NIST SP 800-171NIST SP 800-171

Informazioni su NIST SP 800-171About NIST SP 800-171

Il National Institute of Standards and Technology (NIST) promuove e mantiene gli standard e le linee guida per le misure che consentono di proteggere le informazioni e i sistemi informativi delle agenzie federali.The US National Institute of Standards and Technology (NIST) promotes and maintains measurement standards and guidelines to help protect the information and information systems of federal agencies. In risposta all'ordine esecutivo 13556 sulla gestione delle informazioni non classificate controllate (cui), pubblicò NIST SP 800-171, proteggendo le informazioni non classificate controllate nei sistemi informativi e nelle organizzazioni non federali.In response to Executive Order 13556 on managing controlled unclassified information (CUI), it published NIST SP 800-171, Protecting Controlled Unclassified Information In Nonfederal Information Systems and Organizations. Cui è definito come informazione, sia digitale che fisica, creata da un governo (o da un'entità per suo conto) che, sebbene non classificata, è ancora sensibile e richiede protezione.CUI is defined as information — both digital and physical — created by a government (or an entity on its behalf) that, while not classified, is still sensitive and requires protection.

Il NIST SP 800-171 è stato originariamente pubblicato nel giugno 2015 ed è stato aggiornato diverse volte da allora in risposta all'evolversi di Cyberthreats.NIST SP 800-171 was originally published in June 2015 and has been updated several times since then in response to evolving cyberthreats. Fornisce linee guida su come deve essere accessibile, trasmessa e memorizzata in modo sicuro in sistemi informativi non federali e organizzazioni; i suoi requisiti rientrano in quattro categorie principali:It provides guidelines on how CUI should be securely accessed, transmitted, and stored in nonfederal information systems and organizations; its requirements fall into four main categories:

  • Controlli e processi per la gestione e la protezioneControls and processes for managing and protecting
  • Monitoraggio e gestione dei sistemi ITMonitoring and management of IT systems
  • Procedure chiare per gli utenti finaliClear practices and procedures for end users
  • Implementazione delle misure di sicurezza tecnologiche e fisicheImplementation of technological and physical security measures

Microsoft e NIST SP 800-171Microsoft and NIST SP 800-171

Le organizzazioni di valutazione di terze parti accreditate, Kratos secureinfo e Coalfire, hanno collaborato con Microsoft per attestare che i servizi cloud in ambito soddisfano i criteri in NIST SP 800-171, proteggendo le informazioni non classificate controllate (cui) nei sistemi informativi e nelle organizzazioni non federali, quando elaborano la cui.Accredited third-party assessment organizations, Kratos Secureinfo and Coalfire, partnered with Microsoft to attest that its in-scope cloud services meet the criteria in NIST SP 800-171, Protecting Controlled Unclassified Information (CUI) in Nonfederal Information Systems and Organizations, when they process CUI. L' implementazione Microsoft dei requisiti di FedRAMP consente di garantire che i servizi cloud di Microsoft in ambito soddisfino o superino i requisiti di NIST SP 800-171 utilizzando i sistemi e le procedure già esistenti.The Microsoft implementation of FedRAMP requirements help ensure Microsoft in-scope cloud services meet or exceed the requirements of NIST SP 800-171 using the systems and practices already in place.

I requisiti del NIST SP 800-171 sono un sottoinsieme di NIST SP 800-53, lo standard utilizzato da FedRAMP.NIST SP 800-171 requirements are a subset of NIST SP 800-53, the standard that FedRAMP uses. Appendice D del NIST SP 800-171 fornisce un mapping diretto dei requisiti di sicurezza cui ai controlli di sicurezza rilevanti in NIST SP 800-53, per i quali i servizi cloud nell'ambito sono già stati valutati e autorizzati nel corso del programma FedRAMP.Appendix D of NIST SP 800-171 provides a direct mapping of its CUI security requirements to the relevant security controls in NIST SP 800-53, for which the in-scope cloud services have already been assessed and authorized under the FedRAMP program.

Qualsiasi entità che elabora o archivia gli Stati Uniti: istituzioni di ricerca, società di consulenza, appaltatori manifatturiere, deve soddisfare i severi requisiti del NIST SP 800-171.Any entity that processes or stores US government CUI — research institutions, consulting companies, manufacturing contractors — must comply with the stringent requirements of NIST SP 800-171. Questo attestato indica che i servizi cloud in ambito Microsoft possono ospitare i clienti che desiderano distribuire i carichi di lavoro cui con la certezza che Microsoft sia pienamente conforme.This attestation means Microsoft in-scope cloud services can accommodate customers looking to deploy CUI workloads with the assurance that Microsoft is in full compliance. Ad esempio, tutti i contraenti DoD che elaborano, archiviano o trasmettono ' informazioni sulla difesa trattate ' utilizzando i servizi cloud Microsoft in ambito nei sistemi informativi, soddisfano le clausole del dipartimento della difesa DFARS che richiedono la conformità con i requisiti di sicurezza di NIST SP 800-171.For example, all DoD contractors who process, store, or transmit 'covered defense information' using in-scope Microsoft cloud services in their information systems meet the US Department of Defense DFARS clauses that require compliance with the security requirements of NIST SP 800-171.

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Come eseguire l'implementazioneHow to implement

  • Esempidi modelli di Azure: ottenere supporto per l'implementazione di carichi di lavoro conformi ai controlli basati su NIST.Azure Blueprint samples: Get support for implementing workloads that comply with NIST-based controls.

Domande frequentiFrequently asked questions

È possibile utilizzare la conformità Microsoft con NIST SP 800-171 per l'organizzazione?Can I use Microsoft compliance with NIST SP 800-171 for my organization?

Sì.Yes. I clienti Microsoft possono utilizzare i controlli controllati descritti nei report di organizzazioni di valutazione di terze parti indipendenti (3PAO) sugli standard FedRAMP nell'ambito delle proprie attività di analisi e qualifica di FedRAMP e NIST.Microsoft customers may use the audited controls described in the reports from independent third-party assessment organizations (3PAO) on FedRAMP standards as part of their own FedRAMP and NIST risk analysis and qualification efforts. Questi rapporti confermano l'efficacia dei controlli che Microsoft ha implementato nei suoi servizi cloud nell'ambito.These reports attest to the effectiveness of the controls Microsoft has implemented in its in-scope cloud services. I clienti sono responsabili di garantire che i carichi di lavoro cui sono conformi alle linee guida di NIST SP 800-171.Customers are responsible for ensuring that their CUI workloads comply with NIST SP 800-171 guidelines.

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources