Schutz von CUI mit NIST SP 800-171: Wie man die Einhaltung gewährleistet
Im Jahr 2017 veröffentlichte das National Institute of Standards and Technology (NIST) Anleitung im Rahmen der Special Publication (SP) 800-171, die Organisationen bei der Sicherung ihrer Informationssysteme unterstützt. Ziel dieser Glossarseite ist es, Unternehmen dabei zu helfen zu verstehen, was sie tun müssen, um mit NIST SP 800-171 konform zu sein. Wir werden die Grundlagen der Konformität behandeln und erläutern, wie Unternehmen den Einstieg schaffen können.
Was ist NIST SP 800-171?
Die Special Publication 800-171 (NIST SP 800-171) des National Institute of Standards and Technology ist ein Satz von Sicherheitsstandards, die von Unternehmen umgesetzt werden müssen, um sensible Informationen vor unbefugtem Zugriff zu schützen. NIST SP 800-171 gilt für alle Organisationen, die kontrollierte nicht klassifizierte Informationen (englisch: Controlled Unclassified Information, CUI) verarbeiten. Hierunter fallen alle Daten, die potenziell die nationale Sicherheit gefährden könnten, wenn sie von unbefugten Benutzern kompromittiert oder anderweitig zugänglich gemacht werden. Obwohl die Einhaltung von NIST SP 800-171 nicht für alle Unternehmen verpflichtend ist, fangen viele Branchen an, diese Standards als bewährte Verfahren für die Datensicherheit zu übernehmen.
Sicherheitsanforderungen von NIST SP 800-171
NIST SP 800-171 “Schutz kontrollierter nicht klassifizierter Informationen in nicht bundesstaatlichen Systemen und Organisationen” ist ein Satz von Richtlinien, die vom National Institute of Standards and Technology (NIST) festgelegt wurden, um die Sicherheit und Vertraulichkeit kontrollierter nicht klassifizierter Informationen (CUI) zu gewährleisten, die von Bundesbehörden an nicht bundesstaatliche Einrichtungen weitergegeben werden. Dazu gehören Bildungseinrichtungen, staatliche und lokale Regierungen sowie private Unternehmen, die CUI im Auftrag der Bundesregierung verarbeiten.
Das Dokument enthält 14 Sicherheitsanforderungen, darunter Zugangskontrolle, Sensibilisierung und Schulung, Vorfallreaktion und Risikobewertung. Diese Anforderungen schützen die Vertraulichkeit, Integrität und Verfügbarkeit von CUI und minimieren das Risiko unbefugten Zugriffs und Offenlegung.
Organisationen, die CUI verarbeiten, müssen die in NIST SP 800-171 beschriebenen Sicherheitsmaßnahmen umsetzen, um die Einhaltung der bundesstaatlichen Anforderungen nachzuweisen. Durch die Einhaltung dieser Richtlinien können nicht bundesstaatliche Einrichtungen einen konsequenten Schutz sensibler Informationen sicherstellen, was für das Vertrauensverhältnis zwischen Bundesregierung und Partnern von entscheidender Bedeutung ist.
Was sind kontrollierte nicht klassifizierte Informationen (CUI)?
Kontrollierte nicht klassifizierte Informationen (englisch: Controlled Unclassified Information, CUI) sind nicht klassifizierte Informationen, die gemäß Gesetz, Verordnung oder Anweisung des Präsidenten geschützt oder kontrolliert sein müssen. CUI umfasst Informationen, die von der Regierung erstellt oder besessen werden und mit Auftragnehmern, Zuschussempfängern und anderen außerhalb der Regierung geteilt werden. Ziel von CUI ist es, Informationen vor unbefugter Offenlegung zu schützen und deren Verfügbarkeit für diejenigen sicherzustellen, die einen legitimen Bedarf daran haben.
Welche Ziele verfolgt NIST SP 800-171?
Die Ziele von NIST SP 800-171 bestehen darin, die Umsetzung von Informationssicherheitsprogrammen in Bundesbehörden zu erleichtern, indem sie ihnen eine standardisierte Sprache und Anforderungen zur Verfügung stellt. Um Organisationen dabei zu helfen, Risiken besser zu managen, soll NIST SP 800-171 ihr Bewusstsein für Sicherheitsrisiken schärfen und ihre Aufmerksamkeit auf Prioritäten lenken. Diese Standards zielen darauf ab, Organisationen bei der Sicherung ihrer Daten, insbesondere sensibler Informationen, zu helfen. NIST SP 800-171 enthält Empfehlungen zur ordnungsgemäßen Verwaltung von Zugangskontrolle, administrativen Berechtigungen, physischer Sicherheit und mehr. Durch die Befolgung der Empfehlungen in diesem Standard können Unternehmen das Risiko von Datenverstößen oder Diebstahl erheblich reduzieren.
