NIST SP 800-171

NIST Special Publication 800-171 определяет, как нефедеральные организации — прежде всего подрядчики и субподрядчики правительства США — должны защищать контролируемую несекретную информацию (CUI) в своих системах. Текущая редакция 3 содержит около ста требований безопасности, сгруппированных в 17 семейств, производных от NIST SP 800-53, и охватывает управление доступом, аудит, управление конфигурациями, реагирование на инциденты и др. Соответствие обязательно для оборонных подрядчиков США по DFARS 7012 и составляет техническую основу CMMC Level 2. Внедряющие организации оформляют План безопасности системы (SSP) и План мероприятий и контрольных точек (POA&M) для подтверждения соответствия.