NIST SP 800-171 describe los estándares y prácticas de seguridad para organizaciones no federales que manejan CUI (Información No Clasificada Controlada) en sus redes.
NIST 800-171 ha recibido actualizaciones periódicas debido a las persistentes amenazas cibernéticas y las tecnologías en constante cambio. La versión más reciente, denominada revisión 2, se publicó en febrero de 2020.
NIST es una agencia federal no regulatoria responsable de establecer pautas que se aplican a las agencias federales en muchos temas, como la seguridad cibernética.
Lograr el cumplimiento de NIST SP 800 171 es crucial. Si desea tratar con agencias gubernamentales, entonces es una requisito. ISMS.online ofrece soluciones de software de cumplimiento NIST SP 800 171 que pueden adaptarse a las necesidades de su organización.
La publicación especial 800-171 del Instituto Nacional de Estándares y Tecnología exige que cualquier organización que procese o almacene información confidencial y no clasificada para el gobierno de EE. UU. cumpla con el estándar de seguridad cibernética.
NIST 800-171 está diseñado para proteger CUI en las redes de TI de contratistas y subcontratistas gubernamentales.
NIST 800-171 refuerza la seguridad de toda la cadena de suministro federal al definir requisitos para los contratistas que manejan información gubernamental confidencial. Garantiza un estándar de seguridad cibernética básico unificado para todos los contratistas y sus respectivos contratistas.
NIST 800-171 requiere que algunas agencias y organizaciones lo cumplan, estas son:
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
NIST 800-171 puede parecer un requisito difícil al principio (no lo es, ¡su organización lo dominará en poco tiempo!), pero hay beneficios que una organización puede obtener al implementar todos los controles requeridos, estos son:
La información no clasificada controlada (CUI) es información creada o propiedad del gobierno que no está clasificada. Podrían incluirse patentes, datos técnicos o información relacionada con la fabricación o la adquisición de bienes y servicios.
Una CUI es un término general que cubre muchas marcas diferentes para identificar información que no está clasificada pero que debe protegerse. Estos son:
Aunque la CUI no es información clasificada, aún puede tener consecuencias económicas y de seguridad nacional negativas. El incumplimiento de los requisitos de NIST 800-171 puede provocar la pérdida de contratos, demandas, multas y daños a la reputación. ISMS.online puede ayudarlo a cumplir con los requisitos de NIST SP 800-171 con una variedad de marcos prediseñados que puede elegir adoptar, adaptar o agregar según el necesidades únicas de su organización.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Los contratistas que necesitan acceso a CUI deben crear protocolos de cumplimiento y seguridad para 14 áreas críticas.
Las 14 áreas clave se explican a continuación.
Veintidós requisitos diferentes ayudan a Asegúrese de que solo los usuarios autorizados puedan acceder al sistema.. Las disposiciones protegen el flujo de información confidencial dentro de la red y brindan orientación sobre los dispositivos de red en el sistema.
Hay tres requisitos para la sección de concientización y capacitación. Es Se requiere que los administradores y usuarios del sistema sean conscientes de los riesgos de seguridad. (y sus procedimientos de ciberseguridad relacionados) y que los empleados estén capacitados para desempeñar funciones relacionadas con la seguridad.
Nueve requisitos centrarse en la auditoría y analizar registros de eventos y del sistema. Análisis de mejores prácticas y Los informes se pueden realizar con una auditoría confiable. Records. Los incidentes de ciberseguridad se pueden mitigar mediante una revisión periódica de los registros de seguridad.
La configuración adecuada de hardware, software y dispositivos se cubre en nueve requisitos. La instalación de software no autorizada y la restricción de programas no esenciales forman parte de esta familia de requisitos.
A la red o a los sistemas de la organización sólo podrán acceder los usuarios que estén autorizados para estar allí. Hay 11 requisitos para garantizar que la distinción entre Las cuentas privilegiadas y no privilegiadas se reflejan en el acceso a la red..
Hay tres requisitos para que la organización responda a ataques cibernéticos graves. Existen procedimientos para detectar, contener y recuperar incidentes dentro de la organización. La prueba periódica de capacidades es parte de una capacitación y planificación adecuadas.
Hay seis requisitos para conocer los sistemas de mejores prácticas y procedimientos de mantenimiento de la red. Incluye la realización del mantenimiento regular del sistema y asegurarse de que el mantenimiento externo esté autorizado.
Las organizaciones pueden controlar el acceso a medios confidenciales con la ayuda de nueve requisitos de seguridad. Almacenamiento y destrucción de información y medios sensibles. tanto en formato físico como digital son requeridos por los requisitos.
En cuanto a la seguridad del personal y de los empleados, se deben cumplir dos requisitos de seguridad. En el primero se aborda la necesidad de realizar controles de seguridad de las personas antes de acceder a los sistemas que contienen CUI. El segundo asegura que CUI esté protegida durante la transferencia de personal, incluida la devolución de pases de construcción o hardware.
Seis requisitos de seguridad abordan el tema del acceso físico a CUI dentro de una organización, incluido el control de acceso de invitados a los sitios de trabajo. El hardware, los dispositivos y los equipos deben limitarse al personal autorizado.
