NIST divulga guia atualizado para privacidade e controles de segurança

NIST divulga guia atualizado para privacidade e controles de segurança. Diretrizes descrevem como usar a ‘próxima geração’ de controles.

O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos lançou esta semana uma atualização de orientação muito esperada, Publicação Especial 800-53 Revisão 5, descrevendo “controles de segurança e privacidade de próxima geração” e como usá-los.

É a primeira vez desde 2013 que o NIST atualiza o documento, que aborda os riscos de segurança cibernética enfrentados por agências do governo federal, bem como organizações do setor privado e oferece orientações sobre como mitigar riscos, proteger dados e impedir violações.

O NIST observou que “… A Força-Tarefa observa que a ameaça cibernética à infraestrutura crítica dos EUA está ultrapassando esforços para reduzir vulnerabilidades generalizadas, de modo que, na próxima década, pelo menos os Estados Unidos deve apoiar-se significativamente na dissuasão para enfrentar a ameaça cibernética representada pelos mais capazes Adversários dos EUA. É claro que uma abordagem mais proativa e sistemática para o cyber dos EUA
a dissuasão é necessária com urgência …

E complementa “Esta publicação fornece um catálogo de controles de segurança e privacidade para sistemas de informação e organizações para proteger as operações e ativos organizacionais, indivíduos, outras organizações e a nação de um conjunto diversificado de ameaças e riscos, incluindo ataques hostis, erros humanos, desastres naturais, estruturais falhas, entidades estrangeiras de inteligência e riscos à privacidade ”. 

A atualização fornece uma lista de controles de segurança e privacidade para o gerenciamento de sistemas de TI, com ênfase especial naqueles que processam ou armazenam informações de identificação pessoal.

Ron Ross, um membro do NIST e coautor do documento Special Publication 800-53 Revisão 5, disse ao Information Security Media Group que as diretrizes atualizadas são projetadas para permitir vários usuários – sejam eles engenheiros de sistema ou aqueles que buscam construir segurança e programas de privacidade para sua organização – para poder acessar um conjunto de controles comuns para atingir seus objetivos. 

Agora temos o único catálogo de controle do mundo que possui controles de segurança e privacidade no mesmo catálogo”, diz Ross. “E alguns desses controles – eu os chamo de controles de dupla finalidade – podem ser usados ​​por programas de segurança e privacidade.

Mudanças Críticas

O NIST fez várias mudanças críticas para ajudar organizações governamentais e privadas a adotar o que chama de “controles de segurança e privacidade de próxima geração

Segundo o ISMG, essas mudanças incluem novas diretrizes para fortalecer os controles existentes nos sistemas de TI e torná-los mais adaptáveis ​​às organizações que usam tecnologias e plataformas modernas, como computação em nuvem, dispositivos móveis e dispositivos IoT.

Ao adotar esses controles atualizados e aprimorados, as organizações podem se proteger de ameaças persistentes avançadas apresentadas por hackers, os riscos que vêm com a coleta e armazenamento de informações de identificação pessoal em redes de TI e as vulnerabilidades encontradas em software e hardware, diz o NIST.

Os controles podem ser implementados dentro de qualquer organização ou sistema que processe, armazene ou transmita informações”, afirma o documento. “Ela cumpre esse objetivo ao fornecer um catálogo abrangente e flexível de controles de segurança e privacidade para atender às necessidades de proteção atuais e futuras. A publicação também melhora a comunicação entre as organizações, fornecendo um léxico comum que apoia a discussão de conceitos de segurança, privacidade e gerenciamento de risco.

Agências Federais

As agências federais serão obrigadas a implementar as novas disposições e atualizações encontradas na orientação atualizada, de acordo com o NIST.

O documento atualizado foi criado para ajudar agências governamentais, bem como seus contratados terceirizados, a atender aos requisitos da Lei Federal de Gerenciamento de Segurança da Informação Americana. A lei exige que as agências governamentais dos EUA desenvolvam padrões de segurança para os sistemas de TI que usam.

