Wir empfehlen: Laden Sie unser KOSTENLOSES Whitepaper "Der Weg zur DSGVO-Compliance" herunter. Download

NIST 800-171-Compliance-Leitfaden

NIST 800-171-Compliance-Leitfaden

Veröffentlicht vonClaudia Kurbjuhn Veröffentlicht inCompliance Data Loss Prevention

Wie Auftragnehmer der Bundesregierungen NIST 800-171, Revision 2, Konformität mit Endpoint Protector zur Vermeidung von Datenverlust und Kontrolle von USB-Geräten erreichen können. NIST hat mehr als 200 spezielle Anforderungen herausgegeben, die viele Aspekte des Cybersicherheits-Risikomanagements für verschiedene Branchen und Anwendungsfälle abdecken. Einer davon, NIST 800-171, Revision 2, gilt für alle Organisationen, die im Auftrag der US-Bundesregierung mit kontrollierten, nicht klassifizierten Informationen (CUI) umgehen oder als Auftragnehmer, Subunternehmer oder Dienstleister für die US-Regierung tätig sind. Wenn Ihre Organisation in dieser Funktion arbeitet und CUI im Auftrag einer Bundesbehörde teilt, sammelt, verarbeitet, speichert oder übermittelt, ist es wichtig, die Rolle von NIST 800-171, Revision 2, innerhalb Ihrer Sicherheitsabläufe zu verstehen. Leider wird angesichts ihrer Breite keine Lösung alle Anforderungen von NIST 800-171, Revision 2, und NIST (National Institute of Standards and Technology) Cybersecurity Framework erfüllen. Stattdessen müssen Unternehmen mehrere Technologien und Prozesse kombinieren, um ihre erklärten Ziele zu erreichen.

Navigation im NIST-Framework

Das Verständnis der Hierarchie von NIST kann auf den ersten Blick komplex erscheinen. Die Einhaltung von NIST 800-171, Revision 2, basiert im Wesentlichen auf den fünf Kernfunktionen des NIST-Frameworks: Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen. Diese Funktionen decken die grundlegenden Anforderungen ab; von der Art und Weise, wie ein Unternehmen seine Systeme darauf vorbereitet, Risiken zu identifizieren, bis hin zu der Art und Weise, wie es reagiert und wiederherstellt. Innerhalb dieser Funktionen gibt es 110 verschiedene Steuerungen, die sowohl Technologie als auch Prozesse umfassen. Der Einfachheit halber sind diese Kontrollen in 14 Kontrollfamilien von Sicherheitsanforderungen unterteilt: Zugriffskontrolle, Audit und Rechenschaftspflicht, Awareness und Schulung, Konfigurationsmanagement, Identifizierung und Authentifizierung, Reaktion auf Vorfälle, Wartung, Medienschutz, Personalsicherheit, physischer Schutz, Risikobewertung, Sicherheitsbewertung, System- und Kommunikationsschutz sowie System- und Informationsintegrität.

Wo kann Endpoint Protector angewandt werden?

Endpoint Protector unterstützt insbesondere die Funktion Protective Technology (PT). Dies beinhaltet die Verwaltung technischer Sicherheitslösungen, um die Sicherheit und Belastbarkeit von Systemen und Assets im Einklang mit den zugehörigen Richtlinien, Verfahren und Vereinbarungen zu gewährleisten. Endpoint Protector kann Organisationen dabei helfen, dies zu erreichen, indem es eine Reihe von Tools zum Schutz von Endpunkten bereitstellt, z. B. Data Loss Prevention (DLP), Device Control und Verschlüsselung.

Fünf Kernfunktionen für die Einhaltung von NIST 800-171, Revision 2,

  1. Identifizieren (ID): Verstehen und verwalten Sie Cyber-Risiken, indem Sie Assets, Schwachstellen, Bedrohungen, Auswirkungen und Risiken identifizieren, um Ressourcen zu priorisieren.
  2. Schützen (PR): Implementieren Sie Sicherheitskontrollen, um das Cyber-Risiko zu reduzieren, einschließlich technischer, administrativer und physischer Kontrollen sowie Schulung und Planung.
  3. Erkennen (DE): Erkennen und Reagieren auf Cyber-Bedrohungen durch die Implementierung von Überwachungs- und Erkennungssystemen und -verfahren sowie eine kontinuierliche Sicherheitsüberwachung.
  4. Reagieren (RS): Reagieren Sie auf Cyber-Vorfälle und dämmen Sie sie ein, indem Sie Pläne und Verfahren zur Reaktion auf Vorfälle haben.
  5. Recover (RC): Stellen Sie den normalen Betrieb nach einem Cyber-Vorfall wieder her, indem Sie Sicherungs- und Wiederherstellungspläne, Notfallwiederherstellung und Business-Continuity-Planung erstellen.

Anwenden von Endpoint Protector auf die Protect (PR)-Funktion

Endpoint Protector kann Ihrem Unternehmen dabei helfen, mehrere Anforderungen der NIST 800-171-Konformität, Revision 2, zu erfüllen. Insbesondere ermöglicht es Ihnen, die Verwendung von Wechselmedien zu kontrollieren und Ihre sensiblen Daten vor Datenlecks zu schützen. Basierend auf einer Analyse von Organisationen, die Endpoint Protector verwenden, um ihre NIST-Verpflichtungen zu erfüllen, sind die folgenden drei wichtigsten NIST 800-171-Kontrollen aufgeführt, die mit den Funktionen Device Control und Content Aware Protection von Endpoint Protector erfüllt werden können. Hinweis: Wenn Ihre Organisation auch die Anforderungen erfüllen muss, die in der umfassenderen Veröffentlichung von NIST SP 800-53, Revision 5, einer Reihe spezifischer Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und Organisationen, dokumentiert sind, besuchen Sie unsere NIST-Compliance-Seite.

Kategorie Schutztechnik (PT)
Unterkategorie PR.PT-2: Wechselmedien sind geschützt
Kontrollfamilie MP: Medienschutz
Kontrollen und Kontrollerweiterungen 3.8.7: Kontrollieren Sie die Verwendung von Wechselmedien auf Systemkomponenten Diese Anforderung schränkt die Verwendung bestimmter Arten von Medien auf Systemen ein. Beispielsweise die Einschränkung oder das Verbot der Verwendung von Flash-Laufwerken oder externen Festplattenlaufwerken. Organisationen können technische und nichttechnische Kontrollen einsetzen, um die Verwendung von Systemmedien zu kontrollieren. Organisationen können auch die Verwendung tragbarer Speichergeräte auf nur genehmigte Geräte beschränken, darunter Geräte, die von der Organisation bereitgestellt werden, Geräte, die von anderen genehmigten Organisationen bereitgestellt werden, und Geräte, die nicht in Privatbesitz sind. Schließlich können Organisationen die Verwendung von tragbarem Speicher kontrollieren basierend auf dem Gerätetyp, das Verbieten der Verwendung von beschreibbaren, tragbaren Geräten und das Implementieren dieser Einschränkung durch Deaktivieren oder Entfernen der Fähigkeit, auf solche Geräte zu schreiben.
Steuerungstyp Abgeleitet
Endpoint Protector Anwendung Die Gerätesteuerungslösung von Endpoint Protector ermöglicht es dem Unternehmen, die Verwendung von USB-Laufwerken und anderen tragbaren Speichergeräten zu verwalten, die mit den Endpunkten der Mitarbeiter verbunden sind. Dazu gehören USB-Sticks, externe Festplatten, SD-Karten und sogar über Bluetooth verbundene Speichermedien (z. B. Smartphones). Die Verwendung externer Speichermedien kann auf Unternehmensebene blockiert oder Kontrollen eingerichtet werden, um den Zugriff auf Gruppen-/Team- oder Einzelebene zu ermöglichen. Berechtigungen können auch nur freigegebenen Speichermedien (z. B. IT-zugelassenen USB-Laufwerken) zugewiesen werden. Die File-Shadowing-Funktion ermöglicht es Sicherheitsadministratoren auch, alle Datenübertragungen zu externen Speichern auf individueller Mitarbeiterebene zu überwachen und darüber zu berichten.
Kategorie Datensicherheit (DS)
Unterkategorie PR.DS-5: Schutzmaßnahmen gegen Datenlecks sind implementiert
Kontrollfamilie System- und Kommunikationsschutz der Control-Familie
Kontrollen und Kontrollerweiterungen 3.13.1: Überwachung, Kontrolle und Schutz der Kommunikation an den externen Grenzen und wichtigen internen Grenzen von Organisationssystemen. Die Sicherung der Kommunikation kann erreicht werden, indem sie an Grenzkomponenten überwacht, kontrolliert und geschützt wird und indem Schnittstellen in Organisationssystemen eingeschränkt oder verboten werden.
Steuerungstyp Einfach
Endpoint Protector Andwendung Device Control und Content Aware Protection von Endpoint Protector ermöglichen es Sicherheitsteams, Daten vor Lecks und der Exfiltration am Endpunkt (Schnittstelle) der Mitarbeiter zu schützen. Dies umfasst die potenzielle Exfiltration von Daten durch Hardwaregeräte (z. B. USB-Laufwerke, externe Festplatten, über Bluetooth verbundene Geräte, Drucker und mehr); und auch durch Softwareanwendungen, z. E-Mail, Slack, Datei-Uploads usw. Eine genaue Kontrolle über die Exfiltration oder Übertragung von Dokumenten kann auf Unternehmens-, Gruppen-/Team- oder individueller Ebene und nach Inhaltstyp erreicht werden. Kontrollen auf Inhaltsebene können um definierte vertrauliche Daten (z. B. personenbezogene Daten (PII) oder Zahlungskarteninformationen (PCI)) herum oder durch benutzerdefinierte Richtlinien zum Schutz einzigartiger Vermögenswerte wie geistiges Eigentum (IP) oder Quellcodes aufgebaut werden.
Kategorie Datensicherheit (DS)
Unterkategorie PR.DS-5: Schutzmaßnahmen gegen Datenlecks sind implementiert
Kontrollfamilie Kontrollieren Sie die Sicherheit des Familienpersonals
Kontrollen und Kontrollerweiterungen 3.9.2: Stellen Sie sicher, dass Organisationssysteme, die CUI enthalten, während und nach Personalmaßnahmen wie Kündigungen und Versetzungen geschützt sind. Der Schutz von CUI während und nach Personalmaßnahmen kann die Rückgabe von systembezogenem Eigentum und die Durchführung von Austrittsgesprächen umfassen. Systembezogenes Eigentum umfasst Hardware-Authentifizierungstoken, Identifikationskarten, technische Handbücher für die Systemverwaltung, Schlüssel und Gebäudeausweise. Bei Kündigungsmaßnahmen ist die rechtzeitige Ausführung für Personen, die aus wichtigem Grund gekündigt wurden, von entscheidender Bedeutung. In bestimmten Situationen erwägen Organisationen, die Systemkonten von Personen, die gekündigt werden, zu deaktivieren, bevor die Personen benachrichtigt werden.
Steuerungstyp Einfach
Endpoint Protector Anwendung Device Control und Content Aware Protection von Endpoint Protector ermöglichen es Sicherheitsteams, Daten vor der Exfiltration am Endpunkt (Schnittstelle) der Mitarbeiter zu schützen und gefährdete Mitarbeiter auf eine potenzielle Exfiltration von CUI (Controlled Unclassified Information) zu überwachen. Dies ist eine häufige Bedrohung für Unternehmen, da Innentäter oft versuchen, Kopien von Arbeiten anzufertigen, zu denen sie beigetragen haben. Auch wenn diese Aktion möglicherweise keine böswillige Absicht hat, würde die Exfiltration vertraulicher Daten einen erheblichen Verstoß darstellen. Die proaktive Überwachung von Personen, die ein erhöhtes Risiko darstellen, kann durch File Shadowing weiter verbessert werden, indem Kopien aller übertragenen Dateien erstellt werden, sodass Sicherheitsadministratoren den genauen Inhalt einer Datei überprüfen können. Dies umfasst die potenzielle Exfiltration von Daten durch Hardwaregeräte (z. B. USB-Laufwerke, externe Festplatten, über Bluetooth verbundene Geräte, Drucker und mehr); und auch durch Softwareanwendungen, z. E-Mail, Slack, Datei-Uploads usw.

