NIST SP 800-37
O que é NIST SP 800-37?
NIST SP 800-37Risk Management Framework do NIST que define um processo de sete passos para gerenciar risco de seguranca e privacidade ao longo do ciclo de vida do sistema.
O NIST SP 800-37 Revisao 2, Risk Management Framework (RMF) for Information Systems and Organizations, e publicado pelo National Institute of Standards and Technology dos EUA. Estabelece um ciclo de vida em sete etapas para gerenciar risco de seguranca e privacidade: Preparar, Categorizar, Selecionar, Implementar, Avaliar, Autorizar e Monitorar. A publicacao integra a gestao de risco de seguranca, privacidade e cadeia de suprimentos em um unico framework, alinhado a FISMA, a OMB Circular A-130 e ao NIST CSF. Aplica-se a sistemas federais, mas tambem e adotado por contratados, pela base industrial de defesa e por muitas organizacoes estaduais, locais, tribais e privadas para emitir decisoes de Autorizacao para Operar (ATO) repetiveis.
● Exemplos
- 01
Um gerente de programa federal conduz um ATO seguindo as sete etapas do RMF para autorizar uma nova carga SaaS.
- 02
Um contratado de defesa herda controles comuns de um CSP e os documenta na etapa Implementar do RMF.
● Perguntas frequentes
O que é NIST SP 800-37?
Risk Management Framework do NIST que define um processo de sete passos para gerenciar risco de seguranca e privacidade ao longo do ciclo de vida do sistema. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa NIST SP 800-37?
Risk Management Framework do NIST que define um processo de sete passos para gerenciar risco de seguranca e privacidade ao longo do ciclo de vida do sistema.
Como funciona NIST SP 800-37?
O NIST SP 800-37 Revisao 2, Risk Management Framework (RMF) for Information Systems and Organizations, e publicado pelo National Institute of Standards and Technology dos EUA. Estabelece um ciclo de vida em sete etapas para gerenciar risco de seguranca e privacidade: Preparar, Categorizar, Selecionar, Implementar, Avaliar, Autorizar e Monitorar. A publicacao integra a gestao de risco de seguranca, privacidade e cadeia de suprimentos em um unico framework, alinhado a FISMA, a OMB Circular A-130 e ao NIST CSF. Aplica-se a sistemas federais, mas tambem e adotado por contratados, pela base industrial de defesa e por muitas organizacoes estaduais, locais, tribais e privadas para emitir decisoes de Autorizacao para Operar (ATO) repetiveis.
Como se defender contra NIST SP 800-37?
As defesas contra NIST SP 800-37 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para NIST SP 800-37?
Nomes alternativos comuns: SP 800-37, RMF, Risk Management Framework.
● Termos relacionados
- compliance№ 735
NIST SP 800-30
Publicacao especial do NIST que fornece orientacoes para conduzir avaliacoes de risco de sistemas de informacao e das missoes que eles apoiam.
- compliance№ 738
NIST SP 800-61
Guia do NIST para tratamento de incidentes de seguranca computacional, descrevendo o ciclo de vida em quatro fases usado por equipes de resposta no governo e na industria.
- compliance№ 236
CRISC
Certificacao da ISACA para profissionais de risco e controle de TI, cobrindo governanca, avaliacao de risco, resposta e reporte, e selecao de controles em quatro dominios.
- compliance№ 176
CISM
Certificacao de nivel gerencial da ISACA para responsaveis por seguranca da informacao, cobrindo governanca, risco, desenvolvimento de programa e gestao de incidentes em quatro dominios.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
● Veja também
- № 175CISA