از قوانین گسترده؛تر مانند GDPR گرفته تا مقررات خاص صنعت مانند HIPAA، امروزه اکثر سازمانها باید از نوعی دستورالعمل حفاظت از داده پیروی کنند. برخی از مشاغل حتی ممکن است مجبور باشند از مقررات حفاظت از دادههای متعددی پیروی کنند. به این ترتیب، رعایت مقررات حفاظت از دادهها به طور فزایندهای پیچیده شده است.
انتشارات ویژه مؤسسه ملی استانداردها و فناوری ۱۷۱-۸۰۰ (NIST SP 800-171) یکی از این چارچوبهای حفاظت از دادهها است – البته یک چارچوب خاص. اما NIST SP 800-171 فقط برای سازمانهای غیرفدرالی که اطلاعات طبقهبندینشده کنترلشده دولتی (CUI) را مدیریت میکنند، کاربرد دارد. این یک چارچوب بسیار پیچیده است، به ویژه برای مشاغل کوچک تا متوسط (SMB)، و به این ترتیب، شایسته توجه است. بنابراین، بیایید نگاهی به NIST SP 800-171 بیندازیم.
NIST چیست؟
مؤسسه ملی استاندارد و فناوری، یک آژانس غیر نظارتی وزارت بازرگانی ایالات متحده (DOC) است. این موسسه نوآوری و رقابت صنعتی را با پیشرفت علم اندازه گیری، استانداردها و فناوری ارتقا میدهد. همچنین دستورالعملها و بهترین شیوهها را در زمینههای مختلف از جمله امنیت سایبری، فناوری اطلاعات، تولید و مهندسی توسعه داده و حفظ میکند.
NIST SP 800-171 چیست؟
NIST Special Publication 800-171 مجموعهای از دستورالعملهایی است که توسط NIST برای کمک به سازمانهای غیر فدرال برای محافظت از CUI در سیستمها و شبکههای خود تهیه شده است. این دستورالعملها کنترلهای امنیتی خاص و بهترین شیوهها را برای محافظت از اطلاعات حساس از دسترسی، افشا و از دست دادن غیرمجاز مشخص میکند. در حالی که این یک مقررات قانونی نیست، سازمانهایی که به نمایندگی از دولت CUI را مدیریت میکنند، طبق قرارداد موظف به پیروی از NIST SP 800-171 هستند.
این چارچوب برای کسب و کارهای کوچک و متوسط (SMB) که اطلاعات طبقه بندی نشده کنترل شده (CUI) را از طرف دولت فدرال ایالات متحده اداره میکنند، اعمال میشود. برای مطابقت با NIST SP 800-171، سازمانها باید قابلیتهای رمزگذاری، کنترلهای دسترسی، سیستمهای مانیتورینگ، و قابلیتهای واکنش به حادثه را برای تقویت وضعیت امنیت سایبری خود و محافظت از CUI پیادهسازی کنند.
CUI یا اطلاعات طبقه بندی نشده کنترل شده چیست؟
CUI اطلاعات طبقهبندینشدهای است که بر اساس قانون، مقررات یا خطمشی سراسری دولت به حفاظت یا کنترل نیاز دارد. CUI دستهای از اطلاعات حساس است که معیارهای طبقه بندی طبق دستور اجرایی 13526 را ندارد، اما به دلیل حساسیت و تأثیر بالقوه آن بر امنیت ملی، حریم خصوصی یا سایر منافع، همچنان نیازمند حفاظت است. نمونه هایی از CUI عبارتند از:
- اطلاعات کسب و کار اختصاصی
- دادههای دولتی حساس اما طبقه بندی نشده
- اطلاعات قابل شناسایی شخصی (PII)
- اطلاعات حساس برای مجریان قانون
تأثیرات NIST SP 800-171 بر SMB ها
- تعهدات انطباق – شرکتهای کوچک و متوسط که با CUI دولتی سروکار دارند باید تعهدات خود را رعایت کنند یا با جریمههای مالی، اختلافات قراردادی یا آسیب به اعتبار روبرو شوند.
- امنیت پیشرفته – NIST SP 800-171 اجرای کنترلهای امنیتی جامعی را که برای محافظت از CUI طراحی شده است را الزامی میکند. SMBها باید روی فناوریها، فرآیندها و آموزش سرمایه گذاری کنند تا رمزگذاری، کنترلهای دسترسی، سیستمهای مانیتورینگ و قابلیتهای واکنش به حادثه را اعمال کنند و وضعیت امنیتی آنها را به طور قابل توجهی افزایش دهند.
- ملاحظات هزینه – SMBهایی که به دنبال انطباق با NIST SP 800-171 هستند، اغلب نیاز به سرمایه گذاری مالی در زیرساخت، پرسنل و تعمیر و نگهداری مداوم دارند. با این حال، مشاغل کوچک تا متوسط اغلب با بودجه محدود و منابع محدود کار میکنند و ممکن است برای تخصیص بودجه لازم برای دستیابی به انطباق با مشکل مواجه شوند.
- مزیت رقابتی – انطباق با NIST SP 800-171 میتواند به SMB ها یک مزیت رقابتی ارائه دهد، به ویژه در هنگام رقابت برای قراردادهای دولتی. سازمانهای کوچکتر ممکن است با پیش از دستیابی به انطباق 171-800 NIST، قراردادهای دولتی را بر رقبای بزرگتر خود برنده شوند.
- پیامدهای زنجیره تامین – شرکتهای کوچک و متوسط که مستقیماً تحت قراردادهای دولتی نیستند، اما در یک زنجیره تامین دولتی کار میکنند، تابع الزامات انطباق همتایان بزرگتر خود هستند. عدم رعایت NIST SP 800-171 میتواند به روابط تجاری آسیب برساند، و منجر به از دست رفتن درآمد و ناکارآمدی شود.
- الزامات بیمه سایبری – برخی از ارائه دهندگان بیمه ممکن است رعایت NIST SP 800-171 را به عنوان پیش نیاز پوشش بیمه امنیت سایبری الزامی کنند. SMB هایی که به استاندارد پایبند هستند ممکن است واجد شرایط دریافت حق بیمه کمتر، پوشش جامع و استراتژیهای کاهش ریسک متناسب با نیازهای آنها باشند.
چگونه SMB ها میتوانند با NIST SP 800-171 مطابقت داشته باشند
- از کارشناسان یا مشاوران امنیت سایبری آشنا با الزامات و بهترین شیوههای NIST SP 800-171 راهنمایی بخواهید.
- از راهحلها و فناوریهای مقرونبهصرفه متناسب با نیازهای سازمانی و محدودیتهای بودجه استفاده کنید.
- اولویتبندی کنترلهای امنیتی حیاتی بر اساس ارزیابی ریسک و اهداف انطباق، با تمرکز بر بخشهایی که بیشترین تأثیر را دارند.
- فرهنگ بهبود مستمر و یادگیری را بپذیرید، همکاری بین تیمهای داخلی و شرکای خارجی را برای رسیدگی به چالشهای امنیت سایبری به طور جمعی تقویت کنید.
منبع: https://www.tripwire.com/state-of-security/impact-nist-sp-800-171-smbs