NIST SP 800-171 beschreibt Sicherheitsstandards und -praktiken für nicht-bundesstaatliche Organisationen, die damit umgehen CUI (kontrollierte, nicht klassifizierte Informationen) in ihren Netzwerken.
NIST 800-171 wurde aufgrund anhaltender Cyberbedrohungen und sich ständig ändernder Technologien regelmäßig aktualisiert. Die neueste Version mit der Bezeichnung Revision 2 wurde im Februar 2020 veröffentlicht.
NIST ist eine nichtregulierende Bundesbehörde, die für die Erstellung von Richtlinien verantwortlich ist, die für Bundesbehörden zu vielen Themen, wie z. B. Cybersicherheit, gelten.
Die Einhaltung von NIST SP 800 171 ist von entscheidender Bedeutung. Wenn Sie mit Regierungsbehörden zusammenarbeiten möchten, ist dies eine Anforderung. ISMS.online bietet NIST SP 800 171-Compliance-Softwarelösungen an, die auf die Bedürfnisse Ihres Unternehmens zugeschnitten werden können.
Die Sonderveröffentlichung 800-171 des National Institute of Standards & Technology verlangt von jeder Organisation, die sensible, nicht klassifizierte Informationen für die US-Regierung verarbeitet oder speichert, den Cybersicherheitsstandard einzuhalten.
NIST 800-171 soll CUI in den IT-Netzwerken staatlicher Auftragnehmer und Subunternehmer schützen.
NIST 800-171 stärkt die Sicherheit der gesamten bundesstaatlichen Lieferkette, indem es Anforderungen an Auftragnehmer definiert, die mit sensiblen Regierungsinformationen umgehen. Es gewährleistet einen einheitlichen grundlegenden Cybersicherheitsstandard für alle Auftragnehmer und ihre jeweiligen Auftragnehmer.
NIST 800-171 verlangt von einigen Behörden und Organisationen die Einhaltung. Dies sind:
Wir sind so froh, dass wir diese Lösung gefunden haben, sie hat alles einfacher zusammenpassen lassen.
NIST 800-171 kann auf den ersten Blick wie eine schwierige Anforderung erscheinen (das ist sie nicht – Ihr Unternehmen wird es in kürzester Zeit meistern!), aber es gibt Vorteile, die ein Unternehmen aus der Implementierung aller erforderlichen Kontrollen ziehen kann:
Kontrollierte nicht klassifizierte Informationen (CUI) sind Informationen, die von der Regierung erstellt wurden oder deren Eigentum sind und nicht klassifiziert sind. Dazu können Patente, technische Daten oder Informationen im Zusammenhang mit der Herstellung oder dem Erwerb von Waren und Dienstleistungen gehören.
Ein CUI ist ein Überbegriff, der viele verschiedene Markierungen zur Identifizierung von Informationen umfasst, die nicht klassifiziert sind, aber geschützt werden sollten. Diese sind:
Obwohl es sich bei CUI nicht um Verschlusssachen handelt, können sie dennoch negative Folgen für die nationale Sicherheit und die Wirtschaft haben. Die Nichteinhaltung der NIST 800-171-Anforderungen kann zu Vertragsverlusten, Klagen, Geldstrafen und Reputationsschäden führen. ISMS.online kann Ihnen bei der Einhaltung der NIST SP 800-171-Anforderungen mit einer Vielzahl vorgefertigter Frameworks helfen, die Sie je nach Bedarf übernehmen, anpassen oder ergänzen können individuellen Anforderungen Ihrer Organisation.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Für 14 kritische Bereiche müssen von Auftragnehmern, die Zugriff auf CUI benötigen, Compliance- und Sicherheitsprotokolle erstellt werden.
Die 14 Schlüsselbereiche werden im Folgenden erläutert.
Dabei helfen 22 unterschiedliche Anforderungen Stellen Sie sicher, dass nur autorisierte Benutzer auf das System zugreifen können. Bestimmungen schützen den Fluss vertraulicher Informationen innerhalb des Netzwerks und geben Hinweise zu Netzwerkgeräten im System.
Für den Bereich Sensibilisierung und Schulung gelten drei Anforderungen. Es ist Es ist erforderlich, dass sich Systemadministratoren und Benutzer der Sicherheitsrisiken bewusst sind (und die damit verbundenen Cybersicherheitsverfahren) und dass die Mitarbeiter für die Wahrnehmung sicherheitsrelevanter Rollen geschult sind.
