Définition et objectif

Le NIST 800-172 établit des exigences de sécurité renforcées pour fournir une protection supplémentaire pour les CUI dans les systèmes non fédéraux. Ces exigences renforcées complètent les exigences de sécurité du NIST Special Publication 800-171. Alors que le NIST 800-171 se concentre principalement sur la protection de la confidentialité, les exigences de sécurité renforcées du NIST 800-171 abordent la protection de la confidentialité, de l'intégrité et de la disponibilité.

Le principal objectif du NIST 800-172 est de répondre à la menace persistante avancée (APT). Une APT est un adversaire ou un groupe d'adversaires qui possède l'expertise et les ressources nécessaires pour créer des opportunités d'atteindre ses objectifs en utilisant plusieurs vecteurs d'attaque, y compris cybernétique, physique et la tromperie. Étant donné qu'un APT est susceptible de cibler les CUI associés à un programme critique ou à un actif de grande valeur, il nécessite une protection supplémentaire.

Organisme de réglementation

L'Institut National des Normes et de la Technologie (NIST) est l'organisme de réglementation responsable de la série 800 de publications, y compris le NIST 800-172.

Dernière mise à jour

Le NIST 800-172 a été publié en février 2021. Il n'y a pas eu de mises à jour majeures depuis.

S'applique à

Le NIST 800-172 s'applique aux systèmes et organisations non fédéraux qui traitent, stockent ou transmettent des CUI. Il a des implications pour un large éventail d'industries qui manipulent des informations sensibles au nom du gouvernement américain.

Contrôles et exigences

Le NIST 800-172 décrit des exigences de sécurité spécifiques visant à protéger les CUI. Celles-ci sont organisées en 14 familles :

• Contrôle d'accès
• Conscience et formation
• Audit et responsabilisation
• Gestion de la configuration
• Identification et authentification
• Réponse aux incidents
• Maintenance
• Protection des médias
• Sécurité du personnel
• Protection physique
• Évaluation des risques
• Évaluation de la sécurité
• Protection des systèmes et des communications
• Intégrité des systèmes et des informations

Remarque : Les familles Audit et responsabilisation, Maintenance, Protection des médias et Protection physique ne contiennent pas d'exigences de sécurité renforcées pour le moment.

Veuillez consulter la publication officielle NIST SP 800-172 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

NIST 800-172 est essentiel pour les organisations qui doivent se conformer au niveau 3 de la CMMC 2.0, également connu sous le nom de contractants L3. Le niveau 3 (le niveau « Expert »), actuellement en cours de développement, sera basé sur un sous-ensemble des exigences du NIST SP 800-172.

Le Département prévoit que les contractants L3 subissent des évaluations effectuées par des fonctionnaires gouvernementaux tous les trois ans.