Was sind kontrollierte, nicht klassifizierte Informationen?

Es ist wichtig, die Arten von Daten zu verstehen, mit denen Ihre Organisation umgehen wird. NIST 800-171, Revision 2 behandelt CUI – oder Controlled Unclassified Information. Einige Beispiele für CUI sind:

  1. Exportkontrollierte Informationen wie technische Daten, die in Artikeln des Verteidigungsministeriums (DoD), Software- und Technologieunternehmen verwendet werden.
  2. Finanzinformationen, einschließlich Steuererklärungsinformationen, Finanzkontonummern und Kreditauskünfte.
  3. Strafverfolgungsinformationen, wie z. B. strafrechtliche Ermittlungen, vertrauliche Sicherheitsinformationen und nachrichtendienstliche Informationen.
  4. Personenbezogene Daten wie Sozialversicherungsnummern, Krankenakten und personenbezogene Daten (PII).
  5. Kontrollierte Technologie, einschließlich Informationen zu Nuklearanlagen, biologischen Kampfstoffen und chemischen Waffen.
  6. Transportinformationen, wie z. B. Informationen zum Transport gefährlicher Materialien und Informationen zur Transportsicherheit.
  7. Sensible Informationen im Zusammenhang mit Regierungsverträgen, Beschaffung und Erwerb.

