NIST 800-171-conforme bestandsoverdracht—Wat u moet weten
Als reactie op de toenemende beveiligingsdreigingen van staten, hacktivisten en andere kwaadwillenden, heeft het Amerikaanse Ministerie van Defensie (DoD) de lat voor zijn cyberbeveiligingsnormen steeds hoger gelegd.
Een wijziging van DFARS 252.204-7012, een regelgeving die betrekking heeft op “Het beschermen van Covered Defense Information en rapportage van cyberincidenten”, vereist dat DoD-aannemers en onderaannemers alle beveiligingsvereisten implementeren die zijn opgenomen in National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171, “Bescherming van Controlled Unclassified Information in niet-federale informatiesystemen en organisaties.”
NIST SP 800-171 is een set richtlijnen opgesteld door het National Institute of Standards and Technology (NIST) om de vertrouwelijkheid van Controlled Unclassified Information (CUI) in niet-federale systemen en organisaties te beschermen. Deze normen benadrukken de noodzaak om CUI te beschermen tegen de meeste bedreigingen, zoals beschreven in het document, waaronder ongeautoriseerde toegang, openbaarmaking of wijziging.
NIST 800-171 bevat meer dan 100 verschillende beveiligingsvereisten, verdeeld over 14 verschillende gebieden van cyberbeveiliging. Aannemers en onderaannemers moesten al deze vereisten op hun “gedekte systemen” implementeren vóór 31 december 2017. Niet-naleving kan ertoe leiden dat het DoD contracten beëindigt.
NIST 800 Series Compliance
De NIST 800-serie is een reeks NIST-publicaties die de normen vaststellen voor het beschermen van informatiesystemen in de Verenigde Staten. De normen zijn vooral belangrijk voor organisaties die samenwerken met de federale overheid, omdat ze worden gebruikt om ervoor te zorgen dat informatie correct wordt beheerd en beschermd.
De 800-serie behandelt onderwerpen zoals risicobeheer, cryptografie, toegangscontrole en monitoring. De 800-serie wordt regelmatig bijgewerkt om ervoor te zorgen dat alle normen relevant en actueel blijven. Daarnaast biedt de 800-serie richtlijnen voor het selecteren van de juiste beveiligingsmaatregelen voor elk systeem. Dit helpt organisaties te begrijpen welke stappen ze moeten nemen om te zorgen dat het systeem veilig blijft.
Organisaties die NIST 800-compliant willen worden, moeten verschillende stappen ondernemen. Allereerst moeten ze de normen beoordelen en ervoor zorgen dat hun systeem aan alle vereisten voldoet. Vervolgens moet hun systeem worden gecontroleerd door een onafhankelijke derde partij om te waarborgen dat de beveiligingsmaatregelen voldoen aan de NIST 800-normen. Tot slot moeten organisaties alle noodzakelijke wijzigingen doorvoeren om aan de vereisten te voldoen.
NIST 800-compliance is essentieel voor elke organisatie die gevoelige gegevens verwerkt of transacties uitvoert namens de federale overheid. Naleving van de 800-serie normen toont aan dat een organisatie de nodige stappen onderneemt om hun informatie te beschermen en veilig te houden. Dit helpt organisaties het vertrouwen van hun klanten en partners te winnen en geeft hen meer zekerheid bij het omgaan met gevoelige data.
De 14 vereistenfamilies van NIST 800-171
NIST Special Publication 800-171 bevat uitgebreide richtlijnen voor het beschermen van de vertrouwelijkheid van CUI binnen niet-federale informatiesystemen. Deze richtlijnen bestaan uit 14 vereistenfamilies die organisaties moeten adresseren om de beveiliging van CUI te verbeteren.
