National Institute of Standards and Technology (NIST)

Visão geral

600x400_NIST_Logo

Os controles de segurança 800-53 do National Institute of Standards and Technology (NIST) geralmente são aplicáveis a sistemas de informação federais dos EUA. Normalmente, os sistemas de informações federais devem passar por um processo de avaliação e autorização formais para garantir proteção suficiente da confidencialidade, da integridade e da disponibilidade das informações e dos sistemas de informação.

O Cybersecurity Framework (CSF – Estrutura de segurança cibernética) do NIST é apoiado por governos e setores em todo o mundo como um parâmetro recomendado a ser usado por qualquer organização, independentemente do setor ou porte. De acordo com o Gartner, em 2015 o CSF será usado por aproximadamente 30% das organizações norte-americanas e a projeção é de que, até 2020, seu alcance atinja 50%. Desde o ano fiscal de 2016, as métricas da Federal Information Security Modernization Act (FISMA – Lei federal de gerenciamento da segurança das informações) de órgãos federais foram organizadas de acordo com o CSF e agora é exigido que os órgãos implementem o CSF conforme a Cybersecurity Executive Order (Ordem executiva de segurança cibernética).

  • A AWS está em conformidade com a estrutura do NIST 800-53?

    Sim. A infraestrutura e os serviços da Nuvem AWS foram validados por testes externos realizados com base nos controles do NIST 800-53 Revisão 4 e em requisitos adicionais do FedRAMP. A AWS recebeu Authorizations to Operate (ATO – Autorizações para operação) do FedRAMP de vários órgãos de autorização para a região AWS GovCloud (EUA) e as regiões Leste/Oeste dos EUA da AWS. Para obter mais informações, consulte a página de conformidade com o FedRAMP na AWS ou as seguintes páginas sobre o FedRAMP no Marketplace:

  • Como cliente, quais são as minhas responsabilidades de alinhamento de meus sistemas na AWS com as estruturas do NIST?

    Embora alguns dos seus controles sejam herdados especificamente da AWS, muitos deles são heranças compartilhadas entre você e a AWS. De acordo com o NDA, a AWS fornece um modelo AWS FedRAMP SSP com base no NIST 800-53 Rev. 4, que é pré-preenchido com a linha de base de controle baixa/moderada/alta do NIST 800-5 Rev. 4. Veja a seguir como é a responsabilidade de controle:

    • Responsabilidade compartilhada: você fornecerá a segurança e as configurações dos seus componentes de software, e a AWS fornecerá a segurança para sua infraestrutura.
    • Responsabilidade apenas do cliente: você é totalmente responsável pelos sistemas operacionais convidados, aplicativos implantados e recursos de redes selecionados (por exemplo, firewalls). Mais especificamente, você é o único responsável por configurar e gerenciar a sua segurança na nuvem.
    • Responsabilidade apenas da AWS: a AWS gerencia a infraestrutura de nuvem, incluindo a rede, o armazenamento físico de dados, os recursos do sistema, os datacenters, a segurança física e a confiabilidade, além de hardware e software de suporte a essa infraestrutura. Os aplicativos criados no sistema da AWS herdam os recursos e as opções configuráveis que a AWS fornece. A AWS é a única responsável por configurar e gerenciar a segurança da nuvem.

    Para fins de autorização de segurança, a conformidade com os requisitos do FedRAMP (com base na linha de base de controle baixa/moderada/alta do NIST 800-53 rev 4) depende de a AWS implementar totalmente os controles compartilhados e apenas da AWS e de você implementar os controles compartilhados e apenas do cliente. Uma Third-Party Assessment Organization (3PAO – Organização externa de avaliação) credenciada pelo FedRAMP avaliou e autorizou a implementação da AWS de nossa responsabilidade pelos controles. A parte dos controles compartilhados pela qual você é responsável e os controles relacionados aos aplicativos que você implementa na infraestrutura da AWS precisam ser avaliados e autorizados separadamente por você em concordância com o NIST 800-37 e com os seus procedimentos e políticas de autorização de segurança específicos.

  • Como a AWS pode me ajudar a alcançar o alinhamento com as estruturas do NIST?

    Os sistemas da AWS em conformidade com o FedRAMP receberam autorizações, abordaram os controles de segurança do FedRAMP (NIST SP 800-53), usam os modelos obrigatórios do FedRAMP para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por uma Third-Party Assessment Organization (3PAO – Organização externa de avaliação) independente e credenciada, e mantêm os requisitos de monitoramento contínuo do FedRAMP.

    De acordo com o modelo de responsabilidade compartilhada da AWS, a AWS gerencia a segurança da nuvem é você é responsável pela sua segurança na nuvem. Para apoiar a sua implementação de responsabilidades compartilhadas, a AWS criou soluções Quick Start (baseadas no AWS CloudFormation) que usam um único clique para automatizar a implantação de tecnologias importantes na Nuvem AWS. Cada Quick Start inicia, configura e executa serviços de computação, rede, armazenamento e o outros serviços da AWS necessários para implantar uma carga de trabalho na AWS que aborde os requisitos de conformidade de padrões e estruturas de segurança, como o NIST 800-53.

    Os Quick Starts da AWS otimizam, automatizam e implementam linhas de base seguras com conjuntos de regras abrangentes que podem ser aplicados sistematicamente. Por exemplo, o Quick Start Standardized Architecture for NIST-based Assurance Frameworks on the AWS Cloud inclui modelos do AWS CloudFormation. Esses modelos podem ser integrados ao AWS Service Catalog para automatizar a criação de uma carga de trabalho de arquitetura de linha de base padronizada dentro do escopo do NIST 800-53 Revisão 4 e do NIST 800-171. Esse Quick Start também inclui uma referência aos controles de segurança, que mapeia as decisões de arquitetura, os recursos e a configuração da linha de base dos controles de segurança. Os Quick Starts podem ser usados para apoiar seus esforços de conformidade na AWS de uma forma que faça sentido para os objetivos de segurança e conformidade da sua organização na Nuvem AWS.

  • Como devo usar o CSF do NIST?

    Organizações dos setores público e comercial podem usar o whitepaper Cybersecurity Framework (CSF – Estrutura de segurança cibernética) do NIST para avaliar o seu ambiente na AWS em relação ao CSF do NIST e para aprimorar as medidas de segurança que implementam e operam (a sua parte do modelo de responsabilidade compartilhada, também conhecida como segurança na nuvem). Para facilitar o seu alinhamento com o CSF do NIST, oferecemos uma descrição detalhada dos serviços de nuvem AWS e das responsabilidades associadas do cliente e da AWS. O whitepaper também disponibiliza uma carta de um auditor externo atestando a conformidade dos serviços de nuvem AWS com as práticas de gerenciamento de riscos do CSF do NIST (nossa parte do modelo de responsabilidade compartilhada, também conhecidas como segurança na nuvem), o que permite que as organizações protejam adequadamente seus dados na AWS.

    Diversos tipos de organizações, de órgãos federais/estaduais a entidades regulamentadas e empresas de grande porte, podem usar esse whitepaper como guia de implementação de soluções da AWS para obter os resultados de gerenciamento de riscos contidos no CSF do NIST.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Siga-nos no Twitter »