Das Center for Internet Security hat festgestellt, dass alle Arten von Angriffen auf Regierungsbehörden im letzten Jahr häufiger wurden. In den Vereinigten Staaten ist dies seit Jahrzehnten ein Grund zur Besorgnis, da die Häufigkeit, Komplexität und wirtschaftlichen Auswirkungen dieser Angriffe stetig zugenommen haben.

Als Reaktion darauf hat sich die US-Regierung verpflichtet, Standards und Rahmenwerke für die Informationssicherheit zu veröffentlichen und zu aktualisieren, um Risiken zu verringern und die Datensicherheit zu verbessern. NIST 800-171 ist eines dieser Rahmenwerke, das speziell dafür entwickelt wurde, sensible Regierungsdaten zu schützen, die für die nationale und wirtschaftliche Sicherheit der Vereinigten Staaten von entscheidender Bedeutung sind, einschließlich geistigen Eigentums.

In diesem Leitfaden behandeln wir die Grundlagen der NIST 800-171 Konformität, einschließlich der neuesten Anforderungen und Kontrollen, wie man sich daran hält und wie es sich auf andere föderale Rahmenwerke bezieht.

Was ist NIST 800-171?

NIST 800-171 ist eine spezielle Veröffentlichung, die Empfehlungen zum Schutz der Vertraulichkeit von kontrollierten, nicht klassifizierten Informationen (CUI) in nicht-staatlichen Systemen und Organisationen bietet. Das Hauptziel von NIST 800-171 besteht darin, sicherzustellen, dass sensible Daten, die die nationale Sicherheit der Vereinigten Staaten betreffen, sicher bleiben, wenn sie von Auftragnehmern und Unterauftragnehmern gehandhabt werden.

Beispiele für CUI oder andere Bezeichnungen umfassen:

• Persönlich identifizierbare Informationen (PII)
• Geschäftseigentümerinformationen (PBI)
• Geschäftlich vertrauliche Informationen (CBI)
• Unklassifizierte kontrollierte technische Informationen (UCTI)
• Sensible, aber nicht klassifizierte Informationen (SBU)

NIST 800-171 Rev. 3

Im Mai 2024 veröffentlicht, ist NIST 800-171 Rev. 3 die neueste Hauptversion des Rahmenwerks. Diese Überarbeitung wurde entwickelt, um Unternehmen, die mit der Bundesregierung Verträge abschließen, besser zu helfen, die spezifischen Sicherheitsvorkehrungen umzusetzen, die im NIST 800-53 angegeben sind, und konsistente Verteidigungen gegen neu auftretende und sich weiterentwickelnde Bedrohungen auf hohem Niveau für die CUI aufrechtzuerhalten.

Hier sind einige der wichtigsten Änderungen in Revision 3:

• Die Sicherheitsanforderungen und -familien wurden aktualisiert, um die neueste Version des NIST SP 800-53, Revision 5, und insbesondere den moderaten Steuerungsbasis des NIST SP 800-53B widerzuspiegeln. Insbesondere wurden drei Familien von Sicherheitsanforderungen, bestehend aus insgesamt neun neuen Kontrollen, hinzugefügt. Dazu gehören die Planung (PL), der System- und Serviceerwerb (SA) und das Risikomanagement der Lieferkette (SR), die alle bereits Teil des NIST 800-53 sind.
• Darüber hinaus wurden, um den NIST SP 800-53 Rev. 5 besser widerzuspiegeln, die zuvor als Nicht-Föderale Organisation (NFO) bezeichneten Kontrollen entweder in den Hauptteil der Anforderungen des 800-171 als direkt verbunden aufgenommen oder als Nicht direkt mit dem Schutz der Vertraulichkeit von CUI (NCO) verbunden ausgeschlossen.
• Trotz dieser Ergänzungen ist die Gesamtzahl der Kontrollen von 110 in Rev. 2 auf 97 in Rev. 3 gesunken, da viele Kontrollen aus Rev. 2 entfernt und/oder in andere Kontrollen integriert wurden.
• Die Bestimmungsdeklarationen in 800-171A stiegen von 320 auf 422.
• Es wurden erhebliche Änderungen an fast 50 Sicherheitsanforderungen vorgenommen, um Unklarheiten zu beseitigen, die Implementierungseffizienz zu verbessern und den Umfang der Bewertungen zu klären.
• Es wurden von der Organisation definierte Parameter (ODP) in ausgewählten Sicherheitsanforderungen eingeführt, um die Flexibilität zu erhöhen und Organisationen zu unterstützen, besser zu verwalten. Dies sind Parameter, die denen im NIST 800-53 und FedRAMP ähneln.
• Die Anderen zugehörigen Kontrollen (ORC) wurden als neue Anpassungskategorie eingeführt, um die Redundanz bei den Anforderungen zu behandeln.
• Die in Revision 2 gesehenen Basis-/abgeleiteten Ebenen wurden entfernt.