Door deze vereisten effectief te implementeren, kunnen organisaties hun verdediging versterken en gevoelige informatie beschermen tegen ongeautoriseerde toegang of openbaarmaking, zodat kritieke data veilig blijft.
| Sectie | Belangrijkste vereisten |
|---|---|
| Toegangscontrole | Implementeer toegangscontroles om gevoelige inhoud en systemen te beschermen. |
| Bewustwording en training | Bied beveiligingsbewustzijnstraining aan medewerkers om begrip van beveiligingsbeleid en procedures te waarborgen. |
| Audit en verantwoording | Stel audit- en verantwoordingsmaatregelen in om toegang tot gevoelige inhoud te volgen en te monitoren. |
| Configuratiebeheer | Beheer en controleer configuraties van systemen en apparaten om ongeautoriseerde toegang of wijzigingen te voorkomen. |
| Identificatie en authenticatie | Implementeer sterke authenticatiemechanismen om de identiteit van gebruikers die toegang hebben tot gevoelige inhoud te verifiëren. |
| Incidentrespons | Ontwikkel en implementeer een incidentresponsplan om effectief te reageren op beveiligingsincidenten. |
| Onderhoud | Onderhoud het systeem regelmatig om het veilig en up-to-date te houden. |
| Bescherming van media | Bescherm en beheer fysieke en digitale media met gevoelige inhoud. |
| Personeelsbeveiliging | Stel personeelsbeveiligingsbeleid en -procedures op om gevoelige inhoud te beschermen. |
| Fysieke beveiliging | Implementeer fysieke beveiligingsmaatregelen om gevoelige inhoud en systemen te beschermen. |
| Risicobeoordeling | Voer regelmatig risicobeoordelingen uit om beveiligingsrisico’s te identificeren en te beperken. |
| Beveiligingsbeoordeling | Voer beveiligingsbeoordelingen uit om naleving van beveiligingsvereisten te waarborgen. |
| Systeem- en communicatiebeveiliging | Implementeer beveiligingsmaatregelen om systemen en communicatiekanalen voor gevoelige inhoud te beschermen. |
| Systeem- en informatie-integriteit | Implementeer maatregelen om de integriteit van systemen en informatie met gevoelige inhoud te waarborgen. |
Hoe implementeer je NIST SP 800-171
De eerste stap die organisaties moeten nemen bij het implementeren van NIST SP 800-171 is het identificeren van CUI in hun ecosysteem, evenals het gevoeligheidsniveau en de bestaande beschermingsmaatregelen. Zodra CUI is geïdentificeerd, moeten ze hun huidige beveiligingsmaatregelen beoordelen om te bepalen of beveiligingsmaatregelen uit SP 800-171 al zijn geïmplementeerd.
Vervolgens moeten organisaties de benodigde beveiligingsprotocollen voor CUI ontwikkelen, zoals het beperken van fysieke toegang, het creëren van toegangscontrolemaatregelen en het implementeren van encryptie. Daarnaast moeten organisaties het risico van potentiële bedreigingen beoordelen en een incidentresponsplan opstellen om eventuele beveiligingsincidenten aan te pakken.
Organisaties moeten er ook voor zorgen dat alle gebruikers van hun systemen of netwerken hun rol en verantwoordelijkheid voor het beschermen van CUI begrijpen. Dit omvat het geven van training over de juiste beveiligingsprotocollen en het uitvoeren van regelmatige beveiligingsaudits om te controleren of de maatregelen correct worden toegepast.
Organisaties moeten hun systemen ook regelmatig monitoren op ongeautoriseerde toegang of verdachte activiteiten. Ze moeten ook extra cyberbeveiligingstraining aan personeel bieden en beveiligingsprotocollen bijwerken waar nodig.
Tot slot moeten organisaties hun voorkeursmethoden voor het beschermen van CUI documenteren en deze documentatie ter beoordeling aan NIST voorleggen. Dit helpt ervoor te zorgen dat aan de NIST SP 800-171 vereisten wordt voldaan en dat de organisatie compliant is met de normen.
Kiteworks stelt organisaties in staat om te voldoen aan NIST 800-171
Kiteworks helpt organisaties aantonen dat ze voldoen aan NIST 800-171 en zorgt voor de bescherming van CUI. Met robuuste beveiligings- en governancefuncties adresseert Kiteworks de specifieke vereisten uit NIST 800-171, waardoor organisaties kunnen voldoen aan deze strenge beveiligingsstandaard.
Het Kiteworks Private Content Network biedt organisaties beveiliging, governance en naleving over de gevoelige inhoud die zij delen met vertrouwde derden via e-mail, bestandsoverdracht, file sharing en andere kanalen.
Kiteworks beschikt over een hardened virtual appliance, die het aanvalsoppervlak van kwetsbare communicatiekanalen met derden minimaliseert. Beveiligingsmaatregelen zoals automatische end-to-end encryptie, multi-factor authentication (MFA), granulaire toegangscontrole en integraties met dataprotectietechnologieën zoals preventie van gegevensverlies (DLP), advanced threat protection (ATP), content disarm and reconstruction (CDR) en security information and event management (SIEM) beschermen de meest gevoelige inhoud van een organisatie tegen cyberaanvallen en ongeautoriseerde toegang. Kiteworks zorgt ervoor dat gevoelige informatie veilig blijft, in overeenstemming met de encryptievereisten van NIST 800-171.
Granulaire toegangscontrole: Kiteworks biedt granulaire toegangscontrole, waarmee organisaties gebruikersrechten kunnen definiëren en beheren, zodat alleen geautoriseerde personen toegang hebben tot gevoelige CUI. Met fijn afgestelde toegangscontrolemechanismen kunnen organisaties een veilige omgeving creëren die aansluit bij de richtlijnen van NIST 800-171.
Audit en verantwoording: Kiteworks genereert uitgebreide audit logs, waarmee gebruikersactiviteiten en systeemgebeurtenissen worden vastgelegd. Deze logs geven organisaties de benodigde informatie om systeemactiviteiten te monitoren en te beoordelen, waarmee wordt voldaan aan de audit- en verantwoordingsvereisten van NIST 800-171.
Identificatie en authenticatie: Kiteworks implementeert sterke gebruikersidentificatie- en authenticatiemechanismen, zoals MFA, om de identiteit van gebruikers die toegang hebben tot CUI te verifiëren. Door te voldoen aan de identificatie- en authenticatievereisten van NIST 800-171 biedt Kiteworks een extra beveiligingslaag om ongeautoriseerde toegang te voorkomen.
Wil je meer weten over het FedRAMP-geautoriseerde platform voor beveiligde bestandsoverdracht van Kiteworks en hoe het voldoet aan de strenge FedRAMP-vereisten en organisaties helpt NIST 800-171-compliance te bereiken? Plan dan vandaag nog een aangepaste demo in.
Veelgestelde vragen
Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Naleving is cruciaal voor het behouden van de reputatie van het bedrijf, het vermijden van juridische sancties en het waarborgen van de veiligheid en beveiliging van de bedrijfsvoering.
Naleving van regelgeving beïnvloedt diverse sectoren op verschillende manieren, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten zorgorganisaties voldoen aan regelgeving zoals HIPAA die patiëntgegevens beschermt, terwijl organisaties in de financiële sector zich moeten houden aan regelgeving zoals de PCI DSS die financiële crises wil voorkomen. Aannemers van het Department of Defense moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.
Veelvoorkomende uitdagingen zijn onder meer het bijhouden van veranderende regelgeving, het beheren en beveiligen van data, het trainen van medewerkers op nalevingsvereisten en het toewijzen van voldoende middelen voor nalevingsactiviteiten. Daarnaast kunnen internationale organisaties te maken krijgen met de extra complexiteit van naleving van regelgeving in meerdere rechtsbevoegdheden.
Organisaties kunnen hun naleving aantonen via diverse middelen, zoals het bijhouden van uitgebreide documentatie van hun nalevingsactiviteiten, het uitvoeren van regelmatige audits en het bewaren van trainingsregistraties. Daarnaast kan sommige regelgeving vereisen dat organisaties periodiek rapportages indienen of externe audits ondergaan om hun naleving aan te tonen.
Data-encryptie speelt een cruciale rol bij naleving van regelgeving, omdat het helpt gevoelige data te beschermen tegen ongeautoriseerde toegang. Veel regelgeving vereist dat organisaties passende beveiligingsmaatregelen nemen, waaronder encryptie, om data te beschermen. Door data te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo bijdragen aan naleving.