complianceforge-product-example.png

NIST 800-53 Rev5 POLÍTICAS E PADRÕES DE SEGURANÇA CIBERNÉTICABASEADOS EM LINHA DE BASE BAIXA E MODERADA

O NIST 800-53 rev5 Low & Moderate Baseline-basedCybersecurity & Data Protection Program (CDPP-LM) é o nosso conjunto líder de políticas e padrões de segurança cibernética baseados em NIST. Este é um documento abrangente, editável e de fácil implementação que contém as políticas, objetivos de controle, padrões e diretrizes que sua empresa precisa para estabelecer um programa de segurança de TI de classe mundial. Sendo documentos do Microsoft Word, você tem a capacidade de fazer edições, conforme necessário. Para empresas que precisam estar em conformidade com o NIST 800-171, o CDPP-LM fornece cobertura paracontroles de linha de base baixa e moderadado NIST 800-53 rev5 para que você possa implementar o CDPP-LM para suas necessidades de conformidade com oNIST 800-171 (CMMC Níveis 1-3).

2020-spectrum-nist-800-54-low-moderate-baseline-compliance.jpg

Quando você olha para o NIST 800-53 como ele se compara a outras estruturas de segurança cibernética, ele está no lado mais robusto do espectro, com base nos tópicos que cobre. O NIST 800-53 rev5 consiste em 26 famílias diferentes de controles de segurança cibernética e privacidade. O NIST 800-53rev5 Low & Moderate NIST 800-53 CDPP tem uma política para cada uma dessas 20 famíliasde controles e padrões para abordar oscontroles de linha de base BAIXA e MODERADAdessa estrutura. Você pode ver um exemplo das políticas e padrões do CDPP do NIST 800-53 abaixo, bem como um vídeo passo a passo do produto.

Exemplo de produto - NIST 800-53 Linha de base baixa e moderada - Políticas e padrões de segurança cibernética (CDPP-LM)

Esta versão do Programa de Segurança Cibernética e Proteção de Dados (CDPP) é baseada na estrutura NIST 800-53 rev5. Ele contém políticas e padrões de segurança cibernética que se alinham com o NIST 800-53 (incluindo os requisitos do NIST 800-171 e CMMC). Você obtém documentos do Microsoft Word e Excel totalmente editáveis que podem ser personalizados de acordo com suas necessidades específicas. Para entender as diferenças entre as versões NIST 800-53, ISO 27002 e NIST CSF do CDPP, visiteaquipara obter mais detalhes.

2021.1-cybersecurity-data-protection-program-cdpp-nist-800-53.jpg

Linha de base baixa e moderada

 Assista ao nosso vídeo passo a passo do produto Veja o exemplo do produto
  download-example-microsoft-word.jpg
  

Exemplo NIST 800-53 CDPP-LM

  download-example-microsoft-excel.jpg
  

Exemplo de mapeamento CDPP-LM

2021.1-cdpp-contents-nist-800-53-r5-lm.jpg

Criando um programa de segurança cibernética baseado para se alinhar com os controles de linha de base alta do NIST SP 800-53 rev

Em sua essência, esta versão do NIST SP 800-53 R5Cybersecurity & Data Protection Program (CDPP-LM) foi projetada para se alinhar aos controles de “linha de base moderada” do NIST SP 800-53 R5. Como nossos clientes tendem a ter necessidades adicionais neste espaço, o NIST SP 800-53 R5 CDPP-LM tem cobertura completa para essas estruturas principais:

  • NIST SP 800-53 R5 (linhas de base baixas, moderadas e de privacidade - conforme definido noNIST SP 800-53B )  
  • Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP) (linhas de base baixas, moderadas, altas e Li-SaaS)
  • Regulamento Federal de Aquisição (FAR) 52.204-21 (requisitos de segurança cibernética)
  • Certificação do Modelo de Maturidade em Segurança Cibernética do DoD (CMMC)v1.02 (Práticas de Níveis de Maturidade 1, 2, 3 e 4)
  • NIST SP 800-171 R2 (controles CUI e NFO)

As práticas líderes a seguir são mapeadas para os padrões NIST SP 800-53 rev5 CDPP-LM correspondentes. Esse mapeamento está na planilha do Excel correspondente que está incluída como parte de sua compra:

