NIST SP 800-171 schetst beveiligingsnormen en -praktijken voor niet-federale organisaties die zich bezighouden met CUI (gecontroleerde niet-geclassificeerde informatie) op hun netwerken.
NIST 800-171 heeft regelmatig updates ontvangen vanwege aanhoudende cyberdreigingen en steeds veranderende technologieën. De meest recente versie, revisie 2 genaamd, is in februari 2020 uitgebracht.
NIST is een niet-regelgevend federaal agentschap dat verantwoordelijk is voor het opstellen van richtlijnen die van toepassing zijn op federale agentschappen over vele onderwerpen, zoals cyberveiligheid.
Het bereiken van NIST SP 800 171-compliance is van cruciaal belang. Als u zaken wilt doen met overheidsinstanties, dan is dat een vereiste. ISMS.online biedt NIST SP 800 171 compliance-softwareoplossingen die kunnen worden afgestemd op de behoeften van uw organisatie.
National Institute of Standards & Technology Special Publication 800-171 vereist dat elke organisatie die gevoelige, niet-geclassificeerde informatie verwerkt of opslaat voor de Amerikaanse overheid, voldoet aan de cyberbeveiligingsnorm.
NIST 800-171 is ontworpen om CUI te beschermen in de IT-netwerken van overheidsaannemers en onderaannemers.
NIST 800-171 versterkt de veiligheid van de hele federale toeleveringsketen door eisen te definiëren voor aannemers die gevoelige overheidsinformatie verwerken. Het zorgt voor een uniforme basisstandaard voor cyberbeveiliging voor alle aannemers en hun respectievelijke aannemers.
NIST 800-171 vereist dat een aantal instanties en organisaties hieraan voldoen, dit zijn:
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
NIST 800-171 kan in eerste instantie een harde vereiste lijken (dat is het niet – uw organisatie zal het in een mum van tijd onder de knie hebben!), maar er zijn voordelen die een organisatie kan halen uit het implementeren van alle vereiste controles, namelijk:
Gecontroleerde niet-geclassificeerde informatie (CUI) is informatie die is gemaakt of eigendom is van de overheid en die niet is geclassificeerd. Patenten, technische gegevens of informatie met betrekking tot de productie of aanschaf van goederen en diensten kunnen hieronder vallen.
Een CUI is een overkoepelende term die veel verschillende markeringen omvat om informatie te identificeren die niet geclassificeerd is maar beschermd moet worden. Dit zijn:
Hoewel CUI geen geheime informatie is, kan het toch leiden tot negatieve gevolgen voor de nationale veiligheid en de economie. Het niet naleven van de NIST 800-171-vereisten kan leiden tot verlies van contracten, rechtszaken, boetes en reputatieschade. ISMS.online kan u helpen te voldoen aan de NIST SP 800-171-vereisten met een verscheidenheid aan vooraf gebouwde raamwerken die u kunt overnemen, aanpassen of toevoegen, afhankelijk van de unieke behoeften van uw organisatie.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Voor 14 kritieke gebieden moeten compliance- en beveiligingsprotocollen worden opgesteld door aannemers die toegang nodig hebben tot CUI.
De 14 sleutelgebieden worden hieronder toegelicht.
Tweeëntwintig verschillende vereisten helpen daarbij ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot het systeem. Voorzieningen beschermen de stroom van gevoelige informatie binnen het netwerk en bieden begeleiding op netwerkapparaten in het systeem.
Er zijn drie vereisten voor het onderdeel bewustwording en training. Het is vereist dat systeembeheerders en gebruikers zich bewust zijn van beveiligingsrisico's (en de bijbehorende cyberbeveiligingsprocedures) en dat werknemers worden opgeleid om beveiligingsgerelateerde rollen uit te voeren.
Negen eisen focus op auditing en het analyseren van systeem- en gebeurtenislogboeken. Best practice analyse en rapportage kan worden gedaan met een betrouwbare audit Records. Cyberveiligheidsincidenten kunnen worden beperkt door regelmatige beoordeling van beveiligingslogboeken.