Wer muss NIST SP 800-171 umsetzen?
NIST SP 800-171 gilt für alle Bundesbehörden, Auftragnehmer und andere Organisationen, die mit der Bundesregierung zusammenarbeiten. Wenn Ihre Organisation CUI verarbeitet, müssen Sie die Anforderungen von NIST SP 800-171 erfüllen.
Wenn Sie beispielsweise mit der Bundesregierung Geschäfte machen, müssen Sie als sogenanntes Covered Entity ein Sicherheitsprogramm entwickeln, dokumentieren und umsetzen, um den Sicherheitsanforderungen in NIST SP 800-171 gerecht zu werden. Alle Covered Entities sollten in Erwägung ziehen, einen qualifizierten Drittanbieter zu beauftragen, der bei der Entwicklung und Umsetzung eines Sicherheitsprogramms zur Erfüllung dieses Standards unterstützt.
Wer ist für die Umsetzung von NIST SP 800-171 verantwortlich?
Für die von NIST SP 800-171 abgedeckten Einrichtungen ist der Chief Information Security Officer (CISO) jeder Behörde verantwortlich für die Umsetzung von NIST SP 800-171. Der CISO ist dafür verantwortlich, die Einhaltung der Anforderungen innerhalb der Behörde zu überwachen und sicherzustellen.
Was sind einige grundlegende Konformitätsanforderungen gemäß NIST SP 800-171?
NIST SP 800-171 besteht aus 14 grundlegenden Anforderungen, die Richtlinien zum Schutz von CUI in nichtbundesstaatlichen Systemen und Organisationen bieten. Diese Anforderungen haben eine klar definierte Struktur, die aus grundlegenden und abgeleiteten Sicherheitsanforderungen besteht. Die grundlegenden Sicherheitsanforderungen werden aus FIPS Publication 200 übernommen. Die abgeleiteten Sicherheitsanforderungen hingegen werden aus NIST SP 800-53 übernommen und ergänzen die grundlegenden Sicherheitsanforderungen. Die Anforderungen umfassen die folgenden Kontrollfamilien:
1. Zugangskontrolle
Diese Kontrollfamilie ist die größte unter NIST SP 800-171. Sie enthält 22 Kontrollen. Im Rahmen der Zugangskontrolle müssen Organisationen alle Zugriffsvorgänge in der IT-Umgebung überwachen und den Zugriff auf Systeme und Daten einschränken. NIST SP 800-171 empfiehlt unter anderem:
- Den Grundsatz des geringsten Privilegs umsetzen
- Den Fluss von CUI innerhalb einer Organisation kontrollieren und auf mobilen Geräten verschlüsseln
- Remotezugriff überwachen und kontrollieren
- Die Nutzung von mobilen Geräten kontrollieren und einschränken
- Dienste von Personen trennen, um unregelmäßige Aktivitäten zu verhindern
- Drahtlosen Zugriff autorisieren und schützen durch Verschlüsselung und Authentifizierung
2. Sensibilisierung und Schulung
Diese Kontrollfamilie erfordert von Unternehmen, sicherzustellen, dass Manager, Systemadministratoren und andere Benutzer über die mit ihren Aktivitäten verbundenen Sicherheitsrisiken informiert sind. Sie müssen mit den Sicherheitsrichtlinien der Organisation und den grundlegenden Cybersicherheitspraktiken vertraut sein, um Insider- und externe Bedrohungen zu erkennen und darauf zu reagieren.
3. Überprüfung und Nachweisbarkeit
Diese Kontrollfamilie besteht aus neun Kontrollen. Unternehmen müssen Auditprotokolle aufbewahren, um sie bei Sicherheitsuntersuchungen zu verwenden, und Benutzer für ihre Aktionen zur Rechenschaft ziehen. Organisationen müssen Auditprotokolle sammeln und analysieren, um unbefugte Aktivitäten zu erkennen und schnell darauf zu reagieren. Folgende Schritte können dabei helfen, diese Kontrollen umzusetzen:
- Auditereignisse überprüfen und aktualisieren
- Über Fehler im Auditing-Prozess berichten
- Auditsysteme vor unbefugtem Zugriff schützen
- Berichte generieren, um eine situationsabhängige Analyse zu ermöglichen und den Konformitätsnachweis bereitzustellen
4. Konfigurationsmanagement
In dieser Kontrollfamilie müssen Unternehmen Basisgrundkonfigurationen erstellen und pflegen, die die Kontrolle und Überwachung von benutzerinstallierter Software und Änderungen an den Systemen Ihrer Organisation umfassen. Unternehmen müssen sich auf Folgendes konzentrieren:
- Dokumentation aller Ereignisse, bei denen aufgrund von Änderungen an IT-Systemen der Zugriff eingeschränkt wurde
- Anwendung des Prinzips der geringsten Funktionalität durch Konfiguration von Systemen, um nur wesentliche Funktionen bereitzustellen
- Einschränkung, Deaktivierung oder Verhinderung der Nutzung von Programmen, Funktionen, Protokollen und Diensten, die nicht wesentlich sind
- Blacklisting nicht autorisierter Software
5. Identifizierung und Authentifizierung
Diese Kontrollfamilie von Anforderungen stellt sicher, dass nur authentifizierte Benutzer auf das Netzwerk oder die Systeme der Organisation zugreifen können. Sie umfasst 11 Anforderungen, die Passwort- und Authentifizierungsverfahren sowie Richtlinien abdecken. Sie deckt auch die zuverlässige Identifizierung von Benutzern ab. Anforderungen, um den Unterschied zwischen privilegierten und nicht privilegierten Konten beim Netzwerkzugriff sicherzustellen.