Die unten stehenden Informationen spiegeln diese neueste Version des NIST 800-171 wider.

Für wen gilt NIST 800-171?

NIST 800-171 gilt für jede nicht-föderale Einheit, die CUI behandelt, speichert oder überträgt oder einen Schutz für solche Komponenten im Namen einer föderalen Agentur bereitstellt. Dies umfasst Auftragnehmer, Unterauftragnehmer, Lieferanten, Dienstleister und andere Organisationen, die solche sensiblen Informationen im Auftrag einer föderalen Agentur speichern oder teilen.

Während die Einhaltung von NIST 800-171 in Verträgen mit jeder Bundesbehörde im Allgemeinen eine Anforderung ist, ist sie in Verträgen mit dem Verteidigungsministerium (DoD) immer erforderlich. Verteidigungsunternehmer sind gemäß der Klausel DFARS 252.204-7012 verpflichtet, die Anforderungen von NIST 800-171 umzusetzen, um ihre Bereitstellung einer angemessenen Sicherheit zu demonstrieren, die darauf abzielt, die in ihren Verteidigungsverträgen enthaltenen geschützten Verteidigungsinformationen zu schützen.

Darüber hinaus müssen Hersteller, die Teil der Lieferkette des DoD, der General Services Administration (GSA), der NASA oder anderer Bundes- oder staatlicher Behörden sind, die in NIST SP 800-171 enthaltenen Sicherheitsanforderungen umsetzen.

Anforderungen NIST 800-171

NIST 800-171 beschreibt 17 Familien empfohlener Sicherheitsanforderungen. Diese stellen eine Teilmenge der NIST 800-53-Kontrollen dar, die erforderlich sind, um die Vertraulichkeit von CUI in nicht-bundesstaatlichen Systemen und Organisationen zu schützen. Diese Familien sind:

• Zugangskontrolle (AC)
• Bewusstseinsbildung und Schulung (AT)
• Audit und Verantwortlichkeit (AU)
• Bewertung und Sicherheitsüberwachung (CA)
• Konfigurationsmanagement (CM)
• Identifikation und Authentifizierung (IA)
• Vorfallreaktion (IR)
• Wartung (MA)
• Medienkontrolle (MP)
• Physische Sicherheit (PE)
• Planung (PL)
• Personalsicherheit (PS)
• Risikobewertung (RA)
• System- und Dienstakquisition (SA)
• System- und Kommunikationsschutz (SC)
• System- und Informationsintegrität (SI)
• Lieferketten-Risikomanagement (SR)

Jede Familie besteht aus mehreren spezifischen Anforderungen, die Organisationen implementieren müssen, um die Sicherheit von CUI zu gewährleisten.

