Escolar Documentos
Profissional Documentos
Cultura Documentos
NIST Security and Privacy Controls For Information Systems and Organizations P2
NIST Security and Privacy Controls For Information Systems and Organizations P2
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Discussão: As informações de prestadores de serviços externos sobre as funções, portas, protocolos e serviços
específicos utilizados na prestação de tais serviços podem ser úteis quando surge a necessidade de compreender as
compensações envolvidas na restrição de certas funções e serviços ou no bloqueio de certas portas e protocolos.
(3) SERVIÇOS DE SISTEMA EXTERNO | ESTABELECER E MANTER RELACIONAMENTO DE CONFIANÇA COM OS FORNECEDORES
Estabelecer, documentar e manter relações de confiança com provedores de serviços externos com base nos
seguintes requisitos, propriedades, fatores ou condições: [Atribuição: requisitos de segurança e privacidade
definidos pela organização, propriedades, fatores ou condições que definem relações de confiança aceitáveis].
Discussão: As relações de confiança entre organizações e prestadores de serviços externos reflectem o grau de confiança de
que o risco da utilização de serviços externos se encontra num nível aceitável.
As relações de confiança podem ajudar as organizações a obter maiores níveis de confiança de que os prestadores de
serviços estão a fornecer proteção adequada para os serviços prestados e também podem ser úteis ao conduzir a resposta a
incidentes ou ao planear atualizações ou obsolescência. As relações de confiança podem ser complicadas devido ao
número potencialmente grande de entidades que participam nas interações consumidor-fornecedor, às relações subordinadas
e aos níveis de confiança, e aos tipos de interações entre as partes. Em alguns casos, o grau de confiança baseia-se no
nível de controle que as organizações podem exercer sobre os prestadores de serviços externos em relação aos controles
necessários para a proteção do serviço, da informação ou da privacidade individual e nas evidências apresentadas
quanto à eficácia do serviço. controles implementados. O nível de controle é estabelecido pelos termos e condições dos
contratos ou acordos de nível de serviço.
Execute as seguintes ações para verificar se os interesses de [Atribuição: prestadores de serviços externos
definidos pela organização] são consistentes e refletem os interesses organizacionais: [Atribuição: ações definidas
pela organização].
Discussão: À medida que as organizações recorrem cada vez mais a prestadores de serviços externos, é possível que os
interesses dos prestadores de serviços possam divergir dos interesses organizacionais. Em tais situações, a simples
implementação dos controlos técnicos, de gestão ou operacionais necessários pode não ser suficiente se os fornecedores
que implementam e gerem esses controlos não estiverem a operar de uma forma consistente com os interesses das
organizações consumidoras.
As ações que as organizações tomam para abordar tais preocupações incluem a exigência de verificações de
antecedentes para o pessoal selecionado dos prestadores de serviços; examinar registros de propriedade; empregar
apenas prestadores de serviços confiáveis, tais como prestadores com os quais as organizações tenham tido relações
de confiança bem-sucedidas; e realização de visitas de rotina, periódicas e não programadas às instalações dos prestadores
de serviços.
_________________________________________________________________________________________________
pe
E locais sejam restritos a determinados locais para ajudar a facilitar as atividades de resposta a incidentes em caso de
incidentes ou violações de segurança da informação. Atividades de resposta a incidentes, incluindo
análises forenses e investigações posteriores ao fato podem ser afetadas negativamente pelas leis, políticas
ou protocolos vigentes nos locais onde o processamento e o armazenamento ocorrem e/ou nos locais de onde
emanam os serviços do sistema.
Discussão: Manter o controle exclusivo das chaves criptográficas em um sistema externo evita a descriptografia
de dados organizacionais pela equipe externa do sistema. O controle organizacional de chaves criptográficas pode ser
implementado criptografando e descriptografando dados dentro da organização à medida que os dados são
enviados e recebidos do sistema externo ou empregando um componente que permite que as funções de
criptografia e descriptografia sejam locais para o sistema externo, mas permite acesso organizacional exclusivo. às
chaves de criptografia.
Fornece a capacidade de verificar a integridade das informações enquanto elas residem no sistema externo.
Discussão: O armazenamento de informações organizacionais num sistema externo pode limitar a visibilidade do estado
de segurança dos seus dados. A capacidade da organização de verificar e validar a integridade dos dados armazenados
sem transferi-los para fora do sistema externo proporciona essa visibilidade.
(8) SERVIÇOS DE SISTEMA EXTERNO | LOCAL DE PROCESSAMENTO E ARMAZENAMENTO - JURISDIÇÃO DOS EUA
Discussão: A localização geográfica do processamento de informações e armazenamento de dados pode ter um impacto
direto na capacidade das organizações de executar com sucesso a sua missão e funções de negócio. Um
comprometimento ou violação de informações e sistemas de alto impacto pode ter impactos adversos graves ou
catastróficos nos ativos e operações organizacionais, nos indivíduos, em outras organizações e na Nação.
Restringir o processamento e armazenamento de informações de alto impacto a instalações dentro dos limites
jurisdicionais legais dos Estados Unidos proporciona maior controle sobre esse processamento e armazenamento.
Referências: [OMB A-130], [SP 800-35], [SP 800-160-1], [SP 800-161], [SP 800-171].
a. Realizar gerenciamento de configuração durante sistema, componente ou serviço [Seleção (um ou mais): design;
desenvolvimento; implementação; Operação; disposição];
b. Documentar, gerenciar e controlar a integridade das alterações em [Atribuição: itens de configuração definidos pela
organização sob gerenciamento de configuração];
_________________________________________________________________________________________________
pe
E d. Documente as alterações aprovadas no sistema, componente ou serviço e o potencial
impactos de tais mudanças na segurança e na privacidade; e
Discussão: As organizações consideram a qualidade e a integridade das atividades de gerenciamento de configuração conduzidas
pelos desenvolvedores como evidência direta da aplicação de controles de segurança eficazes.
Os controles incluem a proteção das cópias mestras do material usado para gerar partes relevantes de segurança do hardware,
software e firmware do sistema contra modificação ou destruição não autorizada. Manter a integridade das alterações no
sistema, componente do sistema ou serviço do sistema requer um controle rigoroso da configuração durante todo o ciclo de vida
de desenvolvimento do sistema para rastrear alterações autorizadas e evitar alterações não autorizadas.
Os itens de configuração colocados no gerenciamento de configuração incluem o modelo formal; as especificações de design
funcionais, de alto e baixo nível; outros dados de projeto; documentação de implementação; código-fonte e esquemas
de hardware; a versão atual do código-objeto em execução; ferramentas para comparar novas versões de descrições de
hardware e códigos-fonte relevantes para a segurança com versões anteriores; e acessórios de teste e documentação.
Dependendo da missão e das necessidades comerciais das organizações e da natureza das relações contratuais em vigor, os
desenvolvedores podem fornecer suporte de gerenciamento de configuração durante o estágio de operações e manutenção do
ciclo de vida de desenvolvimento do sistema.
Controles relacionados: CM-2, CM-3, CM-4, CM-7, CM-9, SA-4, SA-5, SA-8, SA-15, SI-2, SR-3, SR-4 , SR-5,
SR-6.
Melhorias de controle:
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema habilite a verificação de
integridade dos componentes de software e firmware.
Discussão: A verificação da integridade de software e firmware permite que as organizações detectem alterações não
autorizadas em componentes de software e firmware usando ferramentas, técnicas e mecanismos fornecidos pelo
desenvolvedor. Os mecanismos de verificação de integridade também podem resolver a falsificação de componentes de
software e firmware. As organizações verificam a integridade dos componentes de software e firmware, por exemplo, por
meio de hashes unidirecionais seguros fornecidos pelos desenvolvedores. Os componentes de software e firmware fornecidos
também incluem quaisquer atualizações desses componentes.
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema habilite a verificação de
integridade dos componentes de hardware.
_________________________________________________________________________________________________
pe
E Discussão: A verificação da integridade de hardware permite que as organizações detectem alterações não autorizadas
em componentes de hardware usando ferramentas, técnicas, métodos e mecanismos fornecidos pelo desenvolvedor. As
organizações podem verificar a integridade dos componentes de hardware com etiquetas difíceis de copiar, números de
série verificáveis fornecidos pelos desenvolvedores e exigindo o uso de tecnologias anti-adulteração. Os componentes de
hardware fornecidos também incluem atualizações de hardware e firmware para tais componentes.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas
para comparar versões recém-geradas de descrições de hardware, código-fonte e código-objeto relevantes para a
segurança com versões anteriores.
Discussão: A geração confiável de descrições, código-fonte e código-objeto trata de alterações autorizadas em componentes
de hardware, software e firmware entre versões durante o desenvolvimento. O foco está na eficácia do processo de
gerenciamento de configuração pelo desenvolvedor para garantir que versões recém-geradas de descrições de hardware,
código-fonte e código-objeto relevantes para a segurança continuem a impor a política de segurança para o sistema,
componente do sistema ou serviço do sistema. Em contraste, SA-10(1) e SA-10(3) permitem que as organizações
detectem alterações não autorizadas em componentes de hardware, software e firmware usando ferramentas, técnicas
ou mecanismos fornecidos por desenvolvedores.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema mantenha a integridade do
mapeamento entre os dados mestres de construção que descrevem a versão atual do hardware, software e firmware
relevantes para a segurança e a cópia mestre no local dos dados para a versão atual.
Discussão: O mapeamento da integridade para controle de versão aborda alterações nos componentes de hardware, software
e firmware durante o desenvolvimento inicial e as atualizações do ciclo de vida de desenvolvimento do sistema. Manter a
integridade entre as cópias mestras de hardware, software e firmware relevantes para a segurança (incluindo projetos,
desenhos de hardware, código-fonte) e os dados equivalentes em cópias mestras em ambientes operacionais é essencial
para garantir a disponibilidade de sistemas organizacionais que suportam missões críticas. e funções empresariais.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute procedimentos
para garantir que as atualizações de hardware, software e firmware relevantes para a segurança distribuídas à
organização sejam exatamente conforme especificado pelas cópias mestras.
Discussão: A distribuição confiável de atualizações de hardware, software e firmware relevantes para a segurança ajuda a
garantir que as atualizações sejam representações corretas das cópias mestras mantidas pelo desenvolvedor e não
tenham sido adulteradas durante a distribuição.
Exigir que [Atribuição: representantes de segurança e privacidade definidos pela organização ] seja incluído no
[Atribuição: processo de gerenciamento e controle de alterações de configuração definido pela organização].
Discussão: Os representantes de segurança da informação e privacidade podem incluir oficiais de segurança do sistema,
oficiais seniores de segurança da informação de agências, funcionários seniores de agências para privacidade e
responsáveis pela privacidade do sistema. Representação por pessoal com segurança e privacidade da informação
_________________________________________________________________________________________________
pe
E a experiência é importante porque as alterações nas configurações do sistema podem ter efeitos colaterais não
intencionais, alguns dos quais podem ser relevantes para a segurança ou a privacidade. Detectar essas mudanças
no início do processo pode ajudar a evitar consequências negativas não intencionais que poderiam, em última
instância, afetar a postura de segurança e privacidade dos sistemas. O processo de gerenciamento e controle
de alterações de configuração neste aprimoramento de controle refere-se ao processo de gerenciamento e
controle de alterações definido pelas organizações na SA-10b.
Controles relacionados: Nenhum.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 202], [SP 800-128], [SP 800-160-1].
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema, em todos os estágios
pós-projeto do ciclo de vida de desenvolvimento do sistema,:
b. Execute [Seleção (uma ou mais): unidade; integração; sistema; regressão] teste/avaliação [Tarefa: frequência
definida pela organização] em [Tarefa: profundidade e cobertura definidas pela organização];
Os desenvolvedores podem usar as abordagens de análise, juntamente com instrumentação de segurança e difusão, em
diversas ferramentas e em revisões de código-fonte. Os planos de avaliação de segurança e privacidade incluem
as atividades específicas que os desenvolvedores planejam realizar, incluindo os tipos de análises, testes, avaliações
e revisões de componentes de software e firmware; o grau de rigor a aplicar;
a frequência dos testes e avaliações contínuas; e os tipos de artefatos produzidos durante esses processos. A
profundidade dos testes e da avaliação refere-se ao rigor e ao nível de detalhe associado ao processo de
avaliação. A cobertura dos testes e da avaliação refere-se ao escopo (isto é, número e tipo) dos artefatos incluídos
no processo de avaliação. Os contratos especificam os critérios de aceitação para planos de avaliação de
segurança e privacidade, processos de correção de falhas e a evidência de que os planos e processos foram
aplicados diligentemente. Os métodos para revisar e proteger planos de avaliação, evidências e documentação são
proporcionais à categoria de segurança ou nível de classificação do sistema. Os contratos podem especificar requisitos
de proteção para documentação.
Controles Relacionados: CA-2, CA-7, CM-4, SA-3, SA-4, SA-5, SA-8, SA-15, SA-17, SI-2, SR-5, SR-6 , SR-7.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | ANÁLISE DE CÓDIGO ESTÁTICO
Discussão: A análise estática de código fornece uma tecnologia e metodologia para revisões de segurança e inclui
a verificação de pontos fracos no código, bem como a incorporação de bibliotecas ou outros códigos incluídos com
vulnerabilidades conhecidas ou que estejam desatualizados e sem suporte.
A análise estática de código pode ser usada para identificar vulnerabilidades e impor práticas de
codificação seguras. É mais eficaz quando usado no início do processo de desenvolvimento, quando cada alteração
no código pode ser verificada automaticamente em busca de possíveis pontos fracos. A análise estática de
código pode fornecer orientações claras de correção e identificar defeitos para os desenvolvedores corrigirem.
As evidências da implementação correta da análise estática podem incluir densidade agregada de defeitos para
tipos de defeitos críticos, evidências de que os defeitos foram inspecionados por desenvolvedores ou profissionais de segurança,
e evidências de que os defeitos foram corrigidos. Uma alta densidade de descobertas ignoradas, comumente
chamadas de falsos positivos, indica um problema potencial com o processo de análise ou com a ferramenta de
análise. Nesses casos, as organizações avaliam a validade das evidências em relação às evidências de outras
fontes.
(b) Emprega as seguintes ferramentas e métodos: [Tarefa: ferramentas definidas pela organização
e métodos];
(c) Conduz a modelagem e as análises no seguinte nível de rigor: [Tarefa: amplitude e profundidade
de modelagem e análises definidas pela organização]; e
(d) Produz evidências que atendam aos seguintes critérios de aceitação: [Tarefa:
critérios de aceitação definidos pela organização].
Discussão: Sistemas, componentes de sistema e serviços de sistema podem desviar-se significativamente das
especificações funcionais e de design criadas durante os requisitos e estágios de design do ciclo de vida de
desenvolvimento do sistema. Portanto, as atualizações na modelagem de ameaças e nas análises de
vulnerabilidade desses sistemas, componentes do sistema e serviços do sistema durante o desenvolvimento e
antes da entrega são essenciais para a operação eficaz desses sistemas, componentes e serviços. A modelagem
de ameaças e as análises de vulnerabilidade neste estágio do ciclo de vida de desenvolvimento do sistema
garantem que as alterações no projeto e na implementação foram levadas em consideração e que as
vulnerabilidades criadas devido a essas alterações foram revisadas e mitigadas.
(a) Exigir que um agente independente satisfaça [Atribuição: definida pela organização
critérios de independência] para verificar a correta implementação dos planos de avaliação de
segurança e privacidade do desenvolvedor e as evidências produzidas durante os testes e
avaliação; e
_________________________________________________________________________________________________
pe
E (b) Verificar se o agente independente recebe informações suficientes para concluir o processo de
verificação ou se recebeu autoridade para obter tais informações.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute uma
revisão manual do código de [Atribuição: código específico definido pela organização] usando
os seguintes processos, procedimentos e/ou técnicas: [Atribuição: processos, procedimentos
definidos pela organização e/ ou técnicas].
Discussão: As revisões manuais de código geralmente são reservadas para componentes críticos de software e
firmware dos sistemas. As revisões manuais de código são eficazes na identificação de pontos fracos que
exigem conhecimento dos requisitos ou do contexto da aplicação que, na maioria dos casos, é
indisponível para ferramentas e técnicas analíticas automatizadas, como análises estáticas e dinâmicas.
Os benefícios da revisão manual de código incluem a capacidade de verificar matrizes de controle de
acesso em relação aos controles de aplicativos e revisar aspectos detalhados de implementações e controles
criptográficos.
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema realize testes
de penetração:
(a) No seguinte nível de rigor: [Atribuição: amplitude e profundidade definidas pela organização
de testes]; e
Discussão: O teste de penetração é uma metodologia de avaliação na qual os avaliadores, usando toda a
documentação disponível de produtos ou sistemas de tecnologia da informação e trabalhando sob
restrições específicas, tentam contornar os recursos de segurança e privacidade implementados de
produtos e sistemas de tecnologia da informação. Informações úteis para avaliadores que conduzem testes de
penetração incluem especificações de design de produtos e sistemas, código-fonte e manuais do
administrador e do operador. Os testes de penetração podem incluir testes de caixa branca, caixa cinza ou caixa
preta com análises realizadas por profissionais qualificados que simulam ações adversárias. O objetivo do
teste de penetração é descobrir vulnerabilidades em sistemas, componentes de sistema e serviços que resultam
de erros de implementação, falhas de configuração ou outras fraquezas ou deficiências operacionais. Os
testes de penetração podem ser realizados em conjunto com revisões de código automatizadas e
manuais para fornecer um nível de análise maior do que normalmente seria possível. Quando as informações
de sessão do usuário e outras informações de identificação pessoal são capturadas ou registradas durante
testes de penetração, essas informações são tratadas de forma adequada para proteger a privacidade.
Discussão: As superfícies de ataque de sistemas e componentes de sistemas são áreas expostas que
tornam esses sistemas mais vulneráveis a ataques. As superfícies de ataque incluem quaisquer áreas acessíveis
onde pontos fracos ou deficiências nos componentes de hardware, software e firmware oferecem
oportunidades para os adversários explorarem vulnerabilidades. As revisões da superfície de ataque
garantem que os desenvolvedores analisem as mudanças de design e implementação nos sistemas e
_________________________________________________________________________________________________
pe
E mitigar vetores de ataque gerados como resultado das mudanças. A correção das falhas identificadas inclui a
descontinuação de funções inseguras.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema verifique se o escopo de
teste e avaliação fornece cobertura completa dos controles necessários no seguinte nível de rigor: [Atribuição:
amplitude e profundidade de teste e avaliação definidas pela organização] .
Discussão: A verificação de que os testes e a avaliação proporcionam uma cobertura completa dos controlos necessários
pode ser conseguida através de uma variedade de técnicas analíticas que vão desde informais a formais. Cada uma
dessas técnicas fornece um nível crescente de segurança que corresponde
ao grau de formalidade da análise. A demonstração rigorosa da cobertura do controle nos mais altos níveis de garantia pode
ser alcançada usando técnicas formais de modelagem e análise,
incluindo correlação entre implementação de controle e casos de teste correspondentes.
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas de
análise dinâmica de código para identificar falhas comuns e documentar os resultados da análise.
Discussão: A análise dinâmica de código fornece verificação em tempo de execução de programas de software usando
ferramentas capazes de monitorar programas em busca de corrupção de memória, problemas de privilégio de usuário e
outros possíveis problemas de segurança. A análise dinâmica de código emprega ferramentas de tempo de execução para
garantir que a funcionalidade de segurança funcione da maneira como foi projetada. Um tipo de análise dinâmica, conhecido
como teste fuzz, induz falhas de programa ao introduzir deliberadamente dados malformados ou aleatórios em programas
de software. As estratégias de teste Fuzz são derivadas do uso pretendido dos aplicativos e das especificações funcionais e
de design dos aplicativos. Para compreender o escopo da análise dinâmica de código e a garantia fornecida, as
organizações também podem considerar a realização de análise de cobertura de código (ou seja, verificar o grau em que o
código foi testado usando métricas como porcentagem de sub-rotinas testadas ou porcentagem de instruções de programa
chamadas durante a execução do conjunto de testes) e/ou análise de concordância (ou seja, verificação de palavras
que estão fora do lugar no código do software, como palavras em idiomas diferentes do inglês ou termos depreciativos).
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas
interativas de teste de segurança de aplicativos para identificar falhas e documentar os resultados.
Discussão: O teste interativo de segurança de aplicativos (também conhecido como baseado em instrumentação) é um
método de detecção de vulnerabilidades observando os aplicativos enquanto eles são executados durante o teste.
O uso de instrumentação depende de medições diretas dos aplicativos reais em execução e usa acesso ao código, interação
do usuário, bibliotecas, estruturas, conexões de back-end e configurações para medir diretamente a eficácia do controle.
Quando combinados com técnicas de análise, os testes interativos de segurança de aplicativos podem identificar uma ampla
gama de vulnerabilidades potenciais e confirmar a eficácia do controle. Os testes baseados em instrumentação funcionam
em tempo real e podem ser usados continuamente durante todo o ciclo de vida de desenvolvimento do sistema.
Referências: [ISO 15408-3], [SP 800-30], [SP 800-53A], [SP 800-154], [SP 800-160-1].
_________________________________________________________________________________________________
pe
E PROTEÇÃO DA CADEIA DE FORNECIMENTO SA-12
(1) PROTEÇÃO DA CADEIA DE FORNECIMENTO | ESTRATÉGIAS / FERRAMENTAS / MÉTODOS DE AQUISIÇÃO [Retirado: Movido
para SR-5.]
ATORES
(15) PROTEÇÃO DA CADEIA DE FORNECIMENTO | PROCESSOS PARA LIDAR COM DEFICIÊNCIAS OU DEFICIÊNCIAS
CONFIABILIDADE SA-13
_________________________________________________________________________________________________
pe
E ANÁLISE DE CRITICALIDADE SA-14
Melhorias de controle:
Ao controle:
a. Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema siga um processo de
desenvolvimento documentado que:
4. Documenta, gerencia e garante a integridade das alterações no processo e/ou ferramentas utilizadas no
desenvolvimento; e
Controles Relacionados: MA-6, SA-3, SA-4, SA-8, SA-10, SA-11, SR-3, SR-4 , SR-5, SR-6, SR-9.
Melhorias de controle:
Discussão: As organizações utilizam métricas de qualidade para estabelecer níveis aceitáveis de qualidade do
sistema. As métricas podem incluir portões de qualidade, que são coleções de critérios de conclusão ou padrões
de suficiência que representam a execução satisfatória de fases específicas do projeto de desenvolvimento do
sistema. Por exemplo, um controle de qualidade pode exigir a eliminação de todos os avisos do compilador ou a
determinação de que tais avisos não têm impacto na eficácia dos recursos de segurança ou privacidade
exigidos. Durante as fases de execução dos projetos de desenvolvimento, os portões de qualidade fornecem
indicações claras e inequívocas do progresso.
Outras métricas se aplicam a todo o projeto de desenvolvimento. As métricas podem incluir a definição dos limites
de gravidade das vulnerabilidades de acordo com a tolerância ao risco organizacional, como
_________________________________________________________________________________________________
pe
E como não exigindo vulnerabilidades conhecidas no sistema entregue com uma gravidade do Common Vulnerability Scoring
System (CVSS) média ou alta.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema selecione e empregue
ferramentas de rastreamento de segurança e privacidade para uso durante o processo de desenvolvimento.
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute uma análise de
criticidade:
(a) Nos seguintes pontos de decisão no ciclo de vida de desenvolvimento do sistema: [Atribuição: pontos de
decisão definidos pela organização no ciclo de vida de desenvolvimento do sistema]; e
(b) No seguinte nível de rigor: [Atribuição: amplitude e profundidade definidas pela organização
de análise de criticidade].
Discussão: A análise de criticidade realizada pelo desenvolvedor fornece informações para a análise de criticidade realizada
pelas organizações. A contribuição do desenvolvedor é essencial para a análise da criticidade organizacional porque as
organizações podem não ter acesso à documentação detalhada do projeto para componentes do sistema que são
desenvolvidos como produtos comerciais prontos para uso. Essa documentação de projeto inclui especificações funcionais,
projetos de alto nível, projetos de baixo nível, código-fonte e esquemas de hardware. A análise de criticidade é
importante para sistemas organizacionais designados como ativos de alto valor. Ativos de alto valor podem ser sistemas
de impacto moderado ou alto devido ao aumento do interesse adversário ou aos potenciais efeitos adversos sobre a
empresa federal. A contribuição do desenvolvedor é especialmente importante quando as organizações conduzem análises
de criticidade da cadeia de suprimentos.
ANÁLISE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema reduza as superfícies
de ataque para [Atribuição: limites definidos pela organização].
Discussão: A redução da superfície de ataque está estreitamente alinhada com as análises de ameaças e vulnerabilidades e
com a arquitetura e design do sistema. A redução da superfície de ataque é um meio de reduzir o risco para as organizações,
dando aos invasores menos oportunidades de explorar pontos fracos ou deficiências (ou seja, vulnerabilidades potenciais) em
sistemas, componentes de sistema e serviços de sistema. A redução da superfície de ataque inclui a implementação do
conceito de defesas em camadas, a aplicação dos princípios de menor privilégio e menor funcionalidade, a aplicação
de práticas seguras de desenvolvimento de software, a descontinuação de funções inseguras, a redução de pontos de
entrada disponíveis para usuários não autorizados, a redução da quantidade de código executado e a eliminação de
aplicativos. interfaces de programação (APIs) vulneráveis a ataques.
_________________________________________________________________________________________________
pe
E Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema implemente um processo
explícito para melhorar continuamente o processo de desenvolvimento.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema [Atribuição: frequência
definida pela organização] :
(a) Realizar uma análise automatizada de vulnerabilidade usando [Atribuição: definido pela organização
ferramentas];
Discussão: As ferramentas automatizadas podem ser mais eficazes na análise de pontos fracos ou deficiências exploráveis
em sistemas grandes e complexos, priorizando vulnerabilidades por gravidade e fornecendo recomendações para
mitigação de riscos.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema use modelagem de ameaças
e análises de vulnerabilidade de sistemas, componentes ou serviços semelhantes para informar o processo de
desenvolvimento atual.
Discussão: A análise de vulnerabilidades encontradas em aplicações de software semelhantes pode informar potenciais
problemas de design e implementação de sistemas em desenvolvimento. Sistemas ou componentes de sistema semelhantes
podem existir nas organizações de desenvolvimento. As informações sobre vulnerabilidade estão disponíveis em diversas
fontes dos setores público e privado, incluindo o Banco de Dados Nacional de Vulnerabilidade do NIST.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça, implemente e
teste um plano de resposta a incidentes.
Discussão: O plano de resposta a incidentes fornecido pelos desenvolvedores pode fornecer informações que não estão
prontamente disponíveis para as organizações e ser incorporado aos planos organizacionais de resposta a incidentes. As
informações do desenvolvedor também podem ser extremamente úteis, como quando as organizações respondem a
vulnerabilidades em produtos comerciais prontos para uso.
Exigir que o desenvolvedor do sistema ou componente do sistema arquive o sistema ou componente a ser
lançado ou entregue juntamente com as evidências correspondentes que apoiam a revisão final de
segurança e privacidade.
_________________________________________________________________________________________________
pe
E Discussão: O arquivamento do sistema ou dos componentes do sistema exige que o desenvolvedor retenha os
principais artefatos de desenvolvimento, incluindo especificações de hardware, código-fonte, código-objeto e
documentação relevante do processo de desenvolvimento que pode fornecer uma linha de base de configuração
prontamente disponível para atualizações ou modificações de sistemas e componentes.
Controles Relacionados: CM-2.
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça o seguinte
treinamento sobre o uso e operação corretos das funções, controles e/ou mecanismos de segurança e privacidade
implementados: [Tarefa: treinamento definido pela organização].
Discussão: O treinamento fornecido pelo desenvolvedor se aplica a desenvolvedores externos e internos (internos).
A formação de pessoal é essencial para garantir a eficácia dos controlos implementados nos sistemas organizacionais. Os
tipos de treinamento incluem treinamento baseado na web e em computador,
treinamento em sala de aula e treinamento prático (incluindo microtreinamento). As organizações também podem solicitar
materiais de treinamento aos desenvolvedores para realizar treinamento interno ou oferecer autotreinamento ao pessoal
organizacional. As organizações determinam o tipo de treinamento necessário e podem exigir diferentes tipos de
treinamento para diferentes funções, controles e mecanismos de segurança e privacidade.
Referências: Nenhuma.
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema produza uma especificação
de design e uma arquitetura de segurança e privacidade que:
c. Expressa como as funções, mecanismos e serviços individuais de segurança e privacidade funcionam juntos para
fornecer os recursos necessários de segurança e privacidade e uma abordagem unificada de proteção.
_________________________________________________________________________________________________
pe
E arquitetura integrada à arquitetura corporativa. A distinção entre SA-17 e PL-8 é especialmente importante quando as
organizações terceirizam o desenvolvimento de sistemas, componentes de sistema ou serviços de sistema e quando
há um requisito para demonstrar consistência com a arquitetura empresarial e a arquitetura de segurança e
privacidade da organização. [ISO 15408-2], [ISO 15408-3] e [SP 800-160-1] fornecem informações sobre arquitetura
e design de segurança, incluindo modelos formais de política, componentes relevantes para a segurança, correspondência
formal e informal, design conceitualmente simples, e estruturação para menos privilégios e testes.
Melhorias de controle:
(a) Produzir, como parte integrante do processo de desenvolvimento, um modelo político formal
descrevendo a [Tarefa: elementos de segurança organizacional e política de privacidade definidos pela
organização] a serem aplicados; e
(b) Provar que o modelo político formal é internamente consistente e suficiente para fazer cumprir
os elementos definidos da política de segurança e privacidade organizacional quando
implementados.
COMPONENTES
(b) Fornecer uma justificativa de que a definição de hardware, software e software relevantes para a segurança
firmware está completo.
Discussão: O hardware, software e firmware relevantes para a segurança representam a parte do sistema, componente
ou serviço que é confiável para funcionar corretamente para manter as propriedades de segurança necessárias.
(a) Produzir, como parte integrante do processo de desenvolvimento, um relatório formal de nível superior
especificação que especifica as interfaces para hardware, software e firmware relevantes para a segurança
em termos de exceções, mensagens de erro e efeitos;
(b) Mostrar através de provas, na medida do possível, com demonstração informal adicional, conforme
necessário que a especificação formal de nível superior seja consistente com o modelo político formal;
(c) Mostrar, por meio de demonstração informal, que a especificação formal de nível superior cobre
completamente as interfaces com hardware, software e firmware relevantes para a segurança;
_________________________________________________________________________________________________
pe
E (d) Mostrar que a especificação formal de nível superior é uma descrição precisa do
hardware, software e firmware implementados relevantes para a segurança; e
(e) Descrever os mecanismos de hardware, software e firmware relevantes para a segurança,
não abordados na especificação formal de nível superior, mas estritamente internos ao
hardware, software e firmware relevantes para a segurança.
Discussão: A correspondência é uma parte importante da garantia obtida através da modelagem.
Demonstra que a implementação é uma transformação precisa do modelo e que qualquer código
adicional ou detalhes de implementação presentes não têm impacto nos comportamentos ou políticas que
estão sendo modelados. Métodos formais podem ser usados para mostrar que as propriedades de
segurança de alto nível são satisfeitas pela descrição formal do sistema e que a descrição formal do
sistema é implementada corretamente por uma descrição de algum nível inferior, incluindo uma descrição de
hardware. A consistência entre as especificações formais de nível superior e os modelos políticos formais
geralmente não é passível de ser totalmente comprovada. Portanto, pode ser necessária uma combinação
de métodos formais e informais para demonstrar essa consistência. A consistência entre a especificação
formal de nível superior e a implementação real pode exigir o uso de uma demonstração informal devido
às limitações na aplicabilidade dos métodos formais para provar que a especificação reflete com precisão
a implementação. Os mecanismos de hardware, software e firmware internos aos componentes relevantes
para a segurança incluem registros de mapeamento e entrada e saída direta de memória.
_________________________________________________________________________________________________
pe
E (a) Projetar e estruturar o hardware, software e firmware relevantes para a segurança para usar um
mecanismo de proteção completo, conceitualmente simples, com semântica definida com
precisão; e
(b) Estruture internamente o hardware, software e firmware relevantes para a segurança, com atenção
específica a este mecanismo.
Discussão: O princípio da complexidade reduzida afirma que o projeto do sistema é tão simples e pequeno
quanto possível (ver SA-8(7)). Um projeto pequeno e simples é mais fácil de entender e analisar e também é
menos propenso a erros (ver AC-25, SA-8(13)). O princípio da complexidade reduzida aplica-se a qualquer
aspecto de um sistema, mas tem particular importância para a segurança devido às diversas análises realizadas
para obter evidências sobre a propriedade de segurança emergente do sistema. Para que tais análises sejam
bem-sucedidas, um projeto pequeno e simples é essencial. A aplicação do princípio da complexidade
reduzida contribui para a capacidade dos desenvolvedores de sistemas de compreender a exatidão e
integridade das funções de segurança do sistema e facilita a identificação de potenciais vulnerabilidades. O
corolário da complexidade reduzida afirma que a simplicidade do sistema está diretamente relacionada ao
número de vulnerabilidades que ele conterá. Ou seja, sistemas mais simples contêm menos vulnerabilidades. Um
benefício importante da complexidade reduzida é que é mais fácil compreender se a política de segurança foi
capturada no design do sistema e que é provável que sejam introduzidas menos vulnerabilidades durante o
desenvolvimento da engenharia. Um benefício adicional é que qualquer conclusão sobre a exatidão, integridade
e existência de vulnerabilidades pode ser alcançada com um maior grau de segurança, em contraste com as
conclusões alcançadas em situações em que o projeto do sistema é inerentemente mais complexo.
Discussão: A aplicação dos princípios de design de segurança em [SP 800-160-1] promove testes e avaliação
completos, consistentes e abrangentes de sistemas, componentes de sistema e serviços. A minuciosidade de tais
testes contribui para que a evidência produzida gere um caso ou argumento de garantia eficaz quanto à confiabilidade
do sistema, componente do sistema ou serviço.
(7) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | ESTRUTURA PARA MENOS PRIVILÉGIO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema estruture hardware,
software e firmware relevantes para a segurança para facilitar o controle do acesso com menos
privilégios.
Discussão: O princípio do menor privilégio afirma que cada componente recebe privilégios suficientes para realizar
suas funções especificadas, mas não mais (ver SA-8(14)). A aplicação do princípio do menor privilégio limita
o escopo das ações do componente, o que tem dois efeitos desejáveis. Primeiro, o impacto na segurança
de uma falha, corrupção ou uso indevido do sistema
componente resulta em um impacto de segurança minimizado. Segundo, a análise de segurança do
componente é simplificada. O privilégio mínimo é um princípio difundido que se reflete em todos os aspectos do
design do sistema seguro. As interfaces usadas para invocar a capacidade do componente estão disponíveis apenas
para determinados subconjuntos da população de usuários, e o design do componente suporta uma granularidade
suficientemente fina de decomposição de privilégios. Por exemplo, no caso de um mecanismo de auditoria, pode
haver uma interface para o gestor de auditoria, que define as configurações de auditoria; uma interface para
o operador de auditoria, que garante que os dados de auditoria sejam coletados e armazenados com segurança;
e, finalmente, mais uma interface para o revisor de auditoria, que só precisa visualizar os dados de auditoria que
foram coletados, mas não precisa realizar operações nesses dados.
_________________________________________________________________________________________________
pe
E Além de suas manifestações na interface do sistema, o privilégio mínimo pode ser usado como princípio orientador para
a estrutura interna do próprio sistema. Um aspecto do menor privilégio interno é construir módulos de modo que apenas os
elementos encapsulados pelo módulo sejam diretamente operados pelas funções dentro do módulo. Elementos externos a
um módulo que podem ser afetados pela operação do módulo são acessados indiretamente através da interação (por
exemplo, através de uma chamada de função) com o módulo que contém esses elementos. Outro aspecto do menor privilégio
interno é que o escopo de um determinado módulo ou componente inclui apenas os elementos do sistema que são
necessários para sua funcionalidade, e os modos de acesso aos elementos (por exemplo, leitura, gravação) são mínimos.
Projetar [Atribuição: sistemas críticos ou componentes de sistema definidos pela organização] com
comportamento coordenado para implementar os seguintes recursos: [Atribuição: capacidades definidas pela
organização, por sistema ou componente].
Discussão: Os recursos de segurança distribuídos, localizados em diferentes camadas ou em diferentes elementos do sistema,
ou implementados para suportar diferentes aspectos de confiabilidade, podem interagir de maneiras imprevistas ou
incorretas. As consequências adversas podem incluir falhas em cascata, interferências ou lacunas de cobertura. A
coordenação do comportamento dos recursos de segurança (por exemplo, garantindo que um patch seja instalado em todos
os recursos antes de fazer uma alteração na configuração que pressuponha que o patch seja propagado)
pode evitar essas interações negativas.
Use designs diferentes para [Atribuição: sistemas críticos ou componentes de sistema definidos pela
organização] para satisfazer um conjunto comum de requisitos ou para fornecer funcionalidade
equivalente.
Discussão: A diversidade de design é alcançada fornecendo a mesma especificação de requisitos a vários desenvolvedores,
cada um dos quais é responsável por desenvolver uma variante do sistema ou componente do sistema que atenda aos
requisitos. As variantes podem estar no design de software, no design de hardware ou no design de hardware e
software. As diferenças nos designs das variantes podem resultar da experiência do desenvolvedor (por exemplo, uso
anterior de um padrão de design), estilo de design (por exemplo, ao decompor uma função necessária em tarefas menores,
determinar o que constitui uma tarefa separada e até que ponto decompor as tarefas em subtarefas), seleção de
bibliotecas para incorporar na variante e ambiente de desenvolvimento (por exemplo, diferentes ferramentas de design
facilitam a visualização de alguns padrões de design). A diversidade de design de hardware inclui a tomada de decisões
diferentes sobre quais informações manter em formato analógico e quais informações converter em formato digital,
transmitindo as mesmas informações em momentos diferentes,
e introdução de atrasos na amostragem (diversidade temporal). A diversidade de design é comumente usada para oferecer
suporte à tolerância a falhas.
Melhorias de controle:
(1) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | MÚLTIPLAS FASES DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA
_________________________________________________________________________________________________
pe
E (2) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | INSPEÇÃO DE SISTEMAS OU COMPONENTES
Melhorias de controle:
Discussão: As organizações determinam que determinados componentes do sistema provavelmente não são confiáveis
devido a ameaças e vulnerabilidades específicas nesses componentes para os quais não há controles de segurança viáveis
para mitigar adequadamente os riscos. A reimplementação ou o desenvolvimento personalizado de tais componentes pode
satisfazer os requisitos de maior garantia e é realizado iniciando alterações nos componentes do sistema (incluindo
hardware, software e firmware), de modo que os ataques padrão por parte dos adversários tenham menos probabilidade
de sucesso. Em situações em que não há fontes alternativas disponíveis e as organizações optam por não reimplementar
ou desenvolver de forma personalizada componentes críticos do sistema, controles adicionais podem ser empregados.
