NIST SP 800-171 Revizyon 3'e Nasıl Uyulur?

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kontrollü sınıflandırılmamış bilgileri (CUI) korumak için yönergeler ve güvenlik gereksinimleri belirlemek üzere NIST 800-171 çerçevesini geliştirdi. NIST, çerçeveyi ilk olarak Haziran 2015'te oluşturdu, ancak o zamandan beri yayını en son Kasım 2023'te olmak üzere birkaç kez revize etti.

NIST'in NIST 800-171 Revizyon 3 olarak bilinen en son revizyonu, yayının kontrol aileleri, güvenlik kontrolleri (eski adıyla NFO'lar), uyarlama kriterleri ve kuruluş tanımlı parametreler (ODP'ler) için önemli güncellemeler içerir. Revizyon 3, özellikle kuruluşların risk değerlendirme iş akışlarının uygulanması, sürekli izleme ve tedarik zinciri risk yönetimi (SCRM) ile ilgili ek stratejiler dahil olmak üzere katı üçüncü taraf risk yönetimi (TPRM) gerekliliklerine uymasını gerektirir.

Kuruluşunuzun NIST 800-171'in en son revizyonuna uymak için ne yapması gerektiğini öğrenmek için okumaya devam edin ve UpGuard'ın NIST uyumlu olma yolculuğunuzda size nasıl yardımcı olabileceğini keşfedin.

Dünyanın #1 numaralı üçüncü taraf risk yönetimi çözümünü keşfedin: UpGuard Vendor Risk >

NIST Özel Yayını 800-171 nedir?

NIST 800-171 Zaman Çizelgesi

UpGuard siber güvenlik blogu, NIST SP 800-171'e kapsamlı bir genel bakış ve ücretsiz bir NIST 800-171 uyumluluk kontrol listesi içerir. Bu makale, Rev. 3'te yer alan güncellemelere (ve bu güncellemelerin daha önce NIST 800-171 Rev. 2 ile uyumlu olan kuruluşları nasıl etkilediğine) kesinlikle değineceğinden, bu kaynakları okumak, yayının ayrıntılarını tanımanın en iyi yoludur.

İşte NIST 800-171'in kritik bileşenleri hakkında hızlı bir tazeleme:

  • Federal olmayan sistemlerde ve kuruluşlarda CUI'yi korumaya odaklanır
  • CUI'nin gizliliğini korumak için federal kurumlara temel stratejiler sağlar
  • Erişim kontrolü, tanımlama ve kimlik doğrulama gibi konularda 17 kontrol ailesini kapsar
  • Tüm Savunma Bakanlığı (DoD) yüklenicileri NIST'e (DFARS 252.204-7012) uymalıdır
  • Genellikle Siber Güvenlik Olgunluk Modeli Sertifikası (CMMC) ile karşılaştırılır

NIST SP 800-171 Revizyon 3 Neden Önemlidir?

NIST 800-171 Rev.2 ve Rev.3'ün Karşılaştırılması

En son NIST SP 800-171 revizyonu, federal bilgileri işleyen tüm devlet yüklenicilerine ve ilgili satıcılara katı TPRM gereklilikleri getirdiği için kritik öneme sahiptir. Toplamda, yayının Revizyon 3'ü, daha önce Revizyon 2'ye dahil edilmeyen 17 yeni gereksinim içermektedir.

NIST, Rev. 2 ve Rev. 3 arasında yapılan tüm önemli değişiklikleri (tartışma bölümü biçimlendirmesi ve metodolojideki değişiklikler dahil) izleyen NIST 800-171'in ayrıntılı bir analizi de dahil olmak üzere, yayına eşlik edecek çeşitli destekleyici belgeler oluşturmuştur. ve bir prototip CUI kaplaması.

NIST SP 800-171R3 Ne Zaman Sonuçlandırılacak?

En son NIST 800-171 revizyonundan etkilenen kuruluşlar, NIST belgeyi tamamlamadan ve uyumluluk gerekmeden önce çözümleri uygulamak için hızlı hareket etmelidir. NIST, belgeyi 2024'ün ilk yarısında tamamlamayı hedeflerken, enstitü 2025'in başlarında resmi değerlendirmeler ve denetimler yapacak.

NIST, Rev.3'ün ilk halka açık taslağını (IPD) 10 Mayıs 2023'te yayınladı. IPD'yi yayınladıktan sonra enstitü, nihai kamuya açık taslağı yayınlamadan önce saha değişiklikleri için bir kamuoyu yorum dönemi düzenledi (FPD Kasım 2023'te.

NIST 800-171 Rev. 3'ün TPRM Gereksinimleri Nelerdir?

NIST 800-171 Rev. 3'ün TPRM gereksinimleri çok geniştir ve en hazırlıklı kuruluşlara bile meydan okuyabilir. Kuruluşunuz risk yönetimi programını genişletmek için çabalıyorsa, bu en iyi eylem planıdır:

En son NIST gereksinimlerini anlayarak başlayın, ardından programınızdaki uyumluluk boşluklarını belirlemek için TPRM süreçlerinizi bu gereksinimlere göre değerlendirin. Son olarak, bu boşlukları giderin ve TPRM programınızı yükseltmek için stratejiler uygulayın ve NIST 800-171'in en son spesifikasyonlarına tam olarak uyun.

UpGuard'ın kuruluşların TPRM programlarını yükseltmelerine nasıl yardımcı olduğunu keşfedin>

NIST 800-171 Rev. 3'ün en kritik TPRM gereksinimleri şunları içerir:

  • 3.11.1 - Risk Değerlendirmesi: Kuruluşların CUI'yi işleme, saklama veya iletme risklerini değerlendirmesini ve risk değerlendirmelerini periyodik olarak güncellemesini gerektirir
  • 3.11.2 - Güvenlik Açığı İzleme ve Tarama: Kuruluşların güvenlik açıklarını izlemesini ve taramasını ve belirlenen güvenlik açıklarını düzeltmesini gerektirir
  • 3.12.2 - Eylem Planı ve Kilometre Taşları: Kuruluşların eksiklikleri gidermek ve güvenlik açıklarını ortadan kaldırmak için bir eylem planı oluşturmasını gerektirir
  • 3.12.3 - Sürekli İzleme: Kuruluşların sistemlerini güvence altına almak için sürekli izleme ve güvenlik değerlendirmeleri yüklemelerini gerektirir

3.11.1 Risk Değerlendirmesi

NIST 800-171'in risk değerlendirme gereklilikleri, CUI'yi işleyen, depolayan veya ileten kuruluşların operasyonlarıyla ilişkili riskleri değerlendirmek için iş akışları geliştirmelerini gerekli kılar. Bir kuruluşun risk değerlendirmeleri, tedarik zinciri ve satıcı uyumluluk riskleri dahil olmak üzere birinci taraf ve üçüncü taraf risklerini değerlendirmelidir. Kuruluş ayrıca, bilgi sistemi değişikliklerine ve tedarik zinciri genişlemelerine ayak uydurmak için bu risk değerlendirmelerini periyodik olarak güncellemekten de sorumludur.

UpGuard Vendor Risk, yüzlerce kuruluşun tedarikçi risk değerlendirme süreçlerini kolaylaştırmasına yardımcı oldu. Çözümümüz, bir kuruluşun satıcı ilişkilerine ve belirli risk maruziyetine göre uyarlanmış özel risk değerlendirmelerine erişim sağlar.

Satıcı güvenlik değerlendirme sürecinizi yükseltmek için UpGuard Satıcı Riski'ni kullanarak kuruluşunuz şunları yapabilir:

  • Uzun, hataya açık elektronik tablo tabanlı değerlendirmelere olan ihtiyacı ortadan kaldırın
  • Kanıt toplayın ve riskleri düzeltin veya risklerden feragat edin, bunların tümünü aynı kullanımı kolay iş akışında yapın
  • Yeni veya mevcut bir satıcıyı değerlendirmek için gereken süreyi azaltın
  • NIST 800-171'in risk değerlendirme gerekliliklerine uyun

3.11.2 Güvenlik Açığı İzleme ve Tarama

NIST 800-171 artık ilgili kuruluşların TPRM programlarına sürekli güvenlik açığı izleme ve tarama stratejileri yüklemelerini gerektiriyor. Bu gereksinimler ayrıca kuruluşları bilinen güvenlik açıklarını derhal düzeltmeye ve güvenlik açığı izleme sistemlerinin kapsamını, tanımlanıp bildirildikçe yeni güvenlik açıklarını taramak için güncellemeye zorlar.

UpGuard'ın siber güvenlik çözümleri, dış ve üçüncü taraf saldırı yüzeylerini güvenlik açıklarına karşı izleyerek kuruluşlara gönül rahatlığı sağlar. Güvenlik açığı izleme için UpGuard'ı kullanan kuruluşlar:

  • Siber güvenlik programlarına güven kazanın
  • Dijital varlıklar ve üçüncü taraf satıcılar arasında sürekli izleme sağlayın
  • Bilinen ve bilinmeyen harici varlıklar üzerinde tam görünürlük elde edin
  • Markalarının itibarını koruyun
  • NIST 800-171'in güvenlik açığı izleme gereksinimlerine uyun

3.12.2 Eylem Planı ve Kilometre Taşları

En son NIST 800-171 revizyonu, kamu yüklenicilerinin risk iyileştirme ve güvenlik açığı yönetimi iş akışları geliştirmesini gerektirir. Daha spesifik olarak, kuruluşlar, iyileştirme eylemlerini ve ortadan kaldırılan güvenlik açıklarını belgeleyen iç sistemleri için bir eylem planı ve kilometre taşları oluşturmalıdır. Kuruluşlar ayrıca bu planı güvenlik değerlendirmeleri, bağımsız denetimler veya izleme faaliyetlerinden elde edilen ilgili bulgularla güncellemelidir.

UpGuard Satıcı Riski, ilgili satıcı risk değerlendirmelerine ve sektördeki en iyi uygulamalara dayalı özel iyileştirme planları hazırlayarak riskleri düzeltmek için satıcıları kovalamanın acısını ortadan kaldırır. UpGuard'ın Rapor Kitaplığı, kuruluşların kullanımı kolay, hızlı ve özelleştirilebilir raporlarla paydaşları bilgilendirmesini de kolaylaştırır.

UpGuard'ın iyileştirme ve raporlama çözümlerini kullanarak kuruluşunuz şunları yapabilecek:

  • Zamandan tasarruf edin ve güvenlik kaynaklarını daha verimli bir şekilde dağıtın
  • Düzeltme sürecini izleyin ve satıcıların düzeltmeyi ne zaman tamamladığını kaydedin
  • Özel uyumluluk ve düzeltme raporları geliştirin
  • Güvenlik duruşunuzu ve derecelendirmenizi geliştirin
  • NIST 800-171'in eylem planı gerekliliklerine uyun

3.12.3 Sürekli İzleme

Kuruluşların artık NIST 800-171 ile uyumluluk sağlamak için sürekli izleme stratejileri kurmaları gerekiyor. Bu stratejiler, devam eden izleme süreçlerini ve ilgili güvenlik değerlendirmelerini içermelidir.

>

UpGuard, kuruluşların güvenlik açıklarını belirleyerek, değişiklikleri tespit ederek ve potansiyel tehditleri ve güvenlik açıklarını 7/24 ortaya çıkararak güvenlik duruşlarını kontrol altına almalarını sağlar.

TPRM ve saldırı yüzeyi yönetimi için UpGuard'ı kullanarak kuruluşunuz şunları yapabilir:

  • Tedarik zincirinizdeki riskleri sürekli olarak izleyin ve yönetin
  • Düzeltme için satıcı güvenlik açıklarını proaktif olarak belirleyin ve önceliklendirin
  • Doğru, gerçek zamanlı içgörülere dayalı olarak bilinçli risk kararları alın
  • NIST 800-171'in sürekli izleme gerekliliklerine uyun

UpGuard, kuruluşların TPRM, ASM ve SCRM programlarını ve işlevlerini yükseltmelerine ve NIST SP 800-171 dahil olmak üzere önemli çerçevelerle uyumluluk sağlamalarına olanak tanıyan kapsamlı siber güvenlik çözümleri sunar.

UpGuard araç kiti aşağıdaki özellikleri ve çözümleri içerir:

  • Sürekli izleme: Etki alanları, IP'ler, uygulamalar, uç noktalar, eklentiler ve güvenlik duvarları dahil olmak üzere saldırı yüzeyinizdeki gerçek zamanlı güncelleştirmeler alın ve maruz kalmaları yönetin
  • Saldırı yüzeyini azaltma: Kötüye kullanılabilecek güvenlik açıklarını ve typosquatting riski taşıyan etki alanlarını keşfederek saldırı yüzeyinizi azaltın
  • Paylaşılan güvenlik profili: Güvenlik anketlerini yanıtlama zahmetini ortadan kaldırmak için bir UpGuard Paylaşılan profili oluşturun
  • İş akışları ve feragatler: Düzeltme iş akışlarını kolaylaştırın, risklerden hızla feragat edin ve güvenlik sorgularına yanıt verin
  • Raporlama ve içgörüler: Paydaşlar, sözleşme yetkilileri ve yöneticiler için özel olarak hazırlanmış raporlara erişin ve harici saldırı yüzeyinizle ilgili bilgileri görüntüleyin
  • Satıcı Güvenlik anketleri: Satıcı ilişkileriniz ve güvenlik duruşunuz hakkında daha derin bilgiler edinmek için güvenlik anketlerini otomatikleştirin
  • Güvenlik derecelendirmeleri: Veriye dayalı, objektif ve dinamik güvenlik derecelendirmelerimizi kullanarak bireysel satıcıların güvenlik duruşunu değerlendirin
  • Risk değerlendirmeleri: Risk değerlendirmesi iş akışlarını kolaylaştırın, kanıt toplayın ve hızlı bir şekilde düzeltme talep edin