NIST SP 800-171 מתאר תקני אבטחה ונהלי אבטחה עבור ארגונים לא פדרליים המטפלים CUI (מידע לא מסווג מבוקר) ברשתות שלהם.
NIST 800-171 קיבל עדכונים שוטפים עקב איומי סייבר מתמשכים וטכנולוגיות המשתנות ללא הרף. הגרסה העדכנית ביותר, שנקראת גרסה 2, שוחררה בפברואר 2020.
NIST היא סוכנות פדרלית שאינה רגולטורית האחראית על קביעת הנחיות החלות על סוכנויות פדרליות בנושאים רבים, כגון אבטחת סייבר.
השגת תאימות ל-NIST SP 800 171 היא חיונית. אם אתה רוצה להתמודד עם סוכנויות ממשלתיות, זה א דרישה. ISMS.online מציעים פתרונות תוכנה לתאימות NIST SP 800 171 שניתן להתאים לצרכי הארגון שלך.
פרסום מיוחד 800-171 של המכון הלאומי לתקנים וטכנולוגיה דורש מכל ארגון שמעבד או מאחסן מידע רגיש ולא מסווג כדי שממשלת ארה"ב תעמוד בתקן אבטחת הסייבר.
NIST 800-171 נועד להגן על CUI ברשתות ה-IT של קבלנים ממשלתיים וקבלני משנה.
NIST 800-171 מחזק את האבטחה של כל שרשרת האספקה הפדרלית על ידי הגדרת דרישות לקבלנים המטפלים במידע ממשלתי רגיש. הוא מבטיח תקן אבטחת סייבר מאוחד עבור כל הקבלנים והקבלנים בהתאמה.
NIST 800-171 דורש מכמה סוכנויות וארגונים לציית לו, אלה הם:
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.
NIST 800-171 יכול להיראות כמו דרישה קשה בהתחלה (זה לא - הארגון שלך ישלוט בזה תוך זמן קצר!), אבל יש יתרונות שארגון יכול לקבל מיישום כל הבקרות הנדרשות, אלה הם:
מידע לא מסווג מבוקר (CUI) הוא מידע שנוצר או בבעלות הממשלה שאינו מסווג. פטנטים, נתונים טכניים או מידע הקשורים לייצור או רכישת מוצרים ושירותים עשויים להיכלל.
CUI הוא מונח גג המכסה סימנים רבים ושונים כדי לזהות מידע שאינו מסווג אך צריך להיות מוגן. אלו הם:
למרות ש-CUI אינו מידע מסווג, הוא עדיין יכול להוביל לביטחון לאומי ולתוצאות כלכליות שליליות. אי עמידה בדרישות NIST 800-171 עלול לגרום לאובדן חוזים, תביעות משפטיות, קנסות ופגיעה במוניטין. ISMS.online יכול לעזור לך לעמוד בדרישות NIST SP 800-171 עם מגוון מסגרות מובנות מראש שתוכל לבחור לאמץ, להתאים או להוסיף להן בהתאם צרכים ייחודיים של הארגון שלך.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
יש ליצור פרוטוקולי תאימות ואבטחה עבור 14 אזורים קריטיים על ידי קבלנים הזקוקים לגישה ל-CUI.
14 תחומי המפתח מוסברים להלן.
עשרים ושתיים דרישות שונות עוזרות ודא שרק משתמשים מורשים יכולים לגשת למערכת. הוראות מגנות על זרימת מידע רגיש בתוך הרשת ומספקות הדרכה על התקני רשת במערכת.
ישנן שלוש דרישות למדור מודעות והדרכה. זה נדרש שמנהלי מערכת ומשתמשים יהיו מודעים לסיכוני אבטחה (ונוהלי אבטחת הסייבר הקשורים אליהם) וכי העובדים יוכשרו לבצע תפקידים הקשורים לאבטחה.