Hay dos requisitos para la realización y el análisis de evaluaciones de riesgos periódicas. Mantener los dispositivos y el software de red actualizados y seguros es una de las cosas que las organizaciones están obligadas hacer. Es posible mejorar la seguridad de todo el sistema resaltando y fortaleciendo las vulnerabilidades.
Existen cuatro requisitos para la renovación de los controles del sistema y los planes de seguridad. Al revisar periódicamente los procedimientos de evaluación de seguridad, se resaltan y mejoran las vulnerabilidades. Los planes para salvaguardar a CUI siguen siendo efectivos en este sentido.
Existen 16 requisitos para el seguimiento y salvaguardia de los sistemas. No autorizado transferencia de información y se requiere la denegación del tráfico de comunicación de la red. Los requisitos incluyen políticas de criptografía de mejores prácticas.
Hay siete requisitos relacionados con el monitoreo y protección de los sistemas. Se incluye el monitoreo de alertas de seguridad del sistema y la identificación del uso no autorizado de los sistemas.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
El cumplimiento de NIST 800-171 se puede demostrar mediante un proceso de autoevaluación. Puede parecer desalentador que haya más de 100 requisitos que deben cumplirse para lograr el cumplimiento.
Su organización debe establecer un proceso sencillo para ejecutar la evaluación NIST 800-171:
El cumplimiento de NIST 800-171 será una parte fundamental de cualquier contrato entre el gobierno federal de EE. UU. y un contratista que maneje información controlada no clasificada en sus redes de TI.
El cumplimiento de NIST 800-171 puede requerir profundizar en sus redes y procedimientos para abordar los procedimientos de seguridad adecuados. El incumplimiento podría afectar cualquier trato con agencias gubernamentales. Si no cumple con el plazo, corre el riesgo de perder contratos gubernamentales.
Cumplir con los estándares NIST tiene algunos beneficios. El marco de ciberseguridad del NIST ayuda a las organizaciones a proteger sus datos confidenciales.
Las organizaciones cumplen con otras regulaciones gubernamentales o industriales. cuando se trabaja para cumplir con el NIST.
Si es una agencia federal, lograr el cumplimiento de NIST 800-171 puede ayudar a cumplir con los requisitos de FISMA (Ley Federal de Gestión de Seguridad de la Información).
Si desea cumplir con HIPAA (Ley de Responsabilidad y Portabilidad de Seguros Médicos) y SOX (Ley Sarbanes-Oxley), el cumplimiento del NIST le ayudará a cumplir con HIPAA y SOX, ya que comparten muchos de los mismos pilares.
Recuerde, el cumplimiento del NIST no siempre garantiza una seguridad total. Cumplir con NIST y otros estándares es solo el primer paso. Monitoreo continuo de vulnerabilidades de aplicaciones web. implementar políticas integrales de seguridad, realizar capacitación continua de los empleados para promover la concientización sobre la seguridad cibernética y más son algunas de las tareas que deben realizarse para garantizar una seguridad cibernética sólida.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Si no utiliza ISMS.online, ¡está haciendo su vida más difícil de lo necesario!
ISMS.online evoluciona continuamente para satisfacer las necesidades de seguridad de la información., privacidad y continuidad del negocio de organizaciones de todo el mundo. Logre el cumplimiento de NIST SP 800 171 requisitos fácilmente con nuestra plataforma.
ISMS.online viene con una variedad de marcos prediseñados puede optar por adoptar, adaptar o ampliar según las necesidades únicas de su organización. O puede crear fácilmente el suyo propio para proyectos de cumplimiento personalizados.
NIST 800-171 e ISO 27001 comparten muchas similitudes entre los dos. NIST 800-171 se puede asignar al estándar internacional ISO 27001 en las áreas de control clave, que incluyen:
El software de cumplimiento ISMS.online puede ayudarle a asignar los controles NIST SP 800-171 a los controles ISO/IEC 27001 relevantes. Hemos desarrollado una serie de intuitivos funciones y conjuntos de herramientas dentro de nuestra plataforma para ahorrarle tiempo y garantizar que esté creando un SGSI eso es verdaderamente sostenible.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Descargue nuestra guía gratuita para una certificación rápida y sostenible
La autoevaluación NIST 800-171 es una tarea complicada porque auditará todos los elementos de la red y los sistemas de seguridad de una organización. La preparación es clave.
Cinco pasos básicos para prepararse para su evaluación del NIST:
NIST SP 800-171 se publicó por primera vez en junio de 2015 y se ha actualizado varias veces desde entonces.
NIST 800-171 ha recibido actualizaciones periódicas para mantenerse al día con las tecnologías y amenazas cibernéticas emergentes. La última versión de 800-171, denominada revisión 2, se lanzó en febrero de 2020.
Estas publicaciones tienen el mismo objetivo de mantener los datos seguros, pero tienen diferentes pautas para que diferentes áreas lo logren.
Las medidas que deben implementarse para garantizar que CUI se maneje adecuadamente son el enfoque de NIST 800-171, mientras que NIST 800-53 se enfoca en almacenar datos clasificados y qué medidas de seguridad deben implementarse para garantizar que los datos estén protegidos.
