NIST Special Publication 800-171 Revision 1

NinjaOne a choisi ce cadre spécifiquement parce qu'il est référencé par la spécification DFARS 252.204-7012 du ministère de la Défense (Department of Defense) comme base de référence pour les contrôles de sécurité requis  

https://csrc.nist.gov/publications/detail/sp/800-171/rev-1/final

La protection des informations non classifiées contrôlées (Controlled Unclassified Information - CUI) résidant dans des systèmes et organisations non fédéraux est d'une importance capitale pour les agences fédérales et peut avoir un impact direct sur la capacité du gouvernement fédéral à mener à bien les missions qui lui sont assignées et ses opérations commerciales. Cette publication fournit aux agences fédérales un ensemble d'exigences de sécurité recommandées pour protéger la confidentialité des CUI lorsque ces informations résident dans des systèmes et des organisations non fédérales; lorsque l'organisation non fédérale ne collecte pas ou ne conserve pas d'informations pour le compte d'une agence fédérale ou n'utilise pas ou n'exploite pas un système pour le compte d'une agence; et lorsqu'il n'existe pas d'exigences de protection spécifiques pour protéger la confidentialité des CUI prescrites par la loi, le règlement ou la politique gouvernementale autorisant la catégorie ou la sous-catégorie de CUI figurant dans le registre des CUI. Les exigences de sécurité s'appliquent à tous les composants des systèmes et organisations non fédéraux qui traitent, stockent ou transmettent des CUI, ou qui assurent la protection de ces composants. Les exigences sont destinées à être utilisées par les agences fédérales dans les instruments contractuels ou autres accords établis entre ces agences et les organisations non fédérales.

Catégories de contrôle abordées dans cette publication :

  • Contrôle des Accès
  • Audits et Responsabilité
  • Sensibilisation et Formation
  • Gestion des Configurations
  • Identification et Authentification
  • Maintenance
  • Protection des Médias
  • Sécurité du Personnel
  • Protection Physique et Environnementale
  • Protection des Systèmes et des Communications
  • Intégrité des Systèmes et des Informations

NIST SP 800-171