Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Manufacturing Technology >> Industrietechnik

Was ist die NIST SP 800-171 und wer muss ihr folgen?

Dieser Artikel erschien ursprünglich auf IndustryWeek. Gast-Blogpost von Traci Spencer, Grant Program Manager bei TechSolve, Inc., dem südwestlichen Regionalpartner des MEP von Ohio, Teil des MEP National Network TM .

Hersteller, die an Lieferketten beteiligt sind, die an Regierungsaufträge gebunden sind, können davon ausgehen, dass diese Zuschläge zusätzliche Einnahmen in einem Ausmaß bringen, das sonst möglicherweise nicht möglich wäre. Um solche Arbeit erfolgreich zu bekommen und zu behalten, müssen Sie jedoch die Federal Acquisition Regulation (FAR) und die Defense Federal Acquisition Regulation Supplement (DFARS) einhalten.

FAR ist eine Reihe von Vorschriften, die alle Akquisitions- und Vertragsverfahren im Zusammenhang mit der US-Regierung regeln. DFARS begleitet FAR als Ergänzung. Das Verteidigungsministerium (DoD) ist die Verwaltungsbehörde von DFARS, aber die Reichweite der DFARS-Anforderungen erstreckt sich auf mehr als diese Organisation.

NIST SP 800-171 ist eine NIST-Sonderpublikation, die empfohlene Anforderungen zum Schutz der Vertraulichkeit von kontrollierten nicht klassifizierten Informationen (CUI) enthält. Auftragnehmer im Verteidigungsbereich müssen die in NIST SP 800-171 enthaltenen empfohlenen Anforderungen umsetzen, um nachzuweisen, dass sie angemessene Sicherheit zum Schutz der in ihren Verteidigungsverträgen enthaltenen abgedeckten Verteidigungsinformationen gemäß DFARS-Klausel 252.204-7012 bieten. Wenn ein Hersteller Teil einer Lieferkette des DoD, der General Services Administration (GSA), der NASA oder anderer Bundes- oder Landesbehörden ist, ist die Umsetzung der in NIST SP 800-171 enthaltenen Sicherheitsanforderungen ein Muss.

Wie implementieren Sie NIST SP 800-171?

Für Hersteller ist es verständlich, dass sie sich fragen, was sie tun sollten, um NIST SP 800-171 zu implementieren und letztendlich DFARS einzuhalten, und ob ihnen spezielle Ressourcen zur Verfügung stehen, um diesen Meilenstein ohne vermeidbare Fallstricke zu erreichen. Das erste, was sie bedenken sollten, ist, dass die DFARS-Konformität wahrscheinlich die Zusammenarbeit mit einem Cybersicherheitsberater erfordert, der die Anforderungen von NIST SP 800-171 in- und auswendig kennt.

Für kleine Hersteller ist es ratsam, sich an das Manufacturing Extension Partnership (MEP) Center ihres Staates zu wenden. Als Teil des MEP National Network™, einer größeren Organisation, die sie mit NIST verbindet, verfügen die Vertreter Ihres lokalen MEP-Zentrums über praktische Kenntnisse von NIST SP 800-171 und können Unternehmen bei der Vorbereitung auf die DFARS-Compliance unterstützen. Es kann ein kurzer oder langer Prozess sein, je nach Komplexität der Betriebsumgebung und der Informationssysteme eines Unternehmens, aber die Implementierung von NIST SP 800-171 ist ein notwendiger Prozess für ein Unternehmen, um seine Informationen zu schützen.

Was beinhaltet ein erfolgreicher Plan?

Hersteller, die ihre Verträge mit DoD, GSA, NASA und anderen Bundes- und Landesbehörden beibehalten möchten, benötigen einen Plan, der die Anforderungen von NIST SP 800-171 erfüllt. Die DFARS-Cybersicherheitsklausel 252,204-7012 trat am 31. Dezember 2017 in Kraft und befasst sich mit der Verarbeitung, Speicherung oder Übertragung von CUI, die auf nicht-föderalen Systemen vorhanden sind, wie sie beispielsweise von einem staatlichen Auftragnehmer verwendet werden.

Einer der ersten Schritte, den Hersteller unternehmen sollten, besteht darin, Lücken zu identifizieren, die die Einhaltung von DFARS verhindern. Ab diesem Zeitpunkt können sie bestimmen, wie es weitergeht.