Bitte beachten Sie, dass sich die 17 Familien in NIST 800-53 befinden, aber nicht alle Familien von NIST 800-53 Teil von NIST 800-171 sind. Die folgenden Familien aus SP 800-53 sind nicht in SP 800-171 enthalten, da sie nicht direkt mit dem Schutz von CUI zusammenhängen, angemessen durch andere verwandte Kontrollen angesprochen werden oder anderweitig nicht anwendbar sind: Verarbeitung und Transparenz von PII (PT), Programmmanagement (PM) und Notfallplanung (CP).

Wie man sich an NIST 800-171 hält

Die NIST 800-171-Konformität ist darauf ausgelegt, CUI in nicht-bundesstaatlichen Systemen und Organisationen vor unbefugter Weitergabe zu schützen. Daher ist sie für Auftragnehmer, Verkäufer und Dienstleister des Bundes obligatorisch, die CUI für das Verteidigungsministerium (DoD) speichern oder weitergeben.

Nichteinhaltung kann zur Beendigung des Vertrags, zur Suspendierung oder zum Ausschluss des Auftragsstatus und zu Geldstrafen führen.

Um Ihnen zu helfen, diese Konsequenzen zu vermeiden, befolgen Sie die folgenden Tipps zur Einhaltung der NIST 800-171:

1. Bewerten Sie Ihre aktuelle Sicherheitslage in Bezug auf die NIST 800-171-Anforderungen.

Der erste Schritt zur Einhaltung der NIST 800-171 besteht darin, eine gründliche Bewertung der aktuellen Sicherheitsmaßnahmen Ihrer Organisation durchzuführen.

Beginnen Sie damit, festzustellen, wo sich das CUI befindet und wie es in Ihren Systemen zirkuliert. Bewerten Sie dann Ihre vorhandenen Sicherheitskontrollen im Vergleich zu den empfohlenen Anforderungen, die in der NIST 800-171 beschrieben sind, um Lücken zu identifizieren. Bewerten Sie schließlich die Risiken, die mit jeder identifizierten Lücke verbunden sind, um die Korrekturmaßnahmen zu priorisieren.

2. Entwickeln Sie einen System-Sicherheitsplan (SSP), der im Detail beschreibt, wie jede Kontrolle umgesetzt wird.

Ein System-Sicherheitsplan (SSP) ist ein formelles Dokument, das die NIST 800-171-Sicherheitsanforderungen für Ihr Informationssystem und die bestehenden oder geplanten Sicherheitskontrollen beschreibt, um diese Anforderungen zu erfüllen. Mit anderen Worten, ein SSP definiert den Ansatz Ihrer Organisation zur Umsetzung und Verwaltung der NIST 800-171-Anforderungen.

Alle Sicherheitsanforderungen, die noch nicht umgesetzt wurden, müssen separat dokumentiert werden.

3. Erstellen Sie einen Aktionsplan und Meilensteine (POA&M), um etwaige Mängel zu beseitigen.

Ein POA&M ist ein Dokument, das beschreibt, wann und wie jede nicht umgesetzte und/oder verwundbare NIST 800-171-Sicherheitsanforderung erfüllt wird. Es sollte die folgenden Komponenten enthalten:

• Beschreibung des Mangels/Risikos : Beschreiben Sie klar jede nicht umgesetzte Sicherheitsanforderung und die Risiken, die mit der Nichteinhaltung dieser Kontrolle verbunden sind.
• Korrekturplan : Beschreiben Sie die spezifischen Aufgaben, die erforderlich sind, um jeden Mangel zu beheben.
• Meilensteine : Planen Sie Abschlussdaten für jede Korrekturmaßnahme.
• Ressourcenzuweisung : Identifizieren Sie die Ressourcen (z.B. Personal, Budget, Werkzeuge), die für die Umsetzung der Korrekturmaßnahmen erforderlich sind.

