Zum Inhalt springen
Alle Beiträge anzeigen

NIST SP 800-171: Schützen Sie vertrauliche CUI-Daten

Unter BigID

8 Minute gelesen

Die Verantwortung für Sicherung hochsensibler US-Bundesinformationen Der Schutz dieser Daten – einschließlich Informationen zur nationalen Sicherheit – obliegt nicht allein der Bundesregierung. Jeder, der mit diesen Daten in Berührung kommt, ist für ihren Schutz verantwortlich.

Auftragnehmer, Subunternehmer und andere Drittparteien und Anbieter die mit Bundesbehörden zusammenarbeiten, wie zum Beispiel Verteidigungsministerium der Vereinigten Staaten (DoD) verarbeiten üblicherweise sensible Regierungsdaten, sogenannte kontrollierte, nicht klassifizierte Informationen (CUI). Diese Auftragnehmer sind für die Einhaltung der Sonderpublikation 800-171 des National Institute of Standards and Technology (NIST SP 800-171) verantwortlich.

Was ist NIST SP 800-171?

Das National Institute of Standards and Technology (NITS) – das in seinem über hundertjährigen Bestehen neben 800-171 zahlreiche weitere Standards herausgegeben hat – ist eine nicht regulierende Behörde, die dem US-Handelsministerium untersteht. Seine erklärte Mission ist es, „Innovation und industrielle Wettbewerbsfähigkeit in den USA zu fördern, indem es Messtechnik, Standards und Technologien so weiterentwickelt, dass die wirtschaftliche Sicherheit erhöht und unsere Lebensqualität verbessert wird.“

Das 800-171-Framework definiert eine Reihe von Best Practices für nichtstaatliche Einrichtungen zum Schutz von CUI und zur Aufrechterhaltung effektiver Cybersicherheitsprogramme. Viele Compliance-Gesetze, -Vorschriften und -Anforderungen – wie die Cybersecurity Maturity Model Certification oder CMMC — orientieren sich eng am NIST SP 800-Framework.

Für wen gilt NIST SP 800-171?

Die meisten Auftragnehmer und Subunternehmer in der Lieferkette des Bundes wissen, dass sie NIST-konform sein müssen, sonst ist Schluss. Das US-Verteidigungsministerium arbeitet in vielen wichtigen Bereichen mit diesen Drittunternehmen zusammen – und diese Arbeit erfordert den Austausch sensibler Daten. Zu den häufigsten Arten von Regierungsauftragnehmern gehören:

  • Rüstungsunternehmen
  • Finanzorganisationen
  • Gesundheitsorganisationen
  • Hochschulen und Universitäten
  • Wissenschafts- und Forschungsinstitute
  • Web-, Kommunikations- und Technologieanbieter

Dies ist keine vollständige Liste. Die Implementierung von NIST SP 800-171 ist für alle Unternehmen, die mit CUI arbeiten, unerlässlich. Diese Vorgehensweise ist unerlässlich, wenn Sie Verträge mit der Regierung abschließen möchten.

Was sind CUI (Controlled Unclassified Information)?

Unter kontrollierten Informationen (CUI) versteht man „Informationen, die die Regierung erstellt oder besitzt oder die eine juristische Person für oder im Auftrag der Regierung erstellt oder besitzt und die eine Behörde gemäß einem Gesetz, einer Verordnung oder einer regierungsweiten Richtlinie unter Einsatz von Schutz- oder Verbreitungskontrollen verarbeiten muss oder darf.“

Genauer gesagt handelt es sich bei CUI um Regierungsdaten, die zwar nicht klassifiziert, aber dennoch sensibel sind und daher besondere Sicherheitskontrollen und -vorkehrungen erfordern.

Es gibt viele Arten von CUI. Die National Archives and Records Administration (NARA) hat definiert 20 Kategorien und 124 Unterkategorien von CUI die geschützt werden müssen. Zu diesen Kategorien gehören Daten aus den Bereichen kritische Infrastruktur, Verteidigung, Exportkontrolle, Finanzen, internationale Angelegenheiten, Strafverfolgung, Patente, Transport, Rechts- und Nuklearpolitik und -verfahren – und viele mehr.

Warum müssen kontrolliert klassifizierte Informationen (CUI) geschützt werden?

Auch wenn der allgegenwärtige Slogan aus Spionagethrillern „Das ist geheim“ in der Popkultur mehr Gewicht haben mag als sein Gegenstück „nicht geheim“, sind viele nicht geheime Daten dennoch hochsensibel. Verstöße von nicht klassifizierten Daten kann Programme und Verfahren der Wirtschaft und der nationalen Sicherheit stören und möglicherweise verheerende Folgen für den Betrieb von Organisationen, das Finanzvermögen und Einzelpersonen haben.