Os controles incluem auditoria aprimorada,
restrições ao código-fonte e acesso a utilitários do sistema e proteção contra exclusão de arquivos do sistema e de aplicativos.
Controle: Exigir que o desenvolvedor de [Atribuição: sistema definido pela organização, componente do sistema ou
serviço do sistema]:
a. Possui autorizações de acesso apropriadas, conforme determinado pela [Atribuição: funções governamentais oficiais
definidas pela organização]; e
_________________________________________________________________________________________________
pe
E a confiança exigida dos desenvolvedores pode precisar ser consistente com a dos indivíduos que acessam os sistemas,
componentes do sistema ou serviços do sistema, uma vez implantados. Os critérios de autorização e triagem
de pessoal incluem autorizações, verificações de antecedentes, cidadania e nacionalidade.
A confiabilidade do desenvolvedor também pode incluir uma revisão e análise da propriedade da empresa e dos
relacionamentos que a empresa mantém com entidades que podem afetar potencialmente a qualidade e a
confiabilidade dos sistemas, componentes ou serviços que estão sendo desenvolvidos. Satisfazer as autorizações
de acesso exigidas e os critérios de triagem de pessoal inclui o fornecimento de uma lista de todos os indivíduos
autorizados a realizar atividades de desenvolvimento no sistema, componente do sistema ou serviço do
sistema selecionado, para que as organizações possam validar se o desenvolvedor atendeu aos requisitos de autorização
e triagem.
Melhorias de controle:
Referências: Nenhuma.
Ao controle:
a. Substitua os componentes do sistema quando o suporte para os componentes não estiver mais disponível por parte
do desenvolvedor, fornecedor ou fabricante; ou
b. Forneça as seguintes opções de fontes alternativas para suporte contínuo para componentes não suportados [Seleção
(uma ou mais): suporte interno; [Tarefa: suporte definido pela organização de fornecedores externos]].
Discussão: O suporte para componentes do sistema inclui patches de software, atualizações de firmware, peças
de reposição e contratos de manutenção. Um exemplo de componentes não suportados
inclui quando os fornecedores não fornecem mais patches de software críticos ou atualizações de produtos, o que pode
resultar em uma oportunidade para os adversários explorarem pontos fracos nos componentes instalados.
As exceções à substituição de componentes de sistema não suportados incluem sistemas que fornecem missões
críticas ou capacidades de negócios onde tecnologias mais recentes não estão disponíveis ou onde os sistemas
estão tão isolados que a instalação de componentes de substituição não é uma opção.
Fontes alternativas de suporte atendem à necessidade de fornecer suporte contínuo para componentes de sistema
que não são mais suportados pelos fabricantes, desenvolvedores ou fornecedores originais, quando tais componentes
permanecem essenciais para a missão organizacional e funções de negócios. Se necessário, as organizações podem
estabelecer suporte interno desenvolvendo patches personalizados para componentes de software críticos ou,
alternativamente, obter os serviços de fornecedores externos que fornecem suporte contínuo para os componentes
designados sem suporte através de relações contratuais. Essas relações contratuais podem incluir fornecedores
de valor agregado de software de código aberto. O risco aumentado de utilização de componentes de sistema não
suportados pode ser mitigado, por exemplo, proibindo a ligação de tais componentes a redes públicas ou não
controladas, ou implementando outras formas de isolamento.
Melhorias de controle:
(1) COMPONENTES DO SISTEMA NÃO SUPORTADOS | FONTES ALTERNATIVAS PARA APOIO CONTÍNUO
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E ESPECIALIZAÇÃO SA-23
Controle: Empregar [Seleção (um ou mais): design; modificação; aumento; reconfiguração] em [Atribuição: sistemas ou
componentes de sistema definidos pela organização] apoiando serviços ou funções essenciais à missão para
aumentar a confiabilidade desses sistemas ou componentes.
Discussão: Muitas vezes é necessário que um sistema ou componente de sistema que suporta serviços ou
funções essenciais à missão seja melhorado para maximizar a fiabilidade do recurso.
Às vezes, esse aprimoramento é feito no nível do design. Em outros casos, isso é feito pós-projeto, seja através
de modificações no sistema em questão ou aumentando o sistema com componentes adicionais. Por exemplo, funções
suplementares de autenticação ou não repúdio podem ser adicionadas ao sistema para melhorar a identidade de recursos
críticos para outros recursos que dependem dos recursos definidos pela organização.
_________________________________________________________________________________________________
pe
E 3.18 PROTEÇÃO DE SISTEMA E COMUNICAÇÕES
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] sistema e política de proteção de comunicações que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
_________________________________________________________________________________________________
pe
E SC-2 SEPARAÇÃO DE SISTEMA E FUNCIONALIDADE DO USUÁRIO
Controle: Funcionalidade de usuário separada, incluindo serviços de interface de usuário, da funcionalidade de gerenciamento do
sistema.
Discussão: A funcionalidade de gerenciamento do sistema inclui funções necessárias para administrar bancos de
dados, componentes de rede, estações de trabalho ou servidores. Estas funções normalmente requerem acesso de usuário
privilegiado. A separação das funções do usuário das funções de gerenciamento do sistema é física ou lógica. As
organizações podem separar as funções de gerenciamento de sistema das funções de usuário usando diferentes computadores,
instâncias de sistemas operacionais, unidades centrais de processamento ou endereços de rede; empregando técnicas de
virtualização; ou alguma combinação destes ou de outros métodos. Separação das funções de gerenciamento do sistema das
funções do usuário
inclui interfaces administrativas da web que empregam métodos de autenticação separados para usuários de quaisquer outros
recursos do sistema. A separação das funções do sistema e do usuário pode incluir o isolamento de interfaces administrativas
em domínios diferentes e com controles de acesso adicionais. A separação da funcionalidade do sistema e do usuário
pode ser alcançada aplicando os princípios de projeto de engenharia de segurança de sistemas em SA-8, incluindo SA-8(1),
SA-8(3), SA-8(4), SA-8(10 ), SA-8(12), SA-8(13), SA-8(14) e SA-8(18).
Controles relacionados: AC-6, SA-4, SA-8, SC-3, SC-7, SC-22, SC-32, SC-39.
Melhorias de controle:
(1) SEPARAÇÃO DA FUNCIONALIDADE DO SISTEMA E DO USUÁRIO | INTERFACES PARA USUÁRIOS NÃO PRIVILEGIADOS
Discussão: Impedir a apresentação da funcionalidade de gerenciamento do sistema em interfaces para usuários não
privilegiados garante que as opções de administração do sistema, incluindo privilégios de administrador, não estejam
disponíveis para a população geral de usuários. A restrição do acesso do usuário também proíbe o uso da opção cinza
comumente usada para eliminar a acessibilidade a tais informações. Uma solução potencial é reter as opções de
administração do sistema até que os usuários estabeleçam sessões com privilégios de administrador.
Discussão: Se um sistema estiver comprometido, armazenar aplicativos e software separadamente das informações de
estado sobre as interações dos usuários com um aplicativo pode proteger melhor a privacidade dos indivíduos.
Referências: Nenhuma.
Discussão: As funções de segurança são isoladas das funções não relacionadas à segurança por meio de um limite de isolamento
implementado dentro de um sistema por meio de partições e domínios. A fronteira do isolamento
controla o acesso e protege a integridade do hardware, software e firmware que executam funções de segurança do
sistema. Os sistemas implementam a separação de código de várias maneiras, como
através do fornecimento de núcleos de segurança através de anéis de processador ou modos de processador. Para código não-
kernel, o isolamento da função de segurança geralmente é obtido por meio de proteções do sistema de arquivos que protegem o
código no disco e proteções de espaço de endereço que protegem a execução do código. Os sistemas podem restringir o acesso às
funções de segurança usando mecanismos de controle de acesso e implementando privilégios mínimos
_________________________________________________________________________________________________
pe
E capacidades. Embora o ideal seja que todo o código dentro do limite de isolamento da função de segurança definido contenha apenas
código relevante para a segurança, às vezes é necessário incluir funções não relacionadas à segurança como uma exceção. O
isolamento das funções de segurança das funções não relacionadas à segurança pode ser alcançado aplicando os princípios de
projeto de engenharia de segurança de sistemas em SA-8, incluindo SA-8(1), SA-8(3), SA-8(4), SA-8( 10), SA-8(12), SA-8(13),
SA-8(14) e SA-8(18).
Controles relacionados: AC-3, AC-6, AC-25, CM-2, CM-4, SA-4, SA-5, SA-8, SA-15, SA-17, SC-2, SC-7 , SC-32, SC-39, SI-16.
Melhorias de controle:
Discussão: Os mecanismos de separação de hardware incluem arquiteturas de anel de hardware que são implementadas
dentro de microprocessadores e segmentação de endereço imposta por hardware usada para suportar objetos de
armazenamento logicamente distintos com atributos separados (isto é, legíveis, graváveis).
Isole as funções de segurança que impõem o acesso e o controle do fluxo de informações das funções não
relacionadas à segurança e de outras funções de segurança.
Discussão: O isolamento da função de segurança ocorre devido à implementação. As funções ainda podem ser digitalizadas
e monitoradas. As funções de segurança que estão potencialmente isoladas das funções de aplicação de controle de acesso
e fluxo incluem auditoria, detecção de intrusão e funções de proteção de código malicioso.
Minimize o número de funções não relacionadas à segurança incluídas no limite de isolamento que contém
funções de segurança.
Discussão: Quando não for viável alcançar o isolamento estrito das funções não relacionadas à segurança das funções de
segurança, é necessário tomar medidas para minimizar as funções não relevantes à segurança dentro dos limites da função
de segurança. As funções não relacionadas à segurança contidas no limite de isolamento são consideradas relevantes para
a segurança porque erros ou códigos maliciosos no software podem impactar diretamente as funções de segurança dos
sistemas. O objetivo fundamental do projeto é que as partes específicas dos sistemas que fornecem segurança da
informação sejam de tamanho e complexidade mínimos. Minimizar o número de funções não relacionadas à segurança
nos componentes do sistema relevantes para a segurança permite que os projetistas e implementadores se concentrem
apenas nas funções necessárias para fornecer a capacidade de segurança desejada (normalmente imposição de acesso).
Ao minimizar as funções não relacionadas à segurança dentro dos limites de isolamento, a quantidade de código confiável para
impor políticas de segurança é significativamente reduzida, contribuindo assim para a compreensão.
Implemente funções de segurança como módulos amplamente independentes que maximizam a coesão interna
dentro dos módulos e minimizam o acoplamento entre módulos.
Discussão: A redução das interações entre módulos ajuda a restringir as funções de segurança e a gerenciar a complexidade.
Os conceitos de acoplamento e coesão são importantes no que diz respeito à modularidade no design de software.
Acoplamento refere-se às dependências que um módulo tem de outros módulos. Coesão se refere ao relacionamento entre
funções dentro de um módulo.
As melhores práticas em engenharia de software e engenharia de segurança de sistemas dependem de camadas,
_________________________________________________________________________________________________
pe
E minimização e decomposição modular para reduzir e gerenciar a complexidade. Isso produz módulos de software altamente
coesos e pouco acoplados.
Implemente funções de segurança como uma estrutura em camadas, minimizando as interações entre as
camadas do design e evitando qualquer dependência das camadas inferiores da funcionalidade ou correção das
camadas superiores.
Discussão: A implementação de estruturas em camadas com interações minimizadas entre funções de segurança e
camadas sem loop (ou seja, funções de camada inferior não dependem de funções de camada superior) permite o
isolamento de funções de segurança e o gerenciamento da complexidade.
Referências: Nenhuma.
Controle: Impedir a transferência de informações não autorizadas e não intencionais através de sistema compartilhado
recursos.
Discussão: Prevenir a transferência não autorizada e não intencional de informações por meio de recursos de sistema
compartilhados impede que as informações produzidas pelas ações de usuários ou funções anteriores (ou pelas ações de
processos que atuam em nome de usuários ou funções anteriores) fiquem disponíveis para usuários ou funções atuais (ou
processos atuais). agindo em nome de usuários ou funções atuais) que obtêm acesso a recursos compartilhados do sistema
após esses recursos terem sido liberados de volta ao sistema. As informações em recursos de sistema compartilhados também
se aplicam a representações criptografadas de informações. Em outros contextos, o controle de informações em recursos de
sistema compartilhados é referido como reutilização de objetos e proteção de informações residuais. As informações nos
recursos compartilhados do sistema não abordam a remanência de informações, que se refere à representação residual de
dados que foram nominalmente excluídos; canais secretos (incluindo canais de armazenamento e temporização), onde
recursos compartilhados do sistema são manipulados para violar restrições de fluxo de informações; ou componentes em sistemas
para os quais existem apenas usuários ou funções individuais.
Melhorias de controle:
Impedir a transferência não autorizada de informações por meio de recursos compartilhados de acordo com
[Atribuição: procedimentos definidos pela organização] quando o processamento do sistema alterna explicitamente
entre diferentes níveis de classificação de informações ou categorias de segurança.
Discussão: Mudanças nos níveis de processamento podem ocorrer durante processamento multinível ou períodos com
informações em diferentes níveis de classificação ou categorias de segurança. Também pode ocorrer durante a
reutilização serial de componentes de hardware em diferentes níveis de classificação. Os procedimentos definidos pela
organização podem incluir processos de sanitização aprovados para informações armazenadas eletronicamente.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO SC-5
Ao controle:
a. [Seleção: Proteger contra; Limitar] os efeitos dos seguintes tipos de eventos de negação de serviço: [Atribuição: tipos de
eventos de negação de serviço definidos pela organização]; e
b. Empregue os seguintes controles para atingir o objetivo de negação de serviço: [Atribuição: controles definidos pela
organização por tipo de evento de negação de serviço].
Discussão: Os eventos de negação de serviço podem ocorrer devido a uma variedade de causas internas e externas,
como um ataque de um adversário ou falta de planejamento para apoiar as necessidades organizacionais em relação à
capacidade e largura de banda. Esses ataques podem ocorrer em uma ampla variedade de protocolos de rede (por exemplo,
IPv4, IPv6). Uma variedade de tecnologias está disponível para limitar ou eliminar a origem e os efeitos de eventos de
negação de serviço. Por exemplo, os dispositivos de proteção de limites podem filtrar certos tipos de pacotes para proteger os
componentes do sistema nas redes internas de serem diretamente afetados ou originados por ataques de negação de serviço.
O emprego de maior capacidade de rede e largura de banda combinada com redundância de serviço também reduz a
suscetibilidade a eventos de negação de serviço.
Melhorias de controle:
(1) PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO | CAPACIDADE RESTRITA DE ATACAR OUTROS SISTEMAS
Restringir a capacidade dos indivíduos de lançar os seguintes ataques de negação de serviço contra outros
sistemas: [Atribuição: ataques de negação de serviço definidos pela organização].
Discussão: Restringir a capacidade dos indivíduos de lançar ataques de negação de serviço exige que os mecanismos
normalmente utilizados para tais ataques não estejam disponíveis. Indivíduos preocupantes incluem pessoas internas hostis
ou adversários externos que violaram ou comprometeram o sistema e o estão usando para lançar um ataque de negação
de serviço. As organizações podem restringir a capacidade dos indivíduos de se conectarem e transmitirem informações
arbitrárias no meio de transporte (isto é, redes com fio, redes sem fio, pacotes de protocolo de Internet falsificados). As
organizações também podem limitar a capacidade dos indivíduos de usar recursos excessivos do sistema. A proteção contra
indivíduos que tenham a capacidade de lançar ataques de negação de serviço pode ser implementada em sistemas
específicos ou dispositivos de limite que proíbam a saída para sistemas alvo em potencial.
Gerencie a capacidade, a largura de banda ou outras redundâncias para limitar os efeitos dos ataques de
negação de serviço por inundação de informações.
Discussão: A gestão da capacidade garante que esteja disponível capacidade suficiente para combater os ataques
de inundação. O gerenciamento da capacidade inclui o estabelecimento de prioridades de uso selecionadas, cotas,
particionamento ou balanceamento de carga.
(a) Empregar as seguintes ferramentas de monitoramento para detectar indicadores de ataques de negação de serviço
contra o sistema ou lançados a partir dele: [Tarefa: ferramentas de monitoramento definidas pela organização];
e
(b) Monitore os seguintes recursos do sistema para determinar se existem recursos suficientes para
prevenir ataques eficazes de negação de serviço: [Atribuição: recursos do sistema definidos pela organização].
_________________________________________________________________________________________________
pe
E Discussão: As organizações consideram a utilização e a capacidade dos recursos do sistema ao gerenciar riscos
associados a uma negação de serviço devido a ataques maliciosos. Os ataques de negação de serviço podem ter origem
em fontes externas ou internas. Os recursos do sistema que são sensíveis à negação de serviço incluem armazenamento
em disco físico, memória e ciclos de CPU. As técnicas usadas para evitar ataques de negação de serviço relacionados à
utilização e capacidade de armazenamento incluem a instituição de cotas de disco, a configuração de sistemas
para alertar automaticamente os administradores quando limites específicos de capacidade de armazenamento
são atingidos, o uso de tecnologias de compactação de arquivos para maximizar o espaço de armazenamento
disponível e a imposição de partições separadas para dados do sistema e do usuário.
Controle: Proteja a disponibilidade de recursos alocando [Atribuição: recursos definidos pela organização] por [Seleção (um
ou mais): prioridade; contingente; [Tarefa: controles definidos pela organização]].
Discussão: A proteção de prioridade evita que processos de prioridade mais baixa atrasem ou interfiram no sistema que
atende processos de prioridade mais alta. As cotas impedem que usuários ou processos obtenham mais do que quantidades
predeterminadas de recursos.
Ao controle:
b. Implemente sub-redes para componentes do sistema acessíveis ao público que sejam [Seleção: fisicamente;
logicamente] separado das redes organizacionais internas; e
c. Conecte-se a redes ou sistemas externos somente por meio de interfaces gerenciadas que consistem em dispositivos
de proteção de limites organizados de acordo com uma arquitetura organizacional de segurança e privacidade.
Discussão: As interfaces gerenciadas incluem gateways, roteadores, firewalls, guardas, análise de código malicioso
baseada em rede, sistemas de virtualização ou túneis criptografados implementados dentro de uma arquitetura de
segurança. As sub-redes que estão física ou logicamente separadas das redes internas são chamadas de zonas
desmilitarizadas ou DMZs. Restringir ou proibir interfaces dentro de sistemas organizacionais inclui restringir o tráfego
externo da Web a servidores Web designados em interfaces gerenciadas, proibir o tráfego externo que pareça falsificar
endereços internos e proibir o tráfego interno que pareça falsificar endereços externos. [SP 800-189] fornece informações
adicionais sobre técnicas de validação de endereço de origem para evitar entrada e saída de tráfego com endereços
falsificados. Os serviços comerciais de telecomunicações são prestados por componentes de rede e sistemas de gestão
consolidados partilhados pelos clientes. Estes serviços também podem incluir linhas de acesso fornecidas por terceiros e
outros elementos de serviço. Esses serviços podem representar fontes de risco acrescido, apesar das disposições
de segurança contratual. A proteção de limite pode ser implementada como um controle comum para toda ou parte de uma
rede organizacional, de modo que o limite a ser protegido seja maior que um limite específico do sistema (isto é, um
limite de autorização).
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-4, AC-17, AC-18, AC-19, AC-20, AU-13, CA-3, CM-2, CM- 4, CM-7, CM-10, CP -8 , CP-10, IR-4,
MA-4, PE-3, PL-8, PM-12, SA-8, SA-17, SC-5, SC-26, SC- 32, SC-35, SC -43.
Melhorias de controle:
Incorporado ao SC-7.]
Discussão: Limitar o número de conexões de rede externas facilita o monitoramento do tráfego de comunicações
de entrada e saída. A conexão confiável com a Internet [DHS TIC]
A iniciativa é um exemplo de diretriz federal que exige limites no número de conexões de rede externa. Limitar o
número de conexões de rede externas ao sistema é importante durante os períodos de transição de tecnologias mais
antigas para tecnologias mais novas (por exemplo, transição de protocolos de rede IPv4 para IPv6). Essas
transições podem exigir a implementação simultânea de tecnologias mais antigas e mais recentes durante o período
de transição e, assim, aumentar o número de pontos de acesso ao sistema.
(a) Implementar uma interface gerenciada para cada serviço de telecomunicações externo;
(b) Estabelecer uma política de fluxo de tráfego para cada interface gerenciada;
(d) Documentar cada exceção à política de fluxo de tráfego com uma missão de apoio ou
necessidade comercial e duração dessa necessidade;
(e) Revisar exceções à política de fluxo de tráfego [Atribuição: definida pela organização
frequência] e remover exceções que não são mais suportadas por uma missão explícita
ou necessidade comercial;
(f) Impedir a troca não autorizada de tráfego do plano de controle com redes externas;
(g) Publicar informações para permitir que redes remotas detectem tráfego não autorizado de plano de
controle de redes internas; e
Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por
exceção [Seleção (uma ou mais): em interfaces gerenciadas; para [Tarefa: sistemas definidos pela
organização]].
Discussão: Negar por padrão e permitir por exceção aplica-se ao tráfego de comunicações de rede de entrada e
saída. Uma política de tráfego de comunicações de rede de negação total e permissão por exceção garante que
apenas as conexões de sistema essenciais e aprovadas sejam
_________________________________________________________________________________________________
pe
E permitido. Negar por padrão, permitir por exceção também se aplica a um sistema conectado a um sistema
externo.
Controles relacionados: Nenhum.
Encaminhe [Atribuição: tráfego de comunicações internas definido pela organização] para [Atribuição:
redes externas definidas pela organização] através de servidores proxy autenticados em interfaces
gerenciadas.
Discussão: Redes externas são redes fora do controle organizacional. Um servidor proxy é um servidor (isto
é, sistema ou aplicativo) que atua como intermediário para clientes que solicitam recursos do sistema de
servidores não organizacionais ou de outros servidores organizacionais. Os recursos do sistema que podem
ser solicitados incluem arquivos, conexões, páginas da web ou serviços. Solicitações de clientes
estabelecidos através de uma conexão a um servidor proxy são avaliados para gerenciar a complexidade e
fornecer proteção adicional, limitando a conectividade direta. Os dispositivos de filtragem de conteúdo da
Web são um dos servidores proxy mais comuns que fornecem acesso à Internet. Os servidores proxy podem
suportar o registro de sessões do Transmission Control Protocol e o bloqueio de Uniform Resource
Locators, endereços de protocolo da Internet e nomes de domínio específicos. Os proxies da Web podem
ser configurados com listas definidas pela organização de sites autorizados e não autorizados. Observe
que os servidores proxy podem inibir o uso de redes privadas virtuais (VPNs) e criar o potencial para ataques
“man-in-the-middle” (dependendo da implementação).
Controles Relacionados: AC-3.
(a) Detectar e negar o tráfego de comunicações de saída que represente uma ameaça aos sistemas externos;
e
_________________________________________________________________________________________________
pe
E tráfego de comunicações de entrada e saída enquanto procura indicações de ameaças internas à segurança de sistemas
externos. As ameaças internas a sistemas externos incluem
tráfego indicativo de ataques de negação de serviço, tráfego com endereços de origem falsificados e tráfego que contém
código malicioso. As organizações têm critérios para determinar, atualizar e gerenciar ameaças identificadas relacionadas
à detecção de extrusão.
Discussão: A prevenção da exfiltração aplica-se tanto à exfiltração intencional como não intencional de informações.
As técnicas usadas para evitar a exfiltração de informações dos sistemas podem ser implementadas em terminais internos,
limites externos e em interfaces gerenciadas e incluem adesão a formatos de protocolo, monitoramento de atividades
de beacon de sistemas, desconexão de interfaces de rede externas, exceto quando explicitamente necessário, empregando
perfil de tráfego análise para detectar desvios do volume e tipos de tráfego esperados, retornos de chamada para
centros de comando e controle, realização de testes de penetração, monitoramento de esteganografia, desmontagem e
remontagem de cabeçalhos de pacotes e uso de
ferramentas de prevenção contra perda e vazamento de dados. Os dispositivos que impõem adesão estrita aos
formatos de protocolo incluem firewalls de inspeção profunda de pacotes e gateways Extensible Markup Language (XML).
Os dispositivos verificam a adesão aos formatos e especificações do protocolo na camada de aplicação e identificam
vulnerabilidades que não podem ser detectadas pelos dispositivos que operam
nas camadas de rede ou de transporte. A prevenção da exfiltração é semelhante à perda de dados
prevenção ou prevenção de vazamento de dados e está intimamente associada a soluções entre domínios e proteções de
sistema que impõem requisitos de fluxo de informações.
Permitir apenas que comunicações recebidas de [Atribuição: fontes autorizadas definidas pela organização] sejam
roteadas para [Atribuição: destinos autorizados definidos pela organização].
Discussão: Técnicas gerais de validação de endereço de origem são aplicadas para restringir o uso de endereços de origem
ilegais e não alocados, bem como de endereços de origem que só devem ser usados dentro do sistema. A restrição do
tráfego de comunicações de entrada fornece determinações de que os pares de endereços de origem e destino
representam comunicações autorizadas ou permitidas. As determinações podem ser baseadas em vários fatores, incluindo
a presença de tais pares de endereços nas listas de comunicações autorizadas ou permitidas, a ausência de tais pares de
endereços em listas de pares não autorizados ou não permitidos ou o cumprimento de regras mais gerais para origem e
destino autorizados ou permitidos. pares. A autenticação forte de endereços de rede não é possível sem o uso de protocolos
de segurança explícitos e, portanto, os endereços podem frequentemente ser falsificados. Além disso, podem ser
empregados métodos de restrição de tráfego de entrada baseados em identidade, incluindo listas de controle de acesso de
roteadores e regras de firewall.
Discussão: Os mecanismos de proteção de limites baseados em host incluem firewalls baseados em host.
Os componentes do sistema que empregam mecanismos de proteção de limites baseados em host incluem
servidores, estações de trabalho, notebooks e dispositivos móveis.
_________________________________________________________________________________________________
pe
E (13) PROTEÇÃO DE LIMITES | ISOLAMENTO DE FERRAMENTAS, MECANISMOS E SUPORTE DE SEGURANÇA
COMPONENTES
Discussão: Sub-redes fisicamente separadas com interfaces gerenciadas são úteis para isolar as defesas de redes de
computadores de redes de processamento operacional críticas para evitar que adversários descubram as técnicas
de análise e perícia empregadas por
organizações.
Proteja contra conexões físicas não autorizadas em [Atribuição: interfaces gerenciadas definidas pela organização].
Discussão: Os sistemas que operam em diferentes categorias de segurança ou níveis de classificação podem partilhar
controlos físicos e ambientais comuns, uma vez que os sistemas podem partilhar espaço dentro das mesmas instalações.
Na prática, é possível que esses sistemas separados compartilhem salas de equipamentos, armários de fiação e caminhos
de distribuição de cabos comuns. A proteção contra conexões físicas não autorizadas pode ser obtida usando bandejas de
cabos, estruturas de conexão e painéis de conexão claramente identificados e fisicamente separados para cada lado das
interfaces gerenciadas com controles de acesso físico que impõem acesso autorizado limitado a esses itens.
Roteie acessos privilegiados em rede por meio de uma interface dedicada e gerenciada para fins de
controle de acesso e auditoria.
Discussão: O acesso privilegiado proporciona maior acessibilidade às funções do sistema, incluindo funções de segurança.
Os adversários tentam obter acesso privilegiado aos sistemas através do acesso remoto para causar impactos adversos na
missão ou nos negócios, como exfiltrando informações ou derrubando uma capacidade crítica do sistema. Roteamento de
solicitações de acesso privilegiado em rede
através de uma interface dedicada e gerenciada restringe ainda mais o acesso privilegiado para maior controle de
acesso e auditoria.
Evite a descoberta de componentes específicos do sistema que representam uma interface gerenciada.
Discussão: Impedir a descoberta de componentes do sistema que representam uma interface gerenciada ajuda a
proteger os endereços de rede desses componentes contra descoberta por meio de ferramentas e técnicas comuns
usadas para identificar dispositivos em redes. Os endereços de rede não estão disponíveis para descoberta e requerem
conhecimento prévio para acesso. Impedir a descoberta de componentes e dispositivos pode ser conseguido através da não
publicação de endereços de rede, usando
tradução de endereços de rede ou não inserir os endereços em sistemas de nomes de domínio.
Outra técnica de prevenção é alterar periodicamente os endereços de rede.
Discussão: Os componentes do sistema que impõem formatos de protocolo incluem firewalls de inspeção profunda
de pacotes e gateways XML. Os componentes verificam a adesão ao protocolo
_________________________________________________________________________________________________
pe
E formatos e especificações na camada de aplicação e identificar vulnerabilidades que não podem ser detectadas por dispositivos
que operam nas camadas de rede ou de transporte.
Impedir que os sistemas entrem em estados inseguros no caso de uma falha operacional de um dispositivo de
proteção de limites.
Discussão: A segurança contra falhas é uma condição alcançada através do emprego de mecanismos para garantir que, no
caso de falhas operacionais de dispositivos de proteção de limites em interfaces gerenciadas, os sistemas não entrem
em estados inseguros onde as propriedades de segurança pretendidas não sejam mais válidas. As interfaces gerenciadas
incluem roteadores, firewalls e gateways de aplicativos que residem em sub-redes protegidas (comumente chamadas de
zonas desmilitarizadas). As falhas dos dispositivos de proteção de limites não podem levar ou fazer com que informações
externas aos dispositivos entrem nos dispositivos, nem as falhas podem permitir a liberação não autorizada de informações.
Bloqueie o tráfego de comunicações de entrada e saída entre [Atribuição: clientes de comunicação definidos pela
organização] que são configurados de forma independente por usuários finais e provedores de serviços
externos.
Discussão: Os clientes de comunicação configurados de forma independente pelos usuários finais e provedores de
serviços externos incluem clientes de mensagens instantâneas e software e aplicativos de videoconferência. O bloqueio
de tráfego não se aplica a clientes de comunicação configurados pelas organizações para executar funções autorizadas.
Fornecer a capacidade de isolar dinamicamente [Atribuição: componentes do sistema definidos pela organização]
de outros componentes do sistema.
Discussão: A capacidade de isolar dinamicamente certos componentes internos do sistema é útil quando é necessário
particionar ou separar componentes do sistema de origem questionável de componentes que possuem maior
confiabilidade. O isolamento de componentes reduz a superfície de ataque dos sistemas organizacionais. O isolamento de
componentes selecionados do sistema também pode limitar os danos causados por ataques bem-sucedidos quando tais
ataques ocorrem.
Empregar mecanismos de proteção de limites para isolar [Atribuição: componentes do sistema definidos pela
organização] que apoiam [Atribuição: missões e/ ou funções de negócios definidas pela organização].
Discussão: As organizações podem isolar componentes do sistema que desempenham diferentes missões ou funções de
negócios. Esse isolamento limita os fluxos de informações não autorizados entre os componentes do sistema e oferece
a oportunidade de implementar maiores níveis de proteção para componentes selecionados do sistema. O isolamento dos
componentes do sistema com mecanismos de proteção de limites fornece a capacidade de aumentar a proteção dos
componentes individuais do sistema e de controlar de forma mais eficaz os fluxos de informações entre esses
componentes. O isolamento dos componentes do sistema fornece proteção aprimorada que limita os danos potenciais
de erros e ataques cibernéticos hostis. O grau de isolamento varia dependendo dos mecanismos escolhidos.
_________________________________________________________________________________________________
pe
E que separam sub-redes; técnicas de virtualização; e a criptografia dos fluxos de informações entre componentes do
sistema usando chaves de criptografia distintas.
(22) PROTEÇÃO DE LIMITES | SUB-REDES SEPARADAS PARA CONECÇÃO A DIFERENTES DOMÍNIOS DE SEGURANÇA
Implemente endereços de rede separados para conectar-se a sistemas em diferentes domínios de segurança.
Discussão: A decomposição de sistemas em sub-redes (isto é, sub-redes) ajuda a fornecer o nível apropriado de proteção
para conexões de rede com diferentes domínios de segurança que contêm informações com diferentes categorias de
segurança ou níveis de classificação.
(23) PROTEÇÃO DE LIMITES | DESATIVAR FEEDBACK DO REMETENTE SOBRE FALHA NA VALIDAÇÃO DO PROTOCOLO
Discussão: Desabilitar o feedback aos remetentes quando há uma falha no formato de validação do protocolo evita que
os adversários obtenham informações que de outra forma não estariam disponíveis.
(b) Monitorar o processamento permitido nas interfaces externas do sistema e nos principais limites internos do
sistema;
Proibir a conexão direta de [Atribuição: sistema de segurança nacional não classificado definido pela organização]
a uma rede externa sem o uso de [Atribuição: dispositivo de proteção de limites definido pela organização].
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas. As organizações
normalmente não têm controle total sobre redes externas,
incluindo a Internet. Dispositivos de proteção de limites (por exemplo, firewalls, gateways e roteadores)
mediar comunicações e fluxos de informação entre sistemas de segurança nacional não classificados e redes externas.
Proibir a conexão direta de um sistema de segurança nacional classificado a uma rede externa sem o uso de
[Atribuição: dispositivo de proteção de limites definido pela organização].
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas. As organizações
normalmente não têm controle total sobre redes externas,
_________________________________________________________________________________________________
pe
E incluindo a Internet. Dispositivos de proteção de limites (por exemplo, firewalls, gateways e roteadores)
mediar comunicações e fluxos de informação entre sistemas de segurança nacional classificados e redes
externas. Além disso, dispositivos de proteção de limites aprovados (normalmente sistemas de
interface gerenciada ou de domínio cruzado) fornecem a aplicação do fluxo de informações dos
sistemas para redes externas.
Controles relacionados: Nenhum.
(27) PROTEÇÃO DE LIMITES | CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS
Proibir a conexão direta de [Atribuição: sistema definido pela organização] a uma rede pública.
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas.
Uma rede pública é uma rede acessível ao público, incluindo a Internet e extranets organizacionais com
acesso público.
Controles relacionados: Nenhum.
Referências: [OMB A-130], [FIPS 199], [SP 800-37], [SP 800-41], [SP 800-77], [SP 800-189].
_________________________________________________________________________________________________
pe
E controles acústicos, elétricos e físicos para permitir seu uso na transmissão não criptografada de informações classificadas. A
proteção lógica pode ser alcançada através do emprego de técnicas de criptografia.
As organizações que dependem de fornecedores comerciais que oferecem serviços de transmissão como serviços de mercadorias
em vez de serviços totalmente dedicados podem ter dificuldade em obter as garantias necessárias relativamente à
implementação dos controlos necessários para a confidencialidade e integridade da transmissão. Nessas situações, as organizações
determinam quais tipos de serviços de confidencialidade ou integridade estão disponíveis em pacotes de serviços de
telecomunicações comerciais padrão. Se não for viável obter os controlos necessários e garantias de eficácia do controlo através
de veículos de contratação apropriados, as organizações podem implementar controlos de compensação apropriados.
Controles relacionados: AC-17, AC-18, AU-10 , IA-3, IA-8, IA-9, MA-4, PE-4, SA-4, SA - 8, SC-7, SC-16 , SC-20, SC-23, SC-28.
Melhorias de controle:
Implementar mecanismos criptográficos para [Seleção (um ou mais): impedir a divulgação não autorizada de
informações; detectar alterações nas informações] durante a transmissão.
Manter a [Seleção (uma ou mais): confidencialidade; integridade] das informações durante a preparação para
transmissão e durante a recepção.
Discussão: As informações podem ser divulgadas ou modificadas de forma não intencional ou maliciosa durante a
preparação para transmissão ou durante a recepção, inclusive durante a agregação, em pontos de transformação de
protocolo e durante a embalagem e descompactação. Tais divulgações ou modificações não autorizadas comprometem a
confidencialidade ou integridade das informações.
Implementar mecanismos criptográficos para proteger mensagens externas, a menos que sejam protegidas de
outra forma por [Atribuição: controles físicos alternativos definidos pela organização].
_________________________________________________________________________________________________
pe
E Implementar mecanismos criptográficos para ocultar ou randomizar padrões de comunicação, a menos que
protegidos de outra forma por [Atribuição: controles físicos alternativos definidos pela organização].
Implementar [Atribuição: sistema de distribuição protegido definido pela organização] para [Seleção (um ou mais):
evitar a divulgação não autorizada de informações; detectar alterações nas informações] durante a
transmissão.
Discussão: O objectivo de um sistema de distribuição protegido é dissuadir, detectar e/ou dificultar o acesso físico às linhas
de comunicação que transportam informações de segurança nacional.
Referências: [FIPS 140-3], [FIPS 197], [SP 800-52], [SP 800-77], [SP 800-81-2], [SP 800-113], [SP 800-177] , [IR 8023].
Controle: Encerre a conexão de rede associada a uma sessão de comunicações no final da sessão ou após [Atribuição: período
Discussão: A desconexão da rede aplica-se a redes internas e externas. O encerramento de conexões de rede associadas a
sessões de comunicação específicas inclui a desalocação de endereços TCP/IP ou pares de portas no nível do sistema
operacional e a desalocação de atribuições de rede no nível do aplicativo se várias sessões de aplicativos estiverem usando uma
única conexão de rede no nível do sistema operacional. Os períodos de inatividade podem ser estabelecidos pelas organizações
e incluem tempo
períodos por tipo de acesso à rede ou para acessos a redes específicos.
Referências: Nenhuma.
Ao controle:
a. Forneça uma [Seleção: fisicamente; logicamente] caminho de comunicação confiável isolado para comunicações
entre o usuário e os componentes confiáveis do sistema; e
_________________________________________________________________________________________________
pe
E b. Permitir que os usuários invoquem o caminho de comunicação confiável para comunicações entre o usuário e
as seguintes funções de segurança do sistema, incluindo, no mínimo, autenticação e
reautenticação: [Atribuição: funções de segurança definidas pela organização].
Discussão: Caminhos confiáveis são mecanismos pelos quais os usuários podem se comunicar (usando dispositivos
de entrada como teclados) diretamente com as funções de segurança dos sistemas com a garantia necessária para
apoiar políticas de segurança. Os mecanismos de caminho confiável só podem ser ativados pelos usuários ou pelas
funções de segurança dos sistemas organizacionais. As respostas do usuário que ocorrem por meio de caminhos
confiáveis são protegidas contra modificação e divulgação para aplicativos não confiáveis. As organizações
empregam caminhos confiáveis para conexões confiáveis e de alta segurança entre funções de segurança de
sistemas e usuários, inclusive durante logons no sistema. As implementações originais de caminhos confiáveis empregados
um sinal fora de banda para iniciar o caminho, como usar a tecla <BREAK>, que não transmite caracteres
que possam ser falsificados. Em implementações posteriores, foi usada uma combinação de teclas que não podia
ser sequestrada (por exemplo, as teclas <CTRL> + <ALT> + <DEL>). Tais combinações de teclas, no
entanto, são específicas da plataforma e podem não fornecer uma implementação de caminho confiável em todos os casos.
