Pesquisa de site

Lista de verificação de conformidade NIST 800-53 gratuita

A Publicação Especial 800-53 do NIST estabelece um padrão exemplar para proteger dados confidenciais. Embora originalmente projetada para agências governamentais, a estrutura se tornou uma inclusão popular na maioria dos programas de segurança em uma ampla gama de setores.

A crescente popularidade do NIST 800-53 provavelmente é impulsionada pelo desejo de melhorar as práticas de segurança de dados em resposta ao aumento dos custos de violação de dados e, quando uma política de proteção de dados superior é necessária, a opção mais segura é emular uma estrutura de segurança cibernética confiável para proteger os sistemas de informação federais.

No entanto, com 20 famílias de controle e 90 controles de segurança, rastrear os esforços de conformidade com o NIST 800-53 não é fácil. Para acelerar esse esforço, a lista de verificação abaixo ajudará você a alinhar seu programa de segurança da informação com os principais pilares de controle do NIST 800-53.

Os 20 controles de segurança NIST SP 800-53

O NIST SP 800-53 compreende 20 famílias de controle que definem a linha de base da segurança de dados para sistemas de informação federais. Muitos desses controles são mapeados para outras estruturas e padrões, como o NIST Cybersecurity Framework e o ISO/IEC 27001.

Para obter um mapeamento entre os controles do NIST 800-53 e outras estruturas, consulte este recurso do NIST.

  • Controle de acesso (AC)
  • Sensibilização e Formação (TA)
  • Auditoria e Prestação de Contas (AU)
  • Avaliação, Autorização e Monitoramento (CA)
  • Gerenciamento de configuração (CM)
  • Planejamento de Contingência (CP)
  • Identificação e autenticação (IA)
  • Resposta a Incidentes (IR)
  • Manutenção (MA)
  • Proteção de mídia (MP)
  • Proteção Física e Ambiental (PE)
  • Planejamento (PL)
  • Gerenciamento de Programas (PM)
  • Segurança de Pessoal (PS)
  • Tratamento de Informação de Identificação Pessoal e Transparência
  • Avaliação de Risco (RA)
  • Aquisição de Sistemas e Serviços (SA)
  • Proteção de Sistemas e Comunicações (SC)
  • Integridade do sistema e da informação (SI)
  • Gerenciamento de Risco da Cadeia de Suprimentos (SR)

Para obter mais detalhes sobre os controles de segurança e privacidade do NIST 800-53, consulte a publicação oficial da estrutura pelo National Institute of Standards and Technology (NIST).

O NIST 800-161 expande ainda mais a família de controle de gerenciamento de risco da cadeia de suprimentos do NIST 800-53. Combinadas, ambas as estruturas de gerenciamento de risco criam a base para um programa de Gerenciamento de Risco da Cadeia de Suprimentos (SCRM).

Consulte esta lista de verificação para obter assistência com a conformidade com o NIST 800-161.

1. Obtenha uma linha de base de controle de segurança

O NIST 800-53 especifica uma linha de base de controles de segurança para atingir o padrão mínimo de segurança de dados da estrutura. Atingir esse padrão mínimo de segurança estabelece as bases para a conformidade total com a estrutura.

Consulte este recurso para exibir todos os controles e linhas de base do NIST 800-53.

2. Implemente aprimoramentos de controle

Os aprimoramentos de controle expandem ainda mais a funcionalidade e a eficácia de um determinado controle para se basear nas linhas de base de controle de segurança. Os aprimoramentos de controle são opcionais para entidades não obrigadas a cumprir o NIST 800-53 - aquelas que não lidam ou processam dados que afetam a segurança nacional.

No entanto, há benefícios significativos de segurança do sistema na implementação do aprimoramento de controle, mesmo que eles não sejam obrigatórios. A implementação de aprimoramentos de controles na família Access Control forneceria segurança adicional de gerenciamento de contas, como logout por inatividade e contas de usuário privilegiadas. Esses aprimoramentos podem reduzir o impacto de incidentes de segurança com maior influência nos custos de danos, como violações de terceiros.

Saiba como reduzir o impacto de violações de terceiros.

Os aprimoramentos de controle estão incluídos abaixo da lista de controles de linha de base em cada família de controle (consulte esta planilha de catálogo de controle do NIST). Eles podem ser identificados como um nome abreviado de um controle de linha de base, seguido por um número entre parênteses, representando o número sequencial do controle aprimorado.

Saiba mais sobre as práticas recomendadas de monitoramento de conformidade.

3. Delegue responsabilidades e registre evidências de implementação

Designe um indivíduo ou equipe para assumir a responsabilidade pela implementação de todos os controles de segurança do NIST 800-53. Essa responsabilidade deve incluir o acompanhamento do progresso dos esforços de conformidade e o alinhamento contínuo com a estrutura.

Um indivíduo ou equipe especializada também deve receber a responsabilidade de garantir que todos os sistemas recém-desenvolvidos (incluindo sistemas de computação em nuvem) e os ciclos de vida de desenvolvimento do sistema estejam em conformidade com a estrutura.

Os esforços de conformidade devem ser rastreados em um documento oficial que também identifique todas as partes responsáveis. Este documento oferecerá evidências de conformidade durante uma auditoria.

Para garantir que esses relatórios estejam prontamente disponíveis para os auditores, é melhor publicá-los junto com outras avaliações de segurança relevantes em um perfil público compartilhado.

Veja uma demonstração do recurso de perfil compartilhado do UpGuard.

4. Reconheça todas as políticas e operações de segurança existentes

Todos os controles do NIST 800-53 devem se integrar às estruturas e políticas de segurança existentes. A equipe de implementação designada (consulte o ponto 3) deve concluir uma auditoria interna de todas as políticas aplicáveis e mapear seus requisitos de segurança para cada família de controle do NIST 800-53.

Essa auditoria também deve incluir regulamentos e padrões de segurança aplicáveis, pois seus padrões de segurança de dados podem complementar a conformidade com o NIST 800-53. Alguns exemplos incluem:

  • Lei Federal de Gerenciamento de Segurança da Informação (FISMA).
  • Padrões Federais de Processamento de Informações (FIPS).
  • Lei Federal de Modernização da Segurança da Informação.
  • RGPD
  • PCI DSS
  • HIPAA

5. Centralize os controles de segurança neutros

A arquitetura de controle de segurança do NIST 800-53 deve centralizar controles neutros aplicáveis a vários departamentos e sistemas.

Mapear todos os sistemas de segurança para controles hereditários centralizados minimizará significativamente os custos de implementação e as demandas de recursos durante a operação. Os controles de segurança específicos do sistema devem permanecer localizados.

>

Por exemplo, a família de controle de acesso será utilizada por todos os departamentos que implementam políticas de privilégios mínimos e monitoram ameaças internas. A implantação de várias instâncias dessa família de controle em cada departamento criaria uma carga desnecessária nos recursos do processo e nos tempos de implementação.

A solução de gerenciamento de riscos de segurança de terceiros de ponta a ponta da UpGuard ajuda as empresas a dimensionar com eficiência seus esforços de gerenciamento de riscos de fornecedores. Incluído na biblioteca de avaliações de risco personalizáveis da plataforma está um questionário NIST SP 800-53, e um recurso que mapeia de forma inteligente as respostas de avaliação a esse padrão destaca as lacunas de conformidade que devem ser abordadas antes de uma auditoria.

Clique aqui para experimentar o UpGuard gratuitamente por 7 dias.

Veja o vídeo abaixo para uma visão geral dos novos recursos VRM recentemente introduzidos na plataforma UpGuard.