NIST SP 800-171.

NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. La revisione 3 (2024) ha irrigidito i controlli. Se si vende al DoD statunitense, è obbligatorio; se si opera esclusivamente in Europa, ha valore informativo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

Il punto di vista di Cyber Academy

NIST SP 800-171 è lo standard statunitense che definisce i requisiti di sicurezza per la protezione delle informazioni non classificate controllate nei sistemi non federali. Costituisce la base tecnica del CMMC per i fornitori della difesa. La revisione 3 (2024) ha irrigidito i controlli. Se si vende al DoD statunitense, è obbligatorio; se si opera esclusivamente in Europa, ha valore informativo.

Che cosa richiede realmente NIST SP 800-171

Quando il governo statunitense condivide dati sensibili ma non classificati con un appaltatore, un'università o un fornitore di servizi, ha bisogno della garanzia che tali dati saranno protetti anche se ora risiedono al di fuori dei sistemi federali. NIST SP 800-171 è il catalogo dei requisiti di sicurezza che risponde a questa esigenza.

Indica a qualsiasi organizzazione non federale che tratta Controlled Unclassified Information come proteggerle: attraverso il controllo degli accessi, la sensibilizzazione e la formazione, l'audit e la responsabilità, la gestione della configurazione, l'identificazione e l'autenticazione, la risposta agli incidenti, la manutenzione, la protezione dei supporti, la protezione fisica, la sicurezza del personale, la valutazione dei rischi, la valutazione della sicurezza, la protezione dei sistemi e delle comunicazioni e l'integrità dei sistemi e delle informazioni. L'obiettivo è l'uniformità. Anziché lasciare che ogni agenzia inventi le proprie clausole, gli appaltatori soddisfano un'unica base coerente.

I requisiti derivano dal catalogo di controlli molto più ampio NIST SP 800-53 utilizzato all'interno dei sistemi federali, ma adattati alla realtà di un'organizzazione privata. Sono formulati come risultati da raggiungere, non come un singolo prodotto o un'architettura prescritti, il che lascia a un'organizzazione margine per attuarli in un modo adatto ai propri sistemi. Ciò di cui non si dispone è la discrezionalità sul se soddisfarli. Quando il requisito compare nel contratto, attuarlo è una condizione per mantenere quel contratto.

I CUI e perché la questione del perimetro conta più di ogni altra

Tutto in NIST SP 800-171 ruota attorno a una domanda preliminare: dove risiedono realmente i Controlled Unclassified Information nel vostro ambiente? I CUI sono informazioni che il governo crea o detiene, o che un'organizzazione crea per il governo, che richiedono salvaguardia in base a una legge, a un regolamento o a una politica di portata governativa, ma che non sono classificate. Comprendono categorie come disegni tecnici, dati soggetti a controllo delle esportazioni, informazioni personali identificabili conservate per conto di un'agenzia e materiale sensibile analogo. La norma si applica solo ai sistemi che archiviano, elaborano o trasmettono tali dati.

Ecco perché la definizione del perimetro è il lavoro che determina tutto il resto. Definite il confine troppo ampiamente e imporrete controlli di livello federale all'intera rete con un costo enorme. Definitelo troppo strettamente e lascerete CUI esposti in un sistema che avete dimenticato di considerare. La maggior parte di un programma 800-171 credibile è dedicata a individuare i CUI, isolare i sistemi che li toccano e ridurre quel perimetro affinché i controlli ricadano dove sono realmente necessari anziché ovunque.

Dove finisce 800-171 e dove inizia CMMC

NIST SP 800-171 è il catalogo dei controlli. La Cybersecurity Maturity Model Certification (CMMC) è il meccanismo di verifica che il Department of Defense statunitense ha costruito su di esso. Per anni gli appaltatori autocertificavano di soddisfare il 800-171, e il divario tra l'attestazione e la realtà emergeva solo dopo un incidente. CMMC Level 2 corrisponde direttamente a NIST SP 800-171 ma aggiunge una valutazione indipendente, così una firma non è più sufficiente. Se attuate davvero il 800-171, avete svolto la maggior parte del lavoro sostanziale per CMMC Level 2; ciò che resta è produrre prove e superare una valutazione condotta da qualcuno che non siete voi.

La Revision 3, pubblicata nel 2024, ha ristrutturato e irrigidito i requisiti, riorganizzato le famiglie di controlli e spostato alcuni aspetti specifici in una pubblicazione di valutazione complementare. Per un fornitore europeo la rilevanza è interamente contrattuale. Se subappaltate a un prime statunitense, fabbricate componenti per la difesa o trattate CUI per un programma del DoD, il 800-171 vi vincola allo stesso modo in cui vincola un'azienda statunitense. Se il vostro mercato è puramente europeo, costituisce un contesto informativo che vi aiuta a leggere CMMC e i requisiti degli appalti pubblici statunitensi, e si combina naturalmente con la disciplina basata sul rischio del NIST Cybersecurity Framework anziché sostituirla.

Frequently asked questions

01Chi deve conformarsi a NIST SP 800-171?

Qualsiasi organizzazione non federale che archivia, elabora o trasmette Controlled Unclassified Information per conto del governo statunitense, compresi appaltatori, subappaltatori, università e istituti di ricerca. L'obbligo è scritto nel contratto o nella sovvenzione.

02Qual è la differenza tra NIST SP 800-171 e CMMC?

NIST SP 800-171 è il catalogo dei requisiti di sicurezza per la protezione dei CUI. CMMC è il programma di certificazione del Department of Defense statunitense che verifica che tali requisiti siano effettivamente attuati. CMMC Level 2 si fonda direttamente sul 800-171 e aggiunge una valutazione indipendente.

03Che cosa sono i Controlled Unclassified Information (CUI)?

I CUI sono informazioni governative che richiedono salvaguardia in base a una legge, a un regolamento o a una politica di portata governativa, ma che non sono classificate. Includono categorie come dati tecnici, informazioni soggette a controllo delle esportazioni e informazioni personali identificabili conservate per un'agenzia. NIST SP 800-171 si applica solo ai sistemi che li trattano.

04Come è correlato NIST SP 800-171 a NIST SP 800-53?

I requisiti del 800-171 derivano dal catalogo di controlli più ampio 800-53 utilizzato all'interno dei sistemi informativi federali, ma adattati alle organizzazioni non federali. Il 800-53 protegge direttamente i sistemi federali; il 800-171 è l'insieme moderato applicato agli appaltatori che trattano CUI.

05NIST SP 800-171 si applica alle organizzazioni europee?

Solo quando trattano CUI nella catena di approvvigionamento del governo statunitense, per esempio come subappaltatore di un prime statunitense o come responsabile del trattamento di CUI per un programma del DoD. Per un'attività puramente europea è informativo anziché obbligatorio.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.