O que é o NIST SP 800-171?

 

O que é o NIST SP 800-171?

O NIST SP 800-171 é uma publicação do Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos emitida em junho de 2015 que visa fortalecer a segurança das Informações Não Classificadas Controladas (CUIs) nos sistemas de organizações não federais. As CUIs são informações governamentais sensíveis, mas não classificadas, que vão de patentes a especificações de equipamentos militares. Embora não sejam classificadas, quaisquer violações das CUIs podem ter implicações graves para a segurança nacional e economia.

Em um mundo cada vez mais marcado por ataques cibernéticos alarmantes, o NIST SP 800-171 visa criar uma linha de base unificada de requisitos de segurança cibernética para todos os contratados e subcontratados governamentais que lidam com CUIs. Para essas entidades, o cumprimento do NIST SP 800-171 não é apenas aconselhável, mas obrigatório, garantindo que informações governamentais confidenciais sejam protegidas de maneira consistente. A não conformidade pode gerar consequências graves.

O NIST SP 800-171 é um instrumento resiliente na luta contínua contra as ameaças cibernéticas, com suas atualizações regulares acompanhando as ameaças cibernéticas emergentes e a evolução tecnológica, sendo a Revisão 2, em fevereiro de 2020, a mais recente. Ele não apenas protege as CUIs, mas também ajuda no compartilhamento de informações, fortalecendo o cenário mais amplo da segurança cibernética.

A criação do NIST SP 800-171 marca uma etapa estratégica para garantir a segurança nacional, estabelecendo uma referência unificada de segurança cibernética e promovendo uma cultura de segurança da informação na era digital.

Quem deve cumprir o NIST SP 800-171?

O NIST SP 800-171 é uma parte crucial das medidas de segurança cibernética promulgadas pelo governo dos EUA que se aplicam principalmente a entidades não federais que processam, armazenam ou transmitem CUIs como parte de suas obrigações contratuais. As CUIs envolvem dados confidenciais que requerem proteção, mas não se enquadram nas regulamentações que regem as informações confidenciais.

As entidades que precisam cumprir o NIST SP 800-171 geralmente incluem:

  • Contratados para vários departamentos governamentais, incluindo o Departamento de Defesa (DoD), Administração de Serviços Gerais (GSA) e Administração Nacional da Aeronáutica e Espaço (NASA).
  • Instituições de pesquisa, faculdades e universidades que processam dados federais dos EUA ou recebem subsídios federais.
  • Provedores de serviços em áreas como contratação de defesa, serviços financeiros, processamento de dados de saúde, serviços web e comunicação e integração de sistemas.
  • Empresas de manufatura e consultoria com contratos federais dos EUA.

O cumprimento do NIST SP 800-171 garante a proteção das CUIs em toda a rede de organizações que trabalham com o governo dos EUA, contribuindo assim para a segurança nacional.

Além disso, as organizações que trabalham com o DoD e processam CUIs devem cumprir o Suplemento do Regulamento de Aquisição Federal de Defesa (DFARS) 252.204-7012 e o NIST SP 800-171, independentemente do tamanho do contrato. O descumprimento pode levar à perda de contratos e exigir notificação ao Diretor de Informações do DoD no prazo de 30 dias após o recebimento do contrato, especificando áreas de não conformidade.

Consequências da não conformidade com o NIST SP 800-171

O NIST SP 800-171 é uma estrutura fundamental para proteger as CUIs, sendo uma base da operação governamental. O descumprimento não é apenas uma quebra de contrato, mas também ameaça a segurança nacional e o compartilhamento eficaz de informações cruciais.

  • Riscos contratuais: As cláusulas do DFARS determinam que todas as entidades na cadeia de contratos governamentais – contratados, subcontratados, vendedores e fornecedores – devem afirmar seu cumprimento do NIST SP 800-171. Caso não cumprirem estas normas de maneira precisa e genuína, eles correm o risco de perder contratos existentes e oportunidades de licitação futuras. Este efeito de “fluxo descendente” dos mandatos de conformidade garante que não haja nenhum elo fraco na cadeia de segurança.
  • Gerenciamento de riscos organizacionais: Apesar dos riscos potenciais de não conformidade, o NIST SP 800-171 cumpre um propósito benéfico para as organizações. O cumprimento dos seus padrões eleva as posturas de segurança cibernética, mitiga violações de dados e aplica as melhores práticas para políticas de acesso aos dados. A conformidade promove uma abordagem de segurança escalável, reduzindo o risco organizacional global.
  • Penalidades legais: A deturpação da conformidade viola a Lei contra Reivindicações Falsas (False Claims Act), levando a multas e acusações criminais potenciais. A não conformidade pode gerar penalidades graves, incluindo rescisão de contratos, suspensão ou exclusão do status de contratado e multas financeiras substanciais por parte do governo.
  • Interrupções operacionais: As violações das CUIs podem prejudicar significativamente as operações governamentais, de ataques de ransomware a perda de dados cruciais. As consequências desses incidentes podem levar a extensas investigações e auditorias, aumentando ainda mais os custos operacionais.