De juiste configuratie van hardware, software en apparaten wordt gedekt door negen vereisten. Ongeautoriseerde software-installatie en het beperken van niet-essentiële programma's maken deel uit van deze familie van vereisten.
Het netwerk of de systemen van de organisatie zijn alleen toegankelijk voor gebruikers die daartoe geautoriseerd zijn. Er zijn 11 vereisten om ervoor te zorgen dat het onderscheid tussen bevoorrechte en niet-bevoorrechte accounts wordt weerspiegeld in netwerktoegang.
Er zijn drie vereisten waaraan de organisatie moet voldoen om te kunnen reageren op ernstige cyberaanvallen. Er zijn procedures aanwezig om incidenten binnen de organisatie te detecteren, te beheersen en te herstellen. Het regelmatig testen van capaciteiten maakt deel uit van een goede training en planning.
Er zijn zes eisen voor inzicht in best practice systemen & netwerkonderhoudsprocedures. Omvat het uitvoeren van regulier systeemonderhoud en het ervoor zorgen dat extern onderhoud is geautoriseerd.
Organisaties kunnen de toegang tot gevoelige media controleren met behulp van negen beveiligingsvereisten. Opslag en vernietiging van gevoelige informatie en media in zowel fysieke als digitale formaten zijn vereist door de vereisten.
Wat de personeelsveiligheid en werknemers betreft, moet aan twee veiligheidseisen worden voldaan. De noodzaak van een veiligheidsonderzoek van personen voordat zij toegang krijgen tot systemen die CUI bevatten, wordt in het eerste behandeld. De tweede zorgt ervoor dat CUI beschermd is tijdens de overdracht van personeel, inclusief het retourneren van bouwpassen of hardware.
Zes beveiligingseisen hebben betrekking op het onderwerp van fysieke toegang tot CUI binnen een organisatie, inclusief de controle van de toegang van gasten naar werkplekken. Hardware, apparaten en apparatuur moeten worden beperkt tot bevoegd personeel.
Er zijn twee vereisten voor de uitvoering en analyse van reguliere risicobeoordelingen. Netwerkapparaten en software up-to-date en veilig houden is dat wel een van de dingen die organisaties nodig hebben Te doen. Het is mogelijk om de beveiliging van het hele systeem te verbeteren door kwetsbaarheden te benadrukken en te versterken.
Er zijn vier vereisten voor de vernieuwing van systeemcontroles en beveiligingsplannen. Door regelmatig de beveiligingsbeoordelingsprocedures te herzien, worden kwetsbaarheden onder de aandacht gebracht en verbeterd. Plannen om CUI te beschermen blijven hiermee van kracht.
Er zijn 16 eisen voor het monitoren en beveiligen van systemen. Ongeautoriseerd informatieoverdracht en weigering van netwerkcommunicatieverkeer zijn vereist. Vereisten omvatten best practice cryptografiebeleid.
Er zijn zeven eisen met betrekking tot het monitoren en beveiligen van systemen. Het monitoren van systeembeveiligingswaarschuwingen en het identificeren van ongeoorloofd gebruik van systemen zijn inbegrepen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Naleving van NIST 800-171 kan worden bewezen via een proces van zelfbeoordeling. Het kan ontmoedigend lijken dat er meer dan 100 vereisten zijn waaraan moet worden voldaan om naleving te bereiken.
Uw organisatie moet een eenvoudig proces opstellen om de NIST 800-171-beoordeling uit te voeren:
Naleving van NIST 800-171 zal een kernonderdeel vormen van elk contract tussen de Amerikaanse federale overheid en een aannemer die gecontroleerde, niet-geclassificeerde informatie op hun IT-netwerken verwerkt.
