Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Requisiti di Cybersecurity del DoD: Consigli per la Conformità

Requisiti di Cybersecurity del DoD: Consigli per la Conformità

Sep 28, 2022

I sistemi IT e i dati del Dipartimento della Difesa (DoD) e della sua rete di appaltatori sono una questione di sicurezza nazionale. Di conseguenza, il DoD mantiene dei requisiti di cybersecurity che le organizzazioni devono soddisfare per essere un fornitore approvato dal DoD.

Questo articolo offre una panoramica dei documenti più pertinenti che informano le aspettative di cybersecurity del DoD per le organizzazioni della base industriale della difesa (DIB), una revisione dei framework utili e consigli per l'implementazione dei requisiti del DoD.

Contenuti correlati selezionati:

Quali sono i requisiti di cybersecurity del DoD?

I requisiti per la cybersecurity possono essere trovati nei seguenti tre documenti, che si supportano e fanno riferimento l'uno all'altro:

  • Supplemento del Regolamento Federale di Acquisizione della Difesa (DFARS) — La clausola 252.204-7012 delinea le aspettative per l'igiene informatica delle organizzazioni DIB.
  • NIST 800-171 — Basato su DFARS, NIST 800-171 fornisce linee guida dettagliate per le aziende per valutare le loro pratiche di cybersecurity.
  • CMMC — Il CMMC offre un piano chiaro per le organizzazioni DIB per ottenere la certificazione di cyber igiene richiesta per essere un fornitore approvato dal DoD.

DFARS

DFARS stabilisce i requisiti per le aziende che fanno affari con il Dipartimento della Difesa. La cybersecurity è trattata sotto la clausola 252.204-7012, “Salvaguardia delle Informazioni di Difesa Coperte e Segnalazione degli Incidenti Informatici.”

Quali tipi di dati devono essere protetti?

I requisiti di cybersecurity del DoD proteggono due tipi principali di registrazioni digitali e fisiche: Controlled Unclassified Information (CUI) e Federal Contract Information (FCI)

CUI include quanto segue:

  • Informazioni personali identificabili (PII)
  • Informazioni Proprietarie di Business (PBI)
  • Informazioni Tecniche Controllate Non Classificate (CTI)
  • Per Uso Ufficiale Esclusivo (FOUO)

FCI include i dettagli di un contratto tra il governo e un'organizzazione. FCI non include informazioni che sono già di pubblico dominio (come quelle sui siti web governativi) o informazioni transazionali. PCI non è mai destinato alla pubblicazione pubblica.

Le organizzazioni che desiderano lavorare con il DoD devono essere in grado di identificare le CUI e le FCI che memorizzano ed elaborano, in modo da poterle proteggere in conformità con i requisiti del DoD.

Chi deve essere conforme?

Mentre gli standard del DoD forniscono linee guida utili per la cybersecurity in generale, sono un requisito per alcune aziende. Qualsiasi appaltatore che lavora con il DoD e che memorizza, elabora o diffonde CUI deve attenersi agli standard DFARS. Questo include garantire che tutti i dati non classificati del DoD siano protetti con adeguate misure di sicurezza, minimizzando le vulnerabilità del sistema e le potenziali conseguenze di una violazione, e implementando buone pratiche di segnalazione degli incidenti.

NIST 800-171

In risposta al DFARS, l'Istituto Nazionale di Standard e Tecnologia (NIST) ha sviluppato il NIST 800-171 per fornire una dettagliata suddivisione delle migliori pratiche di cyber igiene. In particolare, il NIST 800-171 è progettato per aiutare i contraenti del DoD a proteggere i dati CUI. Non copre la protezione dei dati FCI.

Famiglie di controllo NIST 800-171

NIST 800-171 suddivide i controlli di sicurezza nelle seguenti 14 famiglie:

1. Controllo degli accessi

Monitorare tutti gli eventi di accesso all'interno di un sistema e limitare l'accesso di ogni utente ai sistemi e ai dati al minimo necessario per svolgere il proprio lavoro.

2. Consapevolezza e Formazione

Assicurati che il personale riceva una formazione adeguata sulle politiche, le pratiche e i rischi di sicurezza appropriati al loro privilegio di accesso. Esegui la formazione regolarmente in modo che gli utenti siano preparati a rispondere alle minacce.

