Introdução ao NIST CSF 2.0
O NIST Cybersecurity Framework (CSF) é um framework voluntário desenvolvido pelo National Institute of Standards and Technology dos Estados Unidos para ajudar organizações a gerenciar e reduzir riscos de cibersegurança.
Lançamento da Versão 2.0
Em fevereiro de 2024, o NIST lançou a versão 2.0 do framework, incorporando 10 anos de feedback da comunidade e expandindo seu escopo para incluir governança como uma função central.
Características Principais
Flexível e Adaptável
Aplicável a organizações de qualquer setor, tamanho ou nível de maturidade em cibersegurança
Linguagem Comum
Fornece vocabulário comum para comunicação sobre riscos de cibersegurança
Baseado em Resultados
Foca em resultados desejados de cibersegurança, não em métodos específicos
Complementar
Integra-se com padrões, diretrizes e práticas existentes de cibersegurança
Principais Novidades da Versão 2.0
Nova Função: GOVERN (Governar)
Adição da função Governar como sexta função central, enfatizando a importância da governança de cibersegurança e alinhamento com objetivos organizacionais.
Escopo Expandido
Ampliação para incluir considerações sobre cadeia de suprimentos, terceirização e ecossistemas de cibersegurança mais amplos.
Foco em Pessoas
Maior ênfase no papel das pessoas na cibersegurança, incluindo cultura organizacional e conscientização.
Privacidade Integrada
Melhor integração de considerações de privacidade em todas as funções do framework.
Implementação Aprimorada
Orientações mais claras sobre como implementar o framework em diferentes contextos organizacionais.
As 6 Funções do NIST CSF 2.0
O framework é organizado em seis funções principais que representam atividades de alto nível de cibersegurança:
Estabelece e monitora a estratégia, expectativas e política de cibersegurança da organização.
Categorias:
- GV.OC: Contexto Organizacional
- GV.RM: Estratégia de Gestão de Riscos
- GV.RR: Papéis, Responsabilidades e Autoridades
- GV.PO: Política
- GV.OV: Supervisão
- GV.SC: Gestão da Cadeia de Suprimentos de Cibersegurança
Desenvolve compreensão organizacional para gerenciar riscos de cibersegurança para sistemas, pessoas, ativos, dados e capacidades.
Categorias:
- ID.AM: Gestão de Ativos
- ID.BE: Ambiente de Negócios
- ID.GV: Governança
- ID.RA: Avaliação de Riscos
- ID.RM: Estratégia de Gestão de Riscos
- ID.SC: Gestão da Cadeia de Suprimentos
Desenvolve e implementa salvaguardas apropriadas para garantir a entrega de serviços críticos.
Categorias:
- PR.AA: Gestão de Identidade e Controle de Acesso
- PR.AT: Conscientização e Treinamento
- PR.DS: Segurança de Dados
- PR.IP: Processos e Procedimentos de Proteção da Informação
- PR.MA: Manutenção
- PR.PT: Tecnologia de Proteção
Desenvolve e implementa atividades apropriadas para identificar a ocorrência de um evento de cibersegurança.
Categorias:
- DE.AE: Anomalias e Eventos
- DE.CM: Monitoramento Contínuo de Segurança
- DE.DP: Processos de Detecção
Desenvolve e implementa atividades apropriadas para tomar ação em relação a um incidente de cibersegurança detectado.
Categorias:
- RS.RP: Planejamento de Resposta
- RS.CO: Comunicações
- RS.AN: Análise
- RS.MI: Mitigação
- RS.IM: Melhorias
Desenvolve e implementa atividades apropriadas para manter planos de resiliência e restaurar capacidades ou serviços que foram prejudicados.
Categorias:
- RC.RP: Planejamento de Recuperação
- RC.IM: Melhorias
- RC.CO: Comunicações
Subcategorias Detalhadas do NIST CSF 2.0
O NIST CSF 2.0 possui 108 subcategorias distribuídas entre as 6 funções principais. Cada subcategoria representa um resultado específico de cibersegurança que as organizações devem alcançar.
