NIST SP 800-171 décrit les normes et pratiques de sécurité pour les organisations non fédérales qui gèrent CUI (Informations Non Classifiées Contrôlées) sur leurs réseaux.
Le NIST 800-171 a reçu des mises à jour régulières en raison des cybermenaces persistantes et des technologies en constante évolution. La version la plus récente, appelée révision 2, a été publiée en février 2020.
NIST est une agence fédérale non réglementaire chargée d'établir des lignes directrices qui s'appliquent aux agences fédérales sur de nombreux sujets, comme la cybersécurité.
Il est crucial d’atteindre la conformité NIST SP 800 171. Si vous souhaitez traiter avec des agences gouvernementales, c'est un exigence. ISMS.online propose des solutions logicielles de conformité NIST SP 800 171 qui peuvent être adaptées aux besoins de votre organisation.
La publication spéciale 800-171 du National Institute of Standards & Technology exige que toute organisation qui traite ou stocke des informations sensibles et non classifiées pour le gouvernement américain se conforme à la norme de cybersécurité.
NIST 800-171 est conçu pour protéger le CUI dans les réseaux informatiques des entrepreneurs et sous-traitants gouvernementaux.
NIST 800-171 renforce la sécurité de l'ensemble de la chaîne d'approvisionnement fédérale en définissant des exigences pour les sous-traitants qui traitent des informations gouvernementales sensibles. Il garantit une norme de cybersécurité de base unifiée pour tous les entrepreneurs et leurs sous-traitants respectifs.
Le NIST 800-171 exige que quelques agences et organisations s'y conforment, à savoir :
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.
Le NIST 800-171 peut sembler une exigence stricte au premier abord (ce n'est pas le cas – votre organisation le maîtrisera en un rien de temps !), mais une organisation peut tirer des avantages de la mise en œuvre de tous les contrôles requis, à savoir :
Les informations contrôlées non classifiées (CUI) sont des informations créées ou détenues par le gouvernement qui ne sont pas classifiées. Les brevets, les données techniques ou les informations relatives à la fabrication ou à l'acquisition de biens et de services peuvent être inclus.
Un CUI est un terme générique qui couvre de nombreux marquages différents pour identifier les informations qui ne sont pas classifiées mais qui doivent être protégées. Ceux-ci sont:
Bien que les CUI ne soient pas des informations classifiées, elles peuvent néanmoins avoir des conséquences négatives sur la sécurité nationale et sur l’économie. Le non-respect des exigences NIST 800-171 peut entraîner des pertes de contrats, des poursuites, des amendes et une atteinte à la réputation. ISMS.online peut vous aider à vous conformer aux exigences NIST SP 800-171 avec une variété de cadres prédéfinis que vous pouvez choisir d'adopter, d'adapter ou d'ajouter en fonction de la situation. besoins uniques de votre organisation.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Des protocoles de conformité et de sécurité doivent être créés pour 14 domaines critiques par les entrepreneurs qui ont besoin d’accéder à CUI.
Les 14 domaines clés sont expliqués ci-dessous.
Vingt-deux exigences différentes contribuent à garantir que seuls les utilisateurs autorisés peuvent accéder au système. Les dispositions protègent le flux d'informations sensibles au sein du réseau et fournissent des conseils sur les périphériques réseau du système.
Il y a trois exigences pour la section sensibilisation et formation. C'est il est nécessaire que les administrateurs système et les utilisateurs soient conscients des risques de sécurité (et leurs procédures de cybersécurité associées) et que les employés sont formés pour exercer des fonctions liées à la sécurité.
Neuf exigences se concentrer sur l'audit et analyser les journaux du système et des événements. Analyse des meilleures pratiques et le reporting peut être effectué avec un audit fiable Records. Les incidents de cybersécurité peuvent être atténués par un examen régulier des journaux de sécurité.
La configuration appropriée du matériel, des logiciels et des appareils est couverte par neuf exigences. L'installation de logiciels non autorisés et la restriction des programmes non essentiels font partie de cette famille d'exigences.
Le réseau ou les systèmes de l'organisation ne sont accessibles qu'aux utilisateurs autorisés à s'y trouver. Il existe 11 exigences pour garantir que la distinction entre les comptes privilégiés et non privilégiés se reflètent dans l'accès au réseau.
L’organisation doit répondre à trois exigences graves en cas de cyberattaques graves. Des procédures sont en place pour détecter, contenir et récupérer les incidents au sein de l'organisation. Des tests réguliers des capacités font partie d’une formation et d’une planification appropriées.
Il existe six exigences pour avoir un aperçu des systèmes et des meilleures pratiques procédures de maintenance du réseau. Comprend l’exécution de la maintenance régulière du système et la garantie que la maintenance externe est autorisée.
Les organisations peuvent contrôler l'accès aux médias sensibles à l'aide de neuf exigences de sécurité. Stockage et destruction d’informations et de supports sensibles dans des formats physiques et numériques sont requis par les exigences.
Concernant la sécurité du personnel et des salariés, deux exigences de sécurité doivent être remplies. La nécessité d’un contrôle de sécurité des individus avant d’accéder aux systèmes contenant du CUI est abordée dans le premier. La seconde s'assure que CUI est protégé lors du transfert du personnel, y compris le retour des laissez-passer ou du matériel.
