NIST SP 800-171 beskriver säkerhetsstandarder och rutiner för icke-federala organisationer som hanterar CUI (kontrollerad oklassificerad information) på sina nätverk.
NIST 800-171 har fått regelbundna uppdateringar på grund av ihållande cyberhot och ständigt föränderliga teknologier. Den senaste versionen, kallad revision 2, släpptes i februari 2020.
NIST är en icke-reglerande federal byrå som ansvarar för att upprätta riktlinjer som gäller för federala myndigheter i många ämnen, såsom cybersäkerhet.
Att uppnå överensstämmelse med NIST SP 800 171 är avgörande. Om du vill ha att göra med statliga myndigheter är det en krav. ISMS.online erbjuder NIST SP 800 171 mjukvarulösningar som kan skräddarsys efter din organisations behov.
National Institute of Standards & Technology Special Publication 800-171 kräver att alla organisationer som bearbetar eller lagrar känslig, oklassificerad information för att den amerikanska regeringen ska vara kompatibel med cybersäkerhetsstandarden.
NIST 800-171 är utformad för att skydda CUI i IT-nätverken för statliga entreprenörer och underleverantörer.
NIST 800-171 förstärker säkerheten för hela den federala leveranskedjan genom att definiera krav för entreprenörer som hanterar känslig myndighetsinformation. Det säkerställer en enhetlig grundläggande cybersäkerhetsstandard för alla entreprenörer och deras respektive entreprenörer.
NIST 800-171 kräver att några byråer och organisationer följer den, dessa är:
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
NIST 800-171 kan verka som ett hårt krav till en början (det är det inte – din organisation kommer att bemästra det på nolltid!), men det finns fördelar som en organisation kan få genom att implementera alla nödvändiga kontroller, dessa är:
Kontrollerad oklassificerad information (CUI) är information som skapats eller ägs av regeringen som inte är sekretessbelagd. Patent, tekniska data eller information om tillverkning eller anskaffning av varor och tjänster kan inkluderas.
En CUI är ett paraplybegrepp som täcker många olika märkningar för att identifiera information som inte är sekretessbelagd men bör skyddas. Dessa är:
Även om CUI inte är sekretessbelagd information kan det ändå leda till negativa nationell säkerhet och ekonomiska konsekvenser. Underlåtenhet att följa NIST 800-171-kraven kan resultera i förlust av kontrakt, stämningar, böter och skada på ryktet. ISMS.online kan hjälpa dig att uppfylla NIST SP 800-171-kraven med en mängd olika förbyggda ramverk som du kan välja att adoptera, anpassa eller lägga till beroende på din organisations unika behov.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Efterlevnads- och säkerhetsprotokoll måste skapas för 14 kritiska områden av entreprenörer som behöver tillgång till CUI.
De 14 nyckelområdena förklaras nedan.
Tjugotvå olika krav hjälper till se till att endast auktoriserade användare kan komma åt systemet. Bestämmelser skyddar flödet av känslig information inom nätverket och ger vägledning om nätverksenheter i systemet.
Det finns tre krav för avsnittet medvetenhet och utbildning. Det är krävs att systemadministratörer och användare är medvetna om säkerhetsrisker (och deras relaterade cybersäkerhetsprocedurer) och att anställda är utbildade för att utföra säkerhetsrelaterade roller.
Nio krav fokusera på revision och analysera system och händelseloggar. Bästa praxis analys och rapportering kan göras med pålitlig revision uppgifter. Cybersäkerhetsincidenter kan mildras genom regelbunden granskning av säkerhetsloggar.
Korrekt konfiguration av hårdvara, mjukvara och enheter täcks av nio krav. Otillåten programvaruinstallation och begränsningen av icke-nödvändiga program är en del av denna familj av krav.
Organisationens nätverk eller system kan endast nås av användare som har behörighet att vara där. Det finns 11 krav för att säkerställa att skillnaden mellan privilegierade och icke-privilegierade konton återspeglas i nätverksåtkomst.
Det finns tre krav för att organisationen ska svara på allvarliga cyberattacker. Rutiner finns på plats för att upptäcka, innehålla och återställa incidenter inom organisationen. Regelbunden testning av förmågor är en del av korrekt utbildning och planering.
Det finns sex krav för insikt i bästa praxis-system och förfaranden för nätverksunderhåll. Inkluderar utförandet av regelbundet systemunderhåll och se till att externt underhåll är auktoriserat.
Organisationer kan kontrollera åtkomsten till känsliga medier med hjälp av nio säkerhetskrav. Lagring och förstörelse av känslig information och media i både fysiska och digitala format krävs enligt kraven.
När det gäller personalsäkerhet och anställda måste två säkerhetskrav uppfyllas. Behovet av säkerhetskontroll av individer innan de får åtkomst till system som innehåller CUI täcks i den första. Den andra ser till att CUI är skyddad under överföringen av personal, inklusive återlämnande av byggnadskort eller hårdvara.
