Открыть сервис

NIST SP 800-171

NIST SP 800-171 — это специальная публикация Национального института стандартов и технологий США (NIST), содержащая комплекс требований по защите контролируемой несекретной информации (CUI — Controlled Unclassified Information) в негосударственных информационных системах и организациях. Документ устанавливает минимальные стандарты безопасности для систем, обрабатывающих, хранящих или передающих информацию, которая не является государственной тайной, но подлежит защите в соответствии с федеральными законами и нормативными актами США.

История и контекст

Разработка NIST SP 800-171 была инициирована в ответ на Указ президента США № 13556 (2010 год) «О контролируемой несекретной информации», который предписывал создать единую систему защиты CUI. До этого классификация и защита несекретной, но конфиденциальной информации была разрозненной и регулировалась различными ведомственными инструкциями, что создавало путаницу и неэффективность.

Первая версия документа, NIST SP 800-171, была опубликована в июне 2015 года. Её целью стала стандартизация требований к безопасности для подрядчиков и субподрядчиков федеральных агентств, работающих с CUI. В 2016 году Министерство обороны США (DoD) издало директиву DFARS (Defense Federal Acquisition Regulation Supplement), которая обязала всех подрядчиков DoD соблюдать требования NIST SP 800-171, что резко расширило сферу применения стандарта.

Последующие обновления отражали развитие киберугроз и практический опыт внедрения. Наиболее значимым стало обновление в декабре 2020 года (версия 2), а затем официальное принятие более строгих требований в рамках программы сертификации CMMC (Cybersecurity Maturity Model Certification), которая теперь является обязательной для доступа к контрактам Министерства обороны США.

Основные положения и структура

NIST SP 800-171 определяет 14 семейств требований безопасности, сгруппированных по трём основным категориям: базовые (Basic), производные (Derived) и дополнительные (Enhanced). Каждое требование направлено на обеспечение конфиденциальности, целостности и доступности CUI. Общее количество требований в актуальной версии (2.0) составляет 110.

Ключевые требования включают в себя:

Идентификация и аутентификация

Контроль доступа

Защита носителей и данных

Управление рисками и инцидентами

Применение

Основные сферы применения NIST SP 800-171:

  1. Государственные контракты США: Все подрядчики и субподрядчики федеральных агентств (Министерство обороны, NASA, Министерство энергетики и др.), работающие с CUI, обязаны соблюдать требования стандарта. Это охватывает широкий круг организаций — от крупных оборонных корпораций до малых инновационных стартапов, поставляющих программное обеспечение или компоненты.
  2. Кибербезопасность в оборонной промышленности: Документ является основой для сертификации CMMC, которая для получения доступа к определённым контрактам DoD требует прохождения независимого аудита на соответствие требованиям уровня CMMC (Level 2 или Level 3).
  3. Образовательные и исследовательские учреждения: Университеты и научные центры, финансируемые из федерального бюджета, также могут быть обязаны защищать CUI, полученную в ходе исследований.
  4. Финансовый и медицинский секторы: Хотя для этих отраслей существуют собственные стандарты (например, HIPAA в здравоохранении), работа с CUI (например, данными федеральных налоговых органов) требует применения NIST SP 800-171.

Критика и ограничения

Несмотря на широкое признание, NIST SP 800-171 подвергается критике по нескольким направлениям:

Влияние на практику защиты информации

NIST SP 800-171 стал одним из наиболее значимых отраслевых стандартов в области кибербезопасности для негосударственного сектора в США. Его применение:

Источники

  1. NIST Special Publication 800-171 (Revision 2). Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. National Institute of Standards and Technology, 2020.
  2. Department of Defense Instruction 8100.02 "Controlled Unclassified Information". Department of Defense, 2019.
  3. Executive Order 13556 — Controlled Unclassified Information. The White House, 2010.
  4. Cybersecurity Maturity Model Certification (CMMC) Model Overview. Office of the Under Secretary of Defense for Acquisition and Sustainment, 2022.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →