NIST 800-172
NIST 800-172 bietet erweiterte Sicherheitsanforderungen zum Schutz von Controlled Unclassified Information (CUI) in nicht-bundesstaatlichen Systemen und Organisationen. Es beschreibt erweiterte Sicherheitsmaßnahmen zum Schutz sensibler Informationen, die nicht klassifiziert sind, aber dennoch Schutz benötigen.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
NIST 800-172 legt erweiterte Sicherheitsanforderungen für zusätzlichen Schutz von CUI in nicht-bundesstaatlichen Systemen fest. Diese erweiterten Anforderungen ergänzen die Sicherheitsanforderungen der NIST Special Publication 800-171. Während sich NIST 800-171 in erster Linie auf den Schutz der Vertraulichkeit konzentriert, betreffen die erweiterten Sicherheitsanforderungen in NIST 800-172 den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit.
Der Hauptzweck von NIST 800-172 besteht darin, auf die Advanced Persistent Threat (APT) zu reagieren. Eine APT ist ein Gegner oder eine gegnerische Gruppe, die über die Expertise und Ressourcen verfügt, um Möglichkeiten zu schaffen, ihre Ziele durch den Einsatz mehrerer Angriffsvektoren zu erreichen, einschließlich Cyber-, physischer und Täuschungsangriffe. Da eine APT wahrscheinlich auf CUI abzielt, die mit einem kritischen Programm oder einem wertvollen Vermögenswert verbunden ist, erfordert sie zusätzlichen Schutz.
Regelungsbehörde
Das National Institute of Standards and Technology (NIST) ist die Regelungsbehörde, die für die Publikationsreihe 800, einschließlich NIST 800-172, verantwortlich ist.
Letzte Aktualisierung
NIST 800-172 wurde im Februar 2021 veröffentlicht. Seitdem gab es keine größeren Aktualisierungen.
Gilt für
NIST 800-172 gilt für nicht-bundesstaatliche Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen. Es hat Auswirkungen auf eine Vielzahl von Branchen, die im Auftrag der US-Regierung mit sensiblen Informationen umgehen.
Kontrollen und Anforderungen
NIST 800-172 beschreibt spezifische Sicherheitsanforderungen zum Schutz von CUI. Diese sind in 14 Familien organisiert:
- Zugangskontrolle
- Bewusstsein und Schulung
- Überprüfung und Verantwortlichkeit
- Konfigurationsmanagement
- Identifikation und Authentifizierung
- Vorfallreaktion
- Wartung
- Medien Schutz
- Personalsicherheit
- Physischer Schutz
- Risikobewertung
- Sicherheitsbewertung
- System- und Kommunikationsschutz
- System- und Informationsintegrität
Hinweis: Die Familien Überprüfung und Verantwortlichkeit, Wartung, Medien Schutz und Physischer Schutz enthalten derzeit keine erweiterten Sicherheitsanforderungen.
Bitte beachten Sie die offizielle NIST SP 800-172 Publikation für eine detaillierte Liste der Kontrollen und Anforderungen.
Audit-Typ, Häufigkeit und Dauer
NIST 800-172 ist für Organisationen unerlässlich, die CMMC 2.0 Level 3 (auch bekannt als L3-Auftragnehmer) einhalten müssen. Level 3 (die „Experten“-Stufe), die derzeit in Entwicklung ist, wird auf einer Teilmenge der Anforderungen von NIST SP 800-172 basieren.
Das Ministerium beabsichtigt, dass L3-Auftragnehmer alle drei Jahre von Regierungsbeamten durchgeführte Bewertungen durchführen lassen.