3. Revisione e Responsabilità

Mantenere un corretto registro delle attività di audit, pratiche di gestione dei log e rapporti di audit. Limitare l'accesso ai sistemi di auditing.

4. Gestione della Configurazione

Configurate hardware e software per limitare l'accesso a funzionalità e programmi non essenziali e prevenire l'installazione di software non autorizzati.

5. Identificazione e Autenticazione

Prevenire l'uso non autorizzato dei sistemi implementando l'autenticazione a più fattori (MFA) e politiche di password forti.

6. Risposta agli incidenti

Sviluppare e testare procedure per garantire la pronta rilevazione e risposta alle minacce.

7. Manutenzione

Eseguire la manutenzione del sistema per prevenire la divulgazione di CUI. Monitorare i dipendenti, impedire l'uso di dispositivi con CUI fuori sede e controllare i supporti per codice malevolo.

8. Protezione dei media

Controlla l'accesso, la protezione e lo smaltimento dei supporti che contengono CUI. Utilizza la crittografia per proteggere i dati digitali.

9. Protezione fisica

Prevenire danni fisici a hardware, software, reti e dati limitando l'accesso e mantenendo registri di controllo

10. Sicurezza del personale

Monitora l'attività degli utenti, specialmente durante i cambi di personale.

11. Valutazione dei rischi

Eseguire test di vulnerabilità dei sistemi e valutare frequentemente i potenziali rischi per la propria organizzazione.

12. Valutazione della sicurezza

Definire i confini del sistema e implementare un piano per ridurre le vulnerabilità. Raffinare frequentemente i requisiti di sicurezza.

13. Protezione dei sistemi e delle comunicazioni

Proteggi la comunicazione delle informazioni CUI. Utilizza reti separate o sottoreti per le informazioni non protette e imposta il rifiuto predefinito delle comunicazioni di rete (whitelisting).

14. Integrità del sistema e delle informazioni

Identificate rapidamente le falle del sistema. Rispondete immediatamente alle violazioni della sicurezza e agli errori di sistema. Aggiornate il software di sicurezza non appena vengono rilasciate nuove versioni.

Maggiori dettagli sui controlli NIST 800-171 possono essere trovati qui.

Contenuti correlati selezionati:

Aggiornamenti NIST

NIST 800-171 è stato creato nel 2015 e riceve aggiornamenti periodici. Ogni volta che si verifica un aggiornamento, i contraenti hanno un determinato periodo di tempo per ottenere la conformità con le nuove normative o rischiano di perdere il loro status di fornitore approvato con il DoD.

CMMC

Mentre la DFARS clause delinea le migliori pratiche per la cybersecurity aziendale, la Cybersecurity Maturity Model Certification (CMMC) valuta la qualità dei programmi di cybersecurity di un'organizzazione e fornisce un insieme di certificazioni che attestano questa qualità. Queste certificazioni standardizzano l'approvazione dei fornitori del DoD. Le certificazioni CMMC si applicano sia ai dati FCI che CUI.

A chi si applica CMMC?

Gli standard CMMC si applicano a tutte le organizzazioni che ricevono finanziamenti dal DoD per condurre affari o fornire servizi. Definito come il complesso industriale della difesa, ciò include oltre 300.000 organizzazioni che forniscono beni o servizi per il DoD.

Cronologia CMMC

Chiunque abbia seguito l'evoluzione del CMMC ha domande riguardo alla tempistica. Dopo la versione 1.0 e le successive “regole provvisorie” per il CMMC, la seconda versione della certificazione è stata rilasciata nel novembre 2021. Tuttavia, non è ancora entrata in vigore; CMMC 2.0 è ancora nel processo di definizione delle regole, che potrebbe richiedere fino a due anni.

Questo non significa che gli standard di certificazione non dovrebbero essere una priorità per le aziende. I contraenti stanno dando priorità alla conformità con i nuovi standard all'interno delle loro catene di fornitura nella speranza di prendere la testa. La conformità con CMMC 2.0 allineerà inoltre la tua azienda con le linee guida NIST 800-171.