Neun Anforderungen Schwerpunkt auf Wirtschaftsprüfung und Analyse von System- und Ereignisprotokollen. Best-Practice-Analyse und Die Berichterstattung kann mit einer zuverlässigen Prüfung erfolgen Records. Cyber-Sicherheitsvorfälle können abgemildert werden durch regelmäßige Überprüfung der Sicherheitsprotokolle.
Die ordnungsgemäße Konfiguration von Hardware, Software und Geräten wird in neun Anforderungen abgedeckt. Zu dieser Anforderungsgruppe gehören die unbefugte Installation von Software und die Einschränkung nicht notwendiger Programme.
Auf das Netzwerk bzw. die Systeme der Organisation haben nur aufenthaltsberechtigte Benutzer Zugriff. Es gibt 11 Anforderungen, um die Unterscheidung sicherzustellen Die Unterscheidung zwischen privilegierten und nichtprivilegierten Konten spiegelt sich im Netzwerkzugriff wider.
Es gibt drei Anforderungen an die Organisation, um auf schwere Cyberangriffe zu reagieren. Es sind Verfahren vorhanden, um Vorfälle innerhalb der Organisation zu erkennen, einzudämmen und zu beheben. Zu einer ordnungsgemäßen Schulung und Planung gehört auch die regelmäßige Prüfung der Fähigkeiten.
Es gibt sechs Anforderungen für Einblick in Best-Practice-Systeme & Netzwerkwartungsverfahren. Beinhaltet die Durchführung regelmäßiger Systemwartungen und die Sicherstellung, dass externe Wartung autorisiert ist.
Mithilfe von neun Sicherheitsanforderungen können Organisationen den Zugriff auf sensible Medien kontrollieren. Speicherung und Vernichtung sensibler Informationen und Medien Die Anforderungen erfordern sowohl physische als auch digitale Formate.
Hinsichtlich der Personalsicherheit und der Mitarbeiter müssen zwei Sicherheitsanforderungen erfüllt werden. Die Notwendigkeit einer Sicherheitsüberprüfung von Personen vor dem Zugriff auf Systeme, die CUI enthalten, wird im ersten Abschnitt behandelt. Die zweite stellt sicher, dass CUI während des Personaltransfers geschützt ist, einschließlich der Rückgabe von Bauausweisen oder Hardware.
Sechs Sicherheitsanforderungen befassen sich mit dem Thema des physischen Zugangs zu CUI innerhalb einer Organisation, einschließlich der Kontrolle des Gastzugangs zu Arbeitsstellen. Hardware, Geräte und Ausrüstung müssen auf autorisiertes Personal beschränkt sein.
Für die Durchführung und Analyse regelmäßiger Risikobewertungen gibt es zwei Anforderungen. Es ist wichtig, Netzwerkgeräte und Software auf dem neuesten Stand und sicher zu halten Eines der Dinge, die Organisationen benötigen machen. Es ist möglich, die Sicherheit des gesamten Systems zu verbessern, indem Schwachstellen hervorgehoben und verstärkt werden.
Es gibt vier Anforderungen für die Erneuerung von Systemkontrollen und Sicherheitsplänen. Durch die regelmäßige Überprüfung der Sicherheitsbewertungsverfahren werden Schwachstellen hervorgehoben und behoben. Pläne zum Schutz der CUI bleiben damit wirksam.
Für die Überwachung und Absicherung von Anlagen gibt es 16 Anforderungen. Nicht autorisiert Informationsübertragung und die Verweigerung des Netzwerkkommunikationsverkehrs sind erforderlich. Zu den Anforderungen gehören bewährte Kryptografierichtlinien.
Es gibt sieben Anforderungen an die Überwachung und den Schutz von Systemen. Dazu gehören die Überwachung von Systemsicherheitswarnungen und die Identifizierung unbefugter Nutzung von Systemen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
Die Einhaltung von NIST 800-171 kann durch einen Prozess der Selbstbewertung nachgewiesen werden. Es kann entmutigend wirken, dass über 100 Anforderungen erfüllt werden müssen, um Compliance zu erreichen.
Ihre Organisation sollte einen unkomplizierten Prozess zur Durchführung der NIST 800-171-Bewertung festlegen:
Die Einhaltung von NIST 800-171 wird ein zentraler Bestandteil jedes Vertrags zwischen der US-Bundesregierung und einem Auftragnehmer sein, der kontrollierte, nicht klassifizierte Informationen in seinen IT-Netzwerken verarbeitet.
