A responsabilidade por Garantir a segurança de informações federais americanas altamente sensíveis — incluindo informações de segurança nacional — não recai apenas sobre o governo federal. Qualquer pessoa que tenha acesso a esses dados é responsável por sua proteção.
Empreiteiros, subempreiteiros e outros terceiros e fornecedores. que trabalham com agências federais como a Departamento de Defesa dos Estados Unidos (DoD) Essas empresas geralmente lidam com dados governamentais sensíveis, chamados de informações não classificadas controladas (CUI). Elas são responsáveis por seguir a estrutura da Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia (NIST SP 800-171).
O que é o NIST SP 800-171?
O Instituto Nacional de Padrões e Tecnologia (NIST) — que emitiu inúmeras normas além da 800-171 ao longo de seu mais de um século de existência — é uma agência não regulatória subordinada ao Departamento de Comércio dos EUA. Sua missão declarada é "promover a inovação e a competitividade industrial dos EUA, aprimorando a ciência da medição, os padrões e a tecnologia de maneiras que fortaleçam a segurança econômica e melhorem nossa qualidade de vida".
A estrutura 800-171 define um conjunto de melhores práticas para entidades não governamentais protegerem as Informações Controladas Não Classificadas (CUI) e manterem programas eficazes de cibersegurança. Muitas leis, regulamentos e requisitos de conformidade — como o Certificação do Modelo de Maturidade em Segurança Cibernética, ou CMMC. — alinham-se estreitamente com a estrutura NIST SP 800.
A quem se aplica a publicação NIST SP 800-171?
A maioria dos contratados e subcontratados que atuam em qualquer ponto da cadeia de suprimentos federal entende a necessidade de estar em conformidade com o NIST (Instituto Nacional de Padrões e Tecnologia) ou demitir-se. O Departamento de Defesa trabalha com essas empresas terceirizadas em diversas funções essenciais — e esse trabalho exige o compartilhamento de dados confidenciais. Alguns exemplos comuns de contratados do governo incluem:
- Empreiteiras de defesa
- Organizações financeiras
- Organizações de saúde
- Faculdades e universidades
- Institutos de ciência e pesquisa
- Fornecedores de serviços web, de comunicação e tecnologia
Esta lista não é de forma alguma exaustiva. A implementação da NIST SP 800-171 é necessária para todas as empresas que lidam com CUI (Informações Controladas Não Classificadas). É o jogo que você precisa jogar se quiser firmar contratos com o governo federal.
O que é CUI (Informação Não Classificada Controlada)?
A sigla CUI (Informação Controlada Não Classificada) é definida como "informação que o governo cria ou possui, ou que uma entidade cria ou possui para ou em nome do governo, e que uma lei, regulamento ou política governamental exige ou permite que uma agência manipule utilizando controles de salvaguarda ou de divulgação".
De forma mais direta, CUI são dados governamentais que, embora não sejam classificados, ainda são sensíveis e, portanto, exigem controles e salvaguardas de segurança especiais.
Existem muitos tipos de CUI (Informações Controladas Não Classificadas). A Administração Nacional de Arquivos e Registros (NARA) definiu o que é um tipo de CUI. 20 categorias e 124 subcategorias de CUI que devem ser protegidas. Essas categorias incluem dados em infraestrutura crítica, defesa, controle de exportação, finanças, relações internacionais, aplicação da lei, patentes, transporte, políticas e procedimentos jurídicos e nucleares — e muitos outros.
Por que as informações confidenciais não classificadas (CUI) precisam de proteção?
Embora o onipresente bordão dos filmes de espionagem "isso é confidencial" possa ter mais peso na cultura pop do que seu equivalente "não confidencial", uma grande quantidade de dados não confidenciais ainda é altamente sensível. Violações O vazamento de dados não classificados pode perturbar programas e procedimentos de segurança nacional e econômica, levando a consequências potencialmente desastrosas para as operações organizacionais, ativos financeiros e indivíduos.
Além disso, a perda ou a proteção inadequada de Informações Controladas Não Classificadas (CUI) pode ter um impacto direto na segurança nacional — e as ameaças à segurança cibernética enfrentadas pelo governo federal e pelo Departamento de Defesa estão em constante crescimento, sejam elas decorrentes de vazamentos, espionagem ou negligência.
Empresas que não cumprem a norma NIST 800-171 para proteger eficazmente as Informações Controladas Não Classificadas (CUI) enfrentam as consequências de contratos cancelados rapidamente, processos judiciais, multas e danos à reputação.
Quais são os controles da norma NIST 800-171?