Six exigences de sécurité traitent du sujet de l'accès physique aux CUI au sein d'une organisation, dont contrôle de l'accès des invités aux chantiers. Le matériel, les appareils et les équipements doivent être limités au personnel autorisé.
Il existe deux exigences pour la réalisation et l’analyse des évaluations régulières des risques. Garder les appareils et logiciels réseau à jour et sécurisés est une des choses dont les organisations ont besoin faire. Il est possible d'améliorer la sécurité de l'ensemble du système en mettant en évidence et en renforçant les vulnérabilités.
Il existe quatre exigences pour le renouvellement des contrôles du système et des plans de sécurité. En examinant régulièrement les procédures d'évaluation de la sécurité, les vulnérabilités sont mises en évidence et améliorées. Les plans visant à sauvegarder le CUI restent efficaces.
Il existe 16 exigences pour la surveillance et la protection des systèmes. Non autorisé transfert d'information et le refus du trafic de communication réseau sont nécessaires. Les exigences incluent les meilleures pratiques en matière de politiques de cryptographie.
Il existe sept exigences relatives à la surveillance et à la protection des systèmes. La surveillance des alertes de sécurité du système et l'identification de l'utilisation non autorisée des systèmes sont incluses.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
La conformité à la norme NIST 800-171 peut être prouvée grâce à un processus d'auto-évaluation. Il peut sembler décourageant de devoir respecter plus de 100 exigences pour être conforme.
Votre organisation doit définir un processus simple pour exécuter l'évaluation NIST 800-171 :
La conformité à la norme NIST 800-171 sera au cœur de tout contrat entre le gouvernement fédéral américain et un sous-traitant qui gère des informations contrôlées non classifiées sur leurs réseaux informatiques.
La conformité NIST 800-171 peut nécessiter une analyse approfondie de vos réseaux et procédures pour aborder les procédures de sécurité appropriées. Le non-respect de ces règles pourrait affecter les relations avec les agences gouvernementales. Si vous ne respectez pas la date limite, vous risquez de perdre les contrats gouvernementaux.
Se conformer aux normes NIST présente quelques avantages. Le cadre de cybersécurité du NIST aide les organisations à protéger leurs données sensibles.
Les organisations se conforment à d’autres réglementations gouvernementales ou industrielles lorsque vous travaillez pour la conformité NIST.
Si vous êtes une agence fédérale, la conformité NIST 800-171 peut vous aider à répondre aux exigences de la FISMA (Federal Information Security Management Act).
Si vous souhaitez vous conformer à la HIPAA (Health Insurance Portability and Accountability Act) et à la SOX (Sarbanes-Oxley Act), la conformité au NIST vous aidera à vous conformer à la HIPAA et à la SOX, car elles partagent bon nombre des mêmes piliers.
N'oubliez pas que la conformité NIST ne garantit pas toujours une sécurité totale. Se conformer aux normes NIST et autres n'est que la première étape. Surveillance continue des vulnérabilités des applications Web, mettre en œuvre des politiques de sécurité globales, en organisant une formation continue des employés pour promouvoir la sensibilisation à la cybersécurité, et d'autres tâches doivent être accomplies pour garantir une cybersécurité solide.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Si vous n'utilisez pas ISMS.online, vous vous rendez la vie plus difficile qu'elle ne devrait l'être !
ISMS.online évolue continuellement pour répondre aux exigences de sécurité de l'information, de confidentialité et de continuité des activités des organisations du monde entier. Atteindre la conformité NIST SP 800 171 exigences facilement avec notre plateforme.
ISMS.online est livré avec une variété de frameworks prédéfinis vous pouvez choisir d’adopter, d’adapter ou d’ajouter des éléments en fonction des besoins uniques de votre organisation. Ou vous pouvez facilement créer le vôtre pour des projets de conformité sur mesure.
NIST 800-171 et ISO 27001 partagent de nombreuses similitudes entre les deux. Le NIST 800-171 peut être mappé à la norme internationale ISO 27001 dans les domaines de contrôle clés, notamment :
Le logiciel de conformité ISMS.online peut vous aider à mapper les contrôles NIST SP 800-171 aux contrôles ISO/IEC 27001 pertinents. Nous avons développé une série de fonctions intuitives fonctionnalités et ensembles d'outils au sein de notre plate-forme pour vous faire gagner du temps et vous assurer de créer un SMSI c'est vraiment durable.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Téléchargez notre guide gratuit pour une certification rapide et durable
L'auto-évaluation NIST 800-171 est une tâche compliquée car elle auditera tous les éléments des systèmes et du réseau de sécurité d'une organisation. La préparation est la clé.
Cinq étapes essentielles pour préparer votre évaluation NIST :
NIST SP 800-171 a été publié pour la première fois en juin 2015 et a été mis à jour plusieurs fois depuis.
Le NIST 800-171 a reçu des mises à jour régulières pour suivre les cybermenaces et technologies émergentes. La dernière version du 800-171, appelée révision 2, a été publiée en février 2020.
Ces publications ont le même objectif de garantir la sécurité des données, mais elles ont des directives différentes pour différents domaines pour y parvenir.
Les mesures qui devraient être en place pour garantir que les CUI sont traitées de manière appropriée sont au centre du NIST 800-171, tandis que le NIST 800-53 se concentre sur le stockage des données classifiées et sur les mesures de sécurité à mettre en place pour garantir la protection des données.