我的业务是否需要NIST合规?
如果你像成千上万的其他政府承包商一样,努力理解合规,以及需要多少资源才能达到合规, 要知道你并不孤单! 别担心,很有可能您已经在很大程度上遵循了法规.
网络安全漏洞是一种常见的威胁,在这个时代似乎很正常. 然而, 金沙乐娱app下载的政府, 以及NIST的安全专家, 继续寻求更安全和更有效的方法来保护金沙乐娱app下载的数据. 在确定您的组织应该实现的信息安全级别时, 您的数据被泄露的风险应该是驱动因素. 不那么显而易见的, 低风险组织是窃取政府机密信息的目标, 联邦政府现在正在采取额外的措施来保护他们的安全.
黑客的主要目标是非联邦组织,他们可以访问包括公民高等教育在内的联邦数据, 税, 以及医疗记录. 这种类型的信息对于恶意用户非常有价值,他们要么想直接窃取这些信息,要么想建立一个立足点,作为攻击更大的联邦机构目标的起点. 其他感兴趣的组织是利用政府数据进行研究的高等教育机构, 发展, 和/或政府拨款. 虽然传输中的数据必须按照联邦加密要求进行保护, 我想到的更大的问题是——一旦数据到达预期的接收者,应该采取什么控制措施来保护数据? 这就是NIST 800 - 171发挥作用的地方. 该标准的实施有助于填补保护非联邦信息系统的受控非机密信息(CUI)的空白.
CUI定义为“信息即法律”, 监管, 或者政府范围内的政策要求保护或传播控制, 不包括13526号行政命令下的机密信息, 国家安全机密信息, 十二月二十九日, 或任何前任或后继命令, 或者1954年的原子能法案, 经修订(第13556号行政命令)”. 那么这个冗长而复杂的政府定义到底是什么意思呢?
如果你是政府支持承包商, 例如, 它可以访问联邦信息系统或没有被标记为机密的政府数据, 或者大学使用医疗保险数据进行统计研究, 作为合同的一部分,您可能有权访问CUI,因此有义务保护它. 任何支持联邦信息系统并有权访问CUI的承包商都可能受到NIST SP 800-171的影响, CUI并不一定限于原始数据记录. 它也适用于收集到的数据, 存储, 并记录在联邦信息系统的支持. 这包括项目管理、技术写作、系统开发和咨询.
NIST 800 - 171与NIST 800-53的区别
在高水平上, NIST SP 800-53安全标准旨在供联邦政府内部使用,其中包含的控制通常不适用于承包商的内部信息系统. NIST SP 800-53为联邦组织提供顶级需求,更具体地为联邦信息系统和组织提供安全和隐私控制.
另一方面, NIST SP 800-171适用于内部承包商信息系统,并为所有CUI安全需求提供了一套标准化的需求,允许非联邦组织通过始终如一地实施CUI保障措施来遵循法律和监管要求. 另外, 许多NIST SP 800-171控制是关于策略的一般最佳安全实践, 过程, 并安全地配置IT, 这意味着很多方面, 与NIST SP 800-53相比,NIST SP 800-171被认为不那么复杂,更容易理解.
NIST SP 800-171的独特之处在于,它是为消除FIPS 200和NIST SP 800-53要求而量身定制的,这些要求包括:
- 特定于政府拥有的系统
- 与CUI无关,或者
- 期望满足无规格(i.e.、政策及程序管制).
NIST SP 800-171包含超过100个控件,分为14个控件族,在本质上更简洁, 使其在非联邦组织实施时不那么复杂.
NIST SP 800-171的一个独特特征是非联邦组织在定义如何实现需求方面具有的灵活性. 这些要求并不要求任何特定的技术解决方案, 允许承包商, 如果他们愿意, 利用他们现有的系统来保护信息, 而不是试图使用政府特有的方法. 对于已经拥有成熟系统的组织来说,这是一个好消息,这可能意味着他们将不必“撕毁并替换”现有的安全程序.
NIST SP 800-171中的安全要求旨在保护位于承包商信息系统中的CUI,同时通常减轻承包商维护以联邦为中心的流程和需求的负担. 遵守NIST SP 800-171应被视为一个良好的政府数据管理者的机会,以及这些组织竞争其他可能没有资格获得的联邦机会的机会.
