تاثیر NIST SP 800-171 بر مشاغل کوچک و متوسط

0
117
تاثیر NIST SP 800-171 بر مشاغل کوچک

از قوانین گسترده؛‌تر مانند GDPR گرفته تا مقررات خاص صنعت مانند HIPAA، امروزه اکثر سازمان‌ها باید از نوعی دستورالعمل حفاظت از داده پیروی کنند. برخی از مشاغل حتی ممکن است مجبور باشند از مقررات حفاظت از داده‌های متعددی پیروی کنند. به این ترتیب، رعایت مقررات حفاظت از داده‌ها به طور فزاینده‌ای پیچیده شده است.

انتشارات ویژه مؤسسه ملی استانداردها و فناوری ۱۷۱-۸۰۰ (NIST SP 800-171) یکی از این چارچوب‌های حفاظت از داده‌ها است – البته یک چارچوب خاص. اما NIST SP 800-171 فقط برای سازمان‌های غیرفدرالی که اطلاعات طبقه‌بندی‌نشده کنترل‌شده دولتی (CUI) را مدیریت می‌کنند، کاربرد دارد. این یک چارچوب بسیار پیچیده است، به ویژه برای مشاغل کوچک تا متوسط (SMB)، و به این ترتیب، شایسته توجه است. بنابراین، بیایید نگاهی به NIST SP 800-171 بیندازیم.

NIST چیست؟

مؤسسه ملی استاندارد و فناوری، یک آژانس غیر نظارتی وزارت بازرگانی ایالات متحده (DOC) است. این موسسه نوآوری و رقابت صنعتی را با پیشرفت علم اندازه گیری، استانداردها و فناوری ارتقا می‌دهد. همچنین دستورالعمل‌ها و بهترین شیوه‌ها را در زمینه‌های مختلف از جمله امنیت سایبری، فناوری اطلاعات، تولید و مهندسی توسعه داده و حفظ می‌کند.

NIST SP 800-171 چیست؟

NIST Special Publication 800-171 مجموعه‌ای از دستورالعمل‌هایی است که توسط NIST برای کمک به سازمان‌های غیر فدرال برای محافظت از CUI در سیستم‌ها و شبکه‌های خود تهیه شده است. این دستورالعمل‌ها کنترل‌های امنیتی خاص و بهترین شیوه‌ها را برای محافظت از اطلاعات حساس از دسترسی، افشا و از دست دادن غیرمجاز مشخص می‌کند. در حالی که این یک مقررات قانونی نیست، سازمان‌هایی که به نمایندگی از دولت CUI را مدیریت می‌کنند، طبق قرارداد موظف به پیروی از NIST SP 800-171 هستند.

این چارچوب برای کسب و کارهای کوچک و متوسط (SMB) که اطلاعات طبقه بندی نشده کنترل شده (CUI) را از طرف دولت فدرال ایالات متحده اداره می‌کنند، اعمال می‌شود. برای مطابقت با NIST SP 800-171، سازمان‌ها باید قابلیت‌های رمزگذاری، کنترل‌های دسترسی، سیستم‌های مانیتورینگ، و قابلیت‌های واکنش به حادثه را برای تقویت وضعیت امنیت سایبری خود و محافظت از CUI پیاده‌سازی کنند.

CUI یا اطلاعات طبقه بندی نشده کنترل شده چیست؟

CUI اطلاعات طبقه‌بندی‌نشده‌ای است که بر اساس قانون، مقررات یا خط‌مشی سراسری دولت به حفاظت یا کنترل‌ نیاز دارد. CUI دسته‌ای از اطلاعات حساس است که معیارهای طبقه بندی طبق دستور اجرایی 13526 را ندارد، اما به دلیل حساسیت و تأثیر بالقوه آن بر امنیت ملی، حریم خصوصی یا سایر منافع، همچنان نیازمند حفاظت است. نمونه هایی از CUI عبارتند از:

