NIST SP 800-171 אַוטליינז זיכערהייט סטאַנדאַרדס און פּראַקטיסיז פֿאַר ניט-פעדעראַל אָרגאַנאַזיישאַנז וואָס שעפּן CUI (קאַנטראָולד אַנקלאַססיפיעד אינפֿאָרמאַציע) אויף זייער נעטוואָרקס.
NIST 800-171 האט באקומען רעגולער דערהייַנטיקונגען רעכט צו פּערסיסטענט סייבער טרעץ און טאָמיד-טשאַנגינג טעקנאַלאַדזשיז. די לעצטע ווערסיע, גערופֿן רעוויזיע 2, איז באפרייט אין פעברואר 2020.
ניסט איז אַ ניט-רעגולאַטאָרי פעדעראלע אַגענטור פאַראַנטוואָרטלעך פֿאַר גרינדן גיידליינז וואָס אַפּלייז צו פעדעראלע יידזשאַנסיז אויף פילע טעמעס, אַזאַ ווי סייבער זיכערהייט.
דערגרייכן NIST SP 800 171 העסקעם איז קריטיש. אויב איר ווילן צו האַנדלען מיט רעגירונג יידזשאַנסיז, עס איז אַ פאָדערונג. ISMS.online אָפפערס NIST SP 800 171 העסקעם ווייכווארג סאַלושאַנז וואָס קענען זיין טיילערד צו די באדערפענישן פון דיין אָרגאַניזאַציע.
נאַציאָנאַלער אינסטיטוט פון סטאַנדאַרדס און טעכנאָלאָגיע ספּעציעלע ויסגאַבע 800-171 ריקווייערז קיין אָרגאַניזאַציע וואָס פּראַסעסאַז אָדער סטאָרז שפּירעוודיק, אַנקלאַססיפיעד אינפֿאָרמאַציע פֿאַר די יו.
NIST 800-171 איז דיזיינד צו באַוואָרענען CUI אין די IT נעטוואָרקס פון רעגירונג קאָנטראַקטאָרס און סאַבקאַנטראַקטערז.
NIST 800-171 ריינפאָרסיז די זיכערהייט פון די גאנצע פעדעראלע צושטעלן קייט דורך דיפיינינג רעקווירעמענץ פֿאַר קאָנטראַקטאָרס וואָס שעפּן שפּירעוודיק רעגירונג אינפֿאָרמאַציע. עס ינשורז אַ יונאַפייד באַסעלינע סייבער זיכערהייט סטאַנדאַרט פֿאַר אַלע קאָנטראַקטאָרס און זייער ריספּעקטיוו קאָנטראַקטאָרס.
NIST 800-171 ריקווייערז עטלעכע יידזשאַנסיז און אָרגאַנאַזיישאַנז צו נאָכקומען מיט עס, די זענען:
מיר זענען אַזוי צופרידן אַז מיר געפֿונען דעם לייזונג, עס געמאכט אַלץ פּאַסיק צוזאַמען.
NIST 800-171 קען ויסקומען ווי אַ שווער פאָדערונג אין ערשטער (עס איז נישט - דיין אָרגאַניזאַציע וועט בעל עס אין קיין צייט!), אָבער עס זענען בענעפיץ אַז אַן אָרגאַניזאַציע קענען באַקומען פון ימפּלאַמענינג אַלע די פארלאנגט קאָנטראָלס, דאָס זענען:
קאַנטראָולד אַנקלאַססיפיעד אינפֿאָרמאַציע (CUI) איז אינפֿאָרמאַציע באשאפן אָדער אָונד דורך די רעגירונג וואָס איז נישט קלאַסאַפייד. פּאַטענץ, טעכניש דאַטן אָדער אינפֿאָרמאַציע רילייטינג צו מאַנופאַקטורינג אָדער אַקוויירינג סכוירע און באַדינונגס קען זיין אַרייַנגערעכנט.
א CUI איז אַ שירעם טערמין וואָס קאָווערס פילע פאַרשידענע מאַרקינגז צו ידענטיפיצירן אינפֿאָרמאַציע וואָס איז נישט קלאַסאַפייד אָבער זאָל זיין פּראָטעקטעד. די זענען:
כאָטש CUI איז נישט קלאַסאַפייד אינפֿאָרמאַציע, עס קען נאָך פירן צו נעגאַטיוו נאציאנאלע זיכערהייט און עקאָנאָמיש קאַנסאַקווענסאַז. דורכפאַל צו נאָכקומען מיט NIST 800-171 רעקווירעמענץ קענען פירן צו אָנווער פון קאַנטראַקץ, לאָסוץ, פינעס און רעפּיאַטיישאַנאַל שעדיקן. ISMS.online קענען העלפֿן איר נאָכקומען מיט NIST SP 800-171 רעקווירעמענץ מיט אַ פאַרשיידנקייַט פון פאַר-געבויט פראַמעוואָרקס איר קענען קלייַבן צו אַדאַפּט, אַדאַפּט אָדער לייגן צו דיפּענדינג אויף די יינציק באדערפענישן פון דיין אָרגאַניזאַציע.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
קאָמפּליאַנסע און זיכערהייט פּראָטאָקאָלס מוזן זיין באשאפן פֿאַר 14 קריטיש געביטן דורך קאָנטראַקטאָרס וואָס דאַרפֿן אַקסעס צו CUI.