A aplicação de caminhos de comunicação confiáveis é fornecida por uma implementação específica que atende ao
conceito de monitor de referência.
Melhorias de controle:
(a) Fornecer um caminho de comunicação confiável que seja irrefutavelmente distinguível de outros
caminhos de comunicação; e
Discussão: Um caminho de comunicação irrefutável permite que o sistema inicie um caminho confiável,
o que exige que o usuário possa reconhecer inequivocamente a fonte da comunicação como um componente
confiável do sistema. Por exemplo, o caminho confiável pode aparecer em uma área da tela que outros aplicativos
não podem acessar ou ser baseado na presença de um identificador que não pode ser falsificado.
Controle: Estabelecer e gerenciar chaves criptográficas quando a criptografia for empregada no sistema de
acordo com os seguintes requisitos de gerenciamento de chaves: [Atribuição: requisitos definidos pela
organização para geração, distribuição, armazenamento, acesso e destruição de chaves].
Controles relacionados: AC-17, AU-9, AU-10, CM-3, IA-3, IA-7, SA-4, SA-8, SA-9, SC-8, SC -11, SC-12 , SC-13,
SC-17, SC-20, SC-37, SC-40, SI-3, SI-7.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
Manter a disponibilidade das informações em caso de perda de chaves criptográficas pelos usuários.
Discussão: A garantia de chaves de criptografia é uma prática comum para garantir a disponibilidade em caso de perda de
chaves. Uma senha esquecida é um exemplo de perda de uma chave criptográfica.
Produza, controle e distribua chaves criptográficas simétricas usando [Seleção: validada por NIST FIPS; Aprovado
pela NSA] tecnologia e processos de gerenciamento de chaves.
Discussão: [SP 800-56A], [SP 800-56B] e [SP 800-56C] fornecem orientação sobre esquemas de estabelecimento de chaves
criptográficas e métodos de derivação de chaves. [SP 800-57-1], [SP 800-57-2] e [SP 800-57-3] fornecem orientação sobre
gerenciamento de chaves criptográficas.
Produzir, controlar e distribuir chaves criptográficas assimétricas usando [Seleção: tecnologia e processos de
gerenciamento de chaves aprovados pela NSA; material de codificação pré-posicionado; Certificados PKI de
garantia média aprovados ou emitidos pelo DoD; Certificados PKI de garantia de hardware médio aprovados ou
emitidos pelo DoD e tokens de segurança de hardware que protegem a chave privada do usuário; certificados
emitidos de acordo com os requisitos definidos pela organização].
Discussão: [SP 800-56A], [SP 800-56B] e [SP 800-56C] fornecem orientação sobre esquemas de estabelecimento de chaves
criptográficas e métodos de derivação de chaves. [SP 800-57-1], [SP 800-57-2] e [SP 800-57-3] fornecem orientação sobre
gerenciamento de chaves criptográficas.
Mantenha o controle físico das chaves criptográficas quando as informações armazenadas são criptografadas por
provedores de serviços externos.
Discussão: Para organizações que utilizam provedores de serviços externos (por exemplo, provedores de serviços em nuvem
ou de data center), o controle físico de chaves criptográficas fornece garantia adicional de que as informações armazenadas
por tais provedores externos não estão sujeitas a divulgação ou modificação não autorizada.
Referências: [FIPS 140-3], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-63-3],
[IR 7956], [IR 7966].
Ao controle:
_________________________________________________________________________________________________
pe
E b. Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: [Atribuição:
tipos de criptografia definidos pela organização para cada uso criptográfico especificado].
Discussão: A criptografia pode ser empregada para suportar uma variedade de soluções de segurança, incluindo
a proteção de informações classificadas e informações não classificadas controladas, o fornecimento e implementação
de assinaturas digitais e a aplicação da separação de informações quando indivíduos autorizados possuem as
autorizações necessárias, mas não possuem as aprovações formais de acesso necessárias. A criptografia
também pode ser usada para suportar números aleatórios e geração de hash.
Os padrões criptográficos geralmente aplicáveis incluem criptografia validada por FIPS e criptografia aprovada
pela NSA. Por exemplo, as organizações que necessitam proteger informações confidenciais podem especificar o uso
de criptografia aprovada pela NSA. As organizações que precisam fornecer e implementar assinaturas digitais
podem especificar o uso de criptografia validada por FIPS. A criptografia é implementada de acordo com as leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Controles relacionados: AC-2, AC-3, AC-7, AC-17, AC-18, AC -19, AU-9, AU-10, CM -11, CP-9, IA-3, IA-5 ,
IA-7, MA -4, MP-2, MP-4, MP-5 , SA-4, SA-8, SA-9, SC-8, SC-12, SC-20, SC-23, SC- 28, SC-40, SI-3, SI- 7.
[Retirado: Incorporado em AC-2, AC-3, AC-5, AC-6, SI-3, SI-4, SI-5, SI-7 e SI-10.]
Ao controle:
b. Fornecer uma indicação explícita de uso aos usuários presentes fisicamente nos dispositivos.
Discussão: Dispositivos e aplicativos de computação colaborativa incluem dispositivos e aplicativos para reuniões
remotas, quadros brancos em rede, câmeras e microfones. A indicação explícita de uso inclui sinais aos usuários quando
dispositivos e aplicativos de computação colaborativa são ativados.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) DISPOSITIVOS DE COMPUTAÇÃO COLABORATIVA | DESCONEXÃO FÍSICA OU LÓGICA
Fornecer [Seleção (uma ou mais): física; desconexão lógica] de dispositivos de computação colaborativa de uma
maneira que ofereça facilidade de uso.
Forneça uma indicação explícita dos participantes atuais em [Tarefa: reuniões e teleconferências on-line definidas
pela organização].
Discussão: A indicação explícita dos participantes atuais evita que indivíduos não autorizados participem de sessões de
computação colaborativa sem o conhecimento explícito de outros participantes.
Referências: Nenhuma.
Controle: Associar [Atribuição: atributos de segurança e privacidade definidos pela organização] às informações trocadas
entre sistemas e entre componentes do sistema.
Discussão: Os atributos de segurança e privacidade podem ser associados explícita ou implicitamente às informações
contidas nos sistemas organizacionais ou nos componentes do sistema. Os atributos são
abstrações que representam as propriedades ou características básicas de uma entidade em relação a
proteger informações ou gerenciar informações de identificação pessoal. Os atributos são normalmente associados a estruturas de
dados internas, incluindo registros, buffers e arquivos dentro do sistema. Atributos de segurança e privacidade são utilizados para
implementar políticas de controle de acesso e controle de fluxo de informações; refletir instruções especiais de disseminação,
gerenciamento ou distribuição, incluindo usos permitidos de informações de identificação pessoal; ou apoiar outros aspectos
das políticas de segurança e privacidade da informação. Os atributos de privacidade podem ser usados independentemente ou
em conjunto com atributos de segurança.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) TRANSMISSÃO DE ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | VERIFICAÇÃO DE INTEGRIDADE
Discussão: Parte da verificação da integridade das informações transmitidas é garantir que os atributos de segurança
e privacidade associados a essas informações não tenham sido modificados de maneira não autorizada. A
modificação não autorizada de atributos de segurança ou privacidade pode resultar na perda de integridade
das informações transmitidas.
Implementar mecanismos anti-spoofing para evitar que adversários falsifiquem os atributos de segurança,
indicando a aplicação bem-sucedida do processo de segurança.
Discussão: Alguns vetores de ataque operam alterando os atributos de segurança de um sistema de informação
para implementar intencionalmente e maliciosamente um nível insuficiente de segurança dentro do sistema. A
alteração de atributos leva as organizações a acreditar que um maior número de funções de segurança estão
implementadas e operacionais do que realmente foram implementadas.
Implementar [Atribuição: mecanismos ou técnicas definidas pela organização] para vincular atributos de
segurança e privacidade às informações transmitidas.
Discussão: Mecanismos e técnicas criptográficas podem fornecer uma forte ligação de atributos de segurança
e privacidade às informações transmitidas para ajudar a garantir a integridade de tais informações.
Ao controle:
a. Emitir certificados de chave pública sob uma [Atribuição: política de certificados definida pela organização] ou obter
certificados de chave pública de um provedor de serviços aprovado; e
b. Incluir apenas âncoras de confiança aprovadas em armazenamentos confiáveis ou armazenamentos de certificados gerenciados pelo
organização.
Discussão: Os certificados de infraestrutura de chave pública (PKI) são certificados com visibilidade externa aos
sistemas organizacionais e certificados relacionados às operações internas dos sistemas, como serviços de horário
específicos de aplicativos. Em sistemas criptográficos com uma estrutura hierárquica, uma âncora de confiança é uma
fonte autorizada (isto é, uma autoridade certificadora) para a qual a confiança é assumida e não derivada. Um certificado
raiz para um sistema PKI é um exemplo de âncora de confiança. Um armazenamento confiável ou armazenamento
de certificados mantém uma lista de certificados raiz confiáveis.
Referências: [SP 800-32], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-63-3].
Ao controle:
_________________________________________________________________________________________________
pe
E Discussão: O código móvel inclui qualquer programa, aplicativo ou conteúdo que possa ser transmitido através de uma rede (por
exemplo, incorporado em um e-mail, documento ou site) e executado em um sistema remoto. As decisões relativas ao uso de código
móvel em sistemas organizacionais baseiam-se no potencial do código causar danos aos sistemas se usado de forma maliciosa.
As tecnologias de código móvel incluem miniaplicativos Java, JavaScript, HTML5, WebGL e VBScript. As restrições de uso e
as diretrizes de implementação aplicam-se tanto à seleção quanto ao uso de código móvel instalado em servidores e código
móvel baixado e executado em estações de trabalho e dispositivos individuais,
incluindo notebooks e smartphones. A política e os procedimentos de códigos móveis abordam ações específicas tomadas para
evitar o desenvolvimento, a aquisição e a introdução de códigos móveis inaceitáveis nos sistemas organizacionais, incluindo a
exigência de que o código móvel seja assinado digitalmente por uma fonte confiável.
Melhorias de controle:
Identifique [Atribuição: código móvel inaceitável definido pela organização] e execute [Atribuição: ações
corretivas definidas pela organização].
Discussão: As ações corretivas quando um código móvel inaceitável é detectado incluem bloqueio, quarentena ou alerta aos
administradores. O bloqueio inclui impedir a transmissão de arquivos de processamento de texto com macros
incorporadas quando tais macros forem consideradas códigos móveis inaceitáveis.
Verifique se a aquisição, o desenvolvimento e o uso do código móvel a ser implantado no sistema atendem à
[Atribuição: requisitos de código móvel definidos pela organização].
Discussão: Nenhuma.
Impedir o download e a execução de [Atribuição: código móvel inaceitável definido pela organização].
Discussão: Nenhuma.
Evite a execução automática de código móvel em [Atribuição: aplicativos de software definidos pela organização]
e imponha [Atribuição: ações definidas pela organização] antes de executar o código.
Discussão: As ações aplicadas antes da execução do código móvel incluem avisar os usuários antes de abrir anexos de e-mail
ou clicar em links da web. Prevenir a execução automática de código móvel inclui desabilitar recursos de execução
automática em componentes do sistema que utilizam dispositivos de armazenamento portáteis, como discos compactos,
discos versáteis digitais e dispositivos seriais universais.
dispositivos de barramento.
Permitir a execução de código móvel permitido apenas em ambientes confinados de máquinas virtuais.
_________________________________________________________________________________________________
pe
E Discussão: Permitir a execução de código móvel apenas em ambientes confinados de máquinas virtuais ajuda a
prevenir a introdução de código malicioso em outros sistemas e componentes do sistema.
a. Fornece artefatos adicionais de autenticação de origem de dados e verificação de integridade junto com
os dados oficiais de resolução de nomes que o sistema retorna em resposta a consultas externas de resolução
de nomes/endereços; e
b. Fornecer os meios para indicar o status de segurança das zonas secundárias e (se a criança sustentar
serviços de resolução segura) para permitir a verificação de uma cadeia de confiança entre domínios pai e filho, ao operar
como parte de um namespace hierárquico e distribuído.
Discussão: Fornecer informações de origem autorizada permite que clientes externos, incluindo clientes remotos da Internet,
obtenham garantias de autenticação de origem e verificação de integridade para o nome do host/serviço para informações
de resolução de endereço de rede obtidas através do serviço.
Os sistemas que fornecem serviços de resolução de nomes e endereços incluem servidores de sistema de nomes de domínio
(DNS). Artefatos adicionais incluem assinaturas digitais e chaves criptográficas de Extensões de Segurança DNS (DNSSEC).
Os dados oficiais incluem registros de recursos DNS. Os meios para indicar
o status de segurança das zonas secundárias inclui o uso de registros de recursos de assinante de delegação no DNS. Os
sistemas que utilizam tecnologias diferentes do DNS para mapear nomes de hosts e serviços e endereços de rede fornecem outros
meios para garantir a autenticidade e a integridade dos dados de resposta.
Melhorias de controle:
(2) SERVIÇO SEGURO DE RESOLUÇÃO DE NOME/ENDEREÇO (FONTE AUTORITIVA) | ORIGEM DOS DADOS E
INTEGRIDADE
Fornece artefatos de origem de dados e proteção de integridade para consultas internas de resolução de nomes/
endereços.
Discussão: Nenhuma.
Discussão: Cada cliente de serviços de resolução de nomes realiza essa validação por conta própria ou possui canais autenticados
para provedores de validação confiáveis. Sistemas que fornecem nome e
_________________________________________________________________________________________________
pe
E os serviços de resolução de endereços para clientes locais incluem resolução recursiva ou armazenamento em cache
de servidores de sistema de nomes de domínio (DNS). Os resolvedores de clientes DNS realizam a validação de
assinaturas DNSSEC ou os clientes usam canais autenticados para resolvedores recursivos que realizam tais validações.
Os sistemas que usam tecnologias diferentes do DNS para mapear nomes de host e de serviço e endereços de rede
fornecem outros meios para permitir que os clientes verifiquem a autenticidade e a integridade dos dados de resposta.
(1) SERVIÇO SEGURO DE RESOLUÇÃO DE NOME/ENDEREÇO (RESOLVER RECURSIVO OU DE CACHING) | ORIGEM DOS DADOS
E INTEGRIDADE
Controle: Garantir que os sistemas que fornecem coletivamente serviços de resolução de nomes/endereços para
uma organização sejam tolerantes a falhas e implementem separação de funções internas e externas.
Discussão: Os sistemas que fornecem serviços de resolução de nomes e endereços incluem servidores de sistema
de nomes de domínio (DNS). Para eliminar pontos únicos de falha nos sistemas e aumentar a redundância, as
organizações empregam pelo menos dois servidores de sistema de nomes de domínio autoritativos – um configurado
como servidor primário e outro configurado como servidor secundário. Além disso, as organizações normalmente
implantam os servidores em duas sub-redes de rede separadas geograficamente (ou seja, não localizadas na
mesma instalação física). Para separação de funções, os servidores DNS com funções internas processam apenas
solicitações de resolução de nomes e endereços de dentro das organizações (ou seja, de clientes internos). Os
servidores DNS com funções externas processam apenas solicitações de informações de resolução de nomes e
endereços de clientes externos às organizações (ou seja, em redes externas, incluindo a Internet). As
organizações especificam clientes que podem acessar servidores DNS autoritativos em determinadas funções
(por exemplo, por intervalos de endereços e listas explícitas).
Discussão: A proteção da autenticidade da sessão aborda a proteção das comunicações no nível da sessão, não no nível
do pacote. Essa proteção estabelece bases para a confiança em ambas as extremidades das sessões de comunicação
nas identidades contínuas de outras partes e na validade das informações transmitidas. A proteção de autenticidade inclui
proteção contra ataques “man-in-the-middle”, sequestro de sessão e inserção de informações falsas nas sessões.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Gere um identificador de sessão exclusivo para cada sessão com [Atribuição: requisitos de aleatoriedade
definidos pela organização] e reconheça apenas identificadores de sessão gerados pelo sistema.
Discussão: A geração de identificadores de sessão exclusivos restringe a capacidade dos adversários de reutilizar
IDs de sessão anteriormente válidos. Empregar o conceito de aleatoriedade na geração de identificadores de sessão
exclusivos protege contra ataques de força bruta para determinar identificadores de sessão futuros.
Permitir apenas o uso de [Atribuição: autoridades de certificação definidas pela organização] para verificação
do estabelecimento de sessões protegidas.
Controle: Falha em uma [Atribuição: estado do sistema conhecido definido pela organização] para as seguintes falhas nos
componentes indicados, preservando [Atribuição: informações do estado do sistema definido pela organização] em caso de falha:
[Atribuição: lista de tipos de falhas do sistema definidos pela organização em componentes do sistema definidos pela organização].
Discussão: A falha num estado conhecido aborda as questões de segurança de acordo com a missão e as necessidades comerciais
das organizações. A falha em um estado conhecido evita a perda de confidencialidade, integridade ou disponibilidade de informações
no caso de falhas de sistemas organizacionais ou componentes de sistemas. A falha em um estado seguro conhecido ajuda a evitar
que os sistemas falhem em um estado que possa causar ferimentos a indivíduos ou destruição de propriedades. A preservação
das informações do estado do sistema facilita a reinicialização do sistema e o retorno ao modo operacional com menos interrupções
na missão e nos processos de negócios.
Controles Relacionados: CP-2, CP-4, CP-10, CP-12, SA-8, SC-7, SC-22, SI-13.
Referências: Nenhuma.
Controle: Empregue funcionalidade mínima e armazenamento de informações nos seguintes componentes do sistema:
[Atribuição: componentes do sistema definidos pela organização].
_________________________________________________________________________________________________
pe
E Discussão: A implantação de componentes de sistema com funcionalidade mínima reduz a necessidade de proteger todos os
terminais e pode reduzir a exposição de informações, sistemas e serviços a ataques. A funcionalidade reduzida ou mínima
inclui nós sem disco e tecnologias de thin client.
Referências: Nenhuma.
ISCAS SC-26
Controle: Inclui componentes dentro de sistemas organizacionais projetados especificamente para serem alvo de ataques
maliciosos para detectar, desviar e analisar tais ataques.
Discussão: Iscas (isto é, honeypots, honeynets ou redes de engano) são estabelecidas para atrair adversários e desviar
ataques dos sistemas operacionais que apoiam a missão organizacional e as funções de negócios. O uso de iscas requer
algumas medidas de isolamento de apoio para garantir que qualquer código malicioso desviado não infecte os sistemas
organizacionais. Dependendo
o uso específico da isca, pode ser necessária consulta com o Gabinete do Conselho Geral antes da implantação.
Referências: Nenhuma.
Controle: Incluir nos sistemas organizacionais os seguintes aplicativos independentes de plataforma: [Atribuição: aplicativos
independentes de plataforma definidos pela organização].
Discussão: Plataformas são combinações de componentes de hardware, firmware e software usados para executar
aplicativos de software. As plataformas incluem sistemas operacionais, as arquiteturas de computador subjacentes ou ambos.
Aplicativos independentes de plataforma são aplicativos com capacidade de execução em múltiplas plataformas. Tais
aplicações promovem a portabilidade e a reconstituição em diferentes plataformas. A portabilidade de aplicativos e a
capacidade de reconstituição em diferentes plataformas aumentam a disponibilidade de funções essenciais à missão nas
organizações em situações em que sistemas com sistemas operacionais específicos estão sob ataque.
Referências: Nenhuma.
Controle: Proteger a [Seleção (uma ou mais): confidencialidade; integridade] das seguintes informações em
repouso: [Atribuição: informações em repouso definidas pela organização].
Discussão: A informação em repouso refere-se ao estado da informação quando não está em processo ou em trânsito e
está localizada nos componentes do sistema. Esses componentes incluem unidades de disco rígido internas ou externas,
dispositivos de rede de área de armazenamento ou bancos de dados. No entanto, o foco da proteção da informação
em repouso não está no tipo de dispositivo de armazenamento ou na frequência de acesso, mas sim no estado da
informação. As informações em repouso abordam a confidencialidade e a integridade de
_________________________________________________________________________________________________
pe
E informações e abrange informações do usuário e informações do sistema. As informações relacionadas ao sistema que requerem
proteção incluem configurações ou conjuntos de regras para firewalls, sistemas de detecção e prevenção de invasões, filtragem de
roteadores e informações de autenticação. As organizações podem empregar diferentes mecanismos para obter proteções de
confidencialidade e integridade, incluindo o uso de mecanismos criptográficos e verificação de compartilhamento de arquivos. A
proteção da integridade pode ser alcançada, por exemplo, através da implementação de tecnologias WORM (write-once-read-
many). Quando a proteção adequada das informações em repouso não puder ser alcançada de outra forma, as
organizações podem empregar outros controles, incluindo varreduras frequentes para identificar códigos maliciosos em repouso e
armazenamento offline seguro em vez do armazenamento online.
Controles relacionados: AC-3, AC-4, AC-6, AC-19, CA-7, CM-3, CM-5, CM-6, CP-9, MP-4, MP-5, PE-3 , SC- 8, SC-12, SC-13,
SC-34, SI-3, SI-7, SI-16.
Melhorias de controle:
Implementar mecanismos criptográficos para evitar a divulgação e modificação não autorizada das
seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]:
[Atribuição: informações definidas pela organização].
Discussão: A remoção de informações organizacionais do armazenamento online para o armazenamento offline elimina
a possibilidade de indivíduos obterem acesso não autorizado às informações através de uma rede. Portanto, as
organizações podem optar por mover as informações para o armazenamento offline em vez de protegê-las no
armazenamento online.
Fornecer armazenamento protegido para chaves criptográficas [Seleção: [Atribuição: salvaguardas definidas pela
organização]; armazenamento de chaves protegido por hardware].
Discussão: Um Trusted Platform Module (TPM) é um exemplo de armazenamento de dados protegido por hardware que
pode ser usado para proteger chaves criptográficas.
Referências: [OMB A-130], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-
2], [SP 800-57-3], [SP 800-111], [SP 800-124].
HETEROGENEIDADE SC-29
Controle: Empregar um conjunto diversificado de tecnologias de informação para os seguintes componentes do sistema na
implementação do sistema: [Atribuição: componentes do sistema definidos pela organização].
Discussão: Aumentar a diversidade das tecnologias de informação dentro dos sistemas organizacionais reduz o impacto de
potenciais explorações ou comprometimentos de tecnologias específicas. Essa diversidade protege contra falhas de modo
comum, incluindo aquelas induzidas por ataques à cadeia de abastecimento. A diversidade nas tecnologias de informação
também reduz a probabilidade de que os meios
_________________________________________________________________________________________________
pe
E Os adversários usam para comprometer um componente do sistema serão eficazes contra outros componentes do
sistema, aumentando ainda mais o fator de trabalho do adversário para concluir com êxito os ataques planejados. Um
aumento na diversidade pode adicionar complexidade e sobrecarga de gerenciamento que podem levar a erros e
configurações não autorizadas.
Melhorias de controle:
Empregue técnicas de virtualização para dar suporte à implantação de uma diversidade de sistemas
operacionais e aplicativos que são alterados [Atribuição: frequência definida pela organização].
Referências: Nenhuma.
Controle: Empregue as seguintes técnicas de ocultação e desorientação para [Tarefa: sistemas definidos pela
organização] em [Tarefa: períodos de tempo definidos pela organização] para confundir e enganar os adversários:
[Tarefa: técnicas de ocultação e desorientação definidas pela organização].
Melhorias de controle:
Empregue [Tarefa: técnicas definidas pela organização] para introduzir aleatoriedade nas operações
e ativos organizacionais.
Discussão: A aleatoriedade introduz níveis aumentados de incerteza para os adversários em relação às ações que
as organizações tomam para defender os seus sistemas contra ataques. Tais ações podem impedir a capacidade
dos adversários de direcionar corretamente os recursos de informação das organizações que apoiam missões
críticas ou funções empresariais. A incerteza também pode fazer com que os adversários hesitem antes de iniciar
ou continuar os ataques. Técnicas de desorientação que envolvem
_________________________________________________________________________________________________
pe
E a aleatoriedade inclui a realização de certas ações rotineiras em diferentes horários do dia, o emprego de diferentes
tecnologias de informação, o uso de diferentes fornecedores e a rotação de funções e responsabilidades do
pessoal organizacional.
Discussão: Os adversários visam missões críticas e funções empresariais e os sistemas que apoiam essas missões e
funções empresariais, ao mesmo tempo que tentam minimizar a exposição da sua existência e do seu ofício. A natureza
estática, homogênea e determinística dos sistemas organizacionais visados pelos adversários torna esses sistemas
mais suscetíveis a ataques com menos custo e esforço do adversário para serem bem-sucedidos. A alteração dos
locais de processamento e armazenamento (também chamada de defesa de alvo móvel) aborda a ameaça persistente
avançada usando técnicas como virtualização, processamento distribuído e replicação. Isso permite que as organizações
realoquem os componentes do sistema (ou seja, processamento, armazenamento) que dão suporte à missão crítica e às
funções de negócios. A alteração dos locais das atividades de processamento e/ou locais de armazenamento introduz
um certo grau de incerteza nas atividades de seleção de alvos dos adversários. A incerteza da segmentação
aumenta o fator de trabalho dos adversários e torna
Empregue informações realistas, mas enganosas, em [Tarefa: componentes do sistema definidos pela organização]
sobre seu estado ou postura de segurança.
Discussão: O emprego de informações enganosas destina-se a confundir potenciais adversários relativamente à natureza e
extensão dos controlos implementados pelas organizações. Assim, os adversários podem empregar técnicas de ataque
incorretas e ineficazes. Uma técnica para enganar os adversários é as organizações colocarem informações enganosas
sobre os controles específicos implantados em sistemas externos que são conhecidos por serem alvo dos adversários.
Outra técnica é o uso de redes enganosas que imitam aspectos reais dos sistemas organizacionais, mas utilizam, por exemplo,
configurações de software desatualizadas.
Empregue as seguintes técnicas para ocultar ou ocultar [Atribuição: componentes do sistema definidos pela
organização]: [Atribuição: técnicas definidas pela organização].
Discussão: Ao ocultar, disfarçar ou ocultar componentes críticos do sistema, as organizações podem diminuir a
probabilidade de os adversários visarem e comprometerem com sucesso esses ativos. Meios potenciais para ocultar, disfarçar
ou ocultar componentes do sistema incluem a configuração de roteadores ou o uso de técnicas de criptografia ou virtualização.
Referências: Nenhuma.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Realize uma análise de canal secreto para identificar os aspectos das comunicações dentro do sistema que são caminhos
potenciais para [Seleção (um ou mais): armazenamento; canais de tempo] ; e
Discussão: Os desenvolvedores estão na melhor posição para identificar áreas potenciais dentro dos sistemas que podem levar
a canais secretos. A análise de canal secreto é uma atividade significativa quando há potencial para fluxos de informações não
autorizados através de domínios de segurança, como no caso de sistemas que contêm informações controladas para
exportação e têm conexões com redes externas (ou seja, redes que não são controladas por organizações). . A análise de canal
secreto também é útil para sistemas seguros multiníveis, sistemas com vários níveis de segurança e sistemas entre domínios.
Melhorias de controle:
Teste um subconjunto de canais secretos identificados para determinar os canais que podem ser
explorados.
Discussão: Nenhuma.
Reduzir a largura de banda máxima para [Seleção (um ou mais): armazenamento secreto identificado; timing]
canais para [Atribuição: valores definidos pela organização].
Discussão: A eliminação completa de canais secretos, especialmente canais de temporização ocultos, geralmente não é
possível sem impactos significativos no desempenho.
Meça a largura de banda de [Atribuição: subconjunto de canais secretos identificados definido pela organização]
no ambiente operacional do sistema.
Discussão: Medir a largura de banda do canal secreto em ambientes operacionais específicos ajuda as organizações a
determinar quanta informação pode ser vazada secretamente antes que tal vazamento afete negativamente a missão ou
as funções de negócios. A largura de banda do canal secreto pode ser significativamente diferente quando medida em
configurações independentes dos ambientes específicos de operação, incluindo laboratórios ou ambientes de
desenvolvimento de sistemas.
Referências: Nenhuma.
Controle: particione o sistema em [Atribuição: componentes do sistema definidos pela organização] residindo em [Seleção:
física; lógicos] domínios ou ambientes baseados em [Atribuição: circunstâncias definidas pela organização para separação física ou
lógica de componentes].
Discussão: O particionamento do sistema faz parte de uma estratégia de proteção de defesa profunda. As organizações determinam
o grau de separação física dos componentes do sistema. As opções de separação física incluem componentes fisicamente distintos
em racks separados na mesma sala, componentes críticos em salas separadas e separação geográfica de componentes críticos. A
categorização de segurança pode orientar a seleção de candidatos para particionamento de domínio. As interfaces gerenciadas
restringem ou proíbem o acesso à rede e o fluxo de informações entre componentes do sistema particionado.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
Discussão: Funções privilegiadas que operam em um único domínio físico podem representar um único ponto
de falha se esse domínio for comprometido ou sofrer uma negação de serviço.
Controle: Para [Atribuição: componentes do sistema definidos pela organização], carregue e execute:
b. Os seguintes aplicativos de mídia somente leitura imposta por hardware: [Atribuição: aplicativos definidos
pela organização].
Discussão: O ambiente operacional de um sistema contém o código que hospeda aplicativos, incluindo sistemas
operacionais, executivos ou monitores de máquinas virtuais (ou seja, hipervisores). Também pode incluir
determinados aplicativos executados diretamente em plataformas de hardware. A mídia somente leitura reforçada
por hardware inclui unidades de disco compacto gravável (CD-R) e disco digital versátil gravável (DVD-R), bem como
memória programável única somente leitura. O uso de armazenamento não modificável garante a integridade
do software desde o ponto de criação da imagem somente leitura. O uso de memória reprogramável somente leitura
pode ser aceito como mídia somente leitura, desde que a integridade possa ser adequadamente protegida desde
o ponto da gravação inicial até a inserção da memória no sistema e que existam proteções de hardware
confiáveis contra a reprogramação da memória. enquanto instalado em sistemas organizacionais.
Melhorias de controle:
Empregue [Atribuição: componentes do sistema definidos pela organização] sem armazenamento gravável
que seja persistente durante a reinicialização do componente ou liga/desliga.
(2) PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS | PROTEÇÃO DE INTEGRIDADE EM MÍDIA SOMENTE LEITURA
Proteja a integridade das informações antes do armazenamento em mídia somente leitura e controle a
mídia depois que tais informações forem gravadas na mídia.
Controles relacionados: CM-3, CM-5, CM-9, MP-2, MP-4, MP-5, SC-28, SI-3.
_________________________________________________________________________________________________
pe
E (3) PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS | PROTEÇÃO BASEADA EM HARDWARE
Controle: inclui componentes do sistema que buscam proativamente identificar códigos maliciosos baseados em rede ou sites
maliciosos.
Discussão: A identificação externa de códigos maliciosos difere das iscas no SC-26 porque os componentes
investigam ativamente as redes, incluindo a Internet, em busca de códigos maliciosos contidos em sites externos.
Tal como os engodos, a utilização de técnicas externas de identificação de códigos maliciosos requer algumas medidas de
isolamento de apoio para garantir que qualquer código malicioso descoberto durante a pesquisa e subsequentemente
executado não infecte os sistemas organizacionais.
A virtualização é uma técnica comum para alcançar esse isolamento.
Referências: Nenhuma.
Controle: Distribua os seguintes componentes de processamento e armazenamento em vários [Seleção: locais físicos; domínios
lógicos]: [Atribuição: componentes de processamento e armazenamento definidos pela organização].
Melhorias de controle:
(a) Empregar técnicas de pesquisa para identificar possíveis falhas, erros ou comprometimentos nos seguintes
componentes de processamento e armazenamento: [Atribuição: definido pela organização
componentes distribuídos de processamento e armazenamento]; e
Discussão: O processamento e/ou armazenamento distribuído pode ser usado para reduzir as oportunidades para os
adversários comprometerem a confidencialidade, integridade ou disponibilidade de informações e sistemas
organizacionais. Contudo, a distribuição de componentes de processamento e armazenamento não impede que os
adversários comprometam um ou mais componentes. A votação compara os resultados do processamento e/ou
conteúdo de armazenamento dos componentes distribuídos e, posteriormente, vota nos resultados. A pesquisa
identifica possíveis falhas, comprometimentos ou erros nos componentes de processamento e armazenamento distribuídos.
_________________________________________________________________________________________________
pe
E Discussão: SC-36 e CP-9(6) exigem a duplicação de sistemas ou componentes de sistemas em locais distribuídos. A
sincronização de serviços e dados duplicados e redundantes
ajuda a garantir que as informações contidas nos locais distribuídos possam ser usadas na missão ou nas funções de
negócios das organizações, conforme necessário.
Controle: Empregue os seguintes canais fora de banda para a entrega física ou transmissão eletrônica de [Atribuição:
informações, componentes de sistema ou dispositivos definidos pela organização] para [Atribuição: indivíduos ou sistemas definidos
pela organização]: [Atribuição: organização- canais fora de banda definidos].
Discussão: Canais fora de banda incluem acessos locais, fora da rede, aos sistemas; caminhos de rede fisicamente separados dos
caminhos de rede usados para tráfego operacional; ou caminhos não eletrônicos, como o Serviço Postal dos EUA. O uso de canais
fora da banda é contrastado com o uso de canais dentro da banda.
canais (ou seja, os mesmos canais) que transportam tráfego operacional de rotina. Os canais fora da banda não apresentam a
mesma vulnerabilidade ou exposição que os canais dentro da banda. Portanto, os compromissos de confidencialidade, integridade
ou disponibilidade dos canais dentro da banda não comprometerão nem afetarão negativamente os canais fora da banda. As
organizações podem empregar canais fora de banda na entrega ou
transmissão de itens organizacionais, incluindo autenticadores e credenciais; informações de gerenciamento de chaves criptográficas;
backups de sistema e dados; alterações no gerenciamento de configuração de hardware, firmware ou software; atualizações
de segurança; informações de manutenção; e malicioso
atualizações de proteção de código.
Controles relacionados: AC-2, CM-3, CM-5, CM-7, IA-2, IA-4, IA-5, MA-4, SC-12, SI-3, SI-4, SI-7 .
Melhorias de controle:
Discussão: As técnicas utilizadas pelas organizações para garantir que apenas sistemas ou indivíduos designados recebam
determinadas informações, componentes de sistema ou dispositivos incluem o envio de autenticadores através de um
serviço de correio aprovado, mas exigem que os destinatários apresentem alguma forma de identificação fotográfica emitida
pelo governo como condição de recebimento.
Controle: Empregue os seguintes controles de segurança operacional para proteger as principais informações
organizacionais durante todo o ciclo de vida de desenvolvimento do sistema: [Atribuição: controles de segurança operacional
definidos pela organização].
Discussão: A segurança das operações (OPSEC) é um processo sistemático pelo qual potenciais adversários podem ter negadas
informações sobre as capacidades e intenções das organizações, identificando, controlando e protegendo informações geralmente
não classificadas que se relacionam especificamente com o planeamento e execução de atividades organizacionais sensíveis.
O processo OPSEC envolve cinco etapas: identificação de informações críticas, análise de ameaças, análise de vulnerabilidades,
_________________________________________________________________________________________________
pe
E aplicado a sistemas organizacionais e aos ambientes em que esses sistemas operam. Os controles OPSEC protegem a
confidencialidade das informações, incluindo a limitação do compartilhamento de informações com fornecedores, potenciais
fornecedores e outros elementos e indivíduos não organizacionais.
As informações críticas para a missão organizacional e funções de negócios incluem identidades de usuários, usos de
elementos, fornecedores, processos da cadeia de suprimentos, requisitos funcionais, requisitos de segurança, especificações de
design de sistema, protocolos de teste e avaliação e detalhes de implementação de controle de segurança.
Controles Relacionados: CA-2, CA-7, PL-1, PM-9, PM-12, RA-2, RA-3, RA-5, SC-7, SR-3, SR-7.
Referências: Nenhuma.
Controle: Mantenha um domínio de execução separado para cada processo do sistema em execução.
Discussão: Os sistemas podem manter domínios de execução separados para cada processo em execução, atribuindo a cada
processo um espaço de endereço separado. Cada processo do sistema possui um espaço de endereço distinto para que a
comunicação entre os processos seja realizada de maneira controlada pelas funções de segurança, e um processo não possa
modificar o código de execução de outro processo.
A manutenção de domínios de execução separados para processos em execução pode ser alcançada, por exemplo, através da
implementação de espaços de endereço separados. Tecnologias de isolamento de processos, incluindo sandbox ou virtualização,
separam logicamente software e firmware de outros softwares, firmware e dados. O isolamento do processo ajuda a limitar o
acesso de software potencialmente não confiável a outros recursos do sistema. A capacidade de manter domínios de execução
separados está disponível em sistemas operacionais comerciais que empregam tecnologias de processador multiestado.
Controles relacionados: AC-3, AC-4, AC-6, AC-25, SA-8, SC-2, SC-3, SI-16.
Melhorias de controle:
Discussão: A separação de processos do sistema baseada em hardware é geralmente menos suscetível a comprometimento
do que a separação baseada em software, proporcionando assim maior garantia de que a separação será aplicada. Os
mecanismos de separação de hardware incluem gerenciamento de memória de hardware.
Mantenha um domínio de execução separado para cada thread em [Atribuição: processamento multithread
definido pela organização].
Discussão: Nenhuma.
Controle: Proteger [Atribuição: links sem fio definidos pela organização] externos e internos dos seguintes ataques de parâmetros de
sinal: [Atribuição: tipos de ataques de parâmetros de sinal definidos pela organização ou referências a fontes para tais ataques].
Discussão: A proteção de link sem fio aplica-se a links de comunicação sem fio internos e externos que podem ser visíveis
para indivíduos que não são usuários autorizados do sistema. Os adversários podem
_________________________________________________________________________________________________
pe
E explorar os parâmetros de sinal de links sem fio se tais links não estiverem adequadamente protegidos. Há muitas
maneiras de explorar os parâmetros de sinal de links sem fio para obter inteligência, negar serviço ou falsificar usuários do
sistema. A proteção de links sem fio reduz o impacto de ataques exclusivos de sistemas sem fio. Se as organizações
confiarem em prestadores de serviços comerciais para serviços de transmissão como itens de commodities, em
vez de serviços totalmente dedicados, poderá não ser possível implementar proteções de links sem fio na medida
necessária para atender aos requisitos de segurança organizacional.
Melhorias de controle:
Implementar mecanismos criptográficos que alcancem [Atribuição: nível de proteção definido pela
organização] contra os efeitos da interferência eletromagnética intencional.
Implementar mecanismos criptográficos para reduzir o potencial de detecção de links sem fio para
[Atribuição: nível de redução definido pela organização].