GV.OC: Contexto Organizacional
GV.OC-01: O contexto organizacional (missão, stakeholders, dependências, criticidade) é compreendido
GV.OC-02: Requisitos legais, regulamentares e contratuais são compreendidos e gerenciados
GV.OC-03: Criticidade de funções, serviços e sistemas de negócio é estabelecida
GV.OC-04: Dependências e funções críticas para entrega de serviços são estabelecidas
GV.OC-05: Requisitos de resiliência organizacional são estabelecidos
GV.RM: Estratégia de Gestão de Riscos
GV.RM-01: Estratégia de gestão de riscos é estabelecida e comunicada
GV.RM-02: Apetite e tolerância a riscos são estabelecidos, comunicados e monitorados
GV.RM-03: Determinações sobre riscos são informadas por inteligência de ameaças
GV.RM-04: Impactos potenciais de eventos de cibersegurança são considerados na determinação de apetite e tolerância a riscos
GV.RM-05: Critérios de escalação de riscos de cibersegurança são estabelecidos
GV.RM-06: Uma estrutura comum e compreensível para expressar riscos é usada
GV.RM-07: Decisões estratégicas de investimento em cibersegurança são informadas por riscos
GV.RR: Papéis, Responsabilidades e Autoridades
GV.RR-01: Papéis, responsabilidades e autoridades de cibersegurança organizacional são estabelecidos, comunicados, compreendidos e aplicados
GV.RR-02: Papéis, responsabilidades e autoridades para gerenciar riscos de cibersegurança são estabelecidos, comunicados, compreendidos e aplicados
GV.RR-03: Responsabilidades adequadas são mantidas para proteção de indivíduos e grupos em risco
GV.RR-04: Responsabilidades de cibersegurança são integradas em descrições de cargos, avaliações de desempenho e outras atividades de recursos humanos
GV.PO: Política
GV.PO-01: Política organizacional de cibersegurança é estabelecida e comunicada
GV.PO-02: Política organizacional de cibersegurança é revisada e atualizada
GV.OV: Supervisão
GV.OV-01: Estratégia de cibersegurança é revisada e ajustada para refletir mudanças no ambiente de risco
GV.OV-02: Estratégia de cibersegurança é revisada e ajustada para refletir mudanças no ambiente de negócio
GV.OV-03: Resultados de cibersegurança são revisados para informar e ajustar estratégia e políticas
GV.SC: Gestão da Cadeia de Suprimentos de Cibersegurança
GV.SC-01: Uma estratégia de gestão de riscos da cadeia de suprimentos de cibersegurança é estabelecida
GV.SC-02: Fornecedores e parceiros de terceiros são rotineiramente avaliados usando auditorias, avaliações de teste ou outras formas de avaliação
GV.SC-03: Contratos com fornecedores e parceiros de terceiros são usados para implementar medidas apropriadas projetadas para atender aos objetivos de uma estratégia de gestão de riscos da cadeia de suprimentos de cibersegurança
GV.SC-04: Planejamento e testes com fornecedores e parceiros de terceiros são usados para avaliar lacunas na gestão de riscos da cadeia de suprimentos de cibersegurança
GV.SC-05: Resposta e planos de recuperação são desenvolvidos e implementados em coordenação com fornecedores e parceiros de terceiros
ID.AM: Gestão de Ativos
ID.AM-01: Inventários de ativos físicos são mantidos
ID.AM-02: Inventários de ativos de software são mantidos
ID.AM-03: Fluxos de comunicação organizacional e dados são mapeados
ID.AM-04: Serviços externos são catalogados
ID.AM-05: Recursos são priorizados baseados em sua classificação, criticidade e valor de negócio
ID.AM-06: Papéis e responsabilidades de cibersegurança para todo o pessoal e parceiros de terceiros são estabelecidos
ID.AM-07: Inventário de hardware, software, serviços e sistemas é usado para informar decisões de gestão de riscos
ID.AM-08: Sistemas, hardware, software, serviços e aplicações são gerenciados consistentemente com a estratégia de gestão de riscos da organização
ID.BE: Ambiente de Negócios