Sex säkerhetskrav behandlar ämnet fysisk åtkomst till CUI inom en organisation, inklusive kontroll av gäståtkomst till arbetsplatser. Hårdvara, enheter och utrustning måste begränsas till auktoriserad personal.
Det finns två krav för utförande och analys av regelbundna riskbedömningar. Att hålla nätverksenheter och programvara uppdaterade och säkra är en av de saker som organisationer krävs att göra. Det är möjligt att förbättra hela systemets säkerhet genom att lyfta fram och stärka sårbarheter.
Det finns fyra krav för förnyelse av systemkontroller och säkerhetsplaner. Genom att regelbundet se över rutiner för säkerhetsbedömning belyses och förbättras sårbarheter. Planerna för att skydda CUI förblir effektiva med detta.
Det finns 16 krav för övervakning och skydd av system. Obehörig informationsöverföring och nekande av nätverkskommunikationstrafik krävs. Kraven inkluderar bästa praxis för kryptografi.
Det finns sju krav för övervakning och skydd av system. Övervakning av systemsäkerhetsvarningar och identifiering av obehörig användning av system ingår.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Överensstämmelse med NIST 800-171 kan bevisas genom en självutvärderingsprocess. Det kan verka skrämmande att det finns över 100 krav som måste uppfyllas för att uppnå efterlevnad.
Din organisation bör sätta en enkel process för att utföra NIST 800-171-bedömningen:
Efterlevnad av NIST 800-171 kommer att vara en central del av alla kontrakt mellan den amerikanska federala regeringen och en entreprenör som hanterar kontrollerad oklassificerad information på sina IT-nätverk.
Överensstämmelse med NIST 800-171 kan kräva att du dyker djupt in i dina nätverk och procedurer för att hantera lämpliga säkerhetsprocedurer. Underlåtenhet att följa kan påverka alla kontakter med statliga myndigheter. Missar du tidsfristen riskerar du att förlora statliga kontrakt.
Att följa NIST-standarder har några fördelar. NIST Cybersecurity Framework hjälper organisationer att skydda sina känsliga uppgifter.
Organisationer följer andra statliga eller branschföreskrifter när du arbetar mot NIST-efterlevnad.
Om du är en federal byrå kan det hjälpa till att uppfylla kraven i FISMA (Federal Information Security Management Act) om du uppnår NIST 800-171-överensstämmelse.
Om du vill följa HIPAA (Health Insurance Portability and Accountability Act) och SOX (Sarbanes-Oxley Act), kommer NIST-efterlevnad att hjälpa dig att uppnå överensstämmelse med HIPAA & SOX eftersom de delar många av samma pelare.
Kom ihåg att NIST-efterlevnad inte alltid garanterar fullständig säkerhet. Att följa NIST och andra standarder är bara det första steget. Kontinuerlig övervakning av webbapplikationssårbarheter, implementera omfattande säkerhetspolicyer, att genomföra fortlöpande utbildning av anställda för att främja cybersäkerhetsmedvetenhet, och mer är några av de uppgifter som måste göras för att säkerställa robust cybersäkerhet.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
ISMS.online utvecklas ständigt för att möta informationssäkerheten, integritets- och affärskontinuitetsbehov hos organisationer över hela världen. Uppnå överensstämmelse med NIST SP 800 171 krav enkelt med vår plattform.
ISMS.online kommer med en mängd olika förbyggda ramverk du kan välja att adoptera, anpassa eller lägga till beroende på din organisations unika behov. Eller så kan du enkelt bygga din egen för skräddarsydda efterlevnadsprojekt.
NIST 800-171 och ISO 27001 delar många likheter mellan de två. NIST 800-171 kan mappas till den internationella ISO 27001-standarden inom nyckelkontrollområdena, inklusive:
ISMS.online-kompatibilitetsprogramvara kan hjälpa dig att kartlägga NIST SP 800-171-kontroller till relevanta ISO/IEC 27001-kontroller. Vi har utvecklat en serie intuitiva funktioner och verktygsuppsättningar inom vår plattform för att spara tid och säkerställa att du bygger ett ISMS det är verkligen hållbart.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Ladda ner vår gratis guide till snabb och hållbar certifiering
NIST 800-171 självutvärdering är en komplicerad uppgift eftersom den kommer att granska alla delar av en organisations säkerhetssystem och nätverk. Förberedelser är nyckeln.
Fem grundläggande steg för att förbereda dig för din NIST-bedömning:
NIST SP 800-171 publicerades första gången i juni 2015 och har uppdaterats flera gånger sedan dess.
NIST 800-171 har fått regelbundna uppdateringar för att hålla jämna steg med nya cyberhot och tekniker. Den senaste versionen av 800-171, kallad revision 2, släpptes i februari 2020.
Dessa publikationer har samma mål att hålla data säker, men de har olika riktlinjer för olika områden för att åstadkomma det.
Åtgärderna som bör vara på plats för att säkerställa att CUI hanteras på rätt sätt är fokus för NIST 800-171, medan NIST 800-53 fokuserar på att lagra sekretessbelagda data och vilka säkerhetsåtgärder som bör vidtas för att säkerställa att data skyddas.