  • Critérios de Serviços de Confiança (TSC) do AICPA (comumente chamados de controlesSOC 2)
  • Modelo de Gerenciamento de Resiliência CERT (CERT RMM) v1.2
  • Centro de Controles de Segurança Críticos de Segurança da Internet (CIS CSC) v7.1 (comumente referido como o SANS Top 20)
  • Lei de Transações de Crédito Justas e Precisas (FACTA)
  • Princípios de Privacidade Geralmente Aceitos (GAPP)
  • Lei Gramm-Leach-Bliley (GLBA)
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA))
  • ISO 27002:2013
  • IRS 1075
  • MA 201 CMR 17,00
  • Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP))
  • Manual de Operação do Programa Nacional de Segurança Industrial (NISPOM))
  • NIST Cybersecurity Framework (NIST CSF) v1.1
  • NIST SP 800-172- (controles para proteção contra ameaças persistentes avançadas (APTs))
  • Nova Iorque 23 NYCRR 500
  • Lei de Proteção contra Roubo de Identidade do Consumidor do Oregon (OR 646A)
  • Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) v3.2.1
  • Estrutura de Controles Seguros (SCF))
  • Fundamentos Cibernéticos do Reino Unido

Além das políticas e padrões de segurança cibernética baseados no NIST, o NIST SP 800-53 R5 CDPP-LM vem com esses recursos suplementares de segurança cibernética

Como um bônus extra, incluímos a seguinte documentação suplementar sem custo adicional:

  • Planilha Excel que mapeia as normas para múltiplos marcos estatutários, regulatórios e contratuais
  • Apresentação personalizável de treinamento de conscientização de segurança cibernética no Microsoft PowerPoint para treinamento de conscientização de segurança da informação (valor de US$ 260)
  • Formulário de treinamento de conscientização sobre segurança cibernética
  • Modelo de Plano de Resposta a Incidentes (IRP) personalizável
  • Modelo de Avaliação de Impacto nos Negócios (BIA)
  • Modelo de Plano de Continuidade de Negócios (BCP) e Recuperação de Desastres (DR)
  • Modelo de Indenização e Contrato de Confidencialidade (NDA) do provedor de serviços
  • Formulário de confirmação do usuário
  • Formulário de solicitação de gerenciamento de alterações
  • Modelo de metodologia de avaliação de risco
  • Ordens de nomeação para um Oficial de Segurança da Informação (ISO)

Esta documentação economiza centenas de horas por não ter que fazê-lo por conta própria!

Documentação de segurança de TI escrita do NIST SP 800-53 R5 - Abordagem robusta para a segurança cibernética

Para entender o NIST SP 800-53 R5 CDPP-LM, pegamos os controles do NIST SP 800-53 R5 e transformamos esses controles em um conjunto viável de políticas e padrões que estão diretamente ligados ao NIST SP 800-53 R5. As vinte (20) famílias de controles encontradas no NIST SP 800-53 R5 equivalem às vinte (20) políticas doCybersecurity & Data Protection Program (CDPP) e isso cria uma estrutura abrangente de segurança cibernética, uma vez que os padrões no CDPP-LM mapeiam diretamente para os controles baixos, moderados e altos no NIST SP 800-53 R5. Para ajudar a organizar o CDPP para facilitar para os leitores, o CDPP-LM organiza as famílias do NIST SP 800-53 R5 de acordo com ascategorias Gestão, Operacional e Técnica do FIPS 199:

  • Política de Controle de Acesso (AC)
  • Política de Avaliação, Autorização e Monitoramento (CA)
  • Política de Auditoria e Prestação de Contas (UA)
  • Política de Sensibilização e Formação (TA)
  • Política de Gerenciamento de Configuração (CM)
  • Política de Planejamento de Contingência (CP)
  • Política de Identificação e Autenticação (IA)
  • Política de Resposta a Incidentes (RI)
  • Política de manutenção (MA)
  • Política de Proteção de Mídia (MP)
  • Política de Processamento e Transparência de Informações Pessoalmente Identificáveis (PII)
  • Política de Segurança de Pessoal (PS)
  • Política de Proteção Física e Ambiental (EP)
  • Política de planejamento (PL)
  • Política de Gerenciamento de Programas (PM)
  • Política de Avaliação de Riscos (AR)
  • Política de Gestão de Riscos da Cadeia de Suprimentos (SR)
  • Política de Proteção de Sistemas e Comunicações (SC)
  • Política de Integridade do Sistema e da Informação (SI)
  • Política de Aquisição de Sistemas e Serviços (SA)

2021-nist-sp-800-53-r5-control-family-policies.jpg 

A documentação de segurança de TI baseada no NIST SP 800-53 R5 mais abrangente disponível on-line

 2020-nist-sp-800-53-r5-fips-199-management-operational-technical-controls.jpg

Estimativa de economia de custos - NIST 800-53 rev5 Low & Moderate Baseline Cybersecurity & Data Protection Program (CDPP-LM)

Quando você analisa os custos associados a (1) contratar um consultor externo para escrever documentação de segurança cibernética para você ou (2) encarregar sua equipe interna de escrevê-la, as comparações de custos pintam uma imagem clara de que comprar do ComplianceForge é a opção lógica. Em comparação com a contratação de um consultor, você pode economizar meses de tempo de espera e dezenas de milhares de dólares. Considerando que, em comparação com a escrita de sua própria documentação, você pode potencialmente economizar centenas de horas de trabalho e o custo associado à perda de produtividade. A compra do CDPP da ComplianceForge oferece essas vantagens fundamentais quando comparada às outras opções para obter documentação de segurança cibernética de qualidade:

  • Para que sua equipe interna gere documentação comparável, seriam necessárias cerca de 400 horas de trabalho, o que equivale a um custo de aproximadamente US $ 34.000 em despesas relacionadas à equipe. Isso é cerca de 4-8 meses de tempo de desenvolvimento, onde sua equipe seria desviada de outro trabalho.
  • Se você contratar um consultor para gerar essa documentação, eles levariam cerca de 300 horas de trabalho, o que equivale a um custo de aproximadamente US $ 90.000. Isso é cerca de 3-6 meses de tempo de desenvolvimento para um empreiteiro fornecer a entrega.
  • O CDPP é de aproximadamente 2% do custo paraum consultor ou 5% do custo de sua equipe interna para gerar documentação equivalente.
  • Processamos a maioria dos pedidos no mesmo dia útil para que você possa potencialmente começar a trabalhar com o CDPP no mesmo dia em que fizer seu pedido.

2022-produto-cdpp-nist-800-53-r5-moderado.jpg

O processo de escrever documentação de segurança cibernética pode levar muitos meses para uma equipe interna e envolve afastar seus especialistas em segurança cibernética mais experientes e experientes das funções operacionais para ajudar no processo, o que geralmente não é o uso mais eficiente de seu tempo. Além do imenso custo de contratar um consultor de segurança cibernética por US $ 300 / h + para escrever essa documentação para você, o tempo para agendar um consultor, fornecer orientação e obter o produto entregável pode levar meses. Mesmo quando você traz um consultor, isso também requer o envolvimento de sua equipe interna para controle de qualidade e resposta a perguntas, de modo que o impacto não se limita apenas ao tempo consumido pelo consultor.

software-2018.1-no-software-to-install-v1.jpg

Documentação abrangente baseada em linha de base NIST 800-53 rev 5 baixa e moderada

 

 2020.1-complianceforge-products-policies-standards-procedures.jpg

O CPP-LM pode servir como um elemento fundamental no programa de segurança cibernética da sua organização. Pode ficar sozinho ou ser emparelhado com outros produtos especializados que oferecemos.

Este CDPP baseado em linha de base baixa e moderada do NIST 800-53 rev5 é um documento abrangente, personalizável e de fácil implementação do Microsoft Word que contém as políticas, objetivos de controle, padrões e diretrizes baseados em linha de base baixa e moderada do NIST 800-53 rev5 que sua empresa precisa para estabelecer um programa robusto de segurança cibernética. Sendo um documento do Microsoft Word, você tem a capacidade de fazer edições para atender às necessidades específicas da sua empresa. O NIST 800-53 é o padrão de fato para requisitos de segurança cibernética emitido pelo governo dos EUA. Portanto, agências governamentais, contratados de defesa, provedores de serviços de telecomunicações, prestadores de cuidados de saúde, empresas financeiras ou quaisquer organizações que contratem com o governo tendem a adotar as melhores práticas baseadas no NIST sobre todas as outras estruturas, com base nos requisitos regulatórios.

