El Instituto Nacional de Estándares y Tecnología (NIST) lanzó la tercera revisión de su Publicación Especial (SP) 800-171, titulada «Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales». Esta publicación forma la base de los estándares de ciberseguridad que los contratistas deben cumplir al manejar Información No Clasificada Controlada (CUI) para el Departamento de Defensa (DOD) de EE. UU. y para el nuevo Factor de Preparación en Ciberseguridad del Departamento de Seguridad Nacional (DHS). Además, el próximo programa de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) del DOD utiliza el NIST SP 800-171 para lograr certificaciones de Nivel 2 (aunque se espera que el CMMC utilice inicialmente la revisión anterior de la SP 800-171 en su programa).
También se ha lanzado la segunda versión (pero también llamada Revisión 3) de la NIST SP 800-171A, titulada «Evaluación de Requisitos de Seguridad para Información No Clasificada Controlada». Según lo descrito por NIST, esta publicación complementaria proporciona a las organizaciones «procedimientos y metodologías de evaluación» al evaluar si se han cumplido los controles de la NIST SP 800-171. Este documento fue actualizado por última vez en 2018.
Cambios Clave
Hay algunos cambios importantes entre la revisión anterior (Revisión 2) y la revisión actual (Revisión 3) que los contratistas deben entender:
La introducción de parámetros definidos por la organización (ODP). Estos nuevos parámetros ofrecerán a los contratistas flexibilidad para adaptar los controles a sus sistemas según los requisitos de la agencia. Por ejemplo, 03.01.01, Gestión de Cuentas, permite a las agencias definir el período de tiempo en el que se terminan o transfieren los usuarios.
Aunque el número de controles ha disminuido (de 110 a 97), muchos de los controles anteriores se han integrado en otros controles similares y los requisitos reales, en cambio, han aumentado.
Además de vincular la conformidad con la ciberseguridad a la conformidad con la cadena de suministro, la NIST SP 800-171 introdujo una nueva familia de controles de Gestión de Riesgos de la Cadena de Suministro (SCRM) (tomada de la NIST SP 800-53). Esta familia contiene tres controles, que incluyen la Requisito de un Plan de Gestión de Riesgos de la Cadena de Suministro (03.17.01), Estrategias, Herramientas y Métodos de Adquisición (03.17.02) y Requisitos y Procesos de la Cadena de Suministro (03.17.03). En conjunto, los contratistas deberán garantizar la seguridad de la cadena de suministro como parte del cumplimiento de todos los controles en la NIST SP 800-171.
También hay una correspondencia directa entre la NIST SP 800-53 Revisión 5 (relacionada con la protección de sistemas de información federal) y la NIST SP 800-171 Revisión 3 (relacionada con la protección de información federal en sistemas de contratistas) conocida como «Criterios de Adaptación». Cada control de la NIST SP 800-53 se asigna a un control de la NIST SP 800-171. Donde no hay un control de la NIST SP 800-171 asignado, la NIST indica si es: 1) no relacionado con la protección de CUI, 2) es responsabilidad del gobierno federal, 3) el control está suficientemente cubierto por otro control, o 4) no es aplicable.
En un borrador anterior, se habría requerido evaluaciones independientes como uno de los controles. La NIST ha eliminado ese control en esta revisión final como «no directamente relacionado» con la protección de CUI.
Conclusiones y Próximos Pasos
La publicación de este nuevo estándar impactará el espacio de contratación gubernamental durante años. Aun así, no se requiere una acción inmediata. Recientemente, el DOD emitió una desviación de clase que afecta a la Sección 252.204-7012 del Suplemento de Regulaciones Federales de Adquisiciones de Defensa (DFARS), que dará a los contratistas un plazo para adoptar la Revisión 3 (anteriormente, el efecto habría sido inmediato). Además, el borrador de la norma CMMC establece la Revisión 2 como el estándar. A pesar de eso, hay una próxima norma FAR que requerirá la adopción de la NIST SP 800-171 a nivel gubernamental y no está claro qué revisión se utilizará en esa norma. Y la desviación de clase del DOD puede ser rescindida en cualquier momento. Dado esto, es prudente que los contratistas comiencen a prepararse para la implementación de esta nueva versión ahora.
