Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
NIST 800-53: Um Guia para Conformidade

NIST 800-53: Um Guia para Conformidade

Mar 3, 2021

O padrão NIST 800-53 oferece orientações sólidas sobre como as organizações devem selecionar e manter controles de segurança e privacidade personalizados para seus sistemas de informação. NIST SP 800-53 Revisão 5 é um dos muitos documentos de conformidade com os quais você precisa se familiarizar se estiver trabalhando com tecnologia da informação.

Este post o decompõe para você em partes digeríveis que enfatizam o significado prático e a aplicação do padrão.

Conteúdo relacionado selecionado:

O que é NIST 800-53?

NIST 800-53 é um padrão de conformidade de segurança criado pelo Departamento de Comércio dos EUA e pelo Instituto Nacional de Padrões e Tecnologia em resposta às capacidades tecnológicas em rápido desenvolvimento dos adversários nacionais. Ele compila controles recomendados pelo Laboratório de Tecnologia da Informação (ITL).

NIST 800-53 é obrigatório para todos os sistemas de informação federais dos EUA, exceto aqueles relacionados à segurança nacional, e é neutro em relação à tecnologia. No entanto, suas diretrizes podem ser adotadas por qualquer organização que opere um sistema de informação com dados sensíveis ou regulamentados. Ele fornece um catálogo de controles de privacidade e segurança para proteger contra uma variedade de ameaças, desde desastres naturais até ataques hostis.

Conteúdo relacionado selecionado:

O padrão evoluiu para integrar controles de privacidade e segurança e promover a integração com outras abordagens de cibersegurança e gestão de riscos. Em particular, ele se encaixa no escopo dos Federal Information Processing Standards (FIPS); FIPS exige que as organizações implementem uma linha de base mínima de controles de segurança conforme definido no NIST 800-53. O padrão NIST também ajuda as organizações a cumprirem com o Federal Information Security Modernization Act (FISMA), que detalha diretrizes de segurança e privacidade como parte da administração de programas federais.

À medida que a infraestrutura de informação continua a expandir e integrar, a necessidade de incorporar privacidade e segurança em cada aplicativo também cresce, independentemente de ser um sistema federal ou privado. Com o conjunto abrangente de controles e diretrizes no NIST 800-53, organizações privadas não precisam reinventar a roda para manter a cibersegurança.

Qual é o objetivo do NIST 800-53?

O objetivo do padrão de segurança e privacidade é triplo:

  • Para fornecer um catálogo abrangente e flexível de controles para proteção atual e futura com base na mudança de tecnologia e ameaças
  • Para desenvolver uma base para avaliar técnicas e processos para determinar a eficácia do controle
  • Para melhorar a comunicação entre organizações através de um léxico comum para discussão de conceitos de gestão de risco

Os controles estabelecidos pela Publicação Especial (SP) 800-53 do NIST foram projetados para melhorar a gestão de riscos para qualquer organização ou sistema que processe, armazene ou transmita informações.

Conteúdo relacionado selecionado:

Quem deve cumprir a NIST 800-53?

O padrão é obrigatório para sistemas de informação federais, organizações e agências. Qualquer organização que trabalhe com o governo federal também é obrigada a cumprir com o NIST 800-53 para manter o relacionamento.

No entanto, a norma fornece uma estrutura sólida para qualquer organização desenvolver, manter e melhorar suas práticas de segurança da informação, incluindo governos estaduais, locais e tribais e empresas privadas, desde PMEs até grandes empresas.

Quais são os benefícios do NIST 800-53?

O benefício mais significativo do padrão é a obtenção de sistemas de informação mais seguros. Organizações privadas cumprem voluntariamente com o NIST 800-53 porque suas 18 famílias de controles ajudam a enfrentar o desafio de selecionar os controles de segurança básicos, políticas e procedimentos adequados para proteger a segurança da informação e a privacidade.

Além disso, incentiva você a analisar cada controle de segurança e privacidade que selecionar para garantir sua aplicabilidade à sua infraestrutura e ambiente. Esse processo de personalização ajuda a garantir não apenas segurança e conformidade, mas também o sucesso do negócio. Promove a aplicação consistente e econômica de controles em toda a sua infraestrutura de tecnologia da informação.