Discussão: A implementação de mecanismos criptográficos para reduzir o potencial de detecção é usada para
comunicações secretas e para proteger transmissores sem fio contra geolocalização. Ele também garante que as
formas de onda de espectro espalhado usadas para alcançar uma baixa probabilidade de detecção não
sejam previsíveis por indivíduos não autorizados. Os requisitos da missão, as ameaças projetadas, o conceito de
operações e as leis, ordens executivas, diretivas, regulamentos, políticas e padrões aplicáveis determinam os níveis
em que os links sem fio são indetectáveis.
Implementar mecanismos criptográficos para identificar e rejeitar transmissões sem fio que sejam
tentativas deliberadas de enganar comunicações imitativas ou manipulativas com base em parâmetros de
sinal.
Discussão: A implementação de mecanismos criptográficos para impedir a identificação de transmissores sem fio
protege contra a identificação única de transmissores sem fio
_________________________________________________________________________________________________
pe
E para efeitos de exploração de informações, garantindo que as alterações anti-impressões digitais nos parâmetros do
sinal não sejam previsíveis por indivíduos não autorizados. Ele também fornece anonimato quando necessário.
As técnicas de impressão digital de rádio identificam os parâmetros de sinal exclusivos dos transmissores para
imprimir impressões digitais de tais transmissores para fins de rastreamento e missão ou identificação do usuário.
Referências: Nenhuma.
Controle: [Seleção: Fisicamente; Logicamente] desabilitar ou remover [Atribuição: portas de conexão definidas pela
organização ou dispositivos de entrada/ saída] nos seguintes sistemas ou componentes do sistema:
[Tarefa: sistemas ou componentes de sistema definidos pela organização].
Discussão: As portas de conexão incluem Universal Serial Bus (USB), Thunderbolt e Firewire (IEEE 1394). Os dispositivos de
entrada/saída (E/S) incluem unidades de disco compacto e de disco digital versátil. Desativar ou remover essas portas de
conexão e dispositivos de E/S ajuda a evitar a exfiltração de informações dos sistemas e a introdução de código malicioso
dessas portas ou dispositivos. Desativar ou remover fisicamente portas e/ou dispositivos é a ação mais forte.
Referências: Nenhuma.
Ao controle:
a. Proibir [Seleção (um ou mais): o uso de dispositivos que possuam [Atribuição: capacidades de detecção ambiental
definidas pela organização] em [Atribuição: instalações, áreas ou sistemas definidos pela organização]; a ativação
remota de capacidades de detecção ambiental em sistemas organizacionais ou componentes de sistema
com as seguintes exceções: [Atribuição: exceções definidas pela organização onde a ativação remota de sensores é
permitida]]; e
Discussão: A capacidade e os dados dos sensores aplicam-se a tipos de sistemas ou componentes de sistemas
caracterizados como dispositivos móveis, como telefones celulares, smartphones e tablets. Os dispositivos móveis
geralmente incluem sensores que podem coletar e registrar dados relativos ao ambiente onde o sistema está em uso. Os
sensores incorporados em dispositivos móveis incluem microfones,
câmeras, mecanismos do Sistema de Posicionamento Global (GPS) e acelerômetros. Embora os sensores em dispositivos
móveis forneçam uma função importante, se ativados secretamente, tais dispositivos podem potencialmente
fornecer um meio para os adversários obterem informações valiosas sobre indivíduos e organizações. Por exemplo, ativar
remotamente a função GPS num dispositivo móvel poderia fornecer a um adversário a capacidade de rastrear os
movimentos de um indivíduo. As organizações podem proibir indivíduos de trazer telefones celulares ou câmeras digitais para
determinadas instalações designadas ou áreas controladas dentro de instalações onde informações confidenciais são
armazenadas ou confidenciais.
conversas estão acontecendo.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Verifique se o sistema está configurado para que os dados ou informações coletados pela [Atribuição:
sensores definidos pela organização] sejam relatados apenas a indivíduos ou funções autorizadas.
Discussão: Nas situações em que os sensores são ativados por pessoas autorizadas, ainda é possível que os dados
ou informações recolhidos pelos sensores sejam enviados para entidades não autorizadas.
Empregue as seguintes medidas para que os dados ou informações coletados por [Atribuição: sensores
definidos pela organização] sejam usados apenas para fins autorizados: [Atribuição: medidas definidas
pela organização].
Discussão: As informações coletadas pelos sensores para uma finalidade específica autorizada podem ser utilizadas
indevidamente para alguma finalidade não autorizada. Por exemplo, sensores GPS usados para apoiar a navegação no
trânsito podem ser mal utilizados para rastrear os movimentos de indivíduos. As medidas para mitigar tais atividades
incluem formação adicional para ajudar a garantir que os indivíduos autorizados não abusem da sua autoridade e, no caso em
que os dados dos sensores sejam mantidos por terceiros, restrições contratuais à utilização de tais dados.
Empregue as seguintes medidas para facilitar a consciência de um indivíduo de que informações pessoalmente
identificáveis estão sendo coletadas por [Atribuição: sensores definidos pela organização]: [Atribuição: medidas
definidas pela organização].
Discussão: A consciência de que os sensores organizacionais estão a recolher dados permite que os indivíduos se envolvam
de forma mais eficaz na gestão da sua privacidade. As medidas podem incluir avisos convencionais por escrito e
configurações de sensores que conscientizam os indivíduos, direta ou indiretamente, por meio de outros dispositivos, de que
o sensor está coletando informações. A usabilidade e eficácia do aviso são considerações importantes.
Empregue [Atribuição: sensores definidos pela organização] que sejam configurados para minimizar a coleta de
informações desnecessárias sobre indivíduos.
Discussão: Embora as políticas de controlo da utilização autorizada possam ser aplicadas às informações uma vez
recolhidas, minimizar a recolha de informações desnecessárias mitiga o risco de privacidade no ponto de entrada do
sistema e mitiga o risco de falhas no controlo das políticas. As configurações dos sensores incluem o obscurecimento de
características humanas, como desfoque ou pixelização da pele
tons.
Ao controle:
a. Estabelecer restrições de uso e diretrizes de implementação para os seguintes componentes do sistema: [Atribuição:
componentes do sistema definidos pela organização]; e
_________________________________________________________________________________________________
pe
E b. Autorizar, monitorar e controlar o uso de tais componentes no sistema.
Discussão: As restrições de uso se aplicam a todos os componentes do sistema, incluindo, entre outros,
código móvel, dispositivos móveis, acesso sem fio e componentes periféricos com e sem fio.
(por exemplo, copiadoras, impressoras, scanners, dispositivos ópticos e outras tecnologias similares). As
restrições de uso e as diretrizes de implementação baseiam-se no potencial dos componentes do sistema causarem
danos ao sistema e ajudam a garantir que somente ocorra o uso autorizado do sistema.
Controle: Empregue uma capacidade de câmara de detonação dentro de [Atribuição: sistema definido pela
organização, componente do sistema ou localização].
Controles relacionados: SC-7, SC-18, SC-25, SC-26, SC-30, SC-35, SC-39, SI-3, SI-7.
Discussão: A sincronização de horário dos relógios do sistema é essencial para a correta execução de muitos
serviços do sistema, incluindo processos de identificação e autenticação que envolvem certificados
e restrições de horário como parte do controle de acesso. A negação de serviço ou a falha na negação de credenciais
expiradas pode resultar na falta de relógios devidamente sincronizados dentro e entre sistemas e componentes
do sistema. O tempo é comumente expresso em Tempo Universal Coordenado (UTC), uma continuação
moderna do Horário de Greenwich (GMT), ou hora local com um deslocamento do UTC. A granularidade das medições
de tempo refere-se ao grau de sincronização entre os relógios do sistema e os relógios de referência, como relógios
sincronizados em centenas de milissegundos ou dezenas de milissegundos. As organizações podem definir
diferentes granularidades de tempo para componentes do sistema. O serviço de tempo pode ser crítico para outras
capacidades de segurança – como controle de acesso, identificação e autenticação – dependendo da natureza dos
mecanismos usados para apoiar as capacidades.
Melhorias de controle:
(a) Compare os relógios do sistema interno [Atribuição: frequência definida pela organização] com
[Atribuição: fonte de tempo oficial definida pela organização]; e
_________________________________________________________________________________________________
pe
E (b) Sincronizar os relógios do sistema interno com a fonte de tempo oficial quando a diferença de horário for maior
que [Atribuição: período de tempo definido pela organização].
Discussão: A sincronização dos relógios do sistema interno com uma fonte autorizada fornece uniformidade de registros de
data e hora para sistemas com vários relógios de sistema e sistemas conectados em uma rede.
(a) Identifique uma fonte de tempo secundária autorizada que esteja em uma região geográfica diferente
do que a principal fonte de tempo oficial; e
(b) Sincronize os relógios do sistema interno com a fonte de tempo oficial secundária se a fonte de tempo oficial
primária estiver indisponível.
Discussão: Pode ser necessário empregar informações de geolocalização para determinar se a fonte de tempo oficial
secundária está em uma região geográfica diferente.
Controle: Implementar um mecanismo de aplicação de políticas [Seleção: fisicamente; logicamente] entre as interfaces físicas e/
ou de rede para os domínios de segurança de conexão.
Discussão: Para mecanismos lógicos de aplicação de políticas, as organizações evitam criar um caminho lógico entre interfaces
para evitar a capacidade de contornar o mecanismo de aplicação de políticas. Para mecanismos físicos de aplicação de políticas,
pode ser necessária a robustez do isolamento físico proporcionada pela implementação física da aplicação de políticas para
impedir a presença de canais lógicos secretos que penetram no domínio de segurança. Contate ncdsmo@nsa.gov para
obter mais informações.
Controle: Estabelecer [Atribuição: caminhos de comunicação alternativos definidos pela organização] para o comando e
controle organizacional das operações do sistema.
Discussão: Um incidente, seja de base adversária ou não, pode interromper os caminhos de comunicação estabelecidos usados
para operações do sistema e comando e controle organizacional.
Caminhos de comunicação alternativos reduzem o risco de todos os caminhos de comunicação serem afetados pelo mesmo
incidente. Para agravar o problema, a incapacidade dos responsáveis organizacionais de obterem informações atempadas sobre
perturbações ou de fornecerem orientação atempada aos elementos operacionais após um incidente no caminho de comunicações,
pode ter impacto na capacidade da organização de responder a tais incidentes em tempo útil. O estabelecimento de caminhos
de comunicação alternativos para fins de comando e controle, incluindo a designação de tomadores de decisão alternativos se
os tomadores de decisão primários não estiverem disponíveis e o estabelecimento da extensão e das limitações de suas ações,
pode facilitar enormemente a capacidade da organização de continuar a operar e tomar as ações apropriadas durante um incidente.
_________________________________________________________________________________________________
pe
E RELOCAÇÃO DO SENSOR SC-48
Controle: Realocar [Atribuição: sensores e recursos de monitoramento definidos pela organização] para [Atribuição:
locais definidos pela organização] sob as seguintes condições ou circunstâncias:
[Tarefa: condições ou circunstâncias definidas pela organização].
Discussão: Os adversários podem seguir vários caminhos e utilizar diferentes abordagens à medida que se
movem lateralmente através de uma organização (incluindo os seus sistemas) para atingir o seu alvo ou quando
tentam exfiltrar informações da organização. A organização muitas vezes tem apenas um conjunto limitado de
capacidades de monitoramento e detecção, e elas podem estar focadas nos caminhos críticos ou prováveis de infiltração
ou exfiltração. Ao utilizar caminhos de comunicação que a organização normalmente não monitora, o adversário
pode aumentar suas chances de atingir os objetivos desejados. Ao realocar seus sensores ou capacidades de
monitoramento para novos locais, a organização pode impedir a capacidade do adversário de atingir seus objetivos. A
realocação dos sensores ou capacidades de monitoramento pode ser feita com base nas informações sobre ameaças
que a organização adquiriu ou aleatoriamente para confundir o adversário e tornar mais desafiadora sua
transição lateral através do sistema ou organização.
Melhorias de controle:
Discussão: Nenhuma.
Controle: Implementar separação imposta por hardware e mecanismos de aplicação de políticas entre
[Atribuição: domínios de segurança definidos pela organização].
Discussão: Os proprietários de sistemas podem exigir mecanismos e robustez adicionais para garantir a separação
de domínios e a aplicação de políticas para tipos específicos de ameaças e ambientes de operação. A separação
imposta por hardware e a aplicação de políticas fornecem maior força de mecanismo do que a separação imposta por
software e a aplicação de políticas.
Controle: Implementar separação imposta por software e mecanismos de aplicação de políticas entre [Atribuição:
domínios de segurança definidos pela organização].
Discussão: Os proprietários de sistemas podem exigir mecanismos adicionais para garantir a separação de
domínios e a aplicação de políticas para tipos específicos de ameaças e ambientes de operação.
_________________________________________________________________________________________________
pe
E PROTEÇÃO BASEADA EM HARDWARE SC-51
Ao controle:
a. Empregue proteção contra gravação baseada em hardware para [Atribuição: sistema definido pela organização
componentes de firmware]; e
b. Implemente procedimentos específicos para [Atribuição: indivíduos autorizados definidos pela organização] para desativar manualmente a
proteção contra gravação de hardware para modificações de firmware e reativar a proteção contra gravação antes de retornar ao
modo operacional.
Discussão: Nenhuma.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.19 INTEGRIDADE DO SISTEMA E DA INFORMAÇÃO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] sistema e política de integridade de informações que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
_________________________________________________________________________________________________
pe
E REMEDIAÇÃO DE FALHAS SI-2
Ao controle:
b. Testar atualizações de software e firmware relacionadas à correção de falhas quanto à eficácia e possíveis
efeitos colaterais antes da instalação;
Discussão: A necessidade de remediar falhas do sistema aplica-se a todos os tipos de software e firmware.
As organizações identificam os sistemas afetados por falhas de software, incluindo vulnerabilidades potenciais
resultantes dessas falhas, e reportam essas informações ao pessoal organizacional designado com responsabilidades
de segurança da informação e privacidade. As atualizações relevantes para a segurança incluem patches, service packs e
assinaturas de códigos maliciosos. As organizações também abordam falhas descobertas durante avaliações,
monitoramento contínuo, atividades de resposta a incidentes e tratamento de erros do sistema. Ao incorporar a correção
de falhas nos processos de gerenciamento de configuração, as ações de correção necessárias podem ser rastreadas e
verificadas.
Os períodos de tempo definidos pela organização para atualização de software e firmware relevantes para a segurança
podem variar com base em vários fatores de risco, incluindo a categoria de segurança do sistema, a criticidade da
atualização (ou seja, a gravidade da vulnerabilidade relacionada à falha descoberta), a tolerância ao risco organizacional,
a missão apoiada pelo sistema ou o ambiente de ameaça. Alguns tipos de correção de falhas podem exigir mais testes
do que outros tipos. As organizações determinam o tipo de teste necessário para o tipo específico de atividade de
correção de falhas em consideração e os tipos de alterações que devem ser gerenciadas pela configuração. Em algumas
situações, as organizações podem determinar que o teste de atualizações de software ou firmware não é necessário
ou prático, como
ao implementar atualizações simples de assinatura de código malicioso. Nas decisões de teste, as organizações
consideram se as atualizações de software ou firmware relevantes para a segurança são obtidas de fontes autorizadas
com assinaturas digitais apropriadas.
Controles relacionados: CA-5, CM-3, CM-4, CM-5, CM-6, CM-8, MA-2, RA-5, SA-8, SA-10, SA-11, SI-3 , SI- 5, SI-7, SI-11.
Melhorias de controle:
(3) REMEDIAÇÃO DE FALHAS | TEMPO PARA REMEDIAR FALHAS E REFERÊNCIAS PARA AÇÕES CORRETIVAS
(b) Estabelecer os seguintes parâmetros de referência para a tomada de ações corretivas: [Atribuição:
benchmarks definidos pela organização].
Discussão: As organizações determinam o tempo médio que leva para corrigir falhas do sistema depois que tais
falhas foram identificadas e subsequentemente estabelecem benchmarks organizacionais
_________________________________________________________________________________________________
pe
E (ou seja, prazos) para tomar ações corretivas. Os benchmarks podem ser estabelecidos pelo tipo de falha ou pela gravidade da
Empregue ferramentas automatizadas de gerenciamento de patches para facilitar a correção de falhas nos seguintes componentes
Discussão: O uso de ferramentas automatizadas para dar suporte ao gerenciamento de patches ajuda a garantir a pontualidade
Instale [Atribuição: atualizações de software e firmware relevantes para a segurança definidas pela organização]
Discussão: Devido a preocupações com integridade e disponibilidade do sistema, as organizações consideram a metodologia
utilizada para realizar atualizações automáticas. As organizações equilibram a necessidade de garantir que as atualizações
sejam instaladas o mais rápido possível com a necessidade de manter o gerenciamento e o controle da configuração com
Remova as versões anteriores de [Atribuição: componentes de software e firmware definidos pela organização] após a
Discussão: Versões anteriores de componentes de software ou firmware que não são removidos do sistema após a instalação das
atualizações podem ser exploradas por adversários. Alguns produtos podem remover automaticamente versões anteriores de software
e firmware do sistema.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 186-4], [SP 800-39], [SP 800-40], [SP 800-128], [IR 7788].
Ao controle:
a. Implementar [Seleção (uma ou mais): baseada em assinatura; mecanismos de proteção contra códigos maliciosos não baseados em
assinaturas nos pontos de entrada e saída do sistema para detectar e erradicar códigos maliciosos;
b. Atualizar automaticamente os mecanismos de proteção contra códigos maliciosos à medida que novas versões são disponibilizadas, de acordo
1. Realize verificações periódicas do sistema [Atribuição: frequência definida pela organização] e verificações em tempo real de arquivos
de fontes externas em [Seleção (um ou mais): endpoint; pontos de entrada e saída da rede] à medida que os arquivos são
2. [Seleção (um ou mais): bloquear código malicioso; colocar código malicioso em quarentena; pegar
[Tarefa: ação definida pela organização]]; e enviar alerta para [Atribuição: pessoal ou funções definidas pela organização] em
_________________________________________________________________________________________________
pe
E d. Abordar o recebimento de falsos positivos durante a detecção e erradicação de códigos maliciosos e
o impacto potencial resultante na disponibilidade do sistema.
Discussão: Os pontos de entrada e saída do sistema incluem firewalls, servidores de acesso remoto, estações de trabalho,
servidores de correio eletrônico, servidores web, servidores proxy, notebooks e dispositivos móveis.
O código malicioso inclui vírus, worms, cavalos de Tróia e spyware. O código malicioso também pode ser codificado em vários
formatos contidos em arquivos compactados ou ocultos ou ocultos em arquivos usando técnicas como a esteganografia. O código
malicioso pode ser inserido em sistemas de diversas maneiras, inclusive por correio eletrônico, pela rede mundial de
computadores e por dispositivos de armazenamento portáteis. As inserções de códigos maliciosos ocorrem através da exploração
de vulnerabilidades do sistema. Existe uma variedade de tecnologias e métodos para limitar ou eliminar os efeitos do código
malicioso.
Em situações em que o código malicioso não pode ser detectado por métodos ou tecnologias de detecção, as organizações
contam com outros tipos de controles, incluindo práticas de codificação segura, gerenciamento e controle de configuração,
processos de aquisição confiáveis e práticas de monitoramento para garantir que o software não execute outras funções além
das funções pretendidas. As organizações podem determinar que, em resposta à detecção de código malicioso, diferentes ações
podem ser justificadas. Por exemplo, as organizações podem definir ações em resposta à detecção de código malicioso
durante verificações periódicas, à detecção de downloads maliciosos ou à detecção de maldade ao tentar abrir ou
executar arquivos.
Controles relacionados: AC-4, AC-19, CM-3, CM-8, IR-4, MA-3, MA-4, PL-9, RA-5, SC-7, SC-23, SC-26 , SC-28, SC-44, SI-2, SI-4,
SI-7, SI-8, SI-15.
Melhorias de controle:
Atualize os mecanismos de proteção contra códigos maliciosos somente quando direcionado por um usuário privilegiado.
Discussão: Os mecanismos de proteção contra códigos maliciosos são normalmente categorizados como software
relacionado à segurança e, como tal, são atualizados apenas pelo pessoal da organização com privilégios de
acesso apropriados.
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao MP-7.]
(a) Testar mecanismos de proteção contra códigos maliciosos [Atribuição: frequência definida
pela organização] , introduzindo código benigno conhecido no sistema; e
(a) Detectar os seguintes comandos não autorizados do sistema operacional por meio da interface de
programação do aplicativo kernel em [Atribuição: componentes de hardware do sistema
definidos pela organização]: [Atribuição: comandos não autorizados do sistema operacional
definidos pela organização]; e
(b) [Seleção (um ou mais): emitir uma advertência; auditar a execução do comando; prevenir o
execução do comando].
Discussão: A detecção de comandos não autorizados pode ser aplicada a interfaces críticas diferentes das
interfaces baseadas em kernel, incluindo interfaces com máquinas virtuais e aplicativos privilegiados. Os
comandos não autorizados do sistema operacional incluem comandos para funções do kernel de
processos do sistema que não são confiáveis para iniciar tais comandos, bem como comandos para funções
do kernel que são suspeitas, mesmo que comandos desse tipo sejam razoáveis para a inicialização dos
processos. As organizações podem definir os comandos maliciosos a serem detectados por uma combinação de
tipos de comandos, classes de comandos ou instâncias específicas de comandos. As organizações também
podem definir componentes de hardware por tipo de componente, componente, localização do
componente na rede ou uma combinação destes. As organizações podem selecionar diferentes ações para
diferentes tipos, classes ou instâncias de comandos maliciosos.
Controles relacionados: AU-2, AU-6, AU-12.
Discussão: O uso de ferramentas de análise de código malicioso fornece às organizações uma compreensão
mais aprofundada do comércio do adversário (ou seja, táticas, técnicas e procedimentos) e da funcionalidade
e da finalidade de instâncias específicas de código malicioso. Compreender as características do código
malicioso facilita respostas organizacionais eficazes às ameaças atuais e futuras. As organizações podem
conduzir análises de códigos maliciosos empregando técnicas de engenharia reversa ou monitorando o
comportamento da execução do código.
Controles relacionados: Nenhum.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Monitore o sistema para detectar:
b. Identifique o uso não autorizado do sistema através das seguintes técnicas e métodos:
[Tarefa: técnicas e métodos definidos pela organização];
1. Estrategicamente dentro do sistema para coletar informações essenciais determinadas pela organização;
e
2. Em locais ad hoc dentro do sistema para rastrear tipos específicos de transações de interesse da
organização;
e. Ajustar o nível de atividade de monitoramento do sistema quando houver uma mudança no risco para a organização
operações e ativos, indivíduos, outras organizações ou a Nação;
g. Fornecer [Atribuição: informações de monitoramento do sistema definidas pela organização] para [Atribuição:
pessoal ou funções definidas pela organização] [Seleção (uma ou mais): conforme necessário; [Atribuição:
frequência definida pela organização]].
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-2, AC-3, AC-4, AC-8, AC-17, AU-2, AU-6, AU-7, AU-9, AU-12, AU- 13, AU-14 , CA-7, CM-3, CM-6,
CM-8, CM-11, IA-10, IR-4, MA-3, MA-4, PL-9, PM-12, RA-5, RA -10, SC-5, SC-7, SC-18, SC-26, SC-31, SC-35, SC-36, SC-37,
SC-43, SI-3, SI-6 , SI-7 , SR-9, SR-10.
Melhorias de controle:
Conecte e configure ferramentas individuais de detecção de intrusão em um sistema de detecção de intrusão para
todo o sistema.
(2) MONITORAMENTO DO SISTEMA | FERRAMENTAS E MECANISMOS AUTOMATIZADOS PARA ANÁLISE EM TEMPO REAL
Empregue ferramentas e mecanismos automatizados para dar suporte à análise de eventos quase em tempo real.
Discussão: A utilização de ferramentas e mecanismos automatizados para integrar ferramentas e mecanismos de detecção
de intrusões em mecanismos de acesso e controlo de fluxo facilita uma resposta rápida aos ataques, permitindo a
reconfiguração de mecanismos de apoio ao isolamento e eliminação de ataques.
(a) Determinar critérios para atividades ou condições incomuns ou não autorizadas para o tráfego de
comunicações de entrada e saída;
(b) Monitorar o tráfego de comunicações de entrada e saída [Atribuição: frequência definida pela organização]
para [Atribuição: atividades ou condições incomuns ou não autorizadas definidas pela organização].
Discussão: Atividades ou condições incomuns ou não autorizadas relacionadas ao tráfego de comunicações de entrada e
saída do sistema incluem tráfego interno que indica a presença de código malicioso ou uso não autorizado de código ou
credenciais legítimos dentro de sistemas organizacionais ou propagação entre componentes do sistema, sinalização para
sistemas externos e o exportação não autorizada de informações. Evidências de código malicioso ou uso não autorizado de
código ou credenciais legítimos são usadas para identificar sistemas ou componentes de sistema potencialmente
comprometidos.
_________________________________________________________________________________________________
pe
E (5) MONITORAMENTO DO SISTEMA | ALERTAS GERADOS PELO SISTEMA
Alertar [Atribuição: pessoal ou funções definidas pela organização] quando ocorrerem as seguintes indicações
de comprometimento ou potencial comprometimento geradas pelo sistema: [Atribuição: indicadores de
comprometimento definidos pela organização].
Discussão: Os alertas podem ser gerados a partir de diversas fontes, incluindo registros de auditoria ou entradas de
mecanismos de proteção de códigos maliciosos, mecanismos de detecção ou prevenção de intrusões ou dispositivos
de proteção de limites, como firewalls, gateways e roteadores. Os alertas podem ser automatizados e transmitidos por telefone,
por mensagens de correio eletrônico ou por mensagens de texto. O pessoal organizacional na lista de notificação de alerta
pode incluir administradores de sistema, proprietários de missão ou negócios, proprietários de sistemas, proprietários/
administradores de informações, oficiais seniores de segurança de informações de agências, funcionários seniores de
agências para privacidade, oficiais de segurança de sistema ou oficiais de privacidade. Em contraste com os alertas
gerados pelo sistema, os alertas gerados pelas organizações no SI-4(12) concentram-se em fontes de informação
externas ao sistema,
como relatórios de atividades suspeitas e relatórios sobre possíveis ameaças internas.
(a) Notificar [Atribuição: pessoal de resposta a incidentes definido pela organização (identificado por
nome e/ ou por função)] de eventos suspeitos detectados; e
(b) Tomar as seguintes ações após a detecção: [Atribuição: mínimo definido pela organização
ações disruptivas para encerrar eventos suspeitos].
Discussão: É necessário testar ferramentas e mecanismos de monitoramento de intrusões para garantir que as ferramentas
e mecanismos estejam operando corretamente e continuem a satisfazer os objetivos de monitoramento das organizações.
A frequência e a profundidade dos testes dependem dos tipos de ferramentas e mecanismos utilizados pelas organizações
e dos métodos de implantação.
Tomar providências para que [Atribuição: tráfego de comunicações criptografadas definido pela organização]
fique visível para [Atribuição: ferramentas e mecanismos de monitoramento de sistema definidos pela
organização].
_________________________________________________________________________________________________
pe
E Analise o tráfego de comunicações de saída nas interfaces externas do sistema e selecione [Atribuição: pontos
internos definidos pela organização dentro do sistema] para descobrir anomalias.
Alertar [Atribuição: pessoal ou funções definidas pela organização] usando [Atribuição: mecanismos
automatizados definidos pela organização] quando ocorrerem as seguintes indicações de atividades
inadequadas ou incomuns com implicações de segurança ou privacidade: [Atribuição: atividades
definidas pela organização que acionam alertas].
Discussão: O pessoal organizacional na lista de notificação de alerta do sistema inclui administradores de sistema,
proprietários de missão ou negócios, proprietários de sistema, oficial sênior de segurança da informação da agência,
oficial sênior da agência para privacidade, oficiais de segurança do sistema ou oficiais de privacidade.
Alertas automatizados gerados pela organização são alertas de segurança gerados pelas organizações e transmitidos por
meios automatizados. As fontes de alertas gerados pela organização concentram-se em outras entidades, como relatórios de
atividades suspeitas e relatórios sobre possíveis ameaças internas. Em contraste com os alertas gerados pela organização,
os alertas gerados pelo sistema no SI-4(5) concentram-se em fontes de informação que são internas aos sistemas, tais como
registos de auditoria.
(c) Usar os perfis de tráfego e eventos no ajuste dos dispositivos de monitoramento do sistema.
Empregue um sistema de detecção de intrusão sem fio para identificar dispositivos sem fio não autorizados e
detectar tentativas de ataque e possíveis comprometimentos ou violações do sistema.
Discussão: Os sinais sem fio podem irradiar para além das instalações organizacionais. As organizações procuram
proativamente conexões sem fio não autorizadas, incluindo a realização de varreduras completas em busca de pontos de
acesso sem fio não autorizados. As varreduras sem fio não se limitam às áreas dentro das instalações que contêm sistemas,
mas também incluem áreas fora das instalações para verificar se os pontos de acesso sem fio não autorizados não estão
conectados aos sistemas organizacionais.
Empregue um sistema de detecção de intrusão para monitorar o tráfego de comunicações sem fio à medida que o
tráfego passa de redes sem fio para redes fixas.
_________________________________________________________________________________________________
pe
E Discussão: As redes sem fio são inerentemente menos seguras que as redes com fio. Por exemplo, as redes sem fio são mais
suscetíveis a bisbilhoteiros ou à análise de tráfego do que as redes com fio. Quando existem comunicações sem fio para
rede fixa, a rede sem fio pode se tornar uma porta de entrada para a rede com fio. Dada a maior facilidade de acesso
não autorizado à rede através de pontos de acesso sem fio em comparação com o acesso não autorizado à rede com fio
dentro dos limites físicos do sistema, pode ser necessário monitoramento adicional do tráfego de transição entre redes sem
fio e com fio para detectar atividades maliciosas.
O emprego de sistemas de detecção de intrusão para monitorar o tráfego de comunicações sem fio ajuda a garantir que o
tráfego não contenha código malicioso antes da transição para a rede fixa.
Discussão: A correlação de informações de diferentes ferramentas e mecanismos de monitoramento do sistema pode fornecer
uma visão mais abrangente da atividade do sistema. A correlação de ferramentas e mecanismos de monitoramento de
sistema que normalmente funcionam isoladamente – incluindo software de proteção contra códigos maliciosos, monitoramento
de host e monitoramento de rede – pode fornecer uma visão de monitoramento de toda a organização e revelar padrões
de ataque que de outra forma seriam invisíveis. Compreendendo o
as capacidades e limitações de diversas ferramentas e mecanismos de monitoramento e como maximizar o uso
das informações geradas por essas ferramentas e mecanismos podem ajudar as organizações a desenvolver,
operar e manter programas de monitoramento eficazes. A correlação das informações de monitoramento é especialmente
importante durante a transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, transição de protocolos
de rede IPv4 para IPv6).
Analise o tráfego de comunicações de saída em interfaces externas do sistema e nos seguintes pontos internos
para detectar exfiltração secreta de informações: [Atribuição: pontos internos definidos pela organização
dentro do sistema].
_________________________________________________________________________________________________
pe
E Implementar [Atribuição: monitoramento adicional definido pela organização] de indivíduos que foram identificados
por [Atribuição: fontes definidas pela organização] como apresentando um nível maior de risco.
Discussão: As indicações de risco aumentado por parte dos indivíduos podem ser obtidas de diferentes fontes, incluindo
registos pessoais, agências de inteligência, organizações responsáveis pela aplicação da lei e outras fontes. O monitoramento
de indivíduos é coordenado com os funcionários administrativos, jurídicos, de segurança, de privacidade e de recursos
humanos que conduzem esse monitoramento. O monitoramento é conduzido de acordo com as leis, ordens executivas,
diretrizes, regulamentos, políticas, padrões e diretrizes aplicáveis.
Discussão: Os utilizadores privilegiados têm acesso a informações mais sensíveis, incluindo informações relacionadas
com a segurança, do que a população de utilizadores em geral. O acesso a tais informações significa que os utilizadores
privilegiados podem potencialmente causar maiores danos aos sistemas e organizações do que os utilizadores não
privilegiados. Portanto, a implementação de monitoramento adicional em usuários privilegiados ajuda a garantir que as
organizações possam identificar atividades maliciosas o mais rápido possível e tomar as medidas apropriadas.
Implementar o seguinte monitoramento adicional de indivíduos durante [Tarefa: período probatório definido
pela organização]: [Tarefa: monitoramento adicional definido pela organização].
Discussão: Durante os períodos probatórios, os funcionários não têm status de emprego permanente nas organizações.
Sem esse status ou acesso às informações residentes no sistema, o monitoramento adicional pode ajudar a identificar
qualquer atividade potencialmente maliciosa ou comportamento inadequado.
(a) Detectar serviços de rede que não foram autorizados ou aprovados por [Atribuição: processos de autorização ou
aprovação definidos pela organização]; e
(b) [Seleção (um ou mais): Auditoria; Alerta [Atribuição: pessoal ou funções definidas pela organização]] quando
detectado.
Discussão: Serviços de rede não autorizados ou não aprovados incluem serviços em arquiteturas orientadas a
serviços que carecem de verificação ou validação organizacional e podem, portanto, não ser confiáveis ou servir como
invasores maliciosos para serviços válidos.
Discussão: O monitoramento baseado em host coleta informações sobre o host (ou sistema no qual ele reside). Os componentes
do sistema nos quais o monitoramento baseado em host pode ser implementado incluem
servidores, notebooks e dispositivos móveis. As organizações podem considerar o emprego de mecanismos de
monitoramento baseados em host de vários desenvolvedores ou fornecedores de produtos.
_________________________________________________________________________________________________
pe
E (24) MONITORAMENTO DO SISTEMA | INDICADORES DE COMPROMISSO
Descubra, colete e distribua para [Atribuição: pessoal ou funções definidas pela organização], indicadores de
comprometimento fornecidos por [Atribuição: fontes definidas pela organização].
Discussão: Indicadores de comprometimento (IOC) são artefatos forenses de invasões identificadas em sistemas
organizacionais no nível do host ou da rede. Os IOCs fornecem informações valiosas sobre sistemas que foram
comprometidos. Os IOCs podem incluir a criação de valores de chave de registro. Os IOCs para tráfego de rede
incluem o Universal Resource Locator ou elementos de protocolo que indicam servidores de comando e controle de
código malicioso. A rápida distribuição e adoção de IOCs pode melhorar a segurança da informação, reduzindo o
tempo que os sistemas e organizações ficam vulneráveis à mesma exploração ou ataque. Indicadores de ameaças,
assinaturas, táticas, técnicas, procedimentos e outros indicadores de comprometimento podem estar disponíveis por
meio de cooperativas governamentais e não governamentais, incluindo o Fórum de Equipes de Segurança e
Resposta a Incidentes, a Equipe de Preparação para Emergências de Computadores dos Estados Unidos, a Base
Industrial de Defesa de Segurança Cibernética Programa de Compartilhamento de Informações e Centro de
Coordenação CERT.
Forneça visibilidade do tráfego de rede nas principais interfaces externas e internas do sistema para
otimizar a eficácia dos dispositivos de monitoramento.
Referências: [OMB A-130], [FIPS 140-3], [SP 800-61], [SP 800-83], [SP 800-92], [SP 800-94], [SP 800-137] .
Discussão: A Agência de Segurança Cibernética e de Infraestrutura (CISA) gera alertas e avisos de segurança para manter
o conhecimento situacional em todo o Governo Federal. As diretivas de segurança são emitidas pelo OMB ou outras
organizações designadas com a responsabilidade e autoridade para emitir tais diretivas. A conformidade com as
directivas de segurança é essencial devido à natureza crítica de muitas destas directivas e aos potenciais efeitos
adversos (imediatos) nas operações e activos organizacionais, nos indivíduos, em outras organizações e na Nação,
caso as directivas não sejam implementadas em tempo útil. Organizações externas incluem cadeia de suprimentos
_________________________________________________________________________________________________
pe
E parceiros, missão externa ou parceiros de negócios, prestadores de serviços externos e outras organizações pares ou de apoio.
Melhorias de controle:
Transmita alertas de segurança e informações de aconselhamento por toda a organização usando [Atribuição:
mecanismos automatizados definidos pela organização].
Discussão: O número significativo de mudanças nos sistemas organizacionais e nos ambientes de operação exige a
disseminação de informações relacionadas à segurança para uma variedade de entidades organizacionais que têm
interesse direto no sucesso da missão organizacional e das funções de negócios. Com base nas informações fornecidas pelos
alertas e avisos de segurança, podem ser necessárias alterações em um ou mais dos três níveis relacionados ao gerenciamento
de risco,
incluindo o nível de governação, o nível da missão e do processo empresarial e o nível do sistema de informação.
Ao controle:
c. Alerta [Atribuição: pessoal ou funções definidas pela organização] sobre falhas de segurança e privacidade
testes de verificação; e
d. [Seleção (uma ou mais): Desligue o sistema; Reinicie o sistema; [Tarefa: ação(ões) alternativa(s) definida(s) pela
organização]] quando anomalias são descobertas.
Discussão: Os estados de transição para sistemas incluem inicialização, reinicialização, desligamento e cancelamento do sistema.
As notificações do sistema incluem luzes indicadoras de hardware, alertas eletrônicos para administradores de sistema e mensagens
para consoles de computadores locais. Em contraste com a verificação da função de segurança, a verificação da função de
privacidade garante que as funções de privacidade operem conforme esperado e sejam aprovadas pelo funcionário sênior da agência
para privacidade ou que os atributos de privacidade sejam aplicados ou usados conforme esperado.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Discussão: O uso de mecanismos automatizados para apoiar o gerenciamento de testes de funções distribuídas ajuda a
garantir a integridade, pontualidade, integridade e eficácia de tais testes.
Discussão: O pessoal organizacional com interesse potencial nos resultados da verificação das funções de segurança e
privacidade inclui funcionários de segurança de sistemas, funcionários seniores de segurança da informação de agências e
funcionários seniores de agências para privacidade.
Ao controle:
a. Empregar ferramentas de verificação de integridade para detectar alterações não autorizadas nos seguintes softwares, firmware e
informações: [Atribuição: software, firmware e informações definidos pela organização]; e
b. Execute as seguintes ações quando forem detectadas alterações não autorizadas no software, firmware e informações:
[Atribuição: ações definidas pela organização].
Discussão: Alterações não autorizadas em software, firmware e informações podem ocorrer devido a erros ou atividades
maliciosas. O software inclui sistemas operacionais (com componentes internos importantes,
como kernels ou drivers), middleware e aplicativos. As interfaces de firmware incluem Unified Extensible Firmware Interface
(UEFI) e Basic Input/Output System (BIOS). As informações incluem informações de identificação pessoal e metadados que contêm
atributos de segurança e privacidade associados às informações. Mecanismos de verificação de integridade – incluindo
verificações de paridade, verificações de redundância cíclica, hashes criptográficos e ferramentas associadas – podem monitorar
automaticamente a integridade de sistemas e aplicativos hospedados.