4. Implementieren Sie die notwendigen Kontrollen und Praktiken, um die Anforderungen zu erfüllen und CUI zu schützen.

Sobald Sie ein klares Verständnis der Lücken und einen Plan zu deren Beseitigung haben, besteht der nächste Schritt darin, Kontrollen umzusetzen, um alle Anforderungen der NIST 800-171 zu erfüllen. Dies umfasst mehrere Aktivitäten, darunter:

• Entwicklung oder Aktualisierung von Organisationsrichtlinien, um sie an die Anforderungen der NIST 800-171 anzupassen.
• Implementierung technischer Schutzmaßnahmen wie Verschlüsselung, Multi-Faktor-Authentifizierung und sichere Zugriffskontrollen.
• Einführung physischer Zugangskontrollen, um Bereiche zu sichern, in denen CUI verarbeitet oder gespeichert wird.
• Regelmäßige Schulungen organisieren, um sicherzustellen, dass alle Mitarbeiter die Bedeutung der Sicherheitskontrollen und ihre spezifischen Verantwortlichkeiten verstehen.
• Einrichtung kontinuierlicher Überwachungspraktiken, um sicherzustellen, dass die Kontrollen effektiv funktionieren. Dies umfasst regelmäßige Systemscans, Protokollüberprüfungen und Schwachstellenbewertungen.

Durchführung regelmäßiger Bewertungen und Aktualisierungen, um die Konformität aufrechtzuerhalten.

Die Einhaltung von NIST 800-171 aufrechtzuerhalten ist ein fortlaufender Prozess. Regelmäßige Bewertungen und kontinuierliche Verbesserungen sind erforderlich, um sich an neue Risiken und Änderungen in Ihrer organisatorischen Umgebung anzupassen.

Die Einhaltung von NIST 800-171 erfordert folgende Elemente:

• Regelmäßige Bewertungen durchführen: Führen Sie regelmäßige Bewertungen durch, um die Wirksamkeit der implementierten Kontrollen zu überprüfen und Bereiche zur Verbesserung zu identifizieren. Verwenden Sie hierbei die in NIST SP 800-171A beschriebene Bewertungsverfahren und Methodik Bewertung der Sicherheitsanforderungen für kontrollierte, nicht klassifizierte Informationen. Die Bewertungen können als unabhängige Bewertungen, von Dritten durchgeführte Bewertungen oder als regierungsunterstützte Bewertungen durchgeführt werden, die von Systementwicklern, Systemintegratoren, Prüfern, Systeminhabern oder Sicherheitspersonal innerhalb der Organisation durchgeführt werden.
• Aktualisieren Sie Ihr SSP und POA&M: Aktualisieren Sie regelmäßig Ihren System-Sicherheitsplan und Ihren Aktions- und Meilensteinplan, um alle Änderungen in Ihren Systemen oder Prozessen zu reflektieren.
• Daten nutzen, um kontinuierliche Verbesserungen vorzunehmen: Verwenden Sie die Ergebnisse der Bewertungen, um Lessons Learned umzusetzen und Best Practices zu übernehmen, um Ihre Sicherheitslage kontinuierlich zu verbessern.
• Über Änderungen an NIST 800-171 informieren: Halten Sie sich über Aktualisierungen der Richtlinien von NIST 800-171 und andere relevante Cybersicherheitsstandards auf dem Laufenden. Passen Sie Ihre Kontrollen und Praktiken bei Bedarf an, um konform zu bleiben.

Indem Sie diese Schritte befolgen, kann Ihre Organisation die Einhaltung von NIST 800-171 effektiv erreichen und aufrechterhalten, wodurch die Sicherheit und Vertraulichkeit von CUI in Ihren Systemen und Ihrer Organisation gewährleistet wird.

Um weitere Ratschläge zu den erforderlichen Schritten und Vorgehensweisen auf Ihrem Weg zur NIST 800-171-Konformität zu erhalten, nutzen Sie die folgende Checkliste.