Ao contrário de alguns de nossos concorrentes que vendem níveis de documentação "bronze, prata e ouro", entendemos que um padrão é um padrão por um motivo. Eliminamos as suposições associadas à escolha de um nível de pacote apropriado - nos concentramos em fornecer documentação que ofereça uma solução direta para fornecer a cobertura apropriada de que você precisa. Esse foco em fornecer a melhor solução para nossos clientes nos orgulha de que estamos fornecendo o melhor conjunto de políticas e padrões de segurança de TI disponíveis. Economizar alguns dólares em uma solução barata pode facilmente deixá-lo com uma falsa sensação de segurança e buracos na sua documentação que podem deixá-lo responsável.

O que é o Programa de Segurança Cibernética e Proteção de Dados (CDPP)?

Nossos produtos são compras únicas sem software para instalar - você está comprando modelos de documentação baseados no Microsoft Office que você pode editar para suas necessidades específicas. Se você pode usar o Microsoft Office ou OpenOffice, você pode usar este produto! O CDPP contém políticas e padrões de segurança cibernética baseados no NIST 800-53 em um formato editável do Microsoft Word:

  • Cada uma das famílias NIST 800-53 rev5 tem uma política associada a ela, portanto, há um total de 26 políticas.
  • Sob cada uma das políticas estão os padrões que suportam as linhas de base baixas e moderadas do NIST 800-53 rev5.
  • O CDPP abrange os conjuntos de controle basais baixos e moderados do NIST 800-53 rev 5 e do FedRAMP.
  • O CDPP aborda as perguntas “por quê?” e “o quê?” em uma auditoria, já que as políticas e os padrões formam a base para o seu programa de segurança cibernética.
  • O CDPP fornece os padrões de segurança cibernética subjacentes que devem estar em vigor, conforme estipulado por requisitos estatutários, regulamentares e contratuais.
  • Assim como os Recursos Humanos publicam um “manual do funcionário” para que os funcionários saibam o que é esperado para os funcionários de uma perspectiva de RH, o CDPP faz isso de uma perspectiva de segurança cibernética.

Que problema o CDPP resolve?

  • Falta de experiência em segurança interna - Escrever documentação de segurança é uma habilidade que muitos bons profissionais de segurança cibernética simplesmente não são proficientes e evitam a tarefa a todo custo. Incumbir seus analistas e engenheiros de segurança de escrever uma documentação abrangente significa que você está ativamente afastando-os da proteção e defesa de sua rede, o que não é um uso sábio de seu tempo. O CDPP baseado em NIST é um método eficiente para obter políticas e padrões de segurança abrangentes baseados no NIST 800-53 para sua organização!
  • Requisitos de conformidade - Quase todas as organizações, independentemente do setor, são obrigadas a ter políticas e padrões de segurança formalmente documentados. Os requisitos variam de PCI DSS a HIPAA e NIST 800-171. O CDPP é projetado com a conformidade em mente, uma vez que se concentra nas principais estruturas de segurança para atender aos requisitos de segurança razoavelmente esperados. O CDPP mapeia várias estruturas de conformidade líderes para que você possa ver claramente o que é necessário!
  • Falhas de auditoria - A documentação de segurança não envelhece graciosamente como um bom vinho. A documentação desatualizada leva a lacunas que expõem as organizações a falhas de auditoria e comprometimentos do sistema. Os padrões do CDPP fornecem mapeamento para as principais estruturas de segurança para mostrar exatamente o que é necessário para se manter seguro e em conformidade.
  • Requisitos do fornecedor - É muito comum que clientes e parceiros solicitem evidências de um programa de segurança e isso inclui políticas e padrões. O CDPP fornece essa evidência!

