NIST SP 800-171 sisältää turvallisuusstandardit ja -käytännöt ei-liittovaltion organisaatioille, jotka käsittelevät CUI (valvottu luokittelematon tieto) verkostoissaan.
NIST 800-171 on saanut säännöllisiä päivityksiä jatkuvien kyberuhkien ja jatkuvasti muuttuvien teknologioiden vuoksi. Uusin versio, versio 2, julkaistiin helmikuussa 2020.
NIST on sääntelemätön liittovaltion virasto, joka vastaa liittovaltion virastoille sovellettavien ohjeiden laatimisesta monissa aiheissa, kuten kyberturvallisuudessa.
NIST SP 800 171 -yhteensopivuuden saavuttaminen on ratkaisevan tärkeää. Jos haluat olla tekemisissä valtion virastojen kanssa, se on a vaatimus. ISMS.online tarjoaa NIST SP 800 171 -yhteensopivuusohjelmistoratkaisuja, jotka voidaan räätälöidä organisaatiosi tarpeisiin.
National Institute of Standards & Technology -erikoisjulkaisu 800-171 edellyttää, että kaikki organisaatiot, jotka käsittelevät tai tallentavat arkaluontoisia, luokittelemattomia tietoja Yhdysvaltain hallitukselle, noudattavat kyberturvallisuusstandardia.
NIST 800-171 on suunniteltu suojaamaan CUI:ta valtion urakoitsijoiden ja alihankkijoiden IT-verkoissa.
NIST 800-171 vahvistaa koko liittovaltion toimitusketjun turvallisuutta määrittelemällä vaatimukset urakoitsijoille, jotka käsittelevät arkaluonteisia viranomaistietoja. Se varmistaa yhtenäisen kyberturvallisuuden perusstandardin kaikille urakoitsijoille ja heidän urakoitsijoilleen.
NIST 800-171 vaatii muutaman viraston ja organisaation noudattamaan sitä, nämä ovat:
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
NIST 800-171 voi aluksi tuntua kovalta vaatimukselta (se ei ole sitä – organisaatiosi hallitsee sen hetkessä!), mutta organisaatio voi saada etuja kaikkien vaadittujen hallintalaitteiden käyttöönotosta:
Controlled Unclassified Information (CUI) on valtion luomaa tai omistamaa tietoa, jota ei ole luokiteltu. Patentteja, teknisiä tietoja tai tavaroiden ja palveluiden valmistukseen tai hankintaan liittyviä tietoja voidaan sisällyttää.
CUI on kattotermi, joka kattaa monia erilaisia merkintöjä tunnistamaan tietoja, joita ei ole luokiteltu mutta joita pitäisi suojata. Nämä ovat:
Vaikka CUI ei ole turvaluokiteltua tietoa, se voi silti johtaa kielteisiin kansalliseen turvallisuuteen ja taloudellisiin seurauksiin. NIST 800-171 -vaatimusten noudattamatta jättäminen voi johtaa sopimusten menettämiseen, oikeusjuttuihin, sakkoihin ja mainevaurioihin. ISMS.online voi auttaa sinua täyttämään NIST SP 800-171 -vaatimukset erilaisilla valmiiksi rakennetuilla kehyksillä, joita voit valita, mukauttaa tai lisätä riippuen organisaatiosi ainutlaatuiset tarpeet.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
CUI:ta tarvitsevien urakoitsijoiden on luotava vaatimustenmukaisuus- ja suojausprotokollat 14 kriittiselle alueelle.
14 avainaluetta selitetään alla.
Kaksikymmentäkaksi erilaista vaatimusta auttavat varmista, että vain valtuutetut käyttäjät voivat käyttää järjestelmää. Säännökset suojaavat arkaluontoisten tietojen kulkua verkossa ja ohjaavat järjestelmän verkkolaitteita.
Tietoisuus- ja koulutusosiossa on kolme vaatimusta. se on edellyttää, että järjestelmänvalvojat ja käyttäjät ovat tietoisia turvallisuusriskeistä (ja niihin liittyvät kyberturvallisuusmenettelyt) ja että työntekijät on koulutettu suorittamaan turvallisuuteen liittyviä rooleja.
Yhdeksän vaatimusta keskittyä auditointiin sekä järjestelmä- ja tapahtumalokien analysointi. Parhaiden käytäntöjen analyysi ja raportointi voidaan tehdä luotettavalla tarkastuksella kirjaa. Kyberturvallisuushäiriöitä voidaan lieventää tarkistamalla säännöllisesti suojauslokit.
Laitteiston, ohjelmiston ja laitteiden oikea konfigurointi katetaan yhdeksässä vaatimuksessa. Luvaton ohjelmistojen asennus ja ei-välttämättömien ohjelmien rajoittaminen ovat osa tätä vaatimusperhettä.
Organisaation verkkoon tai järjestelmiin pääsevät vain käyttäjät, joilla on oikeus olla siellä. On 11 vaatimusta sen varmistamiseksi, että ero etuoikeutetut ja ei-etuoikeutetut tilit näkyvät verkkoon pääsyssä.
Organisaatiolla on kolme vaatimusta vastata vakaviin kyberhyökkäyksiin. Organisaatiossa on käytössä menettelyt tapausten havaitsemiseksi, hillitsemiseksi ja palauttamiseksi. Säännöllinen kykyjen testaus on osa asianmukaista koulutusta ja suunnittelua.
Parhaiden käytäntöjen järjestelmien ymmärtämiselle on kuusi vaatimusta verkon ylläpitomenettelyt. Sisältää säännöllisen järjestelmän huollon ja sen varmistamisen, että ulkoinen huolto on valtuutettu.
Organisaatiot voivat hallita pääsyä arkaluontoiseen mediaan yhdeksän tietoturvavaatimuksen avulla. Arkaluonteisten tietojen ja median säilyttäminen ja tuhoaminen sekä fyysisessä että digitaalisessa muodossa.
Henkilöstön ja työntekijöiden turvallisuuden osalta on täytettävä kaksi turvallisuusvaatimusta. Ensimmäisessä käsitellään tarvetta tehdä henkilöiden turvatarkastus ennen CUI:ta sisältävien järjestelmien käyttöä. Toinen varmistaa, että CUI on suojattu henkilöstön siirron aikana, mukaan lukien rakennuspassien tai laitteiston palauttaminen.
Kuusi turvallisuusvaatimusta käsittelee fyysistä pääsyä CUI:iin organisaatiossa, mukaan lukien vieraiden pääsyn valvonta työmaille. Laitteet, laitteet ja varusteet on rajoitettava valtuutettuun henkilöstöön.
Säännöllisten riskinarviointien suorittamiselle ja analysoinnille on kaksi vaatimusta. Verkkolaitteiden ja ohjelmistojen pitäminen ajan tasalla ja turvassa on yksi niistä asioista, joita organisaatiot tarvitsevat tehdä. Koko järjestelmän turvallisuutta on mahdollista parantaa haavoittuvuuksia korostamalla ja vahvistamalla.
Järjestelmäohjauksen ja turvasuunnitelmien uusimiselle on neljä vaatimusta. Tarkistamalla säännöllisesti turvallisuuden arviointimenettelyjä haavoittuvuuksia korostetaan ja parannetaan. Suunnitelmat CUI:n turvaamiseksi ovat edelleen tehokkaita.
Järjestelmien valvontaa ja turvaamista varten on 16 vaatimusta. Luvaton tiedonsiirto ja verkkoviestintäliikenteen estäminen vaaditaan. Vaatimukset sisältävät parhaiden käytäntöjen salauskäytännöt.
Järjestelmien valvontaan ja suojaukseen liittyviä vaatimuksia on seitsemän. Mukana on järjestelmän turvahälytysten valvonta ja järjestelmien luvattoman käytön tunnistaminen.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
NIST 800-171 -vaatimustenmukaisuus voidaan todistaa itsearviointiprosessilla. Voi tuntua pelottavalta, että vaatimustenmukaisuuden saavuttamiseksi on täytettävä yli 100 vaatimusta.
Organisaatiosi tulee määrittää suoraviivainen prosessi NIST 800-171 -arvioinnin suorittamiseksi:
NIST 800-171 -standardin noudattaminen on keskeinen osa kaikkia Yhdysvaltain liittovaltion hallituksen ja IT-verkoissaan valvottuja luokittelemattomia tietoja käsittelevän urakoitsijan välisiä sopimuksia.
