Il punto di vista di Cyber Academy
NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. La revisione 3 (2024) ha irrigidito i controlli. Se si vende al DoD statunitense, è obbligatorio; se si opera esclusivamente in Europa, ha valore informativo.
Che cosa richiede realmente NIST SP 800-171
Quando il governo statunitense condivide dati sensibili ma non classificati con un appaltatore, un'università o un fornitore di servizi, ha bisogno della garanzia che tali dati saranno protetti anche se ora risiedono al di fuori dei sistemi federali. NIST SP 800-171 è il catalogo dei requisiti di sicurezza che risponde a questa esigenza.
Indica a qualsiasi organizzazione non federale che tratta Controlled Unclassified Information come proteggerle: attraverso il controllo degli accessi, la sensibilizzazione e la formazione, l'audit e la responsabilità, la gestione della configurazione, l'identificazione e l'autenticazione, la risposta agli incidenti, la manutenzione, la protezione dei supporti, la protezione fisica, la sicurezza del personale, la valutazione dei rischi, la valutazione della sicurezza, la protezione dei sistemi e delle comunicazioni e l'integrità dei sistemi e delle informazioni. L'obiettivo è l'uniformità. Anziché lasciare che ogni agenzia inventi le proprie clausole, gli appaltatori soddisfano un'unica base coerente.
I requisiti derivano dal catalogo di controlli molto più ampio NIST SP 800-53 utilizzato all'interno dei sistemi federali, ma adattati alla realtà di un'organizzazione privata. Sono formulati come risultati da raggiungere, non come un singolo prodotto o un'architettura prescritti, il che lascia a un'organizzazione margine per attuarli in un modo adatto ai propri sistemi. Ciò di cui non si dispone è la discrezionalità sul se soddisfarli. Quando il requisito compare nel contratto, attuarlo è una condizione per mantenere quel contratto.
I CUI e perché la questione del perimetro conta più di ogni altra
Tutto in NIST SP 800-171 ruota attorno a una domanda preliminare: dove risiedono realmente i Controlled Unclassified Information nel vostro ambiente? I CUI sono informazioni che il governo crea o detiene, o che un'organizzazione crea per il governo, che richiedono salvaguardia in base a una legge, a un regolamento o a una politica di portata governativa, ma che non sono classificate. Comprendono categorie come disegni tecnici, dati soggetti a controllo delle esportazioni, informazioni personali identificabili conservate per conto di un'agenzia e materiale sensibile analogo. La norma si applica solo ai sistemi che archiviano, elaborano o trasmettono tali dati.
Ecco perché la definizione del perimetro è il lavoro che determina tutto il resto. Definite il confine troppo ampiamente e imporrete controlli di livello federale all'intera rete con un costo enorme. Definitelo troppo strettamente e lascerete CUI esposti in un sistema che avete dimenticato di considerare. La maggior parte di un programma 800-171 credibile è dedicata a individuare i CUI, isolare i sistemi che li toccano e ridurre quel perimetro affinché i controlli ricadano dove sono realmente necessari anziché ovunque.
Dove finisce 800-171 e dove inizia CMMC
NIST SP 800-171 è il catalogo dei controlli. La Cybersecurity Maturity Model Certification (CMMC) è il meccanismo di verifica che il Department of Defense statunitense ha costruito su di esso. Per anni gli appaltatori autocertificavano di soddisfare il 800-171, e il divario tra l'attestazione e la realtà emergeva solo dopo un incidente. CMMC Level 2 corrisponde direttamente a NIST SP 800-171 ma aggiunge una valutazione indipendente, così una firma non è più sufficiente. Se attuate davvero il 800-171, avete svolto la maggior parte del lavoro sostanziale per CMMC Level 2; ciò che resta è produrre prove e superare una valutazione condotta da qualcuno che non siete voi.
La Revision 3, pubblicata nel 2024, ha ristrutturato e irrigidito i requisiti, riorganizzato le famiglie di controlli e spostato alcuni aspetti specifici in una pubblicazione di valutazione complementare. Per un fornitore europeo la rilevanza è interamente contrattuale. Se subappaltate a un prime statunitense, fabbricate componenti per la difesa o trattate CUI per un programma del DoD, il 800-171 vi vincola allo stesso modo in cui vincola un'azienda statunitense. Se il vostro mercato è puramente europeo, costituisce un contesto informativo che vi aiuta a leggere CMMC e i requisiti degli appalti pubblici statunitensi, e si combina naturalmente con la disciplina basata sul rischio del NIST Cybersecurity Framework anziché sostituirla.
Frequently asked questions
01Chi deve conformarsi a NIST SP 800-171?
Qualsiasi organizzazione non federale che archivia, elabora o trasmette Controlled Unclassified Information per conto del governo statunitense, compresi appaltatori, subappaltatori, università e istituti di ricerca. L'obbligo è scritto nel contratto o nella sovvenzione.
02Qual è la differenza tra NIST SP 800-171 e CMMC?
NIST SP 800-171 è il catalogo dei requisiti di sicurezza per la protezione dei CUI. CMMC è il programma di certificazione del Department of Defense statunitense che verifica che tali requisiti siano effettivamente attuati. CMMC Level 2 si fonda direttamente sul 800-171 e aggiunge una valutazione indipendente.
03Che cosa sono i Controlled Unclassified Information (CUI)?
I CUI sono informazioni governative che richiedono salvaguardia in base a una legge, a un regolamento o a una politica di portata governativa, ma che non sono classificate. Includono categorie come dati tecnici, informazioni soggette a controllo delle esportazioni e informazioni personali identificabili conservate per un'agenzia. NIST SP 800-171 si applica solo ai sistemi che li trattano.
04Come è correlato NIST SP 800-171 a NIST SP 800-53?
I requisiti del 800-171 derivano dal catalogo di controlli più ampio 800-53 utilizzato all'interno dei sistemi informativi federali, ma adattati alle organizzazioni non federali. Il 800-53 protegge direttamente i sistemi federali; il 800-171 è l'insieme moderato applicato agli appaltatori che trattano CUI.
05NIST SP 800-171 si applica alle organizzazioni europee?
Solo quando trattano CUI nella catena di approvvigionamento del governo statunitense, per esempio come subappaltatore di un prime statunitense o come responsabile del trattamento di CUI per un programma del DoD. Per un'attività puramente europea è informativo anziché obbligatorio.