NIST SP 800-30
O que é NIST SP 800-30?
NIST SP 800-30Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam.
O NIST SP 800-30 Revisao 1, Guia para Conducao de Avaliacoes de Risco, e publicado pelo National Institute of Standards and Technology dos Estados Unidos e integra o NIST Risk Management Framework. Define um processo em quatro etapas: preparar a avaliacao, conduzir a avaliacao, comunicar resultados e manter a avaliacao. O documento descreve como identificar fontes e eventos de ameaca, vulnerabilidades, probabilidade e impacto, e combina-los em classificacoes de risco qualitativas ou semiquantitativas. E a referencia para avaliacoes em camadas — organizacao, missao e sistema — usada por agencias federais, contratados e muitas organizacoes privadas, junto com SP 800-37 e SP 800-39.
● Exemplos
- 01
Um contratado federal usa as tabelas do SP 800-30 para pontuar probabilidade e impacto em um pacote ATO.
- 02
Um banco adapta templates do SP 800-30 para avaliar riscos de SaaS antes de contratar.
● Perguntas frequentes
O que é NIST SP 800-30?
Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa NIST SP 800-30?
Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam.
Como funciona NIST SP 800-30?
O NIST SP 800-30 Revisao 1, Guia para Conducao de Avaliacoes de Risco, e publicado pelo National Institute of Standards and Technology dos Estados Unidos e integra o NIST Risk Management Framework. Define um processo em quatro etapas: preparar a avaliacao, conduzir a avaliacao, comunicar resultados e manter a avaliacao. O documento descreve como identificar fontes e eventos de ameaca, vulnerabilidades, probabilidade e impacto, e combina-los em classificacoes de risco qualitativas ou semiquantitativas. E a referencia para avaliacoes em camadas — organizacao, missao e sistema — usada por agencias federais, contratados e muitas organizacoes privadas, junto com SP 800-37 e SP 800-39.
Como se defender contra NIST SP 800-30?
As defesas contra NIST SP 800-30 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para NIST SP 800-30?
Nomes alternativos comuns: SP 800-30, Guia para Conducao de Avaliacoes de Risco.
● Termos relacionados
- compliance№ 736
NIST SP 800-37
Risk Management Framework do NIST que define um processo de sete passos para gerenciar risco de seguranca e privacidade ao longo do ciclo de vida do sistema.
- compliance№ 738
NIST SP 800-61
Guia do NIST para tratamento de incidentes de seguranca computacional, descrevendo o ciclo de vida em quatro fases usado por equipes de resposta no governo e na industria.
- compliance№ 236
CRISC
Certificacao da ISACA para profissionais de risco e controle de TI, cobrindo governanca, avaliacao de risco, resposta e reporte, e selecao de controles em quatro dominios.
- compliance№ 176
CISM
Certificacao de nivel gerencial da ISACA para responsaveis por seguranca da informacao, cobrindo governanca, risco, desenvolvimento de programa e gestao de incidentes em quatro dominios.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.