Dies sind nur einige Beispiele für die Arten von Informationen, die als CUI betrachtet werden können. Es ist wichtig zu beachten, dass die spezifischen Kategorien und Definitionen von CUI je nach Ihrer Organisation, der Branche, der Art der verarbeiteten Bundesinformationen und dem betreffenden regulatorischen Rahmen variieren können. Glücklicherweise können Sie mit dem Content Aware Protection-Modul von Endpoint Protector die Exfiltration aller Datentypen kontrollieren und stoppen. Für diejenigen, die personenbezogene Daten (PII), personenbezogene Gesundheitsdaten (PHI) oder Zahlungskarteninformationen sichern möchten, können die vordefinierten Datenbibliotheken von Endpoint Protectors Ihrem Sicherheitsteam helfen, schnell Richtlinienvorlagen zu erstellen. Erweiterte Richtlinien können auch gegen IP, Quellcode oder jede andere Art von Daten erstellt werden, wobei Richtlinien auf verschiedene Benutzergruppen zugeschnitten sind und auf verschiedene Ausgangspunkte am Endpunkt der Mitarbeiter angewendet werden.

Wichtige Überlegungen

  • Multi-OS – Endpoint Protector ermöglicht Ihnen das Erstellen von Richtlinien zum Schutz von Windows-, macOS- und Linux-Rechnern von einer einzigen Verwaltungskonsole aus. Dies ist von entscheidender Bedeutung für Unternehmen, die das Richtlinienmanagement konsolidieren und die Anzahl der verwalteten Sicherheitsplattformen reduzieren möchten.
  • Offline-Aktivitäten schützen – Es ist wichtig, sich daran zu erinnern, dass viele Cloud-basierte Lösungen keinen Endgeräteschutz bieten, wenn der Mitarbeiter offline geht. Dies würde als besonderes Risiko für Ihre NIST-Compliance-Audit vermerkt werden.
  • Da Endpoint Protector einen einfachen Agenten verwendet, bleiben Richtlinien unabhängig vom Verbindungsstatus des Endpunkts oder dem Standort des Mitarbeiters in Kraft. Jede versuchte Richtlinienverletzung wird Ihren Administratoren gemeldet, wenn die Verbindung zum Endpunkt wiederhergestellt ist.
  • Bereitstellung – Endpoint Protector kann auf mehrere Arten bereitgestellt werden, um alle bestehenden Sicherheits- und Datenkonformitätsanforderungen zu erfüllen, die Ihr Unternehmen möglicherweise hat. Dies umfasst lokale / virtuelle Appliances oder Cloud-basiert (entweder innerhalb Ihres eigenen Cloud-Dienstes oder von uns gehostet).
  • Unternehmen sollten sich bemühen, die zur Abdeckung ihrer Systeme erforderliche Control Baseline zu verstehen, indem sie die Kritikalität und Sensibilität der Informationen bestimmen, die von diesen Systemen verarbeitet, gespeichert oder übertragen werden sollen. Nicht alle der in diesem Beitrag aufgeführten Kontrollen gelten für alle Kontroll-Baseline-Anforderungen (geringe Auswirkung, mittlere Auswirkung und hohe Auswirkung) sowie für die Datenschutzkontroll-Baseline.

Dieses Dokument dient nur zu Informationszwecken. NIST unterstützt keine kommerziellen Produkte oder Unternehmen. Organisationen sind allein dafür verantwortlich, die Angemessenheit der Verwendung von Endpoint Protector by CoSoSys zu bestimmen, um ihre NIST-Konformität zu erreichen.

Erfahren Sie mehr zum Thema Compliance

Möchten Sie tiefer in die Welt der Compliance eintauchen? Schauen Sie sich diese sorgfältig ausgewählten Informationen an, um Ihr Wissen zu erweitern:

Globale Compliance und DLP: Navigation durch Vorschriften und Schutz von Daten Data Loss Prevention: The Complete Guide Was ist Data Loss Prevention? Ein tiefer Einblick in seine Kernfunktionen DLP-Richtlinie 101: Von den Grundlagen zur professionellen Anwendung Top 3 Gründe für den Einsatz von Endpoint DLP DLP Security: Grundlagen für den Schutz von Unternehmensdaten

In diesem Artikel:

    Neueste Beiträge

    Top-Artikel

    Data Loss Prevention: The Complete Guide

    Data Loss Prevention: The Complete Guide
    Top 3 Gründe für den Einsatz von Endpoint DLP

    Top 3 Gründe für den Einsatz von Endpoint DLP
    DLP-Richtlinie 101: Von den Grundlagen zur professionellen Anwendung

    DLP-Richtlinie 101: Von den Grundlagen zur professionellen Anwendung
    Leitfaden zur Datensicherheit: Was ist Datensicherheit, Bedrohungen und bewährte Praktiken?

    Leitfaden zur Datensicherheit: Was ist Datensicherheit, Bedrohungen und bewährte Praktiken?
    Datenschutz und Datensicherheit: Was ist der Unterschied?

    Datenschutz und Datensicherheit: Was ist der Unterschied?
    DEMO ANFRAGEN
    * Wir geben Ihre Daten nicht an Dritte weiter. Machen Sie sich mit unserer Datenschutz-Richtlinie vertraut.

    Kunden die uns vertrauen