NIST SP 800-171 Sigurnosni plan

Prije nego krenem raditi nešto što je lako dostupno. Imam klijenta koji traži da imamo sigurnosni plan u skladu s NIST 800-171-rev2 Zaštita kontroliranih neklasificiranih podataka u nefederalnim sustavima i organizacijama.

Zapravo ne primamo nikakve označene dokumente od ovog kupca (ili bilo koje druge), ali budući da se kupac pridržava 800-171, čini se da moramo i kao podizvođač za tog kupca i da bismo u teoriji pretpostavljam mogli dobiti nešto pokriveno. Bavi li se još netko time i potencijalno ima li osnovnu sigurnosnu politiku usklađenu s 800-171 za svoju tvrtku koju bi mogao podijeliti kako bih mogu upotrijebiti kao mjerilo (javno ili privatno) prije nego što poludim gubeći vrijeme pišući opsežan plan usklađenosti sigurnosti vlastiti. Ne želimo (ili ne moramo) rukovati ovim dokumentima, tako da je potreban samo najosnovniji plan IMO ako nešto postoji.

Hvala.

800-171 SSP ne mora biti jedan dokument, može se proširiti na više dokumenata, ako želite razbiti stvari kao što su fizički/OS/umrežavanje/itd. u različite dijelove. Ono što vam stvarno treba je neka vrsta objašnjenja o tome kako ispunjavate svaki zahtjev, s popratnim podacima ako su potrebni. Ako pogledate dokument 800-171a navodi kriterije ocjenjivanja za svaki unos. Ne zaboravite da je "nije primjenjivo" valjan odgovor ako nešto jednostavno nije primjenjivo. Također ćete trebati plan akcije i prekretnice za svaki neispunjeni zahtjev; imati sveobuhvatni POA&M jednako je dobro kao ispunjeno u smislu usklađenosti.

Evo nekoliko predložaka s kojima možete započeti:
https://csrc.nist.gov/csrc/media/Public... konačni.docx
https://csrc.nist.gov/CSRC/media//Publi... konačni.docx