NIST SP 800-171: Proteja dados CUI confidenciais

A responsabilidade por proteger informações federais dos EUA altamente confidenciais — incluindo informações de segurança nacional — não são de responsabilidade exclusiva do governo federal. Qualquer pessoa que tenha acesso a esses dados é responsável por sua proteção.

Contratados, subcontratados e outros terceiros e fornecedores que trabalham com agências federais como a Departamento de Defesa dos Estados Unidos (DoD) comumente lidam com dados governamentais sensíveis, chamados de informações controladas não classificadas (CUI). Esses contratantes são responsáveis por aderir à Publicação Especial 800-171 do Instituto Nacional de Padrões e Tecnologia, ou estrutura NIST SP 800-171.

O que é o NIST SP 800-171?

O Instituto Nacional de Padrões e Tecnologia — que emitiu inúmeras normas além da 800-171 ao longo de mais de um século de existência — é uma agência não reguladora subordinada ao Departamento de Comércio dos EUA. Sua missão declarada é "promover a inovação e a competitividade industrial dos EUA, promovendo a ciência, os padrões e a tecnologia de medição de maneiras que aumentem a segurança econômica e melhorem nossa qualidade de vida".

A estrutura 800-171 define um conjunto de melhores práticas para entidades não governamentais protegerem CUI e manterem programas de segurança cibernética eficazes. Muitas leis, regulamentos e requisitos de conformidade — como o Certificação do Modelo de Maturidade em Segurança Cibernética, ou CMMC — alinhar-se estreitamente com a estrutura NIST SP 800.

A quem se aplica o NIST SP 800-171?

A maioria dos contratados e subcontratados que trabalham em qualquer parte da cadeia de suprimentos federal entende a necessidade de estar em conformidade com o NIST ou então voltar para casa. O DoD trabalha com essas empresas terceirizadas em muitas funções essenciais — e esse trabalho exige o compartilhamento de dados confidenciais. Os tipos comuns de contratados governamentais incluem:

• Contratantes de defesa
• Organizações financeiras
• Organizações de saúde
• Faculdades e universidades
• Institutos de ciência e pesquisa
• Provedores de web, comunicação e tecnologia

Esta não é, de forma alguma, uma lista exaustiva. A implementação do NIST SP 800-171 é necessária para todas as empresas que lidam com CUI. É o jogo que você precisa jogar se quiser contratar o governo federal.

O que é CUI (Informações Não Classificadas Controladas)?

CUI é definido como “informações que o governo cria ou possui ou que uma entidade cria ou possui para ou em nome do governo, que uma lei, regulamento ou política governamental exige ou permite que uma agência trate usando controles de proteção ou disseminação”.

Mais diretamente, CUI são dados governamentais que, embora não sejam classificados, ainda são sensíveis e, portanto, exigem controles e salvaguardas de segurança especiais.

Existem muitos tipos de CUI. A Administração Nacional de Arquivos e Registros (NARA) definiu 20 categorias e 124 subcategorias de CUI que devem ser protegidos. Essas categorias incluem dados em infraestrutura crítica, defesa, controle de exportação, finanças, relações internacionais, aplicação da lei, patentes, transporte, políticas e procedimentos legais e nucleares — e muito mais.

Por que a CUI precisa de proteção?

Embora o slogan onipresente de suspense e espionagem "isso é confidencial" possa ter mais peso na cultura pop do que sua contraparte "não confidencial", muitos dados não confidenciais ainda são altamente confidenciais. Violações de dados não classificados pode interromper programas e procedimentos econômicos e de segurança nacional, levando a consequências potencialmente desastrosas para operações organizacionais, ativos financeiros e indivíduos.

Além disso, a perda ou proteção inadequada de CUI pode ter um impacto direto na segurança nacional — e as ameaças à segurança cibernética enfrentadas pelo governo federal e pelo DoD estão aumentando constantemente, seja devido a vazamentos, espionagem ou negligência.

As empresas que não cumprem o NIST 800-171 para proteger efetivamente o CUI enfrentam as consequências de contratos cancelados rapidamente, processos judiciais, multas e danos à reputação.

O que são os controles NIST 800-171?

Se você for um contratado do Departamento de Defesa dos EUA (DoD), poderá ser obrigado a cumprir os controles NIST 800-171. Esses controles são um conjunto de diretrizes que garantem a proteção de informações não classificadas controladas (CUI) em sistemas e organizações de informação não federais. As diretrizes descrevem os requisitos mínimos de segurança que devem ser atendidos para proteger a confidencialidade, a integridade e a disponibilidade das CUI.