NIST 800-171 Konformitäts-Checkliste

Die Einhaltung von NIST 800-171 zu erreichen, erfordert einen strukturierten Ansatz, der eine Reihe von Aktivitäten umfasst, von der initialen Bewertung bis zur kontinuierlichen Überwachung. Laden Sie diese detaillierte Checkliste herunter, um Ihre Organisation durch den gesamten Konformitätsprozess zu führen und CUI in Ihrer Organisation zu schützen.

NIST 800-171 versus 800-53

NIST 800-171 und NIST 800-53 sind beide Richtlinien, die vom NIST entwickelt wurden, aber sie dienen unterschiedlichen Zwecken. NIST 800-53 bietet eine breitere und umfassendere Palette an Kontrollmaßnahmen, die für föderale Informationssysteme entwickelt wurden. Im Gegensatz dazu ist NIST 800-171 eine Ableitung von NIST 800-53, die sich speziell auf den Schutz von CUI in nicht föderalen Systemen konzentriert. Es ist angepasst, um weniger restriktiv für Auftragnehmer zu sein, die nicht das vollständige Set der NIST 800-53-Kontrollen benötigen.

CMMC vs NIST 800-171

Das Cybersecurity Maturity Model Certification (CMMC) ist ein umfassendes Rahmenwerk, das vom DoD eingeführt wurde, um die Cybersicherheit von Auftragnehmern innerhalb der Defense Industrial Base (DIB) zu stärken. Das CMMC basiert auf NIST 800-171 und den Klauseln der Defense Federal Acquisition Regulation Supplement (DFARS) Serie 252.204.700. Das CMMC enthält auch eine Überprüfungskomponente, die eine Drittbewertung zur Sicherstellung der Konformität erfordert. Das CMMC wird in der Regel von allen Unternehmen und Auftragnehmern verfolgt, die in der DIB tätig sind oder tätig werden wollen.

Die neueste Version des CMMC, CMMC 2.0, ist in drei Reifegrade unterteilt, wobei sich jeder Grad auf den vorherigen aufbaut. Die vorherige Version von NIST 800-171, Revision 2, stimmt eng mit dem Level 2 des CMMC überein und bleibt derzeit der Standard für Auftragnehmer des DIB.

Bewertung des DoD NIST SP 800-171

Das DoD hat eine spezifische Bewertungsmethodik etabliert, um die Implementierung von NIST 800-171 für Auftragnehmer mit Verträgen, die die Klausel DFARS 252.204-7012 enthalten, zu bewerten. Diese Bewertungen finden alle drei Jahre statt.

Die Bewertung des DoD NIST SP 800-171 besteht aus drei Bewertungsstufen, die jeweils zu einem unterschiedlichen Vertrauensniveau führen.

1. Grundlegend: Der Auftragnehmer führt eine Selbsteinschätzung der NIST 800-171-Konformität basierend auf einer Überprüfung des SSP durch. Dies führt zu einem Vertrauensniveau „Niedrig.”
2. Mittel: Geschultes DoD-Personal führt eine Bewertung der NIST 800-171-Konformität eines Auftragnehmers basierend auf einer Überprüfung des SSP durch. Dies führt zu einem Vertrauensniveau „Mittel.”
3. Hoch: Auf dieser Stufe führt ein Auftragnehmer eine grundlegende Bewertung durch und reicht die Ergebnisse beim DoD ein. Darüber hinaus führt das geschulte Personal des DoD eine Bewertung der Konformität des Auftragnehmers mit NIST 800-171 durch, die auf einer gründlichen Vor-Ort- oder virtuellen Überprüfung des SSP des Auftragnehmers und der Umsetzung der NIST SP 800-171-Sicherheitsanforderungen basiert. Dies ergibt ein Vertrauensniveau „Hoch“.