תשע דרישות להתמקד בביקורת וניתוח מערכת ויומני אירועים. ניתוח שיטות עבודה מומלצות ו דיווח יכול להיעשות עם ביקורת אמינה רשום. ניתן לצמצם אירועי אבטחת סייבר על ידי סקירה קבועה של יומני אבטחה.
התצורה הנכונה של החומרה, התוכנה וההתקנים מכוסה בתשע דרישות. התקנת תוכנה לא מורשית והגבלה של תוכניות לא חיוניות הן חלק ממשפחת הדרישות הזו.
לרשת או למערכות של הארגון ניתן לגשת רק למשתמשים המורשים להיות שם. ישנן 11 דרישות כדי להבטיח את ההבחנה בין חשבונות מיוחסים וחשבונות שאינם מורשים באים לידי ביטוי בגישה לרשת.
ישנן שלוש דרישות לארגון להגיב למתקפות סייבר קשות. קיימים נהלים לאיתור, להכיל ולשחזר אירועים בתוך הארגון. בדיקה שוטפת של יכולות היא חלק מהכשרה ותכנון נכון.
ישנן שש דרישות לתובנה במערכות שיטות עבודה מומלצות נהלי תחזוקת הרשת. כולל ביצוע של תחזוקה שוטפת של המערכת והקפדה על אישור תחזוקה חיצונית.
ארגונים יכולים לשלוט בגישה למדיה רגישה בעזרת תשע דרישות אבטחה. אחסון והשמדה של מידע ומדיה רגישים הן בפורמט פיזי והן בפורמט דיגיטלי נדרשים על פי הדרישות.
לגבי אבטחת כוח אדם ועובדים, יש למלא שתי דרישות אבטחה. הצורך בבדיקת אבטחה של אנשים לפני גישה למערכות המכילות CUI מכוסה בראשון. השני מוודא שה-CUI מוגן במהלך העברת כוח אדם, כולל החזרת אישורי בניין או חומרה.
שש דרישות אבטחה עוסקות בנושא גישה פיזית ל-CUI בתוך ארגון, כולל שליטה בגישה לאורחים לאתרי עבודה. חומרה, מכשירים וציוד חייבים להיות מוגבלים לצוות מורשה.
קיימות שתי דרישות לביצוע וניתוח של הערכות סיכונים רגילות. שמירה על התקני רשת ותוכנות מעודכנים ומאובטחים אחד הדברים שארגונים נדרשים לעשות. ניתן לשפר את אבטחת המערכת כולה על ידי הדגשה וחיזוק של נקודות תורפה.
קיימות ארבע דרישות לחידוש בקרות המערכת ותוכניות האבטחה. על ידי סקירה קבועה של נהלי הערכת אבטחה, נקודות תורפה מודגשות ומשופרות. התוכניות לשמירה על CUI נשארות יעילות עם זה.
קיימות 16 דרישות לניטור ושמירה על מערכות. לא מורשה העברת מידע נדרשת מניעת תעבורת תקשורת ברשת. הדרישות כוללות מדיניות הצפנה של שיטות עבודה מומלצות.
קיימות שבע דרישות הנוגעות לניטור והגנה על מערכות. ניטור התראות אבטחת מערכת וזיהוי שימוש לא מורשה במערכות כלולים.
ניתן להוכיח תאימות ל-NIST 800-171 באמצעות תהליך של הערכה עצמית. זה יכול להיראות מרתיע שיש יותר מ-100 דרישות שצריך לעמוד בהן כדי להשיג תאימות.
הארגון שלך צריך להגדיר תהליך פשוט לביצוע הערכת NIST 800-171:
עמידה ב-NIST 800-171 תהיה חלק מרכזי בכל חוזה בין הממשל הפדרלי בארה"ב לבין קבלן שמטפל במידע לא מסווג מבוקר ברשתות ה-IT שלהם.
תאימות NIST 800-171 עשויה לדרוש צלילה עמוק לתוך הרשתות והנהלים שלך כדי לטפל בהליכי אבטחה מתאימים. אי ציות עלול להשפיע על כל עסקאות עם סוכנויות ממשלתיות. אם אתה מחמיץ את המועד, אתה מסתכן באובדן חוזים ממשלתיים.
לעמידה בתקני NIST יש כמה יתרונות. מסגרת אבטחת הסייבר של NIST עוזרת לארגונים להגן על הנתונים הרגישים שלהם.
ארגונים מצייתים לתקנות ממשלתיות או תעשייתיות אחרות כאשר עובדים למען תאימות ל-NIST.
אם אתה סוכנות פדרלית, השגת תאימות ל-NIST 800-171 יכולה לעזור לעמוד בדרישות של FISMA (Federal Information Security Management Act).
אם אתה מחפש לציית ל-HIPAA (חוק הניידות והאחריות של ביטוח בריאות) ו-SOX (חוק Sarbanes-Oxley), תאימות של NIST תעזור לך להשיג ציות ל-HIPAA ו-SOX שכן הם חולקים רבים מאותם עמודי תווך.
זכור, תאימות NIST לא תמיד מבטיחה אבטחה מלאה. עמידה ב-NIST ובתקנים אחרים היא רק הצעד הראשון. ניטור רציף אחר פרצות יישומי אינטרנט, יישום מדיניות אבטחה מקיפה, ביצוע הדרכות שוטפות של עובדים לקידום המודעות לאבטחת סייבר, ועוד הן חלק מהמשימות שצריך לעשות כדי להבטיח אבטחת סייבר חזקה.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
ISMS.online מתפתח ללא הרף כדי לעמוד באבטחת המידעצרכי פרטיות והמשכיות עסקית של ארגונים ברחבי העולם. השג תאימות ל-NIST SP 800 171 דרישות בקלות עם הפלטפורמה שלנו.
ISMS.online מגיע עם מגוון מסגרות מובנות מראש אתה יכול לבחור לאמץ, להתאים או להוסיף בהתאם לצרכים הייחודיים של הארגון שלך. לחלופין, אתה יכול בקלות לבנות משלך עבור פרויקטי תאימות מותאמים אישית.
NIST 800-171 ו-ISO 27001 חולקים קווי דמיון רבים בין השניים. ניתן למפות את NIST 800-171 לתקן ISO 27001 הבינלאומי בתחומי הבקרה המרכזיים, כולל:
תוכנת התאימות של ISMS.online יכולה לעזור לך למפות את פקדי NIST SP 800-171 לבקרי ISO/IEC 27001 רלוונטיים. פיתחנו סדרה של אינטואיטיביות תכונות וערכות כלים בפלטפורמה שלנו כדי לחסוך לך זמן ולהבטיח שאתה בונה ISMS זה באמת בר קיימא.
ההערכה העצמית של NIST 800-171 היא משימה מסובכת מכיוון שהיא תבקר את כל המרכיבים של מערכות האבטחה והרשת של הארגון. הכנה היא המפתח.
חמישה שלבי ליבה להתכונן להערכת ה-NIST שלך:
NIST SP 800-171 פורסם לראשונה ביוני 2015 ומאז עודכן מספר פעמים.
NIST 800-171 קיבל עדכונים שוטפים כדי להתעדכן באיומי סייבר וטכנולוגיות מתפתחות. הגרסה האחרונה של 800-171, הנקראת גרסה 2, שוחררה בפברואר 2020.
לפרסומים אלה יש אותה מטרה לשמור על אבטחת הנתונים, אך יש להם הנחיות שונות לתחומים שונים כדי להשיג זאת.
האמצעים שצריכים להיות במקום כדי להבטיח ש-CUI מטופל כראוי הם המוקד של NIST 800-171, בעוד NIST 800-53 מתמקד באחסון נתונים מסווגים ואילו אמצעי אבטחה צריכים להיות במקום כדי להבטיח שהנתונים מוגנים.