NIST 800-172

NIST 800-172 proporciona requisitos de seguridad mejorados para proteger la Información No Clasificada Controlada (CUI) en sistemas y organizaciones no federales. Detalla medidas de seguridad mejoradas para salvaguardar la información sensible que no está clasificada, pero que aún requiere protección.

Solicita una demostración de Secureframe Custom Frameworks

Definición y propósito

NIST 800-172 establece requisitos de seguridad mejorados para proporcionar protección adicional a la CUI en sistemas no federales. Estos requisitos mejorados complementan los requisitos de seguridad en la Publicación Especial 800-171 de NIST. Mientras que NIST 800-171 se centra principalmente en la protección de la confidencialidad, los requisitos de seguridad mejorados en NIST 800-171 abordan la protección de la confidencialidad, integridad y disponibilidad.

El propósito principal de NIST 800-172 es responder a la amenaza persistente avanzada (APT). Una APT es un adversario o grupo adversario que posee la experiencia y los recursos que le permiten crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque, incluidos cibernéticos, físicos y de engaño. Dado que es probable que una APT apunte a la CUI asociada con un programa crítico o un activo de alto valor, requiere protección adicional.

Autoridad Regulatoria

El Instituto Nacional de Estándares y Tecnología (NIST) es la autoridad responsable de la serie 800 de publicaciones, incluyendo NIST 800-172.

Última actualización

NIST 800-172 se publicó en febrero de 2021. No ha habido actualizaciones importantes desde entonces.

Aplicable a

NIST 800-172 es aplicable a sistemas y organizaciones no federales que procesan, almacenan o transmiten CUI. Tiene implicaciones para una amplia gama de industrias que manejan información sensible en nombre del gobierno de los EE. UU.

Controles y requisitos

NIST 800-172 detalla requisitos de seguridad específicos dirigidos a proteger la CUI. Estos se organizan en 14 familias:

Control de Acceso
Concientización y Entrenamiento
Auditoría y Responsabilidad
Gestión de Configuración
Identificación y Autenticación
Respuesta a Incidentes
Mantenimiento
Protección de Medios
Seguridad del Personal
Protección Física
Evaluación de Riesgos
Evaluación de la Seguridad
Protección de Sistemas y Comunicaciones
Integridad del Sistema y la Información

Nota: Las familias de Auditoría y Responsabilidad, Mantenimiento, Protección de Medios y Protección Física no contienen requisitos de seguridad mejorados en este momento.

Por favor, consulta la publicación oficial de NIST SP 800-172 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

NIST 800-172 es esencial para las organizaciones que deben cumplir con CMMC 2.0 Nivel 3, también conocido como contratistas L3. El Nivel 3 (el nivel 'Experto'), que está actualmente en desarrollo, se basará en un subconjunto de los requisitos del NIST SP 800-172.

El Departamento tiene la intención de que los contratistas L3 se sometan a evaluaciones realizadas por funcionarios del gobierno cada tres años.

Cumpla con los requisitos utilizando los Marcos Personalizados de Secureframe

Solicitar una demostración

Producto

Gestión de Riesgos

Revisiones de Seguridad de Proveedores

Frameworks Soportados

Soluciones

Principales Frameworks

Tipos de Socios

Programa de Socios

Recursos de Seguridad y Cumplimiento

Recursos del Marco

Recursos para Clientes

Empresa