Como o CDPP resolve isso

  • Limpar documentação - O CDPP fornece documentação abrangente para provar que seu programa de segurança existe. Isso equivale a uma economia de tempo de centenas de horas e dezenas de milhares de dólares em despesas com pessoal e consultores!
  • Economia de tempo - O CDPP pode fornecer à sua organização uma solução semi-personalizada que requer recursos mínimos para ajustar as necessidades específicas da sua organização.
  • Alinhamento com as principais práticas - O CDPP baseado em NIST foi escrito para alinhar sua organização com o NIST 800-53 rev5!

Criando um programa de segurança cibernética baseado no NIST 800-53

O ComplianceForge fornece às empresas exatamente o que elas precisam para se protegerem - políticas, procedimentos, padrões e diretrizes escritos profissionalmente a um custo muito acessível. Padrões de documentação semelhantes podem ser encontrados em empresas da Fortune 500 que têm uma equipe de segurança de TI dedicada. Todas as políticas e padrões de segurança da informação são apoiados por práticas recomendadas documentadas.

Além das políticas e padrões de segurança cibernética baseados no NIST, o CDPP NIST 800-53 vem com esses recursos suplementares de segurança cibernética

Como um bônus extra, incluímos a seguinte documentação suplementar sem custo adicional:

  • Planilha Excel que mapeia as normas para múltiplos marcos estatutários, regulatórios e contratuais
  • Apresentação personalizável de treinamento de conscientização de segurança cibernética no Microsoft PowerPoint para treinamento de conscientização de segurança da informação (valor de US$ 260)
  • Formulário de treinamento de conscientização sobre segurança cibernética
  • Modelo de Plano de Resposta a Incidentes (IRP) personalizável
  • Modelo de Avaliação de Impacto nos Negócios (BIA)
  • Modelo de Plano de Continuidade de Negócios (BCP) e Recuperação de Desastres (DR)
  • Modelo de Indenização e Contrato de Confidencialidade (NDA) do provedor de serviços
  • Formulário de confirmação do usuário
  • Formulário de solicitação de gerenciamento de alterações
  • Modelo de metodologia de avaliação de risco
  • Ordens de nomeação para um Oficial de Segurança da Informação (ISO)

Esta documentaçãoeconomiza centenas de horaspor não ter que fazê-lo por conta própria!

FAR vs DFARS (NIST 800-171) Implicações

O NIST 800-171 não é apenas para empreiteiros do Departamento de Defesa (DoD). Representantes do Instituto Nacional de Padrões e Tecnologia (NIST) e funcionários do DoD recentemente divulgaram essas informações em webinars e outros seminários de treinamento sobre o NIST 800-171. Muitos de nossos clientes que precisam se dirigir aoDFARS 252.204-7012 também precisam se dirigir ao FAR 52.204-21. Uma pergunta comum que recebemos dos clientes diz respeito ao alinhamento com a estrutura de segurança correta para garantir que eles tenham a cobertura adequada para conformidade. Isso geralmente gira em torno do alinhamento com a ISO 27001/27002, a NIST Cybersecurity Framework ou NIST 800-53, uma vez que essas são asestruturas de segurança mais comuns.

A conclusão é que a utilização da Estrutura de Segurança Cibernética do NIST ou ISO 27001/27002 como uma estrutura de segurança não atende diretamente aos requisitos do NIST 800-171. De fato, o NIST 800-171 (Apêndice D) mapeia como os requisitos de segurança CUI do NIST 800-171 se relacionam com os controles de segurança NIST 800-53 e ISO 27001/27002. Isso inclui textos explicativos em que a estrutura ISO 27001/27002 não satisfaz totalmente os requisitos do NIST 800-171. Portanto, políticas e padrões baseados no NIST 800-53 são o que é necessário para cumprir o NIST 800-171.

Isso significa que apenas a estrutura NIST800-53atenderá aos requisitos FAR do NIST 800171 - ISO 27002 e a NIST Cybersecurity Framework serão insuficientes em cobertura.

far-2018.2-cybersecurity-requirements-nist-800-171.jpg

É assim que a documentação de segurança cibernética do NIST 800-53 deve ser estruturada!

