågning for webapplikationssårbarheder, implementering af omfattende sikkerhedspolitikker, at gennemføre løbende medarbejderuddannelse for at fremme cybersikkerhedsbevidsthed, og mere er nogle af de opgaver, der skal udføres for at sikre robust cybersikkerhed.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
ISMS.online udvikler sig løbende for at imødekomme informationssikkerheden, privatliv og forretningskontinuitetsbehov hos organisationer over hele kloden. Opnå NIST SP 800 171 overensstemmelse krav nemt med vores platform.
ISMS.online kommer med en række forudbyggede rammer du kan vælge at adoptere, tilpasse eller tilføje afhængigt af din organisations unikke behov. Eller du kan nemt bygge din egen til skræddersyede overholdelsesprojekter.
NIST 800-171 og ISO 27001 deler mange ligheder mellem de to. NIST 800-171 kan kortlægges til den internationale ISO 27001-standard i de vigtigste kontrolområder, herunder:
ISMS.online compliance software kan hjælpe dig med at kortlægge NIST SP 800-171 kontroller til relevante ISO/IEC 27001 kontroller. Vi har udviklet en række intuitive funktioner og værktøjssæt på vores platform for at spare dig tid og sikre, at du opbygger et ISMS det er virkelig bæredygtigt.
Download vores gratis guide til hurtig og bæredygtig certificering
NIST 800-171-selvvurderingen er en kompliceret opgave, fordi den vil revidere alle elementer i en organisations sikkerhedssystemer og netværk. Forberedelse er nøglen.
Fem kernetrin til at forberede din NIST-vurdering:
NIST SP 800-171 blev udgivet første gang i juni 2015 og er blevet opdateret flere gange siden.
NIST 800-171 har modtaget regelmæssige opdateringer for at holde trit med nye cybertrusler og -teknologier. Den seneste version af 800-171, kaldet revision 2, blev udgivet i februar 2020.
Disse publikationer har det samme mål om at holde data sikre, men de har forskellige retningslinjer for forskellige områder for at opnå dette.
De foranstaltninger, der bør være på plads for at sikre, at CUI håndteres korrekt, er fokus i NIST 800-171, mens NIST 800-53 fokuserer på lagring af klassificerede data, og hvilke sikkerhedsforanstaltninger der skal være på plads for at sikre, at data er beskyttet.