6. Vorfallreaktion
Hier müssen Unternehmen eine Vorfallreaktionsstrategie haben, die eine schnelle Reaktion auf jeden Vorfall ermöglicht, der zu einem Datenverstoß führen könnte. Eine Organisation kann Fähigkeiten implementieren, um Sicherheitsvorfälle zu erkennen, zu analysieren und darauf zu reagieren, und über diese Vorfälle an geeignete Stellen berichten – sowie ihren Vorfallreaktionsplan regelmäßig testen.
7. Wartung
Mangelhafte Wartung kann zur Offenlegung von CUI führen und stellt somit eine Bedrohung für die Vertraulichkeit der Informationen dar. Unternehmen müssen regelmäßige Wartungsarbeiten durchführen und dabei folgende Regeln beachten:
- Diejenigen, die Wartungsarbeiten durchführen, genau im Auge behalten
- Sicherstellen, dass Geräte, die zur Wartung außerhalb des Standorts entfernt werden, keine sensiblen Daten enthalten
- Sicherstellen, dass Medien mit Test- und Diagnoseprogrammen frei von schädlichem Code sind
8. Schutz von Medien
Die Kontrollfamilie “Schutz von Medien” erfordert, dass Sie die Sicherheit von Systemmedien sicherstellen, die CUI enthalten, einschließlich Papier- und digitaler Medien.
9. Physische Sicherheit
Physische Sicherheit umfasst den Schutz von Hardware, Software, Netzwerken und Daten vor Schäden oder Verlust aufgrund physischer Ereignisse. Das NIST SP 800-171 erfordert von Organisationen mehrere Maßnahmen, um das Risiko physischer Schäden zu minimieren, z. B.:
- Die physische Zugriffsbeschränkung zu Systemen und Geräten auf autorisierte Benutzer beschränken
- Auditprotokolle physischer Zugriffe führen
- Kontrolle physischer Zugriffsgeräte
10. Persönlicher Schutz
Dies ist eine kleinere Kontrollfamilie, die Unternehmen dazu verpflichtet, Benutzeraktivitäten zu überwachen und sicherzustellen, dass alle Systeme, die CUI enthalten, während und nach Personalmaßnahmen, wie Mitarbeiterkündigungen und -versetzungen, geschützt werden.
11. Risikobewertung
Es gibt zwei Anforderungen, die die Durchführung und Analyse regelmäßiger Risikobewertungen abdecken. Unternehmen müssen regelmäßig Systeme auf Schwachstellen scannen, Netzwerkgeräte und Software aktualisieren und sicher halten. Durch regelmäßiges Hervorheben und Stärken von Schwachstellen verbessert sich die Sicherheit des gesamten Systems.
12. Sicherheitsbewertung
Eine Organisation muss ihre Sicherheitskontrollen überwachen und bewerten, um festzustellen, ob sie ausreichend wirksam sind, um Daten sicher zu halten. Unternehmen müssen einen Plan erstellen, der Systemgrenzen, Beziehungen zwischen verschiedenen Systemen und Verfahren zur Umsetzung von Sicherheitsanforderungen beschreibt und diesen Plan regelmäßig aktualisieren.
13. System- und Kommunikationsschutz
Diese relativ große Kontrollfamilie umfasst 16 Kontrollen zur Überwachung, Kontrolle und zum Schutz von über IT-Systeme übertragenen oder empfangenen Informationen. Sie umfasst verschiedene Aktivitäten wie:
- Die unbefugte Übertragung von Informationen verhindern
- Aufbau von Teilsystemen für öffentlich zugängliche Systemkomponenten, die von internen Netzwerken getrennt sind
- Verwendung kryptografischer Mechanismen, um jede unbefugte Offenlegung von CUI zu verhindern
- Standardmäßig Netzwerkkommunikationsverkehr ablehnen
14. Schutz von Systemen und Informationen
Diese Kontrollgruppe erfordert von Unternehmen, Systemfehler schnell zu erkennen und zu beheben sowie kritische Assets vor schädlichem Code zu schützen. Dazu gehören Aufgaben wie:
- Überwachung und umgehende Reaktion auf Sicherheitswarnungen, die auf unberechtigte Nutzung von IT-Systemen hinweisen
- Regelmäßige Scans von IT-Systemen durchführen und Dateien aus externen Quellen scannen, wenn sie heruntergeladen oder bearbeitet werden
- Aktualisieren der Mechanismen zum Schutz vor schädlichem Code, sobald neue Versionen verfügbar sind
Wo können Unternehmen Hilfe erhalten, um diesen Standard zu verstehen und einzuhalten?
Es gibt viele Standards, die Unternehmen einhalten müssen, und die National Institute of Standards and Technology SP 800-171 ist nur einer von ihnen. Es kann schwierig sein, mit all den unterschiedlichen Konformitätsanforderungen Schritt zu halten, aber zum Glück stehen Ressourcen zur Verfügung, die Unternehmen dabei helfen zu verstehen und diesem Standard gerecht zu werden. Auf der Website des National Institute of Standards and Technology finden Sie Informationen zum Standard 800-171 und wie Unternehmen die Anforderungen erfüllen können. Darüber hinaus bieten viele private Unternehmen Beratungsdienste zur Einhaltung von Vorschriften an, um Unternehmen dabei zu unterstützen, sicherzustellen, dass sie alle einschlägigen Standards erfüllen.
Welche Schritte zur Selbstbewertung für die Konformität gemäß NIST SP 800-171 sind erforderlich?
Schritt 1:
Holen Sie sich Ratschläge von Ihrer Bundes- oder Landesbehörde. Wenn Ihre Organisation Dienstleistungen für andere Bundesregierungsbehörden erbringt, besteht eine gute Chance, dass die Behörden von Ihnen verlangen, Ihre Konformität mit NIST SP 800-171 nachzuweisen.
Schritt 2:
Definieren Sie CUI, die für Ihre Organisation relevant ist. Identifizieren Sie, wo diese Daten in Ihrem Netzwerk gespeichert, verarbeitet oder übertragen werden.
Schritt 3:
Führen Sie eine Lückenanalyse durch. Bewerten Sie Ihren Sicherheitsstatus, um festzustellen, wo Sie derzeit konform sind und wo zusätzliche Arbeit erforderlich ist.
Schritt 4:
Priorisieren Sie die Anforderungen von NIST SP 800-171. Nutzen Sie dies, um die erforderlichen Maßnahmen zu planen.
Schritt 5:
Setzen Sie die erforderlichen Änderungen entsprechend den Ergebnissen der Lückenanalyse und Priorisierung um.
Schritt 6:
Stellen Sie sicher, dass Unterauftragnehmer konform sind. Sie haben möglicherweise die Konformität mit NIST SP 800-171 erreicht, aber Ihre Unterauftragnehmer sind möglicherweise nicht konform. Sie müssen sicherstellen, dass sie mit allen Anforderungen vertraut sind und die erforderlichen Kontrollen umgesetzt haben.
Schritt 7:
Benennen Sie eine Person, die für die Einhaltung verantwortlich sein wird. Diese Person wird dafür verantwortlich sein, Dokumentation und Nachweise dafür vorzubereiten, wie Ihre Organisation CUI schützt. Diese Person wird auch dafür verantwortlich sein, Ihr IT-Team und Ihre Geschäftsleitung in den Konformitätsprozess einzubeziehen. Sie können auch entscheiden, einen Berater zu beauftragen, der beratende und bewertende Dienstleistungen anbietet, um Ihren NIST SP 800-171-Anforderungen gerecht zu werden.
Kiteworks, FedRAMP und NIST SP 800-171
Kiteworks ist eine Plattform für sicheren Dateiaustausch, die die Einhaltung von NIST SP 800-171 erleichtert. Es handelt sich um eine von FedRAMP Moderate autorisierte Lösung, bei der die Daten während der Übertragung und im Ruhezustand verschlüsselt werden. Kiteworks erfüllt alle Sicherheitsanforderungen, die in NIST SP 800-171 festgelegt sind, und erfüllt auch andere Vorschriften, einschließlich ITAR, GDPR, SOC 2 (SSAE-16), FISMA und FIPS 140-2.
Kiteworks bietet eine zusätzliche Ebene von Sicherheit und Governance für Benutzer und Systeme, die sensible Informationen wie CUI speichern und übertragen. Organisationen können eine maßgeschneiderte Demo von Kiteworks vereinbaren, um mehr darüber zu erfahren, wie sie es zur Erfüllung von NIST SP 800-171 nutzen können, oder setzen Sie sich unter sales@kiteworks.com mit dem Vertrieb in Verbindung, um weitere Informationen zu erhalten.