مؤسسه ملی استاندارد و فناوری (NIST) یک عمومی اولیه را منتشر کرد پیش نویس از NIST SP 800-171، نسخه 3، حفاظت از اطلاعات طبقه بندی نشده کنترل شده در سیستم ها و سازمان های غیرفدرال. انطباق با کنترلهای امنیتی در NIST SP 800-171 برای پیمانکاران و، دفاع ا،امی است و انتظار میرود که در بند جدید فدرال اکتساب مقررات (FAR) گنجانده شود و برای همه پیمانکاران فدرال که اطلاعات طبقهبندی نشده کنترلشده را پردازش، ذخیره یا انتقال میدهند لازم است. (CUI).
بهروزرس،های نسخه 3 با نظرات عمومی و تغییرات در چشمانداز امنیتی از زم، که NIST نسخه 2 را در فوریه 2020 منتشر کرد، اطلاعرس، شد. تغییرات قابل توجه در NIST SP 800-171، نسخه 3 عبارتند از:
-
بهروزرس،های نیازمندیهای امنیتی و خانوادهها برای منع، ، تغییرات ایجاد شده در NIST SP 800-53, Rev. 5، کنترل های امنیتی و حریم خصوصی برای سیستم های اطلاعاتی و سازمان ها. انطباق با استاندارد NIST SP 800-53 دقیقتر است و عموماً برای سیستمهای اطلاعاتی فدرال یا پیمانکار، که از طرف ،ت فدرال سیستمهای اطلاعاتی را اجرا میکنند و شامل ارائهدهندگان خدمات ابری میشود، لازم است. بسیاری از تغییرات در NIST 800-171، Revision 3 دو مجموعه استاندارد را همسو می کند.
-
حذف ا،امات امنیتی منسوخ و اضافی.
-
معرفی پارامترهای تعریف شده توسط سازمان (ODPs) برای ا،امات انتخابی برای افزایش انعطاف پذیری و کمک به سازمان ها در مدیریت ریسک.
-
گنجاندن نمونه اولیه CUI پوشش این نشان می دهد که چگونه خط پایه کنترل متوسط NIST SP 800-53 در سطوح کنترل و کنترل فرعی برای محافظت از CUI تنظیم شده است.
NIST همچنین سه خانواده ا،امات امنیتی جدید (Planning (PL)، System and Services Acquisition (SA) و Supply Chain Risk Management (SR)) اضافه کرد. ویرایش 3 اکنون شامل 17 خانواده کنترل امنیتی است. این خانواده های جدید منع، کننده خانواده های کنترل در خط پایه کنترل متوسط NIST SP 800-53 هستند.
تغییرات در کنترلهای امنیتی در NIST SP 800-171، ویرایش 3 به شرح زیر است:
-
18 ا،امات بدون تغییر قابل توجه
-
49 ا،امات با تغییرات قابل توجه، که شامل جزئیات اضافی یا وظایف اساسی برای رسیدن به نیاز است
-
18 ا،امات با تغییرات جزئی
-
26 مورد نیاز جدید اضافه شد
-
27 ا،امات لغو شده (توجه داشته باشید ،اصر بسیاری از ا،امات حذف شده در سایر ا،امات گنجانده شده اند)
-
53 پارامتر تعریف شده توسط سازمان به ا،امات موجود یا جدید اضافه شده است
NIST به دنبال نظراتی در مورد پیش نویس NIST SP 800-171، ویرایش 3 توسط 14 جولای 2023. به طور خاص، NIST به بازخورد در مورد کنترلهای دستهبندی مجدد، گنجاندن پارامترهای تعریفشده توسط سازمان، و پوشش اولیه CUI علاقهمند است. نظرات باید به [email protected].
NIST پیشبینی میکند که یک نسخه پیشنویس دیگر از NIST SP 800-171، نسخه 3 را قبل از انتشار نسخه نهایی در اوایل سال 2024 منتشر کند.
حق چاپ © 2023، Sheppard Mullin Richter & Hampton LLP.بررسی حقوق ملی، جلد سیزدهم، شماره 145
منبع: https://www.natlawreview.com/article/nist-releases-initial-public-draft-nist-sp-800-171-revision-3-protection-sensitive