Os controles do NIST 800-171 são divididos em 14 famílias, que abrangem tópicos como controle de acesso, conscientização e treinamento, resposta a incidentes e proteção de sistemas e comunicações. A conformidade com esses controles exige que uma organização realize avaliações de risco regulares, desenvolva e implemente planos de segurança e mantenha documentação que demonstre conformidade. Ao aderir a esses controles, os contratantes podem proteger melhor as informações confidenciais e manter a confiança do DoD.

Padrões e requisitos NIST SP 800-171

1. Controle de acesso

22 requisitos para proteger o fluxo de informações confidenciais dentro de redes e sistemas — e proteger o acesso a essas redes e sistemas.

2. Conscientização e Treinamento

3 requisitos para garantir que administradores de sistema, usuários e funcionários conheçam os riscos de segurança cibernética que enfrentam e sejam treinados em procedimentos de segurança.

3. Auditoria e Responsabilidade

9 requisitos para auditoria e análise de logs de sistema e eventos — incluindo gravação, armazenamento e revisão de registros.

4. Gerenciamento de configuração

9 requisitos para configurar hardware e software em sistemas e redes, impedir instalação de software não autorizado e restringir programas não essenciais.

5. Identificação e Autenticação

11 requisitos para identificar usuários autorizados, monitorar procedimentos e políticas de senha e impor distinções entre acesso privilegiado e não privilegiado.

6. Resposta a incidentes

3 requisitos para garantir que existam recursos para detectar, conter e recuperar dados de uma variedade de incidentes de segurança cibernética — além de testar esses recursos.

7. Manutenção

6 requisitos para determinar as melhores práticas em torno de procedimentos de manutenção de rede — e garantir que sejam realizados regularmente e por partes autorizadas.

8. Proteção de mídia

9 requisitos para estabelecer melhores práticas para gerenciamento ou exclusão de dados e mídias confidenciais — tanto físicas quanto digitais.

9. Segurança de Pessoal

2 requisitos para proteger o CUI associado a pessoal e funcionários — primeiro, para rastrear indivíduos antes que eles acessem dados confidenciais e, segundo, para encerrar ou transferir a autorização.

10. Proteção Física

6 requisitos para controlar o acesso físico ao CUI, incluindo acesso de visitantes a locais de trabalho, hardware, dispositivos e equipamentos.

11. Avaliação de Riscos

2 requisitos para que as organizações verifiquem regularmente seus sistemas em busca de vulnerabilidades, mantenham os dispositivos de rede e o software atualizados e seguros e realizem avaliações de risco regularmente.

12. Avaliação de Segurança

4 requisitos para garantir que os planos de proteção de CUI permaneçam eficazes por meio do desenvolvimento, monitoramento, renovação e revisão de controles de sistema e planos e procedimentos de segurança.

13. Proteção de Sistemas e Comunicações

16 requisitos para monitorar sistemas que transmitem informações, restringir a transferência não autorizada de informações e promulgar melhores práticas em torno de políticas de criptografia.

14. Integridade do Sistema e da Informação

7 requisitos para monitorar a proteção contínua dos sistemas dentro da organização, incluindo processos para identificar uso não autorizado e o desempenho de alertas de segurança do sistema.

Lista de verificação de conformidade com o NIST 800-171

Para estar em conformidade com o NIST 800-171, você precisa ser aprovado em uma auditoria realizada por uma entidade certificada ou parceiro de segurança cibernética. Antes da auditoria, você precisa seguir algumas etapas iniciais que não sejam muito complexas ou demoradas. Para ajudar você a se preparar para uma auditoria NIST tranquila, siga esta lista de verificação prática:

1. Identifique o escopo dos seus esforços de conformidade: O primeiro passo é determinar o escopo dos seus esforços de conformidade. Isso envolve analisar o NIST 800-171 e identificar quais controles e requisitos se aplicam à sua organização. Você pode precisar de treinamento adicional, implementar controles de acesso físico mais rigorosos e estabelecer um processo de proteção de mídia.

Você também deve ajustar os limites do seu sistema para garantir que apenas as partes necessárias da sua organização sejam incluídas no escopo de conformidade. Ao identificar o escopo dos seus esforços de conformidade, você pode concentrar seus recursos de forma mais eficaz e garantir o cumprimento de todos os requisitos necessários.