As repercussões da não conformidade são graves, afetando tanto as organizações envolvidas como os interesses nacionais mais amplos.

Requisitos do NIST SP 800-171 para o seu cumprimento

Os requisitos do NIST SP 800-171 giram em torno de três áreas principais: Tecnologia, políticas e práticas de TI, com foco em aspectos como auditoria e prestação de contas, configuração de sistemas e procedimentos de autenticação. Eles são projetados para abordar vulnerabilidades e fortalecer uma rede, ajudando os sistemas, redes e funcionários de uma organização a lidar com CUIs de maneira segura e adequada.

Há 110 requisitos na norma NIST SP 800-171, distribuídos por 14 áreas ou categorias diferentes. Cada requisito serve para mitigar vulnerabilidades de segurança específicas, reforçando vários aspectos de uma rede, do controle de acesso à resposta a incidentes. As categorias incluem:

  • Controle de acesso: Os requisitos nesta categoria envolvem definir quem tem o direito de acessar dados específicos e garantir que indivíduos não autorizados não possam acessar essas informações.
  • Conscientização e treinamento: Para gerenciar o fator humano na segurança cibernética, a equipe deve estar ciente dos riscos potenciais e treinada nas melhores práticas de uso de dispositivos de rede. Esta categoria enfatiza essencialmente a importância de educar os administradores e usuários do sistema.
  • Auditoria e prestação de contas: Esta categoria centra-se na criação, preservação e revisão de logs e registros de auditoria no nível do sistema. O objetivo é estabelecer um mecanismo de auditoria eficaz que possa agilizar significativamente as investigações de incidentes de segurança cibernética.
  • Gerenciamento de configurações: Esta categoria estabelece requisitos para a configuração adequada de hardware, softwares e sistemas, incluindo medidas contra instalação não autorizada de softwares.
  • Identificação e autenticação: Esta categoria garante que somente usuários autenticados possam acessar a rede ou sistemas, especificando procedimentos de senha e autenticação, bem como a distinção entre contas privilegiadas e não privilegiadas.
  • Resposta a incidentes: A capacidade de responder eficazmente a incidentes de segurança cibernética é fundamental. Esta categoria cobre a capacidade da organização de responder a incidentes graves de segurança cibernética, com foco em testes de detecção, contenção, recuperação e resposta a incidentes.
  • Manutenção: Esta categoria detalha procedimentos que representam as melhores práticas para manutenção de sistemas e redes, garantindo a segurança de qualquer manutenção externa.
  • Proteção da mídia: Mídias pessoais, como pen drives, podem representar ameaças significativas. Esta categoria concentra-se no controle de acesso às CUIs, detalhando as melhores práticas para armazenar ou destruir informações.
  • Segurança de pessoal: Este requisito enfatiza a triagem e verificação de antecedentes de novos funcionários e revogação de permissões de acesso durante a rescisão ou transferência de função.
  • Proteção física: Esta categoria especifica limites de acesso físico a servidores, documentos e outras mídias que transportam CUIs, o que é vital para evitar violações de segurança.
  • Avaliação de risco: Esta categoria estabelece regras para realizar e analisar avaliações de risco regulares e verificar sistemas em busca de vulnerabilidades. Avaliações periódicas podem destacar vulnerabilidades, ajudando a organização a remediá-las rapidamente.
  • Avaliação de segurança: Esta categoria requer o desenvolvimento, monitoramento e renovação de controles de sistema e planos de segurança para identificar, eliminar e reduzir vulnerabilidades utilizando um plano de ação de segurança robusto. A principal diferença entre segurança e avaliação de risco é a área de concentração. Embora a avaliação de risco concentre-se nas ameaças potenciais, a avaliação de segurança foca as ameaças existentes com base na situação atual da postura de segurança da organização.
  • Proteção do sistema e das comunicações: Este requisito centra-se na proteção das comunicações recebidas e enviadas, incluindo mensagens criptografadas, preservando eficazmente a confidencialidade das informações compartilhadas.
  • Integridade do sistema e informação: Esta categoria visa garantir a segurança da informação ao identificar, reportar e corrigir prontamente quaisquer falhas do sistema ou atividades não autorizadas.

Roteiro do NIST SP 800-171

O NIST SP 800-171 desempenha um papel fundamental na proteção da confidencialidade das informações não classificadas controladas em sistemas e organizações não federais. O roteiro para sua conformidade envolve o planejamento cuidadoso, avaliação completa e monitoramento contínuo dos controles de segurança.

Para começar, um contratado deve avaliar seus sistemas em relação aos 110 controles de segurança descritos no documento do NIST SP 800-171. Posteriormente, um Plano de Segurança de Sistemas (SSP) é desenvolvido, detalhando os controles de segurança já implementados e estratégia do contratado para abordar quaisquer requisitos pendentes. O Plano de Ação e Marcos (POA&M) incluído no SSP que elucida como o contratado abordará os requisitos não atendidos.

Embora a conformidade com o NIST SP 800-171 seja um requisito para qualquer organização que manuseie CUIs, é importante observar que não há um organismo de certificação para isso. As organizações devem autoavaliar e autoatestar sua conformidade. Para os contratados do DoD, o cumprimento é validado utilizando um sistema baseado em pontos, com pontuações submetidas ao Sistema de Risco de Desempenho de Fornecedores (SPRS) do DoD.

As principais etapas para se preparar para uma avaliação do NIST incluem:

  • Agrupar as políticas de segurança: Reúna todas as políticas e procedimentos de segurança existentes, incluindo aqueles sobre gerenciamento de dados, planos de segurança de sistemas e controle de acesso.
  • Envolver as principais partes interessadas: Envolva todo o pessoal de segurança da informação, incluindo administradores de TI, responsáveis pela privacidade de dados e usuários privilegiados, para obter insights cruciais sobre o cenário de segurança da organização.
  • Definir o escopo da avaliação: Defina o escopo da avaliação com precisão, concentrando-se especificamente nos sistemas e informações cobertos pelos requisitos do NIST SP 800-171.
  • Reunir materiais de auditoria: Compile materiais relevantes, juntamente com os resultados de auditorias anteriores para fornecer insights visando refinar e aprimorar estratégias de avaliação futuras.
  • Preparar briefing para toda a organização: Forneça um briefing completo para todos, desde os altos executivos até a equipe operacional, explicando os objetivos da avaliação, funções individuais e impacto potencial da não conformidade

Atingir a conformidade e permanecer nesse status é uma jornada contínua, que exige avaliação, projeto, implantação e gerenciamento contínuos de sistemas.

O processo de conformidade também serve como um ponto de partida para alcançar a Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC), outro requisito fundamental para os contratados do DoD. Portanto, manter a conformidade com o NIST SP 800-171 é fundamental não apenas para a segurança e reputação dos contratados individuais, mas também para o ecossistema mais amplo de segurança cibernética.

Thank you for reaching out to us.

We will get back to you shortly.

Olá,

Eu sei a importância dos relatórios de conformidade pré-construídos. Você pode me ajudar a entender como automatizar o processo com uma ferramenta de gerenciamento da conformidade ?
Eu sou do     e você pode entrar em contato comigo pelo e-mail
  .

Ao clicar em “Agende uma demonstração”, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Melhores práticas do NIST SP 800-171: Uma lista de verificação

As organizações podem fortalecer seu cenário de segurança cibernética enquanto garantem a conformidade regulatória seguindo estas melhores práticas.

