США: Национальный институт стандартов и технологий опубликовал NIST SP 800-172 «Усиленные требования по безопасности для защиты контролируемой несекретной информации: Приложение к NIST SP 800-171»

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 3 февраля 2021 года опубликовал специальную публикацию NIST SP 800-172 «Усиленные требования по безопасности для защиты контролируемой несекретной информации: Приложение к NIST SP 800-171» (Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171) объёмом 84 страницы, см. https://csrc.nist.gov/publications/detail/sp/800-172/final (прямая ссылка на PDF-файл: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-172.pdf )

О том, как в США трактуется понятие «контролируемой несекретной информации» см. также мой пост http://rusrim.blogspot.ru/2010/11/blog-post_15.html . В нашей практике ему, наверное, ближе всего соответствует «служебная тайна». На блоге есть ещё ряд постов по данной теме, в том числе следующие:

• США: Национальный институт стандартов и технологий опубликовал вторую редакцию руководства NIST SP 800-171 по защите контролируемой несекретной информации в нефедеральных системах и организациях, http://rusrim.blogspot.com/2020/02/nist-sp-800-171.html
  
  
• США: Национальный институт стандартов и технологий начал публичное обсуждение публикации NIST SP 800-171A «Оценка требований по безопасности к контролируемой несекретной информации», http://rusrim.blogspot.com/2018/03/nist-sp-800-171a.html

В новости на сайте NIST, в частности, сказано:

«Специальная публикация NIST SP 800-172 предоставляет федеральным органам исполнительной власти набор усиленных требований по безопасности для защиты конфиденциальности, целостности и доступности контролируемой несекретной информации (Controlled Unclassified Information, CUI) в нефедеральных системах и организациях от продвинутых постоянных угроз (advanced persistent threat, APT) в тех случаях, когда такая информация связана с критически-важными программами или высокоценными активами.

Источник APT-угрозы - это противник, обладающий продвинутым опытом и значительными ресурсами, которые позволяют ему достигать своих целей, используя векторы как кибератак, так и физических атак. Цели APT-угроз включают создание и расширение плацдармов в инфраструктуре целевой организации для целей организации утечки информации; подрыв или задержка выполнения критических аспектов миссии, программы или организации; или же подготовка для себя возможности достижения подобных целей в будущем.

APT-противник преследует свои цели в течение длительного периода времени, выполняя повторяющиеся атаки; адаптируется к мерам защищающейся стороны по препятствованию им, и полон решимости поддерживать уровень взаимодействия, необходимый для достижения его целей.

Усиленные требования по безопасности обеспечивают основу для многомерной стратегии глубокоэшелонированной защиты посредством применения

• устойчивой к проникновению архитектуры,
  
  
• операций, направленных на ограничение ущерба, и
  
  
• проектирования с учётом необходимости обеспечения киберустойчивости и живучести,

- меры, которые поддерживают и усиливают друг друга

Данная стратегия признает, что, несмотря на наилучшие меры защиты, реализованные организациями, APT-противник может найти способы взломать первичную защиту периметра и запустить вредоносный код в системе защищающейся стороны. В случае возникновения такой ситуации, организации должны иметь доступ к дополнительным мерам безопасности и контрмерам с тем, чтобы перехитрить, запутать, обмануть, ввести в заблуждение и замедлить своего противника, то есть лишить противника тактического преимущества, и защитить и сохранить критически важные программы и высокоценные активы организации.

Усиленные требования по безопасности, определенные и выбранные федеральным органом исполнительной власти, могут быть реализованы в дополнение к базовым и производным требованиям публикации NIST SP 800-171, поскольку эти требования не предназначены для обеспечения полной защиты от угроз высокого уровня, таких как APT. Усиленные требования по безопасности применяются в отношении компонентов нефедеральных систем, которые обрабатывают, хранят или передают контролируемую несекретную информацию (CUI) либо обеспечивают защиту таких компонентов в случае, когда информация с грифом CUI связана с критически-важной программой или высокоценным активом.

Свои вопросы и комментарии направляйте по адресу sec-cert@nist.gov .

Читайте также новость на сайте NIST «NIST предлагает инструменты, помогающие защищаться от хакеров, спонсируемых зарубежными государствами» (NIST Offers Tools to Help Defend Against State-Sponsored Hackers, см. https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers ).»

Содержание документа следующее:

1. Введение
2. Основные положения
3. Требования
Литература
Приложение A: Глоссарий
Приложение B: Сокращения
Приложение C: Таблицы соответствия требований мерам и средствам обеспечения безопасности из NIST SP 800-53
Приложение D: Влияние на риски последствий применения мер безопасности

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-172/final  
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-172.pdf