Artigo

NIST Risk Management Framework (Estrutura de Gerenciamento de Riscos, RMF)

Mitigação de riscosGovernança de identidadeConformidade
Tempo de leitura: 15 minutes
  1. O Risk Management Framework (RMF) do Instituto Nacional de Padrões e Tecnologia (NIST, National Institute of Standards and Technology) dos EUA é um conjunto de processos que todas as agências federais devem usar para identificar, implementar, avaliar, gerenciar e monitorar recursos e serviços de segurança cibernética.

Ele tem como objetivo encontrar, eliminar e atenuar riscos contínuos em sistemas novos e legados. Desenvolvido por uma força-tarefa conjunta de agências norte-americanas, tais como o NIST, a Comunidade de Inteligência (IC, Intelligence Community), o Departamento de Defesa (DOD, Department of Defense) e o Comitê de Sistemas de Segurança Nacional (CNSS, Committee on National Security Systems), o RMF do NIST substituiu o Processo de Certificação e Acreditação de Garantia da Informação (DIACAP, DoD Information Assurance Certification and Accreditation Process,) do Departamento de Defesa dos Estados Unidos.

O RMF do NIST estabelece um método baseado em risco voltado para implementações de segurança cibernética, que começa no início dos ciclos de vida do sistema, integrando a segurança, a privacidade e o gerenciamento de riscos da cadeia de fornecedores cibernética. Ele orienta a seleção e a especificação de controles com base em fatores de risco, priorizando a eficácia, a eficiência e as restrições impostas por leis, diretivas, decretos presidenciais, políticas, padrões e regulamentos aplicáveis.

Os 5 componentes do RMF do NIST

Cinco partes compõem o RMF do NIST: Identificação, Medição e avaliação, Mitigação, Comunicação e monitoramento, e Governança.

1. Identificação: O RMF do NIST começa com a identificação dos riscos em uma organização, como riscos jurídicos, de privacidade e estratégicos. Esse componente precisa ser realizado com regularidade, conforme mudam os cenários de risco.

2. Medição e avaliação: O componente de medição e avaliação orienta a elaboração de perfis de risco para os riscos identificados.

3. Mitigação: A mitigação de riscos envolve a análise dos riscos identificados a fim de determinar a gravidade deles. Em alguns casos, os riscos são aceitáveis e dispensam qualquer ação. Certos riscos precisam ser mitigados, enquanto outros podem precisar ser eliminados.

4. Comunicação e monitoramento: O RMF do NIST comporta processos de compartilhamento de informações sobre riscos e avaliações regulares dos riscos para a identificação de eventuais mudanças que justifiquem ações adicionais.

5. Governança: O componente de governança de riscos garante que elementos de gerenciamento de riscos tenham sido implementados e que políticas relacionadas a riscos sejam aplicadas.

Objetivos do Risk Management Framework do NIST

Os principais objetivos do RMF do NIST são:

  • Melhorar a segurança da informação.
  • Promover a reciprocidade entre agências federais.
  • Melhorar os processos de gerenciamento de riscos.

Para atingir esses objetivos, o framework de gerenciamento de riscos do NIST incentiva organizações a:

  • Seguir uma metodologia de gerenciamento de riscos capaz de identificar vulnerabilidades causadas por controles não conformes e as priorize com base em fatores de risco (por exemplo, probabilidade, ameaça e impacto).
  • Implementar uma estratégia em níveis de gestão de riscos, com foco nos níveis de processo de negócio, corporativo, de sistema de informações e de missão.
  • Incorporar a segurança cibernética de forma precoce e robusta no ciclo de vida de aquisição e desenvolvimento de sistemas.
  • Exigir monitoramento contínuo e correção oportuna de deficiências, vulnerabilidades e incidentes relacionados à segurança da informação.
  • Promover a reciprocidade de autorização a fim de permitir que organizações aceitem homologações de outras organizações na interconexão ou reutilização de sistemas de TI sem necessidade de novos testes.

