Audit41Readiness
NIST SP 800-53 Rev. 5

Prontidão para conformidade com o NIST SP 800-53

O framework de controles de referência para segurança da informação — usado por empresas de tecnologia, instituições financeiras e organizações que operam no mercado americano ou fornecem para ele.

🇧🇷 Instituições financeiras e infraestrutura crítica brasileiras🌐 Fornecedores para o mercado americano
Começar →

O framework

O que é o NIST SP 800-53?

O NIST SP 800-53 é publicado pelo National Institute of Standards and Technology (NIST), uma agência federal dos EUA dentro do Departamento de Comércio. O framework fornece um catálogo de controles de segurança e privacidade para sistemas de informação e organizações, principalmente sistemas federais dos EUA, mas cada vez mais adotado globalmente.

A Revisão 5, publicada em setembro de 2020, trouxe uma mudança significativa: separou o catálogo de controles dos procedimentos de avaliação, tornou o framework aplicável a qualquer organização (não apenas agências federais) e acrescentou uma família de controles de privacidade dedicada. A Revisão 5 introduziu controles ‘baseados em resultado’, que focam no que deve ser alcançado em vez de métodos prescritivos.

Para fornecedores do governo federal dos EUA, a conformidade com o NIST SP 800-53 é um pré-requisito para operar na cadeia de suprimentos federal, sustentando FedRAMP, FISMA, CMMC e outros programas de conformidade federais. Internacionalmente, é cada vez mais adotado como framework de segurança de referência fora dos EUA, inclusive por instituições financeiras e operadores de infraestrutura crítica.

Publicado por

NIST (National Institute of Standards and Technology)

Departamento de Comércio dos EUA

Revisão atual

Rev. 5 (setembro de 2020)

Rascunho público inicial da Rev. 5.1 lançado em 2023

Principais adotantes

Agências e fornecedores federais dos EUA e fornecedores de tecnologia globais

Cada vez mais adotado como framework de referência mundialmente

Famílias de controles

20 famílias de controles

Cerca de 1.000 controles individuais entre os níveis de baseline

20 famílias de controles. Três níveis de baseline.

O NIST SP 800-53 organiza os controles em 20 famílias. Cada sistema recebe um baseline (Low, Moderate ou High) que determina quais controles se aplicam.

ACControle de AcessoATConscientização e TreinamentoAUAuditoria e ResponsabilizaçãoCAAvaliação, Autorização e MonitoramentoCMGestão de ConfiguraçãoCPPlanejamento de ContingênciaIAIdentificação e AutenticaçãoIRResposta a IncidentesMAManutençãoMPProteção de MídiaPEProteção Física e AmbientalPLPlanejamentoPMGestão de ProgramaPSSegurança de PessoalPTTratamento de PII e TransparênciaRAAvaliação de RiscoSAAquisição de Sistemas e ServiçosSCProteção de Sistemas e ComunicaçõesSIIntegridade de Sistemas e InformaçõesSRGestão de Risco da Cadeia de Suprimentos

Low baseline

Controles mínimos exigidos. Para sistemas em que a perda de confidencialidade, integridade ou disponibilidade teria efeito adverso limitado.

Moderate baseline

A maioria dos sistemas federais. Para sistemas em que o comprometimento teria efeito adverso sério sobre operações, ativos ou indivíduos.

High baseline

Sistemas críticos. Para sistemas em que o comprometimento teria efeito adverso severo ou catastrófico, inclusive segurança nacional.

Por que isso importa

Por que o NIST SP 800-53 importa.

Obrigatório para fornecedores do governo federal dos EUA

Exigido de fornecedores de tecnologia, empresas de SaaS e prestadores de serviços na cadeia de suprimentos do governo federal dos EUA (FedRAMP, FISMA, CMMC).

Adotado por empresas de tecnologia e operadores de infraestrutura crítica que buscam alinhamento com o mercado americano

Cada vez mais usado como framework de controles voluntário por organizações brasileiras com clientes ou parceiros nos EUA.

Mapeia diretamente para os controles da ISO 27001

Execute as duas avaliações juntas para cobertura completa de requisitos internacionais e regulatórios dos EUA.

Alinha-se à estratégia nacional de cibersegurança do Brasil

A E-Ciber referencia o NIST Cybersecurity Framework como modelo orientador para organizações brasileiras.

Dica de eficiência

Também se preparando para a ISO 27001? Avalie os dois frameworks em uma só plataforma.

Os controles do NIST SP 800-53 e da ISO 27001 mapeiam diretamente entre si. Se sua organização precisa de ambos, avaliá-los juntos é significativamente mais eficiente do que conduzir dois programas separados.

O plano Programme do Audit41 Readiness (até 3 projetos) permite executar avaliações de NIST SP 800-53 e ISO 27001 em uma única assinatura, para que você atenda aos dois frameworks sem gerenciar dois contratos separados.

Conhecer a ISO 27001 →Ver plano Programme →

Como o Audit41 ajuda

Da seleção de baseline a evidências prontas para auditoria.

Avaliação de gaps

Cada família de controles, cada baseline aplicável

O Audit41 Readiness mapeia seus controles em relação ao NIST SP 800-53 Rev. 5 em todas as 20 famílias de controles. Você seleciona seu nível de baseline (Low, Moderate ou High) e a avaliação aplica o conjunto de controles correto automaticamente.

Roteiro de remediação

Priorizado por risco e exigência de baseline

Os gaps são classificados pela severidade da exigência de controle e pelo seu perfil de risco operacional. O roteiro indica quais controles implementar primeiro para atingir o baseline desejado.

Estrutura de evidências

Estruturado para auditorias FedRAMP, FISMA e de certificação

Os relatórios de constatações são formatados para atender às expectativas de evidência de processos de auditoria exigentes, incluindo frameworks federais dos EUA como FedRAMP e FISMA.

Comece sua avaliação de gaps do NIST SP 800-53.

Conte-nos sobre sua organização e enviaremos tudo o que você precisa para começar, incluindo uma recomendação de plano personalizada.

Não sabe por onde começar? Faça primeiro a autoavaliação gratuita. Iniciar autoavaliação gratuita →