NIST 800-53 Rev 5: o que você precisa saber
Se você estiver envolvido com segurança ou privacidade da informação, provavelmente já ouviu falar da Publicação Especial (SP) 800-53 do NIST, que fornece um catálogo de controles de segurança e privacidade para organizações e sistemas de informação. O NIST SP 800-53 é amplamente usado por agências federais, contratados e outras organizações para proteger seus dados, sistemas e operações de várias ameaças e riscos.
Em setembro de 2020, o NIST publicou a revisão mais recente do SP 800-53, Revisão 5, que representa uma atualização e melhoria significativa em relação à versão anterior, Revisão 4. A Revisão 5 apresenta muitas alterações e aprimoramentos no catálogo de controle de segurança e privacidade, bem como novos recursos e ferramentas para ajudar os usuários a implementar os controles de maneira eficaz.
nist 800-53 rev 5 download
Neste artigo, daremos a você uma visão geral do que é o NIST SP 800-53 Rev 5, por que é importante e como você pode baixá-lo e acessá-lo. Também destacaremos algumas das principais alterações e atualizações na Rev 5 e forneceremos alguns exemplos de como você pode usá-la em sua organização. Ao final deste artigo, você entenderá melhor o que o NIST SP 800-53 Rev 5 pode fazer por você e como você pode se beneficiar dele.
O que é NIST SP 800-53 Rev 5 e por que é importante?
NIST SP 800-53 Rev 5 é uma publicação que fornece um catálogo de controles de segurança e privacidade para sistemas de informação e organizações. Os controles são projetados para proteger operações e ativos organizacionais, indivÃduos, outras organizações e a nação de um conjunto diversificado de ameaças e riscos, incluindo ataques hostis, erros humanos, desastres naturais, falhas estruturais, entidades de inteligência estrangeiras e riscos à privacidade.
Os controles são flexÃveis e personalizáveis e podem ser implementados como parte de um processo em toda a organização para gerenciar riscos.Os controles também estão alinhados com outros padrões e estruturas, como o NIST Cybersecurity Framework (CSF), o NIST Privacy Framework (PF) e o ISO/IEC 27001.
O NIST SP 800-53 Rev 5 é importante porque representa um esforço de vários anos para desenvolver a próxima geração de controles de segurança e privacidade necessários para fortalecer e apoiar o governo federal e todos os setores de infraestrutura crÃtica. Também reflete o cenário em evolução de ameaças, tecnologias, leis, polÃticas, práticas recomendadas e lições aprendidas no campo de segurança e privacidade.
Alguns dos benefÃcios de usar o NIST SP 800-53 Rev 5 incluem:
Ele ajuda você a cumprir as leis e regulamentos federais que exigem controles de segurança e privacidade para organizações e sistemas de informação.
Ele ajuda você a melhorar sua postura de segurança e resiliência contra ataques cibernéticos.
Ele ajuda você a aprimorar suas práticas de privacidade e proteger dados pessoais.
Ele ajuda você a promover a confiança entre seus stakeholders, clientes, parceiros, reguladores, auditores, etc.Visão geral das principais mudanças e atualizações na Rev 5
Uma das mudanças mais visÃveis na Rev 5 é a integração dos controles de segurança e privacidade em um único catálogo unificado. Isso significa que não há mais um apêndice separado para controles de privacidade, como havia na Rev 4. Em vez disso, os controles de privacidade agora estão integrados à s famÃlias de controle de segurança e são identificados por uma notação (P). Essa integração reflete a interdependência e inter-relação entre segurança e privacidade e visa facilitar uma abordagem holÃstica para o gerenciamento de riscos.
Outra grande mudança na Rev 5 é a reorganização e consolidação das famÃlias de controle. O número de famÃlias de controle foi reduzido de 18 para 17, mesclando a famÃlia Program Management (PM) com a famÃlia Risk Assessment (RA).A ordem das famÃlias de controle também foi alterada para seguir uma sequência mais lógica, começando com governança e terminando com monitoramento. A nova ordem das famÃlias de controle é a seguinte:
FamÃlia de controleAcrônimo
Avaliação dos controles de segurança e privacidadeCA
Conscientização e TreinamentoNO
Auditoria e ResponsabilidadeUA
Avaliação de segurança e autorizaçãoSA
Gerenciamento de configuraçõesCM
Planejamento de contingênciaCP
Identificação e AutenticaçãoI A
Resposta a IncidentesIV
ManutençãoMA
Proteção de mÃdiaMP
Proteção FÃsica e AmbientalEDUCAÇAO FISICA
PlanejamentoPL
Segurança PessoalPS
Avaliação de riscos e gerenciamento de programasRAPM*Aquisição de Sistemas e ServiçosSA
Proteção de sistemas e comunicaçõesSC
Integridade do Sistema e da InformaçãoSI
Gestão de Riscos da Cadeia de SuprimentosSR
Monitoramento de controles de segurança e privacidadeMO
*Nota: A famÃlia RAPM é uma nova adição na Rev 5, que combina as famÃlias RA e PM da Rev 4.
