NIST SP 800-171

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

NIST SP 800-171 הוא פרסום של המכון הלאומי לתקנים וטכנולוגיה (NIST) המגדיר סט כללים למשילות על "מידע מנוהל לא מסווג" או CUI (‏Controlled Unclassified Information), במערכות או ארגונים לא-ממשלתיים. הוא בפועל סט של תקנים המגדירים כיצד לשמור או להפיץ מידע אשר מוגדר כרגיש אף שאינו מסווג. המניע לפרסום היה חקיקת FISMA (‏Federal Information Security Management Act), חוק המחייב ניהול אבטחת מידע פדרלי בארצות הברית, שעבר בשנת 2003, והוביל ליצירת מספר תקנים והוראות בתחום.

הסמכת CMMC שמשרד ההגנה האמריקאי מחייב את כל קבלני המשנה שלו לעמוד בה, מתבססת על הוכחת מימוש בקרות של NIST SP 800-171.

הגרסה השנייה של התקן התפרסמה בפברואר 2020[1].

תחום כיסוי

בפרסום מכוסים 14 נושאים מרכזיים:

  • Access Control - בקרת גישה: למי יש הרשאות לצפות במידע?
  • Awareness and Training - מודעות והדרכה: האם האנשים הודרכו כראוי כיצד לטפל במידע?
  • Audit and Accountability - ניטור ואחריות: האם מנוהלות הרשומות למי מורשה ומי לא מורשה גישה? האם ניתן לזהות הפרות?
  • Configuration Management - ניהול תצורה: כיצד הרשת ורשומות האבטחה נבנות ומתועדות?
  • Identification and Authentication - זיהוי ואימות: אילו משתמשים מורשי גישה למידע ה CUI, וכיצד מאמתים את זהות המשתמש שמבקש גישה טרם מתן ההרשאה?
  • Incident Response - תגובה לאירוע: מה התהליך שננקט כאשר ישנה פריצת סייבר או הפרה של הנהלים, כולל יידוע הגורמים המתאימים?
  • Maintenance - תחזוקה: איזה לוח זמנים מיושם לתחזוקה ומי אחראי על כך?
  • Media Protection - הגנה על מדיה תקשורתית: כיצד מדיה אלקטרונית, רשומות קשיחות וקובצי גיבוי נשמרים בצורה מאובטחת? למי יש גישה?
  • Physical Protection - אבטחה פיזית: למי יש גישה למערכות, ציוד וסביבת האחסון?
  • Personnel Security - אבטחה אישית: כיצד מנטרים את העובדים לפני שמעניקים להם גישה ל CUI?
  • Risk Assessment - הערכת סיכונים: האם הגנות נבחנות בסימולציות? האם תהליכים ואנשים נבדקים ומאומתים באופן שגרתי?
  • Security Assessment - הערכת בטיחות: האם התהליכים וההנחיות עדיין? האם נדרשים שיפורים?
  • System and Communications Protection - אבטחת מערכות ותקשורת: האם המידע מנוטר ונשלט בצורה שגרתית בנקודות תקשורת מרכזיות, פנימיות וחיצוניות?
  • System and Information Integrity - שלמות מערכות ומידע: כמה מהר מגלים, איומים אפשריים, מזהים אותם ומתקנים אותם?

ראו גם

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

30199463NIST SP 800-171