Il National Institute of Standards and Technology (NIST) ha aggiornato la sua bozza di linee guida per la protezione delle informazioni sensibili non classificate al fine di aiutare le agenzie federali e gli appaltatori governativi a implementare in modo più coerente i requisiti di cybersecurity.
La bozza rivista delle linee guida Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations (NIST Special Publication [SP] 800-171 Revision 3), sarà di particolare interesse per le molte migliaia di aziende che stipulano contratti con il governo federale. Le norme federali che regolano la protezione delle informazioni non classificate controllate (CUI), che includono dati sensibili come informazioni sanitarie, informazioni sulle infrastrutture energetiche critiche e proprietà intellettuale, fanno riferimento ai requisiti di sicurezza SP 800-171.
I sistemi che memorizzano CUI spesso supportano programmi governativi contenenti risorse critiche, come specifiche di progettazione per sistemi d’arma, sistemi di comunicazione e sistemi spaziali.
Le modifiche hanno il fine di aiutare in parte le aziende a comprendere meglio come implementare le specifiche misure di sicurezza informatica fornite in una pubblicazione del NIST strettamente correlata, SP 800-53 Rev. 5. Gli autori hanno allineato il linguaggio delle due pubblicazioni, in modo che le aziende possano applicare più prontamente il catalogo di strumenti tecnici, o “controlli”, di SP 800-53 per raggiungere i risultati di cybersecurity di SP 800-171.
L’aggiornamento è progettato per aiutare a mantenere difese coerenti contro le minacce di alto livello alla sicurezza delle informazioni, secondo Ron Ross membro del NIST e uno degli autori della pubblicazione.
“Molti dei requisiti appena aggiunti affrontano specificamente le minacce al CUI, che recentemente è stato un obiettivo di spionaggio a livello statale. Vogliamo implementare e mantenere difese allo stato dell’arte perché lo spazio delle minacce è in continua evoluzione”, ha affermato Ross. “Abbiamo cercato di esprimere tali requisiti in un modo che mostri agli appaltatori cosa facciamo e perché nella cybersecurity federale. Ora ci sono più dettagli utili con meno ambiguità“.
Il NIST richiede commenti pubblici sulla bozza delle linee guida entro il 14 luglio 2023.
Gli aggiornamenti degni di nota nella bozza includono:
- Modifiche per riflettere i controlli di sicurezza informatica allo stato dell’arte;
- Criteri rivisti utilizzati dal NIST per sviluppare i requisiti di sicurezza;
- Maggiore specificità e allineamento dei requisiti di sicurezza in SP 800-171 Rev. 3 con SP 800-53 Rev. 5, per facilitare l’implementazione e la valutazione; E
- Risorse aggiuntive per aiutare gli implementatori a comprendere e analizzare gli aggiornamenti proposti.
Ross ha dichiarato che l’obiettivo finale delle modifiche era semplificare l’ecosistema delle pubblicazioni sulla sicurezza informatica del NIST fornendo al contempo una migliore serie di requisiti.
“La protezione della CUI, inclusa la proprietà intellettuale, è fondamentale per la capacità della nazione di innovare, con implicazioni di vasta portata per la nostra sicurezza nazionale ed economica. Dobbiamo disporre di tutele sufficientemente forti per svolgere il lavoro”, ha affermato.
Inoltre, il NIST prevede di rilasciare almeno un’altra bozza di SP 800-171 Rev. 3 prima di pubblicare la versione finale all’inizio del 2024, dopo la quale, gli autori prevedono di rivedere l’insieme delle pubblicazioni di supporto del NIST sulla protezione delle informazioni non classificate controllate, inclusi SP 800-171A (valutazione dei requisiti di sicurezza), SP 800-172 (requisiti di sicurezza avanzati) e SP 800-172A (valutazione dei requisiti di sicurezza avanzati).
Il NIST sta pianificando un webinar per il 6 giugno 2023, per presentare le modifiche apportate a SP 800-171, le cui informazioni sulla registrazione saranno pubblicate la prossima settimana sul sito del progetto Protecting CUI.
