США: Национальный институт стандартов и технологий выложил проект руководства по защите контролируемой несекретной информации в нефедеральных системах и организациях

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 18 ноября 2014 года выложил для публичного обсуждения проект специальной публикации NIST SP 800-171 «Защита контролируемой несекретной информации в нефедеральных системах и организациях» (Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations), который доступен по адресу http://csrc.nist.gov/publications/drafts/800-171/sp800_171_draft.pdf .

О том, как в США трактуется понятие «контролируемой несекретной информации» см. также http://rusrim.blogspot.ru/2010/11/blog-post_15.html . В нашей практике к ему, наверное, ближе всего соответствует «служебная тайна».

В соответствующем анонсе отмечается следующее:

Для федеральных органов исполнительной власти защита «чувствительной» несекретной федеральной информации, хранящейся и использующейся в нефедеральных информационных системам и средах работы, имеет первостепенное значение. Компрометация этой информации может непосредственным образом повлиять на способность органов федерального правительства успешно выполнять свои миссии и деловые операции. Данная публикация предлагает федеральным органам исполнительной власти рекомендуемые требования к защите конфиденциальности контролируемой несекретной информации (Controlled Unclassified Information, CUI) в соответствии с исполнительным указом Президента 13556 (Executive Order 13556) в тех случаях, когда такая информация находится в неподведомственных федеральному правительству информационных системах и организациях. Требования распространяются на:

• Нефедеральные информационные системы, не охватываемые Законом об управлении информационной безопасностью в федеральном правительстве (Federal Information Security Management Act, FISMA); и


• Все компоненты нефедеральных систем, используемые для обработки, хранения или передачи контролируемой несекретной информации.

Требования по защите контролируемой несекретной информации были взяты из руководств по требованиям и мерам безопасности FIPS Publication 200 «Минимальные требования к обеспечению безопасности федеральной информации и информационных систем» (Minimum Security Requirements for Federal Information and Information Systems, март 2006 г., http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-march.pdf ) и NIST SP 800-53 «Меры безопасности и защиты персональных данных для федеральных информационных систем и организаций» (NIST SP 800-53 редакция 4, Security and Privacy Controls for Federal Information Systems and Organizations, апрель 2013 г.,  http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf ), а затем доработаны с тем, чтобы убрать требования:

• За выполнение которых в первую очередь несут ответственность органы федерального правительства;


• Связанные, прежде всего, с обеспечением доступности; и


• Те требования, которые и так, как правило, выполняются нефедеральными организациями в ходе их повседневной деятельности без дополнительных напоминаний.

К числу нефедеральных организаций относятся, например, поставщики органов федерального правительства; органы власти штатов, племен и местные органы власти; колледжи и университеты.

Данная публикация является частью более широкой инициативы Национальных Архивов США по исполнению своих обязанностей в качестве органа, ответственного за исполнение исполнительного указа 13556 о контролируемой несекретной информации. Национальные Архивы разработали 3-этапный план действий, способствующих стандартизации наименований и требований по защите такой информации как в федеральной среде, так и в тех случаях, когда эта информация находится в нефедеральных информационных системах и организациях. План Национальных Архивов включает в себя:

• Включение в Свод федеральных нормативных актов (Code of Federal Regulations, CFR) единых политик и практик в отношении контролируемой несекретной информации;


• Использование NIST SP 800-171 в качестве основы для установления требований к защите конфиденциальности контролируемой несекретной информации; и


• Разработка и включение Порядок федеральных госзакупок (Federal Acquisition Regulation, FAR) стандартного положения, обеспечивающего исполнение требований требования по безопасности из NIST SP 800-171 в среде поставщика.

Замечания и предложений по документу, пожалуйста, присылайте по адресу sec-cert@nist.gov , указав в теме электронного письма «Комментарии по проекту SP 800-171» (Comments Draft SP 800-171). Комментарии будут приниматься до 16 января 2015 года.

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html#800-171
http://csrc.nist.gov/publications/drafts/800-171/sp800_171_draft.pdf