Satisfaire aux exigences des normes NIST 800-53, NIST 800-161 et NIST CSF en matière de risques liés aux tiers.

Respect des directives NIST SP 800-53r5 et NIST 800-161r1 sur la cybersécurité de la chaîne d'approvisionnement grâce à la plateforme Prevalent

Prevalent peut aider à répondre aux exigences des tiers dans le NIST SP 800-53r5 Security and Privacy Controls for Federal Information Systems and Organizations ainsi que dans le NIST 800-161r1 Cybersecurity Supply Chain Risk Management Practices avec une plateforme automatisée pour gérer le processus d'évaluation des risques du fournisseur et déterminer la conformité du fournisseur avec la sécurité informatique, les exigences réglementaires et la confidentialité des données.

Avec la plateforme de gestion des risques liés aux tiersPrevalent , vous pouvez :

• Suivre et analyser en permanence les menaces observables de l'extérieur pour les fournisseurs et d'autres tiers, et compléter et valider les données de contrôle de la sécurité communiquées par les fournisseurs pour tenir compte des évaluations de contrôle CA-2 (1) | Évaluations spécialisées, CA-2 (3) | Évaluations de contrôle | Exploitation des résultats des organisations externes, et SA-4 (7) Surveillance du système | Connaissance intégrée de la situation.
• Révéler les incidents de tiers cyber pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces ; et plus de 50 sites de collage d'informations d'identification ayant fait l'objet d'une fuite - ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités pour tenir compte de la surveillance continue CA-7 (3) | Analyse des tendances, du programme de sensibilisation aux menaces PM-16, de la stratégie de surveillance continue PM-31, du processus d'acquisition SA-4 (3) | Plan de surveillance continue des contrôles et des alertes, avis et directives de sécurité SI-5.
• Identifier et atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation pour tenir compte du CP-2 (7) Plan d'urgence | Coordination avec les fournisseurs de services externes, de l' IR-4 (3) Traitement des incidents | Coordination de la chaîne d'approvisionnement, de l' IR-6 (1) Signalement des incidents | Coordination de la chaîne d'approvisionnement et de l' IR-8 Plan de réponse aux incidents.
• Automatiser la gestion du cycle de vie des contrats pour s'assurer que les principales clauses contractuelles relatives à la réponse aux incidents sont en place, et que les niveaux de service et les délais de réponse sont gérés de manière à respecter les accords de surveillance des incidents IR-5 et de notification SR-8.
• Évaluer les contrôles des partenaires de la chaîne d'approvisionnement à l'aide de plus de 750 modèles d'enquête d'évaluation des risques normalisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée et un questionnaire qui adapte les réponses à n'importe quelle réglementation ou cadre de conformité pour prendre en compte CA-2 (3) Évaluations de la sécurité des organisations externes, RA-1 Politique et procédures, RA-3 Évaluation des risques, RA-7 Réponse aux risques et SR-6 Évaluations et examens des fournisseurs.
• Catégoriser et hiérarchiser tous les fournisseurs à l'aide de critères multiples pour tenir compte de l'analyse de criticité RA-9 et de l'inventaire des fournisseurs SR-13.
• Fournir un accès instantané à des milliers de profils de risques de fournisseurs complets, conformes aux normes de l'industrie, offrant des informations en temps réel sur la sécurité, la réputation et les finances, afin de répondre aux exigences du processus d'acquisition SA-9 et des stratégies, outils et méthodes d'acquisition SR-5.
• Définissez et documentez votre programme TPRM pour tenir compte des politiques et procédures SR-1 et des contrôles et processus de la chaîne d'approvisionnement SR-3.
• Améliorez continuellement votre programme TPRM et assurez-vous qu'il est agile et flexible pour s'adapter au plan de gestion des risques de la chaîne d'approvisionnement SR-2.

Respect du cadre du NIST pour l'amélioration de la cybersécurité des infrastructures critiques Framework (CSF) v2.0 Exigences des tiers

Avec la plateforme de gestion des risques pour les tiersPrevalent , vous pouvez :

• Définissez et documentez votre programme de gestion des risques liés aux tiers grâce à des services professionnels spécialisés. Obtenez un plan clair qui tienne compte de la stratégie du programme, des rôles et des responsabilités, et de l'intégration dans la stratégie plus large de gestion des risques de l'entreprise, tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout pour aborder la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-01, GV.SC-02, GV.SC-03, et GV.SC-09).
• Centraliser, profiler, hiérarchiser et évaluer les risques inhérents à tous les tiers, ce qui constitue une première étape essentielle dans les phases d'intégration et de hiérarchisation du cycle de vie des fournisseurs, afin d'assurer la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-04).
• Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des principales clauses dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-05).
• Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans une solution unique qui permet une vérification préalable des contrats dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-06).
• Utiliser une solution globale pour évaluer et surveiller tous les aspects de la sécurité de l'information en rapport avec les contrôles de sécurité des partenaires de la chaîne d'approvisionnement, dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-07).
• Identifier les incidents de sécurité des fournisseurs tiers, y répondre, en rendre compte et en atténuer l'impact dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-08).
• Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation dans le cadre de la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (GV.SC-10).

Prochaines étapes de la mise en conformité avec le NIST

Le NIST exige une gestion et un suivi rigoureux des risques liés à la sécurité de la chaîne d'approvisionnement des tiers. Les SP 800-53r5, SP 800-161r1 et le CSF v2.0 précisent que :

• une politique de gestion des risques doit être mise en place
• les contrôles de sécurité doivent être sélectionnés
• une politique doit être codifiée dans les accords avec les fournisseurs, le cas échéant.
• les fournisseurs doivent être évalués, gérés et audités en fonction des exigences et des contrôles.

Prevalent offre une plateforme unifiée avec des fonctionnalités de conformité NIST qui vous permettent d'auditer efficacement les contrôles de sécurité des fournisseurs. Pour obtenir une liste complète des exigences du NIST en matière de gestion des risques de la chaîne d'approvisionnement et savoir comment les fonctionnalités de Prevalent s'articulent, lisez la liste de contrôle de la conformité des tiers au NIST ou demandez une démonstration dès aujourd'hui. Pour savoir comment la gestion des risques des tiers s'applique à plus de 50 autres réglementations, téléchargez lemanuel de conformité aux cadres de cybersécurité ( ).