Jak zachować zgodność z NIST SP 800-171 wersja 3

Narodowy Instytut Standaryzacji i Technologii (NIST) opracował ramy NIST 800-171 w celu określenia wytycznych i wymagań bezpieczeństwa w zakresie ochrony kontrolowanych informacji jawnych (CUI). NIST po raz pierwszy stworzył ramy w czerwcu 2015 r., ale od tego czasu kilkakrotnie zmieniał publikację, ostatnio w listopadzie 2023 r.

Najnowsza wersja NIST, znana jako NIST 800-171 Revision 3, zawiera znaczące aktualizacje rodzin kontrolek publikacji, mechanizmów kontroli zabezpieczeń (dawniej NFO), kryteriów dostosowywania i parametrów zdefiniowanych przez organizację (ODP). Poprawka 3 wymaga w szczególności od organizacji przestrzegania rygorystycznych wymagań dotyczących zarządzania ryzykiem stron trzecich (TPRM), w tym wdrożenia przepływów pracy oceny ryzyka, ciągłego monitorowania i dodatkowych strategii związanych z zarządzaniem ryzykiem w łańcuchu dostaw (SCRM).

Czytaj dalej, aby dowiedzieć się, co Twoja organizacja musi zrobić, aby zachować zgodność z najnowszą wersją NIST 800-171, i dowiedzieć się, jak UpGuard może pomóc Ci w drodze do uzyskania zgodności z NIST.

Odkryj #1 na świecie rozwiązanie do zarządzania ryzykiem innych firm: UpGuard Vendor Risk >

Co to jest specjalna publikacja NIST 800-171?

Oś czasu NIST 800-171

Blog UpGuard poświęcony cyberbezpieczeństwu zawiera obszerny przegląd NIST SP 800-171 oraz bezpłatną listę kontrolną zgodności z NIST 800-171. Zapoznanie się z tymi zasobami jest najlepszym sposobem na zapoznanie się ze szczegółami publikacji, ponieważ w tym artykule ściśle omówiono aktualizacje zawarte w wersji 3 (a także sposób, w jaki te aktualizacje wpływają na organizacje, które wcześniej były zgodne z NIST 800-171 Rev. 2).

Oto krótkie przypomnienie krytycznych komponentów NIST 800-171:

  • Koncentruje się na ochronie CUI w systemach i organizacjach niefederalnych
  • Zapewnia agencjom federalnym podstawowe strategie w celu ochrony poufności CUI
  • Obejmuje 17 rodzin kontrolnych w zakresie takich tematów, jak kontrola dostępu oraz identyfikacja i uwierzytelnianie
  • Wszyscy kontrahenci Departamentu Obrony (DoD) muszą przestrzegać NIST (DFARS 252.204-7012)
  • Często porównywany do certyfikacji modelu dojrzałości cyberbezpieczeństwa (CMMC)

Dlaczego NIST SP 800-171 wersja 3 jest ważna?

Porównanie NIST 800-171 Rev.2 i Rev.3

Najnowsza wersja NIST SP 800-171 jest krytyczna, ponieważ nakłada rygorystyczne wymagania TPRM na wszystkich wykonawców rządowych i powiązanych dostawców, którzy mają do czynienia z informacjami federalnymi. W sumie wersja 3 publikacji zawiera 17 nowych wymagań, które wcześniej nie zostały uwzględnione w wersji 2.

NIST stworzył kilka dokumentów uzupełniających towarzyszących publikacji, w tym szczegółową analizę NIST 800-171, która śledzi wszystkie istotne zmiany (w tym formatowanie sekcji dyskusji i zmiany w metodologii) dokonane między Rev. 2 a Rev. 3. oraz prototypową nakładkę CUI.

Kiedy NIST SP 800-171R3 zostanie sfinalizowany?

Organizacje, których dotyczy najnowsza wersja NIST 800-171, muszą działać szybko, aby wdrożyć rozwiązania, zanim NIST sfinalizuje dokument i wymagana będzie zgodność. NIST zamierza ukończyć dokument w pierwszej połowie 2024 r., natomiast instytut przeprowadzi formalne oceny i audyty na początku 2025 r.

10 maja 2023 r. NIST opublikował wstępny publiczny projekt (IPD) wersji Rev.3. Po opublikowaniu IPD instytut przeprowadził publiczny okres zgłaszania uwag w celu przedstawienia zmian przed opublikowaniem ostatecznego publicznego projektu (FPD w listopadzie 2023 r.

Jakie są wymagania TPRM NIST 800-171 Rev. 3?

Wymagania TPRM NIST 800-171 Rev. 3 są ogromne i mogą stanowić wyzwanie nawet dla najlepiej przygotowanych organizacji. Jeśli Twoja organizacja stara się rozszerzyć swój program zarządzania ryzykiem, oto najlepszy plan działania:

Zacznij od zrozumienia najnowszych wymagań NIST, a następnie oceń procesy TPRM pod kątem tych wymagań, aby zidentyfikować wszelkie luki w zgodności w programie. Na koniec zajmij się tymi lukami i zaimplementuj strategie, aby podnieść poziom swojego programu TPRM i w pełni przestrzegać najnowszych specyfikacji NIST 800-171.

Dowiedz się, jak UpGuard pomaga organizacjom podnieść poziom ich programów TPRM>

Do najbardziej krytycznych wymagań TPRM NIST 800-171 Rev. 3 należą:

  • 3.11.1 — Ocena ryzyka: Wymaga od organizacji oceny ryzyka związanego z przetwarzaniem, przechowywaniem lub przesyłaniem CUI oraz okresowego aktualizowania ocen ryzyka
  • 3.11.2 - Monitorowanie i skanowanie luk w zabezpieczeniach: Wymaga od organizacji monitorowania i skanowania w poszukiwaniu luk w zabezpieczeniach oraz korygowania zidentyfikowanych luk w zabezpieczeniach
  • 3.12.2 - Plan działania i kamienie milowe: Wymaga od organizacji stworzenia planu działania w celu skorygowania niedociągnięć i wyeliminowania luk w zabezpieczeniach
  • 3.12.3 - Ciągłe monitorowanie: Wymaga od organizacji zainstalowania ciągłego monitorowania i ocen bezpieczeństwa w celu zabezpieczenia systemu

3.11.1 Ocena ryzyka

Wymagania NIST 800-171 dotyczące oceny ryzyka sprawiają, że organizacje, które przetwarzają, przechowują lub przesyłają CUI, muszą opracować przepływy pracy w celu oceny ryzyka związanego z ich działalnością. Oceny ryzyka organizacji muszą uwzględniać ryzyko związane z dostawami i stronami trzecimi, w tym ryzyko związane z łańcuchem dostaw i zgodnością dostawców. Organizacja jest również odpowiedzialna za okresowe aktualizowanie tych ocen ryzyka, aby nadążyć za zmianami w systemie informatycznym i rozszerzeniami łańcucha dostaw.

UpGuard Vendor Risk pomogło setkom organizacji usprawnić proces oceny ryzyka dostawców. Nasze rozwiązanie zapewnia dostęp do niestandardowych ocen ryzyka dostosowanych do relacji organizacji z dostawcami i ekspozycji na konkretne ryzyko.

Korzystając z narzędzia UpGuard Vendor Risk w celu podniesienia poziomu procesu oceny bezpieczeństwa dostawców, organizacja może:

  • Wyeliminuj potrzebę długich, podatnych na błędy ocen opartych na arkuszach kalkulacyjnych
  • Gromadzenie dowodów i korygowanie lub zrzekanie się ryzyka w tym samym, łatwym w użyciu przepływie pracy
  • Skrócenie czasu potrzebnego na ocenę nowego lub istniejącego dostawcy
  • Zgodność z wymaganiami oceny ryzyka NIST 800-171

3.11.2 Monitorowanie i skanowanie luk w zabezpieczeniach

NIST 800-171 wymaga teraz od odpowiednich organizacji zainstalowania w swoim programie TPRM strategii ciągłego monitorowania luk w zabezpieczeniach i skanowania. Wymagania te zmuszają również organizacje do szybkiego korygowania znanych luk w zabezpieczeniach i aktualizowania zakresu systemu monitorowania luk w zabezpieczeniach w celu skanowania w poszukiwaniu nowych luk w zabezpieczeniach w miarę ich identyfikowania i zgłaszania.

Rozwiązania UpGuard w zakresie cyberbezpieczeństwa zapewniają organizacjom spokój ducha, monitorując ich zewnętrzne i zewnętrzne powierzchnie ataków pod kątem luk w zabezpieczeniach. Organizacje, które wykorzystują UpGuard do monitorowania luk w zabezpieczeniach, będą:

  • Zyskaj zaufanie do swojego programu cyberbezpieczeństwa
  • Zapewnij ciągłe monitorowanie zasobów cyfrowych i dostawców zewnętrznych
  • Uzyskaj pełny wgląd w zasoby zewnętrzne, znane i nieznane
  • Chroń reputację swojej marki
  • Zgodność z wymaganiami NIST 800-171 dotyczącymi monitorowania luk w zabezpieczeniach

3.12.2 Plan działania i kamienie milowe

Najnowsza wersja NIST 800-171 wymaga od wykonawców rządowych opracowania przepływów pracy związanych z korygowaniem ryzyka i zarządzaniem lukami w zabezpieczeniach. Mówiąc dokładniej, organizacje muszą stworzyć plan działania i kamienie milowe dla swojego systemu wewnętrznego, który dokumentuje działania naprawcze i wyeliminowane luki w zabezpieczeniach. Organizacje muszą również aktualizować ten plan o odpowiednie wyniki ocen zabezpieczeń, niezależnych audytów lub działań monitorujących.

UpGuard Vendor Risk eliminuje ból związany z gonieniem dostawców w celu zaradzenia ryzyku, przygotowując niestandardowe plany naprawcze w oparciu o odpowiednie oceny ryzyka dostawców i najlepsze praktyki branżowe. Biblioteka raportów UpGuard ułatwia również organizacjom informowanie interesariuszy za pomocą łatwych w użyciu, szybkich i konfigurowalnych raportów.

Korzystając z rozwiązań naprawczych i raportowania UpGuard, Twoja organizacja będzie mogła:

  • Oszczędzaj czas i efektywniej wdrażaj zasoby zabezpieczeń
  • Śledź proces korygowania i rejestruj, kiedy dostawcy kończą korygowanie
  • Opracowywanie niestandardowych raportów dotyczących zgodności i korygowania
  • Popraw swój stan zabezpieczeń i ocenę
  • Zgodność z wymaganiami planu działania NIST 800-171

3.12.3 Ciągłe monitorowanie

Organizacje są teraz zobowiązane do instalowania strategii ciągłego monitorowania w celu osiągnięcia zgodności z NIST 800-171. Strategie te muszą obejmować bieżące procesy monitorowania i odpowiednie oceny bezpieczeństwa.

>

UpGuard umożliwia organizacjom przejęcie kontroli nad ich stanem bezpieczeństwa poprzez identyfikowanie luk w zabezpieczeniach, wykrywanie zmian i odkrywanie potencjalnych zagrożeń i luk w zabezpieczeniach 24 godziny na dobę, 7 dni w tygodniu.

Korzystając z narzędzia UpGuard do zarządzania modułem TPRM i obszarem podatnym na ataki, organizacja będzie mogła:

  • Stałe monitorowanie i zarządzanie narażeniem w całym łańcuchu dostaw
  • Proaktywnie identyfikuj luki w zabezpieczeniach dostawców i ustalaj ich priorytety w celu ich usunięcia
  • Podejmuj świadome decyzje dotyczące ryzyka w oparciu o dokładne informacje w czasie rzeczywistym
  • Zgodność z wymaganiami ciągłego monitorowania NIST 800-171

UpGuard oferuje kompleksowe rozwiązania w zakresie cyberbezpieczeństwa, które umożliwiają organizacjom podniesienie poziomu programów i funkcji TPRM, ASM i SCRM oraz osiągnięcie zgodności z istotnymi ramami, w tym NIST SP 800-171.

Zestaw narzędzi UpGuard zawiera następujące funkcje i rozwiązania:

  • Ciągłe monitorowanie: otrzymuj aktualizacje w czasie rzeczywistym i zarządzaj narażeniem na całej powierzchni ataku, w tym domenami, adresami IP, aplikacjami, punktami końcowymi, wtyczkami i zaporami
  • Zmniejszanie obszaru podatnego na ataki: Zmniejsz obszar podatny na ataki, wykrywając możliwe do wykorzystania luki w zabezpieczeniach i domeny zagrożone typosquattingiem
  • Współdzielony profil zabezpieczeń: Utwórz profil udostępniony przez funkcję UpGuard, aby wyeliminować kłopoty z odpowiadaniem na kwestionariusze zabezpieczeń
  • Przepływy pracy i zwolnienia: Usprawnij przepływy pracy korygowania, szybko zrezygnuj z ryzyka i reaguj na zapytania dotyczące zabezpieczeń
  • Raportowanie i szczegółowe informacje: uzyskuj dostęp do raportów dostosowanych do potrzeb interesariuszy, urzędników ds. zamówień i kadry kierowniczej oraz wyświetlaj informacje o zewnętrznej powierzchni ataku
  • Kwestionariusze bezpieczeństwa dostawców: Zautomatyzuj kwestionariusze bezpieczeństwa, aby uzyskać głębszy wgląd w relacje z dostawcami i stan zabezpieczeń
  • Oceny bezpieczeństwa: Oceń stan zabezpieczeń poszczególnych dostawców, korzystając z naszych opartych na danych, obiektywnych i dynamicznych ocen zabezpieczeń
  • Oceny ryzyka: Usprawnij przepływy pracy oceny ryzyka, zbieraj dowody i szybko żądaj środków zaradczych

Powiązane artykuły