Voor naleving van NIST 800-171 kan het nodig zijn dat u diep in uw netwerken en procedures duikt om de juiste beveiligingsprocedures aan te pakken. Het niet naleven hiervan kan van invloed zijn op de omgang met overheidsinstanties. Als u de deadline mist, loopt u het risico overheidscontracten kwijt te raken.
Het voldoen aan de NIST-normen heeft een aantal voordelen. Het NIST Cybersecurity Framework helpt organisaties hun gevoelige gegevens te beschermen.
Organisaties voldoen aan andere overheids- of brancheregelgeving bij het werken aan NIST-naleving.
Als u een federale instantie bent, kan het voldoen aan NIST 800-171 helpen voldoen aan de vereisten van FISMA (Federal Information Security Management Act).
Als u wilt voldoen aan HIPAA (Health Insurance Portability and Accountability Act) en SOX (Sarbanes-Oxley Act), zal NIST-naleving u helpen naleving van HIPAA en SOX te bereiken, aangezien deze veel van dezelfde pijlers delen.
Houd er rekening mee dat naleving van NIST niet altijd volledige veiligheid garandeert. Het voldoen aan NIST en andere standaarden is slechts de eerste stap. Continue monitoring van kwetsbaarheden in webapplicaties, het implementeren van een alomvattend beveiligingsbeleid, het uitvoeren van voortdurende opleiding van medewerkers om het cyberveiligheidsbewustzijn te bevorderen, en nog veel meer zijn enkele van de taken die moeten worden uitgevoerd om robuuste cyberveiligheid te garanderen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
ISMS.online evolueert voortdurend om te voldoen aan de informatiebeveiliging, privacy- en bedrijfscontinuïteitsbehoeften van organisaties over de hele wereld. Zorg voor naleving van NIST SP 800 171 vereisten eenvoudig met ons platform.
ISMS.online wordt geleverd met een verscheidenheid aan vooraf gebouwde raamwerken u kunt ervoor kiezen om deze over te nemen, aan te passen of uit te breiden, afhankelijk van de unieke behoeften van uw organisatie. Of u kunt eenvoudig uw eigen systeem bouwen voor op maat gemaakte complianceprojecten.
NIST 800-171 en ISO 27001 delen veel overeenkomsten tussen de twee. NIST 800-171 kan op de belangrijkste controlegebieden worden gekoppeld aan de internationale ISO 27001-norm, waaronder:
ISMS.online-nalevingssoftware kan u helpen NIST SP 800-171-controles toe te wijzen aan relevante ISO/IEC 27001-controles. We hebben een reeks intuïtieve ontwerpen ontwikkeld functies en toolsets binnen ons platform om u tijd te besparen en ervoor te zorgen dat u een ISMS bouwt dat is echt duurzaam.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Download onze gratis gids voor snelle en duurzame certificering
De NIST 800-171-zelfbeoordeling is een ingewikkelde taak omdat alle elementen van de beveiligingssystemen en het netwerk van een organisatie worden gecontroleerd. Voorbereiding is de sleutel.
Vijf kernstappen ter voorbereiding op uw NIST-beoordeling:
NIST SP 800-171 werd voor het eerst gepubliceerd in juni 2015 en is sindsdien verschillende keren bijgewerkt.
NIST 800-171 heeft regelmatig updates ontvangen om op de hoogte te blijven van opkomende cyberbedreigingen en technologieën. De nieuwste versie van 800-171, genaamd revisie 2, is in februari 2020 uitgebracht.
Deze publicaties hebben hetzelfde doel: gegevens beveiligen, maar ze hebben verschillende richtlijnen voor verschillende gebieden om dat te bereiken.
De maatregelen die getroffen moeten worden om ervoor te zorgen dat CUI op de juiste manier wordt afgehandeld, vormen de focus van NIST 800-171, terwijl NIST 800-53 zich richt op het opslaan van geclassificeerde gegevens en welke beveiligingsmaatregelen moeten worden genomen om ervoor te zorgen dat gegevens worden beschermd.
