четверг, 27 февраля 2020 г.

США: Национальный институт стандартов и технологий опубликовал вторую редакцию руководства NIST SP 800-171 по защите контролируемой несекретной информации в нефедеральных системах и организациях


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) в конце февраля 2020 года опубликовал окончательный текст второй редакции специальной публикации NIST SP 800-171 «Защита контролируемой несекретной информации в нефедеральных системах и организациях» (NIST Special Publication 800-171, Revision 2, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations), который доступен по адресу https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf . Объём документа 113 страниц (для сравнения – объём первой редакции, о которой я рассказывала здесь: http://rusrim.blogspot.com/2015/07/blog-post_15.html , был «всего лишь» 76 страниц).

В аннотации, в частности, сказано:
«Защита контролируемой несекретной информации (controlled unclassified information, CUI) в то время, когда она находится в нефедеральных системах и организациях, имеет первостепенное значение для федеральных органов исполнительной власти и может напрямую повлиять на способность органов федерального правительства выполнять свои миссии и осуществлять деловые операции.

Настоящая публикация предоставляет федеральным органам исполнительной власти набор рекомендуемых требований по безопасности, направленных на защиту конфиденциальности такой информации:

1. Когда такая информация хранится в нефедеральных системах и организациях;

2. Когда системы, в которых находятся контролируемая несекретная информация, не используются и не управляются подрядчиками федеральных органов исполнительной власти или иными организациями от имени этих федеральных органов; и

3. Когда для категории или подкатегории CUI, включённой в Реестр CUI (CUI Registry) нет специфических требований по защите конфиденциальности CUI-информации, установленных законом, нормативным актом или общегосударственной политикой.

Во второй редакции документа внесены незначительные редакционные изменения в главы 1 и 2, а также в глоссарий, список сокращений и список литературы (в приложениях). Базовые и производные требования по безопасности в главе 3 остались без изменений.»
Содержание документа следующее:
Глава 1. Введение
1.1. Назначение и область применения
1.2. Целевая аудитория
1.3. Структура настоящей специальной публикации

Глава 2. Основные положения
2.1. Основные допущения
2.2. Разработка требований по безопасности

Глава 3. Требования
3.1. Меры управления доступом
3.2. Ознакомление и обучение
3.3. Аудит и подотчётность
3.4. Менеджмент конфигурации
3.5. Идентификация и аутентификация
3.6. Реагирование на инциденты
3.7. Техническая поддержка
3.8. Защита носителей информации
3.9. Защита от действий персонала
3.10. Физическая защита
3.11. Оценка рисков
3.12. Оценка положения дел с обеспечением безопасности
3.13. Защита систем и каналов связи
3.14. Обеспечение целостности систем и информации

Приложение A: Литература
Приложение B: Глоссарий
Приложение C: Сокращения
Приложение D: Таблицы соответствия требований и мер безопасности
Приложение E: Таблицы степени обязательности и возможности кастомизации мер и средств обеспечения безопасности
Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final 

Комментариев нет:

Отправить комментарий