2. Reúna a documentação necessária: Para ser aprovado em uma auditoria de conformidade com o NIST 800-171, você precisa ter documentação comprovando que todos os controles e requisitos estão sendo atendidos. Você precisará reunir documentação em diversas áreas antes da auditoria, incluindo arquitetura de sistema e rede, limites do sistema, fluxo de dados, pessoal, processos e procedimentos, e mudanças previstas.

Ao reunir esta documentação, você pode demonstrar que possui um entendimento abrangente da sua organização postura de segurança e estão tomando medidas apropriadas para proteger Informações Não Classificadas Controladas (CUI).

3. Realize uma análise de lacunas e uma revisão: É importante entender onde estão as lacunas entre o seu estado atual e a plena conformidade com o NIST 800-171. Concentre-se nos principais requisitos de controle de acesso e trabalhe para baixo. Documente quaisquer falhas de projeto ou lacunas de controle para que você possa fazer as alterações necessárias.

Um parceiro experiente do NIST pode ajudá-lo a criar a análise de lacunas e a revisão do sistema mais abrangentes possíveis. Ao conduzir uma análise e revisão de lacunas, você pode identificar áreas nas quais precisa aprimorar sua postura de segurança e tomar as medidas adequadas para corrigir quaisquer deficiências.

4. Desenvolva um plano de segurança e um plano de remediação: Após concluir sua análise de lacunas, você pode começar a planejar em diversas frentes. Primeiro, você deve formular e documentar um plano geral de segurança em conformidade com o NIST. Este plano deve delinear as metas, os objetivos e os procedimentos de segurança da sua organização.

Você também deve criar um plano de remediação caso o CUI seja comprometido, o que deve estar em conformidade com os requisitos do NIST para evitar penalidades. Por fim, você precisará de um Plano de Ação e Marcos (POA e M) para garantir que todo o projeto permaneça no caminho certo. Ao desenvolver um plano de segurança e um plano de remediação, você pode garantir que sua organização esteja bem preparada para responder a quaisquer incidentes de segurança e minimizar o impacto de quaisquer violações.

5. Coletar evidências de trilhas de auditoria: À medida que você implementa mudanças em direção à conformidade, é importante produzir evidências de trilha de auditoria que demonstrem o que você fez e garantam a responsabilização. Isso inclui identificar os requisitos de auditoria que você abordará com base nos 14 critérios do NIST 800-171 listados acima.

As evidências da trilha de auditoria podem incluir registros do sistema, relatórios de incidentes de segurança e outros documentos que demonstrem que você está atendendo aos requisitos necessários. Ao coletar evidências da trilha de auditoria, você pode demonstrar aos auditores que está tomando as medidas adequadas para proteger o CUI e garantir que esteja em conformidade com o NIST 800-171.

Conformidade com o NIST SP 800-171 em 2023

Muitos contratados do DoD precisam não apenas se tornar compatíveis com o NIST, mas também aderir ao CMMC. De acordo com as atualizações e melhorias do CMMC 2.0 anunciadas em novembro de 2021, os requisitos de certificação variam dependendo da sensibilidade do CUI que uma empresa lida.

Para começar, as organizações precisam avaliar seus programas de segurança em termos de controles de acesso, gerenciamento de riscos, um plano de resposta a incidentes e muito mais. 110 controles podem parecer muito, mas Recursos de segurança automatizados e baseados em ML do BigID tenha organizações cobertas quando se trata de conformidade com NIST SP 800-171 — e CMMC 2.0.

Procure no BigID por: profundo e amplo classificação de dados funcionalidade que inclui PNL, classificação fuzzy e tecnologia gráfica; pontuação de risco automatizada que mede o risco com base em uma variedade de tipos de dados; inteligência de acesso a arquivos que identifica dados superexpostos e usuários com privilégios excessivos; um aplicativo de dados de violação que simplifica a resposta a incidentes após uma violação; e muito mais.

Com o mais profundo fundação de descoberta de dados lá fora, o BigID pode ajudar qualquer empresa a encontrar e proteger todos os seus CUI regulamentados e de alto risco; reduzir proativamente o risco em seus dados mais sensíveis; remediar, reter ou descartar informações governamentais confidenciais; e, finalmente, elevar seus programas de segurança a Conformidade com o NIST padrões.

Agende uma demonstração rápida para saber mais sobre como proteger o CUI com o BigID — e conseguir mais desses grandes contratos governamentais.