Darüber hinaus kann der Verlust oder der unzureichende Schutz von CUI direkte Auswirkungen auf die nationale Sicherheit haben – und die Cybersicherheitsbedrohungen für die Bundesregierung und das Verteidigungsministerium nehmen stetig zu, unabhängig davon, ob sie auf Lecks, Spionage oder Fahrlässigkeit zurückzuführen sind.

Unternehmen, die NIST 800-171 nicht einhalten, um CUI wirksam zu schützen, müssen mit den Konsequenzen einer schnellen Vertragskündigung, Klagen, Geldstrafen und Reputationsschäden rechnen.

Was sind die NIST 800-171-Kontrollen?

Wenn Sie als Auftragnehmer für das US-Verteidigungsministerium (DoD) tätig sind, müssen Sie möglicherweise die NIST 800-171-Kontrollen einhalten. Diese Kontrollen umfassen Richtlinien, die den Schutz kontrollierter, nicht klassifizierter Informationen (CUI) in nicht-bundesstaatlichen Informationssystemen und Organisationen gewährleisten. Die Richtlinien beschreiben die Mindestsicherheitsanforderungen, die zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von CUI erfüllt werden müssen.

Die NIST 800-171-Kontrollen sind in 14 Gruppen unterteilt, die Themen wie Zugriffskontrolle, Sensibilisierung und Schulung, Vorfallsreaktion sowie System- und Kommunikationsschutz abdecken. Die Einhaltung dieser Kontrollen erfordert von einem Unternehmen regelmäßige Risikobewertungen, die Entwicklung und Umsetzung von Sicherheitsplänen sowie die Führung einer Dokumentation zum Nachweis der Einhaltung. Durch die Einhaltung dieser Kontrollen können Auftragnehmer vertrauliche Informationen besser schützen und das Vertrauen des Verteidigungsministeriums wahren.

NIST SP 800-171 Standards und Anforderungen

1. Zugangskontrolle

22 Anforderungen zum Schutz des Flusses vertraulicher Informationen innerhalb von Netzwerken und Systemen – und zum Schutz des Zugriffs auf diese Netzwerke und Systeme.

2. Bewusstsein und Schulung

3 Anforderungen, um sicherzustellen, dass Systemadministratoren, Benutzer und Mitarbeiter die Cybersicherheitsrisiken kennen, denen sie ausgesetzt sind – und in Sicherheitsverfahren geschult sind.

3. Prüfung und Rechenschaftspflicht

9 Anforderungen für die Prüfung und Analyse von System- und Ereignisprotokollen – einschließlich Aufzeichnen, Speichern und Überprüfen von Datensätzen.

4. Konfigurationsmanagement

9 Anforderungen zur Konfiguration von Hardware und Software über Systeme und Netzwerke hinweg, zur Verhinderung nicht autorisierter Softwareinstallationen und zur Einschränkung nicht erforderlicher Programme.

5. Identifizierung und Authentifizierung

11 Anforderungen zur Identifizierung autorisierter Benutzer, zur Überwachung von Kennwortverfahren und -richtlinien und zur Durchsetzung der Unterscheidung zwischen privilegiertem und nicht privilegiertem Zugriff.

6. Reaktion auf Vorfälle

3 Anforderungen, um sicherzustellen, dass Funktionen zum Erkennen, Eindämmen und Wiederherstellen von Daten bei einer Vielzahl von Cybersicherheitsvorfällen vorhanden sind – und um diese Funktionen zu testen.

7. Wartung

6 Anforderungen zur Ermittlung der besten Vorgehensweisen im Zusammenhang mit Netzwerkwartungsverfahren – und zur Sicherstellung, dass diese regelmäßig und von autorisierten Parteien durchgeführt werden.

8. Medienschutz

9 Anforderungen zur Festlegung bewährter Verfahren für die Verwaltung oder Löschung vertraulicher Daten und Medien – sowohl physisch als auch digital.

9. Personalsicherheit

2 Anforderungen zum Schutz von nicht klassifizierten kontrollierten Informationen (CUI) im Zusammenhang mit Personal und Mitarbeitern – erstens die Überprüfung von Personen vor dem Zugriff auf vertrauliche Daten und zweitens die Beendigung oder Übertragung von Berechtigungen.

