NIST SP 800 – 171NIST SP 800–171

정보 NIST SP 800-171About NIST SP 800–171

미국 국내 표준 및 기술 (NIST)은 연방 기관에서 정보 및 정보 시스템을 보호 하는 데 도움이 되는 측정 표준 및 지침을 유지 관리 합니다.The US National Institute of Standards and Technology (NIST) promotes and maintains measurement standards and guidelines to help protect the information and information systems of federal agencies. 제어 된 미분류 정보 관리 (171)에 대 한 집행 주문 13556에 대 한 응답으로 NIST SP 800-를 게시 하 여 연방 정보 시스템 및 조직에서 통제되지 않은 분류 된 정보를 보호 합니다.In response to Executive Order 13556 on managing controlled unclassified information (CUI), it published NIST SP 800–171, Protecting Controlled Unclassified Information In Nonfederal Information Systems and Organizations. 여기서는 분류 되지 않고 여전히 중요 하며 보호 해야 하는 디지털 및 물리적 정보 (예: 정부 또는 다른 엔터티에서 만든 엔터티)로 정의 됩니다.CUI is defined as information — both digital and physical — created by a government (or an entity on its behalf) that, while not classified, is still sensitive and requires protection.

NIST SP 800 – 171은 처음에는 2015 년 6 월 7 일에 게시 되었으며, 이후 발전 한 cyberthreats에 대 한 응답으로 여러 번 업데이트 되었습니다.NIST SP 800–171 was originally published in June 2015 and has been updated several times since then in response to evolving cyberthreats. 또한, 비 연방 정보 시스템 및 조직에 안전한 액세스, 전송 및 저장 해야 하는 방법에 대 한 지침을 제공 합니다. 이러한 요구 사항은 다음과 같은 네 가지 주요 범주로 나뉩니다.It provides guidelines on how CUI should be securely accessed, transmitted, and stored in nonfederal information systems and organizations; its requirements fall into four main categories:

  • 관리 및 보호를 위한 제어 및 프로세스Controls and processes for managing and protecting
  • IT 시스템의 모니터링 및 관리Monitoring and management of IT systems
  • 최종 사용자를 위한 사례 및 절차 지우기Clear practices and procedures for end users
  • 기술 및 실제 보안 조치 구현Implementation of technological and physical security measures

Microsoft 및 NIST SP 800-171Microsoft and NIST SP 800–171

Microsoft와 제휴 하는 타사 평가 조직, Kratos Secureinfo 및 Coalfire에서는 범위 내의 클라우드 서비스가 NIST SP 800-171의 기준을 충족 하는 것을 증명 하 고, 공인가을 처리할 때, 통제 되지 않은 정보 시스템 및 조직에서, 제어 되는 미분류 정보를 보호합니다.Accredited third-party assessment organizations, Kratos Secureinfo and Coalfire, partnered with Microsoft to attest that its in-scope cloud services meet the criteria in NIST SP 800–171, Protecting Controlled Unclassified Information (CUI) in Nonfederal Information Systems and Organizations, when they process CUI. Microsoft의 FedRAMP 요구 사항을 구현 하면 microsoft의 범위 내 클라우드 서비스가 시스템 및 사례를 이미 사용 하 고 있는 NIST SP 800-171의 요구 사항을 충족 하거나 초과 하는 것을 확인할 수 있습니다.The Microsoft implementation of FedRAMP requirements help ensure Microsoft in-scope cloud services meet or exceed the requirements of NIST SP 800–171 using the systems and practices already in place.

NIST SP 800-171 요구 사항은 FedRAMP에서 사용 하는 표준인 NIST SP 800-53의 하위 집합입니다.NIST SP 800–171 requirements are a subset of NIST SP 800-53, the standard that FedRAMP uses. 부록 D-NIST SP 800-171는 FedRAMP 프로그램에서 범위 내 클라우드 서비스가 이미 평가 되 고 승인 된 NIST SP 800-53의 관련 보안 제어에 대 한 개인 보안 요구 사항을 직접 매핑합니다.Appendix D of NIST SP 800–171 provides a direct mapping of its CUI security requirements to the relevant security controls in NIST SP 800-53, for which the in-scope cloud services have already been assessed and authorized under the FedRAMP program.

US 정부 기관, 컨설팅 회사, 제조 계약자 등을 처리 하거나 저장 하는 모든 엔터티가 NIST SP 800-171의 엄격한 요구 사항을 준수 해야 합니다.Any entity that processes or stores US government CUI — research institutions, consulting companies, manufacturing contractors — must comply with the stringent requirements of NIST SP 800–171. 이 증명은 microsoft가 전체 규정 준수로 인 한 보증을 통해 공동 작업을 배포 하려는 고객에 게 지원 서비스를 제공할 수 있음을 의미 합니다.This attestation means Microsoft in-scope cloud services can accommodate customers looking to deploy CUI workloads with the assurance that Microsoft is in full compliance. 예를 들어 해당 정보 시스템에서 범위 내 Microsoft 클라우드 서비스를 사용 하 여 ' 포함 된 방어 정보 '를 처리, 저장 또는 전송 하는 모든 DoD 계약자는 NIST SP 800-171의 보안 요구 사항을 준수 해야 하는 방어 DFARS 절의 US 부서를 충족 합니다.For example, all DoD contractors who process, store, or transmit 'covered defense information' using in-scope Microsoft cloud services in their information systems meet the US Department of Defense DFARS clauses that require compliance with the security requirements of NIST SP 800–171.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

감사, 보고서 및 인증서Audits, reports, and certificates

구현 방법How to implement

  • Azure 청사진 샘플: NIST 기반 컨트롤을 준수 하는 워크 로드를 구현 하기 위한 지원을 받을 수 있습니다.Azure Blueprint samples: Get support for implementing workloads that comply with NIST-based controls.

자주 묻는 질문Frequently asked questions

조직에서 Microsoft 준수를 NIST SP 800 – 171에 사용할 수 있나요?Can I use Microsoft compliance with NIST SP 800–171 for my organization?

예.Yes. Microsoft 고객은 FedRAMP 표준에 대 한 독립 타사 평가 조직 (3PAO)의 보고서에 설명 된 감사 되는 컨트롤을 고유한 FedRAMP 및 NIST 위험 분석 및 한정 노력의 일부로 사용할 수 있습니다.Microsoft customers may use the audited controls described in the reports from independent third-party assessment organizations (3PAO) on FedRAMP standards as part of their own FedRAMP and NIST risk analysis and qualification efforts. 이러한 보고서는 Microsoft가 해당 범위 내 클라우드 서비스에서 구현한 컨트롤의 효율성을 보증 합니다.These reports attest to the effectiveness of the controls Microsoft has implemented in its in-scope cloud services. 고객은 171 규정을 준수 하 고 NIST SP 800?Customers are responsible for ensuring that their CUI workloads comply with NIST SP 800–171 guidelines.

Microsoft 준수 점수를 사용하여 위험 평가Use Microsoft Compliance Score to assess your risk

Microsoft 준수 점수는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 컴플라이언스 센터의 미리 보기 기능입니다.Microsoft Compliance Score is a preview feature in the Microsoft 365 compliance center to help you understand your organization’s compliance posture and take actions to help reduce risks. 규정 준수 점수를 설정한후에는 서식 파일 드롭다운 메뉴에서 미리 구성 된 NIST 800-171 서식 파일 을 선택 하 여 조직이이 규정 요구 사항을 충족 하는 데 도움을 받을 수 있습니다.After setting up Compliance Score, select the pre-configured NIST 800-171 template from the Template drop-down menu to help your organization meet the requirements for this regulation.

리소스Resources