NIST Compliance

LBMC网络安全公司从事IT安全和合规业务已有20多年. 在此期间,我们在FISMA/NIST 800-53方面积累了丰富的经验. 现在我们已经将专业知识扩展到NIST 800-171认证. 所有访问受控非机密信息(CUI)和国防部覆盖国防信息的非联邦机构都需要800-171认证.

进行NIST评估的步骤

确保明升体育app下载客户保持合规状态和强大的控制环境, LBMC使用以下步骤执行明升体育app下载NIST评估:

  • Kickoff Call -讨论合同后勤, 验证要测试的控件, 确认现场日程安排, 审查证据请求流程, 并回答任何参与前的问题
  • Documentation Review
  • 与责任人的面谈 用于控制实现获得对当前处理环境的理解.
  • 进行绩效审核 NIST规定的控制和现场巡视.
  • 听取审计报告并出具最终审计报告

我的业务是否需要遵守NIST?

如果你像成千上万的其他政府承包商一样,努力理解合规性,以及需要多少资源才能达到合规性, 要知道你并不孤单!  别担心,很可能你已经在很大程度上遵守了规则.

网络安全漏洞是一个常见的威胁,在这个时代似乎几乎是正常的.  However, our government, 以及NIST的安全专业知识, 继续寻求更安全和有效的方法来保护明升体育app下载数据. 在确定组织应实现的信息安全级别时, 您的数据被泄露的风险应该是驱动因素.  Less-obvious, 风险较低的组织是窃取政府机密信息的目标, 联邦政府现在正在采取额外的措施来保护他们的安全.

黑客的主要目标是非联邦组织,这些组织可以访问包括公民高等教育在内的联邦数据, tax, and healthcare records. 这种类型的信息对于恶意用户来说具有很高的价值,这些恶意用户要么希望直接泄露这些信息,要么希望建立一个立足点,作为攻击更大的联邦机构目标的起点.  其他感兴趣的组织是利用政府数据进行研究的高等教育机构, development, and/or government grants.  尽管传输中的数据必须受到联邦加密要求的保护, 想到的更大的问题是——一旦数据到达预期的接收方,应该采取什么控制措施来保护数据?  这就是NIST 800-171发挥作用的地方. 本标准的实施是为了帮助填补在非联邦信息系统上保护受控非机密信息(CUI)的空白.

CUI被定义为“信息即法律”, regulation, 或者政府范围内的政策要求保护或传播控制, 不包括根据13526号行政命令分类的信息, 国家安全机密信息, December 29 2009, 或者任何前驱或后继顺序, 或者1954年的原子能法案, 经修订(第13556号行政命令)".  那么,这个冗长而复杂的政府定义到底是什么意思呢?

如果你是政府支持的承包商, for example, 可以访问未被标记为机密的联邦信息系统或政府数据, 或者是使用医疗保险数据进行统计研究的大学, 作为合同的一部分,您可以访问CUI,因此有义务保护它.  任何支持联邦信息系统并访问CUI的承包商都可能受到NIST SP 800-171的影响, CUI并不一定局限于原始数据记录. 它也适用于收集的数据, stored, 并记录在联邦信息系统的支持下. 这包括项目管理、技术写作、系统开发和咨询.

NIST 800-171与NIST 800-53的区别

At a high level, NIST SP 800-53安全标准旨在供联邦政府内部使用,包含通常不适用于承包商内部信息系统的控制措施. NIST SP 800-53为联邦组织提供顶级需求,更具体地为联邦信息系统和组织提供安全和隐私控制.

On the other hand, NIST SP 800-171适用于内部承包商信息系统,并为所有CUI安全需求提供了一套标准化的要求,允许非联邦组织通过始终如一地实施CUI安全措施来遵循法定和监管要求. Additionally, 许多NIST SP 800-171控制都是关于策略的一般最佳安全实践, process, 安全配置IT, 这意味着在很多方面, 与NIST SP 800-53相比,NIST SP 800-171被认为不那么复杂,也更容易理解.

NIST SP 800-171的独特之处在于,它是为消除FIPS 200和NIST SP 800-53的要求而量身定制的:

  1. 具体到政府拥有的系统
  2. not related to CUI, or
  3. 期望在没有规格说明的情况下得到满足(i.e.、政策及程序控制).

NIST SP 800-171包括超过100个控制,跨越14个控制家族,本质上更简洁, 使非联邦组织的实现不那么复杂.

NIST SP 800-171的一个独特特征是,非联邦组织在定义如何实现需求方面具有灵活性. 这些需求并不强制要求任何特定的技术解决方案, and allow contractors, if they choose, 使用他们现有的系统来保护信息, 而不是试图使用政府特定的方法. 对于已经拥有成熟系统的组织来说,这是一个好消息,这可能意味着他们不必“撕裂并替换”他们现有的安全程序.

NIST SP 800-171中的安全要求旨在保护驻留在承包商信息系统中的CUI,同时通常减轻承包商维护以联邦为中心的流程和需求的负担.  遵守NIST SP 800-171应该被看作是一个很好的政府数据管理的机会,也是这些组织竞争其他组织可能没有资格获得的联邦机会的机会.

 

并非所有NIST报告都是平等创建的

明升体育app下载团队成员在具有安全性和遵从性要求的各种行业中拥有丰富的经验. 这种客户端体验意味着我们了解数据如何在用户实体的网络与其服务组织之间移动. 我们帮助您实现合规性,同时为您的领导者和利益相关者提供所需的见解,以做出更好的业务决策.

无论您是刚刚开始NIST认证, 或者已经从另一家供应商那里遵守了多年的规定, LBMC网络安全可以帮助您在复杂的环境中保持NIST合规性.

Executive team

链接到Drew NIST 800-171 & NIST 800-53 Compliance

Drew Hendrickson

Shareholder & 网络安全实践负责人

phone icon email icon Nashville
phone icon email icon Nashville
链接到Bill NIST 800-171 & NIST 800-53 Compliance

Bill Dean

股东,网络安全

phone icon email icon Knoxville
phone icon email icon Knoxville
连接到Stewart NIST 800-171 & NIST 800-53 Compliance

Stewart Fey

股东,网络安全

phone icon email icon Nashville
phone icon email icon Nashville