NIST

O NIST (National Institute of Standarts and Technology), anteriormente conhecido como The National Bureau of Standarts, é uma agência governamental não regulatória de administração de tecnologia do Departamento de Comércio dos Estados Unidos. O papel do instituto é promover a inovação e a competitividade industrial, promovendo os padrões de tecnologia para ampliarem a segurança econômica.

É responsável pela publicação do NIST Cybersecurity Framework, conjunto de boas práticas que fornece uma estrutura de políticas de orientação sobre segurança cibernética, sobre como as organizações, dos setores público e privado, podem avaliar e melhorar a sua capacidade de prevenir, detectar e responder a ataques cibernéticos.

Funções e categorias de implementação no NIST Cybersecurity Framework

O NIST Cybersecurity Framework organiza seu material em cinco funções, que são divididas em um total de 23 categorias. Para cada categoria, ele define uma séria de subcategorias de resultados de segurança cibernética e controles de segurança, com 108 subcategorias ao todo. Abaixo uma breve descrição de cada função.

Identificar

Desenvolva a compreensão organizacional para gerenciar os riscos de segurança cibernética para sistemas, ativos, dados e recursos.

Dentro desta função, o NIST inclui as seguintes categorias de controle:

• Gestão de Ativos;
• Ambiente de Negócios;
• Governança;
• Avaliação de Riscos;
• Estratégia de Gestão de Riscos;
• Gerenciamento de Riscos da Cadeia de Suprimentos.

Proteger

Desenvolver e implementar as salvaguardas apropriadas para garantir a entrega de serviços de infraestrutura crítica.

Dentro desta função, o NIST inclui as seguintes categorias de controle:

• Controle de Acesso;
• Conscientização e Treinamento;
• Segurança de Dados;
• Processos e Procedimentos de Proteção de Informações;
• Manutenção;
• Tecnologia de Proteção.

Detectar

Desenvolver e implementar as atividades adequadas para identificar a ocorrência de um evento de segurança cibernética.

Dentro desta função, o NIST inclui as seguintes categorias de controle:

• Anomalias e Eventos;
• Monitoramento Contínuo de Ameaças;
• Processos de Detecção.

Responder

Desenvolver e implementar as atividades adequadas para agir em relação a um evento de segurança cibernética detectado.

Dentro desta função, o NIST inclui as seguintes categorias de controle:

• Planejamento de Resposta;
• Comunicações;
• Análise;
• Mitigação;
• Melhorias.

Recuperar

Desenvolver e implementar as atividades apropriadas para manter planos de resiliência e restaurar quaisquer capacidades ou serviços que foram prejudicados devido a um evento de segurança cibernética.

Dentro desta função, o NIST inclui as seguintes categorias de controle:

• Planejamento de Recuperação;
• Melhorias;
• Comunicações.

O NIST interage diretamente com outros frameworks, como o CIS Controls e a ISO 27001.

Fontes

• Site NIST;
• Site SegInfo.