Il National Institute of Standards and Technology (NIST) è un'agenzia governativa statunitense che si occupa di innovazione e competitività aziendale. Uno dei ruoli del NIST è quello di sviluppare standard e best practice per vari settori, tra cui la cybersecurity. Gli standard, le linee guida e le altre pubblicazioni del NIST possono essere preziose per un programma di conformità alla sicurezza aziendale.
Il NIST ha sviluppato diversi standard e best practice sia per la cybersecurity in generale che per alcune aree di una politica di sicurezza organizzativa. Questi standard e best practice sono stati adottati da varie agenzie del governo degli Stati Uniti per contribuire alla conformità con il Federal Information Security Management Act (FISMA).
Il NIST ha numerosi standard e best practice. Per quanto riguarda la cybersecurity, alcuni dei principali standard includono i Federal Information Processing Standards (FIPS), la serie 800 degli standard NIST e il NIST Cybersecurity Framework.
Gli standard NIST sono una combinazione di raccomandazioni e standard non vincolanti che le agenzie governative devono seguire per la Conformità FISMA. I FIPS sono requisiti obbligatori per le agenzie governative federali.
La serie 800 è l'insieme dei documenti NIST rilevanti per la comunità della sicurezza informatica. Esistono oltre 200 standard della serie Special Publication (SP) del NIST, che definiscono le migliori pratiche per la gestione degli accessi, la codifica sicura, l'uso della crittografia e altro ancora.
Alcune delle linee guida NIST più comunemente utilizzate includono:
Oltre a questi standard, le organizzazioni possono anche consultare gli standard NIST per le best practice e le informazioni su vari aspetti della cybersecurity.
Il NIST Cybersecurity Framework è progettato per migliorare la sicurezza informatica del settore delle infrastrutture critiche. Questo framework fornisce raccomandazioni per realizzare cinque funzioni fondamentali di cybersecurity:
Il NIST Cybersecurity Framework fornisce uno schema generale per l'implementazione di un programma di cybersecurity. Questo, in combinazione con gli standard della serie 800, fornisce una guida alla sicurezza sia ampia che approfondita.
Per le organizzazioni che lavorano con il governo federale, la Conformità agli standard NIST può essere obbligatoria. Le aziende che lavorano con agenzie governative statunitensi che hanno accesso ai loro sistemi e ai loro dati sensibili possono essere vincolate contrattualmente a soddisfare i requisiti di uno o più standard NIST. Come già detto, i contraenti DIB ne sono un esempio. Attualmente devono autocertificarsi come conformi al NIST 800-171, e il superamento di un audit di Livello CMMC richiederà la piena conformità al NIST 800-171, oltre a controlli e processi di sicurezza aggiuntivi.
Le organizzazioni per le quali la Conformità NIST non è obbligatoria possono trovarla preziosa per ottenere la Conformità con altre normative. Gli standard NIST definiscono un quadro di riferimento per la costruzione di un programma di cybersecurity maturo, e alcuni standard NIST sono progettati specificamente per aiutare le organizzazioni a soddisfare altri requisiti di Conformità. Il raggiungimento della Conformità NIST può consentire alle organizzazioni di soddisfare molti dei requisiti di altre normative in modo logico e sostenibile e semplifica il processo di soddisfazione di qualsiasi requisito specifico della normativa.
Il NIST ha pubblicato numerosi standard e linee guida, tra cui FIPS, la Serie 800 e il Cybersecurity Framework. Diversi standard sono progettati per soddisfare le esigenze di diverse organizzazioni, settori, sfide specifiche di cybersecurity, ecc.
La preparazione alla Conformità NIST inizia con l'identificazione delle linee guida e degli standard che meglio si adattano alle esigenze di sicurezza dell'organizzazione. Il NIST Cybersecurity Framework e il NIST SP 800-53 sono buoni punti di partenza per una guida generale sulla cybersecurity, mentre altri standard - come i NIST SP 800-37, 800-137 e 800-171 - sono destinati a scopi specifici.
Raggiungere la conformità con una serie di normative sulla cybersecurity può essere complesso. Gli standard e le best practice del NIST aiutano a semplificare questo processo, fornendo un unico quadro di riferimento per il raggiungimento della Conformità di sicurezza.
L'implementazione delle raccomandazioni degli standard di cybersecurity del NIST richiede una piattaforma di cybersecurity unificata con supporto per l'intera infrastruttura di un'organizzazione, compresi gli ambienti cloud privati e pubblici.
Le soluzioni di Check Point automatizzano il processo di verifica e reporting sulla Conformità NIST, rendendo più semplice per le organizzazioni identificare e colmare le lacune di Conformità. Per saperne di più, può richiedere una demo gratuita.