El 9 de noviembre de 2023, el Instituto Nacional de Estándares y Tecnología («NIST») publicó el Borrador Público Final («FPD») de la Publicación Especial («SP») 800-171 Revisión («Rev.») 3, «Defensa Información no clasificada controlada en sistemas y organizaciones no federales» y el borrador público inicial SP 800-171A Rev 3 del NIST, «Evaluación de los requisitos de seguridad para información no clasificada controlada». FPD de SP 800-171 Rev. 3 elimina varios requisitos de control del borrador público original, al tiempo que agrega nuevos requisitos a los controles existentes. El borrador original de SP 800-171A ahora es consistente con SP 800-171 Rev. 3 e incluye procedimientos de evaluación más detallados que su predecesor. Los cambios en ambos documentos prevén los cambios en los requisitos de cumplimiento para las organizaciones necesarios para proteger la información controlada no clasificada («CUI»).
Cambios clave entre los borradores publicados inicial y final de NIST SP 800-17 Rev. 3
FPD de NIST SP 800-171 Rev. 3 implementa los siguientes cambios notables con respecto al borrador público original.
Quitar controles
NIST eliminó los siguientes controles en el FPD que se introdujeron en el borrador original: 3.1.23 Gestión de cuentas – Cierre de sesión por inactividad, 3.9.3 Seguridad del personal externo, 3.11.4 Respuesta a riesgos, 3.12.5 Evaluación independiente, 3.12.7 Conexiones internas del sistema , 3.13.17 Tráfico de comunicación de la red interna, 3.13.18 Puntos de acceso al sistema y 3.17.4 Volcado de componentes. NIST también retiró tres controles de seguridad existentes: 3.4.9 Software instalado por el usuario, 3.13.3 Separación del sistema y la funcionalidad del usuario y 3.13.7 Túnel dividido, determinando que otros controles los abordan.
Combinando controles
NIST incorporó los requisitos de los siguientes controles de seguridad a los controles existentes en el FPD: 1.23 Gestión de cuentas – Cierre de sesión por inactividad, incluido en 3.1.20 Uso de sistemas externos, 3.2.3 Capacitación en alfabetización avanzada, incluida en 3.2.1 Capacitación y conocimiento de alfabetización y 3.3.9 Acceso a la información de auditoría incluida en 3.3.8 Seguridad de la información de auditoría.
Controlar cambios
El NIST revisó algunos controles en el FPD, que incluyen:
- 12.1 Evaluaciones de control se cambió a 3.12.1 Evaluaciones de seguridad, lo que cambia el enfoque del requisito de garantizar que existan controles de seguridad a garantizar una seguridad adecuada.
- 14.18 Antispam se cambió a 3.14.8 Gestión y retención de información, que esencialmente elimina los controles antispam y en su lugar ahora requiere que la CUI se procese de acuerdo con otras leyes, órdenes ejecutivas, regulaciones y pautas.
- 16.1 Principios del ingeniero de seguridad se cambió a 3.16.1 Proceso de adquisición y ahora requiere que las organizaciones definan los requisitos de seguridad que incluirán en cualquier contrato para adquirir un sistema, componente del sistema o servicio del sistema.
ORP reducido
FPD elimina muchos parámetros definidos por la organización («ODP») incluidos en el diseño original. Los ODP son requisitos indefinidos que las agencias individuales pueden personalizar especificando valores para los parámetros especificados. FPD reemplaza ODP con descripciones o términos más generales. Por ejemplo, muchos controles que requieren que una acción o actividades se realicen dentro de un período de tiempo específico ahora requieren que se realicen «periódicamente». De manera similar, la FPD reemplazó el lenguaje de control que anteriormente requería que una organización definiera una persona o función específica dentro de la empresa con términos generales como «personal o funciones de la organización». mirar Control 3.1.1 (g) Gestión de Cuentas.
Requisitos adicionales bajo controles
Los cambios en ciertos controles ahora requieren acciones adicionales por parte de las organizaciones. Por ejemplo, según 3.5.7 Gestión de contraseñas, las organizaciones deben mantener una lista de contraseñas comúnmente utilizadas o comprometidas y verificar que estas contraseñas no se utilicen cada vez que los usuarios crean o actualizan contraseñas. Otros requisitos nuevos incluyen la inspección de los medios que contienen programas de diagnóstico y prueba para detectar códigos maliciosos, documentación de las características de la interfaz, requisitos de seguridad y responsabilidades para cada sistema que intercambia CUI, incluidos componentes adicionales dentro del Plan de seguridad del sistema («SSP»). SSP y suministra el Plan de Gestión de Riesgos de la Cadena de divulgación no autorizada.
Aspectos destacados del borrador de la revisión 3 de 171A
NIST SP 800-171A proporciona a las organizaciones procedimientos y metodología de evaluación para realizar evaluaciones de los controles de seguridad descritos en NIST SP 800-171. Los procedimientos se utilizan para realizar autoevaluaciones, evaluaciones de terceros independientes y evaluaciones gubernamentales.
Aunque el borrador original es solo la segunda versión de NIST SP 800-171A, esta versión se llamará Rev. 3 para cumplir con la revisión SP 800-171. NIST realizó varios cambios clave en 171A, como alinear los procedimientos con el formato de NIST SP 800-53A e incorporar evaluaciones ODP.
Los procedimientos de evaluación de NIST SP 800-171A ahora están más alineados con los requisitos de NIST SP 800-171. Al igual que NIST SP 800-53A, que describe procedimientos para evaluar la seguridad de los sistemas federales, NIST SP 800-171A ahora proporciona orientación de evaluación para cada requisito de cada control. Por ejemplo, el control SP 800-171 3.1.5 Privilegio mínimo contiene los requisitos (a)-(d), así como dos ODP. SP 800-171A ahora incluye orientación específica para evaluar (a)-(d), así como cada ODP.
Resultados clave
Los contratistas deben revisar NIST SP 800-171 Rev. FPD. 3 y determinar el impacto organizacional que los nuevos controles propuestos pueden tener en su infraestructura de TI y cumplimiento de ciberseguridad, ya que la versión final eventualmente se convertirá en un requisito contractual según las cláusulas de ciberseguridad existentes de DFARS y el próximo Modelo de Seguridad Cibernética del Programa de Certificación Madura (“CMMC”). ). Aunque se han eliminado muchos controles del borrador original, la FPD todavía incluye nuevos requisitos. Estos requisitos incluyen la familia de controles de gestión de riesgos de la cadena de suministro que identifican dónde se encuentra CUI y quién tiene acceso a CUI dentro de una red cubierta. Estos nuevos requisitos ciertamente aumentarán la carga de cumplimiento para los contratistas.
El período de comentarios para los borradores 171 y 171A está abierto hasta el 12 de enero de 2024.