Definición y propósito

NIST 800-172 establece requisitos de seguridad mejorados para proporcionar protección adicional a la CUI en sistemas no federales. Estos requisitos mejorados complementan los requisitos de seguridad en la Publicación Especial 800-171 de NIST. Mientras que NIST 800-171 se centra principalmente en la protección de la confidencialidad, los requisitos de seguridad mejorados en NIST 800-171 abordan la protección de la confidencialidad, integridad y disponibilidad.

El propósito principal de NIST 800-172 es responder a la amenaza persistente avanzada (APT). Una APT es un adversario o grupo adversario que posee la experiencia y los recursos que le permiten crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque, incluidos cibernéticos, físicos y de engaño. Dado que es probable que una APT apunte a la CUI asociada con un programa crítico o un activo de alto valor, requiere protección adicional.

Autoridad Regulatoria

El Instituto Nacional de Estándares y Tecnología (NIST) es la autoridad responsable de la serie 800 de publicaciones, incluyendo NIST 800-172.

Última actualización

NIST 800-172 se publicó en febrero de 2021. No ha habido actualizaciones importantes desde entonces.

Aplicable a

NIST 800-172 es aplicable a sistemas y organizaciones no federales que procesan, almacenan o transmiten CUI. Tiene implicaciones para una amplia gama de industrias que manejan información sensible en nombre del gobierno de los EE. UU.

Controles y requisitos

NIST 800-172 detalla requisitos de seguridad específicos dirigidos a proteger la CUI. Estos se organizan en 14 familias:

• Control de Acceso
• Concientización y Entrenamiento
• Auditoría y Responsabilidad
• Gestión de Configuración
• Identificación y Autenticación
• Respuesta a Incidentes
• Mantenimiento
• Protección de Medios
• Seguridad del Personal
• Protección Física
• Evaluación de Riesgos
• Evaluación de la Seguridad
• Protección de Sistemas y Comunicaciones
• Integridad del Sistema y la Información

Nota: Las familias de Auditoría y Responsabilidad, Mantenimiento, Protección de Medios y Protección Física no contienen requisitos de seguridad mejorados en este momento.

Por favor, consulta la publicación oficial de NIST SP 800-172 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

NIST 800-172 es esencial para las organizaciones que deben cumplir con CMMC 2.0 Nivel 3, también conocido como contratistas L3. El Nivel 3 (el nivel 'Experto'), que está actualmente en desarrollo, se basará en un subconjunto de los requisitos del NIST SP 800-172.

El Departamento tiene la intención de que los contratistas L3 se sometan a evaluaciones realizadas por funcionarios del gobierno cada tres años.