Livelli di conformità CMMC

Il DoD ha apportato diverse modifiche tra CMMC 1.0 e 2.0 per semplificare i livelli di conformità. La prima versione aveva cinque livelli con diversi standard di valutazione. Nella versione 2.0, ci sono tre livelli di conformità CMMC, a seconda del tipo di dati e dell'intensità del contratto con il DoD. I diversi livelli hanno diverse aspettative per le valutazioni. Fare riferimento alla tabella sottostante per maggiori dettagli sui livelli di conformità CMMC 2.0.

Livello

Tipo di valutazione

Chi deve conformarsi

Livello 1. Fondamentale

Annuaautovalutazionil autovalutazioni

Aziende che trattano esclusivamente FCI

Livello 2. Avanzato

Valutazioni di terze parti ogni tre anni e autovalutazioni annualiValutazioni di terze partivalutazioni

Le aziende che gestiscono CUI

Livello 3. Esperto

Ulteriori valutazioni guidate dal governo ogni tre anni

Specificato nei singoli contratti del DoD

Come conformarsi al CMMC

L'aderenza al CMMC richiede la conformità ai 17 gruppi di standard. Questi includono le 14 famiglie di controlli del NIST 800-171 esaminate sopra e i seguenti tre gruppi aggiuntivi:

Area Aggiuntiva

Descrizione

Recupero

Crea un piano di recupero in caso di data breach o perdita.

Consapevolezza situazionale

Comprendi il tuo ambiente IT per imparare in modo efficiente sulle minacce informatiche e rispondere adeguatamente.

Gestione delle risorse

Identificate gli asset, in particolare i dati CUI, e definite le vostre procedure per la gestione e la classificazione di tali asset.

Per supporto, scarica questa CMMC compliance starter checklist.

Framework del DoD

Come vice CIO o CISO di un'organizzazione affiliata al DoD, potresti trovare i requisiti del DFARS, NIST e del CMMC opprimenti. Ma esiste una ricchezza di risorse disponibili per aiutarti a raggiungere la conformità alla cybersecurity del DoD, come questa compilation of reference material. Qui sotto, forniamo risorse utili per aiutarti con molti aspetti critici della conformità.

Sviluppare una strategia di cybersecurity

Le organizzazioni dovrebbero creare una strategia di cybersecurity di 4-5 anni che consenta loro di modificare i processi e implementare controlli. Le seguenti risorse possono aiutarti a creare una solida strategia di cybersecurity:

Costruzione di reti difendibili

Costruire una rete difendibile richiede l'implementazione di strumenti e processi di monitoraggio, automazione, rilevamento delle minacce e risposta agli incidenti. Le seguenti risorse possono aiutare:

  • FIPS 199 — Fornisce categorie standardizzate per i sistemi informativi federali basate sul loro livello di rischio, che possono aiutarti a stabilire le priorità per la tua strategia di sicurezza
  • FIPS 200 – Definisce i requisiti minimi di sicurezza a seconda del livello di rischio delle informazioni e spiega il processo per la selezione dei controlli di sicurezza basati sul livello di rischio delle tue informazioni
  • NIST SP 800-53 — Fornisce un catalogo di controlli di sicurezza e privacy per sistemi informativi federali e organizzazioni e un processo per la selezione dei controlli appropriati

Stabilire la protezione delle infrastrutture critiche

La protezione delle infrastrutture critiche (CIP) si riferisce a una strategia comprensiva di creazione di sistemi, reti e database resilienti. Questo include la prevenzione dei danni e la protezione dei dati così come la mitigazione degli incidenti, la risposta e il recupero. Ci sono molte risorse per i piani e le politiche CIP che possono supportare i CIO e i CISO. Ad esempio, gli standard ISA/IEC 62443 forniscono strumenti di sicurezza e migliori pratiche per i proprietari di asset, fornitori di servizi e fornitori.

