NIST SP 800-171とは何ですか、誰がそれに従う必要がありますか？

この記事はもともとIndustryWeekに掲載されました。 MEP National Network ^TM の一部であるオハイオMEPの南西地域パートナーであるTechSolve、Inc。の助成プログラムマネージャーであるTraciSpencerによるゲストブログ投稿 。

政府との契約に結びついたサプライチェーンに関与する製造業者は、他の方法では不可能なレベルで追加の収益をもたらすこれらの賞を期待することができます。ただし、そのような作業の取得と維持に成功するということは、連邦調達規則（FAR）および国防連邦調達規則補足（DFARS）に準拠することを意味します。

FARは、米国政府に関連するすべての買収および契約手続きを管理する一連の規制です。 DFARSは追加としてFARを伴います。国防総省（DoD）は、DFARSの背後にある管理機関ですが、DFARS要件の範囲は、その組織だけにとどまりません。

NIST SP 800-171は、管理された未分類情報（CUI）の機密性を保護するための推奨要件を提供するNIST特別刊行物です。防衛産業の請負業者は、DFARS条項252.204-7012で要求されているように、防衛契約に含まれる対象の防衛情報を保護するための適切なセキュリティの提供を実証するために、NIST SP800-171に含まれる推奨要件を実装する必要があります。メーカーがDoD、General Services Administration（GSA）、NASA、またはその他の連邦または州の機関のサプライチェーンの一部である場合、NIST SP800-171に含まれるセキュリティ要件の実装は必須です。

NIST SP 800-171をどのように実装しますか？

メーカーがNISTSP 800-171を実装し、最終的にDFARSに準拠するために何をすべきか、そして予防可能な落とし穴なしにそのマイルストーンを達成するのに役立つ専門的なリソースがあるかどうか疑問に思うことは理解できます。彼らが最初に心に留めておくべきことは、DFARSに準拠するには、NIST SP800-171の要件を内外で知っているサイバーセキュリティコンサルタントと協力する必要があるということです。

小規模製造業者は、州の製造拡張パートナーシップ（MEP）センターに目を向けることをお勧めします。 NISTに接続する大規模な組織であるMEPNationalNetwork™の一部である、最寄りのMEPセンターの担当者は、NIST SP 800-171の実用的な知識を持ち、企業がDFARSコンプライアンスに備えるのを支援できます。企業の運用環境と情報システムの複雑さに応じて、短いプロセスでも長いプロセスでもかまいませんが、NIST SP 800-171の実装は、企業が情報を保護するために必要なプロセスです。

計画を成功させるには何が必要ですか？

DoD、GSA、NASA、およびその他の連邦および州政府機関との契約を維持したいメーカーは、NIST SP800-171の要件を満たす計画を立てる必要があります。 DFARSサイバーセキュリティ条項252,204-7012は、2017年12月31日に発効し、政府の請負業者が使用するシステムなど、連邦以外のシステムに存在するCUIの処理、保存、または送信を扱います。

メーカーが取るべき最初のステップの1つは、DFARSへの準拠を妨げるギャップが存在する場所を特定することです。その時点から、彼らはどのように進めるかを決定することができます。

メーカーはコンプライアンスに向けてどのように取り組み始める必要がありますか？

MEP National Networkは、DFARSに準拠することが実際に何を意味するのかを企業が理解するのに役立つ、企業のサイバーセキュリティ体制に関する情報を必要とするメーカー向けの専用リソースを提供します。企業は、DFARSコンプライアンスが自社に適用されるかどうかを確認し、工場のフロアをより安全にするための手順を推奨するインフォグラフィックを表示できます。

MEP National Networkは、メーカーが間違いなく何度も参照する特定のリソースであるNIST自己評価ハンドブック（NISTハンドブック162）も提供します。 150ページを超えるページにまたがっており、読者が施設を評価して、NIST SP 800-171の実装にどれだけ近いかを判断し、DFARS準拠にどれだけ近いかを理解するのに役立ちます。また、サイバーセキュリティに費やされる1ドルの影響を最大化するために、改善を行う際にどこに注力するかを決定するのにも役立ちます。

たとえば、このドキュメントには、評価の実行方法や、セキュリティ要件に関して話し合う該当する従業員をアドバイスするコンテンツが含まれています。ハンドブックを読んだ製造業者は、各評価質問には「代替アプローチ」オプションがあることに気付くでしょう。これは、製造業者がNIST SP800-171に適用されないいくつかの要件を見つける可能性があるという事実を指します。

その場合、セキュリティを維持するために別の、しかし同等に効果的な方法を使用することは許容されます—それぞれの製造業者が変更について正しい政府当局に通知し、それらの承認を得る限り。

製造工場の担当者は、ハンドブックの重要な要素のいくつかを紹介するウェビナーを視聴することで、コンプライアンス要件についての理解を深めることもできます。

複雑さは障壁であってはなりません

製造業者は当初、政府契約のサイバーセキュリティ要件を複雑すぎると見なす可能性があります。特に、小規模な事業を行っている場合はそうです。

ただし、ローカルMEPセンターを含む利用可能なリソースを使用すると、製造業者は、NIST SP 800-171要件を実装することにより、DFARSに準拠するだけでなく、準拠を維持できることを認識し、経済的に報われるものを受け取る可能性を開くことができます。評判を高める政府契約。

ローカルMEPセンターは、メーカーがNIST SP800-171サイバーセキュリティ要件の実装方法を詳細に説明する計画を完了し始めるときに使用する理想的なリソースです。

各MEPセンターは、企業がより自信を持ってコンプライアンスを遵守するのに役立つ公的および民間セクターのリソースにアクセスできます。場所は、50州すべてとプエルトリコに存在します。