Além das mudanças nas famÃlias de controle, a Rev 5 também apresenta novos controles de segurança e privacidade, bem como atualizações e melhorias nos controles existentes. Alguns dos novos controles incluem:
CA-9: Conexões do Sistema de Informação (P)
RAPM-1: Estratégia de Gestão de Riscos e Plano do Programa (P)
RAPM-2: Função Executiva de Riscos (P)
RAPM-3: Papéis e Responsabilidades da Gestão de Riscos (P)
RAPM-4: Processo de Gestão de Riscos (P)
RAPM-5: Metodologia de Avaliação de Risco (P)
RAPM-6: Avaliação de Risco (P)
RAPM-7: Resposta ao Risco (P)
RAPM-8: Monitoramento de Risco (P)
RAPM-9: Revisões e Avaliações do Programa (P)
RAPM-10: Programa de Melhoria (P)
SR-1: PolÃtica e Procedimentos da Cadeia de Suprimentos (P)
SR-2: Plano de Gerenciamento de Riscos da Cadeia de Suprimentos (P)
SR-3: Estratégia de Proteção da Cadeia de Suprimentos (P)
SR-4: Avaliação de Risco da Cadeia de Suprimentos (P)
SR-5: Varredura de Vulnerabilidade da Cadeia de Suprimentos (P)
SR-6: Remediação da Cadeia de Suprimentos (P)
SR-7: Monitoramento e Relatórios da Cadeia de Suprimentos (P)
SR-8: Conscientização e Treinamento da Cadeia de Suprimentos (P)
SR-9: Requisitos de Segurança da Cadeia de Suprimentos para Sistemas de Informação, Componentes e Serviços (P)
SR-10: Revisões e avaliações de fornecedores (P)
SR-11: Contratos de fornecedores (P)
Como baixar e acessar os documentos e recursos da Rev 5
Se você deseja baixar e acessar os documentos e recursos da Rev 5, pode visitar o site do NIST em , onde você encontrará os seguintes arquivos:
NIST.SP.800-53r5.pdf - Este é o documento principal que contém o catálogo de controles de segurança e privacidade, bem como os capÃtulos introdutórios que explicam a finalidade, escopo, aplicabilidade, organização, implementação e adaptação dos controles.
NIST.SP.800-53r5-control-baselines.xlsx - Este é um arquivo de planilha que contém as linhas de base de controle para sistemas de baixo, moderado e alto impacto, bem como a linha de base de controle de privacidade. As linhas de base de controle são subconjuntos de controles recomendados para diferentes tipos de sistemas com base em seus nÃveis de impacto. Os nÃveis de impacto são determinados pelo dano potencial que pode resultar da perda de confidencialidade, integridade ou disponibilidade do sistema ou de seus dados.
NIST.SP.800-53r5-control-summary.xlsx - Este é um arquivo de planilha que contém um resumo de todos os controles de segurança e privacidade na Rev 5, incluindo seus números de controle, tÃtulos, parâmetros, aprimoramentos, orientação suplementar, referências, códigos de prioridade, mapeamento para funções CSF, mapeamento para funções PF, mapeamento para cláusulas ISO/IEC 27001 e mapeamento para processos COBIT 2019.
NIST.SP.800-53r5-control-mappings.xlsx - Este é um arquivo de planilha que contém mapeamentos detalhados dos controles de segurança e privacidade na Rev 5 para outros padrões e estruturas, como NIST CSF, NIST PF, ISO/IEC 27001 e COBIT 2019.
NIST.SP.800-53r5-database.zip - Este é um arquivo zip que contém um arquivo de banco de dados (.mdb) que pode ser usado para consultar e manipular os controles de segurança e privacidade na Rev 5.O arquivo de banco de dados pode ser aberto com o Microsoft Access ou outro software compatÃvel.
Para baixar qualquer um desses arquivos, basta clicar no link correspondente no site do NIST. Você também pode usar o botão "Baixar tudo" para baixar todos os arquivos em um único arquivo zip. Você também pode usar o botão "Assinar" para receber notificações por e-mail quando houver atualizações ou alterações na publicação.
Além do site do NIST, você também pode acessar documentos e recursos da Rev 5 de outras fontes e referências, como:
O NIST SP 800-53 Rev 5 Online Viewer - Esta é uma ferramenta baseada na web que permite navegar, pesquisar, filtrar e comparar os controles de segurança e privacidade na Rev 5. Você pode acessá-lo em .
A ferramenta de seleção de controle NIST SP 800-53 Rev 5 - Esta é uma ferramenta baseada na web que ajuda você a selecionar os controles de segurança e privacidade apropriados para seu sistema com base em seu nÃvel de impacto e outros fatores. Você pode acessá-lo em .
Ferramenta de Implementação de Controle NIST SP 800-53 Rev 5 - Esta é uma ferramenta baseada na web que ajuda você a documentar e rastrear o status de implementação dos controles de segurança e privacidade para seu sistema. Você pode acessá-lo em .
Perguntas frequentes (FAQs) do NIST SP 800-53 Rev 5 - Este é um documento que fornece respostas para algumas das perguntas mais comuns sobre a Rev 5, como finalidade, escopo, aplicabilidade, organização, implementação e adaptação dos controles. Você pode acessá-lo em .
A série de webinars NIST SP 800-53 Rev 5 - Esta é uma série de webinars que fornecem uma visão geral e introdução à Rev 5, bem como discussões técnicas e mais detalhadas sobre tópicos e aspectos especÃficos da Rev 5. Você pode acessar as gravações e slides dos webinars em .
Conclusão
O NIST SP 800-53 Rev 5 é um catálogo abrangente e atualizado de controles de segurança e privacidade para sistemas de informação e organizações. Ele fornece uma estrutura flexÃvel e personalizável para gerenciar riscos e proteger operações e ativos organizacionais, indivÃduos, outras organizações e a nação contra várias ameaças e riscos.
A Rev 5 apresenta muitas alterações e atualizações em relação à versão anterior, como a integração de controles de segurança e privacidade, a reorganização e consolidação de famÃlias de controle e a adição de novos controles. Ele também fornece novos recursos e ferramentas para ajudar os usuários a implementar os controles de forma eficaz.
Se você deseja baixar e acessar os documentos e recursos da Rev 5, pode visitar o site do NIST ou outras fontes e referências que mencionamos neste artigo. Você também pode se inscrever para receber notificações por e-mail quando houver atualizações ou alterações na publicação.
Esperamos que este artigo tenha lhe dado uma visão geral do que é o NIST SP 800-53 Rev 5, por que é importante e como você pode baixá-lo e acessá-lo. Também esperamos que você tenha aprendido algumas das principais alterações e atualizações da Rev 5 e como pode usá-la em sua organização.
Se você tiver alguma dúvida ou comentário sobre este artigo ou a Rev 5 em geral, sinta-se à vontade para entrar em contato conosco ou deixar um comentário abaixo. GostarÃamos muito de ouvi-lo e ajudá-lo com suas necessidades de segurança e privacidade.
perguntas frequentes
Aqui estão algumas das perguntas frequentes sobre o NIST SP 800-53 Rev 5:
Qual é a diferença entre controles de segurança e controles de privacidade?
Os controles de segurança são salvaguardas ou contramedidas que protegem os sistemas de informação e as organizações contra ameaças à sua confidencialidade, integridade ou disponibilidade. Os controles de privacidade são salvaguardas ou contramedidas que protegem os direitos e interesses de privacidade dos indivÃduos contra ameaças a seus dados pessoais ou informações de identificação pessoal (PII).
Como determino o nÃvel de impacto do meu sistema?
O nÃvel de impacto do seu sistema é determinado pelo dano potencial que pode resultar da perda de confidencialidade, integridade ou disponibilidade do seu sistema ou de seus dados. O nÃvel de impacto pode ser baixo, moderado ou alto, dependendo da gravidade do dano. Você pode usar os critérios e diretrizes do NIST SP 800-60, Volume 1 e Volume 2, para ajudá-lo a determinar o nÃvel de impacto do seu sistema.
Quais são as linhas de base de controle e como usá-las?
As linhas de base de controle são subconjuntos de controles recomendados para diferentes tipos de sistemas com base em seus nÃveis de impacto. As linhas de base de controle destinam-se a fornecer um ponto de partida para selecionar e implementar os controles e podem ser adaptadas para atender à s necessidades e requisitos especÃficos de seu sistema e organização. Você pode usar a ferramenta de seleção de controle NIST SP 800-53 Rev 5 para ajudá-lo a selecionar a linha de base de controle apropriada para seu sistema.
Como faço para adaptar os controles para caber no meu sistema e organização?
Adaptar os controles significa ajustar ou modificar os controles para atender à s caracterÃsticas, necessidades e requisitos especÃficos de seu sistema e organização. A adaptação pode envolver adicionar, remover ou modificar parâmetros de controle, aprimoramentos, orientação complementar, referências, códigos de prioridade ou informações de mapeamento. Você pode usar a orientação no CapÃtulo 3 do NIST SP 800-53 Rev 5 para ajudá-lo a adaptar os controles.
Como documentar e acompanhar o status de implementação dos controles?
Documentar e rastrear o status de implementação dos controles significa registrar e relatar o progresso e os resultados da aplicação dos controles ao seu sistema e organização. A documentação e o acompanhamento podem ajudá-lo a monitorar e avaliar a eficácia e a eficiência dos controles, bem como identificar e solucionar quaisquer lacunas ou problemas. Você pode usar a ferramenta de implementação de controle NIST SP 800-53 Rev 5 para ajudá-lo a documentar e rastrear o status de implementação dos controles.
0517a86e26