Definição – o que significa o NIST 800-53?
Um projeto do Instituto Nacional de Padrões e Tecnologia (NIST), NIST 800-53 é um conjunto abrangente de controles de dados para escritórios governamentais.
O padrão NIST 800-53 se aplica a todos os dados federais, exceto os dados federais que impactam a segurança nacional. Em outras palavras, é o padrão “não sensível à segurança” para o governo.
Crítico para a construção do NIST 800-53 é um conjunto de três partes de controles para três categorias de dados:
- Baixo impacto
- Impacto médio
- Alto impacto
Dentro dessas três categorias, o NIST 800-53 inclui muitas dezenas de componentes de controle individuais. Alguns deles estão relacionados ao monitoramento de requisitos e processos, como auditoria, enquanto outros envolvem informações sobre planejamento de contingência e monitoramento de incidentes e muito mais.
O conjunto abrangente de controles trata todos os tipos de aspectos de segurança cibernética e higiene de dados, desde a análise de ameaças até estratégias preventivas como criptografia.
O NIST 800-53 também é conhecido como Publicação Especial NIST 800-53.
Definirtec explica NIST 800-53
O NIST 800-53 também inclui questões de segurança ambiental, como controles de proteção contra incêndio, embora a grande maioria dos controles esteja relacionada à proteção de dados digitais e ao uso de melhores práticas e protocolos universais para evitar vazamentos de dados digitais.
Outra coisa importante que está escrita no NIST 800-53 é um conjunto de controles para acesso remoto e sem fio. Esse tipo de diretriz será extremamente importante na era da pandemia do coronavírus, à medida que as operações da força de trabalho se movem rapidamente on-line e as empresas navegam em direção aos sistemas de rede virtual.
Alguns dos controles no NIST 800-53, por exemplo, serão altamente aplicáveis a situações de Traga seu próprio dispositivo (BYOD), em que o dispositivo pessoal de um funcionário do governo pode armazenar dados governamentais confidenciais ou conter gateways para esses dados governamentais confidenciais. Alguns dos controles também ajudarão a manter os padrões de segurança cibernética à medida que os dispositivos conectados à Internet proliferam rapidamente na era da “Internet das Coisas” (IoT).
Outra maneira de entender o NIST 800-53 é contrastá-lo com um desenvolvimento mais recente chamado NIST Cybersecurity Framework ou NIST-CSF.
As diretrizes federais mostram que o NIST-CSF não substitui o NIST 800-53, mas fornece cobertura adicional de segurança de dados abrangente. Por exemplo, cinco funções principais que constituem a estrutura do NIST-CSF (identificar, detectar, proteger, responder e recuperar) são uma maneira semântica de agrupar muitos dos padrões inerentes ao NIST 800-53, para revelar mais do visão de por que esses pacotes de regras e protocolos estão em vigor.
As categorias e subcategorias nos padrões NIST-CSF e NIST 800-53 adotam uma abordagem de “pessoas, processos e ativos” para controles e análises de segurança cibernética, observando itens como gerenciamento de ativos, o trabalho das partes interessadas em colaboração e muito mais.
O NIST-CSF também fornece quatro “níveis” de sucesso de segurança cibernética:
- Parcial
- Informado sobre risco
- Repetível
- Adaptável
Essas quatro camadas podem ajudar a avaliar ainda mais os níveis de sucesso de estruturas aplicadas.
“Você pode usar o NIST CSF para avaliar sua postura de segurança atual”, escreve um analista da Cipher, descrevendo o uso relacionado da estrutura. “Passar por cada categoria e subcategorias na função principal pode ajudá-lo a determinar onde você está na escala NIST CSF Tier.”
Em resumo, o NIST 800-53 ajuda os usuários a documentar e avaliar sua conformidade com a segurança cibernética e pode ser útil em procedimentos legais. O NIST-CSF baseia-se neste utilitário em combinação com as especificações originais no recurso NIST 800-53 ainda relevante.