Finalmente, seguir as diretrizes do NIST 800-53 ajuda a construir uma base sólida para a conformidade com outras regulamentações e programas como HIPAA, DFARS, PCI DSS e GDPR.

Que dados o NIST SP 800-53 protege?

Embora o padrão não forneça uma lista de tipos específicos de informações, ele oferece recomendações para classificar os tipos de dados que sua organização cria, armazena e transmite. Por exemplo, uma classificação pode ser “protegida”; esses dados podem incluir nomes de clientes, datas de nascimento e números de Segurança Social.

Conteúdo relacionado selecionado:

Controles de Segurança NIST 800-53

NIST 800-53 oferece um catálogo de controles de segurança e privacidade e orientações para seleção. Cada organização deve escolher controles com base nos requisitos de proteção dos seus diversos tipos de conteúdo. Isso requer uma avaliação de risco cuidadosa e análise do impacto de incidentes em diferentes dados e sistemas de informação. FIPS 199 define três níveis de impacto:

  • Baixo — A perda teria um impacto adverso limitado.
  • Moderado — A perda teria um impacto adverso sério.
  • Alto — A perda teria um impacto catastrófico.

Famílias de Segurança e Controle

Os controles NIST 800-53 são distribuídos nas seguintes 20 famílias:

ID

Sobrenome

Exemplos de Controles

AC

Controle de Acesso

Gerenciamento e monitoramento de contas; menor privilégio; separação de funções

AT

Conscientização e Treinamento

Treinamento de usuários sobre ameaças de segurança; treinamento técnico para usuários privilegiados

AU

Auditoria e Responsabilidade

Conteúdo dos registros de auditoria; análise e relatórios; retenção de registros

CA

Avaliação, Autorização e Monitoramento

Conexões com redes públicas e sistemas externos; teste de penetração

CM

Gestão de Configuração

Políticas de software autorizado, controle de mudança de configuração

CP

Planejamento de Contingência

Sites alternativos de processamento e armazenamento; estratégias de continuidade dos negócios; testes

IA

Identificação e Autenticação

Políticas de autenticação para usuários, dispositivos e serviços; gerenciamento de credenciais

IP

Participação Individual

Autorização de consentimento e privacidade

IR

Resposta a Incidentes

Treinamento de resposta a incidentes, monitoramento e relatórios

MA

Manutenção

Manutenção de sistema, pessoal e ferramentas

MP

Proteção de Mídia

Acesso, armazenamento, transporte, saneamento e uso de mídia

PA

Autorização de Privacidade

Coleta, uso e compartilhamento de informações pessoais identificáveis (PII)

PE

Proteção Física e do Ambiente

Acesso físico; energia de emergência; proteção contra incêndio; controle de temperatura

PL

Planejamento

Restrições de mídia social e networking; arquitetura de segurança em profundidade

PM

Gestão de Programas

Estratégia de gestão de riscos; insider threat program; arquitetura empresarial

PS

Segurança de pessoal

Triagem de pessoal, demissão e transferência; pessoal externo; sanções

RA

Avaliação de Risco

Avaliação de risco; varredura de vulnerabilidade; avaliação de impacto na privacidade

SA

Aquisição de Sistemas e Serviços

Ciclo de vida de desenvolvimento de sistemas; processo de aquisição; gestão de riscos na cadeia de suprimentos

SC

Proteção de Sistemas e Comunicações

Particionamento de aplicativos; proteção de limites; gerenciamento de chaves criptográficas

SI

Integridade de Sistema e Informação

Remediação de falhas; monitoramento de sistema e alertas

Dicas para conformidade com NIST 800-53

As seguintes melhores práticas ajudarão você a selecionar e implementar controles de segurança e privacidade adequados para a conformidade com NIST SP 800-53.

