NIST 800-172
NIST 800-172 proporciona requisitos de seguridad mejorados para proteger la Información No Clasificada Controlada (CUI) en sistemas y organizaciones no federales. Detalla medidas de seguridad mejoradas para salvaguardar la información sensible que no está clasificada, pero que aún requiere protección.
Solicita una demostración de Secureframe Custom FrameworksDefinición y propósito
NIST 800-172 establece requisitos de seguridad mejorados para proporcionar protección adicional a la CUI en sistemas no federales. Estos requisitos mejorados complementan los requisitos de seguridad en la Publicación Especial 800-171 de NIST. Mientras que NIST 800-171 se centra principalmente en la protección de la confidencialidad, los requisitos de seguridad mejorados en NIST 800-171 abordan la protección de la confidencialidad, integridad y disponibilidad.
El propósito principal de NIST 800-172 es responder a la amenaza persistente avanzada (APT). Una APT es un adversario o grupo adversario que posee la experiencia y los recursos que le permiten crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque, incluidos cibernéticos, físicos y de engaño. Dado que es probable que una APT apunte a la CUI asociada con un programa crítico o un activo de alto valor, requiere protección adicional.
Autoridad Regulatoria
El Instituto Nacional de Estándares y Tecnología (NIST) es la autoridad responsable de la serie 800 de publicaciones, incluyendo NIST 800-172.
Última actualización
NIST 800-172 se publicó en febrero de 2021. No ha habido actualizaciones importantes desde entonces.
Aplicable a
NIST 800-172 es aplicable a sistemas y organizaciones no federales que procesan, almacenan o transmiten CUI. Tiene implicaciones para una amplia gama de industrias que manejan información sensible en nombre del gobierno de los EE. UU.
Controles y requisitos
NIST 800-172 detalla requisitos de seguridad específicos dirigidos a proteger la CUI. Estos se organizan en 14 familias:
- Control de Acceso
- Concientización y Entrenamiento
- Auditoría y Responsabilidad
- Gestión de Configuración
- Identificación y Autenticación
- Respuesta a Incidentes
- Mantenimiento
- Protección de Medios
- Seguridad del Personal
- Protección Física
- Evaluación de Riesgos
- Evaluación de la Seguridad
- Protección de Sistemas y Comunicaciones
- Integridad del Sistema y la Información
Nota: Las familias de Auditoría y Responsabilidad, Mantenimiento, Protección de Medios y Protección Física no contienen requisitos de seguridad mejorados en este momento.
Por favor, consulta la publicación oficial de NIST SP 800-172 para una lista detallada de controles y requisitos.
Tipo de auditoría, frecuencia y duración
NIST 800-172 es esencial para las organizaciones que deben cumplir con CMMC 2.0 Nivel 3, también conocido como contratistas L3. El Nivel 3 (el nivel 'Experto'), que está actualmente en desarrollo, se basará en un subconjunto de los requisitos del NIST SP 800-172.
El Departamento tiene la intención de que los contratistas L3 se sometan a evaluaciones realizadas por funcionarios del gobierno cada tres años.