Se você for um contratado que trabalha com o Departamento de Defesa dos EUA (DoD), poderá ser obrigado a cumprir os controles NIST 800-171. Esses controles são um conjunto de diretrizes que garantem a proteção de informações não classificadas controladas (CUI) em sistemas e organizações de informação não federais. As diretrizes descrevem os requisitos mínimos de segurança que devem ser atendidos para salvaguardar a confidencialidade, a integridade e a disponibilidade das CUI.
Os controles da norma NIST 800-171 são divididos em 14 famílias, que abrangem tópicos como controle de acesso, conscientização e treinamento, resposta a incidentes e proteção de sistemas e comunicações. A conformidade com esses controles exige que uma organização realize avaliações de risco regulares, desenvolva e implemente planos de segurança e mantenha a documentação que comprove a conformidade. Ao aderir a esses controles, os contratados podem proteger melhor as informações confidenciais e manter a confiança do Departamento de Defesa dos EUA.
Padrões e requisitos do NIST SP 800-171
1. Controle de Acesso
22 requisitos para salvaguardar o fluxo de informações sensíveis em redes e sistemas — e proteger o acesso a essas redes e sistemas.
2. Conscientização e Treinamento
3 requisitos para garantir que administradores de sistemas, usuários e funcionários conheçam os riscos de segurança cibernética que enfrentam — e sejam treinados em procedimentos de segurança.
3. Auditoria e Responsabilidade
9 requisitos para auditoria e análise de logs de sistema e eventos — incluindo registro, armazenamento e revisão de registros.
4. Gerenciamento de Configuração
Nove requisitos para configurar hardware e software em sistemas e redes, impedir a instalação de software não autorizado e restringir programas não essenciais.
5. Identificação e Autenticação
11 requisitos para identificar usuários autorizados, monitorar procedimentos e políticas de senhas e garantir a distinção entre acesso privilegiado e não privilegiado.
6. Resposta a Incidentes
3 requisitos para garantir que existam recursos para detectar, conter e recuperar dados em diversos incidentes de segurança cibernética — além de testar esses recursos.
7. Manutenção
6 requisitos para determinar as melhores práticas em relação aos procedimentos de manutenção de rede — e garantir que sejam executados regularmente e por pessoas autorizadas.
8. Proteção de mídia
9 requisitos para estabelecer as melhores práticas para o gerenciamento ou exclusão de dados e mídias sensíveis — tanto físicas quanto digitais.
9. Segurança de pessoal
Existem dois requisitos para proteger as Informações Controladas Não Classificadas (CUI) associadas a pessoal e funcionários: primeiro, verificar a identidade dos indivíduos antes que eles acessem dados sensíveis e, segundo, encerrar ou transferir a autorização.
10. Proteção Física
6 requisitos para controlar o acesso físico às Informações Controladas Não Classificadas (CUI), incluindo o acesso de visitantes a locais de trabalho, hardware, dispositivos e equipamentos.
11. Avaliação de Riscos
2. Requisitos para que as organizações verifiquem regularmente seus sistemas em busca de vulnerabilidades, mantenham os dispositivos de rede e o software atualizados e seguros e realizem avaliações de risco regularmente.
12. Avaliação de Segurança
Quatro requisitos para garantir que os planos de proteção de Informações Controladas Não Classificadas (CUI) permaneçam eficazes, por meio do desenvolvimento, monitoramento, renovação e revisão dos controles do sistema, planos e procedimentos de segurança.
13. Proteção de Sistemas e Comunicações
16 requisitos para monitorar sistemas que transmitem informações, restringir a transferência não autorizada de informações e implementar as melhores práticas em torno de políticas de criptografia.
14. Integridade do Sistema e da Informação
7 requisitos para monitorar a proteção contínua dos sistemas dentro da organização, incluindo processos para identificar usos não autorizados e o desempenho dos alertas de segurança do sistema.
Lista de verificação de conformidade com o NIST 800-171
Para estar em conformidade com a norma NIST 800-171, você precisa passar por uma auditoria realizada por uma entidade certificada ou um parceiro de cibersegurança. Antes da auditoria, é necessário tomar algumas medidas iniciais que não são muito complexas nem demoradas. Para ajudar você a se preparar para uma auditoria NIST tranquila, siga esta lista de verificação prática:
1. Identifique o escopo dos seus esforços de conformidade: O primeiro passo é determinar o escopo dos seus esforços de conformidade. Isso envolve analisar a norma NIST 800-171 e identificar quais controles e requisitos se aplicam à sua organização. Pode ser necessário realizar treinamentos adicionais, implementar controles de acesso físico mais rigorosos e estabelecer um processo de proteção de mídias.
Você também deve ajustar os limites do seu sistema para garantir que apenas as partes necessárias da sua organização estejam incluídas no escopo da conformidade. Ao identificar o escopo dos seus esforços de conformidade, você pode concentrar seus recursos de forma mais eficaz e garantir que esteja atendendo a todos os requisitos necessários.