Gestione dell'accesso

Le seguenti risorse possono aiutarti a gestire correttamente l'accesso ai tuoi dati, applicazioni e altri asset IT:

  • NIST SP 800-60 — Fornisce indicazioni per la gestione degli accessi attraverso la guida per la categorizzazione delle informazioni come CUI e il controllo di chi vi ha accesso
  • NIST SP 800-133 — Ti aiuta a proteggere i dati sensibili utilizzando algoritmi crittografici approvati

Condivisione delle informazioni

Condividere informazioni sulle minacce informatiche e sugli aggressori è fondamentale per rafforzare la sicurezza informatica. Le risorse seguenti possono essere d'aiuto.

  • DoD Cyber Exchange — Fornisce orientamento e formazione per i professionisti della cyber security all'interno e all'esterno del DoD

Costruire una forza lavoro specializzata in cybersecurity

Le seguenti risorse possono aiutarti nell'onboarding, nella qualificazione e nella gestione delle persone che lavorano nell'IT o nella cybersecurity:

  • NIST SP 800-16 — Fornisce concetti per la formazione sulla sicurezza informatica nel cyberspazio moderno consentendo flessibilità per il futuro software e le tecnologie
  • NIST SP 800-100 — Fornisce indicazioni ai manager per l'istituzione di un programma di sicurezza delle informazioni

Consigli per rimanere protetti nel cyberspazio

Il National Cybersecurity and Communication Integration Center (NCCIC) ha compilato sette strategie chiave per iniziare a conformarsi agli standard di cyber igiene del DoD:

  • Utilizzare il whitelisting delle applicazioni (AWL) — Definire un elenco di software approvati e bloccare tutto il resto. Questo è molto più efficace che cercare di mettere in blacklist ogni applicazione indesiderata.
  • Mettete in pratica una corretta configurazione e gestione delle patch — Implementate configurazioni di base sicure e correggete prontamente qualsiasi deviazione. Assicuratevi che gli aggiornamenti critici vengano applicati tempestivamente.
  • Rafforza la sicurezza della tua rete — Riduci i potenziali punti di ingresso per gli attaccanti e segmenta la tua rete in più enclavi per mettere in quarantena gli attaccanti.
  • Implementare l'autenticazione multifattore — Utilizzare MFA, specialmente per gli account con accesso privilegiato alle CUI.
  • Accesso remoto sicuro — Controlla l'accesso remoto utilizzando standard MFA e controllati dall'operatore e limitati nel tempo. Cerca regolarmente backdoor nascoste che potrebbero permettere agli aggressori di ottenere accesso remoto a un sistema.
  • Monitorare costantemente i sistemi — Per accelerare il rilevamento delle minacce e la risposta e garantire la responsabilità, implementare un monitoraggio continuo con intelligence sulle minacce per il traffico IP ai confini degli ICS, il traffico IP all'interno della rete e l'attività degli account amministrativi.
  • Stabilire e testare regolarmente un piano di risposta agli incidenti — Creare un piano di risposta completo per gli incidenti di sicurezza. Le azioni di risposta possono includere la disconnessione di tutti i dispositivi da internet, la disabilitazione di account specifici, l'isolamento di segmenti di rete, l'esecuzione di una ricerca di malware e la richiesta immediata di un reset della password. Testare e rivedere periodicamente il piano.
  • Sviluppa una scheda di valutazione della sicurezza informatica secondo gli standard e i framework del DoD — Una scheda di valutazione ti aiuterà a misurare i tuoi progressi verso una sicurezza informatica più solida.

Come Netwrix può aiutare

Raggiungere e mantenere la conformità con gli standard di cybersecurity del DoD è necessario per un posto nella lista dei fornitori approvati dal governo. Netwrix solutions offrono un approccio olistico alle sfide della cybersecurity proteggendo la tua organizzazione su tutte le principali superfici di attacco: dati, identità e infrastruttura.

Scopri di più sulle nostre soluzioni principali:

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Kevin Joyce

Direttore della Product Management

Direttore di Product Management presso Netwrix. Kevin ha una passione per la sicurezza informatica, in particolare per comprendere le tattiche e le tecniche che gli aggressori utilizzano per sfruttare gli ambienti delle organizzazioni. Con otto anni di esperienza nel product management, concentrandosi su Active Directory e la sicurezza di Windows, ha trasformato quella passione nell'aiutare a costruire soluzioni per le organizzazioni per proteggere le loro identità, infrastrutture e dati.

Scopri di più su questo argomento

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza