National Institute of Standards and Technology (NIST)
Visão geral
Os controles de segurança 800-53 do National Institute of Standards and Technology (NIST) geralmente são aplicáveis a sistemas de informação federais. Normalmente, os sistemas de informações federais devem passar por um processo de avaliação e autorização formais para garantir proteção suficiente da confidencialidade, da integridade e da disponibilidade das informações e dos sistemas de informação.
O Cybersecurity Framework (CSF – Estrutura de segurança cibernética) do NIST é apoiado por governos e setores em todo o mundo como um parâmetro recomendado a ser usado por qualquer organização, independentemente do setor ou porte. De acordo com o Gartner, em 2015 o CSF será usado por aproximadamente 30% das organizações norte-americanas e a projeção é de que, até 2020, seu alcance atinja 50%. Desde o ano fiscal de 2016, as métricas da Federal Information Security Modernization Act (FISMA – Lei federal de gerenciamento da segurança das informações) de órgãos federais foram organizadas de acordo com o CSF e agora é exigido que os órgãos implementem o CSF conforme a Cybersecurity Executive Order (Ordem executiva de segurança cibernética).
Perguntas frequentes
-
A AWS está em conformidade com a estrutura do NIST 800-53?
Sim. A infraestrutura e os serviços da Nuvem AWS foram validados por testes externos realizados com base nos controles do NIST 800-53 Revisão 4 e em requisitos adicionais do FedRAMP. A AWS recebeu Authorizations to Operate (ATO – Autorizações para operação) do FedRAMP de vários órgãos de autorização para a região AWS GovCloud (EUA) e as regiões Leste/Oeste dos EUA da AWS. Para obter mais informações, consulte a página de Compatibilidade da AWS com o FedRAMP ou as seguintes páginas sobre o FedRAMP no Marketplace:
-
Como cliente, quais são as minhas responsabilidades de alinhamento de meus sistemas na AWS com as estruturas do NIST?
Embora alguns dos seus controles sejam herdados especificamente da AWS, muitos deles são heranças compartilhadas entre você como cliente e a AWS. Veja a seguir como é a responsabilidade de controle:
- Responsabilidade compartilhada: você fornecerá a segurança e as configurações dos seus componentes de software, e a AWS fornecerá a segurança para sua infraestrutura.
- Responsabilidade apenas do cliente: você é totalmente responsável pelos sistemas operacionais convidados, aplicativos implantados e recursos de redes selecionados (por exemplo, firewalls). Mais especificamente, você é o único responsável por configurar e gerenciar a segurança na nuvem.
- Responsabilidade apenas da AWS: a AWS gerencia a infraestrutura de nuvem, incluindo a rede, o armazenamento de dados, os recursos do sistema, os datacenters, a segurança física e a confiabilidade, além de hardware e software de suporte a essa infraestrutura. Os aplicativos criados no sistema da AWS herdam os recursos e as opções configuráveis que a AWS fornece. A AWS é a única responsável por configurar e gerenciar a segurança da nuvem
Para fins de autorização de segurança, a conformidade com os requisitos do FedRAMP (com base na linha de base de controle baixa/moderada/alta do NIST 800-53 rev 4) depende de a AWS implementar totalmente os controles compartilhados e apenas da AWS e de você implementar os controles compartilhados e apenas do cliente. Uma Organização de Avaliação por Terceiros (3PAO – Third-Party Assessment Organization) credenciada pelo FedRAMP avaliou e autorizou a implementação da AWS de nossa responsabilidade pelos controles. A parte dos controles compartilhados pela qual você é responsável e os controles relacionados aos aplicativos que você implementa na infraestrutura da AWS precisam ser avaliados e autorizados separadamente por você em concordância com o NIST 800-37 e com os seus procedimentos e políticas de autorização de segurança específicos.
-
Como a AWS pode me ajudar a alcançar o alinhamento com as estruturas do NIST?
Os sistemas da AWS em conformidade com o FedRAMP receberam autorizações, abordaram os controles de segurança do FedRAMP (NIST SP 800-53), usam os modelos obrigatórios do FedRAMP para os pacotes de segurança publicados no repositório seguro do FedRAMP, foram avaliados por uma Organização de Avaliação por Terceiros (3PAO – Third-Party Assessment Organization) independente e credenciada, e mantêm os requisitos de monitoramento contínuo do FedRAMP.
De acordo com o modelo de responsabilidade compartilhada da AWS, a AWS gerencia a segurança da nuvem, e você é responsável pela sua segurança na nuvem. Para apoiar sua implementação de responsabilidades compartilhadas, a AWS criou a solução Acelerador de Zona de Pouso na AWS (desenvolvida pelo AWS CloudFormation). A solução Acelerador de Zona de Pouso na AWS implanta uma base de nuvem que é arquitetada para se alinhar às melhores práticas da AWS e a várias estruturas globais de conformidade, incluindo estruturas baseadas em NIST. Com essa solução, os clientes com workloads altamente regulamentadas e com requisitos de conformidade complexos podem gerenciar e controlar melhor seus ambientes de várias contas. Quando usado junto com outros serviços da AWS, o Acelerador de Zona de Pouso fornece uma solução abrangente sem código, em mais de 35 serviços da AWS. A solução Acelerador de Zona de Pouso na AWS ajuda você a implantar rapidamente uma base de nuvem segura, resiliente, escalável e totalmente automatizada que acelera sua preparação para seu programa de conformidade na nuvem. Nota: Essa solução, por si só, não o tornará compatível. Ela fornece a infraestrutura fundamental a partir da qual soluções complementares adicionais podem ser integradas.
-
Como devo usar o CSF do NIST?
Organizações dos setores público e comercial podem usar o whitepaper Cybersecurity Framework (CSF – Estrutura de segurança cibernética) do NIST para avaliar o seu ambiente na AWS em relação ao CSF do NIST e para aprimorar as medidas de segurança que implementam e operam (a sua parte do modelo de responsabilidade compartilhada, também conhecida como segurança na nuvem). Para facilitar o seu alinhamento com o CSF do NIST, oferecemos uma descrição detalhada dos serviços de nuvem AWS e das responsabilidades associadas do cliente e da AWS. O whitepaper também disponibiliza uma carta de um auditor externo atestando a compatibilidade dos serviços de nuvem AWS com as práticas de gerenciamento de riscos do CSF do NIST (nossa parte do modelo de responsabilidade compartilhada, também conhecida como segurança da nuvem), o que permite que as organizações protejam adequadamente seus dados na AWS.
Diversos tipos de organizações, de órgãos federais/estaduais a entidades regulamentadas e empresas de grande porte, podem usar esse whitepaper como guia de implementação de soluções da AWS para obter os resultados de gerenciamento de riscos contidos no CSF do NIST.