ES
Normas Fundamentales de Ciberseguridad para Contratistas Actualizadas
El Instituto Nacional de Estándares y Tecnología (NIST) lanzó la tercera revisión de su Publicación Especial (SP) 800-171, titulada «Protección de Información No Clasificada Controlada en Sistemas y Organizaciones No Federales». Esta publicación forma la base de los estándares de ciberseguridad que los contratistas deben cumplir al manejar Información No Clasificada Controlada (CUI) para el Departamento de Defensa (DOD) de EE. UU. y para el nuevo Factor de Preparación en Ciberseguridad del Departamento de Seguridad Nacional (DHS). Además, el próximo programa de Certificación de Modelo de Madurez de Ciberseguridad (CMMC) del DOD utiliza el NIST SP 800-171 para lograr certificaciones de Nivel 2 (aunque se espera que el CMMC utilice inicialmente la revisión anterior de la SP 800-171 en su programa).
También se ha lanzado la segunda versión (pero también llamada Revisión 3) de la NIST SP 800-171A, titulada «Evaluación de Requisitos de Seguridad para Información No Clasificada Controlada». Según lo descrito por NIST, esta publicación complementaria proporciona a las organizaciones «procedimientos y metodologías de evaluación» al evaluar si se han cumplido los controles de la NIST SP 800-171. Este documento fue actualizado por última vez en 2018.
Cambios Clave
Hay algunos cambios importantes entre la revisión anterior (Revisión 2) y la revisión actual (Revisión 3) que los contratistas deben entender:
También hay una correspondencia directa entre la NIST SP 800-53 Revisión 5 (relacionada con la protección de sistemas de información federal) y la NIST SP 800-171 Revisión 3 (relacionada con la protección de información federal en sistemas de contratistas) conocida como «Criterios de Adaptación». Cada control de la NIST SP 800-53 se asigna a un control de la NIST SP 800-171. Donde no hay un control de la NIST SP 800-171 asignado, la NIST indica si es: 1) no relacionado con la protección de CUI, 2) es responsabilidad del gobierno federal, 3) el control está suficientemente cubierto por otro control, o 4) no es aplicable.
En un borrador anterior, se habría requerido evaluaciones independientes como uno de los controles. La NIST ha eliminado ese control en esta revisión final como «no directamente relacionado» con la protección de CUI.
Conclusiones y Próximos Pasos
La publicación de este nuevo estándar impactará el espacio de contratación gubernamental durante años. Aun así, no se requiere una acción inmediata. Recientemente, el DOD emitió una desviación de clase que afecta a la Sección 252.204-7012 del Suplemento de Regulaciones Federales de Adquisiciones de Defensa (DFARS), que dará a los contratistas un plazo para adoptar la Revisión 3 (anteriormente, el efecto habría sido inmediato). Además, el borrador de la norma CMMC establece la Revisión 2 como el estándar. A pesar de eso, hay una próxima norma FAR que requerirá la adopción de la NIST SP 800-171 a nivel gubernamental y no está claro qué revisión se utilizará en esa norma. Y la desviación de clase del DOD puede ser rescindida en cualquier momento. Dado esto, es prudente que los contratistas comiencen a prepararse para la implementación de esta nueva versión ahora.
{Traducido por Gigatech MSP}
{Articulo original por Holland & Knight}
Recent Posts
Recent Post
La nueva herramienta gratuita de Cloudflare detiene
septiembre 10, 2024El dispositivo «accesorio para el hogar» rumoreado
septiembre 6, 2024Cómo los distritos K-12 pueden prepararse para
septiembre 5, 2024Tags