NISTEstrutura de segurança cibernética v1.1 - AWS Audit Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

NISTEstrutura de segurança cibernética v1.1

AWS Audit Manager fornece uma estrutura pré-construída que suporta o NIST Cybersecurity Framework (CSF) v1.1.

nota
  • Para obter informações sobre a estrutura do Audit Manager que oferece suporte ao NIST SP 800-53, consulte. NISTSP 800-53 Rev 5

  • Para obter informações sobre a estrutura do Audit Manager que oferece suporte ao NIST SP 800-171, consulte. NISTSP 800-171 Rev 2

O que é a estrutura de NIST segurança cibernética?

O Instituto Nacional de Padrões e Tecnologia (NIST) foi fundado em 1901 e agora faz parte do Departamento de Comércio dos EUA. NISTé um dos laboratórios de ciências físicas mais antigos dos Estados Unidos. O Congresso dos EUA estabeleceu a agência para melhorar o que era na época uma infraestrutura de medição de segunda categoria. A infraestrutura foi um grande desafio para a competitividade industrial dos EUA, tendo ficado atrás de outras potências econômicas, como o Reino Unido e a Alemanha.

Os Estados Unidos dependem do funcionamento confiável da infraestrutura crítica. As ameaças à segurança cibernética exploram a maior complexidade e interconexão dos sistemas de infraestrutura crítica. Eles colocam em risco a segurança, a economia e a segurança e saúde pública dos Estados Unidos. Semelhante aos riscos financeiros e de reputação, o risco de cibersegurança afeta os resultados financeiros de uma empresa. Isso pode aumentar os custos e afetar a receita. Isso pode prejudicar a capacidade de uma organização de inovar, conquistar e manter clientes. Em última análise, a segurança cibernética pode ampliar o gerenciamento geral de riscos de uma organização.

A Estrutura NIST de Segurança Cibernética (CSF) é apoiada por governos e indústrias em todo o mundo como uma linha de base recomendada para uso por qualquer organização, independentemente do setor ou tamanho. A estrutura NIST de segurança cibernética consiste em três componentes principais: o núcleo da estrutura, os perfis e os níveis de implementação. O núcleo do framework contém as atividades e os resultados desejados de segurança cibernética organizados em 23 categorias que abrangem a amplitude dos objetivos de segurança cibernética de uma organização. Os perfis contêm o alinhamento exclusivo de uma organização com seus requisitos e objetivos organizacionais, apetite a riscos e atributos usando os resultados desejados do núcleo do framework. Os níveis de implementação descrevem o grau em que as práticas de gerenciamento de riscos de cibersegurança de uma organização exibem as características definidas no núcleo do framework.

Como usar esse framework

Você pode usar a NIST CSF versão 1.1 para ajudá-lo a se preparar para as auditorias. Esse framework inclui uma coleção pré-construída de controles com descrições e procedimentos de teste. Esses controles são agrupados em conjuntos de controle de acordo com NIST CSF os requisitos. Atualmente, o Audit Manager oferece suporte ao componente principal da estrutura. O Audit Manager não oferece suporte aos componentes de perfil e implementação nesse framework.

Usando o framework como ponto de partida, você pode criar uma avaliação do Audit Manager e começar a coletar evidências relevantes para sua auditoria. Depois de criar uma avaliação, o Audit Manager começa a avaliar seus AWS recursos. Ele faz isso com base nos controles definidos na seção NIST CSF Quando é hora de uma auditoria, você, ou um representante de sua escolha, pode revisar as evidências coletadas pelo Audit Manager. Como alternativa, você pode navegar pelas pastas de evidências na sua avaliação e escolher quais evidências deseja incluir no relatório de avaliação. Ou, se você ativou o localizador de evidências, pode pesquisar evidências específicas e exportá-las em CSV formato ou criar um relatório de avaliação a partir dos resultados da pesquisa. De qualquer uma das formas, você pode usar esse relatório de avaliação para mostrar que seus controles estão funcionando conforme o esperado.

Os detalhes do framework são:

Nome da estrutura em AWS Audit Manager Número de controles automatizados Número de controles manuais Número de conjuntos de controle
NISTEstrutura de segurança cibernética (CSF) v1.1 14 94 22
Importante

Para garantir que essa estrutura colete as evidências pretendidas AWS Security Hub, certifique-se de que você habilitou todos os padrões no Security Hub.

Para garantir que essa estrutura colete as evidências pretendidas AWS Config, certifique-se de ativar as AWS Config regras necessárias. Para revisar as AWS Config regras usadas como mapeamentos de fontes de dados nessa estrutura padrão, baixe o arquivo AuditManager_ ConfigDataSourceMappings _ NIST - CSF -v1.1.zip.

Os controles oferecidos pelo Audit Manager não têm como objetivo verificar se seus sistemas estão em conformidade com o. NIST CSF Além disso, eles não podem garantir que você passará por uma NIST auditoria. AWS Audit Manager não verifica automaticamente os controles processuais que exigem a coleta manual de evidências.

Você pode encontrar essa estrutura na guia Estruturas padrão da biblioteca de estruturas no Audit Manager.

Próximas etapas

Para obter instruções sobre como criar uma avaliação usando esse framework, consulte Criando uma avaliação em AWS Audit Manager.

Para obter instruções sobre como personalizar essa estrutura para atender às suas necessidades específicas, consulteFazendo uma cópia editável de uma estrutura existente no AWS Audit Manager.

Recursos adicionais