7 etapas do RMF do NIST

A estrutura de gerenciamento de riscos do NIST é composta por sete etapas, são elas: Preparar, Categorizar, Selecionar, Implementar, Avaliar, Autorizar e Monitorar os Controles de Segurança.

1. Preparar: A organização se prepara para gerenciar seus riscos de segurança de dados e privacidade por meio de:

  • Avaliação dos riscos em toda a organização.
  • Definição das principais funções de gerenciamento de riscos.
  • Determinação da tolerância a riscos.
  • Desenvolvimento e implementação de uma estratégia organizacional de monitoramento contínuo.
  • Estabelecimento de uma estratégia formal de gerenciamento de riscos.
  • Identificação de controles comuns.

2. Categorizar: Os riscos a que estão expostos sistemas e informações processadas, armazenadas e transmitidas são categorizados com base em uma análise de impacto da perda de confidencialidade, integridade e disponibilidade (CIA, confidentiality, integrity, and availability). Essa categorização leva em conta níveis de impacto baixo, moderado ou alto. Durante a etapa de Categorização do RMF do NIST:

  • As características do sistema são documentadas.
  • A categorização de segurança do sistema e das informações é concluída.
  • As decisões quanto à categorização passam pelo responsável por sua revisão e aprovação.

3. Selecionar: Os controles de segurança necessários são identificados. A etapa de Seleção do RMF do NIST compreende:

  • A alocação de controles para componentes específicos do sistema.
  • A atribuição de controles como específicos do sistema, híbridos ou comuns.
  • A elaboração de uma estratégia de monitoramento contínuo em nível de sistema.
  • A garantia de que os planos de segurança e privacidade reflitam a seleção, a atribuição e a alocação de controles.
  • A seleção e a adaptação dos parâmetros de controle.

4. Implementar: Durante essa etapa, são implementados os controles nos planos de segurança e privacidade do sistema e da organização:

  • Os controles são implementados.
  • Todos os processos e procedimentos de implantação dos controles são documentados.
  • Os planos de segurança e privacidade são atualizados de modo a refletir a implementação dos controles.

5. Avaliar: Realiza-se uma avaliação a fim de determinar a correta implementação dos controles e se eles cumprem os requisitos de segurança e privacidade. Essa etapa compreende:

  • A atribuição de um avaliador e uma equipe de avaliação.
  • A elaboração de planos para a avaliação de segurança e privacidade.
  • A revisão e aprovação dos planos de avaliação.
  • A realização de avaliações de controle de acordo com os planos de avaliação.
  • A produção de relatórios de avaliação de segurança e privacidade.
  • A implementação de ações de reparação para corrigir eventuais deficiências nos controles.
  • A atualização dos planos de segurança e privacidade com as mudanças na implementação de controles com base em avaliações e ações de reparação.
  • O estabelecimento de um plano de ação e de marcos.

6. Autorizar: Assim que tudo estiver funcionando conforme o esperado, a aprovação executiva dos mecanismos de mitigação de riscos é fornecida. Durante a etapa de Autorização do RMF do NIST:

  • Pacotes de autorização, com resumo executivo, plano de segurança e privacidade do sistema, relatório(s) de avaliação, plano de ação e marcos, são produzidos.
  • A determinação de risco é fornecida.
  • As respostas aos riscos são fornecidas.
  • A autorização do sistema e dos controles é aprovada ou negada.

7. Monitorar controles de segurança: Uma estratégia de monitoramento contínuo é necessária para garantir o funcionamento dos controles de segurança. Compõem a esta etapa:

  • O monitoramento contínuo do sistema e do ambiente.
  • Avaliações contínuas da eficácia dos controles.
  • Análise dos resultados das atividades de monitoramento contínuo e as respostas que lhes serão dadas.
  • Relatórios sobre a postura de segurança e privacidade dos gestores.
  • Autorizações contínuas.

Funções e responsabilidades do RMF

A título de sugestão, o Risk Management Framework do NIST fornece uma lista de funções e responsabilidades para os principais participantes de um programa de gerenciamento de riscos. Não é obrigatório que se atribua um cargo a uma pessoa, apenas que as funções sejam executadas e deve-se tomar cuidado para que os indivíduos ou grupos designados a uma função não gerem conflito de interesses.

São funções do RMF do NIST listadas pelo NIST e pelo Laboratório de Tecnologia da Informação (ITL, Information Technology Laboratory) em seu NIST RMF Quick Start Guide (Guia Prático da RMF do NIST):

  • Responsável pela autorização ou representante designado do responsável pela autorização
  • Diretor de aquisição
  • Diretor de informação
  • Provedor de controle comum
  • Avaliador de controle
  • Arquiteto corporativo
  • Chefe de agência
  • Proprietário ou administrador da informação (ou proprietário do sistema)
  • Proprietário da missão ou do negócio
  • Executivo de risco ou alto funcionário de gerenciamento de risco
  • Arquiteto de segurança ou privacidade
  • Alto executivo de segurança da informação da agência
  • Funcionário sênior da agência para privacidade
  • Administrador do sistema
  • Proprietário do sistema
  • Engenheiro de segurança ou de privacidade do sistema
  • Executivo de segurança ou de privacidade do sistema
  • Usuário

Práticas recomendados do RMF do NIST

  • Automação e monitoramento contínuo: Utilizar a tecnologia para automatizar e agilizar as tarefas do RMF do NIST. Isso é especialmente importante para o monitoramento contínuo de ameaças e vulnerabilidades.
  • Categorização e priorização de riscos: Os riscos devem ser categorizados com base na chance de ocorrerem, no impacto em potencial e na tolerância ao risco de uma organização. Com base nessas medições, é possível categorizar e priorizar os riscos com base no modo como eles serão tratados: aceitar, recusar, transferir ou mitigar.
  • Métricas e comunicação: Estabeleça métricas claras para acompanhar o progresso, demonstrar o valor da RMF do NIST e identificar as áreas que precisam de melhoria e atualizações, tendo em vista a resolução de problemas e a otimização dos sistemas. 
  • Comprometimento e adesão: Para organizações não obrigadas a adotar a RMF do NIST, é fundamental que executivos e outros stakeholders entendam a importância que ela tem e o valor que ela adiciona. Da mesma forma, é fundamental que a equipe de implementação e as pessoas afetadas pela RMF do NIST entendam as vantagens e as funções que lhes competem na implantação e na manutenção.
  • Avaliações regulares de risco: As avaliações de risco devem ser programadas de modo a garantir a realização delas com regularidade. Avaliações de risco não programadas deverão ser realizadas se um sistema apresentar grandes alterações.

Recursos da Estrutura de Gerenciamento de Risco do NIST

Publicação especial do NIST 800-37, Revisão 2: (também conhecida como RMF do NIST) Estrutura de gerenciamento de riscos para sistemas de informação e organizações: uma abordagem de ciclo de vida do sistema para segurança e privacidade (em inglês) O NIST SP 800-37, a RMF do NIST, fornece instruções para o monitoramento de controles de segurança em todo o ciclo de vida de desenvolvimento de sistemas

Publicação Especial NIST 800-53, Revisão 5 Controles de Segurança e Privacidade para Sistemas de Informação e Organizações: A SP 800-53 do NIST orienta equipes quanto à seleção e implementação de controles de segurança para a mitigação de riscos.

Perguntas frequentes sobre a Estrutura de Gerenciamento de Riscos (RMF) do NIST Publicação Geral e Especial (SP) 800-53 do NIST

Guia Rápido da Estrutura de Gerenciamento de Riscos (RMF): O crosswalk de funções e responsabilidades baseia-se nas principais etapas e responsabilidades detalhadas na RMF do NIST.

Guia Rápido da RMF do NIST sobre a Etapa de Preparação

Guia Rápido da RMF do NIST sobre a Etapa de Categorização

Guia Rápido da RMF do NIST sobre a Etapa de Categorização a Etapa de Seleção

Guia Rápido da RMF do NIST sobre a Etapa de Implementação

Guia Rápido da RMF do NIST sobre a Etapa de Avaliação

Guia Rápido da RMF do NIST sobre a Etapa de Autorização

Guia Rápido da RMF do NIST sobre a Etapa de Monitoramento

RMF do NIST para o setor privado

Embora tenha sido criada para uso por órgãos federais, a RMF do NIST também pode ser utilizada por organizações do setor privado. Ela auxilia organizações de todos os tipos e tamanhos a reduzir os riscos de segurança cibernética e a melhor proteger seus recursos de TI.

Perguntas frequentes sobre a RMF do NIST

O que é a Estrutura de Gerenciamento de Riscos (RMF) do NIST?

Em 2010, o Instituto Nacional de Padrões e Tecnologia (NIST), em conjunto com o Departamento de Defesa (DoD) dos EUA, lançou o Risk Management Frameqork (RMF). Trata-se de um amplo conjunto de diretrizes, incluindo mais de 1.000 controles de segurança, que oferecem uma metodologia baseada em risco para o gerenciamento da segurança e da privacidade da informação. Todo órgão federal obriga-se a cumprir os processos descritos no RMF. Ela também auxilia na implementação de programas de gerenciamento de riscos que atendem aos requisitos da Lei Federal de Modernização da Segurança da Informação (FISMA, Federal Information Security Modernization Act).

Embora tenha sido desenvolvida para sistemas e informações do governo federal, a RMF do NIST foi adotada como padrão geral por organizações não governamentais em todo o mundo. Parte da atratividade da RMF do NIST é que ela não é um conjunto fixo de regras. É um conjunto altamente flexível de diretrizes que pode ser adaptado ao atendimento das necessidades de qualquer organização. A metodologia adotada com a RMF do NIST desloca o gerenciamento da segurança, da privacidade e dos riscos para o início do ciclo de vida de desenvolvimento do sistema de informação. Também é aplicada à gestão da cadeia de fornecedores. Isso garante a integração da segurança a todos os componentes e processos relacionados aos sistemas de informação. Esse deslocamento também ajuda as equipes de segurança a otimizar a segurança e a privacidade em nível organizacional.

Qual é a diferença entre o NIST 800-37 e o 800-53?

Esses dois padrões são usados em conjunto para atender aos requisitos federais.

  • O NIST 800-53, “Guide for Assessing Security Controls in Federal Information Systems and Organizations”, detalha os controles obrigatórios de segurança e privacidade direcionados a organizações federais e seus sistemas de informação. específica controles de segurança para a mitigação e prevenção de ameaças e vulnerabilidades. Inclui 18 categorias de controles, que vão desde o controle de acesso e gerenciamento de configuração à resposta a incidentes e proteção de mídia.
  • O NIST 800-37, “Guide for Applying the Risk Management Framework to Federal Information Systems”, detalha a metodologia do NIST para identificação, avaliação e priorização de riscos aos sistemas de informação. Ele concentra-se no processo de gerenciamento de riscos, com etapas explícitas para a detecção e categorização do impacto de ameaças e vulnerabilidades.

As organizações escolhem que controles implementar com base em fatores como dimensão, missão e o nível de confidencialidade das informações que manipulam.

Quais são as 6 fases do NIST?

Categorização do sistema: Antes de iniciar o desenvolvimento e a configuração de um novo sistema, as informações que ele precisará processar, armazenar e compartilhar, bem como os sistemas de suporte subjacentes, precisam ser classificadas com base em uma análise do impacto de risco. Para agências governamentais, isso é feito de acordo com as instruções detalhadas no Federal Information Processing Standards (FIPS) 199 (FIPS-199) e na Publicação Especial 800-60 do NIST (NIST SP 800-60). Essa etapa deve ser usada para qualquer sistema de informação federal, seja ele hospedado internamente, externamente ou na nuvem.

Seleção de controles de segurança: Com base nas categorizações estabelecidas na primeira etapa, é preciso selecionar ou atualizar um conjunto de controles básicos dependendo da avaliação de risco atual. Os controles de segurança necessários incluem técnicos, operacionais e gerenciais. O FIPS-200 e o NIST SP 800-53 fornecem orientações sobre como selecionar controles de segurança. Há três tipos de controles a serem considerados: controles comuns, híbridos e específicos do sistema. Controles comuns são aqueles totalmente herdados por um sistema de um sistema ou ambiente de nível superior, como um serviço de toda a organização (por exemplo, e-mail) ou uma rede. Controles híbridos vêm de um provedor de controle comum, mas o proprietário do sistema tem alguma responsabilidade pela implementação e gerenciamento. Controles específicos do sistema são de inteira responsabilidade do sistema ou do proprietário do sistema implementar, operar, gerenciar e monitorar.

Implementação de controles de segurança: Se forem usados, os controles híbridos ou específicos do sistema precisarão ser implementados e integrados aos sistemas existentes. Durante esta fase, é importante documentar como eles são implementados e integrados, bem como seus efeitos no ambiente operacional.

Realização da avaliação de segurança: Os controles de segurança e privacidade para o gerenciamento de riscos devem ser avaliados para confirmar se os elementos necessários estão implementados e funcionando corretamente. Para sistemas classificados como de baixo impacto (ou seja, se a perda tiver um impacto adverso reduzido), a autoavaliação e a comunicação são permitidas. Para sistemas classificados como de impacto moderado (ou seja, se a perda tiver um impacto adverso grave) ou de alto impacto (ou seja, se a perda tiver um impacto catastrófico), é necessária a avaliação por terceiros. Os avaliadores devem estar familiarizados com a RMF do NIST e com os controles do catálogo de controles do NIST SP 800-53.

Autorização do sistema: Após a conclusão das avaliações com resultados favoráveis, o relatório é enviado ao responsável pela autorização para sua aprovação. Após a aprovação, o sistema pode ser conectado à rede e iniciar as operações.

Condução de monitoramento e reautorização contínuos: O monitoramento contínuo abrange a supervisão e a correção dos controles de segurança após a autorização de implantação de um sistema. As funções automatizadas e manuais contidas nesta fase incluem detecção e prevenção de intrusão (IDS/IPS), gerenciamento de vulnerabilidades, gerenciamento de patches e coleta e análise de logs de eventos de aplicativos e sistemas. Dependendo do nível de impacto dos sistemas, avaliações e reautorizações são necessárias com frequências variadas, de anual a trienal. O NIST SP 800-53 dá orientações sobre o monitoramento de sistemas de informação.

Card Block

O que é a identidade como serviço (IDaaS)?

Entenda o que é IDaaS (Identity as a Service), como funciona o gerenciamento de identidade na nuvem e por que ele é essencial para proteger dados e agilizar acessos com segurança.

thumbnail

O que é provisionamento SCIM?

Descubra como implementar o provisionamento SCIM em sua solução de gerenciamento de identidade e acesso pode beneficiar muito sua organização.

thumbnail

Práticas recomendadas para o gerenciamento de senhas corporativas

Veja por que o gerenciamento de senhas é uma das soluções de segurança mais fáceis de implementar e como ele praticamente elimina um vetor de ataque altamente explorado.

Introdução

Veja o que o SailPoint Identity Security pode fazer pela sua organização

Descubra como nossas soluções permitem que as empresas modernas da atualidade enfrentem o desafio de garantir acesso seguro aos recursos sem comprometer a produtividade ou a inovação.

Solicitar uma demonstraçãoContato