2. Reúna a documentação necessária: Para ser aprovado em uma auditoria de conformidade com o NIST 800-171, você precisa ter documentação que comprove o cumprimento de todos os controles e requisitos. Será necessário reunir documentação em diversas áreas antes da auditoria, incluindo arquitetura de sistemas e redes, limites do sistema, fluxo de dados, pessoal, processos e procedimentos, e mudanças previstas.
Ao reunir essa documentação, você pode demonstrar que possui um conhecimento abrangente da sua organização. postura de segurança e estão tomando as medidas apropriadas para proteger as Informações Não Classificadas Controladas (CUI).
3. Realizar uma análise de lacunas e uma revisão: É importante entender onde estão as lacunas entre o seu estado atual e a total conformidade com a norma NIST 800-171. Concentre-se nos principais requisitos de controle de acesso e vá detalhando os demais. Documente quaisquer falhas de projeto ou lacunas de controle para que você possa fazer as alterações necessárias.
Um parceiro experiente do NIST pode ajudá-lo a criar a análise de lacunas e a revisão de sistemas mais abrangentes possíveis. Ao realizar uma análise de lacunas e uma revisão, você pode identificar áreas onde precisa aprimorar sua postura de segurança e tomar as medidas apropriadas para corrigir quaisquer deficiências.
4. Desenvolver um plano de segurança e um plano de remediação: Após concluir sua análise de lacunas, você pode começar a planejar em diversas frentes. Primeiramente, você precisará formular e documentar um plano de segurança abrangente em conformidade com o NIST. Esse plano deve descrever as metas, os objetivos e os procedimentos de segurança da sua organização.
Você também deve criar um plano de remediação Caso as Informações Confidenciais Não Classificadas (CUI) sejam comprometidas, isso deve estar em conformidade com os requisitos do NIST para evitar penalidades. Por fim, você precisará de um Plano de Ação e Marcos (POA&M) para garantir que todo o projeto permaneça dentro do cronograma. Ao desenvolver um plano de segurança e um plano de remediação, você garante que sua organização esteja bem preparada para responder a quaisquer incidentes de segurança e minimizar o impacto de eventuais violações.
5. Coletar evidências de trilha de auditoria: Ao implementar mudanças para atender aos requisitos de conformidade, você precisará gerar evidências de auditoria que demonstrem as ações realizadas e garantam a responsabilização. Isso inclui identificar os requisitos de auditoria que serão atendidos com base nos 14 critérios da norma NIST 800-171, conforme listado acima.
As evidências de trilha de auditoria podem incluir registros do sistema, relatórios de incidentes de segurança e outras documentações que demonstrem que você está atendendo aos requisitos necessários. Ao coletar evidências de trilha de auditoria, você pode demonstrar aos auditores que está tomando as medidas apropriadas para proteger as Informações Controladas Não Classificadas (CUI) e garantir a conformidade com a norma NIST 800-171.
Conformidade com a NIST SP 800-171 em 2023
Muitos contratados do Departamento de Defesa precisam não apenas estar em conformidade com o NIST, mas também aderir ao CMMC. De acordo com as atualizações e melhorias do CMMC 2.0 anunciadas em novembro de 2021, os requisitos de certificação variam dependendo da sensibilidade das Informações Controladas Não Classificadas (CUI) que uma empresa manipula.
Para começar, as organizações precisam avaliar seus programas de segurança em termos de controles de acesso, gerenciamento de riscos, plano de resposta a incidentes e muito mais. 110 controles podem parecer muitos, mas Recursos de segurança automatizados e baseados em aprendizado de máquina da BigID Garantir que as organizações estejam cobertas no que diz respeito à conformidade com o NIST SP 800-171 e o CMMC 2.0.
Procure o BigID por: profundidade e amplitude classificação de dados funcionalidade que inclui PNL (Processamento de Linguagem Natural), classificação difusa e tecnologia gráfica; avaliação automatizada de risco que mede o risco com base em diversos tipos de dados; inteligência de acesso a arquivos que identifica dados superexpostos e usuários com privilégios excessivos; um aplicativo de dados de violação que simplifica a resposta a incidentes após uma violação; e muito mais.
Com o mais profundo fundação de descoberta de dados No mercado, a BigID pode ajudar qualquer empresa a encontrar e proteger todas as suas informações confidenciais regulamentadas de alto risco; reduzir proativamente o risco sobre seus dados mais sensíveis; remediar, reter ou descartar informações governamentais sensíveise, por fim, atualizar seus programas de segurança para Conformidade com o NIST padrões.
Agende uma demonstração rápida para saber mais sobre como proteger CUI com o BigID. — e conseguir mais desses grandes contratos governamentais.
Autor