10. Physischer Schutz

6 Anforderungen zur Kontrolle des physischen Zugriffs auf nicht klassifizierte kontrollierte Informationen (Controlled Information Unit, CUI), einschließlich des Besucherzugriffs auf Arbeitsstätten, Hardware, Geräte und Ausrüstung.

11. Risikobewertung

2 Anforderungen an Organisationen, ihre Systeme regelmäßig auf Schwachstellen zu überprüfen, Netzwerkgeräte und Software auf dem neuesten Stand und sicher zu halten und auch sonst regelmäßig Risikobewertungen durchzuführen.

12. Sicherheitsbewertung

4 Anforderungen, um sicherzustellen, dass Pläne zum Schutz nicht klassifizierter kontrollierter Informationen (Controlled Unclassified Information, CUI) durch Entwicklung, Überwachung, Erneuerung und Überprüfung von Systemkontrollen sowie Sicherheitsplänen und -verfahren wirksam bleiben.

13. System- und Kommunikationsschutz

16 Anforderungen zur Überwachung von Systemen, die Informationen übertragen, zur Einschränkung der unbefugten Übertragung von Informationen und zur Umsetzung bewährter Verfahren im Zusammenhang mit Verschlüsselungsrichtlinien.

14. System- und Informationsintegrität

7 Anforderungen zur Überwachung des laufenden Schutzes von Systemen innerhalb der Organisation, einschließlich Prozessen zur Identifizierung unbefugter Nutzung und der Durchführung von Systemsicherheitswarnungen.

Checkliste zur Einhaltung von NIST 800-171

Um NIST 800-171 zu erfüllen, müssen Sie ein Audit durch eine zertifizierte Stelle oder einen Cybersicherheitspartner bestehen. Vor dem Audit sind einige grundlegende Schritte erforderlich, die weder zu komplex noch zu zeitaufwändig sind. Zur Vorbereitung auf ein reibungsloses NIST-Audit finden Sie in dieser praktischen Checkliste Hilfestellung:

1. Bestimmen Sie den Umfang Ihrer Compliance-Bemühungen: Der erste Schritt besteht darin, den Umfang Ihrer Compliance-Maßnahmen zu bestimmen. Dazu müssen Sie NIST 800-171 prüfen und ermitteln, welche Kontrollen und Anforderungen für Ihr Unternehmen gelten. Möglicherweise müssen Sie zusätzliche Schulungen absolvieren, strengere physische Zugangskontrollen implementieren und einen Medienschutzprozess etablieren.

Passen Sie außerdem Ihre Systemgrenzen an, um sicherzustellen, dass nur die erforderlichen Teile Ihrer Organisation in den Compliance-Umfang einbezogen werden. Indem Sie den Umfang Ihrer Compliance-Bemühungen identifizieren, können Sie Ihre Ressourcen effektiver einsetzen und sicherstellen, dass Sie alle erforderlichen Anforderungen erfüllen.

2. Besorgen Sie sich die erforderlichen Unterlagen: Um ein NIST 800-171 Compliance-Audit zu bestehen, benötigen Sie eine Dokumentation, die die Einhaltung aller Kontrollen und Anforderungen belegt. Vor dem Audit müssen Sie Unterlagen zu verschiedenen Bereichen zusammenstellen, darunter System- und Netzwerkarchitektur, Systemgrenzen, Datenfluss, Personal, Prozesse und Verfahren sowie zu erwarteten Änderungen.

Durch das Sammeln dieser Dokumentation können Sie nachweisen, dass Sie ein umfassendes Verständnis der Sicherheitslage und ergreifen geeignete Maßnahmen zum Schutz kontrollierter nicht klassifizierter Informationen (CUI).

3. Führen Sie eine Lückenanalyse durch und überprüfen Sie: Es ist wichtig zu verstehen, wo die Lücken zwischen Ihrem aktuellen Zustand und der vollständigen NIST 800-171-Konformität liegen. Konzentrieren Sie sich auf die wichtigsten Anforderungen der Zugriffskontrolle und arbeiten Sie sich nach unten vor. Dokumentieren Sie alle Designfehler oder Kontrolllücken, damit Sie die notwendigen Änderungen vornehmen können.

Ein erfahrener NIST-Partner unterstützt Sie bei der Erstellung einer möglichst umfassenden Lückenanalyse und Systemüberprüfung. Mithilfe einer Lückenanalyse und -überprüfung können Sie Bereiche identifizieren, in denen Sie Ihre Sicherheitslage verbessern müssen, und geeignete Maßnahmen ergreifen, um etwaige Mängel zu beheben.

4. Entwickeln Sie einen Sicherheitsplan und einen Sanierungsplan: Sobald Sie Ihre Lückenanalyse abgeschlossen haben, können Sie mit der Planung an verschiedenen Fronten beginnen. Zunächst sollten Sie einen NIST-konformen Gesamtsicherheitsplan formulieren und dokumentieren. Dieser Plan sollte die Sicherheitsziele, -vorgaben und -verfahren Ihres Unternehmens darlegen.

Sie sollten auch eine Sanierungsplan im Falle einer Kompromittierung von CUI, die den NIST-Anforderungen entsprechen sollte, um Strafen zu vermeiden. Schließlich benötigen Sie einen Aktions- und Meilensteinplan (POA und M), um sicherzustellen, dass das gesamte Projekt planmäßig verläuft. Durch die Entwicklung eines Sicherheits- und Sanierungsplans stellen Sie sicher, dass Ihr Unternehmen gut auf Sicherheitsvorfälle vorbereitet ist und die Auswirkungen von Sicherheitsverletzungen minimiert.

5. Sammeln Sie Prüfpfadnachweise: Wenn Sie Änderungen zur Einhaltung der Vorschriften vornehmen, sollten Sie Prüfnachweise erstellen, die Ihre Maßnahmen belegen und die Verantwortlichkeit gewährleisten. Dazu gehört die Identifizierung der Prüfanforderungen, die Sie anhand der oben aufgeführten 14 NIST 800-171-Kriterien erfüllen werden.

Zu den Prüfprotokollnachweisen zählen Systemprotokolle, Berichte über Sicherheitsvorfälle und andere Dokumente, die die Erfüllung der erforderlichen Anforderungen belegen. Durch die Erfassung von Prüfprotokollnachweisen können Sie Prüfern nachweisen, dass Sie geeignete Maßnahmen zum Schutz nicht klassifizierter kontrollierter Informationen (CUI) ergreifen und die Einhaltung von NIST 800-171 sicherstellen.

NIST SP 800-171-Konformität im Jahr 2023

Viele Auftragnehmer des Verteidigungsministeriums müssen nicht nur NIST-konform werden, sondern auch die CMMC-Vorschriften einhalten. Laut den im November 2021 angekündigten Aktualisierungen und Verbesserungen von CMMC 2.0 variieren die Zertifizierungsanforderungen je nach Sensibilität der von einem Unternehmen verarbeiteten CUI.

Zunächst müssen Unternehmen ihre Sicherheitsprogramme hinsichtlich Zugriffskontrollen, Risikomanagement, einem Notfallplan und mehr evaluieren. 110 Kontrollen klingen vielleicht viel, aber Die automatisierten, ML-basierten Sicherheitsfunktionen von BigID sind Organisationen hinsichtlich der Einhaltung von NIST SP 800-171 und CMMC 2.0 abgesichert.

Suchen Sie bei BigID nach: tief und breit Datenklassifizierung Funktionalität, die NLP, Fuzzy-Klassifizierung und Graphentechnologie; automatisierte Risikobewertung, die das Risiko auf der Grundlage einer Vielzahl von Datentypen misst; Dateizugriffsintelligenz das übermäßig exponierte Daten und überprivilegierte Benutzer identifiziert; eine Breach-Data-App, die die Reaktion auf einen Verstoß vereinfacht; und vieles mehr.

Mit der tiefsten Grundlage für die Datenermittlung BigID kann jedem Unternehmen dabei helfen, alle regulierten CUI mit hohem Risiko zu finden und zu schützen, das Risiko für seine sensibelsten Daten proaktiv zu reduzieren und alle vertraulichen Informationen zu schützen. sensible Regierungsinformationen bereinigen, aufbewahren oder verwerfen; und bringen Sie schließlich ihre Sicherheitsprogramme auf den neuesten Stand NIST-Konformität Standards.

Vereinbaren Sie eine kurze Demo, um mehr darüber zu erfahren, wie Sie CUI mit BigID sichern können. – und mehr dieser großen Regierungsaufträge an Land ziehen.

Autor

BigID

Lernen Sie das Autorenkollektiv von BigID kennen, ein vielfältiges Team aus Produktvermarktern, Fachexperten und Textern, die sich mit Datenschutz, Sicherheit und Governance bestens auskennen. Unser kollaborativer Ansatz nutzt eine Fülle von Branchenkenntnissen, um aufschlussreiche und informative Inhalte zu erstellen und sicherzustellen, dass Sie in dieser sich ständig weiterentwickelnden Landschaft informiert bleiben.

Inhalt