Библиотека документов веб-сайта NIST может быть пугающей и, по-видимому, бесконечной с точки зрения различных фреймворков, элементов управления и требований, которые она предоставляет. В частности, серия 800, хотя и важна и, во многих случаях, необходима, также сложна для проникновения, если у вас еще нет некоторых знаний о том, что она содержит. Это может стать проблемой для организаций, работающих с цепочкой поставок DoD, особенно тех, которые работают с секретными или конфиденциальными материалами. 

В этой статье будет рассмотрена одна из этих публикаций: NIST 800-171. Этот документ определяет безопасность для определенной формы правительственной информации, которую многие подрядчики в исполнительных или оборонных департаментах: CUI. Хотя этот документ важен, он также информирует несколько важных структур безопасности, а именно CMMC.

Что такое NIST 800-171?

Национальный институт стандартов в области технологий (NIST) играет важную роль в обеспечении соответствия. Эта организация регулярно публикует документы «специальных публикаций», в которых рассматриваются основные вопросы кибербезопасности в таких областях, как облачные вычисления, контроль ИТ и конфиденциальные правительственные данные. 

Одной из наиболее известных линий специальных публикаций является серия NIST 800. Эта коллекция документов определяет руководящие принципы, правила и протоколы, используемые федеральным правительством для информирования, если не прямой формы, стандартов соответствия. Например, НИСТ 800-53 иллюстрирует длинный список мер безопасности, используемых в федеральных стандартах соответствия, таких как FedRAMP и НИСТ 800-30 подробно описаны политики и процедуры, используемые в рамках Системы управления рисками (RMF). 

Еще одна важная публикация — НИСТ 800-171. Этот документ предоставляет государственным учреждениям и их подрядчикам рекомендации по защите так называемой контролируемой несекретной информации (CUI). 

Что такое CUI? CUI — это информация, созданная в рамках правительственных операций, считающихся конфиденциальными и, как таковые, требующими особого контроля и защиты от несанкционированного доступа или кражи. Более конкретно, CUI — это важная, но несекретная информация, циркулирующая во многих федеральных информационных системах, в первую очередь связанных с Министерством обороны и Исполнительной властью. 

Зачем нужен особый набор инструкций для этого типа данных? Это не секретно, это не коммерческая или корпоративная тайна, и тем не менее, правительство определило, что эта информация требует особой безопасности в отношении нее. 

Реальность CUI заключается в том, что в ходе операций Министерства обороны и Исполнительного комитета было установлено, что свободный доступ к критически важной информации, не относящейся к секретной, может по-прежнему существенно затруднять деятельность определенных агентств, если не обеспечивать ее защиту и мониторинг, а также ограничивать обороноспособность вооруженных сил США. Указ 13556 «Контролируемая несекретная информация»  утверждает, что основная проблема управления конфиденциальной информацией, такой как CUI, заключается в том, что (в то время) большинство агентств использовали специальные фреймворки безопасности для защиты своих систем. Кроме того, поскольку так много информации перемещалось через так много разных систем, было невозможно предсказать, какие данные могли потенциально попасть в чужие руки. 

В соответствии с указом президента NIST был разработан и опубликован в SP 800-171 в 2015 году. В настоящее время, во второй редакции, этот документ описывает требования по защите CUI в ИТ-системах. Он черпает свои требования из двух источников:

• ФИПС 200: FIPS 200 определяет основные требования безопасности и контроля для федеральных агентств, как это сформулировано в Законе о реформе управления информационными технологиями 1996 года (FISMA). Согласно NIST 800-171, FIPS 200 считаются основной или основные требования к обработке CUI.
• НИСТ 800-53: 800-53 — это дополнительный набор элементов управления, призванный обеспечить гибкую структуру для нескольких приложений в нескольких приложениях в федеральном правительстве. В соответствии с 800-171 элементы управления, взятые из 800-53, считаются получены требования, которые дополняют их основные аналоги. 

Элементы управления попадают в несколько семейств, которые охватывают такие области, как контроль доступа, реагирование на инциденты, оценка рисков, оценка безопасности и защита носителей. В целом, есть несколько перекрывающихся функций, которые решают элементы управления:

• Информационная безопасность: В основе NIST 800-171 лежат конкретные элементы управления безопасностью для защиты CUI. Это включает минимальные стандарты шифрования, стандарты контроля доступа и IAM, протоколы и методы сетевой безопасности, а также оценку безопасности. 
• Управление рисками: Большинство фреймворков кибербезопасности обращаются к подходам, основанным на рисках, чтобы помочь информировать о принятии контроля и непрерывном мониторинге. Оценка, управление и документирование риска являются важным компонентом этого подхода. 
• Физическая и административная безопасность: NIST 800-171 рассматривает локальную безопасность, такую ​​как защита физических местоположений данных и рабочих станций, обучение ваших сотрудников требованиям соответствия и поддержание политик для управления, документирования и устранения этих угроз. Это включает защиту носителей, где может храниться CUI, включая способы защиты и уничтожения этих носителей. 
• Целостность и аудит: Регулярные проверки для определения соответствия, целостности системы и состояния риска имеют решающее значение для хранения CUI. В NIST 800-171 подробно описаны процедуры для успешного управления этими усилиями. 

NIST 800-171 и CMMC

Одной из последних структур обеспечения соответствия требованиям безопасности в федеральной работе является Сертификация модели зрелости кибербезопасности или КММК. CMMC — это структура, созданная для централизации и оптимизации безопасности и соответствия требованиям CUI в цепочке поставок Министерства обороны США. КММК определяет несколько уровней зрелости, которые относятся к повышению уровня соответствия. Более конкретно, CMMC определяет соответствие на основе уровней кибергигиены и возможностей, которые способствуют общей стабильности и надежности ваших систем. 

Хотя требуемый уровень зрелости CMMC будет частично определяться запросом предложений или требованиями агентства, существуют неизменные требования:

• Любой подрядчик или агентство, занимающееся обработкой информации о федеральных контрактах (FCI) необходимо иметь как минимум сертификат CMMC уровня 1. 
• Любой подрядчик или агентство, занимающееся CUI необходимо иметь как минимум сертификат CMMC уровня 2. 

Помимо этого, уровень 3 CMMC определяет требования к обработке данных с учетом передовой оптимизированной инфраструктуры безопасности, способной противодействовать или противостоять современным постоянным угрозам (APT). 

Однако вся структура CMMC сосредоточена на одной основной цели: подготовке и сертификации организаций для управления КПИ. 

Подготовьтесь к безопасности CMMC и CUI с Lazarus Alliance

Если вы являетесь организацией, которая планирует работать с агентствами в цепочке поставок DoD или любой области, где CUI будет частью ваших проектов, то понимание NIST 800-171 и CMMC является обязательным. Однако вам не нужно самостоятельно понимать эти требования. Наши эксперты могут использовать десятилетия опыта в федеральном и коммерческом консультировании и аудите соответствия, чтобы оптимизировать вашу подготовку и сертификацию, чтобы вы могли сосредоточиться на расширении своего бизнеса. 

Готовы ли вы понять требования CUI и CMMC?

Позвоните в Lazarus Alliance по телефону 1-888-896-7580 или заполните эту форму.