O ComplianceForge fornece às empresas exatamente o que elas precisam para se protegerem - políticas, procedimentos, padrões e diretrizes escritos profissionalmente a um custo muito acessível. Padrões de documentação semelhantes podem ser encontrados em empresas da Fortune 500 que têm uma equipe de segurança de TI dedicada. Todas as políticas e padrões de segurança da informação são apoiados por práticas recomendadas documentadas.

2022.2-nist-csf-vs-iso-27001-27002-vs-nist-800-53-policies-standards-procedures.jpg

Abordagem hierárquica - construída para escalar e evoluir com o seu negócio

Nossa experiência provou que, quando se trata de políticas de Segurança da Informação, um padrão é um padrão por um motivo. Com isso em mente, nosso Programa de Segurança Cibernética e Proteção de Dados (CDPP) é baseado em práticas recomendadas reconhecidas pelo setor e padrões de Segurança da Informação para que você possa atender aos seus requisitos legais. Ao contrário de alguns sites concorrentes que oferecem pacotes “Bronze, Prata ou Ouro” que podem deixá-lo criticamente exposto, oferecemos uma solução abrangente de Segurança da Informação para atender aos seus requisitos específicos de conformidade. Porquê? É simples - no mundo real, a conformidade é centrada na penalidade. Os tribunais estabeleceram um histórico de punição de empresas por não executarem etapas “razoavelmente esperadas” para atender à conformidade com os padrões conhecidos.

O Programa de Segurança Cibernética e Proteção de Dados (CDPP) segue uma abordagem hierárquica de como a estrutura é projetada para que os padrões sejam mapeados para controlar os objetivos e os objetivos de controle sejam mapeados para as políticas. Isso permite que os padrões sejam agrupados logicamente para dar suporte às políticas.

Componente

Conteúdo de exemplo 
documentação abrangente de segurança cibernética.jpg  abrangente-cibersegurança-documentação-exemplo.jpg

As políticas são declarações de "alto nível" da intenção da administração e destinam-se a orientar as decisões para alcançar resultados racionais. As políticas não devem ser prescritivas, mas fornecem uma direção geral para a organização.

Os Objetivos de Controle dão suporte à política identificando os requisitos aplicáveis que a organização precisa abordar. Esses requisitos aplicáveis podem ser melhores práticas, leis ou outras obrigações legais.

As normas estabelecem requisitos formais em relação a processos, ações e configurações. Os padrões são totalmente focados em fornecer requisitos prescritivos estritamente focados que são quantificáveis.

Procedimentos são métodos formais de execução de uma tarefa, baseados em uma série de ações realizadas de forma definida e repetível.

Os controles são salvaguardas técnicas ou administrativas que podem impedir, detectar ou diminuir a capacidade do agente de ameaças de explorar uma vulnerabilidade.

As métricas são projetadas para facilitar a tomada de decisões, melhorar o desempenho e melhorar a responsabilidade por meio da coleta, análise e relatório de dados relevantes relacionados ao desempenho.

Qual produto é certo para você?

Nossa documentação destina-se a atender às suas necessidades, desde conceitos estratégicos até as entregas do dia-a-dia, que você precisa para demonstrar conformidade com obrigações estatutárias, regulatórias e contratuais comuns. Oferecemos descontos de até 40% em nossos pacotes de documentação, portanto, esteja ciente de que você se beneficiou de economias significativas ao agrupar a documentação de que precisa. Você pode ver os pacotes disponíveisaqui.

Estamos aqui para ajudar a tornar a documentação abrangente de segurança cibernética o mais fácil e acessível possível. Atendemos empresas de todos os tamanhos, desde a Fortune 500 até pequenas empresas, já que nossos produtos de documentação de segurança cibernética são projetados para serem dimensionados para organizações de qualquer tamanho ou nível de complexidade. Nossas soluções acessíveis variam depolíticas e documentação de padrões de segurança cibernéticaalistas de verificação de conformidade NIST 800-171 a documentação em nível de programa, como resposta a incidentes “chave na mão”, gerenciamento de riscosou documentos do programa degerenciamento de vulnerabilidades. Nosso foco é ajudá-lo a se preparar para auditorias!

2021.1-raia-cdpp.jpg

Artigo Original