ID.BE-01: Papel da organização na cadeia de suprimentos é identificado e comunicado
ID.BE-02: Lugar da organização em infraestrutura crítica e seu setor industrial é identificado e comunicado
ID.BE-03: Prioridades para missão, objetivos e atividades organizacionais são estabelecidas e comunicadas
ID.BE-04: Dependências e funções críticas para entrega de serviços críticos são estabelecidas
ID.BE-05: Requisitos de resiliência para apoiar entrega de serviços críticos são estabelecidos
ID.GV: Governança
ID.GV-01: Política organizacional de cibersegurança é estabelecida e comunicada
ID.GV-02: Papéis e responsabilidades de cibersegurança são coordenados e alinhados com papéis internos e parceiros externos
ID.GV-03: Requisitos legais e regulamentares relacionados à cibersegurança, incluindo obrigações de privacidade e liberdades civis, são compreendidos e gerenciados
ID.GV-04: Processos de governança e gestão de riscos abordam riscos de cibersegurança
ID.RA: Avaliação de Riscos
ID.RA-01: Vulnerabilidades de ativos são identificadas e documentadas
ID.RA-02: Inteligência de ameaças cibernéticas é recebida de fóruns e fontes de compartilhamento de informações
ID.RA-03: Ameaças, tanto internas quanto externas, são identificadas e documentadas
ID.RA-04: Impactos potenciais de negócio e probabilidades são identificados
ID.RA-05: Ameaças, vulnerabilidades, probabilidades e impactos são usados para determinar riscos
ID.RA-06: Respostas a riscos são identificadas e priorizadas
ID.RM: Estratégia de Gestão de Riscos
ID.RM-01: Processos de gestão de riscos são estabelecidos, gerenciados e acordados pelos stakeholders organizacionais
ID.RM-02: Tolerância a riscos organizacionais é determinada e expressa claramente
ID.RM-03: Determinação de tolerância a riscos da organização é informada pelo seu papel na infraestrutura crítica e análise específica de setor de riscos
ID.SC: Gestão da Cadeia de Suprimentos
ID.SC-01: Riscos de cibersegurança da cadeia de suprimentos são identificados, estabelecidos, avaliados, gerenciados e acordados pelos stakeholders organizacionais
ID.SC-02: Fornecedores e parceiros de terceiros de sistemas de informação, componentes e serviços de sistemas de informação são identificados, priorizados e avaliados usando um processo de avaliação de riscos de cibersegurança
ID.SC-03: Contratos com fornecedores e parceiros de terceiros são usados para implementar medidas apropriadas projetadas para atender aos objetivos de uma estratégia de gestão de riscos da cadeia de suprimentos de cibersegurança
ID.SC-04: Fornecedores e parceiros de terceiros são rotineiramente avaliados usando auditorias, avaliações de teste ou outras formas de avaliação
ID.SC-05: Planos de resposta e recuperação são desenvolvidos e implementados em coordenação com fornecedores e parceiros de terceiros
PR.AA: Gestão de Identidade e Controle de Acesso
PR.AA-01: Identidades e credenciais são emitidas, gerenciadas, verificadas, revogadas e auditadas para dispositivos, usuários e processos autorizados
PR.AA-02: Identidades são provadas e correlacionadas antes do acesso a sistemas e ativos
PR.AA-03: Usuários, dispositivos e outros ativos são autenticados (por exemplo, fator único, multifator) proporcionalmente ao risco da transação
PR.AA-04: Sessões de identidade e credenciais são gerenciadas baseadas em políticas organizacionais
PR.AA-05: Acesso físico a ativos é gerenciado e protegido
PR.AA-06: Identidades são provadas e correlacionadas antes do acesso a ativos físicos
PR.AT: Conscientização e Treinamento
PR.AT-01: Todo o pessoal é informado e treinado
PR.AT-02: Usuários privilegiados compreendem papéis e responsabilidades
PR.AT-03: Parceiros de terceiros (fornecedores, clientes, parceiros) compreendem papéis e responsabilidades
PR.AT-04: Executivos seniores compreendem papéis e responsabilidades
