深入解析NIST SP 800-171合规要求：保护受控非密信息的安全框架

理解NIST SP 800-171合规性

NIST特别出版物800-171《保护非联邦系统和组织中的受控非密信息》为联邦机构提供了一套指导方针，旨在确保受控非密信息在非联邦系统和组织中的保密性和完整性。

当前，美国政府比历史上任何时候都更依赖外部服务提供商来执行各种任务和业务功能。NIST SP 800-171的重要性在于它旨在保护驻留在第三方供应商、政府承包商或服务提供商处的敏感联邦信息。

NIST SP 800-171不仅仅是一套最佳实践；通过DFARS，它是国防部承包商的强制性合规要求。不合规会带来严重后果：

访问控制系列侧重于将系统访问限制在授权用户、进程和设备。确保只有需要知道的人才能访问CUI。

关键要求示例：实施最小权限原则，用户仅被授予执行工作职能所需的最低访问权限。

意识和培训系列确保人员接受充分培训以履行其安全相关职责和责任。

关键要求示例：要求所有能够访问CUI的员工接受强制性的、基于角色的安全意识培训。

审计和问责系列侧重于创建、保护和保留系统审计日志，以重建事件、提供证据并确保问责。

关键要求示例：确保为所有安全相关事件生成审计记录，并保护审计日志免遭未经授权的删除或修改。

配置管理系列涉及建立和维护系统基准配置、管理变更以及监控配置设置。

关键要求示例：对所有软件、硬件和安全组件更新及新安装使用文档化、标准化的变更控制过程。

识别和认证系列在授予系统访问权限前验证用户和设备的身份。

关键要求示例：要求对特权帐户的本地和网络访问以及对CUI系统的远程访问使用多因素认证。

事件响应系列建立检测、分析、遏制安全事件和从中恢复的计划和能力。

关键要求示例：制定事件响应计划，包括在合同时间范围内向负责的联邦机构或合同官员报告CUI相关泄露的具体程序。

维护系列侧重于对系统组件执行及时和受控的维护，并管理维护工具和人员。

关键要求示例：确保所有外部维护人员在开始处理或存储CUI的系统工作前经过筛选、受到监督，并且所有包含CUI的媒体已被移除或保护。

媒体保护系列在处理、存储和运输期间保护各种类型媒体上的CUI。

关键要求示例：在处置或重用前清理包含CUI的媒体以防止数据恢复。

受控非密信息是法律、法规或政府范围政策要求具有保护或传播控制的信息，不包括根据行政命令13526分类的信息。

联邦信息安全管理法案建立了保护政府信息、操作和资产的全面框架。FISMA要求基于NIST 800系列制定、记录和实施基于风险的信息安全政策和程序。

联邦风险和授权管理计划旨在使联邦机构更容易与云服务提供商签订合同。虽然FedRAMP提供了云服务本身安全的保证，但它不会自动确保组织满足其NIST SP 800-171义务。

NIST SP 800-171的遵守是合同驱动的，这意味着要求由联邦机构通过协议或法律授权直接施加。通常，任何与第三方合作的联邦机构，以及联邦机构使用的任何非联邦系统或组织，如果处理、存储或传输受控非密信息，都必须遵守。

UpGuard通过解决供应商风险管理的完整生命周期来帮助公司保护其第三方攻击面，包括：