Wie sollten Hersteller anfangen, auf Compliance hinzuarbeiten?

Das MEP National Network bietet dedizierte Ressourcen für Hersteller, die Informationen über die Cybersicherheit eines Unternehmens benötigen, die Unternehmen dabei helfen zu verstehen, was die Einhaltung von DFARS für sie tatsächlich bedeutet. Unternehmen können sehen, ob die DFARS-Compliance für sie gilt, und Infografiken anzeigen, die Schritte empfehlen, um ihre Fabrikhallen sicherer zu machen.

Das MEP National Network bietet auch eine besondere Ressource, auf die Hersteller zweifellos immer wieder Bezug nehmen werden:das NIST Self-Assessment Handbook (NIST Handbook 162). Es umfasst mehr als 150 Seiten und hilft den Lesern, ihre Einrichtungen zu bewerten, um festzustellen, wie nahe sie an der Implementierung von NIST SP 800-171 sind, um zu verstehen, wie nahe sie der DFARS-Konformität sind. Es hilft auch zu bestimmen, worauf man sich bei der Verbesserung konzentrieren sollte, um die Wirkung jedes Dollars, der für die Cybersicherheit ausgegeben wird, zu maximieren.

Das Dokument enthält beispielsweise Inhalte, die Ratschläge zur Durchführung eines Assessments geben und mit welchen zuständigen Mitarbeitern bezüglich Sicherheitsanforderungen gesprochen werden kann. Hersteller, die das Handbuch lesen, werden feststellen, dass jede Bewertungsfrage eine Option "alternativer Ansatz" hat. Es bezieht sich auf die Tatsache, dass Hersteller in NIST SP 800-171 möglicherweise einige Anforderungen finden, die nicht auf sie zutreffen.

In diesem Fall ist es akzeptabel, eine andere, aber ebenso effektive Methode zur Aufrechterhaltung der Sicherheit zu verwenden – solange die jeweiligen Hersteller die richtigen Regierungsbehörden über die Änderungen informieren und eine Genehmigung dafür einholen.

Vertreter von Produktionswerken können ihr Verständnis der Compliance-Anforderungen auch verbessern, indem sie sich ein Webinar ansehen, das einige der entscheidenden Elemente des Handbuchs behandelt.

Komplexität sollte kein Hindernis sein

Hersteller könnten die Cybersicherheitsanforderungen für Regierungsaufträge zunächst als zu kompliziert ansehen, insbesondere wenn sie kleine Betriebe haben.

Die Nutzung der verfügbaren Ressourcen – einschließlich lokaler MEP-Zentren – ermöglicht es Herstellern jedoch zu erkennen, dass es möglich ist, DFARS zu erfüllen und die Vorschriften einzuhalten, indem sie die Anforderungen von NIST SP 800-171 umsetzen und Möglichkeiten für den Erhalt finanziell lohnender und Reputationsfördernde Regierungsaufträge.

Ein lokales MEP-Center ist eine ideale Ressource für Hersteller, wenn sie mit der Erstellung eines Plans beginnen, der die Implementierung der Cybersicherheitsanforderungen von NIST SP 800-171 detailliert beschreibt.

Jedes MEP-Zentrum hat Zugang zu Ressourcen des öffentlichen und privaten Sektors, die Unternehmen dabei helfen können, die Konformität mit mehr Vertrauen zu erreichen. Standorte gibt es in allen 50 Bundesstaaten und in Puerto Rico.


Industrietechnik

  1. Was ist der Unterschied zwischen Cloud und Virtualisierung?
  2. Was ist der Unterschied zwischen Sensor und Wandler?
  3. Die digitale Fabrik:Was sie ist und warum sie wichtig ist
  4. Das Was, Warum und Wie der Schraubenschlüsselzeit
  5. Was ist der Unterschied zwischen FRP und Fiberglas?
  6. Jig und Fixture:Was ist der Unterschied?
  7. Wartungsdokumentation und der größte Eierkorb der Welt
  8. Was ist der Unterschied:Branderkennung, -schutz und -unterdrückung?
  9. Was ist der Unterschied zwischen Schalung und Schalung?
  10. Was ist der Unterschied zwischen elektronisch und elektrisch?