Si trabaja como contratista para el gobierno de los EE. UU., como generalmente implica su requisito de cumplimiento de USGCB, es probable que requieran que su sistema se incluya en un plan de seguridad que cumpla con el NIST SP 800-53. pautas El proceso para esto es no sin excepción. Para cualquier control en 800-53 que no pueda cumplir, por cualquier motivo, puede proponer que su cliente simplemente acepte el riesgo de no cumplir con el control.
En última instancia, dependerá del gobierno que se apruebe la propuesta de riesgo aceptado, pero no debería tener muchos problemas mientras su justificación sea sólida y sólida. Si no aprueban el AR, pueden agregar remediación del problema a los Planes de Acción e Hitos (POA & Ms) del Plan de Seguridad.
Dicho todo esto, no espero que obtenga una exención completa en Flaw Remediation (SI-02) o Malicious Code Protection (SI-03) simplemente porque La computadora no está conectada a la red. Las actualizaciones de seguridad pueden llevarse al sistema a través de sneaker-net (por ejemplo, WSUS sin conexión) y la mayoría de los proveedores de antivirus también ofrecen descargas manuales de sus firmas y actualizaciones de programas para la instalación sin conexión.
Sin embargo, para la autenticación multifactor, probablemente deba proponer un AR. A menos que el sistema esté conectado a algún tipo de servidor de autenticación que pueda administrar y validar las credenciales de PIV, no creo que haya ninguna forma de que las Tarjetas inteligentes (o cualquier método similar de autenticación de dos factores) puedan ser de utilidad real. Para esto, deberá proponer un AR contra algunas de las mejoras a Identificación y autenticación (usuarios de la organización) (IA-02). Cuáles dependerán de la categorización FIPS-199 de los tipos de datos que maneja su sistema.
Bajo: 1
Medio: 1, 2, 3, 8
Alto: 1, 2, 3, 4, 8, 9
Las mejoras 1, 2, 8 y 9 solo se aplican al acceso a la red, por lo que su sistema estará exento de estas de todos modos. Mientras que las mejoras 8 y 9 no mencionan específicamente la autenticación de múltiples factores, la mayoría de los "mecanismos resistentes a la reproducción" implican la autenticación de múltiples factores. Consulte con su cliente para ver cuáles son los valores definidos por la organización (ODV, por sus siglas en inglés) para la "Lista de mecanismos de autenticación resistentes a la reproducción utilizados para el acceso de red a las cuentas".