די 14 שליסל געביטן זענען דערקלערט אונטן.
צוואַנציק-צוויי פאַרשידענע באדערפענישן העלפן צו מאַכן זיכער אַז בלויז אָטערייזד ניצערס קענען צוטריט די סיסטעם. פּראַוויזשאַנז באַשיצן די שטראָם פון שפּירעוודיק אינפֿאָרמאַציע אין די נעץ און צושטעלן גיידאַנס אויף נעץ דעוויסעס אין די סיסטעם.
עס זענען דריי רעקווירעמענץ פֿאַר די וויסיקייַט און טריינינג אָפּטיילונג. עס איז פארלאנגט אַז סיסטעם אַדמיניסטראַטאָרס און יוזערז זענען אַווער פון זיכערהייט ריסקס (און זייער פֿאַרבונדענע סייבער זיכערהייט פּראָוסידזשערז) און אַז עמפּלוייז זענען טריינד צו דורכפירן זיכערהייט-פֿאַרבונדענע ראָלעס.
נייַן באדערפענישן פאָקוס אויף אַדאַטינג און אַנאַלייזינג סיסטעם און געשעעניש לאָגס. בעסטער פיר אַנאַליסיס און ריפּאָרטינג קענען זיין געטאן מיט פאַרלאָזלעך קאָנטראָלירן רעקאָרדס. סייבער זיכערהייט ינסאַדאַנץ קענען זיין מיטיגייטיד דורך רעגולער אָפּשאַצונג פון זיכערהייט לאָגס.
די געהעריק קאַנפיגיעריישאַן פון ייַזנוואַרג, ווייכווארג און דעוויסעס איז באדעקט אין נייַן רעקווירעמענץ. אַנאָטערייזד ווייכווארג ינסטאַלירונג און די ריסטריקשאַן פון ניט-יקערדיק מגילה זענען טייל פון דעם משפּחה פון באדערפענישן.
די נעץ אָדער סיסטעמען פון דער אָרגאַניזאַציע קענען זיין אַקסעסט בלויז דורך יוזערז וואָס זענען אָטערייזד צו זיין דאָרט. עס זענען 11 רעקווירעמענץ צו ענשור אַז די דיסטינגקשאַן צווישן פּריוולידזשד און ניט-פּריוולידזשד אַקאַונץ איז שפיגלט אין נעץ אַקסעס.
עס זענען דריי באדערפענישן פֿאַר די אָרגאַניזאַציע צו ריספּאַנד צו שטרענג סייבער אַטאַקס. פּראָוסידזשערז זענען אין פּלאַץ צו דעטעקט, אַנטהאַלטן און צוריקקריגן ינסאַדאַנץ אין דער אָרגאַניזאַציע. רעגולער טעסטינג פון קייפּאַבילאַטיז איז טייל פון געהעריק טריינינג און פּלאַנירונג.
עס זענען זעקס רעקווירעמענץ פֿאַר ינסייט אין בעסטער פיר סיסטעמען און נעץ וישאַלט פּראָוסידזשערז. כולל די פאָרשטעלונג פון רעגולער סיסטעם וישאַלט און מאַכן זיכער פונדרויסנדיק וישאַלט איז אָטערייזד.
אָרגאַנאַזיישאַנז קענען קאָנטראָלירן אַקסעס צו שפּירעוודיק מידיאַ מיט די הילף פון נייַן זיכערהייט רעקווירעמענץ. סטאָרידזש און צעשטערונג פון שפּירעוודיק אינפֿאָרמאַציע און מידיאַ אין ביידע גשמיות און דיגיטאַל פֿאָרמאַטירונגען זענען פארלאנגט דורך די רעקווירעמענץ.
וועגן פּערסאַנעל זיכערהייַט און עמפּלוייז, צוויי זיכערהייט רעקווירעמענץ דאַרפֿן צו זיין מקיים. די נויט פֿאַר זיכערהייט זיפּונג פון מענטשן איידער אַקסעס סיסטעמען וואָס אַנטהאַלטן CUI איז קאַווערד אין דער ערשטער. די רגע מאכט זיכער אַז CUI איז פּראָטעקטעד בעשאַס די אַריבערפירן פון פּערסאַנעל, אַרייַנגערעכנט די צוריקקער פון בנין פּאַסיז אָדער ייַזנוואַרג.
