Definition und Zweck

NIST 800-172 legt erweiterte Sicherheitsanforderungen für zusätzlichen Schutz von CUI in nicht-bundesstaatlichen Systemen fest. Diese erweiterten Anforderungen ergänzen die Sicherheitsanforderungen der NIST Special Publication 800-171. Während sich NIST 800-171 in erster Linie auf den Schutz der Vertraulichkeit konzentriert, betreffen die erweiterten Sicherheitsanforderungen in NIST 800-172 den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit.

Der Hauptzweck von NIST 800-172 besteht darin, auf die Advanced Persistent Threat (APT) zu reagieren. Eine APT ist ein Gegner oder eine gegnerische Gruppe, die über die Expertise und Ressourcen verfügt, um Möglichkeiten zu schaffen, ihre Ziele durch den Einsatz mehrerer Angriffsvektoren zu erreichen, einschließlich Cyber-, physischer und Täuschungsangriffe. Da eine APT wahrscheinlich auf CUI abzielt, die mit einem kritischen Programm oder einem wertvollen Vermögenswert verbunden ist, erfordert sie zusätzlichen Schutz.

Regelungsbehörde

Das National Institute of Standards and Technology (NIST) ist die Regelungsbehörde, die für die Publikationsreihe 800, einschließlich NIST 800-172, verantwortlich ist.

Letzte Aktualisierung

NIST 800-172 wurde im Februar 2021 veröffentlicht. Seitdem gab es keine größeren Aktualisierungen.

Gilt für

NIST 800-172 gilt für nicht-bundesstaatliche Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen. Es hat Auswirkungen auf eine Vielzahl von Branchen, die im Auftrag der US-Regierung mit sensiblen Informationen umgehen.

Kontrollen und Anforderungen

NIST 800-172 beschreibt spezifische Sicherheitsanforderungen zum Schutz von CUI. Diese sind in 14 Familien organisiert:

• Zugangskontrolle
• Bewusstsein und Schulung
• Überprüfung und Verantwortlichkeit
• Konfigurationsmanagement
• Identifikation und Authentifizierung
• Vorfallreaktion
• Wartung
• Medien Schutz
• Personalsicherheit
• Physischer Schutz
• Risikobewertung
• Sicherheitsbewertung
• System- und Kommunikationsschutz
• System- und Informationsintegrität

Hinweis: Die Familien Überprüfung und Verantwortlichkeit, Wartung, Medien Schutz und Physischer Schutz enthalten derzeit keine erweiterten Sicherheitsanforderungen.

Bitte beachten Sie die offizielle NIST SP 800-172 Publikation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audit-Typ, Häufigkeit und Dauer

NIST 800-172 ist für Organisationen unerlässlich, die CMMC 2.0 Level 3 (auch bekannt als L3-Auftragnehmer) einhalten müssen. Level 3 (die „Experten“-Stufe), die derzeit in Entwicklung ist, wird auf einer Teilmenge der Anforderungen von NIST SP 800-172 basieren.

Das Ministerium beabsichtigt, dass L3-Auftragnehmer alle drei Jahre von Regierungsbeamten durchgeführte Bewertungen durchführen lassen.