Die NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations, konzentriert sich auf Informationen, die von Bundesbehörden mit nicht-bundesstaatlichen Stellen geteilt werden. Die vom National Institute of Standards and Technology (NIST) herausgegebene Publikation trat am 1. Januar 2018 in Kraft und dient als Leitfaden für Bundesbehörden, um zu gewährleisten, dass Controlled Unclassified Information (CUI) bei der Verarbeitung, Speicherung und Nutzung in nicht-bundesstaatlichen Informationssystemen geschützt ist. Die in dieser Richtlinie festgelegten Sicherheitskontrollen gelten für Sie, wenn Sie Dienstleister, Warenlieferant, Auftragnehmer oder Berater einer Bundesbehörde sind, von DoD und NASA bis GSA, und wenn Sie CUI speichern oder verarbeiten.
CUI kann allgemein als Informationen beschrieben werden, die nicht in die Kategorie „klassifiziert“ fallen. Der Begriff entstand, als Bundesbehörden die großen Mengen an nicht klassifizierten Informationen, die von Anbietern und Dienstleistern verarbeitet werden, adressieren mussten.
NIST 800-171 besteht aus 109 Controls, die auf die NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, zugeschnitten sind. Diese zielen darauf ab, CUI in nicht-bundesstaatlichen Informationssystemen vor unbefugter Offenlegung zu schützen.
Die Controls sind in 14 Familien von Sicherheitsanforderungen unterteilt: Zugriffskontrolle, Audit und Rechenschaftspflicht, Bewusstsein und Schulung, Konfigurationsmanagement, Identifizierung und Authentifizierung, Reaktion auf Vorfälle, Wartung, Medienschutz, Personalsicherheit, physischer Schutz, Risikobewertung, Sicherheitsbewertung, System- und Kommunikationsschutz sowie System- und Informationsintegrität.
NIST 800-171 findet Anwendung, wenn es kein spezifisches Gesetz gibt, das regelt, wie von der Bundesregierung erhaltene CUI zu schützen sind. Das bedeutet, dass andere Bundesgesetze oder -vorschriften wie der Federal Information Security Management Act von 2014 (FISMA) nicht durch NIST 800-171 ersetzt werden, sondern die Publikation soll diese ergänzen und sicherstellen, dass alle CUI, die nicht in ihren Geltungsbereich fallen, trotzdem geschützt werden.
Wie können Unternehmen, die mit Bundesbehörden zusammenarbeiten, NIST 800-171-konform werden? Hier ist unsere Checkliste.
Identifizieren Sie CUI
Um die Anforderungen von NIST 800-171 zu erfüllen, müssen Unternehmen in erster Linie wissen, ob sie CUI erhalten und verwenden und wo diese gespeichert sind. Dies impliziert eine vollständige Prüfung der Unternehmenssysteme und Datenflüsse, angefangen bei den Computern der Mitarbeiter bis hin zu den Drittanbietern, mit denen ein Unternehmen möglicherweise zusammenarbeitet.
Die Identifizierung von Daten kann durch Tools wie Data Loss Prevention-Lösungen erleichtert werden, die es Unternehmen ermöglichen, ihre gesamten Unternehmensnetzwerke auf der Grundlage bestimmter Dateitypen, vordefinierter Inhalte, Dateinamen, regulärer Ausdrücke oder Compliance-Profile für Standards wie NIST 800-171 zu scannen.
Klassifizieren Sie Ihre Daten
Sobald CUI identifiziert sind, müssen sie in die Kategorien eingeteilt werden, zu denen sie gehören. Unter NIST 800-171 gibt es zwanzig zugelassene CUI-Kategorien, darunter Daten, die sich auf kritische Infrastrukturen, Verteidigung, Patente, Datenschutz und mehr beziehen. Jede Kategorie hat ihre eigenen Standards, die eingehalten werden müssen, daher ist es entscheidend, dass CUI korrekt klassifiziert wird.
Führen Sie eine Sicherheitsbewertung durch
Jedes Unternehmen kann, je nach Größe, Branche oder Art der Informationsverarbeitung, unterschiedliche Sicherheitsbedürfnisse haben. Der erste Schritt zur Entwicklung einer effektiven Cybersicherheits- und Datenschutzstrategie ist daher eine Bewertung der bestehenden Sicherheitsmaßnahmen. Auf diese Weise können Unternehmen die Stärke bestehender Richtlinien testen, Schwachstellen entdecken und fundierte, kosteneffiziente Entscheidungen bei der Entwicklung neuer Strategien treffen.