Die Einhaltung von NIST 800-171 erfordert möglicherweise ein tiefes Eintauchen in Ihre Netzwerke und Verfahren, um geeignete Sicherheitsverfahren zu gewährleisten. Eine Nichtbeachtung könnte Auswirkungen auf den Umgang mit Regierungsbehörden haben. Wenn Sie die Frist verpassen, riskieren Sie den Verlust von Regierungsaufträgen.
Die Einhaltung der NIST-Standards hat einige Vorteile. Das NIST Cybersecurity Framework hilft Unternehmen, ihre sensiblen Daten zu schützen.
Organisationen halten andere staatliche oder branchenspezifische Vorschriften ein bei der Arbeit an der NIST-Konformität.
Wenn Sie eine Bundesbehörde sind, kann die Einhaltung von NIST 800-171 dazu beitragen, die Anforderungen von FISMA (Federal Information Security Management Act) zu erfüllen.
Wenn Sie HIPAA (Health Insurance Portability and Accountability Act) und SOX (Sarbanes-Oxley Act) einhalten möchten, hilft Ihnen die NIST-Konformität bei der Einhaltung von HIPAA und SOX, da sie viele der gleichen Säulen haben.
Bedenken Sie, dass die NIST-Konformität nicht immer vollständige Sicherheit gewährleistet. Die Einhaltung von NIST und anderen Standards ist nur der erste Schritt. Kontinuierliche Überwachung auf Schwachstellen in Webanwendungen, Implementierung umfassender Sicherheitsrichtlinien, die Durchführung laufender Mitarbeiterschulungen zur Förderung des Bewusstseins für Cybersicherheit und vieles mehr sind einige der Aufgaben, die erledigt werden müssen, um eine robuste Cybersicherheit zu gewährleisten.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
ISMS.online entwickelt sich kontinuierlich weiter, um der Informationssicherheit gerecht zu werden, Datenschutz und Geschäftskontinuitätsanforderungen von Unternehmen auf der ganzen Welt. Erreichen Sie die NIST SP 800 171-Konformität Anforderungen einfach mit unserer Plattform erfüllen.
ISMS.online verfügt über eine Vielzahl vorgefertigter Frameworks Sie können je nach den individuellen Anforderungen Ihrer Organisation wählen, ob Sie sie übernehmen, anpassen oder ergänzen möchten. Oder Sie können ganz einfach Ihre eigene Lösung für maßgeschneiderte Compliance-Projekte erstellen.
NIST 800-171 und ISO 27001 weisen viele Gemeinsamkeiten auf. NIST 800-171 kann in den wichtigsten Kontrollbereichen dem internationalen ISO 27001-Standard zugeordnet werden, darunter:
Die Compliance-Software ISMS.online kann Ihnen dabei helfen, NIST SP 800-171-Kontrollen den relevanten ISO/IEC 27001-Kontrollen zuzuordnen. Wir haben eine Reihe intuitiver entwickelt Funktionen und Toolsets innerhalb unserer Plattform, um Ihnen Zeit zu sparen und sicherzustellen, dass Sie ein ISMS aufbauen Das ist wirklich nachhaltig.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Laden Sie unseren kostenlosen Leitfaden für eine schnelle und nachhaltige Zertifizierung herunter
Die NIST 800-171-Selbstbewertung ist eine komplizierte Aufgabe, da dabei alle Elemente der Sicherheitssysteme und des Netzwerks einer Organisation überprüft werden. Vorbereitung ist der Schlüssel.
Fünf Kernschritte zur Vorbereitung auf Ihre NIST-Bewertung:
NIST SP 800-171 wurde erstmals im Juni 2015 veröffentlicht und seitdem mehrmals aktualisiert.
NIST 800-171 wurde regelmäßig aktualisiert, um mit neuen Cyber-Bedrohungen und -Technologien Schritt zu halten. Die neueste Version von 800-171, Revision 2 genannt, wurde im Februar 2020 veröffentlicht.
Diese Veröffentlichungen haben das gleiche Ziel, die Datensicherheit zu gewährleisten, aber sie haben unterschiedliche Richtlinien für verschiedene Bereiche, um dies zu erreichen.
Der Schwerpunkt von NIST 800-171 liegt auf den Maßnahmen, die vorhanden sein sollten, um sicherzustellen, dass CUI angemessen gehandhabt wird, während sich NIST 800-53 auf die Speicherung geheimer Daten und die Sicherheitsmaßnahmen konzentriert, die vorhanden sein sollten, um den Schutz der Daten zu gewährleisten.