Embora o NIST tenha sempre um foco no ambiente Americano, os controles recomendados por eles são referência mundiais e são adotados por muitas empresas e governos, sendo incluídos em avaliações de maturidade de segurança e proteção de dados. Assim, seguir as diretrizes é voluntário no setor privado, mas o NIST incentiva as empresas a adotarem as novas diretrizes, assim como muitas já adotaram a Estrutura de Segurança Cibernética do NIST.

Ross diz que o NIST está oferecendo conselhos práticos que qualquer organização pode usar para lidar com questões de segurança e privacidade.

Esses são alguns dos conjuntos de controles de segurança e privacidade mais amplos do mundo”, diz Ross. “A beleza do catálogo é que ele é flexível e adaptável a qualquer tipo de organização. … Você pode acessar o site e encontrar a lista de controles que sua organização precisa para cumprir uma lista de missões e obrigações. Esses controles podem ser aplicado a qualquer tipo de tecnologia – seja um dispositivo IoT ou usina de energia ou um sistema de controle industrial ou um supercomputador. Você pode aplicar os controles e ajudar a deter um agente de ameaça muito determinado.

Resumo

Em um resumo dos novos padrões de segurança e privacidade, Ross, Naomi Lefkovitz, consultora sênior de política de privacidade do Laboratório de Tecnologia da Informação do NIST, e Victoria Yan Pillitteri, cientista da computação supervisora ​​do NIST, escrevem que essas revisões ajudarão as agências federais a adotar práticas seguras que funcionam com tecnologias modernas.

Os controles oferecem uma abordagem proativa e sistemática para garantir que os sistemas, componentes e serviços críticos sejam suficientemente confiáveis ​​e tenham a resiliência necessária para defender os interesses econômicos e de segurança nacional dos Estados Unidos”, escrevem os três autores.

As alterações mais significativas no SP 800-53, Revisão 5 incluem:

  • Tornar os controles baseados em resultados: A revisão 5 realiza isso removendo a entidade responsável por satisfazer o controle (isto é, sistema de informação, organização) da declaração de controle – focando assim no resultado de proteção a ser alcançado pela aplicação do controle. Observe que, para continuidade histórica, o Apêndice C, Resumos de controle agora inclui uma coluna “implementado por [sistema / organização]”.
  • Consolidando o catálogo de controle: os controles de privacidade e segurança da informação agora estão integrados em um catálogo de controle consolidado e contínuo para sistemas e organizações. Os controles de privacidade no Apêndice J da Revisão 4 foram incorporados a uma nova família de privacidade e à família de gerenciamento de programas existente. Alguns dos controles de privacidade também foram incorporados aos controles de segurança atuais – permitindo que os controles atendam às comunidades de segurança e privacidade, além de obter uma implementação de controle mais eficiente.
  • Integrando o gerenciamento de risco da cadeia de abastecimento: A revisão 5 estabelece uma nova família de controle de Gerenciamento de Risco da Cadeia de Abastecimento (SCRM –  Supply Chain Risk Management) e integra aspectos de gerenciamento de risco da cadeia de abastecimento em todas as outras famílias de controle para ajudar a proteger os componentes do sistema, produtos e serviços que fazem parte de sistemas e infraestruturas críticas . Os controles de SCRM ajudam a garantir que os requisitos de segurança e privacidade, ameaças e outras preocupações sejam abordadas em todo o ciclo de vida de desenvolvimento do sistema e nas cadeias de abastecimento nacionais e internacionais.
  • Separando o processo de seleção de controle dos controles: Ter um catálogo de controle autônomo e consolidado permite que os controles sejam usados ​​por diferentes comunidades de interesse, incluindo engenheiros de sistemas, arquitetos de segurança, desenvolvedores de software, arquitetos corporativos, engenheiros de privacidade e segurança de sistemas e missão ou proprietários de negócios. Essas comunidades de interesse agora podem colaborar melhor em pontos de intersecção ou usar um processo individualizado conforme necessário para selecionar controles para gerenciar riscos consistentes com sua missão e necessidades de negócios, bem como políticas e procedimentos organizacionais internos.
  • Transferência de linhas de base de controle e orientação de adaptação para uma publicação separada: As linhas de base de controle foram movidas para o novo NIST SP 800-53B , Linhas de base de controle para sistemas de informação e organizações . As três linhas de base de segurança e uma linha de base de privacidade são aplicáveis ​​às agências federais e refletem os requisitos específicos da Lei de Modernização da Segurança da Informação Federal e da Circular A-130 do Escritório de Gestão e Orçamento (OMB) . Outras organizações podem optar por desenvolver suas próprias linhas de base personalizadas de acordo com sua missão ou necessidades de negócios e tolerância ao risco organizacional.
  • Melhorando as descrições das relações de conteúdo: A revisão 5 esclarece a relação entre requisitos e controles, bem como a relação entre controles de segurança e privacidade. Esses relacionamentos são importantes para entender se você está selecionando e implementando controles no nível corporativo ou como parte de um processo de engenharia de sistemas baseado em ciclo de vida.
  • Adicionando novos controles de última geração : Conforme as ameaças cibernéticas evoluem rapidamente, novas salvaguardas e contramedidas são necessárias para proteger os ativos críticos e de alto valor das organizações, incluindo a privacidade do indivíduo e informações de identificação pessoal. Os novos controles da Revisão 5 são baseados nas informações mais recentes sobre ameaças e dados de ataques cibernéticos (por exemplo, controles para oferecer suporte à resiliência cibernética, design de sistemas seguros, governança de segurança e privacidade e responsabilidade).

