NIST SP 800-171 Rev 2

AWS Audit Manager proporciona una marco estándar prediseñado compatible con NIST 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations.

¿Qué es NIST SP 800-171?

El NIST SP 800-171 se centra en proteger la confidencialidad de la información no clasificada controlada (Controlled Unclassified Information, CUI) en sistemas y organizaciones no federales. Recomienda requisitos de seguridad específicos para lograr ese objetivo. El NIST 800-171 es una publicación que describe los estándares y prácticas de seguridad necesarios para las organizaciones no federales que gestionan la CUI en sus redes. Fue publicada por primera vez en junio de 2015 por el Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST). El NIST es una agencia gubernamental de EE. UU. que publicó varios estándares y publicaciones para fortalecer la resiliencia de la ciberseguridad en los sectores público y privado. NIST SP 800-171 ha recibido actualizaciones periódicas en función de las ciberamenazas emergentes y las tecnologías cambiantes. La última versión (revisión 2) se publicó en febrero de 2020.

Los controles de ciberseguridad de NIST SP 800-171 protegen la CUI en las redes de TI de los contratistas y subcontratistas gubernamentales. Define las prácticas y los procedimientos que deben seguir los contratistas gubernamentales cuando sus redes procesan o almacenan la CUI. NIST SP 800-171 solo se aplica a las partes de la red de un contratista en las que esté presente la CUI.

Uso de este marco

Puede utilizar el marco de NIST SP 800-171 como ayuda para prepararse para las auditorías. Este marco incluye una colección prediseñada de controles con descripciones y procedimientos de prueba. Estos controles se agrupan en conjuntos de controles según los requisitos del NIST. También puede personalizar este marco y sus controles para respaldar las auditorías internas con requisitos específicos.

Si utiliza el marco como punto de partida, puede crear una evaluación de Audit Manager y empezar a recopilar pruebas relevantes para su auditoría. Tras crear una evaluación, Audit Manager comienza a evaluar sus recursos de AWS. Lo hace en función de los controles que se definen en el marco de NIST SP 800-171. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas que recopiló Audit Manager. Además, puede examinar las carpetas de las pruebas en la evaluación y seleccionar qué pruebas desea incluir en su informe de evaluación. O bien, si ha activado el buscador de pruebas, puede buscar pruebas específicas y exportarlas en formato CSV, o crear un informe de evaluación a partir de los resultados de la búsqueda. En cualquier caso, puede utilizar este informe de evaluación para demostrar que sus controles funcionan según lo previsto.

Los detalles del marco son los siguientes:

Los controles de este marco de AWS Audit Manager no tienen por objeto verificar si sus sistemas cumplen con NIST 800-171. Además, no pueden garantizarle que vaya a superar una auditoría del NIST. AWS Audit Manager no comprueba automáticamente los controles de procedimiento que requieren la recopilación manual de pruebas.

Siguientes pasos

Para obtener instrucciones sobre cómo ver información detallada de este marco, incluida la lista de controles estándar que incluye, consulte Revisión de un marco en AWS Audit Manager.

Para obtener instrucciones sobre cómo crear una evaluación mediante el uso de este marco, consulte Creación de una evaluación en AWS Audit Manager.

Para obtener instrucciones sobre cómo personalizar este marco para que se adapte a sus requisitos específicos, consulte Creación de una copia editable de un marco existente en AWS Audit Manager.

Recursos adicionales de