PR.AT-05: Segurança física e pessoal compreendem papéis e responsabilidades
PR.DS: Segurança de Dados
PR.DS-01: Dados em repouso são protegidos
PR.DS-02: Dados em trânsito são protegidos
PR.DS-03: Sistemas/ativos são formalmente gerenciados durante remoção, transferências e disposição
PR.DS-04: Capacidade adequada para garantir disponibilidade é mantida
PR.DS-05: Proteções contra vazamentos de dados são implementadas
PR.DS-06: Mecanismos de verificação de integridade são usados para verificar integridade de software, firmware e informações
PR.DS-07: Ambiente de desenvolvimento e teste são separados do ambiente de produção
PR.DS-08: Mecanismos de verificação de integridade são usados para verificar integridade de hardware
PR.IP: Processos e Procedimentos de Proteção da Informação
PR.IP-01: Uma configuração baseline de sistemas de informação/tecnologia industrial é criada e mantida incorporando princípios de segurança
PR.IP-02: Um ciclo de vida de desenvolvimento de sistemas de segurança para gerenciar sistemas, informações e serviços é implementado
PR.IP-03: Políticas e procedimentos de configuração de mudanças são implementados
PR.IP-04: Backups de informações são conduzidos, mantidos e testados
PR.IP-05: Política e regulamentações relacionadas ao ambiente físico operacional para ativos organizacionais são atendidas
PR.IP-06: Dados são destruídos de acordo com política
PR.IP-07: Processos de proteção são aprimorados
PR.IP-08: Eficácia de tecnologias de proteção é compartilhada
PR.IP-09: Planos de resposta (Resposta a Incidentes e Continuidade de Negócios) e planos de recuperação (Recuperação de Incidentes e Recuperação de Desastres) são implementados e gerenciados
PR.IP-10: Planos de resposta e recuperação são testados
PR.IP-11: Políticas e procedimentos de cibersegurança são estabelecidos e gerenciados
PR.IP-12: Um programa de gestão de vulnerabilidades é implementado
PR.MA: Manutenção
PR.MA-01: Manutenção e reparo de ativos organizacionais são realizados e registrados, com ferramentas aprovadas e controladas
PR.MA-02: Manutenção remota de ativos organizacionais é aprovada, registrada e realizada de maneira que previne acesso não autorizado
PR.PT: Tecnologia de Proteção
PR.PT-01: Auditorias/logs são determinados, documentados, implementados e revisados de acordo com política
PR.PT-02: Mídia removível é protegida e seu uso restrito de acordo com política
PR.PT-03: Princípio de funcionalidade mínima é incorporado configurando sistemas para fornecer apenas capacidades essenciais
PR.PT-04: Redes de comunicação e controle são protegidas
PR.PT-05: Mecanismos (por exemplo, failsafe, balanceamento de carga, hot swap) são implementados para alcançar requisitos de resiliência em situações normais e adversas
DE.AE: Anomalias e Eventos
DE.AE-01: Uma baseline de atividade de rede e comportamento esperado de dados para usuários e sistemas é estabelecida e gerenciada
DE.AE-02: Eventos detectados são analisados para compreender alvos de ataque e métodos
DE.AE-03: Dados de eventos são coletados e correlacionados de múltiplas fontes e sensores
DE.AE-04: Impacto de eventos é determinado
DE.AE-05: Limites de alerta de incidentes são estabelecidos
DE.AE-06: Eventos detectados são classificados e categorizados consistentemente
DE.AE-07: Eventos detectados são analisados para compreender alvos de ataque e métodos
DE.AE-08: Vulnerabilidades são identificadas a partir de análise de eventos detectados
DE.CM: Monitoramento Contínuo de Segurança
DE.CM-01: A rede é monitorada para detectar potenciais eventos de cibersegurança
DE.CM-02: O ambiente físico é monitorado para detectar potenciais eventos de cibersegurança
DE.CM-03: Atividade de pessoal é monitorada para detectar potenciais eventos de cibersegurança
DE.CM-04: Atividade maliciosa é detectada e o impacto potencial de eventos é compreendido