Segundo os autores materiais suplementares adicionais também estarão disponíveis imediatamente ou em um futuro próximo, incluindo:

  • Modelo de índice de colaboração de controle de segurança e privacidade.
  • Comparação das revisões 4 e 5 do SP 800-53.
  • Mapeamentos de controle para as estruturas de segurança cibernética e privacidade.
  • Controle os mapeamentos para os requisitos de privacidade do OMB Circular A-130.
  • Palavras-chave de controle.
  • Open Security Control Assessment Language (OSCAL) do SP 800-53, Revisão 5.
  • Planilha de controle do SP 800-53, Revisão 5.

Além do primeiro catálogo de controle de privacidade e segurança consolidado do mundo, o NIST tem uma variedade de estruturas disponíveis para ajudar a selecionar e implementar os controles. Isso inclui a Estrutura de gerenciamento de risco , a Estrutura de segurança cibernética e a Estrutura de privacidade . E para tornar todas as estruturas e controles de segurança e privacidade mais eficientes e econômicos o NIST está lançando uma nova iniciativa de automação para fornecer o conteúdo de seu catálogo de controle consolidado em diferentes formatos e entregar o conteúdo através de https://csrc.nist.gov .

Tempos emocionantes à frente – encorajamos você a dar uma olhada na atualização mais recente do SP 800-53, usar o conteúdo para criar ou melhorar sua segurança, privacidade e programas de gerenciamento de risco da cadeia de abastecimento e compartilhar seus comentários para nos ajudar a melhorar continuamente o controles e materiais complementares.

Baixe aqui o NIST.SP.800-53r5 – Security and Privacy Controls for Security Systems and Organizations

 

Fonte Information Security Media Group & NIST

 

Veja também:

Sobre mindsecblog 2385 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. O provedor de serviços VOIP expõe 350 milhões de registros de clientes - Minuto da Segurança da Informação
  2. Provedor de serviços VOIP expõe 350 milhões de registros de clientes
  3. Guardicore descobre vulnerabilidade permitindo hackear controle remoto de TV

Deixe sua opinião!