זעקס זיכערהייט רעקווירעמענץ האַנדלען מיט די טעמע פון גשמיות אַקסעס צו CUI אין אַן אָרגאַניזאַציע, אַרייַנגערעכנט די קאָנטראָל פון גאַסט אַקסעס צו אַרבעט זייטלעך. ייַזנוואַרג, דעוויסעס און ויסריכט מוזן זיין לימיטעד צו אָטערייזד פּערסאַנעל.
עס זענען צוויי רעקווירעמענץ פֿאַר פאָרשטעלונג און אַנאַליסיס פון רעגולער ריזיקירן אַסעסמאַנץ. בעכעסקעם נעץ דעוויסעס און ווייכווארג דערהייַנטיקט און זיכער איז איינער פון די טינגז וואָס אָרגאַנאַזיישאַנז זענען פארלאנגט צו טוהן. עס איז מעגלעך צו פֿאַרבעסערן די זיכערהייט פון די גאנצע סיסטעם דורך כיילייטינג און פֿאַרשטאַרקונג וואַלנעראַביליטיז.
עס זענען פיר באדערפענישן פֿאַר רינואַל פון סיסטעם קאָנטראָלס און זיכערהייט פּלאַנז. דורך קעסיידער ריוויוינג פּראָוסידזשערז פון זיכערהייט אַסעסמאַנט, וואַלנעראַביליטיז זענען כיילייטיד און ימפּרוווד. פּלאַנז צו באַוואָרענען CUI בלייבן עפעקטיוו מיט דעם.
עס זענען 16 רעקווירעמענץ פֿאַר מאָניטאָרינג און באַוואָרעניש סיסטעמען. אַנאָטערייזד אינפֿאָרמאַציע אַריבערפירן און אָפּלייקענונג פון נעץ קאָמוניקאַציע פאַרקער זענען פארלאנגט. רעקווירעמענץ אַרייַננעמען בעסטער פיר קריפּטאָגראַפי פּאַלאַסיז.
עס זענען זיבן רעקווירעמענץ רילייטינג צו מאָניטאָרינג און שוץ פון סיסטעמען. מאָניטאָרינג פון סיסטעם זיכערהייט אַלערץ און ידענטיפיצירן אַנאָטערייזד נוצן פון סיסטעמען זענען אַרייַנגערעכנט.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
מיר זענען פּרייַז-עפעקטיוו און שנעל
NIST 800-171 העסקעם קענען זיין פּרוווד דורך אַ פּראָצעס פון זיך-אַסעסמאַנט. עס קען ויסקומען דאָנטינג אַז עס זענען איבער 100 רעקווירעמענץ וואָס דאַרפֿן צו זיין באגעגנט צו דערגרייכן העסקעם.
דיין אָרגאַניזאַציע זאָל שטעלן אַ פּשוט פּראָצעס צו דורכפירן די NIST 800-171 אַסעסמאַנט:
העסקעם מיט NIST 800-171 וועט זיין אַ האַרץ טייל פון קיין קאָנטראַקט צווישן די יו.
NIST 800-171 העסקעם קען דאַרפן דייווינג טיף אין דיין נעטוואָרקס און פּראָוסידזשערז צו אַדרעס די צונעמען זיכערהייט פּראָוסידזשערז. דורכפאַל צו נאָכקומען קען ווירקן קיין האַנדלינג מיט רעגירונג יידזשאַנסיז. אויב איר פאַרפירן די טערמין, איר ריזיקירן צו פאַרלירן רעגירונג קאַנטראַקץ.
נאָכקומען מיט NIST סטאַנדאַרדס האט עטלעכע בענעפיץ. די NIST Cybersecurity Framework העלפּס אָרגאַנאַזיישאַנז באַוואָרענען זייער שפּירעוודיק דאַטן.
אָרגאַנאַזיישאַנז נאָכקומען מיט אנדערע רעגירונג אָדער ינדאַסטרי רעגיאַליישאַנז ווען ארבעטן צו NIST העסקעם.
אויב איר זענט אַ פעדעראלע אַגענטור, דערגרייכן די העסקעם פון NIST 800-171 קענען העלפֿן צו טרעפן די באדערפענישן פון FISMA (פעדעראַל אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט אקט).
אויב איר זוכט צו נאָכקומען מיט HIPAA (געזונט פאַרזיכערונג פּאָרטאַביליטי און אַקאַונטאַביליטי אקט) און SOX (Sarbanes-Oxley Act), NIST העסקעם וועט העלפֿן איר דערגרייכן העסקעם מיט HIPAA & SOX ווייַל זיי טיילן פילע פון די זעלבע פּילערז.
געדענקט, NIST העסקעם ינשורז ניט שטענדיק גאַנץ זיכערהייט. נאָכקומען מיט NIST און אנדערע סטאַנדאַרדס איז בלויז דער ערשטער שריט. קעסיידערדיק מאָניטאָרינג פֿאַר וועב אַפּלאַקיישאַן וואַלנעראַביליטיז, ימפּלאַמענינג פולשטענדיק זיכערהייַט פּאַלאַסיז, אָנפירן אָנגאָינג אָנגעשטעלטער טריינינג צו העכערן סייבער זיכערהייט וויסיקייַט, און מער זענען עטלעכע פון די טאַסקס וואָס דאַרפֿן צו זיין געטאן צו ענשור געזונט סייבער זיכערהייט.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
אויב איר טאָן ניט נוצן ISMS.online, איר מאַכן דיין לעבן מער שווער ווי עס דאַרף צו זיין!
ISMS.online איז קעסיידער יוואַלווינג צו טרעפן די אינפֿאָרמאַציע זיכערהייט, פּריוואַטקייט און געשעפט קאַנטיניויישאַן באדערפענישן פון אָרגאַנאַזיישאַנז איבער דער וועלט. דערגרייכן NIST SP 800 171 העסקעם רעקווירעמענץ לייכט מיט אונדזער פּלאַטפאָרמע.
ISMS.online קומט מיט אַ פאַרשיידנקייַט פון פאַר-געבויט פראַמעוואָרקס איר קענט קלייַבן צו אַדאַפּט, אַדאַפּט אָדער צוגעבן דיפּענדינג אויף די יינציק באדערפענישן פון דיין אָרגאַניזאַציע. אָדער איר קענען לייכט בויען דיין אייגענע פֿאַר בעספּאָכע העסקעם פּראַדזשעקס.
NIST 800-171 און ISO 27001 טיילן פילע סימאַלעראַטיז צווישן די צוויי. NIST 800-171 קענען זיין מאַפּט צו די אינטערנאַציאָנאַלע ISO 27001 נאָרמאַל אין די שליסל קאָנטראָל געביטן, אַרייַנגערעכנט:
ISMS.online העסקעם ווייכווארג קענען העלפֿן איר מאַפּע NIST SP 800-171 קאָנטראָלס צו באַטייַטיק ISO/IEC 27001 קאָנטראָלס. מיר האָבן דעוועלאָפּעד אַ סעריע פון ינטואַטיוו פֿעיִקייטן און מכשירים אין אונדזער פּלאַטפאָרמע צו שפּאָרן צייט און מאַכן זיכער אַז איר בויען אַן ISMS אַז ס באמת סאַסטיינאַבאַל.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
אראפקאפיע אונדזער פריי גייד צו שנעל און סאַסטיינאַבאַל סערטאַפאַקיישאַן
די NIST 800-171 זיך-אַסעסמאַנט איז אַ קאָמפּליצירט אַרבעט ווייַל עס וועט קאָנטראָלירן אַלע עלעמענטן פון אַן אָרגאַניזאַציע ס זיכערהייט סיסטעמען און נעץ. צוגרייטונג איז שליסל.
פינף האַרץ סטעפּס צו צוגרייטן פֿאַר דיין NIST אַסעסמאַנט:
NIST SP 800-171 איז געווען ערשטער ארויס אין יוני 2015 און איז דערהייַנטיקט עטלעכע מאָל זינט.
NIST 800-171 האט באקומען רעגולער דערהייַנטיקונגען צו האַלטן זיך מיט ימערדזשינג סייבער טרעץ און טעקנאַלאַדזשיז. די לעצטע ווערסיע פון 800-171, גערופן רעוויזיע 2, איז באפרייט אין פעברואר 2020.
די אויסגאבעס האָבן די זעלבע ציל צו האַלטן דאַטן זיכער, אָבער זיי האָבן פאַרשידענע גיידליינז פֿאַר פאַרשידענע געביטן צו ויספירן דאָס.
די מיטלען וואָס זאָל זיין אין פּלאַץ צו ענשור אַז CUI איז כאַנדאַלד אַפּראָופּרייטלי איז די פאָקוס פון NIST 800-171, בשעת NIST 800-53 פאָוקיסיז אויף סטאָרינג קלאַסאַפייד דאַטן און וואָס זיכערהייט מיטלען זאָל זיין אין פּלאַץ צו ענשור דאַטן זענען פּראָטעקטעד.