США: Национальный институт стандартов и технологий выложил финальный проект руководства по защите контролируемой несекретной информации в нефедеральных системах и организациях

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 2 апреля 2015 года выложил для публичного обсуждения финальный проект специальной публикации NIST SP 800-171 «Защита контролируемой несекретной информации в нефедеральных системах и организациях» (Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations), который доступен по адресу http://csrc.nist.gov/publications/drafts/800-171/sp800_171_second_draft.pdf .

В ноябре 2014 года я уже рассказывала о первоначальном проекте этого документа, см. http://rusrim.blogspot.ru/2014/11/blog-post_89.html .

Финальный проект NIST SP 800-171 содержит ряд существенных изменений, внесённых на основе замечаний и предложений, полученных от представителей общественности и частного сектора. В их число входят:

• Уточнение цели и области применения документа;


• Определение базовых предположений и ожиданий в отношении федеральных органов исполнительной власти и нефедеральных организаций, связанных с применением рекомендуемых требований к обеспечению защиты контролируемой несекретной информации (Controlled Unclassified Information, CUI);


• Разъяснение связи данного документа с федеральными правилами защиты контролируемой несекретной информации и с ожидаемым включением в Порядок федеральных государственных закупок (Federal Acquisition Regulation, FAR) требования о соответствии NIST SP 800-171 (предложение Национальных Архивов США, NARA);


• Уточнение требований по защите контролируемой несекретной информации с тем, чтобы обеспечить полный охват такой информации и привязку этих требований к федеральным политикам, стандартам и руководствам;


• Включение таблиц, наглядно показывающих взаимосвязь требований по защите контролируемой несекретной информации с описаниями мер безопасности в NIST SP 800-53 и ISO/IEC 27001;


• Добавление рекомендаций по использованию новых таблиц при реализации на практике Концепции по улучшению кибербезопасности критически-важной инфраструктуры (NIST Framework for Improving Critical Infrastructure Cybersecurity).

Публикация окончательной редакции NIST SP 800-171 намечена на июнь 2015 года по завершении общественного обсуждения финального проекта. Замечания и комментарии на проект будут приниматься до 12 мая 2015 года.

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html#800-171
http://csrc.nist.gov/publications/drafts/800-171/sp800_171_second_draft.pdf