Controles relacionados: AC-4, CM-3, CM-7, CM-8, MA-3, MA-4, RA-5, SA-8, SA-9, SA-10, SC-8, SC-12 , SC-13, SC-28, SC-37,
SI-3, SR-3, SR-4, SR -5, SR-6, SR-9, SR-10, SR-11.
Melhorias de controle:
Execute uma verificação de integridade de [Atribuição: software, firmware e informações definidos pela organização]
[Seleção (uma ou mais): na inicialização; em [Tarefa: estados de transição definidos pela organização ou eventos
relevantes para a segurança]; [Atribuição: frequência definida pela organização]].
Discussão: Os eventos relevantes para a segurança incluem a identificação de novas ameaças às quais os sistemas
organizacionais são suscetíveis e a instalação de novo hardware, software ou firmware. Os estados de transição incluem
inicialização, reinicialização, desligamento e cancelamento do sistema.
Empregue ferramentas automatizadas que forneçam notificação para [Atribuição: pessoal ou funções definidas
pela organização] ao descobrir discrepâncias durante a verificação de integridade.
_________________________________________________________________________________________________
pe
E Discussão: O emprego de ferramentas automatizadas para relatar violações da integridade do sistema e da informação e para
notificar o pessoal da organização em tempo hábil é essencial para uma resposta eficaz aos riscos. O pessoal com interesse
em violações da integridade do sistema e da informação inclui proprietários de missões e empresas, proprietários de
sistemas, funcionário sênior de segurança da informação da agência, funcionário sênior da agência para privacidade,
administradores de sistema, desenvolvedores de software, integradores de sistemas, oficiais de segurança da
informação e oficiais de privacidade.
Discussão: As ferramentas de verificação de integridade geridas centralmente proporcionam maior consistência na aplicação
de tais ferramentas e podem facilitar uma cobertura mais abrangente das ações de verificação de integridade.
Automaticamente [Seleção (um ou mais): desligue o sistema; reinicie o sistema; implementar [Atribuição:
controles definidos pela organização]] quando violações de integridade forem descobertas.
Discussão: As organizações podem definir diferentes respostas de verificação de integridade por tipo de informação,
informação específica ou uma combinação de ambas. Os tipos de informações incluem firmware, software e dados do
usuário. Informações específicas incluem firmware de inicialização para determinados
tipos de máquinas. A implementação automática de controles nos sistemas organizacionais inclui reverter as alterações,
interromper o sistema ou disparar alertas de auditoria quando ocorrem modificações não autorizadas em
arquivos críticos de segurança.
Implemente mecanismos criptográficos para detectar alterações não autorizadas em software, firmware e
informações.
Discussão: Os mecanismos criptográficos usados para proteger a integridade incluem assinaturas digitais e o cálculo e
aplicação de hashes assinados usando criptografia assimétrica,
proteger a confidencialidade da chave usada para gerar o hash e usar a chave pública para verificar as informações do hash.
As organizações que empregam mecanismos criptográficos também consideram soluções de gerenciamento de chaves
criptográficas.
Incorporar a detecção das seguintes alterações não autorizadas na capacidade de resposta a incidentes
organizacionais: [Atribuição: alterações relevantes para a segurança definidas pela organização no sistema].
Discussão: A integração da detecção e da resposta ajuda a garantir que os eventos detectados sejam rastreados,
monitorados, corrigidos e disponíveis para fins históricos. A manutenção de registros históricos é importante para poder
identificar e discernir ações adversárias durante um longo período de tempo e para possíveis ações legais.
Mudanças relevantes para a segurança incluem
_________________________________________________________________________________________________
pe
E alterações não autorizadas nas configurações estabelecidas ou elevação não autorizada de privilégios do sistema.
Após a detecção de uma potencial violação de integridade, forneça a capacidade de auditar o evento e iniciar as
seguintes ações: [Seleção (uma ou mais): gerar um registro de auditoria; alertar o usuário atual; alerta [Atribuição:
pessoal ou funções definidas pela organização]; [Tarefa: outras ações definidas pela organização]].
Discussão: As organizações selecionam ações de resposta com base em tipos de software, software específico
ou informações para as quais existem possíveis violações de integridade.
Discussão: Garantir a integridade dos processos de inicialização é fundamental para iniciar os componentes do sistema
em estados conhecidos e confiáveis. Os mecanismos de verificação de integridade fornecem um nível de garantia de que
apenas código confiável será executado durante os processos de inicialização.
Controles Relacionados: SI-6.
Discussão: Modificações não autorizadas no firmware de inicialização podem indicar um ataque sofisticado e
direcionado. Esses tipos de ataques direcionados podem resultar em uma negação de serviço permanente ou na
presença persistente de código malicioso. Essas situações podem ocorrer se o firmware estiver corrompido ou
se o código malicioso estiver incorporado no firmware. Componentes do sistema
pode proteger a integridade do firmware de inicialização em sistemas organizacionais, verificando a integridade e a
autenticidade de todas as atualizações do firmware antes de aplicar alterações no componente do sistema e
evitando que processos não autorizados modifiquem o firmware de inicialização.
Controles Relacionados: SI-6.
Exija que a integridade do seguinte software instalado pelo usuário seja verificada antes da execução:
[Atribuição: software instalado pelo usuário definido pela organização].
Discussão: As organizações verificam a integridade do software instalado pelo usuário antes da execução para reduzir a
probabilidade de execução de códigos maliciosos ou programas que contenham erros de modificações não
autorizadas. As organizações consideram a praticidade das abordagens para verificar a integridade do software,
incluindo a disponibilidade de somas de verificação confiáveis de desenvolvedores e fornecedores de software.
_________________________________________________________________________________________________
pe
E [Retirado: Movido para CM-7(7).]
(14) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | CÓDIGO BINÁRIO OU EXECUTÁVEL POR MÁQUINA
Implemente mecanismos criptográficos para autenticar os seguintes componentes de software ou firmware antes da
instalação: [Atribuição: componentes de software ou firmware definidos pela organização].
Discussão: A autenticação criptográfica inclui a verificação de que os componentes de software ou firmware foram
assinados digitalmente usando certificados reconhecidos e aprovados pelas organizações. A assinatura de código é
um método eficaz de proteção contra códigos maliciosos.
As organizações que empregam mecanismos criptográficos também consideram soluções de gerenciamento de
chaves criptográficas.
Proibir a execução de processos sem supervisão por mais de [Atribuição: período de tempo definido pela
organização].
Discussão: A fixação de um limite de tempo para a execução de processos sem supervisão destina-se a ser aplicada a
processos para os quais podem ser determinados períodos de execução típicos ou normais e a situações em que as
organizações excedem esses períodos. A supervisão inclui temporizadores em sistemas operacionais, respostas
automatizadas e supervisão e resposta manual quando ocorrem anomalias no processo do sistema.
Implemente [Atribuição: controles definidos pela organização] para autoproteção de aplicativos em tempo de
execução.
Discussão: A autoproteção de aplicativos em tempo de execução emprega instrumentação em tempo de execução para
detectar e bloquear a exploração de vulnerabilidades de software , aproveitando as informações do software em execução.
A prevenção de exploração em tempo de execução difere das proteções tradicionais baseadas em perímetro,
como guardas e firewalls, que só podem detectar e bloquear ataques usando informações de rede sem conhecimento
contextual. A tecnologia de autoproteção de aplicativos em tempo de execução pode reduzir a suscetibilidade do software
a ataques, monitorando suas entradas e bloqueando as entradas que possam permitir ataques. Também pode ajudar a proteger
o ambiente de tempo de execução contra alterações e adulterações indesejadas. Quando uma ameaça é detectada, a
tecnologia de autoproteção do aplicativo em tempo de execução pode impedir a exploração e tomar outras ações (por
exemplo, enviar uma mensagem de aviso ao usuário, encerrar a sessão do usuário, encerrar o aplicativo ou enviar um
alerta ao pessoal da organização). As soluções de autoproteção de aplicativos em tempo de execução podem ser
implantadas em modo monitor ou de proteção.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-70], [SP 800-147].
Ao controle:
_________________________________________________________________________________________________
pe
E a. Empregar mecanismos de proteção contra spam nos pontos de entrada e saída do sistema para detectar e agir em relação a
mensagens não solicitadas; e
b. Atualize os mecanismos de proteção contra spam quando novas versões estiverem disponíveis, de acordo com as políticas e
procedimentos de gerenciamento de configuração organizacional.
Discussão: Os pontos de entrada e saída do sistema incluem firewalls, servidores de acesso remoto, servidores de correio eletrônico,
servidores web, servidores proxy, estações de trabalho, notebooks e dispositivos móveis.
O spam pode ser transportado por diversos meios, incluindo e-mail, anexos de e-mail e acessos à web. Os mecanismos de
proteção contra spam incluem definições de assinatura.
Melhorias de controle:
Atualizar automaticamente os mecanismos de proteção contra spam [Atribuição: frequência definida pela
organização].
Discussão: O uso de mecanismos automatizados para atualizar os mecanismos de proteção contra spam ajuda a garantir
que as atualizações ocorram regularmente e fornece o conteúdo e os recursos de proteção mais recentes.
Implemente mecanismos de proteção contra spam com capacidade de aprendizagem para identificar de forma
mais eficaz o tráfego de comunicações legítimo.
Discussão: Os mecanismos de aprendizagem incluem filtros bayesianos que respondem às entradas do usuário que
identificam tráfego específico como spam ou legítimo, atualizando os parâmetros do algoritmo e, assim, separando com mais
precisão os tipos de tráfego.
Controle: Verifique a validade das seguintes entradas de informações: [Atribuição: entradas de informações definidas pela
organização para o sistema].
Discussão: A verificação da sintaxe e da semântica válidas das entradas do sistema – incluindo conjunto de caracteres,
comprimento, intervalo numérico e valores aceitáveis – verifica se as entradas correspondem às definições especificadas de
formato e conteúdo. Por exemplo, se a organização especificar que valores numéricos entre 1-100 são as únicas entradas aceitáveis
para um campo em uma determinada aplicação, as entradas “387”, “abc” ou “%K%” são entradas inválidas e não são aceitas.
como entrada para o sistema. As entradas válidas provavelmente variam de campo para campo dentro de um aplicativo de
software. As aplicações normalmente seguem protocolos bem definidos que utilizam mensagens estruturadas (ou seja, comandos
ou consultas) para comunicação entre módulos de software ou componentes do sistema. As mensagens estruturadas podem
conter dados brutos ou não estruturados intercalados com metadados ou informações de controle. Se os aplicativos de software
usarem entradas fornecidas pelo invasor para construir mensagens estruturadas sem codificar adequadamente essas
mensagens, o invasor poderá inserir comandos maliciosos ou caracteres especiais que podem fazer com que os dados
_________________________________________________________________________________________________
pe
E ser interpretado como informação de controle ou metadados. Conseqüentemente, o módulo ou componente que recebe a saída
corrompida executará as operações erradas ou interpretará os dados incorretamente. A pré-seleção das entradas antes de passá-
las aos intérpretes evita que o conteúdo seja interpretado involuntariamente como comandos. A validação de entrada garante
entradas precisas e corretas e evita ataques como scripts entre sites e uma variedade de ataques de injeção.
Melhorias de controle:
(a) Fornecer uma capacidade de substituição manual para validação de entrada das seguintes entradas de
informações: [Atribuição: entradas definidas pela organização definidas no controle base (SI-10)];
(b) Restringir o uso da capacidade de cancelamento manual apenas a [Atribuição: indivíduos autorizados definidos
pela organização]; e
Revise e resolva erros de validação de entrada dentro de [Atribuição: tempo definido pela organização
período].
Discussão: A resolução de erros de validação de entrada inclui a correção de causas sistêmicas de erros e o reenvio
de transações com entrada corrigida. Erros de validação de entradas são aqueles relacionados às entradas de informações
definidas pela organização no controle base (SI-10).
Verifique se o sistema se comporta de maneira previsível e documentada quando entradas inválidas são recebidas.
Discussão: Uma vulnerabilidade comum em sistemas organizacionais é o comportamento imprevisível quando entradas
inválidas são recebidas. A verificação da previsibilidade do sistema ajuda a garantir que o sistema se comporte conforme
esperado quando entradas inválidas são recebidas. Isso ocorre especificando respostas do sistema que permitem a
transição do sistema para estados conhecidos sem efeitos colaterais adversos e não intencionais. As entradas inválidas
são aquelas relacionadas às entradas de informações definidas pela organização no controle base (SI-10).
Discussão: Ao abordar entradas de sistema inválidas recebidas através de interfaces de protocolo, as interações de
temporização tornam-se relevantes, onde um protocolo precisa considerar o impacto da resposta de erro em outros protocolos
na pilha de protocolos. Por exemplo, os protocolos de rede sem fio padrão 802.11 não interagem bem com os protocolos
de controle de transmissão (TCP) quando os pacotes são descartados (o que pode ser devido à entrada de pacotes
inválidos). O TCP assume que as perdas de pacotes são devido ao congestionamento, enquanto os pacotes perdidos em links
802.11 são normalmente descartados devido a ruído ou colisões no link. Se o TCP fizer uma resposta de congestionamento,
ele tomará a ação errada em resposta a um evento de colisão. Os adversários podem ser capazes de usar o que parecem
ser comportamentos individuais aceitáveis dos protocolos em conjunto para obter efeitos adversos através de medidas
adequadas.
_________________________________________________________________________________________________
pe
E construção de entrada inválida. As entradas inválidas são aquelas relacionadas às entradas de informações definidas pela
organização no controle base (SI-10).
Restrinja o uso de entradas de informações a [Atribuição: fontes confiáveis definidas pela organização] e/ou
[Atribuição: formatos definidos pela organização].
Discussão: Restringir o uso de entradas a fontes confiáveis e em formatos confiáveis aplica o conceito de software
autorizado ou permitido às entradas de informações. Especificar fontes confiáveis conhecidas para entradas de informações
e formatos aceitáveis para tais entradas pode reduzir a probabilidade de atividades maliciosas. As entradas de informação
são aquelas definidas pela organização no controle base (SI-10).
Discussão: Injeções de dados não confiáveis podem ser evitadas usando uma interface parametrizada ou escape de saída
(codificação de saída). Interfaces parametrizadas separam os dados do código para que injeções de dados maliciosos ou
não intencionais não possam alterar a semântica dos comandos
sendo enviado. O escape de saída usa caracteres especificados para informar ao analisador do interpretador se os
dados são confiáveis. A prevenção de injeções de dados não confiáveis diz respeito às entradas de informações
definidas pela organização no controle de base (SI-10).
Ao controle:
a. Gere mensagens de erro que forneçam informações necessárias para ações corretivas sem
revelar informações que poderiam ser exploradas; e
b. Revele mensagens de erro apenas para [Atribuição: pessoal ou funções definidas pela organização].
Discussão: As organizações consideram a estrutura e o conteúdo das mensagens de erro. A medida em que os sistemas podem
lidar com condições de erro é orientada e informada pela política organizacional e pelos requisitos operacionais. As informações
exploráveis incluem rastreamentos de pilha e detalhes de implementação; tentativas erradas de login com senhas inseridas
erroneamente como nome de usuário; missão
ou informações comerciais que possam ser derivadas, se não forem declaradas explicitamente pelas informações registradas;
e informações de identificação pessoal, como números de contas, números de previdência social e números de cartão de
crédito. As mensagens de erro também podem fornecer um canal secreto para transmissão de informações.
Referências: Nenhuma.
Controle: Gerenciar e reter informações dentro do sistema e saída de informações do sistema de acordo com leis aplicáveis,
ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais.
_________________________________________________________________________________________________
pe
E Discussão: Os requisitos de gestão e retenção de informação abrangem todo o ciclo de vida da informação,
estendendo-se, em alguns casos, para além da eliminação do sistema. As informações a serem retidas também podem
incluir políticas, procedimentos, planos, relatórios, resultados de dados da implementação do controle e outros tipos de
informações administrativas. A Administração Nacional de Arquivos e Registros (NARA) fornece políticas federais e
orientações sobre retenção e cronogramas de registros. Se as organizações tiverem um escritório de gerenciamento de
registros, considere a coordenação com o pessoal de gerenciamento de registros.
Os registros produzidos a partir da saída de controles implementados que podem exigir gerenciamento e retenção
incluem, mas não estão limitados a: Todos XX-1, AC-6(9), AT-4, AU-12, CA-2, CA-3, CA-5, CA-6, CA-7, CA-8, CA-9,
CM-2, CM-3, CM-4, CM-6, CM-8, CM-9, CM-12, CM- 13, CP-2, IR-6, IR-8, MA-2, MA-4, PE-2, PE-8, PE-16, PE-17, PL-2,
PL-4, PL-7, PL-8, PM-5, PM-8, PM-9, PM-18, PM-21, PM-27, PM-28, PM-30, PM-31 , PS-2, PS-6, PS- 7, PT-2, PT-3,
PT-7, RA-2, RA-3, RA-5, RA-8, SA-4, SA-5, SA-8, SA-10, SI-4, SR-2, SR-4, SR-8.
Controles relacionados: Todos os controles XX-1, AC-16, AU-5, AU-11, CA-2, CA-3, CA-5, CA-6, CA-7, CA-9, CM- 5, CM
-9, CP-2, IR-8, MP-2, MP-3, MP-4, MP-6, PL-2, PL-4, PM-4, PM-8, PM-9, PS-2 , PS-6, PT-2, PT - 3, RA-2, RA-3, SA-5,
SA-8, SR-2.
Melhorias de controle:
Use as seguintes técnicas para minimizar o uso de informações de identificação pessoal para pesquisa, testes
ou treinamento: [Tarefa: técnicas definidas pela organização].
Use as seguintes técnicas para descartar, destruir ou apagar informações após o período de retenção:
[Atribuição: técnicas definidas pela organização].
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Ao controle:
a. Determinar o tempo médio até a falha (MTTF) para os seguintes componentes do sistema em ambientes específicos de
operação: [Atribuição: componentes do sistema definidos pela organização]; e
Discussão: Embora o MTTF seja principalmente uma questão de confiabilidade, a prevenção previsível de falhas destina-se a resolver
possíveis falhas de componentes do sistema que fornecem recursos de segurança. As taxas de falha refletem considerações
específicas da instalação e não a média do setor. As organizações definem os critérios para a substituição de componentes do sistema
com base no valor MTTF levando em consideração os danos potenciais decorrentes de falhas de componentes. A transferência
de responsabilidades entre componentes ativos e de reserva não compromete a segurança, a prontidão operacional ou as
capacidades de segurança. A preservação das variáveis de estado do sistema também é crítica para ajudar a garantir um
processo de transferência bem-sucedido. Os componentes em espera permanecem disponíveis o tempo todo, exceto em
caso de problemas de manutenção ou falhas de recuperação em andamento.
Melhorias de controle:
Discussão: Transferir as responsabilidades dos componentes primários do sistema para outros componentes substitutos
antes da falha do componente primário é importante para reduzir o risco de missão ou funções de negócios degradadas ou
debilitadas. Fazer essas transferências com base em uma porcentagem do tempo médio até a falha permite que as organizações
sejam proativas com base na sua tolerância ao risco.
Contudo, a substituição prematura de componentes do sistema pode resultar no aumento do custo das operações do sistema.
(2) PREVENÇÃO PREVISÍVEL DE FALHAS | LIMITE DE TEMPO PARA EXECUÇÃO DO PROCESSO SEM SUPERVISÃO
Inicie manualmente as transferências entre os componentes do sistema ativo e em espera quando o uso do componente
ativo atingir [Atribuição: porcentagem definida pela organização] do tempo médio até a falha.
Discussão: Por exemplo, se o MTTF para um componente do sistema for 100 dias e a percentagem de MTTF definida pela
organização for 90 por cento, a transferência manual ocorreria após 90 dias.
_________________________________________________________________________________________________
pe
E (a) Garantir que os componentes de reserva sejam instalados com sucesso e de forma transparente dentro de
[Atribuição: período de tempo definido pela organização]; e
(b) [Seleção (uma ou mais): Ativar [Atribuição: alarme definido pela organização];
Desligue automaticamente o sistema; [Tarefa: ação definida pela organização]].
Discussão: A transferência automática ou manual de componentes do modo de espera para o modo ativo pode ocorrer após
a detecção de falhas de componentes.
Fornecer [Seleção: tempo real; quase em tempo real] [Atribuição: capacidade de failover definida pela organização]
para o sistema.
Discussão: Failover refere-se à mudança automática para um sistema alternativo após falha do sistema primário. A
capacidade de failover inclui a incorporação de operações de sistema espelhadas em locais de processamento
alternativos ou espelhamento periódico de dados em intervalos regulares
definido pelos períodos de tempo de recuperação das organizações.
Referências: Nenhuma.
Controle: Implementar [Atribuição: componentes e serviços do sistema definidos pela organização] não persistentes que são
iniciados em um estado conhecido e finalizados [Seleção (um ou mais): ao final da sessão de uso; periodicamente em [Atribuição:
frequência definida pela organização]].
Discussão: A implementação de componentes e serviços não persistentes mitiga o risco de ameaças persistentes avançadas
(APTs), reduzindo a capacidade de direcionamento dos adversários (ou seja, janela de oportunidade e superfície de ataque
disponível) para iniciar e concluir ataques. Ao implementar o conceito de não persistência para componentes de sistema
selecionados, as organizações podem fornecer um recurso de computação de estado conhecido e confiável por um período de tempo
específico que não dá aos adversários tempo suficiente para explorar vulnerabilidades em sistemas organizacionais ou operacionais.
ambientes. Como a APT é uma ameaça sofisticada e de alto nível no que diz respeito à capacidade, intenção e direcionamento, as
organizações presumem que, durante um período prolongado, uma porcentagem dos ataques será bem-sucedida. Os componentes
e serviços não persistentes do sistema são ativados conforme necessário usando informações protegidas e encerrados
periodicamente ou no final das sessões. A não persistência aumenta o fator de trabalho dos adversários que tentam comprometer
ou violar os sistemas organizacionais.
A não persistência pode ser alcançada atualizando os componentes do sistema, recriando periodicamente a imagem dos
componentes ou usando uma variedade de técnicas comuns de virtualização. Os serviços não persistentes podem ser implementados
usando técnicas de virtualização como parte de máquinas virtuais ou como novas instâncias de processos em máquinas
físicas (persistentes ou não persistentes). O benefício das atualizações periódicas de componentes e serviços do sistema é que não
exige que as organizações determinem primeiro se ocorreram comprometimentos de componentes ou serviços (algo que muitas
vezes pode ser difícil de determinar). A atualização de componentes e serviços selecionados do sistema ocorre com frequência
suficiente para evitar a propagação ou o impacto pretendido de ataques, mas não com tal frequência que torne o sistema
instável. As atualizações de componentes e serviços críticos podem ser feitas periodicamente para impedir a capacidade dos
adversários de explorarem janelas ideais de vulnerabilidades.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Obtenha software e dados empregados durante atualizações de componentes e serviços do sistema de
as seguintes fontes confiáveis: [Atribuição: fontes confiáveis definidas pela organização].
Discussão: Fontes confiáveis incluem software e dados de mídias de gravação única e somente leitura ou de instalações de
armazenamento seguras off-line selecionadas.
(a) [Seleção: Atualizar [Atribuição: informações definidas pela organização] [Atribuição: frequência definida
pela organização]; Gerar [Atribuição: informações definidas pela organização] sob demanda]; e
Discussão: A retenção de informações por mais tempo do que o necessário torna as informações um alvo potencial para
adversários avançados que buscam ativos de alto valor para comprometer por meio de divulgação não autorizada,
modificação não autorizada ou exfiltração. Para relacionados ao sistema
informações, a retenção desnecessária fornece aos adversários informações avançadas que podem auxiliar no seu
reconhecimento e movimento lateral através do sistema.
Estabeleça conexões com o sistema sob demanda e finalize as conexões após [Seleção: conclusão de
uma solicitação; um período de não utilização].
Discussão: Conexões persistentes com sistemas podem fornecer aos adversários avançados caminhos para se moverem
lateralmente através dos sistemas e potencialmente se posicionarem mais perto de ativos de alto valor. Limitar a
disponibilidade de tais conexões impede a capacidade do adversário de se movimentar livremente através dos sistemas
organizacionais.
Referências: Nenhuma.
Controle: Valide a saída de informações dos seguintes programas de software e/ou aplicativos
para garantir que as informações sejam consistentes com o conteúdo esperado: [Tarefa: programas de software e/
ou aplicativos definidos pela organização].
Discussão: Certos tipos de ataques, incluindo injeções de SQL, produzem resultados inesperados ou inconsistentes com os
resultados esperados de programas de software ou aplicativos. A filtragem de saída de informações concentra-se na
detecção de conteúdo estranho, evitando que tal conteúdo estranho seja exibido e, em seguida, alertando as ferramentas de
monitoramento de que um comportamento anômalo foi descoberto.
Referências: Nenhuma.
Controle: Implemente os seguintes controles para proteger a memória do sistema contra execução não autorizada de código:
[Atribuição: controles definidos pela organização].
Discussão: Alguns adversários lançam ataques com a intenção de executar código em regiões não executáveis da memória ou em
locais de memória proibidos. Os controles empregados para proteger a memória incluem prevenção de execução de dados e
randomização do layout do espaço de endereço. Dados
_________________________________________________________________________________________________
pe
E os controles de prevenção de execução podem ser aplicados por hardware ou por software, com a aplicação de
hardware proporcionando maior resistência ao mecanismo.
Referências: Nenhuma.
Discussão: As condições de falha incluem a perda de comunicações entre componentes críticos do sistema
ou entre componentes do sistema e instalações operacionais. Os procedimentos à prova de falhas incluem alertar
o pessoal do operador e fornecer instruções específicas sobre as etapas subsequentes a serem tomadas. As etapas
subsequentes podem incluir não fazer nada, restabelecer as configurações do sistema, encerrar processos, reiniciar o
sistema ou entrar em contato com o pessoal organizacional designado.
Referências: Nenhuma.
Ao controle:
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Corrija ou exclua informações de identificação pessoal que sejam imprecisas ou desatualizadas, determinadas
incorretamente em relação ao impacto ou desidentificadas incorretamente usando [Atribuição: mecanismos
automatizados definidos pela organização].
Discussão: A utilização de mecanismos automatizados para melhorar a qualidade dos dados pode criar inadvertidamente
riscos de privacidade. As ferramentas automatizadas podem ligar-se a sistemas externos ou não relacionados, e a
correspondência de registos entre estes sistemas pode criar ligações com consequências indesejadas. As organizações
avaliam e documentam estes riscos nas suas avaliações de impacto na privacidade e tomam decisões que estão alinhadas
com os seus planos de programa de privacidade.
À medida que os dados são obtidos e utilizados ao longo do ciclo de vida da informação, é importante confirmar a precisão e
a relevância das informações de identificação pessoal. Mecanismos automatizados podem aumentar os processos e
procedimentos de qualidade de dados existentes e permitir que uma organização identifique e gerencie melhor
informações pessoalmente identificáveis em sistemas de grande escala. Por exemplo, ferramentas automatizadas podem
melhorar muito os esforços para normalizar dados de forma consistente ou identificar dados malformados. Ferramentas
automatizadas também podem ser usadas para melhorar a auditoria de dados e detectar erros que possam alterar
incorretamente informações de identificação pessoal ou associar incorretamente tais informações ao indivíduo errado. Recursos
automatizados respaldam processos e procedimentos em escala e permitem detecção e correção mais refinadas de
erros de qualidade de dados.
Empregue tags de dados para automatizar a correção ou exclusão de informações de identificação pessoal
em todo o ciclo de vida das informações nos sistemas organizacionais.
Discussão: A marcação de dados de informações de identificação pessoal inclui tags que indicam
permissões de processamento, autoridade para processar, desidentificação, nível de impacto, estágio do ciclo de vida da
informação e retenção ou datas da última atualização. O emprego de tags de dados para informações de
identificação pessoal pode apoiar o uso de ferramentas de automação para corrigir ou excluir informações de
identificação pessoal relevantes.
Discussão: Indivíduos ou seus representantes designados podem ser fontes de informações corretas de identificação
pessoal. As organizações consideram fatores contextuais que podem incentivar os indivíduos a fornecer dados corretos
em vez de dados falsos. Podem ser necessárias etapas adicionais para validar as informações coletadas com base na
natureza e no contexto das informações de identificação pessoal, como serão utilizadas e como foram obtidas.
As medidas tomadas para validar a precisão das informações de identificação pessoal usadas para fazer determinações
sobre os direitos, benefícios ou privilégios de indivíduos sob programas federais podem ser mais abrangentes do que as
medidas tomadas para validar informações de identificação pessoal menos confidenciais.
Corrija ou exclua informações de identificação pessoal mediante solicitação de indivíduos ou de seus representantes
designados.
Discussão: Informações imprecisas de identificação pessoal mantidas pelas organizações podem causar problemas aos
indivíduos, especialmente nas funções empresariais onde informações imprecisas podem resultar em decisões
inadequadas ou na negação de benefícios e serviços aos indivíduos. Mesmo informações corretas, em certas circunstâncias,
podem causar problemas para
_________________________________________________________________________________________________
pe
E indivíduos que superam os benefícios de uma organização manter as informações.
As organizações usam o critério ao determinar se as informações de identificação pessoal devem ser corrigidas ou excluídas
com base no escopo das solicitações, nas alterações desejadas, no impacto das alterações e nas leis, regulamentos e
políticas. O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de
privacidade em relação aos casos apropriados de correção ou exclusão.
Notificar [Atribuição: destinatários de informações de identificação pessoal definidos pela organização] e indivíduos
que as informações de identificação pessoal foram corrigidas ou excluídas.
Discussão: Quando informações de identificação pessoal são corrigidas ou excluídas, as organizações tomam medidas para
garantir que todos os destinatários autorizados de tais informações e o indivíduo ao qual as informações estão associadas
ou seus representantes designados sejam informados das informações corrigidas ou excluídas.
DESIDENTIFICAÇÃO SI-19
Ao controle:
Discussão: Desidentificação é o termo geral para o processo de remoção da associação entre um conjunto de dados de
identificação e o titular dos dados. Muitos conjuntos de dados contêm informações sobre indivíduos que podem ser usadas para
distinguir ou rastrear a identidade de um indivíduo, como nome, número de segurança social, data e local de nascimento, nome
de solteira da mãe ou registos biométricos. Os conjuntos de dados também podem conter outras informações vinculadas ou
vinculáveis a um indivíduo, como informações médicas, educacionais, financeiras e de emprego. As informações pessoalmente
identificáveis são removidas dos conjuntos de dados por indivíduos treinados quando tais informações não são (ou não são
mais) necessárias para satisfazer os requisitos previstos para os dados. Por exemplo, se o conjunto de dados for utilizado
apenas para produzir estatísticas agregadas, os identificadores que não são necessários para produzir essas estatísticas serão
removidos. A remoção de identificadores melhora a proteção da privacidade, uma vez que as informações removidas não
podem ser divulgadas inadvertidamente ou usadas indevidamente. As organizações podem estar sujeitas a definições ou métodos
específicos de desidentificação de acordo com as leis, regulamentos ou políticas aplicáveis.
A reidentificação é um risco residual com dados desidentificados. Os ataques de reidentificação podem variar,
incluindo a combinação de novos conjuntos de dados ou outras melhorias na análise de dados. Manter a consciência
dos potenciais ataques e avaliar a eficácia da desidentificação ao longo do tempo apoia a gestão deste risco residual.
Melhorias de controle:
Discussão: Se uma fonte de dados contiver informações de identificação pessoal, mas as informações não forem usadas, o
conjunto de dados poderá ser desidentificado quando for criado, não coletando os dados
_________________________________________________________________________________________________
pe
E elementos de dados que contêm informações de identificação pessoal. Por exemplo, se uma organização não
pretende utilizar o número de segurança social de um requerente, os formulários de candidatura não solicitam um
número de segurança social.
Discussão: Os conjuntos de dados podem ser arquivados por vários motivos. As finalidades previstas para o conjunto de
dados arquivado são especificadas e, se não forem necessários elementos de informação pessoalmente identificáveis, os
elementos não são arquivados. Por exemplo, os números da segurança social podem ter sido recolhidos para ligação de
registos, mas o conjunto de dados arquivado pode incluir os elementos necessários dos registos ligados. Neste
caso, não é necessário arquivar os números da segurança social.
Remova elementos de informações pessoalmente identificáveis de um conjunto de dados antes de sua divulgação,
se esses elementos do conjunto de dados não precisarem fazer parte da divulgação de dados.
Discussão: Antes de divulgar um conjunto de dados, um custodiante de dados considera os usos pretendidos do conjunto de
dados e determina se é necessário divulgar informações de identificação pessoal. Se as informações de identificação pessoal
não forem necessárias, as informações poderão ser removidas usando técnicas de desidentificação.
Discussão: Existem muitos processos possíveis para remover identificadores diretos de um conjunto de dados. As
colunas em um conjunto de dados que contêm um identificador direto podem ser removidas. No mascaramento, o
identificador direto é transformado em um caractere repetitivo, como XXXXXX ou 999999.
Os identificadores podem ser criptografados ou com hash para que os registros vinculados permaneçam vinculados. No
caso de criptografia ou hashing, são empregados algoritmos que exigem o uso de uma chave, incluindo
o Advanced Encryption Standard ou um código de autenticação de mensagem baseado em Hash.
As implementações podem usar a mesma chave para todos os identificadores ou usar uma chave diferente para cada
identificador. Usar uma chave diferente para cada identificador proporciona um maior grau de segurança e privacidade.
Alternativamente, os identificadores podem ser substituídos por uma palavra-chave, incluindo a transformação de
“George Washington” em “PACIENTE” ou sua substituição por um valor substituto, como
transformando “George Washington” em “Abraham Polk”.
Manipule dados numéricos, tabelas de contingência e descobertas estatísticas para que nenhum indivíduo
ou organização seja identificável nos resultados da análise.
Discussão: Muitos tipos de análises estatísticas podem resultar na divulgação de informações sobre indivíduos, mesmo
que apenas sejam fornecidas informações resumidas. Por exemplo, se uma escola que publica uma tabela mensal com o
número de alunos pertencentes a minorias matriculados, reporta que tem entre 10 e 19 desses alunos em Janeiro e,
subsequentemente, informa que tem entre 20 e 29 desses alunos em Março, então pode-se inferir que o aluno que se
matriculou em fevereiro era minoria.
_________________________________________________________________________________________________
pe
E (6) DESIDENTIFICAÇÃO | PRIVACIDADE DIFERENCIAL
Evite a divulgação de informações de identificação pessoal adicionando ruído não determinístico aos resultados
das operações matemáticas antes que os resultados sejam relatados.
Discussão: A definição matemática para privacidade diferencial sustenta que o resultado de uma análise de conjunto de
dados deve ser aproximadamente o mesmo antes e depois da adição ou remoção de um único registo de dados (que se
presume serem os dados de um único indivíduo). Na sua forma mais básica, a privacidade diferencial aplica-se apenas a
sistemas de consulta online. No entanto, também pode ser usado para produzir classificadores estatísticos de aprendizado de
máquina e dados sintéticos. A privacidade diferencial tem o custo da diminuição da precisão dos resultados, forçando
as organizações a quantificar o compromisso entre a proteção da privacidade e a precisão, utilidade e utilidade geral do
conjunto de dados desidentificado. O ruído não determinístico pode incluir a adição de valores pequenos e aleatórios aos
resultados de operações matemáticas na análise de conjuntos de dados.
Execute a desidentificação usando algoritmos validados e software validado para implementar os algoritmos.
Discussão: Algoritmos que parecem remover informações pessoalmente identificáveis de um conjunto de dados podem,
na verdade, deixar informações pessoalmente identificáveis ou dados reidentificáveis. O software que supostamente
implementa um algoritmo validado pode conter bugs ou implementar um algoritmo diferente. O software pode desidentificar
um tipo de dados, como
inteiros, mas não desidentificar outro tipo de dados, como números de ponto flutuante. Por essas razões, a desidentificação é
realizada por meio de algoritmos e softwares validados.
Discussão: Um teste de intrusão motivado é um teste no qual um indivíduo ou grupo libera dados e recursos específicos e
tenta reidentificar um ou mais indivíduos no conjunto de dados desidentificados. Esses testes especificam a quantidade de
conhecimento interno, recursos computacionais, recursos financeiros, dados e habilidades que os invasores possuem
para conduzir os testes. Um teste de intrusão motivado pode determinar se a desidentificação é insuficiente. Também pode
ser uma ferramenta de diagnóstico útil para avaliar se a desidentificação é susceptível de ser suficiente. No entanto, o teste
CONTAMINAÇÃO SI-20
Controle: Incorpore dados ou recursos nos seguintes sistemas ou componentes de sistema para determinar se os
dados organizacionais foram exfiltrados ou removidos indevidamente da organização: [Atribuição: sistemas ou
componentes de sistema definidos pela organização].
Discussão: Muitos ataques cibernéticos têm como alvo informações organizacionais ou informações que a organização
detém em nome de outras entidades (por exemplo, informações de identificação pessoal) e exfiltram esses dados. Além disso,
ataques internos e procedimentos incorretos do usuário podem remover do sistema informações que violem as políticas
organizacionais. As abordagens de contaminação podem variar de passivas a ativas. Uma abordagem de contaminação
passiva pode ser tão simples quanto adicionar nomes e endereços de e-mail falsos a um banco de dados interno. Se a
organização receber e-mail em um dos endereços de e-mail falsos, ela saberá que o banco de dados foi comprometido.
Além disso, a organização sabe que o email foi enviado por uma entidade não autorizada, pelo que qualquer
_________________________________________________________________________________________________
pe
E os pacotes que ele inclui contêm potencialmente código malicioso e que a entidade não autorizada pode ter obtido uma cópia do
banco de dados. Outra abordagem de contaminação pode incluir a incorporação de dados falsos ou dados esteganográficos em
arquivos para permitir que os dados sejam encontrados por meio de análise de código aberto.
Finalmente, uma abordagem de contaminação activa pode incluir a incorporação de software nos dados que seja capaz de “ligar
para casa”, alertando assim a organização para a sua “captura”, e possivelmente a sua localização, e o caminho pelo qual foi
exfiltrado ou removido.
Controle: atualize [Atribuição: informações definidas pela organização] em [Atribuição: frequências definidas pela organização] ou
gere as informações sob demanda e exclua as informações quando não forem mais necessárias.
Discussão: Reter informações por mais tempo do que o necessário torna-as um alvo cada vez mais valioso e atraente para os
adversários. Manter as informações disponíveis pelo período mínimo necessário para apoiar missões organizacionais ou
funções de negócios reduz a oportunidade de os adversários comprometerem, capturarem e exfiltrarem essas informações.
Ao controle:
a. Identifique as seguintes fontes alternativas de informação para [Atribuição: funções e serviços essenciais definidos pela
organização]: [Atribuição: alternativa definida pela organização
Fontes de informação]; e
b. Use uma fonte de informação alternativa para a execução de funções ou serviços essenciais em [Atribuição: sistemas ou
componentes de sistema definidos pela organização] quando a fonte primária de informação estiver corrompida ou indisponível.
Discussão: As ações tomadas por um serviço ou função do sistema são frequentemente orientadas pelas informações que ele
recebe. A corrupção, a fabricação, a modificação ou a exclusão dessas informações podem afetar a capacidade da função de
serviço de executar adequadamente as ações pretendidas. Por ter múltiplas fontes de entrada, o serviço ou função pode
continuar a operação se uma fonte estiver corrompida ou não estiver mais disponível. É possível que as fontes alternativas de
informação sejam menos precisas ou menos precisas do que a fonte primária de informação. Mas ter essas fontes de informação
subótimas pode ainda proporcionar um nível de qualidade suficiente para que o serviço ou função essencial possa ser executado,
mesmo de forma degradada ou debilitada.
_________________________________________________________________________________________________
pe
E a. Fragmente as seguintes informações: [Atribuição: informações definidas pela organização]; e
_________________________________________________________________________________________________
pe
E 3.20 GESTÃO DE RISCOS DA CADEIA DE FORNECIMENTO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de gestão de risco da cadeia de suprimentos que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento, a documentação
e a divulgação da política e dos procedimentos de gestão de riscos da cadeia de suprimentos; e
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos definidos
pela organização]; e
Discussão: A política e os procedimentos de gestão de riscos da cadeia de abastecimento abordam os controles na família de
RS, bem como os controles relacionados à cadeia de abastecimento em outras famílias que são implementadas dentro
de sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas e
procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é
importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de gestão de riscos na cadeia de abastecimento. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos
da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser
representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados
ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança
e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização da
política e dos procedimentos de gestão de riscos da cadeia de fornecimento incluem resultados de avaliação ou auditoria,
incidentes ou violações de segurança ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
_________________________________________________________________________________________________
pe
E Referências: [FASC18], [41 CFR 201], [EO 13873], [CNSSD 505], [SP 800-12], [SP 800-30], [SP 800-
39], [SP 800-100], [SP 800-161].
Ao controle:
c. Proteja o plano de gerenciamento de riscos da cadeia de suprimentos contra divulgação não autorizada e
modificação.
Discussão: A dependência de produtos, sistemas e serviços de fornecedores externos, bem como a natureza das
relações com esses fornecedores, apresentam um nível crescente de risco para uma organização. As ações de
ameaça que podem aumentar os riscos de segurança ou privacidade incluem produção não autorizada, inserção
ou utilização de falsificações, adulteração, roubo, inserção de software e hardware maliciosos e práticas inadequadas de
fabrico e desenvolvimento na cadeia de abastecimento. Os riscos da cadeia de abastecimento podem ser endémicos
ou sistémicos dentro de um elemento ou componente do sistema, de um sistema, de uma organização, de um setor
ou da Nação. A gestão do risco da cadeia de abastecimento é uma tarefa complexa e multifacetada que requer
um esforço coordenado em toda a organização para construir relações de confiança e comunicar com as partes
interessadas internas e externas. As atividades de gerenciamento de riscos da cadeia de suprimentos (SCRM)
incluem a identificação e avaliação de riscos, determinando a resposta apropriada aos riscos
ações, desenvolvendo planos SCRM para documentar ações de resposta e monitorando o desempenho em relação
aos planos. O plano SCRM (ao nível do sistema) é específico da implementação, fornecendo implementação de
políticas, requisitos, restrições e implicações. Ele pode ser independente ou incorporado aos planos de segurança
e privacidade do sistema. O plano SCRM aborda o gerenciamento, implementação e monitoramento de controles
SCRM e o desenvolvimento/sustentação de sistemas em todo o SDLC para apoiar a missão e as funções de negócios.
Como as cadeias de fornecimento podem diferir significativamente entre e dentro das organizações, os planos SCRM
são adaptados ao programa individual, aos contextos organizacionais e operacionais. Planos SCRM personalizados
fornecem a base para determinar se uma tecnologia, serviço, componente de sistema ou sistema é
adequados à finalidade e, como tal, os controlos necessitam de ser adaptados em conformidade. Planos SCRM
personalizados ajudam as organizações a concentrar seus recursos na missão e nas funções de negócios mais
críticas, com base na missão e nos requisitos de negócios e em seu ambiente de risco. Os planos de
gerenciamento de riscos da cadeia de suprimentos incluem uma expressão da tolerância ao risco da cadeia de
suprimentos para a organização, estratégias ou controles aceitáveis de mitigação de riscos da cadeia de
suprimentos, um processo para avaliar e monitorar consistentemente o risco da cadeia de suprimentos, abordagens
para implementar e comunicar o plano, uma descrição e justificativa para as medidas de mitigação de riscos da cadeia
de abastecimento tomadas e funções e responsabilidades associadas. Finalmente, os planos de gestão de
riscos da cadeia de abastecimento abordam os requisitos para o desenvolvimento de componentes e sistemas
confiáveis, seguros, que protejam a privacidade e sejam resilientes, incluindo a aplicação dos princípios de design de
segurança implementados como parte dos processos de engenharia de segurança de sistemas baseados no ciclo de vida (ver SA- 8).
Controles relacionados: CA-2, CP-4, IR-4, MA-2, MA-6, PE-16, PL-2, PM-9, PM-30, RA-3, RA-7, SA-8 , SI-4.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Estabelecer uma equipe de gerenciamento de riscos da cadeia de suprimentos composta por [Atribuição: pessoal,
funções e responsabilidades definidas pela organização] para liderar e apoiar o seguinte SCRM
atividades: [Tarefa: atividades de gerenciamento de risco da cadeia de suprimentos definidas pela organização].
Discussão: Para implementar planos de gestão de riscos na cadeia de abastecimento, as organizações estabelecem
uma abordagem coordenada e baseada em equipa para identificar e avaliar os riscos da cadeia de abastecimento e gerir
esses riscos através da utilização de técnicas de mitigação programáticas e técnicas. A abordagem de equipe permite que
as organizações conduzam uma análise de sua cadeia de suprimentos, comuniquem-se com parceiros ou partes
interessadas internas e externas e obtenham amplo consenso sobre os recursos apropriados para SCRM. A equipe
SCRM consiste em pessoal organizacional com diversas funções e responsabilidades para liderar e apoiar atividades SCRM,
incluindo executivo de risco, tecnologia da informação, contratação, segurança da informação, privacidade, missão ou
negócio, jurídico, cadeia de suprimentos e logística, aquisição, continuidade de negócios e outras funções relevantes. Os
membros da equipe SCRM estão envolvidos em vários aspectos do SDLC e, coletivamente, têm conhecimento e
fornecem experiência em processos de aquisição, práticas legais, vulnerabilidades, ameaças e vetores de ataque, bem como
uma compreensão dos aspectos técnicos e dependências de sistemas. A equipe SCRM pode ser uma extensão dos
processos de gerenciamento de riscos de segurança e privacidade ou ser incluída como parte de uma equipe de
gerenciamento de riscos organizacionais.
Referências: [FASC18], [41 CFR 201], [EO 13873], [CNSSD 505], [SP 800-30], [SP 800-39], [SP-800-
160-1], [SP 800-161], [SP 800-181], [IR 7622], [IR 8272].
Ao controle:
b. Empregue os seguintes controles para proteger contra riscos da cadeia de abastecimento ao sistema, componente do sistema
ou serviço do sistema e para limitar os danos ou consequências de eventos relacionados à cadeia de abastecimento:
[Atribuição: controles da cadeia de abastecimento definidos pela organização]; e
c. Documente os processos e controles da cadeia de suprimentos selecionados e implementados em [Seleção: planos de segurança
e privacidade; plano de gerenciamento de riscos da cadeia de suprimentos; [Tarefa: documento definido pela organização]].
Discussão: Os elementos da cadeia de abastecimento incluem organizações, entidades ou ferramentas utilizadas para a
investigação e desenvolvimento, concepção, fabrico, aquisição, entrega, integração, operações e manutenção, e eliminação de
sistemas e componentes de sistemas. Os processos da cadeia de suprimentos incluem processos de desenvolvimento de
hardware, software e firmware; procedimentos de envio e manuseio; programas de segurança pessoal e segurança física;
ferramentas, técnicas e medidas de gerenciamento de configuração para manter a procedência; ou outros programas, processos ou
procedimentos associados ao desenvolvimento, aquisição, manutenção e descarte de sistemas e componentes de sistemas. Os
elementos e processos da cadeia de abastecimento podem ser fornecidos por organizações, integradores de sistemas ou
fornecedores externos. As fraquezas ou deficiências nos elementos ou processos da cadeia de abastecimento representam
vulnerabilidades potenciais que podem ser exploradas pelos adversários para causar danos à organização e afectar a sua
capacidade de cumprir as suas missões principais ou funções empresariais.
O pessoal da cadeia de abastecimento são indivíduos com funções e responsabilidades na cadeia de abastecimento.
Controles Relacionados: CA-2, MA-2, MA-6, PE-3, PE-16, PL-8, PM-30, SA-2, SA-3, SA- 4, SA-5, SA-8 , SA-9, SA-10, SA-15, SC-7,
SC-29, SC-30, SC-38, SI-7, SR-6, SR-9, SR-11.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) CONTROLES E PROCESSOS DA CADEIA DE FORNECIMENTO | BASE DE FORNECIMENTO DIVERSIFICADA
Discussão: Diversificar o fornecimento de sistemas, componentes de sistemas e serviços pode reduzir a probabilidade de os
adversários identificarem e atacarem com sucesso a cadeia de abastecimento e pode reduzir o impacto de um evento ou
comprometimento da cadeia de abastecimento. A identificação de vários fornecedores de componentes de substituição pode
reduzir a probabilidade de o componente de substituição ficar indisponível. Empregar um conjunto diversificado de
promotores ou prestadores de serviços logísticos pode reduzir o impacto de uma catástrofe natural ou de outro evento na
cadeia de abastecimento. As organizações consideram projetar o sistema para incluir diversos materiais e componentes.
Empregue os seguintes controles para limitar os danos causados por adversários em potencial que identificam
e visam a cadeia de suprimentos organizacional: [Atribuição: controles definidos pela organização].
Discussão: Os controles que podem ser implementados para reduzir a probabilidade de adversários identificarem e
atacarem com sucesso a cadeia de suprimentos incluem evitar a compra de configurações personalizadas ou não
padronizadas, empregar listas de fornecedores aprovados com reputação permanente na indústria, seguir cronogramas de
manutenção pré-acordados e atualizações e mecanismos de entrega de patches, mantendo um plano de contingência no
caso de um evento na cadeia de abastecimento, utilizando exclusões de compras que fornecem exclusões a compromissos
ou obrigações, utilizando diversas rotas de entrega e minimizando o tempo entre as decisões de compra e a entrega.
(3) CONTROLES E PROCESSOS DE PROTEÇÃO DA CADEIA DE FORNECIMENTO | FLUXO DE SUB-NÍVEL PARA BAIXO
Garantir que os controlos incluídos nos contratos dos contratantes principais também sejam incluídos nos contratos
dos subcontratantes.
Discussão: Para gerir o risco da cadeia de abastecimento de forma eficaz e holística, é importante que as organizações
garantam que os controlos de gestão do risco da cadeia de abastecimento sejam incluídos em todos os níveis da cadeia de
abastecimento. Isto inclui garantir que os contratantes de Nível 1 (principais) implementaram processos para facilitar o
“fluxo descendente” dos controlos de gestão de riscos da cadeia de abastecimento para os contratantes de subnível. Os
controles sujeitos ao fluxo descendente são identificados na SR-3b.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 20243], [SP 800-30], [SP 800-161], [IR 7622].
PROVENIÊNCIA SR-4
Controle: Documente, monitore e mantenha a procedência válida dos seguintes sistemas, componentes do sistema e dados
associados: [Atribuição: sistemas definidos pela organização, componentes do sistema e dados associados].
Discussão: Todo sistema e componente do sistema tem um ponto de origem e pode ser alterado ao longo de sua existência.
Proveniência é a cronologia da origem, desenvolvimento, propriedade, localização e alterações em um sistema ou componente
do sistema e dados associados. Também pode incluir pessoal e processos usados para interagir ou fazer modificações no sistema,
componente ou dados associados. As organizações consideram o desenvolvimento de procedimentos (ver SR-1) para a atribuição
de responsabilidades pela criação, manutenção e monitorização da proveniência de sistemas e componentes de sistemas;
transferência de documentação de proveniência e responsabilidade entre organizações; e prevenção e monitoramento de
alterações não autorizadas nos registros de proveniência. As organizações têm métodos para documentar, monitorar e
manter linhas de base de proveniência válidas para sistemas, componentes de sistemas e dados relacionados. Essas ações
ajudam a rastrear, avaliar,
_________________________________________________________________________________________________
pe
E e documentar quaisquer alterações na proveniência, incluindo alterações nos elementos ou na configuração da
cadeia de abastecimento, e ajudar a garantir o não repúdio das informações de proveniência e dos registos de
alterações de proveniência. As considerações de proveniência são abordadas ao longo do ciclo de vida de
desenvolvimento do sistema e incorporadas em contratos e outros acordos, conforme apropriado.
Melhorias de controle:
Estabelecer e manter uma identificação exclusiva dos seguintes elementos, processos e pessoal
da cadeia de suprimentos associados ao sistema identificado e aos componentes críticos do
sistema: [Atribuição: elementos, processos e pessoal da cadeia de suprimentos definidos pela
organização associados aos sistemas definidos pela organização e aos componentes críticos do sistema ].
Discussão: Saber quem e o que está nas cadeias de abastecimento das organizações é fundamental para
ganhar visibilidade nas atividades da cadeia de abastecimento. A visibilidade das atividades da cadeia de
abastecimento também é importante para monitorizar e identificar eventos e atividades de alto risco. Sem uma
visibilidade razoável dos elementos, processos e pessoal das cadeias de abastecimento, é muito difícil
para as organizações compreender e gerir os riscos e reduzir a sua suscetibilidade a eventos adversos. Os
elementos da cadeia de suprimentos incluem organizações, entidades ou ferramentas usadas para pesquisa e
desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações, manutenção e descarte de
sistemas e componentes de sistemas. Os processos da cadeia de suprimentos incluem processos de
desenvolvimento de hardware, software e firmware; procedimentos de envio e manuseio; ferramentas, técnicas e
medidas de gerenciamento de configuração para manter a procedência; programas de pessoal e
segurança física; ou outros programas, processos ou procedimentos associados à produção e distribuição de
elementos da cadeia de abastecimento. O pessoal da cadeia de suprimentos são indivíduos com funções e
responsabilidades específicas relacionadas à segurança
a pesquisa e desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações e manutenção
e descarte de um sistema ou componente de sistema. Os métodos de identificação são suficientes para apoiar
uma investigação em caso de alteração na cadeia de abastecimento (por exemplo, se uma empresa fornecedora
for adquirida), compromisso ou evento.
Estabelecer e manter uma identificação exclusiva dos seguintes sistemas e componentes críticos do
sistema para rastreamento ao longo da cadeia de abastecimento: [Atribuição: sistemas definidos pela
organização e componentes críticos do sistema].
Empregue os seguintes controles para validar se o sistema ou componente do sistema recebido é genuíno
e não foi alterado: [Atribuição: controles definidos pela organização].
Discussão: Para muitos sistemas e componentes de sistema, especialmente hardware, existem meios
técnicos para determinar se os itens são genuínos ou foram alterados, incluindo
marcação óptica e nanotecnológica, funções fisicamente não clonáveis, análise de canal lateral,
_________________________________________________________________________________________________
pe
E verificações criptográficas de hash ou assinaturas digitais e etiquetas ou adesivos anti-adulteração visíveis. Os
controles também podem incluir monitoramento de desempenho fora das especificações, o que pode ser um
indicador de adulteração ou falsificação. As organizações podem aproveitar os processos do fornecedor e do
contratante para validar se um sistema ou componente é genuíno e não foi alterado e para substituir um sistema ou
componente suspeito. Algumas indicações de adulteração podem ser visíveis e solucionáveis antes da aceitação
da entrega, como embalagens inconsistentes, selos quebrados e etiquetas incorretas. Quando um sistema ou
componente de sistema é suspeito de ser alterado ou falsificado, o fornecedor, empreiteiro ou fabricante do
equipamento original pode substituir o item ou fornecer capacidade forense para determinar a origem do item
falsificado ou alterado. As organizações podem fornecer treinamento ao pessoal sobre como identificar sistemas
suspeitos ou entregas de componentes.
Empregar [Tarefa: controles definidos pela organização] e conduzir [Tarefa: análise definida pela
organização] para garantir a integridade do sistema e dos componentes do sistema, validando a
composição interna e a procedência de tecnologias, produtos e serviços críticos ou essenciais à missão.
Discussão: Informações oficiais sobre a composição interna dos componentes do sistema e a proveniência
da tecnologia, produtos e serviços fornecem uma base sólida para a confiança. A validação da composição interna
e procedência de tecnologias, produtos e serviços é chamada de pedigree. Para microeletrônica, isso inclui a
composição material dos componentes. Para software, isso inclui a composição de código-fonte aberto e
proprietário, incluindo a versão do componente em um determinado momento. Os pedigrees aumentam a garantia
de que as afirmações que os fornecedores afirmam sobre a composição interna e a procedência dos produtos,
serviços e tecnologias que fornecem são válidas. A validação da composição interna e procedência pode ser
alcançada por vários artefatos ou registros probatórios que fabricantes e fornecedores produzem durante a pesquisa
e desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações e manutenção, e descarte de
tecnologia, produtos e Serviços. Os artefatos de evidência incluem, entre outros, tags de identificação de
software (SWID), inventário de componentes de software, declarações dos fabricantes sobre atributos de
plataforma (por exemplo, números de série, inventário de componentes de hardware) e medições (por exemplo, hashes
de firmware) que são rigorosamente vinculado ao próprio hardware.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [SP 800-160-1], [SP 800-161], [IR 7622], [IR
8112], [IR 8272].
Controle: Empregue as seguintes estratégias de aquisição, ferramentas de contrato e métodos de aquisição para proteger,
identificar e mitigar riscos da cadeia de suprimentos: [Tarefa: estratégias de aquisição definidas pela organização,
ferramentas de contrato e métodos de aquisição].
Discussão: A utilização do processo de aquisição proporciona um veículo importante para proteger a cadeia de
abastecimento. Existem muitas ferramentas e técnicas úteis disponíveis, incluindo ocultar o uso final de um sistema ou
componente de sistema, usar compras cegas ou filtradas, exigir embalagens invioláveis ou usar distribuição confiável
ou controlada. Os resultados de uma avaliação de riscos na cadeia de abastecimento podem orientar e informar as
estratégias, ferramentas e métodos mais aplicáveis à situação. Ferramentas e técnicas podem fornecer proteções contra
produção não autorizada, roubo, adulteração, inserção de falsificações, inserção de software malicioso ou backdoors e
práticas de desenvolvimento inadequadas durante todo o ciclo de vida de desenvolvimento do sistema. As organizações
também
_________________________________________________________________________________________________
pe
E considerar fornecer incentivos para fornecedores que implementem controles, promovam a transparência em seus processos e
práticas de segurança e privacidade, forneçam linguagem contratual que aborde a proibição de componentes contaminados ou
falsificados e restrinjam compras de fornecedores não confiáveis. As organizações consideram fornecer programas de
treinamento, educação e conscientização para
pessoal em relação ao risco da cadeia de suprimentos, estratégias de mitigação disponíveis e quando os programas
deveria ser empregado. Os métodos para revisar e proteger planos de desenvolvimento, documentação e evidências são
proporcionais aos requisitos de segurança e privacidade da organização.
Os contratos podem especificar requisitos de proteção de documentação.
Controles relacionados: AT-3, SA-2, SA-3, SA-4, SA-5, SA -8, SA-9, SA-10, SA-15, SR-6, SR-9, SR-10 , SR-11.
Melhorias de controle:
Empregue os seguintes controles para garantir um fornecimento adequado de [Atribuição: componentes críticos
do sistema definidos pela organização]: [Atribuição: controles definidos pela organização].
Avalie o sistema, componente do sistema ou serviço do sistema antes da seleção, aceitação, modificação ou
atualização.
Discussão: O pessoal organizacional ou entidades externas independentes realizam avaliações de sistemas, componentes,
produtos, ferramentas e serviços para descobrir evidências de adulteração, vulnerabilidades não intencionais e
intencionais ou evidências de não conformidade com os controles da cadeia de suprimentos. Isso inclui códigos
maliciosos, processos maliciosos, software defeituoso, backdoors e falsificações. As avaliações podem incluir
avaliações; revisões de propostas de design; inspeção visual ou física; análises estáticas e dinâmicas; inspeções visuais,
de raios X ou de partículas magnéticas; simulações; teste de caixa branca, cinza ou preta; teste de fuzz; testes de
estresse; e testes de penetração (ver SR-6(1)). As evidências geradas durante as avaliações são documentadas para
ações de acompanhamento por parte das organizações. As evidências geradas durante as avaliações organizacionais
ou independentes dos elementos da cadeia de abastecimento podem ser usadas para melhorar os processos da
cadeia de abastecimento e informar o processo de gestão de riscos da cadeia de abastecimento. A evidência pode ser
aproveitado em avaliações de acompanhamento. Evidências e outra documentação podem ser compartilhadas de
acordo com acordos organizacionais.
Referências: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [SP 800-30], [SP 800-
161], [IR 7622], [IR 8272].
Controle: Avalie e revise os riscos relacionados à cadeia de suprimentos associados a fornecedores ou contratados
e ao sistema, componente do sistema ou serviço do sistema que eles fornecem [Atribuição: frequência definida pela
organização].
_________________________________________________________________________________________________
pe
E Discussão: Uma avaliação e revisão do risco do fornecedor inclui processos de gestão de riscos de segurança e da
cadeia de fornecimento, propriedade, controle ou influência estrangeira (FOCI) e a capacidade do fornecedor de
avaliar efetivamente fornecedores e contratados subordinados de segundo e terceiro níveis.
As revisões podem ser conduzidas pela organização ou por terceiros independentes. As revisões consideram processos
documentados, controles documentados, inteligência de todas as fontes e informações publicamente disponíveis
relacionadas ao fornecedor ou contratado. As organizações podem usar informações de código aberto para monitorar
indicações de informações roubadas, mau desenvolvimento e práticas de controle de qualidade, vazamento de
informações ou falsificações. Em alguns casos, pode ser apropriado ou exigido compartilhar a avaliação e a revisão dos
resultados com outras organizações de acordo com quaisquer regras, políticas ou acordos ou contratos interorganizacionais
aplicáveis.
Melhorias de controle:
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [FIPS 140-3], [FIPS 180-4], [FIPS 186-4],
[FIPS 202], [SP 800-30], [SP 800-161], [IR 7622], [IR 8272].
Controle: Empregue os seguintes controles de Segurança de Operações (OPSEC) para proteger informações
relacionadas à cadeia de suprimentos para o sistema, componente do sistema ou serviço do sistema:
[Atribuição: controles de Segurança de Operações (OPSEC) definidos pela organização].
Discussão: O OPSEC da cadeia de suprimentos expande o escopo do OPSEC para incluir fornecedores e fornecedores
potenciais. OPSEC é um processo que inclui a identificação de informações críticas, a análise de ações amigas
relacionadas com operações e outras atividades para identificar ações que podem ser observadas por potenciais
adversários, determinando indicadores que potenciais adversários possam obter e que possam ser interpretados ou
reunidos para obter informações em tempo suficiente. causar danos às organizações, implementando salvaguardas
ou contramedidas para eliminar ou reduzir vulnerabilidades e riscos exploráveis a um nível aceitável, e considerando
como as informações agregadas podem expor usuários ou usos específicos da cadeia de abastecimento. As informações
da cadeia de fornecimento incluem identidades de usuários; usos para sistemas, componentes de sistema e
serviços de sistema; identidades dos fornecedores; requisitos de segurança e privacidade; configurações de
sistema e componentes; processos de fornecedores; especificações de projeto; e resultados de testes e avaliações.
OPSEC da cadeia de suprimentos pode exigir
_________________________________________________________________________________________________
pe
E organizações reterem informações de missão ou negócios de fornecedores e podem incluir o uso de intermediários para
ocultar o uso final ou usuários de sistemas, componentes de sistema ou serviços de sistema.
References: [EO 13873], [SP 800-30], [ISO 27036], [SP 800-161], [IR 7622].
Controle: Estabelecer acordos e procedimentos com entidades envolvidas na cadeia de abastecimento para o sistema,
componente do sistema ou serviço do sistema para [Seleção (um ou mais): notificação de comprometimentos da cadeia
de abastecimento; resultados de avaliações ou auditorias; [Tarefa: informações definidas pela organização]].
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [SP 800-30], [SP 800-161], [IR 7622].
Controle: Implemente um programa de proteção contra adulteração para o sistema, componente do sistema ou serviço do
sistema.
Discussão: Tecnologias, ferramentas e técnicas anti-adulteração fornecem um nível de proteção para sistemas,
componentes de sistema e serviços contra muitas ameaças, incluindo engenharia reversa, modificação e substituição. Uma
forte identificação combinada com resistência e/ou detecção de violação é essencial para proteger sistemas e componentes
durante a distribuição e quando em uso.
Controles Relacionados: PE-3, PM-30, SA-15, SI-4, SI-7, SR-3, SR-4, SR-5, SR-10, SR-11.
Melhorias de controle:
(1) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | MÚLTIPLOS ESTÁGIOS DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA
Discussão: O ciclo de vida de desenvolvimento do sistema inclui pesquisa e desenvolvimento, projeto, fabricação,
aquisição, entrega, integração, operações e manutenção e descarte.
As organizações usam uma combinação de técnicas de hardware e software para resistência e detecção de violação. As
organizações usam ofuscação e autoverificação para tornar a engenharia reversa e as modificações mais difíceis,
demoradas e caras para os adversários. A personalização dos sistemas e componentes do sistema pode
facilitar a detecção de substituições e, portanto, limitar os danos.
_________________________________________________________________________________________________
pe
E Referências: [ISO 20243].
Controle: Inspecione os seguintes sistemas ou componentes do sistema [Seleção (um ou mais): aleatoriamente; em
[Atribuição: frequência definida pela organização], em [Atribuição: indicações de necessidade de inspeção definidas
pela organização]] para detectar adulteração: [Atribuição: sistemas ou componentes de sistema definidos pela
organização].
Controles relacionados: AT-3, PM-30, SI-4, SI-7, SR-3, SR-4, SR-5, SR-9, SR-11.
Ao controle:
a. Desenvolver e implementar políticas e procedimentos antifalsificação que incluam meios para detectar e impedir a
entrada de componentes falsificados no sistema; e
b. Reportar componentes falsificados do sistema para [Seleção (um ou mais): origem do componente falsificado;
[Atribuição: organizações subordinadas externas definidas pela organização];
[Atribuição: pessoal ou funções definidas pela organização]].
Melhorias de controle:
Treinar [Atribuição: pessoal ou funções definidas pela organização] para detectar componentes de sistema
falsificados (incluindo hardware, software e firmware).
Discussão: Nenhuma.
Discussão: O tipo de componente determina o tipo de varredura a ser conduzida (por exemplo, varredura de aplicações
web se o componente for uma aplicação web).
Controles Relacionados: RA-5.
_________________________________________________________________________________________________
pe
E Referências: [ISO 20243].
Controle: Descarte [Atribuição: dados, documentação, ferramentas ou componentes de sistema definidos pela
organização] usando as seguintes técnicas e métodos: [Atribuição: técnicas e métodos definidos pela organização].
Discussão: Dados, documentação, ferramentas ou componentes do sistema podem ser descartados a qualquer
momento durante o ciclo de vida de desenvolvimento do sistema (não apenas na fase de descarte ou retirada do ciclo
de vida). Por exemplo, o descarte pode ocorrer durante pesquisa e desenvolvimento, projeto, prototipagem ou operações/
manutenção e incluir métodos como limpeza de disco, remoção de chaves criptográficas, reutilização parcial de
componentes. As oportunidades de comprometimento durante o descarte afetam os dados físicos e lógicos, incluindo a
documentação do sistema em arquivos digitais ou em papel; documentação de envio e entrega; cartões de memória
com código de software; ou roteadores ou servidores completos que incluam mídia permanente, que contenham
informações confidenciais ou proprietárias. Além disso, o descarte adequado dos componentes do sistema ajuda
a evitar que tais componentes entrem no mercado paralelo.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E REFERÊNCIAS
LEIS, POLÍTICAS, DIRETRIZES, REGULAMENTOS, PADRÕES E DIRETRIZES 34
[ATOM54]
[CMPPA]
LEIS E ORDENS EXECUTIVAS
https://www.govinfo.gov/content/pkg/STATUTE-102/pdf/STATUTE-102-
Pg2507.pdf
[EGOV] Lei de governo eletrônico [inclui FISMA] (PL 107-347), dezembro de 2002. https://
www.congress.gov/107/plaws/publ347/PLAW-107publ347.pdf
[EVIDATO] Lei de Fundamentos para a Elaboração de Políticas Baseadas em Evidências de 2018 (PL
115-435), janeiro de 2019.
https://www.congress.gov/115/plaws/publ435/PLAW-115publ435.pdf
[FASC18] Lei de Tecnologia Segura [inclui Lei de Segurança da Cadeia de Suprimentos de Aquisição Federal]
(PL 115-390), dezembro de 2018.
https://www.congress.gov/bill/115th-congress/senate-bill/3085
[FISMA] Lei Federal de Modernização da Segurança da Informação (PL 113-283), dezembro de 2014.
https://www.congress.gov/113/plaws/publ283/PLAW-113publ283.pdf
[FOIA96] Lei de Liberdade de Informação (FOIA), 5 USC § 552, conforme alterada pela Lei Pública nº
104-231, 110 Stat. 3048, Emendas à Lei de Liberdade de Informação Eletrônica de 1996.
https://www.govinfo.gov/content/pkg/PLAW-104publ231/pdf/PLAW-104publ231.pdf
[EUA PATRIOTA] Lei Patriota dos EUA (PL 107-56), outubro de 2001.
https://www.congress.gov/107/plaws/publ56/PLAW-107publ56.pdf
[USC 552] Código dos Estados Unidos, Edição de 2006, Suplemento 4, Título 5 - Organização
Governamental e Funcionários, janeiro de 2011.
https://www.govinfo.gov/content/pkg/USCODE-2010-title5/pdf/USCODE-2010-
título5-parteI-chap5-subchapII-sec552a.pdf
[USC2901] Código dos Estados Unidos, Edição de 2008, Título 44 - Impressão e Documentos Públicos, Capítulos
29, 31 e 33, janeiro de 2012.
https://www.govinfo.gov/content/pkg/USCODE-2011-title44/pdf/USCODE-2011-
título44-chap29-sec2901.pdf
34 As referências citadas neste apêndice são aquelas publicações externas que apoiam diretamente os Projetos FISMA e
de Privacidade no NIST. Padrões, diretrizes e relatórios interagências adicionais do NIST também são citados ao
longo desta publicação, inclusive na seção de referências dos controles aplicáveis no Capítulo Três. Links diretos para o
site do NIST são fornecidos para obter acesso a essas publicações.
_________________________________________________________________________________________________
pe
E [USC3502]
[USC11101]
[EO 13526]
“Definições”, Título 44 Código dos EUA, Sec. 3502. Edição de 2011.
https://www.govinfo.gov/app/details/USCODE-2011-title44/USCODE-2011-title44-
chap35-subchapI-sec3502
https://www.archives.gov/isoo/policy-documents/cnsi-eo.html
[EO 13556] Ordem Executiva 13556, Informações Não Classificadas Controladas, novembro de 2010.
https://obamawhitehouse.archives.gov/the-press-office/2010/11/04/executive-
order-13556-controlled-unclassified-information
[EO 13587] Ordem Executiva 13587, Reformas Estruturais para Melhorar a Segurança de Redes
Classificadas e o Compartilhamento Responsável e Proteção de Informações Classificadas,
outubro de 2011.
https://obamawhitehouse.archives.gov/the-press-office/2011/10/07/executive-
order-13587-structural-reforms-improve-security-classified-net
[EO 13636] Ordem Executiva 13636, Melhoria da Segurança Cibernética de Infraestruturas Críticas,
fevereiro de 2013.
https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/executive-order-
improving-critical-infrastructure-cybersecurity
[EO 13800] Ordem Executiva 13.800, Fortalecimento da segurança cibernética de redes federais
e infraestrutura crítica, maio de 2017.
https://www.whitehouse.gov/presidential-actions/presidential-executive-order-
strengthening-cybersecurity-federal-networks-critical-infrastructure
[EO 13873] Ordem Executiva 13873, Ordem Executiva sobre a Segurança da Tecnologia da Informação e
Comunicação e da Cadeia de Fornecimento de Serviços, maio de 2019.
https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-
communications-technology-services-supply-chain
[HSPD 12] Diretiva Presidencial de Segurança Interna 12, Política para um Padrão de
Identificação Comum para Funcionários e Contratantes Federais, agosto de 2004.
https://www.dhs.gov/homeland-security-presidential-directive-12
_________________________________________________________________________________________________
pe
E [5 CFR 731]
[41 CFR 201] “Lei de Segurança da Cadeia de Suprimentos de Aquisição Federal; Regra”, 85 Federal
Register 54263 (1º de setembro de 2020), pp 54263-54271.
https://www.federalregister.gov/d/2020-18939 [ou conforme publicado no Título 41 do Código
de Regulamentações Federais, Sec. 201 (em breve)]
[ODNI NITP] Gabinete do Diretor Nacional de Inteligência, Política Nacional de Ameaças Internas
https://www.dni.gov/files/NCSC/documents/nittf/National_Insider_Threat_Policy.
pdf
[OMB A-130] Circular A-130 do Memorando do Escritório de Gestão e Orçamento, Gerenciando Informações
como um Recurso Estratégico, julho de 2016.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/circulars/A130/a13
0revisado.pdf
[OMB M-03-22] Memorando M-03-22 do Escritório de Gestão e Orçamento, Orientação do OMB para
Implementação das Disposições de Privacidade da Lei de Governo Eletrônico de 2002,
setembro de 2003.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2003/
m03_22.pdf
[OMB M-08-05] Memorando do Escritório de Gestão e Orçamento M-08-05, Implementação
de Conexões de Internet Confiáveis (TIC), novembro de 2007.
https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/omb/memo
randa/fy2008/m08-05.pdf
[OMB M-17-12] Memorando M-17-12 do Escritório de Gestão e Orçamento, Preparação e resposta a uma
violação de informações de identificação pessoal, janeiro de 2017.
https://obamawhitehouse.archives.gov/sites/default/files/omb/memoranda/2017
/m-17-12_0.pdf
_________________________________________________________________________________________________
pe
E [OMB M-17-25] Memorando do Escritório de Gestão e Orçamento M-17-25, Relatórios
Orientação para Ordem Executiva sobre o Fortalecimento da Segurança Cibernética de Redes
Federais e Infraestrutura Crítica, maio de 2017.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2017/
M-17-25.pdf
[CNSSD 505] Comitê de Diretiva de Sistemas de Segurança Nacional nº 505, Supply Chain Risk Management
(SCRM), agosto de 2017.
https://www.cnss.gov/CNSS/issuances/Directives.cfm
[CNSSP 22] Comitê de Política de Sistemas de Segurança Nacional nº 22, Política de Gestão de Riscos de
Segurança Cibernética, agosto de 2016.
https://www.cnss.gov/CNSS/issuances/Policies.cfm
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
[CNSSI 4009] Instrução do Comitê de Sistemas de Segurança Nacional nº 4009, Glossário do Comitê de
Sistemas de Segurança Nacional (CNSS), abril de 2015.
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
[DODI 8510.01] Instrução 8510.01 do Departamento de Defesa, Estrutura de gerenciamento de risco (RMF) para tecnologia
da informação (TI) do DoD, março de 2014.
https://www.esd.whs.mil/Portals/54/Documents/DD/issues/dodi/851001p.pdf
?ver=2019-02-26-101520-300
[DHS NIPP] Departamento de Segurança Interna, Plano Nacional de Proteção de Infraestrutura (NIPP), 2009.
https://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf
https://www.iso.org/standard/73567.html
_________________________________________________________________________________________________
pe
E [ISO 15408-1]
[ISO 15408-2]
Organização Internacional de Normalização/Comissão Eletrotécnica
Internacional 15408-1:2009, Tecnologia da informação —
Técnicas de segurança — Critérios de avaliação para segurança informática —
Parte 1: Introdução e modelo geral, abril de 2017.
https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R5.pdf
_________________________________________________________________________________________________
pe
E [ISO29148]
[FIPS140-3]
Organização Internacional de Padronização/Comissão Eletrotécnica
Internacional/Instituto de Engenheiros Elétricos e Eletrônicos (ISO/IEC/IEEE)
29148:2018, Engenharia de sistemas e software—
Processos de ciclo de vida – Engenharia de requisitos, novembro de 2018.
https://www.iso.org/standard/72089.html
[FIPS 180-4] Instituto Nacional de Padrões e Tecnologia (2015) Secure Hash Standard (SHS).
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de Padrões
de Processamento de Informações (FIPS) 180-4.
https://doi.org/10.6028/NIST.FIPS.180-4
[FIPS 186-4] Instituto Nacional de Padrões e Tecnologia (2013) Padrão de Assinatura Digital (DSS).
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de Padrões
de Processamento de Informações (FIPS) 186-4.
https://doi.org/10.6028/NIST.FIPS.186-4
[FIPS 197] Instituto Nacional de Padrões e Tecnologia (2001) Padrão de Criptografia Avançada (AES).
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de Padrões
de Processamento de Informações (FIPS) 197.
https://doi.org/10.6028/NIST.FIPS.197
[FIPS 199] Instituto Nacional de Padrões e Tecnologia (2004) Padrões para Categorização
de Segurança de Informações Federais e Sistemas de Informação.
