hero-two-bg

NIST 800-172

NIST 800-172 proporciona requisitos de seguridad mejorados para proteger la Información No Clasificada Controlada (CUI) en sistemas y organizaciones no federales. Detalla medidas de seguridad mejoradas para salvaguardar la información sensible que no está clasificada, pero que aún requiere protección.

Solicita una demostración de Secureframe Custom Frameworksangle-right

Definición y propósito

NIST 800-172 establece requisitos de seguridad mejorados para proporcionar protección adicional a la CUI en sistemas no federales. Estos requisitos mejorados complementan los requisitos de seguridad en la Publicación Especial 800-171 de NIST. Mientras que NIST 800-171 se centra principalmente en la protección de la confidencialidad, los requisitos de seguridad mejorados en NIST 800-171 abordan la protección de la confidencialidad, integridad y disponibilidad.

El propósito principal de NIST 800-172 es responder a la amenaza persistente avanzada (APT). Una APT es un adversario o grupo adversario que posee la experiencia y los recursos que le permiten crear oportunidades para lograr sus objetivos mediante el uso de múltiples vectores de ataque, incluidos cibernéticos, físicos y de engaño. Dado que es probable que una APT apunte a la CUI asociada con un programa crítico o un activo de alto valor, requiere protección adicional.

Autoridad Regulatoria

El Instituto Nacional de Estándares y Tecnología (NIST) es la autoridad responsable de la serie 800 de publicaciones, incluyendo NIST 800-172.

Última actualización

NIST 800-172 se publicó en febrero de 2021. No ha habido actualizaciones importantes desde entonces.

Aplicable a

NIST 800-172 es aplicable a sistemas y organizaciones no federales que procesan, almacenan o transmiten CUI. Tiene implicaciones para una amplia gama de industrias que manejan información sensible en nombre del gobierno de los EE. UU.

Controles y requisitos

NIST 800-172 detalla requisitos de seguridad específicos dirigidos a proteger la CUI. Estos se organizan en 14 familias:

  • Control de Acceso
  • Concientización y Entrenamiento
  • Auditoría y Responsabilidad
  • Gestión de Configuración
  • Identificación y Autenticación
  • Respuesta a Incidentes
  • Mantenimiento
  • Protección de Medios
  • Seguridad del Personal
  • Protección Física
  • Evaluación de Riesgos
  • Evaluación de la Seguridad
  • Protección de Sistemas y Comunicaciones
  • Integridad del Sistema y la Información

Nota: Las familias de Auditoría y Responsabilidad, Mantenimiento, Protección de Medios y Protección Física no contienen requisitos de seguridad mejorados en este momento.

Por favor, consulta la publicación oficial de NIST SP 800-172 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

NIST 800-172 es esencial para las organizaciones que deben cumplir con CMMC 2.0 Nivel 3, también conocido como contratistas L3. El Nivel 3 (el nivel 'Experto'), que está actualmente en desarrollo, se basará en un subconjunto de los requisitos del NIST SP 800-172.

El Departamento tiene la intención de que los contratistas L3 se sometan a evaluaciones realizadas por funcionarios del gobierno cada tres años.

Cumpla con los requisitos utilizando los Marcos Personalizados de Secureframe

Solicitar una demostraciónangle-right
cta-bg