Авторами документа являются сотрудники NIST Рон Росс (Ron Ross) и Виктория Пилиттери (Victoria Pillitteri).
Мой комментарий: О работе над данным документом я уже писала ранее, см. https://rusrim.blogspot.com/2022/08/nist.html ; а о предыдущей редакции NIST SP 800-171 Rev. 2 я в свой время рассказывала здесь: https://rusrim.blogspot.com/2020/02/nist-sp-800-171.html
Также я уже рассказывала том, что такое «контролируемая несекретная информация», см. мой пост http://rusrim.blogspot.com/2010/11/blog-post_15.html ; и о ряде документов NIST серии CUI, поддерживающих управление контролируемой несекретной информацией:
- NIST SP 800-171A Rev.3 (май 2024 года) «Оценка выполнения требований по безопасности к контролируемой несекретной информации» (Assessing Security Requirements for Controlled Unclassified Information), см. https://csrc.nist.gov/pubs/sp/800/171/a/r3/final (о предыдущей редакции этого документа я рассказывала здесь: http://rusrim.blogspot.com/2018/03/nist-sp-800-171a.html - Н.Х.)
- NIST SP 800-172 (февраль 2021 года) «Усиленные требования по безопасности для защиты контролируемой несекретной информации: Приложение к NIST SP 800-171» (Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171), см. https://csrc.nist.gov/pubs/sp/800/172/final (а также мой пост http://rusrim.blogspot.com/2021/03/nist-sp-800-172-nist-sp-800-171.html - Н.Х).
- NIST SP 800-172A (март 2022 года) «Оценка выполнения усиленных требований по безопасности для защиты контролируемой несекретной информации» (Assessing Enhanced Security Requirements for Controlled Unclassified Information), см. https://csrc.nist.gov/pubs/sp/800/172/a/final
«Защита контролируемой несекретной информации (Controlled Unclassified Information, CUI) имеет первостепенное значение для федеральных органов исполнительной власти и может напрямую повлиять на способность органов федерального правительства успешно выполнять свои ключевые миссии и функции.
Настоящая публикация предоставляет федеральным органам исполнительной власти набор рекомендуемых требований по безопасности, направленных на защиту конфиденциальности контролируемой несекретной информации в тех случаях, когда она хранится в нефедеральных системах и организациях.
Требования применяются в отношении компонент нефедеральных систем, которые обрабатывают, хранят или передают контролируемую несекретную информацию (CUI) либо обеспечивают защиту таких компонентов.
Требования по безопасности предназначены для использования федеральными органами исполнительной власти в контрактных инструментах или иных соглашениях, заключаемых между этими федеральными органами и нефедеральными организациями
Данную публикацию можно использовать вместе с сопутствующей публикацией NIST SP 800-171A, в которой представлен полный набор процедур, используемых для оценки выполнения требований по безопасности.»
Содержание документа следующее:
1. Введение
2. Основные положения
3. Требования по безопасности
3.1. Меры управления доступом
3.2. Ознакомление и обучение
3.3. Аудит и подотчётность
3.4. Менеджмент конфигурации
3.5. Идентификация и аутентификация
3.6. Реагирование на инциденты
3.7. Техническая поддержка
3.8. Защита носителей информации
3.9. Защита от действий персонала
3.10. Физическая защита
3.11. Оценка рисков
3.12. Оценка и мониторинг положения безопасности
3.13. Защита систем и каналов связи
3.14. Обеспечение целостности систем и информации
3.15. Планирование
3.16. Приобретение систем и услуг
3.17. Управление рисками цепочки поставок
4. Требования по безопасности
Литература
Приложение A: Сокращения
Приложение B: Глоссарий
Приложение C: Критерии кастомизации мер и средств обеспечения безопасности
Приложение D: Параметры, устанавливаемые организацией
Приложение E: История изменений
Источник: сайт NIST
https://csrc.nist.gov/pubs/sp/800/171/r3/final
Комментариев нет:
Отправить комментарий