Что такое NIST SP 800-171 и кому нужно следовать ему?

Эта статья изначально была опубликована на IndustryWeek. Сообщение в гостевом блоге Трейси Спенсер, менеджера программы грантов для TechSolve, Inc., юго-западного регионального партнера MEP Огайо, входящего в Национальную сеть MEP ^TM .

Производители, участвующие в цепочках поставок, связанных с государственными контрактами, могут ожидать, что эти награды принесут дополнительную выручку на уровнях, которые в противном случае были бы невозможны. Однако для того, чтобы получить и сохранить такую ​​работу, необходимо соблюдать Федеральное постановление о закупках (FAR) и Дополнение к Положению о федеральных закупках для обороны (DFARS).

FAR - это набор правил, который регулирует все процедуры приобретения и заключения контрактов, связанные с правительством США. DFARS сопровождает FAR в качестве дополнения. Министерство обороны (DoD) является административным органом DFARS, но требования DFARS распространяются не только на эту организацию.

NIST SP 800-171 - это специальная публикация NIST, которая предоставляет рекомендуемые требования для защиты конфиденциальности контролируемой несекретной информации (CUI). Оборонные подрядчики должны выполнять рекомендуемые требования, содержащиеся в NIST SP 800-171, чтобы продемонстрировать обеспечение адекватной безопасности для защиты защищенной информации о защите, включенной в их оборонные контракты, как того требует пункт 252.204-7012 DFARS. Если производитель является частью цепочки поставок Министерства обороны, Управления общих служб (GSA), НАСА или других федеральных агентств или агентств штата, выполнение требований безопасности, включенных в NIST SP 800-171, является обязательным.

Как реализовать NIST SP 800-171?

Производителям понятно, что им следует сделать, чтобы внедрить NIST SP 800-171 и, в конечном итоге, добиться соответствия DFARS, и есть ли в наличии специализированные ресурсы, которые помогут им достичь этой вехи без предотвратимых ловушек. Первое, что им следует помнить, это то, что соответствие требованиям DFARS, вероятно, предполагает работу с консультантом по кибербезопасности, который знает требования NIST SP 800-171 как внутри, так и снаружи.

Мелким производителям рекомендуется обращаться в Центр партнерства по расширению производства (MEP) своего штата. Являясь частью MEP National Network ™, более крупной организации, которая связывает их с NIST, представители в вашем местном центре MEP будут иметь практические знания NIST SP 800-171 и могут помочь компаниям подготовиться к соблюдению требований DFARS. Это может быть короткий или длительный процесс, в зависимости от сложности операционной среды и информационных систем компании, но внедрение NIST SP 800-171 является необходимым процессом для компании по защите своей информации.

Что подразумевает успешный план?

Производители, которые хотят сохранить свои контракты с DoD, GSA, NASA и другими федеральными агентствами и агентствами штата, должны иметь план, отвечающий требованиям NIST SP 800-171. Пункт 252,204-7012 DFARS о кибербезопасности вступил в силу 31 декабря 2017 года и касается обработки, хранения или передачи CUI, которые существуют в нефедеральных системах, например, используемых государственным подрядчиком.

Один из первых шагов, который следует предпринять производителям, - это определить, где существуют пробелы, которые мешают им соответствовать требованиям DFARS. С этого момента они могут решить, как действовать дальше.

Как производителям начать работать над соблюдением нормативных требований?

Национальная сеть MEP предлагает специальные ресурсы для производителей, которым нужна информация о состоянии кибербезопасности компании, которая может помочь компаниям понять, что на самом деле означает для них соблюдение требований DFARS. Компании могут видеть, применяется ли к ним соответствие требованиям DFARS, и просматривать инфографику, которая рекомендует шаги, которые необходимо предпринять, чтобы сделать их производственные цеха более безопасными.

Национальная сеть MEP также предоставляет особый ресурс, на который производители, несомненно, будут ссылаться снова и снова:Руководство NIST по самооценке (NIST Handbook 162). Он занимает более 150 страниц и помогает читателям оценить свои возможности, чтобы сделать вывод о том, насколько они близки к внедрению NIST SP 800-171, чтобы помочь им понять, насколько они близки к соблюдению требований DFARS. Это также помогает определить, на чем следует сосредоточить усилия при внесении улучшений, чтобы максимально увеличить отдачу от каждого доллара, потраченного на кибербезопасность.

Например, в документе содержится информация о том, как проводить оценку и с какими сотрудниками следует поговорить о требованиях безопасности. Производители, прочитавшие руководство, заметят, что каждый вопрос оценки имеет вариант «альтернативного подхода». Это относится к тому факту, что производители могут найти некоторые требования в NIST SP 800-171, которые к ним не относятся.

В этом случае допустимо использовать другой, но столь же эффективный метод обеспечения безопасности - при условии, что соответствующие производители уведомят соответствующие государственные органы об изменениях и получат на них одобрение.

Представители производственных предприятий также могут лучше понять требования соответствия, посмотрев веб-семинар, в котором рассматриваются некоторые важные элементы руководства.

Сложность не должна быть препятствием

Производители могут изначально рассматривать требования к кибербезопасности для государственных контрактов как слишком сложные, особенно если у них небольшие предприятия.

Тем не менее, использование доступных ресурсов, включая местные центры MEP, позволяет производителям осознать, что можно достичь соответствия DFARS, а также оставаться в соответствии с ними, реализуя требования NIST SP 800-171 и открывая возможности для получения финансового вознаграждения и государственные контракты, повышающие репутацию.

Местный центр MEP является идеальным ресурсом для производителей, когда они приступают к выполнению плана, в котором подробно описывается, как реализовать требования кибербезопасности NIST SP 800-171.

Каждый центр MEP имеет доступ к ресурсам государственного и частного секторов, которые могут помочь компаниям с большей уверенностью обеспечивать соблюдение нормативных требований. Офисы есть во всех 50 штатах и ​​в Пуэрто-Рико.