  • Identificar e classificar CUIs: Reconhecer e categorizar as CUIs processadas pela organização, que podem variar de informações de identificação pessoal a detalhes financeiros. O NIST especifica 20 categorias para CUIs, cada uma delas com seus próprios padrões. Ferramentas automatizadas podem ser usadas para uma auditoria rápida e completa.
  • Realizar varreduras regulares de vulnerabilidades: Realizar varreduras automatizadas de vulnerabilidades periodicamente para identificar pontos fracos e vulnerabilidades nos sistemas e aplicações de uma organização. Abordar os problemas detectados imediatamente para manter a conformidade.
  • Definir controles de acesso: Implementar um modelo de menor privilégio, permitir apenas acesso do pessoal autorizado às CUIs e manter um registro desses acessos para restringir o acesso não autorizado.
  • Monitorar e auditar: Estabelecer sistemas de monitoramento e auditoria constantes da atividade relacionada às CUIs, com um mecanismo de alerta para qualquer atividade anormal.
  • Manter logs de eventos do sistema: Manter os logs por pelo menos 180 dias. Criptografar todos os dados de logs armazenados para evitar o acesso não autorizado.
  • Avaliação de segurança: Avaliar as defesas de segurança cibernética da organização para entender os pontos fortes e fracos.
  • Desenvolver controles de linha de base: Estabelecer controles básicos de segurança para proteção contra ameaças externas. Isso é parte integrante da estratégia de proteção de dados de uma organização para prevenir incidentes cibernéticos.
  • Avaliações regulares de risco: Avaliar a eficácia das medidas de segurança em vigor continuamente e identificar ameaças emergentes às CUIs.
  • Documentação: Manter um plano de segurança por escrito e atualizá-lo conforme necessário. Cada revisão deve ser datada e marcada com um número de revisão.
  • Plano de resposta: Elaborar um plano detalhado descrevendo a ação da organização após um incidente cibernético.
  • Educação dos funcionários: Certificar-se de que todos os membros da equipe conheçam as melhores práticas de segurança cibernética para minimizar ameaças cibernéticas. Mantenha-os informados sobre mudanças nas políticas.
  • Usar ferramentas robustas de segurança cibernética: Implementar ferramentas como firewalls, softwares antivírus e sistemas de gerenciamento de informações e eventos de segurança para proteção. Atualizar todos os dispositivos e aplicações regularmente.
  • Testes de penetração internos e externos: Realizar testes de penetração para validar a eficácia dos controles de segurança da organização e identificar lacunas na conformidade.
  • Segurança das aplicações: Monitorar as aplicações quanto a mudanças e identificar vulnerabilidades que possam permitir acesso não autorizado ou inseguro. Aplicar patches nas aplicações regularmente.

Conforme as ameaças cibernéticas tornam-se cada vez mais complexas e frequentes, o cumprimento do NIST SP 800-171 tornou-se um requisito obrigatório, especialmente para organizações como emprenteiros, instituições de pesquisa e prestadores de serviços associados ao governo dos EUA. O descumprimento do NIST SP 800-171 traz graves repercussões. Isso não só compromete os interesses nacionais, mas também pode levar a sanções contratuais e legais, interrupções operacionais e problemas de gerenciamento de riscos organizacionais.

Para resumir, o NIST SP 800-171 desempenha uma dupla função. Ele protege informações governamentais sensíveis, mas não classificadas, e estimula uma cultura de práticas robustas de segurança cibernética em todas as entidades que lidam com CUIs. Sua importância no reforço da segurança nacional, promoção do compartilhamento de informações e fortalecimento do cenário geral da segurança cibernética não pode ser subestimada.

Cumpra o NIST SP 800-171 usando o EventLog Analyzer

O EventLog Analyzer pode ajudar as organizações a cumprir o NIST SP 800-171. Ao manter logs de sistemas, monitorar eventos de sistemas e garantir a segurança da rede e integridade dos dados, o EventLog Analyzer pode simplificar horas de tarefas manuais. Seu poderoso mecanismo de busca possibilita uma análise forense eficaz, enquanto sua análise avançada de ameaças fornece uma resposta robusta a incidentes de segurança cibernética. Seu mecanismo de correlação de eventos em tempo real ajuda na proteção do sistema e comunicação, correlacionando dados de diferentes fontes de logs para identificar ameaças como ataques de força bruta e instalações de software suspeitas. A funcionalidade de gerenciamento integrado de conformidade pode simplificar a auditoria de conformidade de TI com relatórios predefinidos para ajudar a atender às demandas regulatórias. De maneira geral, o EventLog Analyzer contribui significativamente para fortalecer a rede de uma organização e gerenciar CUIs de acordo com o NIST SP 800-171.

Simplifique os relatórios de conformidade de TI com o EventLog Analyzer
  •  
     
  • -Selecione-
Ao clicar em 'Solicitar Demo', você concorda com o processamento de dados pessoais de acordo com o Privacidade Política.
Obrigado por entrar em contato conosco.

Entraremos em contato com você em breve.

Siga-nos:
       

ManageEngine is a division of Zoho corp.

Recursos
Relacionado

Zoho Corporation Pvt. Ltd. All rights reserved.

×

Baixe o guia de conformidade

Obrigado!

Obrigado por baixar o guia de conformidade. Se você tiver alguma dúvida, envie-nos um email para support@eventloganalyzer.com