  • اطلاعات کسب و کار اختصاصی
  • داده‌های دولتی حساس اما طبقه بندی نشده
  • اطلاعات قابل شناسایی شخصی (PII)
  • اطلاعات حساس برای مجریان قانون

تأثیرات NIST SP 800-171 بر SMB ها

  • تعهدات انطباق – شرکت‌های کوچک و متوسط که با CUI دولتی سروکار دارند باید تعهدات خود را رعایت کنند یا با جریمه‌های مالی، اختلافات قراردادی یا آسیب به اعتبار روبرو شوند.
  • امنیت پیشرفته – NIST SP 800-171 اجرای کنترل‌های امنیتی جامعی را که برای محافظت از CUI طراحی شده است را الزامی می‌کند. SMB‌ها باید روی فناوری‌ها، فرآیندها و آموزش سرمایه گذاری کنند تا رمزگذاری، کنترل‌های دسترسی، سیستم‌های مانیتورینگ و قابلیت‌های واکنش به حادثه را اعمال کنند و وضعیت امنیتی آنها را به طور قابل توجهی افزایش دهند.
  • ملاحظات هزینه – SMB‌هایی که به دنبال انطباق با NIST SP 800-171 هستند، اغلب نیاز به سرمایه گذاری مالی در زیرساخت، پرسنل و تعمیر و نگهداری مداوم دارند. با این حال، مشاغل کوچک تا متوسط اغلب با بودجه محدود و منابع محدود کار می‌کنند و ممکن است برای تخصیص بودجه لازم برای دستیابی به انطباق با مشکل مواجه شوند.
  • مزیت رقابتی – انطباق با NIST SP 800-171 می‌تواند به SMB ها یک مزیت رقابتی ارائه دهد، به ویژه در هنگام رقابت برای قراردادهای دولتی. سازمان‌های کوچکتر ممکن است با پیش از دستیابی به انطباق   171-800 NIST، قراردادهای دولتی را بر رقبای بزرگتر خود برنده شوند.
  • پیامدهای زنجیره تامین – شرکت‌های کوچک و متوسط که مستقیماً تحت قراردادهای دولتی نیستند، اما در یک زنجیره تامین دولتی کار می‌کنند، تابع الزامات انطباق همتایان بزرگتر خود هستند. عدم رعایت NIST SP 800-171 می‌تواند به روابط تجاری آسیب برساند، و منجر به از دست رفتن درآمد و ناکارآمدی شود.
  • الزامات بیمه سایبری – برخی از ارائه دهندگان بیمه ممکن است رعایت NIST SP 800-171 را به عنوان پیش نیاز پوشش بیمه امنیت سایبری الزامی کنند. SMB هایی که به استاندارد پایبند هستند ممکن است واجد شرایط دریافت حق بیمه کمتر، پوشش جامع و استراتژی‌های کاهش ریسک متناسب با نیازهای آنها باشند.

چگونه SMB ها می‌توانند با NIST SP 800-171 مطابقت داشته باشند

  • از کارشناسان یا مشاوران امنیت سایبری آشنا با الزامات و بهترین شیوه‌های NIST SP 800-171 راهنمایی بخواهید.
  • از راه‌حل‌ها و فناوری‌های مقرون‌به‌صرفه متناسب با نیازهای سازمانی و محدودیت‌های بودجه استفاده کنید.
  • اولویت‌بندی کنترل‌های امنیتی حیاتی بر اساس ارزیابی ریسک و اهداف انطباق، با تمرکز بر بخش‌هایی که بیشترین تأثیر را دارند.
  • فرهنگ بهبود مستمر و یادگیری را بپذیرید، همکاری بین تیم‌های داخلی و شرکای خارجی را برای رسیدگی به چالش‌های امنیت سایبری به طور جمعی تقویت کنید.

منبع: https://www.tripwire.com/state-of-security/impact-nist-sp-800-171-smbs

مقاله قبلیمرورگر کروم را آپدیت کنید
مقاله بعدیبرترین ابزارهای امنیت سایبری در سال ۲۰۲۴

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.