Regulaciones EEUU Cibersecurity & Data Protection

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Regulaciones EEUU Cibersecurity & Data Protection por Mind Map: Regulaciones EEUU Cibersecurity & Data Protection

1. NIST

1.1. National Institute of Standards and Technology

1.2. FIPS-199

1.2.1. Standards for Security Categorization

1.2.2. Definiciones Cloud

1.3. FIPS 200

1.3.1. The basic security requirements

1.3.1.1. Proporciona los requisitos de seguridad fundamentales y de alto nivel para la información y los sistemas de información federales.

1.4. 800-53

1.4.1. Set of Security and Privacy Controls

1.4.2. 303 Requerimientos

1.4.3. Agrupados en 20 Familias

1.4.4. Desde Control de Acceso

1.4.5. Hasta Integridad de la información

1.4.6. Proceso

1.4.6.1. 1. Identifica Datos Sensibles

1.4.6.2. 2. Clasifica Datos Sensibles

1.4.6.3. 3. Evaluacion de Riesgo

1.4.6.4. 4. Documenta un plan para mejorar

1.4.6.5. 5. Entrena empleados

1.4.6.6. 6. Audita

1.4.7. Sólo para federal information systems

1.5. 800-171

1.5.1. Set de Protocolos para proteger CUI

1.5.2. a través de 100+ requerimientos de seguridad

1.5.3. Agrupados en 14 Categorias de Ciberseguridad

1.5.3.1. Definir Plan de Seguridad del Sistema y/o un Plan de Accion

1.5.3.2. Implementar

1.5.3.2.1. 1. Localizar e Identificar CUI

1.5.3.2.2. 2. Categorize CUI

1.5.3.2.3. Implementar requerimientos de control

1.5.3.2.4. Entrenar Empleados

1.5.3.2.5. Monitorear Datos

1.5.3.2.6. Evaluar Sistemas y Procesos

1.5.3.3. Solicitar Auditoria

2. Proveedores

2.1. Telos (Xacta)

2.2. Peerless

2.3. Coalfire

2.4. Rackspace

3. Cuándo se debe cumplir?

3.1. Se necesita un nivel de protección cuando CUI es procesado, almacenado o transmitido por organizaciones no federales que utilizan sistemas de información no federales.

4. CMMC

4.1. Cybersecurity Maturity Model Certification

4.2. Entró en vigencia Enero 2021

4.3. No reemplaza a NIST, pero se debe tener en cuenta.

4.4. Si es superior a $10,000

4.5. Depende de cómo fluya la información no clasificada controlada (CUI) entre las partes involucradas en un contrato

5. DFARS

5.1. Suplemento de las regulaciones de adquisición de defensa federal - (The Defense Federal Acquisition Regulation Supplement)

5.1.1. fue diseñado x DoD para proteger los datos gubernamentales confidenciales utilizados en diferentes industrias

5.2. Es un set de Lineamientos de seguridad

5.3. Controlled Unclassified Information (CUI)

5.3.1. Es info No clasificada y no está estrictamente regulada por el gobierno federal, pero es sensible y necesita protección.

5.3.1.1. email, blueprints, papers

5.4. Covered Defense Information (CDI)

5.4.1. Datos de Defensa Sensibles

5.5. FISMA

5.5.1. Federal Information Security Management Act (2002)

5.5.2. Es un conjunto de pautas estandarizadas que las agencias gubernamentales pueden utilizar para proteger los datos confidenciales.

5.5.3. Target: Government agencies

5.6. FedRAMP

5.6.1. The Federal Risk and Authorization Management Program (2011)

5.6.2. Framework

5.6.2.1. Proceso, Al final entrega una autorizacion

5.6.3. Evaluar seguridad de servicios cloud. (*.aaS)

5.6.4. Autoriza: ATO (authority to operate)

5.6.4.1. A tráves de un tercero 3PAO

5.6.4.2. Para Publicar la solución en Marketplace

5.6.4.2.1. Ejemplo: AWS, GCP y Azure; Akamai

5.6.5. Monitorear

5.6.6. Controls for cloud service providers.

5.6.7. Target: Agencias que adoptan Cloud Service Providers

5.7. FedRAMP Tailored (Low impact-SaaS)

5.7.1. Para ser Tailored debe cumplir con 6 requisitos.

6. A quién va dirigido?

6.1. DoD contractor

6.2. DoD Subcontractor

6.3. Cualquiera que procese, almacene o transmita información no clasificada controlada (CUI) para el DoD

7. Por qué cumplir?

7.1. Son requisitos obligatorios para contratar y ofrecer servicios *.aaS con DoD, GSA, NASA y otras agencias estatales y federales