# NIST - National Institute of Standards and Technology > [!info] Agência federal dos EUA (Departamento de Comércio) responsável pelo desenvolvimento de padrões de medição, tecnologia e cibersegurança. Publica o NIST Cybersecurity Framework (CSF), a série SP 800 de controles de segurança e opera o National Vulnerability Database (NVD), repositório global de CVEs. > [!latam] Relevância LATAM > O **NIST CSF 2.0** é o framework de cibersegurança mais adotado no Brasil e América Latina - o **BACEN**, a **LGPD** e diversos programas de conformidade nacionais referênciam diretamente as públicações SP 800 e o CSF. O **NVD** é a fonte primária de CVSS scores para todos os CVEs rastreados no RunkIntel, via API `services.nvd.nist.gov`. Os novos padrões de **criptografia pós-quântica** (FIPS 203/204/205, 2024) têm impacto direto em toda a infraestrutura de PKI e TLS no Brasil - bancos, governo e telecomúnicações precisarão migrar nos próximos 5-10 anos. O **NIST SP 800-53** é referência para o **SGSI (Sistema de Gestão de Segurança da Informação)** da Administração Pública Federal brasileira. ## Visão Geral O NIST (National Institute of Standards and Technology) é uma agência federal dos Estados Unidos vinculada ao Departamento de Comércio, fundada em 1901. Sua missão é promover inovação e competitividade industrial por meio do avanço de padrões de medição, tecnologia e ciência aplicada. No universo de cibersegurança, o NIST é a instituição mais influente globalmente em termos de frameworks e padrões técnicos. O **NIST Cybersecurity Framework (CSF)**, o **NIST SP 800-53** (controles de segurança federais dos EUA) e o **NIST SP 800-171** (proteção de informações controladas não-classificadas) são adotados por governos, empresas e organizações ao redor do mundo como base para programas de segurança. O NIST também opera o **National Vulnerability Database (NVD)**, que é o repositório oficial de enriquecimento de dados para todos os CVEs públicados pelo programa CVE (operado pela [[mitre|MITRE Corporation]]). Todo CVE atribuído pela MITRE recebe análise e pontuação CVSS pelo NVD, tornando-o a referência primária para informações de vulnerabilidades usadas em ferramentas de gestão de vulnerabilidades e em fontes como [[cisa|CISA KEV]]. ## Mandato e Missão O NIST em cibersegurança tem três grandes mandatos: 1. **Desenvolvimento de padrões**: Frameworks, diretrizes e públicações técnicas (SP 800-series, FIPS) 2. **Operação do NVD**: Enriquecimento e públicação de dados de vulnerabilidades (CVE/CVSS) 3. **Pesquisa aplicada**: Criptografia, identidade digital, privacidade, IA e segurança de sistemas ## Relevância para Cibersegurança ```mermaid graph TB N["📐 NIST"] N --> CSF["NIST CSF 2.0<br/>Cybersecurity Framework"] N --> NVD["National Vulnerability<br/>Database - NVD"] N --> SP800["SP 800-Series<br/>Controles e diretrizes"] N --> CRYPT["Criptografia<br/>FIPS / PQC"] CSF --> C1["Govern · Identify"] CSF --> C2["Protect · Detect"] CSF --> C3["Respond · Recover"] NVD --> V1["CVE Database<br/>Enriquecimento CVSS"] NVD --> V2["CPE Dictionary<br/>Produtos afetados"] NVD --> V3["CWE Mappings<br/>Fraquezas de software"] SP800 --> S1["SP 800-53<br/>Controles federais EUA"] SP800 --> S2["SP 800-171<br/>CUI Protection"] SP800 --> S3["SP 800-63<br/>Digital Identity"] style N fill:#1a1a2e,stroke:#e94560,color:#fff style CSF fill:#16213e,stroke:#0f3460,color:#fff style NVD fill:#16213e,stroke:#dc2626,color:#fff style SP800 fill:#16213e,stroke:#533483,color:#fff ``` ### NIST Cybersecurity Framework 2.0 O CSF 2.0 (públicado em fevereiro de 2024) introduziu a função **Govern** às cinco funções originais, expandindo o foco para governança de cibersegurança como disciplina organizacional: | Função | Descrição | | ------- | --------- | | **Govern** | Estabelecer e monitorar estratégia, expectativas e política de cibersegurança | | **Identify** | Compreender riscos de cibersegurança para sistemas, ativos, dados e capacidades | | **Protect** | Implementar salvaguardas para entregar serviços críticos | | **Detect** | Identificar a ocorrência de eventos de cibersegurança | | **Respond** | Agir em relação a incidentes detectados | | **Recover** | Restaurar capacidades ou serviços impactados por incidentes | ### National Vulnerability Database (NVD) O NVD enriquece dados de CVEs com: - **CVSS scores** (Common Vulnerability Scoring System) - v3.1 e v4.0 - **CPE** (Common Platform Enumeration) - lista de produtos afetados - **CWE** (Common Weakness Enumeration) - tipo de fraqueza de software - **Configurações vulneráveis** - ambientes específicos afetados **API NVD**: Fonte primária para automação de coleta de CVEs no RunkIntel: ``` GET https://services.nvd.nist.gov/rest/json/cves/2.0 ?cvssV3Severity=CRITICAL&pubStartDate=YYYY-MM-DDT00:00:00.000 ``` ### Pós-Quantum Cryptography (PQC) Em 2024, o NIST finalizou os primeiros padrões de criptografia pós-quântica (FIPS 203, 204, 205), marcando o início da transição global para algoritmos resistentes a computadores quânticos. ## Regulações e Padrões Associados | Padrão | Escopo | Relevância Global | | ------- | ------ | ---------------- | | [[nist-csf\|NIST CSF 2.0]] | Framework de cibersegurança | Adotado globalmente | | NIST SP 800-53 Rev. 5 | Controles de segurança federais EUA | Referência para ISMS | | NIST SP 800-171 | Proteção de CUI - cadeia de suprimento | Obrigatório para fornecedores do DoD | | FIPS 140-3 | Requisitos de módulos criptográficos | Adotado por Brasil (SGSI) | | FIPS 203/204/205 | Criptografia pós-quântica | Padrão emergente global | ## Publicações e Recursos - **NVD - National Vulnerability Database**: `nvd.nist.gov` - referência primária para CVEs - **NIST SP 800-Series**: Publicações técnicas de segurança (200+ documentos) - **NIST CSF 2.0**: Framework de cibersegurança em múltiplos idiomas (incluindo PT-BR) - **NIST Privacy Framework**: Framework de privacidade complementar ao CSF - **NIST AI Risk Management Framework (AI RMF)**: Gestão de riscos de IA ## Referências - [NIST Cybersecurity Framework](https://www.nist.gov/cyberframework) - [National Vulnerability Database](https://nvd.nist.gov) - [NIST SP 800-53 Rev. 5](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) - [Post-Quantum Cryptography Standards](https://csrc.nist.gov/projects/post-quantum-cryptography) - [[cisa|CISA]] - parceiro em operações de cibersegurança dos EUA - [[mitre|MITRE Corporation]] - operador do programa CVE - [[nist-csf|NIST CSF 2.0]] - framework de cibersegurança - [[government|Setor Governo]] - principais usuários dos padrões NIST