Für jede Bewertung werden die Auftragnehmer nach der Anzahl der NIST 800-171-Anforderungen bewertet, die sie erfüllt haben. Die zusammenfassende Bewertung für die vom Auftragnehmer durchgeführten grundlegenden Bewertungen und für die vom DoD durchgeführten mittleren und hohen Bewertungen wird dann im Supplier Performance Risk System (SPRS) veröffentlicht. Dies hilft dem DoD, strategische Partnerschaften mit Auftragnehmern und Unterauftragnehmern einzugehen, die bewiesen haben, dass sie einen „angemessenen Schutz“ zum Schutz der verteidigungsbezogenen Informationen bieten.

Vereinfachen Sie die NIST 800-171-Konformität mit Secureframe

Secureframe kann dabei helfen, die manuelle Arbeit, die erforderlich ist, um die NIST 800-171-Konformität zu erreichen und aufrechtzuerhalten, zu automatisieren, beginnend mit der Lückenanalyse. Sobald Sie die relevanten Softwareprogramme und Tools integriert haben, die Sie täglich verwenden, können Sie genau sehen, was Sie tun müssen, um die NIST 800-171-Anforderungen basierend auf Ihren einzigartigen Konfigurationen und Ihrer IT-Infrastruktur zu erfüllen. Während Sie im Rahmen voranschreiten und Aktivitäten innerhalb der Secureframe-Plattform abschließen, wird diese aktualisiert, um Ihren Fortschrittsprozentsatz in Richtung NIST 800-171-Konformität anzuzeigen.

Um weiter die Zeit und Kosten zu reduzieren, die mit dem Erreichen und Aufrechterhalten der NIST 800-171-Konformität verbunden sind, bietet Secureframe:

• Fachwissen in Bundeskonformität : Ein engagiertes Support-Team mit ehemaligen Auditoren und Beratern von FISMA, FedRAMP und CMMC, die Sie durch die Bundesvorbereitung, Audits und Konformitätsaktualisierungen führen können
• Integrationen mit föderalen Clouds : Automatische Erfassung von Beweisen aus dem bestehenden Technologie-Stack, einschließlich Varianten von Regierungsclouds wie AWS GovCloud
• Vorgefertigte und anpassbare Richtlinien, Verfahren und Vorlagen : Vorgefertigte und anpassbare Richtlinien, Verfahren und SSPs, um den Bedürfnissen gerecht zu werden, sowie zusätzliche Vorlagen wie die Aufgabenabgrenzungsmatrix, POA&M-Dokumente, Auswirkungsbewertungen und Vorbereitungskontrolllisten
• Plattform-Schulung : Eigentümerschulungen für Mitarbeiter, die den föderalen Anforderungen entsprechen, einschließlich Schulungen zu internen Bedrohungen und rollenbasierten Schulungen, die jährlich von Konformitätsexperten überprüft und aktualisiert werden
• Rollenbasierte Zugangskontrollen : Datenzugriffskontrollen basierend auf Rollen und dem Prinzip der Notwendigkeit des Wissens
• Kontrollen und benutzerdefinierte Tests: Unterstützung für von der Organisation definierte Implementierungen für NIST 800-53 und andere Rahmenwerke
• Netzwerk vertrauenswürdiger Partner: Beziehungen zu zertifizierten Dritt-Bewertungsorganisationen (3PAO) und C3PAO, die verschiedene Bundesprüfungen unterstützen
• Kreuzkartierung zwischen den Rahmenwerken: Automatisierte Kartierung von Compliance-Bemühungen über mehrere Rahmenwerke hinweg für optimale Effizienz, sodass Sie niemals bei Null anfangen müssen
• Kontinuierliche Überwachung: Rund-um-die-Uhr-Überwachung, die Sie auf Nichtkonformitäten hinweist, sowie Unterstützung für die Risikoregistrierung und die Digitalisierung von Schwachstellen für eine kontinuierliche Überwachung und Wartung des POA&M

Um mehr darüber zu erfahren, wie Secureframe Ihnen helfen kann, die NIST 800-171 zu erfüllen, vereinbaren Sie eine Demo.