Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Manufacturing Technology >> Technologie industrielle

Qu'est-ce que le NIST SP 800-171 et qui doit le suivre ?

Cet article a été initialement publié sur IndustryWeek. Article de blog invité par Traci Spencer, responsable du programme de subventions pour TechSolve, Inc., le partenaire régional sud-ouest du MEP de l'Ohio, qui fait partie du réseau national du MEP TM .

Les fabricants impliqués dans des chaînes d'approvisionnement liées à des contrats gouvernementaux peuvent s'attendre à ce que ces attributions génèrent des revenus supplémentaires à des niveaux qui ne seraient peut-être pas possibles autrement. Cependant, réussir à obtenir et à conserver un tel travail signifie se conformer à la réglementation fédérale sur les acquisitions (FAR) et au supplément de la réglementation fédérale sur les acquisitions de la défense (DFARS).

Le FAR est un ensemble de réglementations qui régit toutes les procédures d'acquisition et de passation de marchés associées au gouvernement américain. DFARS accompagne le FAR en complément. Le ministère de la Défense (DoD) est l'organe administratif derrière DFARS, mais la portée des exigences DFARS s'étend à plus que cette organisation.

NIST SP 800-171 est une publication spéciale du NIST qui fournit des exigences recommandées pour protéger la confidentialité des informations non classifiées contrôlées (CUI). Les entrepreneurs de la défense doivent mettre en œuvre les exigences recommandées contenues dans le NIST SP 800-171 pour démontrer qu'ils fournissent une sécurité adéquate pour protéger les informations de défense couvertes incluses dans leurs contrats de défense, comme l'exige la clause DFARS 252.204-7012. Si un fabricant fait partie d'une chaîne d'approvisionnement du DoD, de la General Services Administration (GSA), de la NASA ou d'autres agences fédérales ou étatiques, la mise en œuvre des exigences de sécurité incluses dans NIST SP 800-171 est indispensable.

Comment implémentez-vous NIST SP 800-171 ?

Il est compréhensible que les fabricants se demandent ce qu'ils devraient faire pour mettre en œuvre NIST SP 800-171 et finalement se mettre en conformité avec DFARS, et s'il existe des ressources spécialisées disponibles pour les aider à atteindre cette étape sans pièges évitables. La première chose qu'ils doivent garder à l'esprit est qu'être conforme au DFARS implique probablement de travailler avec un consultant en cybersécurité qui connaît parfaitement les exigences NIST SP 800-171.

Il est conseillé aux petits fabricants de se tourner vers le Manufacturing Extension Partnership (MEP) Center de leur État. Faisant partie du MEP National Network™, une organisation plus importante qui les connecte au NIST, les représentants de votre centre MEP local auront une connaissance pratique du NIST SP 800-171 et peuvent aider les entreprises à se préparer à la conformité DFARS. Cela peut être un processus court ou long, selon la complexité de l'environnement d'exploitation et des systèmes d'information d'une entreprise, mais la mise en œuvre du NIST SP 800-171 est un processus nécessaire pour qu'une entreprise protège ses informations.

En quoi consiste un plan réussi ?

Les fabricants qui souhaitent conserver leurs contrats DoD, GSA, NASA et autres agences fédérales et étatiques doivent avoir un plan qui répond aux exigences du NIST SP 800-171. La clause de cybersécurité 252 204-7012 du DFARS est entrée en vigueur le 31 décembre 2017 et traite du traitement, du stockage ou de la transmission des CUI qui existent sur des systèmes non fédéraux, tels que ceux utilisés par un sous-traitant du gouvernement.

L'une des premières mesures que les fabricants doivent prendre est d'identifier les lacunes qui les empêchent d'être en conformité avec DFARS. À partir de là, ils peuvent déterminer la marche à suivre.

Comment les fabricants devraient-ils commencer à travailler vers la conformité ?

Le réseau national MEP propose des ressources dédiées aux fabricants qui ont besoin d'informations sur la posture de cybersécurité d'une entreprise qui peuvent aider les entreprises à comprendre ce que signifie réellement pour elles se mettre en conformité avec DFARS. Les entreprises peuvent voir si la conformité DFARS s'applique à elles et consulter des infographies qui recommandent des mesures à prendre pour rendre leurs usines plus sûres.

Le réseau national MEP fournit également une ressource particulière à laquelle les fabricants se référeront sans aucun doute encore et encore : le NIST Self-Assessment Handbook (NIST Handbook 162). Il s'étend sur plus de 150 pages et aide les lecteurs à évaluer leurs installations pour conclure à quel point ils sont proches de la mise en œuvre du NIST SP 800-171 pour les aider à comprendre à quel point ils sont proches de la conformité DFARS. Il permet également de déterminer où concentrer les efforts lors de l'amélioration afin de maximiser l'impact de chaque dollar dépensé sur la cybersécurité.

Par exemple, le document présente un contenu qui indique comment procéder à une évaluation et à quels employés concernés s'adresser en ce qui concerne les exigences de sécurité. Les fabricants qui lisent le manuel remarqueront que chaque question d'évaluation a une option « approche alternative ». Cela fait référence au fait que les fabricants peuvent trouver certaines exigences dans NIST SP 800-171 qui ne s'appliquent pas à eux.

Dans ce cas, il est acceptable d'utiliser une méthode différente mais tout aussi efficace pour maintenir la sécurité, à condition que les fabricants respectifs informent les autorités gouvernementales appropriées des modifications et obtiennent leur approbation.

Les représentants des usines de fabrication peuvent également améliorer leur compréhension des exigences de conformité en regardant un webinaire qui passe en revue certains des éléments cruciaux du manuel.

La complexité ne devrait pas être un obstacle

Les fabricants peuvent initialement considérer les exigences de cybersécurité pour les contrats gouvernementaux comme trop compliquées, surtout s'ils ont de petites opérations.

Cependant, l'utilisation des ressources disponibles - y compris les centres MEP locaux - permet aux fabricants de se rendre compte qu'il est possible de se mettre en conformité avec DFARS, ainsi que de rester en conformité, en mettant en œuvre les exigences NIST SP 800-171 et d'ouvrir des possibilités de recevoir une récompense financière et contrats gouvernementaux qui améliorent la réputation.

Un centre MEP local est une ressource idéale que les fabricants peuvent utiliser lorsqu'ils commencent à élaborer un plan qui détaille comment mettre en œuvre les exigences de cybersécurité NIST SP 800-171.

Chaque centre MEP a accès à des ressources des secteurs public et privé qui peuvent aider les entreprises à se mettre en conformité avec plus de confiance. Des emplacements existent dans les 50 États et à Porto Rico.


Technologie industrielle

  1. Quelle est la différence entre le cloud et la virtualisation ?
  2. Quelle est la différence entre le capteur et le transducteur ?
  3. L'usine numérique :qu'est-ce que c'est et pourquoi c'est important
  4. Le quoi, le pourquoi et le comment du temps de clé
  5. Gabarit et fixation :quelle est la différence ?
  6. Documentation de maintenance et le plus grand panier d'œufs au monde
  7. Quelle est la différence :détection, protection et suppression des incendies ?
  8. Quelle est la différence entre le coffrage et le coffrage ?
  9. Quelle est la différence entre électronique et électrique ?