NIST 800-171 -yhteensopivuus saattaa edellyttää sukeltamista syvälle verkkoihisi ja menettelyihisi asianmukaisten suojaustoimenpiteiden toteuttamiseksi. Laiminlyönti voi vaikuttaa asioihin valtion virastojen kanssa. Jos myöhästyt määräajasta, voit menettää valtion sopimukset.
NIST-standardien noudattamisella on joitain etuja. NIST Cybersecurity Framework auttaa organisaatioita suojaamaan arkaluontoisia tietojaan.
Organisaatiot noudattavat muita valtion tai alan säädöksiä NIST-yhteensopivuuden saavuttamiseksi.
Jos olet liittovaltion virasto, NIST 800-171 -yhteensopivuuden saavuttaminen voi auttaa täyttämään FISMAn (Federal Information Security Management Act -lain) vaatimukset.
Jos aiot noudattaa HIPAA:ta (Health Insurance Portability and Accountability Act) ja SOX:ia (Sarbanes-Oxley Act), NIST-yhteensopivuus auttaa sinua saavuttamaan HIPAA- ja SOX-säädösten noudattamisen, koska niillä on monia samoja pilareita.
Muista, että NIST-yhteensopivuus ei aina takaa täydellistä turvallisuutta. NIST:n ja muiden standardien noudattaminen on vasta ensimmäinen askel. Jatkuva verkkosovellusten haavoittuvuuksien tarkkailu, kattavan turvallisuuspolitiikan toteuttaminen, jatkuvan työntekijöiden koulutuksen järjestäminen kyberturvallisuustietoisuuden lisäämiseksi, ja monet muut ovat tehtäviä, jotka on tehtävä vankan kyberturvallisuuden varmistamiseksi.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
ISMS.online kehittyy jatkuvasti vastaamaan tietoturvaan, organisaatioiden yksityisyyden ja liiketoiminnan jatkuvuuden tarpeet ympäri maailmaa. Saavuta NIST SP 800 171 -yhteensopivuus vaatimukset helposti alustamme avulla.
ISMS.online sisältää useita valmiita kehyksiä voit ottaa käyttöön, mukauttaa tai täydentää organisaatiosi ainutlaatuisten tarpeiden mukaan. Tai voit helposti rakentaa oman räätälöityjä vaatimustenmukaisuusprojekteja varten.
NIST 800-171 ja ISO 27001 jakavat monia yhtäläisyyksiä näiden kahden välillä. NIST 800-171 voidaan yhdistää kansainväliseen ISO 27001 -standardiin tärkeimmillä valvonta-alueilla, mukaan lukien:
ISMS.online-yhteensopivuusohjelmisto voi auttaa sinua yhdistämään NIST SP 800-171 -ohjaimet asiaankuuluviin ISO/IEC 27001 -ohjaimiin. Olemme kehittäneet sarjan intuitiivisia ominaisuuksia ja työkalusarjoja alustassamme säästääksesi aikaasi ja varmistaaksemme, että rakennat ISMS:n se on todella kestävää.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Lataa ilmainen opas nopeaan ja kestävään sertifiointiin
NIST 800-171 -itsearviointi on monimutkainen tehtävä, koska se tarkastaa kaikki organisaation turvajärjestelmien ja verkon elementit. Valmistautuminen on avainasemassa.
Viisi keskeistä vaihetta valmistautuaksesi NIST-arviointiin:
NIST SP 800-171 julkaistiin ensimmäisen kerran kesäkuussa 2015, ja sitä on päivitetty useita kertoja sen jälkeen.
NIST 800-171 on saanut säännöllisesti päivityksiä pysyäkseen ajan tasalla uusista kyberuhkista ja -tekniikoista. Version 800-171 uusin versio, versio 2, julkaistiin helmikuussa 2020.
Näillä julkaisuilla on sama tavoite pitää tiedot turvassa, mutta niillä on eri osa-alueille erilaiset ohjeet tämän saavuttamiseksi.
NIST 800-171 keskittyy toimenpiteisiin, joiden pitäisi olla CUI:n asianmukaisen käsittelyn varmistamiseksi, kun taas NIST 800-53 keskittyy turvaluokiteltujen tietojen tallentamiseen ja siihen, mitä turvatoimia tulisi ottaa käyttöön tietojen suojauksen varmistamiseksi.