Entwickeln und testen Sie Baseline-Kontrollen
Baseline-Kontrollen sind das Fundament, auf dem Unternehmen ihre Sicherheits- und Compliance-Bemühungen aufbauen. Einige Unternehmen, die bereits über Cybersicherheitsrichtlinien verfügen, haben vielleicht schon einige von ihnen übernommen, aber es ist wichtig zu beachten, dass die Baseline-Kontrollen alle 14 Kontrollfamilien abdecken müssen, die in NIST 800-171 aufgeführt sind, um konform zu sein. Im Allgemeinen konzentrieren sich die Baseline-Kontrollen auf die Sicherheit vor externen Bedrohungen, den Schutz von Endgeräten, die Sicherheit von Produktivitäts-Tools wie Microsoft 365, E-Mail- und Passwortsicherheit sowie Backup und Wiederherstellung.
Sobald die Basiskontrollen in einer Datenschutzstrategie skizziert wurden, müssen sie getestet werden, um zu überprüfen, ob sie effektiv sind, von den Mitarbeitern korrekt angewendet werden und um potenzielle blinde Flecken zu identifizieren, die Raum für eine Datenverletzung lassen könnten.
Führen Sie regelmäßige Risikobewertungen durch
Um die kontinuierliche Einhaltung von NIST 800-171 zu gewährleisten, müssen Unternehmen regelmäßige Risikobewertungen durchführen, um zu prüfen, ob die vorhandenen Sicherheitsmaßnahmen CUI angemessen vor neu auftretenden Bedrohungen schützen können. Wenn Schwachstellen auftauchen, müssen Unternehmen Maßnahmen ergreifen, um sie zu entschärfen. Angesichts einer sich ständig weiterentwickelnden Bedrohungslandschaft sind ständige Wachsamkeit und Verbesserungen der Schlüssel zur Aufrechterhaltung der Kontrolle über CUI.
Dokumentieren Sicherheitspläne
Wenn es um die Einhaltung von Vorschriften geht, müssen Unternehmen in der Lage sein, ihre Bemühungen zur Einhaltung der Anforderungen von NIST 800-171 nachzuweisen. Unternehmen sollten daher ihre Sicherheitspläne dokumentieren und sie bei späteren Änderungen auf dem neuesten Stand halten. Die Dokumentation ist auch für den Fall einer Datenpanne unerlässlich. Unternehmen müssen den Aufsichtsbehörden nachweisen, dass solche Vorfälle nicht durch schlechte Sicherheitspraktiken auf ihrer Seite entstanden sind, was dazu beitragen kann, Strafen zu reduzieren oder abzuwenden.
Erstellen Sie einen Reaktionsplan auf Datenverletzungen
Obwohl die NIST 800-171-Konformität eine solide Sicherheitsgrundlage für die Systeme eines Unternehmens darstellen sollte, ist keine Cybersicherheitsstrategie narrensicher. Neue Schwachstellen und Angriffsmethoden können ausgenutzt werden, bevor ein Unternehmen die Möglichkeit hat, seine Geräte zu patchen oder seine Sicherheitsrichtlinien zu aktualisieren. Aus diesem Grund sind Reaktionspläne auf Datenschutzverletzungen ein wichtiger Bestandteil jeder Datenschutzstrategie.
Ein Plan zur Reaktion auf Datenschutzverletzungen bedeutet, dass Unternehmen im Falle eines Sicherheitsvorfalls vorbereitet sind und die Mitarbeiter wissen, welche Schritte zu unternehmen sind, um effizient darauf zu reagieren. Je schneller eine Datenverletzung eingedämmt wird, desto kostengünstiger ist es für ein Unternehmen und desto unwahrscheinlicher ist es, dass es für nicht konform mit NIST 800-171 erklärt wird.
Wecken und schulen Sie das Bewusstsein im Unternehmen
Sobald ein Sicherheitsplan implementiert ist, müssen Unternehmen sicherstellen, dass die Mitarbeiter die Compliance-Anforderungen von NIST 800-171 kennen und verstehen. Organisationen müssen ihr gesamtes Personal über die Wichtigkeit der Einhaltung von Sicherheitsregeln und die Konsequenzen bei Nichteinhaltung informieren. Sie sollten auch erklären, welche Richtlinien für die verschiedenen Abteilungen am relevantesten sind, und sicherstellen, dass alle Richtlinienänderungen sofort auch an die Mitarbeiter kommuniziert werden.