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de
Padrões de Processamento de Informações (FIPS) 199.
https://doi.org/10.6028/NIST.FIPS.199
[FIPS202] Instituto Nacional de Padrões e Tecnologia (2015) Padrão SHA-3: Hash baseado em
permutação e funções de saída extensíveis. (NÓS
Departamento de Comércio, Washington, DC), Publicação Federal de Padrões
de Processamento de Informações (FIPS) 202.
https://doi.org/10.6028/NIST.FIPS.202
_________________________________________________________________________________________________
pe
E [SP 800-12]
[SP 800-18]
Nieles M, Pillitteri VY, Dempsey KL (2017) Uma introdução à segurança da informação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial
NIST (SP) 800-12, Rev.
https://doi.org/10.6028/NIST.SP.800-12r1
https://doi.org/10.6028/NIST.SP.800-18r1
[SP 800-28] Jansen W, Winograd T, Scarfone KA (2008) Diretrizes sobre conteúdo ativo e código
móvel. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-28, Versão 2.
https://doi.org/10.6028/NIST.SP.800-28ver2
[SP 800-30] Iniciativa Conjunta de Transformação da Força-Tarefa (2012) Guia para a realização de
avaliações de risco. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-30, Rev.
https://doi.org/10.6028/NIST.SP.800-30r1
[SP 800-32] Kuhn R, Hu VC, Polk T, Chang SJ (2001) Introdução à tecnologia de chave
pública e à infraestrutura PKI federal. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-32.
https://doi.org/10.6028/NIST.SP.800-32
[SP 800-34] Swanson MA, Bowen P, Phillips AW, Gallup D, Lynes D (2010) Guia de planejamento de
contingência para sistemas de informação federais. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-34, Rev. 1, Inclui atualizações de 11 de novembro de 2010.
https://doi.org/10.6028/NIST.SP.800-34r1
[SP 800-35] Grance T, Hash J, Stevens M, O'Neal K, Bartol N (2003) Guia para serviços de segurança
de tecnologia da informação. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-35.
https://doi.org/10.6028/NIST.SP.800-35
[SP 800-37] Força-Tarefa Conjunta (2018) Estrutura de Gerenciamento de Risco para Sistemas e
Organizações de Informação: Uma Abordagem do Ciclo de Vida do Sistema para
Segurança e Privacidade. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-37, Rev.
https://doi.org/10.6028/NIST.SP.800-37r2
_________________________________________________________________________________________________
pe
E [SP 800-40]
[SP 800-41]
[SP 800-45]
Souppaya MP, Scarfone KA (2013) Guia para tecnologias de gerenciamento de
patches empresariais. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-40, Rev.
https://doi.org/10.6028/NIST.SP.800-40r3
[SP 800-46] Souppaya MP, Scarfone KA (2016) Guia para teletrabalho empresarial, acesso
remoto e segurança de trazer seu próprio dispositivo (BYOD). (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-46, Rev.
https://doi.org/10.6028/NIST.SP.800-46r2
[SP 800-47] Grance T, Hash J, Peck S, Smith J, Korow-Diks K (2002) Guia de segurança para
interconexão de sistemas de tecnologia da informação. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-47.
https://doi.org/10.6028/NIST.SP.800-47
[SP 800-52] McKay KA, Cooper DA (2019) Diretrizes para a seleção, configuração e uso de
implementações de segurança da camada de transporte (TLS). (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-52, Rev.
https://doi.org/10.6028/NIST.SP.800-52r2
[SP 800-53B] Força-Tarefa Conjunta (2020) Linhas de Base de Controle e Orientação de Adaptação
para Sistemas e Organizações de Informação Federais. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-53B.
https://doi.org/10.6028/NIST.SP.800-53B
_________________________________________________________________________________________________
pe
E [SP 800-55]
[SP 800-56A]
Mastigar E, Swanson MA, Stine KM, Bartol N, Brown A, Robinson W (2008)
Guia de medição de desempenho para segurança da informação. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-55, Rev.
https://doi.org/10.6028/NIST.SP.800-55r1
[SP 800-56B] Barker EB, Chen L, Roginsky A, Vassilev A, Davis R, Simon S (2019).
Recomendação para estabelecimento de chaves pareadas usando
criptografia de fatoração de números inteiros. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-56B,
Rev.
https://doi.org/10.6028/NIST.SP.800-56Br2
[SP 800-56C] Barker EB, Chen L, Davis R (2020) Recomendação para métodos de derivação
de chaves em esquemas de estabelecimento de chaves. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-56C,
Rev.
https://doi.org/10.6028/NIST.SP.800-56Cr2
[SP 800-57-1] Recomendação Barker EB (2020) para gerenciamento de chaves: Parte 1 – Geral.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial
NIST (SP) 800-57 Parte 1, Rev.
https://doi.org/10.6028/NIST.SP.800-57pt1r5
[SP 800-57-2] Barker EB, Barker WC (2019) Recomendação para Gestão de Chaves: Parte 2 –
Melhores Práticas para Organizações de Gestão de Chaves. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-57 Parte 2, Rev.
https://doi.org/10.6028/NIST.SP.800-57pt2r1
[SP 800-57-3] Barker EB, Dang QH (2015) Recomendação para gerenciamento de chaves, Parte 3:
Orientação para gerenciamento de chaves específicas da aplicação. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-57 Parte 3, Rev.
https://doi.org/10.6028/NIST.SP.800-57pt3r1
[SP 800-60-1] Stine KM, Kissel RL, Barker WC, Fahlsing J, Gulick J (2008) Guia para
mapeamento de tipos de informação e sistemas de informação para
categorias de segurança. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-60, Vol. 1, Rev.
https://doi.org/10.6028/NIST.SP.800-60v1r1
_________________________________________________________________________________________________
pe
E [SP 800-60-2]
[SP 800-61]
Stine KM, Kissel RL, Barker WC, Lee A, Fahlsing J (2008) Guia para mapeamento de tipos de
informação e sistemas de informação para categorias de segurança: Apêndices. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-60, Vol.
2, Rev.
https://doi.org/10.6028/NIST.SP.800-60v2r1
[SP 800-63-3] Grassi PA, Garcia ME, Fenton JL (2017) Diretrizes de Identidade Digital. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63-3, Inclui
atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63-3
[SP 800-63A] Grassi PA, Fenton JL, Lefkovitz NB, Danker JM, Choong YY, Greene KK, Theofanos MF
(2017) Diretrizes de Identidade Digital: Inscrição e Prova de Identidade. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63A, Inclui
atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63a
[SP 800-63B] Grassi PA, Fenton JL, Newton EM, Perlner RA, Regenscheid AR, Burr WE, Richer, JP,
Lefkovitz NB, Danker JM, Choong YY, Greene KK, Theofanos MF (2017) Diretrizes de identidade
digital: autenticação e gerenciamento do ciclo de vida. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63B,
Inclui atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63b
[SP 800-70] Quinn SD, Souppaya MP, Cook MR, Scarfone KA (2018) Programa Nacional de Lista de
Verificação para Produtos de TI: Diretrizes para Usuários e Desenvolvedores da Lista de Verificação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-70, Rev.
https://doi.org/10.6028/NIST.SP.800-70r4
[SP 800-73-4] Cooper DA, Ferraiolo H, Mehta KL, Francomacaro S, Chandramouli R, Mohler J (2015)
Interfaces para verificação de identidade pessoal. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-73-4, Inclui atualizações
em 8 de fevereiro de 2016.
https://doi.org/10.6028/NIST.SP.800-73-4
[SP 800-76-2] Grother PJ, Salamon WJ, Chandramouli R (2013) Especificações biométricas para verificação
de identidade pessoal. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-76-2.
https://doi.org/10.6028/NIST.SP.800-76-2
[SP 800-77] Barker EB, Dang QH, Frankel SE, Scarfone KA, Wouters P (2020) Guia para VPNs IPsec.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-77, Rev.
https://doi.org/10.6028/NIST.SP.800-77r1
_________________________________________________________________________________________________
pe
E [SP 800-78-4]
[SP 800-79-2]
Polk T, Dodson DF, Burr WE, Ferraiolo H, Cooper DA (2015) Algoritmos criptográficos e
tamanhos de chave para verificação de identidade pessoal. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-78-4.
https://doi.org/10.6028/NIST.SP.800-78-4
https://doi.org/10.6028/NIST.SP.800-79-2
[SP 800-81-2] Chandramouli R, Rose SW (2013) Sistema de Nomes de Domínio Seguro (DNS)
Guia de implantação. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-81-2.
https://doi.org/10.6028/NIST.SP.800-81-2
[SP 800-82] Stouffer KA, Lightman S, Pillitteri VY, Abrams M, Hahn A (2015) Guia para segurança de
sistemas de controle industrial (ICS). (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-82, Rev.
https://doi.org/10.6028/NIST.SP.800-82r2
[SP 800-83] Souppaya MP, Scarfone KA (2013) Guia para prevenção e tratamento de incidentes de
malware para desktops e laptops. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-83, Rev.
https://doi.org/10.6028/NIST.SP.800-83r1
[SP 800-84] Grance T, Nolan T, Burke K, Dudley R, White G, Good T (2006) Guia para programas de teste,
treinamento e exercícios para planos e recursos de TI. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-84.
https://doi.org/10.6028/NIST.SP.800-84
[SP 800-86] Kent K, Chevalier S, Grance T, Dang H (2006) Guia para integração de técnicas forenses na
resposta a incidentes. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-86.
https://doi.org/10.6028/NIST.SP.800-86
[SP 800-88] Kissel RL, Regenscheid AR, Scholl MA, Stine KM (2014) Diretrizes para Sanitização de Mídia.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-88, Rev.
https://doi.org/10.6028/NIST.SP.800-88r1
[SP 800-92] Kent K, Souppaya MP (2006) Guia para gerenciamento de logs de segurança de computadores.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-92.
https://doi.org/10.6028/NIST.SP.800-92
_________________________________________________________________________________________________
pe
E [SP 800-94]
[SP 800-95]
[SP 800-97]
Scarfone KA, Mell PM (2007) Guia para Sistemas de Detecção e Prevenção de
Intrusões (IDPS). (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-94.
https://doi.org/10.6028/NIST.SP.800-94
https://doi.org/10.6028/NIST.SP.800-97
[SP 800-100] Bowen P, Hash J, Wilson M (2006) Manual de Segurança da Informação: Um Guia
para Gerentes. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-100, Inclui atualizações em
7 de março de 2007.
https://doi.org/10.6028/NIST.SP.800-100
[SP 800-101] Ayers RP, Brothers S, Jansen W (2014) Diretrizes sobre análise forense de
dispositivos móveis. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-101, Rev.
https://doi.org/10.6028/NIST.SP.800-101r1
[SP 800-111] Scarfone KA, Souppaya MP, Sexton M (2007) Guia para tecnologias de criptografia
de armazenamento para dispositivos de usuário final. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-111.
https://doi.org/10.6028/NIST.SP.800-111
[SP 800-113] Frankel SE, Hoffman P, Orebaugh AD, Park R (2008) Guia para VPNs SSL.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-113.
https://doi.org/10.6028/NIST.SP.800-113
[SP 800-114] Souppaya MP, Scarfone KA (2016) Guia do usuário para teletrabalho e segurança
de trazer seu próprio dispositivo (BYOD). (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-114, Rev.
https://doi.org/10.6028/NIST.SP.800-114r1
[SP 800-115] Scarfone KA, Souppaya MP, Cody A, Orebaugh AD (2008) Guia Técnico para Teste
e Avaliação de Segurança da Informação. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-115.
https://doi.org/10.6028/NIST.SP.800-115
_________________________________________________________________________________________________
pe
E [SP 800-116]
[SP 800-121]
Ferraiolo H, Mehta KL, Ghadiali N, Mohler J, Johnson V, Brady S (2018) Uma
recomendação para o uso de credenciais PIV em sistemas de controle de acesso físico
(PACS). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-116, Rev.
https://doi.org/10.6028/NIST.SP.800-116r1
https://doi.org/10.6028/NIST.SP.800-121r2
[SP 800-124] Souppaya MP, Scarfone KA (2013) Diretrizes para gerenciamento da segurança de
dispositivos móveis na empresa. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-124, Rev.
https://doi.org/10.6028/NIST.SP.800-124r1
[SP 800-125B] Chandramouli R (2016) Configuração segura de rede virtual para proteção de máquina
virtual (VM). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-125B.
https://doi.org/10.6028/NIST.SP.800-125B
[SP 800-126] Waltermire DA, Quinn SD, Booth H, III, Scarfone KA, Prisaca D (2018) A especificação
técnica para o protocolo de automação de conteúdo de segurança (SCAP): SCAP
versão 1.3. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-126, Rev.
https://doi.org/10.6028/NIST.SP.800-126r3
[SP 800-128] Johnson LA, Dempsey KL, Ross RS, Gupta S, Bailey D (2011) Guia para
gerenciamento de configuração de sistemas de informação com foco na segurança.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial
NIST (SP) 800-128, Inclui atualizações em 10 de outubro de 2019.
https://doi.org/10.6028/NIST.SP.800-128
[SP 800-130] Barker EB, Smid ME, Branstad DK, Chokhani S (2013) Uma estrutura para projetar
sistemas de gerenciamento de chaves criptográficas. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-130.
https://doi.org/10.6028/NIST.SP.800-130
[SP 800-137] Dempsey KL, Chawla NS, Johnson LA, Johnston R, Jones AC, Orebaugh AD, Scholl MA,
Stine KM (2011) Monitoramento Contínuo de Segurança da Informação (ISCM) para
Sistemas e Organizações de Informação Federais. (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-137.
https://doi.org/10.6028/NIST.SP.800-137
[SP 800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer R, Rudman R, Urban S (2020)
Avaliando Programas de Monitoramento Contínuo de Segurança da Informação (ISCM):
Desenvolvendo uma avaliação do programa ISCM. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-137A.
https://doi.org/10.6028/NIST.SP.800-137A
_________________________________________________________________________________________________
pe
E [SP 800-147]
[SP 800-150]
[SP 800-152]
Cooper DA, Polk T, Regenscheid AR, Souppaya MP (2011) Diretrizes de proteção do BIOS.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-147.
https://doi.org/10.6028/NIST.SP.800-147
Johnson CS, Waltermire DA, Badger ML, Skorupka C, Snyder J (2016) Guia para compartilhamento
de informações sobre ameaças cibernéticas. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-150.
https://doi.org/10.6028/NIST.SP.800-150
Barker EB, Branstad DK, Smid ME (2015) Um perfil para sistemas federais de
gerenciamento de chaves criptográficas (CKMS) dos EUA. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-152.
https://doi.org/10.6028/NIST.SP.800-152
[SP 800-154] Souppaya MP, Scarfone KA (2016) Guia para modelagem de ameaças a sistemas centrada
em dados. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Rascunho de
Publicação Especial do NIST (SP) 800-154.
https://csrc.nist.gov/publications/detail/sp/800-154/draft
[SP 800-156] Ferraiolo H, Chandramouli R, Mehta KL, Mohler J, Skordinski S, Brady S (2016)
Representação da Cadeia de Confiança PIV para Importação e Exportação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-156.
https://doi.org/10.6028/NIST.SP.800-156
[SP 800-160-1] Ross RS, Oren JC, McEvilley M (2016) Engenharia de segurança de sistemas:
considerações para uma abordagem multidisciplinar na engenharia de sistemas seguros
confiáveis. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-160, Vol.
1, Inclui atualizações a partir de 21 de março de 2018.
https://doi.org/10.6028/NIST.SP.800-160v1
[SP 800-160-2] Ross RS, Pillitteri VY, Graubart R, Bodeau D, McQuaid R (2019) Desenvolvendo sistemas
ciberresilientes: uma abordagem de engenharia de segurança de sistemas.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-160, Vol. 2.
https://doi.org/10.6028/NIST.SP.800-160v2
[SP 800-161] Boyens JM, Paulsen C, Moorthy R, Bartol N (2015) Práticas de gerenciamento de risco
da cadeia de suprimentos para sistemas e organizações de informação federais.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-161.
https://doi.org/10.6028/NIST.SP.800-161
[SP 800-162] Hu VC, Ferraiolo DF, Kuhn R, Schnitzer A, Sandlin K, Miller R, Scarfone KA (2014) Guia para
definição e considerações de controle de acesso baseado em atributos (ABAC). (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-162, Inclui atualizações em 2 de agosto de 2019.
https://doi.org/10.6028/NIST.SP.800-162
_________________________________________________________________________________________________
pe
E [SP 800-166]
[SP 800-167]
Cooper DA, Ferraiolo H, Chandramouli R, Ghadiali N, Mohler J, Brady S (2016)
Diretrizes derivadas de aplicação de PIV e teste de modelo de dados. (Instituto Nacional
de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-166.
https://doi.org/10.6028/NIST.SP.800-166
[SP 800-171] Ross RS, Pillitteri VY, Dempsey KL, Riddle M, Guissanie G (2020) Protegendo informações
não classificadas controladas em sistemas e organizações não federais.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-171, Rev.
https://doi.org/10.6028/NIST.SP.800-171r2
[SP 800-172] Ross RS, Pillitteri VY, Graubart RD, Guissanie G, Wagner R, Bodeau D (2020)
Requisitos de segurança aprimorados para proteger informações não classificadas
controladas: um suplemento à publicação especial do NIST 800-171 (versão pública final).
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-172.
https://doi.org/10.6028/NIST.SP.800-172-draft
[SP 800-177] Rose SW, Nightingale S, Garfinkel SL, Chandramouli R (2019) E-mail confiável. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-177, Rev.
https://doi.org/10.6028/NIST.SP.800-177r1
[SP 800-178] Ferraiolo DF, Hu VC, Kuhn R, Chandramouli R (2016) Uma comparação de padrões
de controle de acesso baseado em atributos (ABAC) para aplicativos de
serviços de dados: linguagem de marcação de controle de acesso extensível (XACML)
e controle de acesso de próxima geração (NGAC). (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-178.
https://doi.org/10.6028/NIST.SP.800-178
[SP 800-181] Petersen R, Santos D, Smith MC, Wetzel KA, Witte G (2020) Estrutura de força de
trabalho para segurança cibernética (Estrutura NICE). (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-181, Rev.
https://doi.org/10.6028/NIST.SP.800-181r1
[SP 800-184] Bartock M, Scarfone KA, Smith MC, Witte GA, Cichonski JA, Souppaya MP (2016) Guia
para recuperação de eventos de segurança cibernética. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-184.
https://doi.org/10.6028/NIST.SP.800-184
[SP 800-188] Garfinkel S (2016) Desidentificando conjuntos de dados governamentais. (Instituto Nacional
de Padrões e Tecnologia, Gaithersburg, MD), Segunda versão preliminar da publicação
especial do NIST (SP) 800-188.
https://csrc.nist.gov/publications/detail/sp/800-188/draft
_________________________________________________________________________________________________
pe
E [SP 800-189]
[SP 800-192]
[IR 7539]
Sriram K, Montgomery D (2019) Troca de tráfego interdomínio resiliente: segurança BGP e
mitigação de DDoS. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-189.
https://doi.org/10.6028/NIST.SP.800-189
[IR 7559] Singhal A, Gunestas M, Wijesekera D (2010) Serviços Web Forenses (FWS).
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 7559.
https://doi.org/10.6028/NIST.IR.7559
[IR 7622] Boyens JM, Paulsen C, Bartol N, Shankles S, Moorthy R (2012) Práticas nocionais de
gerenciamento de risco da cadeia de suprimentos para sistemas de informação federais.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 7622.
https://doi.org/10.6028/NIST.IR.7622
[IR 7676] Cooper DA (2010) Manutenção e uso do histórico de chaves em cartões de verificação de
identidade pessoal (PIV). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 7676.
https://doi.org/10.6028/NIST.IR.7676
[IR 7788] Singhal A, Ou X (2011) Análise de risco de segurança de redes corporativas usando gráficos
de ataque probabilísticos. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 7788.
https://doi.org/10.6028/NIST.IR.7788
[IR 7849] Chandramouli R (2014) Uma metodologia para o desenvolvimento de taxonomia de nível
de garantia de autenticação para verificação de identidade baseada em cartão inteligente.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 7849.
https://doi.org/10.6028/NIST.IR.7849
[IR 7870] Cooper DA (2012) Cartões de verificação de identidade pessoal (PIV) de teste NIST.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 7870.
https://doi.org/10.6028/NIST.IR.7870
_________________________________________________________________________________________________
pe
E [IR 7874]
[IR 7956]
Hu VC, Scarfone KA (2012) Diretrizes para Métricas de Avaliação de Sistemas de Controle
de Acesso. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST
Interagências ou Relatório Interno (IR) 7874.
https://doi.org/10.6028/NIST.IR.7874
[IR 8011-1] Dempsey KL, Eavy P, Moore G (2017) Suporte de automação para avaliações de
controle de segurança: Volume 1: Visão geral. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno
(IR) 8011, Volume 1.
https://doi.org/10.6028/NIST.IR.8011-1
[IR 8011-2] Dempsey KL, Eavy P, Moore G (2017) Suporte de automação para avaliações de
controle de segurança: Volume 2: Gerenciamento de ativos de hardware. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório
Interno (IR) 8011, Volume 2.
https://doi.org/10.6028/NIST.IR.8011-2
[IR 8011-3] Dempsey KL, Eavy P, Goren N, Moore G (2018) Suporte de automação para
avaliações de controle de segurança: Volume 3: Gerenciamento de ativos de software.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 8011, Volume 3.
https://doi.org/10.6028/NIST.IR.8011-3
[IR 8011-4] Dempsey KL, Takamura E, Eavy P, Moore G (2020) Suporte de automação para avaliações
de controle de segurança: Volume 4: Gerenciamento de vulnerabilidades de
software. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 8011, Volume 4.
https://doi.org/10.6028/NIST.IR.8011-4
[IR 8023] Dempsey KL, Paulsen C (2015) Gerenciamento de risco para dispositivos de replicação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 8023.
https://doi.org/10.6028/NIST.IR.8023
[IR 8040] Greene KK, Kelsey JM, Franklin JM (2016) Medindo a usabilidade e segurança de
senhas permutadas em plataformas móveis. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 8040.
https://doi.org/10.6028/NIST.IR.8040
_________________________________________________________________________________________________
pe
E [IR 8062]
[IR 8112]
Brooks S, Garcia M, Lefkovitz N, Lightman S, Nadeau E (2017) Uma introdução
à engenharia de privacidade e gerenciamento de riscos em sistemas federais.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 8062.
https://doi.org/10.6028/NIST.IR.8062
[IR 8179] Paulsen C, Boyens JM, Bartol N, Winkler K (2018) Modelo de processo de análise de
criticidade: priorizando sistemas e componentes. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 8179.
https://doi.org/10.6028/NIST.IR.8179
[IR 8272] Paulsen C, Winkler K, Boyens JM, Ng J, Gimbi J (2020) Ferramenta de análise de impacto
para riscos interdependentes da cadeia de suprimentos cibernética. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório
Interno (IR) 8272.
https://doi.org/10.6028/NIST.IR.8272
_________________________________________________________________________________________________
pe
E [IETF5905]
[LAMPSON73]
[NARA QUEM]
Força-Tarefa de Engenharia da Internet (IETF), Solicitação de comentários: 5905, Network
Time Protocol Versão 4: Especificação de protocolo e algoritmos, junho de 2010.
https://tools.ietf.org/pdf/rfc5905.pdf
BW Lampson, Uma nota sobre o problema do confinamento, Communications of the ACM 16,
10, pp. 613-615, outubro de 1973.
[NIAP CCEVS] Parceria Nacional de Garantia de Informação, Esquema de Avaliação e Validação de Critérios
Comuns.
https://www.niap-ccevs.org
[NIST CSF] Instituto Nacional de Padrões e Tecnologia (2018) Estrutura para Melhorar a Segurança
Cibernética de Infraestruturas Críticas, Versão 1.1. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018
[NISTPF] Estrutura de privacidade do Instituto Nacional de Padrões e Tecnologia (2020): uma ferramenta
para melhorar a privacidade por meio do gerenciamento de riscos empresariais, versão 1.0.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.01162020
[NVD 800-53] Instituto Nacional de Padrões e Tecnologia (2020) Banco de Dados Nacional de
Vulnerabilidade: Publicação Especial NIST 800-53 [banco de dados de controles].
Disponível em
https://nvd.nist.gov/800-53
[NSA CSFC] Agência de Segurança Nacional, Programa de Soluções Comerciais para Classificados
(CSfC).
https://www.nsa.gov/resources/everyone/csfc
_________________________________________________________________________________________________
pe
E [ODNI CTF]
[POPEK74]
[SALZER75]
Estrutura de ameaças cibernéticas do Gabinete do Diretor de Inteligência
Nacional (ODNI).
https://www.dni.gov/index.php/cyber-threat-framework
G. Popek, O Princípio do Design do Kernel, em 1974 NCC, AFIPS Cong. Proc., vol.
43, pp. 977-9
J. Saltzer e M. Schroeder, The Protection of Information in Computer Systems, em
Proceedings of the IEEE 63(9), setembro de 1975, pp.
[SP 800-53 RES] Publicação Especial NIST 800-53, Revisão 5 Resource Center.
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
_________________________________________________________________________________________________
pe
E APÊNDICE A
GLOSSÁRIO
TERMOS E DEFINIÇÕES COMUNS
O Apêndice A fornece definições para a terminologia usada na Publicação Especial NIST 800-53. As fontes dos termos usados
nesta publicação são citadas conforme aplicável. Onde nenhuma citação for anotada, a fonte da definição é a Publicação Especial
800-53.
segurança adequada Proteções de segurança proporcionais ao risco resultante do acesso, uso, divulgação,
[OMB A-130] interrupção, modificação ou destruição não autorizados de informações.
Isso inclui garantir que as informações hospedadas em nome de uma agência
e os sistemas e aplicativos de informação usados pela agência operem de maneira
eficaz e forneçam proteções adequadas de confidencialidade, integridade e
disponibilidade por meio da aplicação de controles de segurança econômicos.
Ameaça persistente Um adversário que possui níveis sofisticados de conhecimento e recursos significativos
avançada
que lhe permitem criar oportunidades para atingir seus objetivos usando múltiplos
[SP 800-39]
vetores de ataque, incluindo
cibernético, físico e engano. Esses objetivos normalmente incluem estabelecer e
ampliar pontos de apoio na infraestrutura de TI das organizações visadas para fins de
exfiltração de informações, minando ou impedindo aspectos críticos de uma
missão, programa ou organização; ou posicionar-se para realizar esses
objetivos no futuro. A ameaça persistente avançada persegue os seus objectivos
repetidamente durante um período prolongado; adapta-se aos esforços dos
defensores para resistir; e está determinado a manter o nível de interação
necessário para executar seus objetivos.
inteligência de todas as fontes Produtos e/ou organizações e atividades de inteligência que incorporam todas as
[DODTERMOS] fontes de informação, mais frequentemente incluindo inteligência de recursos humanos,
inteligência de imagens, inteligência de medição e assinatura,
inteligência de sinais e dados de código aberto na produção de inteligência
acabada.
_________________________________________________________________________________________________
pe
E aplicativo
[SP 800-37]
avaliação
plano de avaliação
assessor
operação de atribuição
Um programa de software hospedado por um sistema de informação.
garantia Motivos para confiança justificada de que uma reivindicação [de segurança ou privacidade]
[ISO/IEC 15026, Adaptado] foi ou será alcançada.
Nota 2: A garantia é obtida por meio de técnicas e métodos que geram evidências confiáveis para fundamentar
as alegações.
auditoria Revisão e exame independentes de registros e atividades para avaliar a adequação dos
[CNSSI 4009] controles do sistema, para garantir a conformidade com as políticas e procedimentos
operacionais estabelecidos.
registro de auditoria Um registro cronológico das atividades do sistema, incluindo registros de acessos ao
[CNSSI 4009] sistema e operações realizadas em um determinado período.
registro de auditoria Uma entrada individual em um log de auditoria relacionada a um evento auditado.
redução de registros de auditoria Um processo que manipula as informações de auditoria coletadas e as organiza em
um formato de resumo que seja mais significativo para os analistas.
trilha de auditoria Um registro cronológico que reconstrói e examina a sequência de atividades que
envolvem ou levam a uma operação, procedimento ou evento específico em uma
transação relevante para a segurança, desde o início até o resultado.
_________________________________________________________________________________________________
pe
E autenticador
autenticidade
autorização
[CNSSI 4009]
Algo que o reclamante possui e controla (normalmente um módulo
criptográfico ou senha) que é usado para autenticar a identidade do
reclamante. Anteriormente, isso era conhecido como token.
autorização para operar A decisão oficial de gestão tomada por um alto funcionário ou
[OMB A-130] funcionários federais para autorizar a operação de um sistema de
informação e aceitar explicitamente o risco para as operações da
agência (incluindo missão, funções, imagem ou reputação), ativos da
agência, indivíduos, outras organizações e o Nação baseada na
implementação de um conjunto acordado de controles de segurança
e privacidade. A autorização também se aplica a controles comuns herdados
pelos sistemas de informação das agências.
_________________________________________________________________________________________________
pe
E dispositivo de proteção
de limite
violação
[OMB M-17-12]
Um dispositivo (por exemplo, gateway, roteador, firewall, guarda ou túnel
criptografado) que facilita a adjudicação de diferentes políticas de
segurança de sistema para sistemas conectados ou fornece proteção de
limites. O limite pode ser o limite de autorização para um sistema, o limite da rede
organizacional ou um limite lógico definido pela organização.
soma de verificação Um valor que (a) é calculado por uma função que depende do conteúdo
[IETF4949] de um objeto de dados e (b) é armazenado ou transmitido junto com o
objeto, para detectar alterações nos dados.
diretor de informações O alto funcionário que fornece aconselhamento e outra assistência ao chefe da
[OMB A-130] agência e outro pessoal de gestão sênior da agência para garantir que a TI seja
adquirida e os recursos de informação sejam gerenciados para a agência
de uma maneira que atinja os objetivos estratégicos da agência e a gestão dos
recursos de informação metas; e é responsável por garantir a
conformidade da agência e a implementação rápida, eficiente e eficaz das
políticas de informação e das responsabilidades de gestão dos
recursos de informação, incluindo a redução dos encargos de recolha de
informações para o público.
_________________________________________________________________________________________________
pe
E serviço de commodities
transportador comum
Um serviço de sistema fornecido por um provedor de serviços comerciais a um
conjunto grande e diversificado de consumidores. A organização que adquire ou
recebe o serviço de commodity possui visibilidade limitada da estrutura de
gerenciamento e das operações do fornecedor e, embora a organização possa
negociar acordos de nível de serviço, a organização normalmente não é capaz
de exigir que o fornecedor implemente segurança específica ou controles de
privacidade.
critérios comuns Documento regulador que fornece um método abrangente e rigoroso para
[CNSSI 4009] especificar funções de segurança e requisitos de garantia para produtos
e sistemas.
_________________________________________________________________________________________________
pe
E definições de configuração
[SP 800-128]
monitoramento contínuo
[SP 800-137]
ao controle
avaliação de controle
[SP 800-37]
O conjunto de parâmetros que podem ser alterados em hardware, software
ou firmware que afetam a postura de segurança e/ou funcionalidade do sistema.
linha de base de controle Conjuntos predefinidos de controles montados especificamente para atender às
[SP 800-53B] necessidades de proteção de grupos, organizações ou comunidades de interesse.
Consulte a linha de base do controle de privacidade ou a linha de base do controle de segurança.
Eficácia do Controle Uma medida para saber se um controle de segurança ou privacidade contribui
para a redução da segurança da informação ou do risco de privacidade.
herança de controle Uma situação em que um sistema ou aplicação recebe proteção contra controles de
segurança ou privacidade (ou partes de controles) que são desenvolvidos,
implementados, avaliados, autorizados e monitorados por entidades que
não sejam as responsáveis pelo sistema ou aplicação; entidades internas ou
externas à organização onde o sistema ou aplicativo reside. Veja controle comum.
área controlada Qualquer área ou espaço para o qual uma organização tenha confiança de que as
proteções físicas e processuais fornecidas são suficientes para atender aos requisitos
estabelecidos para proteger a informação e/ou sistema de informação.
interface controlada Uma interface para um sistema com um conjunto de mecanismos que impõe as políticas
de segurança e controla o fluxo de informações entre sistemas conectados.
_________________________________________________________________________________________________
pe
E informações não
classificadas controladas
[32 CFR 2002]
Informações que o Governo cria ou possui, ou que uma entidade cria ou possui
para ou em nome do Governo, que uma lei, regulamento ou política
governamental exige ou permite que uma agência administre usando controles
de salvaguarda ou disseminação. No entanto, o CUI não inclui informações
classificadas ou informações que uma entidade do poder não executivo possua e
mantenha nos seus próprios sistemas que não tenham vindo de, ou não
tenham sido criadas ou possuídas por ou para, uma agência do poder
executivo ou uma entidade que atue para uma agência .
falsificado Uma cópia ou substituto não autorizado que tenha sido identificado, marcado
[SP 800-161] e/ou alterado por uma fonte diferente da fonte legalmente autorizada do item e
que tenha sido deturpado como sendo um item autorizado da fonte
legalmente autorizada.
canal secreto Um canal intrasistema não intencional ou não autorizado que permite que
[CNSSI 4009] duas entidades cooperantes transfiram informações de uma forma que viola a
política de segurança do sistema, mas não excede as autorizações de acesso das
entidades.
canal de armazenamento secreto Um recurso do sistema que permite que uma entidade do sistema
[CNSSI 4009] sinalize informações para outra entidade, escrevendo direta ou indiretamente em
um local de armazenamento que é posteriormente lido direta ou indiretamente
pela segunda entidade.
canal de cronometragem secreto Um recurso do sistema que permite que uma entidade do sistema
[CNSSI 4009, Adaptado] sinalize informações para outra, modulando seu próprio uso de um recurso do
sistema de modo a afetar o tempo de resposta do sistema observado
pela segunda entidade.
credencial Um objeto ou estrutura de dados que vincula com autoridade uma identidade, por
[SP 800-63-3] meio de um identificador ou identificadores e (opcionalmente) atributos
adicionais, a pelo menos um autenticador possuído e controlado por
um assinante.
infraestrutura crítica Sistemas e activos, sejam físicos ou virtuais, tão vitais para os Estados Unidos
[EUA PATRIOTA] que a incapacidade ou destruição de tais sistemas e activos teria um impacto
debilitante na segurança, na segurança económica nacional, na saúde ou
segurança pública nacional, ou em qualquer combinação dessas questões.
solução entre domínios Uma forma de interface controlada que fornece a capacidade de acessar
[CNSSI 1253] e/ou transferir informações manual e/ou automaticamente entre
diferentes domínios de segurança.
_________________________________________________________________________________________________
pe
E módulo criptográfico
[FIPS140-3]
cíber segurança
[OMB A-130]
O conjunto de hardware, software e/ou firmware que implementa funções de
segurança Aprovadas (incluindo algoritmos criptográficos e geração de chaves) e
está contido dentro do limite criptográfico.
mídia digital Uma forma de mídia eletrônica onde os dados são armazenados em formato
digital (em vez de analógico).
_________________________________________________________________________________________________
pe
E controle de acesso
discricionário
Uma política de controle de acesso imposta a todos os sujeitos e objetos
em um sistema onde a política especifica que um sujeito ao qual foi concedido
acesso à informação pode fazer um ou mais dos seguintes: passar as
informações para outros sujeitos ou objetos; conceder seus privilégios a outros
sujeitos; alterar os atributos de segurança de assuntos, objetos,
sistemas ou componentes de sistema; escolha os atributos de segurança a
serem associados aos objetos recém-criados ou revisados; ou alterar as
regras que regem o controle de acesso. Os controles de acesso obrigatórios
restringem essa capacidade.
arquitetura corporativa Uma base de ativos de informação estratégica, que define a missão; as
[OMB A-130] informações necessárias para cumprir a missão; as tecnologias
necessárias para cumprir a missão; e os processos de transição para
a implementação de novas tecnologias em resposta às mudanças nas
necessidades da missão; e inclui uma arquitetura básica; uma arquitetura
alvo; e um plano de sequenciamento.
sistema externo (ou Um sistema ou componente de um sistema que é usado, mas não faz parte
componente) de um sistema organizacional e para o qual a organização não tem controle
direto sobre a implementação dos controles de segurança e privacidade
necessários ou a avaliação da eficácia do controle.
_________________________________________________________________________________________________
pe
E serviço de sistema externo
provedor de serviços de
sistema externo
Um serviço de sistema fornecido por um provedor de serviços externo e para o
qual a organização não tem controle direto sobre a implementação dos
controles de segurança e privacidade necessários ou a avaliação da eficácia do
controle.
informações federais Um sistema de informação usado ou operado por uma agência executiva, por um
sistema contratante de uma agência executiva ou por outra organização em
[OMB A-130] nome de uma agência executiva.
sistema de alto impacto Um sistema no qual pelo menos um objetivo de segurança (ou seja,
[FIPS200] confidencialidade, integridade ou disponibilidade) recebe um valor de
impacto potencial alto.
_________________________________________________________________________________________________
pe
E impacto
valor de impacto
[FIPS 199]
incidente
O efeito nas operações organizacionais, nos ativos organizacionais, nos indivíduos,
em outras organizações ou na Nação (incluindo os interesses de segurança
nacional dos Estados Unidos) de uma perda de confidencialidade, integridade
ou disponibilidade de informações ou de um sistema.
sistema de controle industrial Termo geral que abrange vários tipos de sistemas de controle, incluindo sistemas de
[SP 800-82] controle de supervisão e aquisição de dados (SCADA), sistemas de controle
distribuído (DCS) e outras configurações de sistemas de controle, como
controladores lógicos programáveis (CLP) encontrados nos setores industriais e
infraestruturas críticas.
Um sistema de controle industrial consiste em combinações de componentes de
controle (por exemplo, elétricos, mecânicos, hidráulicos, pneumáticos) que atuam
juntos para atingir um objetivo industrial (por exemplo, fabricação, transporte
de matéria ou energia).
controle de fluxo de informações Controles para garantir que as transferências de informações dentro de um sistema ou
organização não sejam feitas em violação à política de segurança.
proprietário da informação Oficial com autoridade estatutária ou operacional para informações específicas
[SP 800-37] e responsabilidade por estabelecer os controles para sua geração, coleta, processamento,
disseminação e descarte.
segurança da informação A proteção de informações e sistemas contra acesso, uso, divulgação, interrupção,
[OMB A-130] modificação ou destruição não autorizados, a fim de fornecer confidencialidade,
integridade e disponibilidade.
arquitetura de segurança Uma parte integrante e incorporada da arquitetura empresarial que descreve a
da informação estrutura e o comportamento dos processos de segurança empresarial, sistemas de
[OMB A-130] segurança, pessoal e subunidades organizacionais, mostrando seu
alinhamento com a missão e os planos estratégicos da empresa.
_________________________________________________________________________________________________
pe
E segurança da informação
política
[CNSSI 4009]
plano do programa de
segurança da informação
[OMB A-130]
Documento formal que fornece uma visão geral dos requisitos de segurança para um
programa de segurança da informação em toda a organização e descreve os controles
de gerenciamento do programa e os controles comuns em vigor ou planejados para
atender a esses requisitos.
administrador de informações Um funcionário da agência com autoridade estatutária ou operacional para informações
[SP 800-37] específicas e responsabilidade por estabelecer os controles para sua geração, coleta,
processamento, disseminação e descarte.
usar.
_________________________________________________________________________________________________
pe
E tipo de informação
[FIPS 199]
interno
[CNSSI 4009, Adaptado]
ameaça interna
[CNSSI 4009, Adaptado]
Uma categoria específica de informações (por exemplo, privacidade,
médica, proprietária, financeira, investigativa, sensível ao contratante, gerenciamento
de segurança) definida por uma organização ou, em alguns casos, por uma lei
específica, Ordem Executiva, diretiva, política ou regulamento.
programa de ameaças internas Uma coleção coordenada de capacidades autorizadas pela organização
[CNSSI 4009, Adaptado] e usadas para impedir, detectar e mitigar a divulgação não autorizada
de informações.
Ultimo privilégio O princípio de que uma arquitetura de segurança é projetada para que cada
[CNSSI 4009] entidade receba os recursos mínimos de sistema e as autorizações
de que a entidade necessita para desempenhar sua função.
acesso local Acesso a um sistema organizacional por um usuário (ou processo agindo em
nome de um usuário) comunicando-se através de uma conexão direta
sem o uso de uma rede.
_________________________________________________________________________________________________
pe
E sistema de controle de
acesso lógico
Código malicioso Software ou firmware destinado a executar um processo não autorizado que
terá impactos adversos na confidencialidade, integridade ou disponibilidade de
um sistema. Um vírus, worm, cavalo de Tróia ou outra entidade baseada em código
que infecta um host. Spyware e algumas formas de adware também são
exemplos de código malicioso.
interface gerenciada Uma interface dentro de um sistema que fornece recursos de proteção de limites
usando mecanismos ou dispositivos automatizados.
controle de acesso obrigatório Uma política de controle de acesso que é aplicada uniformemente em todos os
assuntos e objetos dentro de um sistema. Um sujeito ao qual foi concedido
acesso à informação está impedido de: transmitir a informação a sujeitos ou
objetos não autorizados; conceder seus privilégios a outros sujeitos; alterar um
ou mais atributos de segurança em assuntos, objetos, sistema ou componentes
de sistema; escolher os atributos de segurança a serem associados
aos objetos recém-criados ou modificados; ou alterar as regras para reger o
controle de acesso. Os assuntos definidos pela organização podem receber
explicitamente privilégios definidos pela organização (isto é, são assuntos
confiáveis), de modo que não sejam limitados por algumas ou todas as restrições
acima. O controle de acesso obrigatório é considerado um tipo de controle de
acesso não discricionário.
acordo de correspondência Um acordo por escrito entre uma agência receptora e uma agência fonte (ou uma
[OMB A-108] agência não federal) que é exigido pela Lei de Privacidade para as partes envolvidas
em um programa de correspondência.
meios de comunicação
Dispositivos físicos ou superfícies de escrita, incluindo fitas magnéticas, discos
[FIPS200] ópticos, discos magnéticos, chips de memória de integração em larga escala e
impressões (mas excluindo mídia de exibição) nos quais as informações são
gravadas, armazenadas ou impressas dentro de um sistema.
_________________________________________________________________________________________________
pe
E código móvel Programas de software ou partes de programas obtidos de sistemas remotos,
transmitidos através de uma rede e executados em um sistema local sem
instalação ou execução explícita pelo destinatário.
dispositivo móvel
produção e uso de código móvel.
sistema de impacto moderado Um sistema no qual pelo menos um objetivo de segurança (ou
[FIPS200] seja, confidencialidade, integridade ou disponibilidade) recebe um valor
de impacto potencial moderado e nenhum objetivo de segurança recebe
um valor de impacto potencial alto.
[SP 800-63-3] A autenticação multifator pode ser realizada usando um único autenticador
que fornece mais de um fator ou por uma combinação de autenticadores
que fornecem diferentes fatores.
Os três fatores de autenticação são algo que você conhece, algo que
você tem e algo que você é. Consulte autenticador.
vários níveis de segurança Capacidade de um sistema confiável para conter e manter a separação entre
[CNSSI 4009] recursos (particularmente dados armazenados) de diferentes domínios de
segurança.
_________________________________________________________________________________________________
pe
E sistema de segurança nacional
[OMB A-130]
Qualquer sistema (incluindo qualquer sistema de telecomunicações) utilizado
ou operado por uma agência ou por um contratante de uma agência, ou outra
organização em nome de uma agência — (i) cuja função, operação ou utilização
envolva atividades de inteligência; envolve atividades criptológicas
relacionadas à segurança nacional; envolve comando e controle de
forças militares; envolve equipamento que é parte integrante de uma arma ou
sistema de armas; ou é fundamental para o cumprimento direto de missões
militares ou de inteligência (excluindo um sistema que será usado para
aplicações administrativas e comerciais de rotina, por exemplo, aplicações de
folha de pagamento, finanças, logística e gestão de pessoal); ou (ii) esteja sempre
protegido por procedimentos estabelecidos para que informações que tenham
sido especificamente autorizadas sob critérios estabelecidos por uma Ordem
Executiva ou por uma Lei do Congresso sejam mantidas confidenciais no
interesse da defesa nacional ou da política externa.
acesso à rede Acesso a um sistema por um usuário (ou um processo agindo em nome de
um usuário) comunicando-se através de uma rede, incluindo uma rede local,
uma rede de área ampla e a Internet.
agora Um valor usado em protocolos de segurança que nunca é repetido com a mesma
[SP 800-63-3] chave. Por exemplo, nonces usados como desafios em protocolos de
autenticação de resposta a desafio não são repetidos até que as chaves de
autenticação sejam alteradas. Caso contrário, existe a possibilidade de um ataque
de repetição.
usuário não organizacional Um usuário que não é um usuário organizacional (incluindo usuários públicos).
não repúdio Proteção contra um indivíduo que nega falsamente ter realizado uma
determinada ação e fornece a capacidade de determinar se um
indivíduo executou uma determinada ação, como criar informações, enviar
uma mensagem, aprovar informações ou receber uma mensagem.
_________________________________________________________________________________________________
pe
E objeto
Operações de Segurança
[CNSSI 4009]
Entidade passiva relacionada ao sistema, incluindo dispositivos, arquivos,
registros, tabelas, processos, programas e domínios que contêm ou recebem
informações. O acesso a um objeto (por um sujeito) implica acesso à informação
que ele contém. Veja assunto.
teste de penetração Uma metodologia de teste na qual os avaliadores, normalmente trabalhando sob
restrições específicas, tentam contornar ou anular os recursos de segurança de um
sistema.
_________________________________________________________________________________________________
pe
E processamento de períodos
informação pessoalmente
identificável
[OMB A-130]
processamento de
Um modo de operação do sistema no qual informações de diferentes
sensibilidades são processadas em momentos distintos pelo mesmo sistema, sendo
o sistema devidamente purgado ou higienizado entre os períodos.
plano de ação e Um documento que identifica tarefas que precisam ser realizadas.
conquistas Ele detalha os recursos necessários para cumprir os elementos do plano, os
marcos para cumprir as tarefas e as datas programadas de conclusão dos
marcos.
dispositivo de armazenamento portátil Um componente do sistema que pode se comunicar e ser adicionado ou removido
de um sistema ou rede e que é limitado ao armazenamento de dados - incluindo
dados de texto, vídeo, áudio ou imagem - como sua função principal (por exemplo,
discos ópticos, discos rígidos externos ou removíveis). unidades de estado sólido
externas ou removíveis, fitas magnéticas ou ópticas, dispositivos de memória flash,
cartões de memória flash e outros discos externos ou removíveis).
arquitetura de privacidade Uma parte integrante e incorporada da arquitetura empresarial que descreve a
[SP 800-37] estrutura e o comportamento dos processos de proteção de privacidade, medidas
técnicas, pessoal e subunidades organizacionais de uma empresa,
mostrando seu alinhamento com a missão e os planos estratégicos da
empresa.
_________________________________________________________________________________________________
pe
E controle de privacidade
[OMB A-130]
domínio de privacidade
avaliação de impacto
As salvaguardas administrativas, técnicas e físicas empregadas em uma agência para garantir a
processo.
Uma análise de como as informações são tratadas para garantir que o tratamento esteja em
na privacidade conformidade com os requisitos legais, regulatórios e políticos aplicáveis em relação à privacidade;
[OMB A-130] determinar os riscos e efeitos da criação, coleta, uso, processamento, armazenamento,
lidar com informações para mitigar possíveis preocupações com a privacidade. Uma
avaliação de impacto na privacidade é tanto uma análise como um documento formal que detalha
plano de privacidade Um documento formal que detalha os controles de privacidade selecionados para um sistema de
[OMB A-130] informação ou ambiente de operação que estão em vigor ou planejados para atender aos
controles foram implementados e descreve as metodologias e métricas que serão usado para
avaliar os controles.
plano de programa de privacidade Um documento formal que fornece uma visão geral do programa de privacidade de uma
[OMB A-130] agência, incluindo uma descrição da estrutura do programa de privacidade, os recursos
comando privilegiado Um comando iniciado por humanos e executado em um sistema que envolve
usuário privilegiado Um usuário autorizado (e, portanto, confiável) para executar funções relevantes para a
[CNSSI 4009] segurança que usuários comuns não estão autorizados a executar.
_________________________________________________________________________________________________
pe
E sistema de distribuição
protegido
[CNSSI 4009]
proveniência
Sistema de cabo ou fibra óptica que inclui proteções e/ou contramedidas
adequadas (por exemplo, acústicas, elétricas,
eletromagnéticas e físicas) para permitir seu uso para a transmissão
de informações não criptografadas através de uma área de menor
classificação ou controle.
exercício da equipe vermelha Um exercício que reflete as condições do mundo real e é conduzido como uma
tentativa simulada de adversário para comprometer missões organizacionais
ou processos de negócios e fornecer uma avaliação abrangente das
capacidades de segurança de uma organização e de seus sistemas.
_________________________________________________________________________________________________
pe
E regrader
[CNSSI 4009]
acesso remoto
manutenção remota
Um processo confiável explicitamente autorizado a reclassificar e renomear dados
de acordo com uma exceção de política definida. Processos não confiáveis ou não
autorizados são ações da política de segurança.
dados restritos Todos os dados relativos a (i) projeto, fabricação ou utilização de armas
[ATOM54] atômicas; (ii) a produção de materiais nucleares especiais; ou (iii) o uso de
materiais nucleares especiais na produção de energia, mas não incluirá dados
desclassificados ou removidos da categoria de Dados Restritos de acordo com a
Seção 142 [da Lei de Energia Atômica de 1954].
risco Uma medida da medida em que uma entidade está ameaçada por uma
[OMB A-130] circunstância ou evento potencial, e normalmente é uma função de: (i) o impacto
adverso, ou magnitude do dano, que surgiria se a circunstância ou evento
ocorresse; e (ii) a probabilidade de
ocorrência.
_________________________________________________________________________________________________
pe
E executivo de risco (função)
[SP 800-37]
Um indivíduo ou grupo dentro de uma organização que ajuda a garantir que as
considerações relacionadas ao risco de segurança para sistemas individuais,
incluindo as decisões de autorização para esses sistemas, sejam vistas de
uma perspectiva de toda a organização no que diz respeito às metas e objetivos
estratégicos gerais da organização no desempenho da sua missão e funções
empresariais; e o gerenciamento de riscos de sistemas individuais é consistente em
toda a organização, reflete a tolerância ao risco organizacional e é considerado
juntamente com outros riscos organizacionais que afetam a missão ou o sucesso do
negócio.
gerenciamento de riscos O programa e os processos de apoio para gerir o risco para as operações da agência
[OMB A-130] (incluindo missão, funções, imagem, reputação), activos da agência, indivíduos,
outras organizações e a Nação, e inclui: estabelecer o contexto para actividades
relacionadas com o risco; avaliação de risco; responder ao risco uma vez determinado;
e monitorar o risco ao longo do tempo.
resposta ao risco Aceitar, evitar, mitigar, compartilhar ou transferir riscos para operações de agências,
[OMB A-130] ativos de agências, indivíduos, outras organizações ou para a Nação.
tolerância de risco O nível de risco ou o grau de incerteza que é aceitável para uma organização.
[SP 800-39]
controle de acesso baseado em funções Controle de acesso baseado em funções de usuário (ou seja, uma coleção de acesso
autorizações que um usuário recebe com base em uma suposição explícita ou
implícita de uma determinada função). As permissões de função podem ser herdadas
por meio de uma hierarquia de funções e normalmente refletem as permissões
necessárias para executar funções definidas dentro de uma organização. Uma
determinada função pode ser aplicada a um único indivíduo ou a vários indivíduos.
higienização Um processo para tornar inviável o acesso a dados alvo na mídia para um determinado
[SP 800-88] nível de esforço. Limpar, limpar e destruir são ações que podem ser tomadas para
higienizar a mídia.
considerações de escopo Uma parte da orientação de adaptação que fornece às organizações considerações
específicas sobre a aplicabilidade e implementação de controles de segurança e
privacidade nas linhas de base de controle.
As considerações incluem políticas ou regulatórias, tecnologia, infraestrutura física,
alocação de componentes do sistema, acesso público, escalabilidade, controle
comum, operacional ou ambiental e objetivo de segurança.
_________________________________________________________________________________________________
pe
E segurança
[CNSSI 4009]
atributo de segurança
Condição que resulta do estabelecimento e manutenção de medidas de
proteção que permitem a uma organização desempenhar a sua missão ou funções críticas,
apesar dos riscos colocados pelas ameaças à sua utilização de sistemas. As medidas de
proteção podem envolver uma combinação de dissuasão, prevenção, prevenção,
detecção, recuperação e correção que devem fazer parte da abordagem de gestão de
riscos da organização.
linha de base de controle de segurança O conjunto de controles mínimos de segurança definidos para um sistema de informação
[OMB A-130] de baixo impacto, moderado ou alto impacto.
domínio de segurança Um domínio que implementa uma política de segurança e é administrado por uma única
[CNSSI 4009] autoridade.
funções de segurança O hardware, software ou firmware do sistema responsável por aplicar a política de
segurança do sistema e apoiar o isolamento de código e dados nos quais a
proteção se baseia.
análise de impacto de segurança A análise conduzida por pessoal qualificado dentro de uma organização para determinar
[SP 800-128] até que ponto as alterações no sistema afetam a postura de segurança do sistema.
_________________________________________________________________________________________________
pe
E núcleo de segurança
[CNSSI 4009]
etiqueta de segurança
marcação de segurança
Elementos de hardware, firmware e software de uma base de computação confiável
O kernel de segurança deve mediar todos os acessos, ser protegido contra modificações e
ser verificável como correto.
[SP 800-160-1 adaptado] Um conjunto de regras que rege todos os aspectos do sistema relevante para a segurança e do
filtro de política de segurança Um componente de hardware e/ou software que executa uma ou mais das seguintes funções:
conteúdo para analisar o conteúdo enviado e verificar se está de acordo com uma política
_________________________________________________________________________________________________
pe
E requisito de segurança
[FIPS 200, Adaptado]
Um requisito imposto a um sistema de informação ou a uma organização
derivado de leis, ordens executivas, diretivas, regulamentos, políticas, padrões,
procedimentos ou necessidades de missão/negócio aplicáveis para garantir a
confidencialidade, integridade e disponibilidade das informações que estão
sendo processadas. , armazenado ou transmitido.
Nota: Os requisitos de segurança podem ser usados em vários contextos, desde atividades
de alto nível relacionadas a políticas até atividades de baixo nível relacionadas à implementação
em desenvolvimento de sistemas e disciplinas de engenharia.
serviço de segurança Uma capacidade ou função de segurança fornecida por uma entidade que suporta
[SP 800-160-1] um ou mais objetivos de segurança.
informações relevantes Informações contidas no sistema que possam impactar potencialmente a operação das
para a segurança funções de segurança ou a prestação de serviços de segurança de uma maneira
que possa resultar na falha na aplicação do
operação de seleção Um parâmetro de controle que permite que uma organização selecione um valor de uma lista
de valores predefinidos fornecidos como parte do controle ou aprimoramento de controle (por
exemplo, selecionando restringir uma ação ou proibir uma ação).
oficial sênior de Oficial responsável por desempenhar as responsabilidades do Diretor de Informações sob a
segurança da informação FISMA e servir como principal contato do Diretor de Informações com os
da agência gestores orçamentários da agência, proprietários de sistemas de informação e oficiais de
segurança de sistemas de informações.
Nota: As organizações subordinadas a agências federais podem usar o termo oficial sênior de
segurança da informação ou diretor de segurança da informação para denotar indivíduos
que ocupam cargos com responsabilidades semelhantes às dos oficiais seniores de
segurança da informação da agência.
funcionário sênior da agência Funcionário sênior, designado pelo chefe de cada agência, que tem responsabilidade pela
para privacidade privacidade em toda a agência, incluindo a implementação de proteções de privacidade;
[OMB A-130] conformidade com leis, regulamentos e políticas federais relacionadas à
privacidade; gestão de riscos de privacidade na agência; e um papel central na
formulação de políticas no desenvolvimento e avaliação de propostas legislativas,
regulatórias e outras propostas políticas pela agência.
_________________________________________________________________________________________________
pe
E orientado a serviço
arquitetura
controle compartilhado
Programas
Um conjunto de princípios e metodologias para projetar e desenvolver software
na forma de serviços interoperáveis. Esses serviços são funções de negócios bem definidas
que são construídas como componentes de software (isto é, partes discretas de
código e/ou estruturas de dados) que podem ser reutilizadas para diferentes propósitos.
programa de acesso especial Um programa estabelecido para uma classe específica de informação
[CNSSI 4009] classificada que impõe requisitos de salvaguarda e acesso que excedem aqueles
normalmente exigidos para informações do mesmo nível de classificação.
tunelamento dividido O processo de permitir que um usuário ou dispositivo remoto estabeleça uma conexão
não remota com um sistema e simultaneamente comunique-se através de alguma
outra conexão com um recurso em um
rede externa. Este método de acesso à rede permite que um usuário
assunto Um indivíduo, processo ou dispositivo que faz com que informações fluam entre objetos
ou alterem o estado do sistema. Veja também objeto.
fornecedor Organização ou pessoa física que celebra contrato com o adquirente ou integrador
para fornecimento de produto ou serviço.
Isto inclui todos os fornecedores da cadeia de abastecimento, desenvolvedores ou
fabricantes de sistemas, componentes de sistemas ou serviços de sistemas;
integradores de sistemas; vendedores; revendedores de produtos; e parceiros terceiros.
cadeia de mantimentos Conjunto vinculado de recursos e processos entre vários níveis de organizações,
cada um dos quais é um adquirente, que começa com o fornecimento de produtos e
serviços e se estende ao longo de seu ciclo de vida.
_________________________________________________________________________________________________
pe
E elemento da cadeia de suprimentos
[ISO 15288] Combinação de elementos interativos organizados para atingir um ou mais propósitos
declarados.
sistema de registros Um grupo de quaisquer registros sob o controle de qualquer agência da qual as
[USC 552] informações são recuperadas pelo nome do indivíduo ou por algum número de
identificação, símbolo ou outra identificação específica atribuída ao indivíduo.
notificação do sistema de registros O(s) aviso(s) publicado(s) por uma agência no Registro Federal mediante o
[OMB A-108] estabelecimento e/ou modificação de um sistema de registros descrevendo a
existência e o caráter do sistema.
_________________________________________________________________________________________________
pe
E proprietário do sistema
(ou gerente do programa)
sistema
oficial de segurança
[SP 800-37]
serviço do sistema
Oficial responsável pela aquisição geral, desenvolvimento, integração, modificação, operação
e manutenção de um sistema.
programa.
transmissão de informações.
risco de segurança relacionado ao Risco que surge através da perda de confidencialidade, integridade ou disponibilidade de
sistema informações ou sistemas e que considera impactos para a organização (incluindo ativos, missão,
[SP 800-30] funções, imagem ou reputação), indivíduos, outras organizações e a Nação.
Veja risco.
controle específico do sistema Um controle de segurança ou privacidade para um sistema de informação que é
[OMB A-130] implementado no nível do sistema e não é herdado por nenhum outro sistema de
informação.
Engenharia de sistemas Uma disciplina de engenharia cuja responsabilidade é criar e executar um processo
[SP 800-160-1] interdisciplinar para garantir que as necessidades do cliente e de todas as outras
segurança de sistemas sistemas. Aplica princípios científicos, de engenharia e de garantia de informações para
[SP 800-160-1] fornecer sistemas confiáveis que satisfaçam os requisitos das partes interessadas dentro da
linha de base de controle sob medida Um conjunto de controles que resulta da aplicação de adaptação
alfaiataria O processo pelo qual as linhas de base do controle de segurança são modificadas: identificando
compensatórios,
controle.
adulteração Um ato intencional, mas não autorizado, que resulta na modificação de um sistema, de
[CNSSI 4009] componentes de sistemas, de seu comportamento pretendido ou de dados.
_________________________________________________________________________________________________
pe
E ameaça
[SP 800-30]
avaliação de ameaça
[CNSSI 4009]
modelagem de ameaças
[SP 800-154]
Qualquer circunstância ou evento com potencial para impactar
negativamente as operações organizacionais, os ativos organizacionais,
os indivíduos, outras organizações ou a Nação através de um sistema através
de acesso não autorizado, destruição, divulgação, modificação de informações e/
ou negação de serviço.
Uma forma de avaliação de risco que modela aspectos dos lados de ataque e
defesa de uma entidade lógica, como um dado, um aplicativo, um host,
um sistema ou um ambiente.
confiabilidade O atributo de uma pessoa ou empresa que proporciona confiança a outros sobre
[CNSSI 4009] as qualificações, capacidades e confiabilidade dessa entidade para executar
tarefas específicas e cumprir as responsabilidades atribuídas.
confiabilidade
O grau em que se pode esperar que um sistema de informação (incluindo
(sistema)
os componentes de tecnologia da informação usados para construir o sistema)
preserve a confidencialidade, integridade e disponibilidade da
informação que está sendo processada, armazenada ou transmitida pelo
sistema em toda a gama de ameaças. Acredita-se que um sistema de
informação confiável opera dentro de níveis definidos de risco, apesar das
perturbações ambientais, erros humanos, falhas estruturais e
ataques intencionais que se espera que ocorram no seu ambiente de
operação.
do utilizador
Processo individual ou (de sistema) que atua em nome de um indivíduo,
autorizado a acessar um sistema.
rede privada virtual Link protegido do sistema de informações utilizando tunelamento, controles
[CNSSI 4009] de segurança e tradução de endereços de endpoint, dando a impressão de uma
linha dedicada.
_________________________________________________________________________________________________
pe
E vulnerabilidade
[SP 800-30]
análise de vulnerabilidade
avaliação de vulnerabilidade
[CNSSI 4009]
Fraqueza num sistema de informação, procedimentos de segurança do sistema,
controlos internos ou implementação que pode ser explorada ou desencadeada
por uma fonte de ameaça.
_________________________________________________________________________________________________
pe
E APÊNDICE B
ACRÔNIMOS
ABREVIATURAS COMUNS
ABAC
API
APTO
Controle de acesso baseado em atributos
CD Disco Compacto
Departamento de Defesa
Departamento de Defesa
_________________________________________________________________________________________________
pe
E DVD-R
PAE
PEM
EMSEC
FASC
FCCA
FCC
Disco digital versátil gravável
Pulso eletromagnetico
Segurança de Emissões
E/S Entrada/Saída
PI protocolo de internet
ISTO
Tecnologia da Informação
_________________________________________________________________________________________________
pe
E NARA
OTAN
NDA
PNIAP
LEGAL
NIST
Administração Nacional de Arquivos e Registros
COMPARAÇÃO
Verificação de identidade pessoal
DR Dados restritos
_________________________________________________________________________________________________
pe
E Nós somos
SMTP
SOC
SP
ESTÁGIO
SWID
TCP
Especialista no assunto
Publicação Especial
Identificação de Software
_________________________________________________________________________________________________
pe
E APÊNDICE C
RESUMOS DE CONTROLE
DESIGNAÇÕES DE IMPLEMENTAÇÃO, RETIRADA E GARANTIA
As Tabelas C-1 a C-20 fornecem um resumo dos controles de segurança e privacidade e melhorias de controle
no Capítulo Três. Cada tabela se concentra em uma família de controle diferente.
• Um controle ou aprimoramento de controle que normalmente é implementado por uma organização (ou seja, por
um indivíduo através de meios não técnicos) é indicado por um “O” no termo implementado por
coluna.35
• Um controle ou aprimoramento de controle que pode ser implementado por uma organização, um sistema ou
uma combinação dos dois é indicada por um “O/S”.
Cada controle e aprimoramento de controle nas Tabelas C-1 a C-20 tem um hiperlink para o texto desse controle e
aprimoramento de controle no Capítulo Três.
As famílias de controles contêm controles básicos e aprimoramentos de controle, que estão diretamente relacionados
aos seus controles básicos. Os aprimoramentos de controle adicionam funcionalidade ou especificidade a um
controle básico ou aumentam a força de um controle básico. Em ambos os casos, melhorias de controle são utilizadas
em sistemas e ambientes de operação que requerem maior proteção do que a fornecida pelo controle base. Esta
maior proteção é necessária devido aos potenciais impactos adversos organizacionais ou individuais ou quando as
organizações exigem adições à funcionalidade de controle de base ou garantia com base em avaliações
organizacionais de risco. O uso de melhorias de controle sempre
requer o uso do controle base.
As famílias são organizadas em ordem alfabética, enquanto os controles e aprimoramentos de controle dentro de
cada família são organizados em ordem numérica. A ordem alfabética ou numérica das famílias, controles e
melhorias de controle não implica qualquer tipo de priorização, nível de
importância ou ordem em que os controles ou melhorias de controle serão implementados.
35 A indicação de que um determinado controle ou aprimoramento de controle é implementado por um sistema ou por uma
organização nas Tabelas C-1 a C-20 é fictícia. As organizações têm a flexibilidade para implementar seus controles selecionados e
melhorias de controle da maneira mais econômica e eficiente, ao mesmo tempo em que cumprem a intenção dos controles ou
melhorias de controle. Em certas situações, um controle ou aprimoramento de controle pode ser implementado pelo sistema,
pela organização ou por uma combinação das duas entidades.
36 A garantia é um aspecto crítico na determinação da confiabilidade dos sistemas. Segurança é a medida da confiança
que as funções, recursos, práticas, políticas, procedimentos, mecanismos e arquitetura de segurança e privacidade dos
sistemas organizacionais medeiam e aplicam com precisão as políticas de segurança e privacidade estabelecidas.
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-1
AC-2
AC-2(1)
AC-2(2)
Política e Procedimentos
Gerenciamento de contas
TABELA C-1: FAMÍLIA DE CONTROLE DE ACESSO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
S
GARANTIA
AC-4(6) METADADOS S
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-4(11)
AC-4(12)
AC-4(13)
AC-4(14)
AC-4(15)
IDENTIFICADORES DE TIPO DE DADOS
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
S
GARANTIA
FUNÇÕES
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-9(2)
AC-9(3)
AC-9(4)
AC-10
AC-11
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
Bloqueio de dispositivo
IMPLEMENTADO
POR
S
GARANTIA
Autenticação
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-19
AC-19(1)
AC-19(2)
AC-19(3)
AC-19(4)
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
W: Incorporado ao MP-7.
W: Incorporado ao MP-7.
W: Incorporado ao MP-7.
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
EM 1
AT-2
AT-2(1)
AT-2(2)
Política e Procedimentos
TABELA C-2: CONSCIENTIZAÇÃO E FORMAÇÃO DA FAMÍLIA
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
EXERCÍCIOS PRÁTICOS
AMEAÇA INTERNA
IMPLEMENTADO
POR
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AU-1
AU-2
AU-2(1)
AU-2(2)
Política e Procedimentos
Registro de eventos
TABELA C-3: FAMÍLIA DE AUDITORIA E RESPONSABILIDADE
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
W: Incorporado no AU-12.
W: Incorporado no AU-12.
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AU-9(7)
AU-10
AU-10(1)
AU-10(2)
AU-10(3)
Não repúdio
ASSOCIAÇÃO DE IDENTIDADES
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
CADEIA DE CUSTÓDIA
IMPLEMENTADO
POR
EIXO
GARANTIA
AU-16(3) DESASSOCIABILIDADE O
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CA-1
CA-2
CA-2(1)
CA-2(2)
TABELA C-4: AVALIAÇÃO, AUTORIZAÇÃO E MONITORAMENTO FAMÍLIA
Política e Procedimentos
Avaliações de controle
AVALIADORES INDEPENDENTES
AVALIAÇÕES ESPECIALIZADAS
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
CA-3(1) CONEXÕES NÃO CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL W: Mudou-se para SC-7(25).
CA-3(3) CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS W: Mudou-se para SC-7(27).
CA-6 Autorização O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CM-1
CM-2
CM-2(1)
CM-2(2)
Política e Procedimentos
TABELA C-5: FAMÍLIA DE GERENCIAMENTO DE CONFIGURAÇÃO
W: Incorporado no CM-2.
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CM-7(7)
CM-7(8)
CM-7(9)
CM-8
CM-8(1)
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
EIXO
EIXO
EIXO
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CP-1
CP-2
CP-2(1)
CP-2(2)
Política e Procedimentos
Plano de contingência
TABELA C-6: FAMÍLIA DE PLANEJAMENTO DE CONTINGÊNCIA
PLANEJAMENTO DE CAPACIDADE
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
CP-6(3) ACESSIBILIDADE O
CP-7(2) ACESSIBILIDADE O
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CP-9(5)
CP-9(6)
CP-9(7)
CP-9(8)
CP-10
SISTEMA SECUNDÁRIO REDUNDANTE
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
PROTEÇÃO CRIPTOGRÁFICA
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IA-1
IA-2
IA-2(1)
IA-2(2)
TABELA C-7: FAMÍLIA DE IDENTIFICAÇÃO E AUTENTICAÇÃO
Política e Procedimentos
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
EIXO
S
GARANTIA
IA-2(7) ACESSO À REDE PARA CONTAS NÃO PRIVILEGIADAS — DISPOSITIVO SEPARADO W: Incorporado em IA-2(6).
IA-2(9) ACESSO À REDE A CONTAS NÃO PRIVILEGIADAS — RESISTENTE A REPLAY W: Incorporado em IA-2(8).
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IA-5(12)
IA-5(13)
IA-5(14)
IA-5(15)
IA-5(16)
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
O
GARANTIA
Usuários)
IA-8(6) DESASSOCIABILIDADE O
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IR-1
IR-2
IR-2(1)
IR-2(2)
Política e Procedimentos
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
O
GARANTIA
IR-2(3) VIOLAÇÃO O ÿ
AMEAÇAS INTERNAS O
IR-4(6)
AMEAÇAS INTERNAS — COORDENAÇÃO INTRA-ORGANIZAÇÃO O
IR-4(7)
CORRELAÇÃO COM ORGANIZAÇÕES EXTERNAS O
IR-4(8)
CAPACIDADE DE RESPOSTA DINÂMICA O
IR-4(9)
COORDENAÇÃO DA CADEIA DE FORNECIMENTO O
IR-4(10)
EQUIPE INTEGRADA DE RESPOSTA A INCIDENTES O
IR-4(11)
CÓDIGO MALICIOSO E ANÁLISE FORENSE O
IR-4(12)
ANÁLISE DE COMPORTAMENTO O
IR-4(13)
CENTRO DE OPERAÇÕES DE SEGURANÇA
IR-4(14) EIXO
RELATÓRIOS AUTOMATIZADOS O
IR-6(1)
VULNERABILIDADES RELACIONADAS A INCIDENTES O
IR-6(2)
COORDENAÇÃO DA CADEIA DE FORNECIMENTO O
IR-6(3)
IR-7 Assistência de resposta a incidentes O
VIOLAÇÕES O
IR-8(1)
IR-9 Resposta a derramamento de informações O
TREINAMENTO O
IR-9(2)
OPERAÇÕES PÓS-DERRAMAMENTO O
IR-9(3)
EXPOSIÇÃO A PESSOAL NÃO AUTORIZADO O
IR-9(4)
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IR-10
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
MA-1
MA-2
MA-2(1)
MA-2(2)
Política e Procedimentos
Manutenção Controlada
GRAVAR CONTEÚDO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
W: Incorporado no MA-2.
O
GARANTIA
INSPECIONAR FERRAMENTAS O
MA-3(1)
INSPECIONAR MÍDIA O
MA-3(2)
EVITE A REMOÇÃO NÃO AUTORIZADA O
MA-3(3)
USO RESTRITO DA FERRAMENTA
MA-3(4) EIXO
REGISTRO E REVISÃO O
MA-4(1)
VERIFICAÇÃO DE DESCONEXÃO S
MA-4(7)
MA-5 Pessoal da manutenção O
MANUTENÇÃO PREVENTIVA O
MA-6(1)
MANUTENÇÃO PREDITIVA O
MA-6(2)
SUPORTE AUTOMATIZADO PARA MANUTENÇÃO PREDITIVA O
MA-6(3)
MA-7 Manutenção de campo O
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
MP-1
MP-2
MP-2(1)
MP-2(2)
Política e Procedimentos
Acesso à mídia
PROTEÇÃO CRIPTOGRÁFICA
TABELA C-10: FAMÍLIA DE PROTEÇÃO DE MÍDIA
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
W: Incorporado ao MP-4(2).
W: Incorporado em SC-28(1).
GARANTIA
MP-5(3) CUSTODIANTES O
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
EM 1
Em-2
PE-2(1)
PE-2(2)
TABELA C-11: FAMÍLIA DE PROTEÇÃO FÍSICA E AMBIENTAL
Política e Procedimentos
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PE-13(3)
PE-13(4)
PE-14
PE-14(1)
PE-14(2)
INSPEÇÕES
Controles Ambientais
CONTROLES AUTOMÁTICOS
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
W: Incorporado ao PE-13(2).
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PL-1
PL-2
PL-2(1)
PL-2(2)
Política e Procedimentos
TABELA C-12: PLANEJAMENTO FAMÍLIA
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
CONCEITO DE OPERAÇÕES
ARQUITETURA FUNCIONAL
IMPLEMENTADO
POR
W: Incorporado ao PL-7.
W: Incorporado ao PL-8.
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PM-1
PM-2
PM-3
PM-4
TABELA C-13: FAMÍLIA DE GESTÃO DE PROGRAMAS
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
O
GARANTIA
PM-7(1) DESCARREGANDO O
PM-32 Propósito O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PS-1
PS-2
PS-3
PS-3(1)
Política e Procedimentos
Triagem de Pessoal
INFORMAÇÃO CLASSIFICADA
TABELA C-14: FAMÍLIA DE SEGURANÇA DE PESSOAL
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
_________________________________________________________________________________________________
pe
E NÚMERO
PT-1
PT-2
PT-2(1)
PT-2(2)
TABELA C-15: PROCESSAMENTO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS E TRANSPARÊNCIA FAMÍLIA
AO CONTROLE
Política e Procedimentos
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
AUTOMAÇÃO
IMPLEMENTADO
POR
O
GARANTIA
PT-3(2) AUTOMAÇÃO O ÿ
PT-4 Consentimento O
O
PT-4(1) CONSENTIMENTO PERSONALIZADO
CONSENTIMENTO JUST-IN-TIME O
PT-4(2)
PT-4(3) REVOGAÇÃO O
USOS DE ROTINA O
PT-6(1)
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
DIA 1
DIA 2
RA-2(1)
DIA 3
Política e Procedimentos
Categorização de segurança
PRIORIZAÇÃO A NÍVEL DE IMPACTO
Avaliação de risco
TABELA C-16: FAMÍLIA DE AVALIAÇÃO DE RISCO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
_________________________________________________________________________________________________
pe
E 2
3
AO CONTROLE
Em 1
NÚMERO
SA-3(1)
Alocação de recursos
TABELA C-17: FAMÍLIA DE AQUISIÇÃO DE SISTEMAS E SERVIÇOS
Política e Procedimentos
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
O
GARANTIA
4 Processo de Aquisição O ÿ
5 Documentação do sistema O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-8(15)
SA-8(16)
SA-8(17)
SA-8(18)
SA-8(19)
PERMISSÃO PREDICADA
CONFIANÇA AUTOSSUFICIENTE
PROTEÇÃO CONTÍNUA
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
IMPLEMENTADO
POR
EIXO
EIXO
EIXO
EIXO
EIXO
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-11(7)
SA-11(8)
SA-11(9)
12
SA-12(1)
ANÁLISE DINÂMICA DE CÓDIGO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-17(6)
SA-17(7)
SA-17(8)
SA-17(9)
18
ESTRUTURA PARA TESTE
ORQUESTRAÇÃO
DIVERSIDADE DE DESIGN
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
SA-18(1) MÚLTIPLAS FASES DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA W: Movido para SR-9(1).
SA-19(2) CONTROLE DE CONFIGURAÇÃO PARA SERVIÇO E REPARO DE COMPONENTES W: Movido para SR-11(2).
21 Triagem do desenvolvedor O ÿ
SA-23 Especialização O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-1
SC-2
SC-2(1)
SC-2(2)
TABELA C-18: FAMÍLIA DE PROTEÇÃO DE SISTEMA E COMUNICAÇÕES
Política e Procedimentos
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
DESASSOCIABILIDADE
IMPLEMENTADO
POR
S
GARANTIA
COMPONENTES
ANFITRIÕES
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-7(22)
SC-7(23)
SC-7(24)
SC-7(25)
SC-7(26)
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
EIXO
O
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-18(2)
SC-18(3)
SC-18(4)
SC-18(5)
SC-19
EVITAR DOWNLOAD E EXECUÇÃO
S
GARANTIA
(Fonte autorizada)
SC-26 Iscas S
SC-29 Heterogeneidade O ÿ
SC-30(2) ALEATORIEDADE O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-33
SC-34
SC-34(1)
SC-34(2)
SC-34(3)
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
W: Incorporado no SC-8.
SC-36(2) SINCRONIZAÇÃO O ÿ
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
E um
E2
SI-2(1)
SI-2(2)
TABELA C-19: FAMÍLIA DE INTEGRIDADE DE SISTEMA E INFORMAÇÃO
Política e Procedimentos
Correção de Falhas
GESTÃO CENTRAL
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
W: Incorporado ao PL-9.
O
GARANTIA
AÇÕES
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SI-4(22)
SI-4(23)
SI-4(24)
SI-4(25)
SI-5
SERVIÇOS DE REDE NÃO AUTORIZADOS
INDICADORES DE COMPROMISSO
O
S
S
GARANTIA
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SI-12(2)
SI-12(3)
SI-13
SI-13(1)
ELIMINAÇÃO DE INFORMAÇÕES
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
TREINAMENTO E PESQUISA
W: Incorporado no SI-7(16).
GARANTIA
SI-13(2)
SUPORTE À AUTOMAÇÃO
SI-18(1) EIXO
ETIQUETAS DE DADOS
SI-18(2) EIXO
COLEÇÃO
SI-18(3) EIXO
COLEÇÃO
SI-19(1) EIXO
ARQUIVAMENTO
SI-19(2) EIXO
LIBERAR
SI-19(3) EIXO
S
SI-19(4) REMOÇÃO, MASCARAMENTO, CRIPTOGRAFIA, HASH OU SUBSTITUIÇÃO DE
IDENTIFICADORES DIRETOS
PRIVACIDADE DIFERENCIAL
SI-19(6) EIXO
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SR-1
SR-2
SR-2(1)
SR-3
Política e Procedimentos
TABELA C-20: FAMÍLIA DE GERENCIAMENTO DE RISCO DA CADEIA DE FORNECIMENTO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
EIXO
GARANTIA
SR-4 Proveniência O ÿ
SR-4(1) IDENTIDADE O ÿ