DE.CM-05: Acesso não autorizado a móveis é detectado
DE.CM-06: Atividade de ameaça externa é monitorada para informar sobre eventos de cibersegurança
DE.CM-07: Monitoramento para acesso não autorizado a pessoal, conexões, dispositivos e software é realizado
DE.CM-08: Varreduras de vulnerabilidade são realizadas
DE.CM-09: Atividade de computação em nuvem é monitorada para detectar potenciais eventos de cibersegurança
DE.DP: Processos de Detecção
DE.DP-01: Papéis e responsabilidades para detecção são bem definidos para garantir responsabilidade
DE.DP-02: Atividades de detecção cumprem todos os requisitos aplicáveis
DE.DP-03: Processos de detecção são testados
DE.DP-04: Informações de eventos de detecção são comunicadas
DE.DP-05: Processos de detecção são continuamente aprimorados
RS.RP: Planejamento de Resposta
RS.RP-01: Plano de resposta é executado durante ou após um incidente
RS.RP-02: Papéis e responsabilidades de resposta são bem definidos para garantir responsabilidade
RS.RP-03: Pessoal de resposta sabe seus papéis e ordem de operações quando um plano de resposta é ativado
RS.RP-04: Coordenação entre entidades internas e externas ocorre durante execução de planos de resposta
RS.RP-05: Recursos voluntários e de apoio são coordenados com entidades externas
RS.CO: Comunicações
RS.CO-01: Pessoal sabe seus papéis e ordem de operações quando um plano de resposta é ativado
RS.CO-02: Incidentes são relatados consistentemente com critérios estabelecidos
RS.CO-03: Informações são compartilhadas consistentemente com planos de resposta
RS.CO-04: Coordenação com stakeholders ocorre consistentemente com planos de resposta
RS.CO-05: Compartilhamento voluntário de informações ocorre com parceiros externos para alcançar objetivos de segurança mais amplos
RS.AN: Análise
RS.AN-01: Notificações de sistemas de detecção são investigadas
RS.AN-02: O impacto do incidente é compreendido
RS.AN-03: Análise forense é realizada
RS.AN-04: Incidentes são categorizados consistentemente com planos de resposta
RS.AN-05: Processos são estabelecidos para receber, analisar e responder a vulnerabilidades divulgadas para a organização de fontes externas
RS.MI: Mitigação
RS.MI-01: Incidentes são contidos
RS.MI-02: Incidentes são mitigados
RS.MI-03: Vulnerabilidades recém-identificadas são mitigadas ou documentadas como riscos aceitos
RS.IM: Melhorias
RS.IM-01: Planos de resposta incorporam lições aprendidas
RS.IM-02: Estratégias de resposta são atualizadas
RC.RP: Planejamento de Recuperação
RC.RP-01: Plano de recuperação é executado durante ou após um evento de cibersegurança
RC.RP-02: Planos de recuperação incorporam lições aprendidas
RC.RP-03: Estratégias de recuperação são atualizadas
RC.IM: Melhorias
RC.IM-01: Planos de recuperação incorporam lições aprendidas
RC.IM-02: Estratégias de recuperação são atualizadas
RC.CO: Comunicações
RC.CO-01: Relações públicas são gerenciadas
RC.CO-02: Reputação é reparada após um incidente
RC.CO-03: Atividades de recuperação são comunicadas a stakeholders internos e externos, bem como executivos e equipes de gestão
RC.CO-04: Mídia é gerenciada
RC.CO-05: Coordenação com entidades internas e externas ocorre durante execução de planos de recuperação
Resumo das Subcategorias
108
Total de Subcategorias
Implementação do NIST CSF 2.0
O framework oferece uma abordagem flexível para implementação, permitindo que organizações adaptem sua aplicação às suas necessidades específicas.
1
Priorizar e Definir Escopo
Identifique objetivos de negócio, requisitos legais/regulamentares, riscos organizacionais e recursos disponíveis.
2
Orientar
Identifique sistemas e ativos relacionados, requisitos regulamentares e abordagem geral de risco.
3
Criar Perfil Atual
Desenvolva um perfil atual indicando quais resultados de categoria e subcategoria estão sendo alcançados.
4
Realizar Avaliação de Riscos
Analise o ambiente operacional para discernir a probabilidade de um evento de cibersegurança e o impacto.
5
Criar Perfil Alvo
Crie um perfil alvo que foque na avaliação das categorias e subcategorias do Framework.
6
Determinar, Analisar e Priorizar Lacunas
Compare o perfil atual com o perfil alvo para determinar lacunas e criar um plano de ação priorizado.
7
Implementar Plano de Ação
Determine quais ações priorizar para abordar as lacunas, se houver, identificadas na etapa anterior.
Perfis de Implementação
Os perfis representam os resultados únicos de cibersegurança que uma organização selecionou das categorias e subcategorias do Framework.
Perfil Atual
Indica os resultados de cibersegurança que estão sendo alcançados atualmente pela organização.
- Reflete o estado atual de implementação
- Identifica práticas existentes
- Documenta capacidades atuais
- Serve como linha de base para melhorias
Perfil Alvo
Indica os resultados de cibersegurança desejados pela organização.
- Define objetivos futuros
- Alinha com estratégia de negócio
- Considera tolerância a riscos
- Orienta investimentos em segurança
Níveis de Implementação (Tiers)
O framework define quatro níveis que descrevem o grau em que as práticas de gestão de riscos de cibersegurança de uma organização exibem características definidas no Framework.
Gestão de riscos de cibersegurança é ad hoc com consciência limitada dos riscos.
- Processos informais
- Comunicação limitada
- Falta de coordenação
Práticas de gestão de riscos são aprovadas pela gestão, mas podem não estar estabelecidas como política organizacional.
- Consciência de riscos
- Processos definidos
- Comunicação regular
Práticas de gestão de riscos são formalmente aprovadas e expressas como política.
- Políticas formais
- Processos padronizados
- Treinamento regular
A organização adapta suas práticas de cibersegurança baseada em atividades anteriores e atuais.
- Melhoria contínua
- Adaptação baseada em lições aprendidas
- Integração com estratégia organizacional
Integração com a LGPD
O NIST CSF 2.0 oferece uma estrutura robusta que complementa os requisitos da LGPD, especialmente nas áreas de governança, gestão de riscos e proteção de dados.
GOVERN (Governar)
GV.PO: Política organizacional de cibersegurança
LGPD Art. 50
Programa de boas práticas e governança
IDENTIFY (Identificar)
ID.RA: Avaliação de riscos organizacionais
LGPD Art. 46
Relatório de impacto à proteção de dados pessoais
PROTECT (Proteger)
PR.DS: Segurança de dados em repouso e em trânsito
LGPD Art. 6º, VII
Princípio da segurança
DETECT (Detectar)
DE.AE: Detecção de eventos anômalos
LGPD Art. 48
Comunicação de incidente de segurança
RESPOND (Responder)
RS.CO: Comunicação de resposta a incidentes
LGPD Art. 48
Notificação à ANPD e aos titulares
RECOVER (Recuperar)
RC.RP: Planejamento de recuperação
LGPD Art. 6º, VIII
Princípio da prevenção
Complementaridade Estratégica
O NIST CSF 2.0 fornece uma estrutura operacional que complementa perfeitamente os requisitos legais da LGPD, oferecendo um caminho prático para implementação de controles de segurança e privacidade.
Benefícios da Adoção
Linguagem Comum
Estabelece vocabulário comum para comunicação sobre cibersegurança entre stakeholders
Gestão de Riscos
Abordagem estruturada e baseada em riscos para cibersegurança
Flexibilidade
Adaptável a diferentes setores, tamanhos e níveis de maturidade organizacional
Melhoria Contínua
Facilita identificação de lacunas e priorização de investimentos
Colaboração
Promove colaboração entre diferentes departamentos e organizações
Conformidade
Suporte para atendimento a requisitos regulamentares e de conformidade
Importante: O NIST CSF é um framework voluntário e flexível. Sua implementação deve ser adaptada às necessidades específicas, contexto e tolerância a riscos de cada organização.