  • Identifique seus dados sensíveis. Descubra que tipo de dados sua organização lida, onde eles estão armazenados e como são recebidos, mantidos e transmitidos. Dados sensíveis podem estar espalhados por vários sistemas e aplicações; não estão necessariamente apenas onde você pensa que estão.
  • Classifique dados sensíveis. Categorize e rotule seus dados de acordo com o valor e a sensibilidade deles. Atribua a cada tipo de informação um valor de impacto (baixo, moderado ou alto) para cada objetivo de segurança (confidencialidade, integridade e disponibilidade), e categorize no nível de impacto mais alto. Consulte FIPS 199 para categorias de segurança apropriadas e níveis de impacto que se relacionem com os objetivos organizacionais, missão e sucesso empresarial. Automatize a descoberta e classificação para agilizar o processo e garantir resultados consistentes e confiáveis.
  • Avalie o seu atual nível de cibersegurança com uma avaliação de risco. Em um nível elevado, risk assessment envolve identificar riscos, avaliar a probabilidade de sua ocorrência e seu impacto potencial, tomar medidas para remediar os riscos mais graves e, em seguida, avaliar a eficácia dessas medidas.
  • Documente um plano para melhorar suas políticas e procedimentos. Selecione controles com base nas necessidades específicas do seu negócio. A extensão e o rigor do processo de seleção devem ser proporcionais ao nível de impacto do risco que está sendo mitigado. Documente seu plano e a justificativa para cada escolha de controle e política.
  • Forneça treinamento contínuo aos funcionários. Eduque todos os funcionários sobre governança de acesso e melhores práticas de cibersegurança, como identificar e relatar malware.
  • Torne a conformidade um processo contínuo. Uma vez que tenha alinhado o seu sistema com a NIST 800-53, mantenha e melhore a sua conformidade com auditorias regulares do sistema, especialmente após um incidente de segurança.

Conteúdo relacionado selecionado:

Conclusão

Todas as agências federais e organizações devem cumprir a NIST 800-53, e se você lida com elas, também precisará estar em conformidade. A conformidade não é um requisito para organizações que não fazem negócios com o governo federal, mas atender ao padrão ajudará você a estabelecer uma base sólida para a conformidade com uma ampla gama de outras regulamentações, como HIPAA e GDPR, então você não precisará reinventar a roda a cada vez.

FAQ

  1. O que é a série NIST 800?

A série NIST 800 é um conjunto de documentos que descrevem políticas, procedimentos e diretrizes do governo federal dos Estados Unidos para a segurança de sistemas de informação.

  1. O que é NIST 800-53?

NIST 800-53 é um padrão regulatório que define o mínimo de controles de segurança para todos os sistemas de informação federais dos EUA, exceto aqueles relacionados à segurança nacional. Ele estabelece o mínimo de controles de segurança exigidos pelo Federal Information Processing Standard (FIPS).

  1. Qual é o propósito do NIST 800-53?

NIST 800-53 ajuda organizações de todos os tipos a arquitetar e gerenciar adequadamente seus sistemas de segurança da informação e cumprir com a Federal Information Security Modernization Act (FISMA). Oferece um extenso catálogo de controles para fortalecer a segurança e a privacidade.

  1. Quantos controles são descritos no NIST 800-53?

NIST 800-53 possui 20 famílias de controles compostas por mais de 1.000 controles separados. Cada família está relacionada a um tópico específico, como controle de acesso.

  1. Qual é a versão atual do NIST 800-53?

A revisão 5 da NIST 800-53 foi publicada em setembro de 2020.

  1. Quem deve cumprir a NIST 800-53?

O NIST 800-53 é obrigatório apenas para sistemas de informação federais em todas as agências e organizações. No entanto, as diretrizes são muito úteis também para governos estaduais, locais e tribais, bem como para empresas privadas.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mike Tierney

Ex-VP de Sucesso do Cliente

Ex-VP de Sucesso do Cliente na Netwrix. Ele tem uma experiência diversificada construída ao longo de 20 anos na indústria de software, tendo ocupado os cargos de CEO, COO e VP de Gestão de Produtos em várias empresas focadas em segurança, conformidade e aumento da produtividade das equipes de TI.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança