NIST Security and Privacy Controls For Information Systems and Organizations P2

Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Discussão: As informações de prestadores de serviços externos sobre as funções, portas, protocolos e serviços
específicos utilizados na prestação de tais serviços podem ser úteis quando surge a necessidade de compreender as
compensações envolvidas na restrição de certas funções e serviços ou no bloqueio de certas portas e protocolos.
Controles relacionados: CM-6, CM-7.
(3) SERVIÇOS DE SISTEMA EXTERNO | ESTABELECER E MANTER RELACIONAMENTO DE CONFIANÇA COM OS FORNECEDORES
Estabelecer, documentar e manter relações de confiança com provedores de serviços externos com base nos
seguintes requisitos, propriedades, fatores ou condições: [Atribuição: requisitos de segurança e privacidade
definidos pela organização, propriedades, fatores ou condições que definem relações de confiança aceitáveis].
Discussão: As relações de confiança entre organizações e prestadores de serviços externos reflectem o grau de confiança de
que o risco da utilização de serviços externos se encontra num nível aceitável.
As relações de confiança podem ajudar as organizações a obter maiores níveis de confiança de que os prestadores de
serviços estão a fornecer proteção adequada para os serviços prestados e também podem ser úteis ao conduzir a resposta a
incidentes ou ao planear atualizações ou obsolescência. As relações de confiança podem ser complicadas devido ao
número potencialmente grande de entidades que participam nas interações consumidor-fornecedor, às relações subordinadas
e aos níveis de confiança, e aos tipos de interações entre as partes. Em alguns casos, o grau de confiança baseia-se no
nível de controle que as organizações podem exercer sobre os prestadores de serviços externos em relação aos controles
necessários para a proteção do serviço, da informação ou da privacidade individual e nas evidências apresentadas
quanto à eficácia do serviço. controles implementados. O nível de controle é estabelecido pelos termos e condições dos
contratos ou acordos de nível de serviço.
Controles Relacionados: SR-2.
(4) SERVIÇOS DE SISTEMA EXTERNO | INTERESSES CONSISTENTES DE CONSUMIDORES E FORNECEDORES
Execute as seguintes ações para verificar se os interesses de [Atribuição: prestadores de serviços externos
definidos pela organização] são consistentes e refletem os interesses organizacionais: [Atribuição: ações definidas
pela organização].
Discussão: À medida que as organizações recorrem cada vez mais a prestadores de serviços externos, é possível que os
interesses dos prestadores de serviços possam divergir dos interesses organizacionais. Em tais situações, a simples
implementação dos controlos técnicos, de gestão ou operacionais necessários pode não ser suficiente se os fornecedores
que implementam e gerem esses controlos não estiverem a operar de uma forma consistente com os interesses das
organizações consumidoras.
As ações que as organizações tomam para abordar tais preocupações incluem a exigência de verificações de
antecedentes para o pessoal selecionado dos prestadores de serviços; examinar registros de propriedade; empregar
apenas prestadores de serviços confiáveis, tais como prestadores com os quais as organizações tenham tido relações
de confiança bem-sucedidas; e realização de visitas de rotina, periódicas e não programadas às instalações dos prestadores
de serviços.
Controles relacionados: Nenhum.
(5) SERVIÇOS DE SISTEMA EXTERNO | LOCALIZAÇÃO DE PROCESSAMENTO, ARMAZENAMENTO E SERVIÇO
Restringir a localização de [Seleção (uma ou mais): processamento de informações; informações ou dados;

serviços do sistema] para [Atribuição: locais definidos pela organização] com base em [Atribuição:
requisitos ou condições definidos pela organização].
Discussão: A localização do processamento de informações, do armazenamento de informações e dados ou dos serviços do

sistema pode ter um impacto direto na capacidade das organizações de executar com sucesso a sua missão e funções de
negócio. O impacto ocorre quando fornecedores externos controlam a localização do processamento, armazenamento
ou serviços. Os critérios que os fornecedores externos utilizam para a seleção de locais de processamento, armazenamento
ou serviço podem ser diferentes dos critérios que as organizações utilizam. Por exemplo, as organizações podem desejar
que o armazenamento de dados ou informações
CAPÍTULO TRÊS PÁGINA 272

e
g
_________________________________________________________________________________________________
pe
E locais sejam restritos a determinados locais para ajudar a facilitar as atividades de resposta a incidentes em caso de
incidentes ou violações de segurança da informação. Atividades de resposta a incidentes, incluindo
análises forenses e investigações posteriores ao fato podem ser afetadas negativamente pelas leis, políticas
ou protocolos vigentes nos locais onde o processamento e o armazenamento ocorrem e/ou nos locais de onde
emanam os serviços do sistema.
Controles Relacionados: SA-5, SR-4.
(6) SERVIÇOS DE SISTEMA EXTERNO | CHAVES CRIPTOGRÁFICAS CONTROLADAS PELA ORGANIZAÇÃO
Manter controle exclusivo de chaves criptográficas para material criptografado armazenado ou

transmitido através de um sistema externo.
Discussão: Manter o controle exclusivo das chaves criptográficas em um sistema externo evita a descriptografia
de dados organizacionais pela equipe externa do sistema. O controle organizacional de chaves criptográficas pode ser
implementado criptografando e descriptografando dados dentro da organização à medida que os dados são
enviados e recebidos do sistema externo ou empregando um componente que permite que as funções de
criptografia e descriptografia sejam locais para o sistema externo, mas permite acesso organizacional exclusivo. às
chaves de criptografia.
Controles Relacionados: SC-12, SC-13, SI-4.
(7) SERVIÇOS DE SISTEMA EXTERNO | VERIFICAÇÃO DE INTEGRIDADE CONTROLADA PELA ORGANIZAÇÃO
Fornece a capacidade de verificar a integridade das informações enquanto elas residem no sistema externo.
Discussão: O armazenamento de informações organizacionais num sistema externo pode limitar a visibilidade do estado
de segurança dos seus dados. A capacidade da organização de verificar e validar a integridade dos dados armazenados
sem transferi-los para fora do sistema externo proporciona essa visibilidade.
Controles Relacionados: SI-7.
(8) SERVIÇOS DE SISTEMA EXTERNO | LOCAL DE PROCESSAMENTO E ARMAZENAMENTO - JURISDIÇÃO DOS EUA
Restrinja a localização geográfica do processamento de informações e armazenamento de dados a instalações

localizadas dentro dos limites jurisdicionais legais dos Estados Unidos.
Discussão: A localização geográfica do processamento de informações e armazenamento de dados pode ter um impacto
direto na capacidade das organizações de executar com sucesso a sua missão e funções de negócio. Um
comprometimento ou violação de informações e sistemas de alto impacto pode ter impactos adversos graves ou
catastróficos nos ativos e operações organizacionais, nos indivíduos, em outras organizações e na Nação.
Restringir o processamento e armazenamento de informações de alto impacto a instalações dentro dos limites
jurisdicionais legais dos Estados Unidos proporciona maior controle sobre esse processamento e armazenamento.
Controles Relacionados: SA-5, SR-4.
Referências: [OMB A-130], [SP 800-35], [SP 800-160-1], [SP 800-161], [SP 800-171].
GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR SA-10
Controle: Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema:
a. Realizar gerenciamento de configuração durante sistema, componente ou serviço [Seleção (um ou mais): design;
desenvolvimento; implementação; Operação; disposição];
b. Documentar, gerenciar e controlar a integridade das alterações em [Atribuição: itens de configuração definidos pela
organização sob gerenciamento de configuração];
c. Implementar apenas alterações aprovadas pela organização no sistema, componente ou serviço;

e
g
_________________________________________________________________________________________________
pe
E d. Documente as alterações aprovadas no sistema, componente ou serviço e o potencial
impactos de tais mudanças na segurança e na privacidade; e
e. Rastreie falhas de segurança e resolução de falhas no sistema, componente ou serviço e relate

conclusões para [Atribuição: pessoal definido pela organização].
Discussão: As organizações consideram a qualidade e a integridade das atividades de gerenciamento de configuração conduzidas
pelos desenvolvedores como evidência direta da aplicação de controles de segurança eficazes.
Os controles incluem a proteção das cópias mestras do material usado para gerar partes relevantes de segurança do hardware,
software e firmware do sistema contra modificação ou destruição não autorizada. Manter a integridade das alterações no
sistema, componente do sistema ou serviço do sistema requer um controle rigoroso da configuração durante todo o ciclo de vida
de desenvolvimento do sistema para rastrear alterações autorizadas e evitar alterações não autorizadas.
Os itens de configuração colocados no gerenciamento de configuração incluem o modelo formal; as especificações de design
funcionais, de alto e baixo nível; outros dados de projeto; documentação de implementação; código-fonte e esquemas
de hardware; a versão atual do código-objeto em execução; ferramentas para comparar novas versões de descrições de
hardware e códigos-fonte relevantes para a segurança com versões anteriores; e acessórios de teste e documentação.
Dependendo da missão e das necessidades comerciais das organizações e da natureza das relações contratuais em vigor, os
desenvolvedores podem fornecer suporte de gerenciamento de configuração durante o estágio de operações e manutenção do
ciclo de vida de desenvolvimento do sistema.
Controles relacionados: CM-2, CM-3, CM-4, CM-7, CM-9, SA-4, SA-5, SA-8, SA-15, SI-2, SR-3, SR-4 , SR-5,
SR-6.
Melhorias de controle:
(1) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO DE INTEGRIDADE DE SOFTWARE E FIRMWARE
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema habilite a verificação de
integridade dos componentes de software e firmware.
Discussão: A verificação da integridade de software e firmware permite que as organizações detectem alterações não
autorizadas em componentes de software e firmware usando ferramentas, técnicas e mecanismos fornecidos pelo
desenvolvedor. Os mecanismos de verificação de integridade também podem resolver a falsificação de componentes de
software e firmware. As organizações verificam a integridade dos componentes de software e firmware, por exemplo, por
meio de hashes unidirecionais seguros fornecidos pelos desenvolvedores. Os componentes de software e firmware fornecidos
também incluem quaisquer atualizações desses componentes.
Controles Relacionados: SI-7, SR-11.
(2) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | GESTÃO DE CONFIGURAÇÃO ALTERNATIVA

PROCESSOS
Forneça um processo alternativo de gerenciamento de configuração usando pessoal organizacional na ausência de

uma equipe dedicada de gerenciamento de configuração de desenvolvedor.
Discussão: Processos alternativos de gerenciamento de configuração podem ser necessários quando as

organizações usam produtos comerciais de tecnologia da informação prontos para uso. Os processos alternativos de
gerenciamento de configuração incluem pessoal organizacional que revisa e aprova mudanças propostas em sistemas,
componentes de sistema e serviços de sistema e
conduzir análises de impacto de segurança e privacidade antes da implementação de alterações em sistemas,
componentes ou serviços.
(3) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO DE INTEGRIDADE DE HARDWARE
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema habilite a verificação de
integridade dos componentes de hardware.

e
g
_________________________________________________________________________________________________
pe
E Discussão: A verificação da integridade de hardware permite que as organizações detectem alterações não autorizadas
em componentes de hardware usando ferramentas, técnicas, métodos e mecanismos fornecidos pelo desenvolvedor. As
organizações podem verificar a integridade dos componentes de hardware com etiquetas difíceis de copiar, números de
série verificáveis fornecidos pelos desenvolvedores e exigindo o uso de tecnologias anti-adulteração. Os componentes de
hardware fornecidos também incluem atualizações de hardware e firmware para tais componentes.
(4) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | GERAÇÃO CONFIÁVEL
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas
para comparar versões recém-geradas de descrições de hardware, código-fonte e código-objeto relevantes para a
segurança com versões anteriores.
Discussão: A geração confiável de descrições, código-fonte e código-objeto trata de alterações autorizadas em componentes
de hardware, software e firmware entre versões durante o desenvolvimento. O foco está na eficácia do processo de
gerenciamento de configuração pelo desenvolvedor para garantir que versões recém-geradas de descrições de hardware,
código-fonte e código-objeto relevantes para a segurança continuem a impor a política de segurança para o sistema,
componente do sistema ou serviço do sistema. Em contraste, SA-10(1) e SA-10(3) permitem que as organizações
detectem alterações não autorizadas em componentes de hardware, software e firmware usando ferramentas, técnicas
ou mecanismos fornecidos por desenvolvedores.
(5) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | MAPEANDO INTEGRIDADE PARA CONTROLE DE VERSÃO
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema mantenha a integridade do
mapeamento entre os dados mestres de construção que descrevem a versão atual do hardware, software e firmware
relevantes para a segurança e a cópia mestre no local dos dados para a versão atual.
Discussão: O mapeamento da integridade para controle de versão aborda alterações nos componentes de hardware, software
e firmware durante o desenvolvimento inicial e as atualizações do ciclo de vida de desenvolvimento do sistema. Manter a
integridade entre as cópias mestras de hardware, software e firmware relevantes para a segurança (incluindo projetos,
desenhos de hardware, código-fonte) e os dados equivalentes em cópias mestras em ambientes operacionais é essencial
para garantir a disponibilidade de sistemas organizacionais que suportam missões críticas. e funções empresariais.
(6) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | DISTRIBUIÇÃO CONFIÁVEL
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute procedimentos
para garantir que as atualizações de hardware, software e firmware relevantes para a segurança distribuídas à
organização sejam exatamente conforme especificado pelas cópias mestras.
Discussão: A distribuição confiável de atualizações de hardware, software e firmware relevantes para a segurança ajuda a
garantir que as atualizações sejam representações corretas das cópias mestras mantidas pelo desenvolvedor e não
tenham sido adulteradas durante a distribuição.
(7) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | REPRESENTANTES DE SEGURANÇA E PRIVACIDADE
Exigir que [Atribuição: representantes de segurança e privacidade definidos pela organização ] seja incluído no
[Atribuição: processo de gerenciamento e controle de alterações de configuração definido pela organização].
Discussão: Os representantes de segurança da informação e privacidade podem incluir oficiais de segurança do sistema,
oficiais seniores de segurança da informação de agências, funcionários seniores de agências para privacidade e
responsáveis pela privacidade do sistema. Representação por pessoal com segurança e privacidade da informação

e
g
_________________________________________________________________________________________________
pe
E a experiência é importante porque as alterações nas configurações do sistema podem ter efeitos colaterais não
intencionais, alguns dos quais podem ser relevantes para a segurança ou a privacidade. Detectar essas mudanças
no início do processo pode ajudar a evitar consequências negativas não intencionais que poderiam, em última
instância, afetar a postura de segurança e privacidade dos sistemas. O processo de gerenciamento e controle
de alterações de configuração neste aprimoramento de controle refere-se ao processo de gerenciamento e
controle de alterações definido pelas organizações na SA-10b.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 202], [SP 800-128], [SP 800-160-1].
TESTE E AVALIAÇÃO DO DESENVOLVEDOR SA-11
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema, em todos os estágios
pós-projeto do ciclo de vida de desenvolvimento do sistema,:
a. Desenvolver e implementar um plano para avaliações contínuas de segurança e controle de privacidade;
b. Execute [Seleção (uma ou mais): unidade; integração; sistema; regressão] teste/avaliação [Tarefa: frequência
definida pela organização] em [Tarefa: profundidade e cobertura definidas pela organização];
c. Produzir evidências da execução do plano de avaliação e dos resultados dos testes e

avaliação;
d. Implementar um processo verificável de correção de falhas; e
e. Corrigir falhas identificadas durante testes e avaliação.
Discussão: Os testes e avaliações de desenvolvimento confirmam que os controles necessários são

implementados corretamente, operando conforme pretendido, aplicando as políticas de segurança e privacidade
desejadas e atendendo aos requisitos de segurança e privacidade estabelecidos. As propriedades de segurança
dos sistemas e a privacidade dos indivíduos podem ser afetadas pela interconexão dos componentes do
sistema ou por alterações nesses componentes. As interconexões ou mudanças - incluindo
atualizar ou substituir aplicativos, sistemas operacionais e firmware – pode afetar adversamente os controles
implementados anteriormente. A avaliação contínua durante o desenvolvimento permite tipos adicionais de testes e
avaliações que os desenvolvedores podem realizar para reduzir ou eliminar possíveis falhas. O teste de aplicativos
de software personalizados pode exigir abordagens como revisão manual de código, revisão de arquitetura de
segurança e testes de penetração, bem como análise estática, análise dinâmica, análise binária ou um híbrido
das três abordagens de análise.
Os desenvolvedores podem usar as abordagens de análise, juntamente com instrumentação de segurança e difusão, em
diversas ferramentas e em revisões de código-fonte. Os planos de avaliação de segurança e privacidade incluem
as atividades específicas que os desenvolvedores planejam realizar, incluindo os tipos de análises, testes, avaliações
e revisões de componentes de software e firmware; o grau de rigor a aplicar;
a frequência dos testes e avaliações contínuas; e os tipos de artefatos produzidos durante esses processos. A
profundidade dos testes e da avaliação refere-se ao rigor e ao nível de detalhe associado ao processo de
avaliação. A cobertura dos testes e da avaliação refere-se ao escopo (isto é, número e tipo) dos artefatos incluídos
no processo de avaliação. Os contratos especificam os critérios de aceitação para planos de avaliação de
segurança e privacidade, processos de correção de falhas e a evidência de que os planos e processos foram
aplicados diligentemente. Os métodos para revisar e proteger planos de avaliação, evidências e documentação são
proporcionais à categoria de segurança ou nível de classificação do sistema. Os contratos podem especificar requisitos
de proteção para documentação.
Controles Relacionados: CA-2, CA-7, CM-4, SA-3, SA-4, SA-5, SA-8, SA-15, SA-17, SI-2, SR-5, SR-6 , SR-7.

e
g
_________________________________________________________________________________________________
pe
E (1) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | ANÁLISE DE CÓDIGO ESTÁTICO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue

ferramentas de análise de código estático para identificar falhas comuns e documentar os resultados
da análise.
Discussão: A análise estática de código fornece uma tecnologia e metodologia para revisões de segurança e inclui
a verificação de pontos fracos no código, bem como a incorporação de bibliotecas ou outros códigos incluídos com
vulnerabilidades conhecidas ou que estejam desatualizados e sem suporte.
A análise estática de código pode ser usada para identificar vulnerabilidades e impor práticas de
codificação seguras. É mais eficaz quando usado no início do processo de desenvolvimento, quando cada alteração
no código pode ser verificada automaticamente em busca de possíveis pontos fracos. A análise estática de
código pode fornecer orientações claras de correção e identificar defeitos para os desenvolvedores corrigirem.
As evidências da implementação correta da análise estática podem incluir densidade agregada de defeitos para
tipos de defeitos críticos, evidências de que os defeitos foram inspecionados por desenvolvedores ou profissionais de segurança,
e evidências de que os defeitos foram corrigidos. Uma alta densidade de descobertas ignoradas, comumente
chamadas de falsos positivos, indica um problema potencial com o processo de análise ou com a ferramenta de
análise. Nesses casos, as organizações avaliam a validade das evidências em relação às evidências de outras
fontes.
(2) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | MODELAGEM DE AMEAÇAS E ANÁLISES DE VULNERABILIDADE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute

modelagem de ameaças e análises de vulnerabilidade durante o desenvolvimento e os testes e
avaliações subsequentes do sistema, componente ou serviço que: (a) Use as
seguintes informações contextuais: [ Atribuição: informações definidas pela organização sobre

impacto, ambiente de operações, ameaças conhecidas ou presumidas e níveis de risco
aceitáveis];
(b) Emprega as seguintes ferramentas e métodos: [Tarefa: ferramentas definidas pela organização
e métodos];
(c) Conduz a modelagem e as análises no seguinte nível de rigor: [Tarefa: amplitude e profundidade
de modelagem e análises definidas pela organização]; e
(d) Produz evidências que atendam aos seguintes critérios de aceitação: [Tarefa:
critérios de aceitação definidos pela organização].
Discussão: Sistemas, componentes de sistema e serviços de sistema podem desviar-se significativamente das
especificações funcionais e de design criadas durante os requisitos e estágios de design do ciclo de vida de
desenvolvimento do sistema. Portanto, as atualizações na modelagem de ameaças e nas análises de
vulnerabilidade desses sistemas, componentes do sistema e serviços do sistema durante o desenvolvimento e
antes da entrega são essenciais para a operação eficaz desses sistemas, componentes e serviços. A modelagem
de ameaças e as análises de vulnerabilidade neste estágio do ciclo de vida de desenvolvimento do sistema
garantem que as alterações no projeto e na implementação foram levadas em consideração e que as
vulnerabilidades criadas devido a essas alterações foram revisadas e mitigadas.
Controles relacionados: PM-15, RA-3, RA-5.
(3) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO INDEPENDENTE DE PLANOS DE AVALIAÇÃO E

EVIDÊNCIA
(a) Exigir que um agente independente satisfaça [Atribuição: definida pela organização
critérios de independência] para verificar a correta implementação dos planos de avaliação de
segurança e privacidade do desenvolvedor e as evidências produzidas durante os testes e
avaliação; e

e
g
_________________________________________________________________________________________________
pe
E (b) Verificar se o agente independente recebe informações suficientes para concluir o processo de
verificação ou se recebeu autoridade para obter tais informações.
Discussão: Os agentes independentes têm as qualificações – incluindo conhecimento, habilidades,

treinamento, certificações e experiência – para verificar a implementação correta dos planos de avaliação de
segurança e privacidade do desenvolvedor.
Controles relacionados: AT-3, RA-5.
(4) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | REVISÕES DE CÓDIGO MANUAIS
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute uma
revisão manual do código de [Atribuição: código específico definido pela organização] usando
os seguintes processos, procedimentos e/ou técnicas: [Atribuição: processos, procedimentos
definidos pela organização e/ ou técnicas].
Discussão: As revisões manuais de código geralmente são reservadas para componentes críticos de software e
firmware dos sistemas. As revisões manuais de código são eficazes na identificação de pontos fracos que
exigem conhecimento dos requisitos ou do contexto da aplicação que, na maioria dos casos, é
indisponível para ferramentas e técnicas analíticas automatizadas, como análises estáticas e dinâmicas.
Os benefícios da revisão manual de código incluem a capacidade de verificar matrizes de controle de
acesso em relação aos controles de aplicativos e revisar aspectos detalhados de implementações e controles
criptográficos.
(5) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | TESTE DE PENETRAÇÃO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema realize testes
de penetração:
(a) No seguinte nível de rigor: [Atribuição: amplitude e profundidade definidas pela organização
de testes]; e
(b) Sob as seguintes restrições: [Atribuição: restrições definidas pela organização].
Discussão: O teste de penetração é uma metodologia de avaliação na qual os avaliadores, usando toda a
documentação disponível de produtos ou sistemas de tecnologia da informação e trabalhando sob
restrições específicas, tentam contornar os recursos de segurança e privacidade implementados de
produtos e sistemas de tecnologia da informação. Informações úteis para avaliadores que conduzem testes de
penetração incluem especificações de design de produtos e sistemas, código-fonte e manuais do
administrador e do operador. Os testes de penetração podem incluir testes de caixa branca, caixa cinza ou caixa
preta com análises realizadas por profissionais qualificados que simulam ações adversárias. O objetivo do
teste de penetração é descobrir vulnerabilidades em sistemas, componentes de sistema e serviços que resultam
de erros de implementação, falhas de configuração ou outras fraquezas ou deficiências operacionais. Os
testes de penetração podem ser realizados em conjunto com revisões de código automatizadas e
manuais para fornecer um nível de análise maior do que normalmente seria possível. Quando as informações
de sessão do usuário e outras informações de identificação pessoal são capturadas ou registradas durante
testes de penetração, essas informações são tratadas de forma adequada para proteger a privacidade.
Controles Relacionados: CA-8, PM-14, PM-25, PT-2, SA-3, SI-2, SI-6.
(6) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | AVALIAÇÕES DE SUPERFÍCIE DE ATAQUE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute

revisões da superfície de ataque.
Discussão: As superfícies de ataque de sistemas e componentes de sistemas são áreas expostas que
tornam esses sistemas mais vulneráveis a ataques. As superfícies de ataque incluem quaisquer áreas acessíveis
onde pontos fracos ou deficiências nos componentes de hardware, software e firmware oferecem
oportunidades para os adversários explorarem vulnerabilidades. As revisões da superfície de ataque
garantem que os desenvolvedores analisem as mudanças de design e implementação nos sistemas e

e
g
_________________________________________________________________________________________________
pe
E mitigar vetores de ataque gerados como resultado das mudanças. A correção das falhas identificadas inclui a
descontinuação de funções inseguras.
Controles Relacionados: SA-15.
(7) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | VERIFIQUE O ESCOPO DO TESTE E AVALIAÇÃO
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema verifique se o escopo de
teste e avaliação fornece cobertura completa dos controles necessários no seguinte nível de rigor: [Atribuição:
amplitude e profundidade de teste e avaliação definidas pela organização] .
Discussão: A verificação de que os testes e a avaliação proporcionam uma cobertura completa dos controlos necessários
pode ser conseguida através de uma variedade de técnicas analíticas que vão desde informais a formais. Cada uma
dessas técnicas fornece um nível crescente de segurança que corresponde
ao grau de formalidade da análise. A demonstração rigorosa da cobertura do controle nos mais altos níveis de garantia pode
ser alcançada usando técnicas formais de modelagem e análise,
incluindo correlação entre implementação de controle e casos de teste correspondentes.
(8) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | ANÁLISE DINÂMICA DE CÓDIGO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas de
análise dinâmica de código para identificar falhas comuns e documentar os resultados da análise.
Discussão: A análise dinâmica de código fornece verificação em tempo de execução de programas de software usando
ferramentas capazes de monitorar programas em busca de corrupção de memória, problemas de privilégio de usuário e
outros possíveis problemas de segurança. A análise dinâmica de código emprega ferramentas de tempo de execução para
garantir que a funcionalidade de segurança funcione da maneira como foi projetada. Um tipo de análise dinâmica, conhecido
como teste fuzz, induz falhas de programa ao introduzir deliberadamente dados malformados ou aleatórios em programas
de software. As estratégias de teste Fuzz são derivadas do uso pretendido dos aplicativos e das especificações funcionais e
de design dos aplicativos. Para compreender o escopo da análise dinâmica de código e a garantia fornecida, as
organizações também podem considerar a realização de análise de cobertura de código (ou seja, verificar o grau em que o
código foi testado usando métricas como porcentagem de sub-rotinas testadas ou porcentagem de instruções de programa
chamadas durante a execução do conjunto de testes) e/ou análise de concordância (ou seja, verificação de palavras
que estão fora do lugar no código do software, como palavras em idiomas diferentes do inglês ou termos depreciativos).
(9) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | TESTE DE SEGURANÇA DE APLICATIVOS INTERATIVOS
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue ferramentas
interativas de teste de segurança de aplicativos para identificar falhas e documentar os resultados.
Discussão: O teste interativo de segurança de aplicativos (também conhecido como baseado em instrumentação) é um
método de detecção de vulnerabilidades observando os aplicativos enquanto eles são executados durante o teste.
O uso de instrumentação depende de medições diretas dos aplicativos reais em execução e usa acesso ao código, interação
do usuário, bibliotecas, estruturas, conexões de back-end e configurações para medir diretamente a eficácia do controle.
Quando combinados com técnicas de análise, os testes interativos de segurança de aplicativos podem identificar uma ampla
gama de vulnerabilidades potenciais e confirmar a eficácia do controle. Os testes baseados em instrumentação funcionam
em tempo real e podem ser usados continuamente durante todo o ciclo de vida de desenvolvimento do sistema.
Referências: [ISO 15408-3], [SP 800-30], [SP 800-53A], [SP 800-154], [SP 800-160-1].

e
g
_________________________________________________________________________________________________
pe
E PROTEÇÃO DA CADEIA DE FORNECIMENTO SA-12
[Retirado: Incorporado à Família SR.]

(1) PROTEÇÃO DA CADEIA DE FORNECIMENTO | ESTRATÉGIAS / FERRAMENTAS / MÉTODOS DE AQUISIÇÃO [Retirado: Movido
para SR-5.]
(2) PROTEÇÃO DA CADEIA DE FORNECIMENTO | AVALIAÇÕES DE FORNECEDORES
[Retirado: Movido para SR-6.]
(3) PROTEÇÃO DA CADEIA DE FORNECIMENTO | ENVIO E ARMAZENAGEM CONFIÁVEIS
[Retirado: Incorporado ao SR-3.]
(4) PROTEÇÃO DA CADEIA DE FORNECIMENTO | DIVERSIDADE DE FORNECEDORES
[Retirado: Movido para SR-3(1).]
(5) PROTEÇÃO DA CADEIA DE FORNECIMENTO | LIMITAÇÃO DE DANOS
(6) PROTEÇÃO DA CADEIA DE FORNECIMENTO | MINIMIZANDO O TEMPO DE AQUISIÇÃO
[Retirado: Incorporado ao SR-5(1).]
(7) PROTEÇÃO DA CADEIA DE FORNECIMENTO | AVALIAÇÕES ANTES DA SELEÇÃO / ACEITAÇÃO / ATUALIZAÇÃO
(8) PROTEÇÃO DA CADEIA DE FORNECIMENTO | USO DE INTELIGÊNCIA DE TODAS AS FONTES
[Retirado: Incorporado ao RA-3(2).]
(9) PROTEÇÃO DA CADEIA DE FORNECIMENTO | OPERAÇÕES DE SEGURANÇA
(10) PROTEÇÃO DA CADEIA DE FORNECIMENTO | VALIDAR COMO GENUÍNO E NÃO ALTERADO
(11) PROTEÇÃO DA CADEIA DE FORNECIMENTO | TESTE DE PENETRAÇÃO / ANÁLISE DE ELEMENTOS, PROCESSOS E
ATORES
(12) PROTEÇÃO DA CADEIA DE FORNECIMENTO | ACORDOS INTERORGANIZACIONAIS
(13) PROTEÇÃO DA CADEIA DE FORNECIMENTO | COMPONENTES DO SISTEMA DE INFORMAÇÃO CRÍTICA
[Retirado: Incorporado em MA-6 e RA-9.]
(14) PROTEÇÃO DA CADEIA DE FORNECIMENTO | IDENTIDADE E RASTREABILIDADE
[Retirado: Movido para SR-4(1) e SR-4(2).]
(15) PROTEÇÃO DA CADEIA DE FORNECIMENTO | PROCESSOS PARA LIDAR COM DEFICIÊNCIAS OU DEFICIÊNCIAS
CONFIABILIDADE SA-13
[Retirado: Incorporado ao SA-8.]

e
g
_________________________________________________________________________________________________
pe
E ANÁLISE DE CRITICALIDADE SA-14
[Retirado: Incorporado ao RA-9.]
(1) ANÁLISE DE CRITICALIDADE | COMPONENTES CRÍTICOS SEM FORNECIMENTO ALTERNATIVO VIÁVEL
PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS SA-15
Ao controle:
a. Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema siga um processo de
desenvolvimento documentado que:
1. Aborda explicitamente os requisitos de segurança e privacidade;
2. Identifica os padrões e ferramentas utilizadas no processo de desenvolvimento;
3. Documenta as opções de ferramentas específicas e configurações de ferramentas usadas no desenvolvimento

processo; e
4. Documenta, gerencia e garante a integridade das alterações no processo e/ou ferramentas utilizadas no
desenvolvimento; e
b. Revise o processo de desenvolvimento, padrões, ferramentas, opções de ferramentas e configurações de ferramentas

[Atribuição: frequência definida pela organização] para determinar se o processo, os padrões, as ferramentas, as
opções de ferramentas e as configurações de ferramentas selecionadas e empregadas podem satisfazer os seguintes
requisitos de segurança e privacidade: [Atribuição: requisitos de segurança e privacidade definidos pela
organização].
Discussão: As ferramentas de desenvolvimento incluem linguagens de programação e sistemas de design auxiliados

por computador. As revisões dos processos de desenvolvimento incluem o uso de modelos de maturidade para determinar a
eficácia potencial de tais processos. Manter a integridade das alterações nas ferramentas e processos facilita a
avaliação e mitigação eficazes dos riscos da cadeia de abastecimento. Essa integridade requer controle de configuração
durante todo o ciclo de vida de desenvolvimento do sistema para rastrear alterações autorizadas e evitar alterações não
autorizadas.
Controles Relacionados: MA-6, SA-3, SA-4, SA-8, SA-10, SA-11, SR-3, SR-4 , SR-5, SR-6, SR-9.
(1) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | MÉTRICAS DE QUALIDADE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema:
(a) Definir métricas de qualidade no início do processo de desenvolvimento; e
(b) Fornecer evidências de atendimento às métricas de qualidade [Seleção (uma ou mais):

[Atribuição: frequência definida pela organização]; [Tarefa: marcos de revisão do programa definidos
pela organização]; na entrega].
Discussão: As organizações utilizam métricas de qualidade para estabelecer níveis aceitáveis de qualidade do
sistema. As métricas podem incluir portões de qualidade, que são coleções de critérios de conclusão ou padrões
de suficiência que representam a execução satisfatória de fases específicas do projeto de desenvolvimento do
sistema. Por exemplo, um controle de qualidade pode exigir a eliminação de todos os avisos do compilador ou a
determinação de que tais avisos não têm impacto na eficácia dos recursos de segurança ou privacidade
exigidos. Durante as fases de execução dos projetos de desenvolvimento, os portões de qualidade fornecem
indicações claras e inequívocas do progresso.
Outras métricas se aplicam a todo o projeto de desenvolvimento. As métricas podem incluir a definição dos limites
de gravidade das vulnerabilidades de acordo com a tolerância ao risco organizacional, como

e
g
_________________________________________________________________________________________________
pe
E como não exigindo vulnerabilidades conhecidas no sistema entregue com uma gravidade do Common Vulnerability Scoring
System (CVSS) média ou alta.
(2) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | FERRAMENTAS DE RASTREAMENTO DE SEGURANÇA E PRIVACIDADE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema selecione e empregue
ferramentas de rastreamento de segurança e privacidade para uso durante o processo de desenvolvimento.
Discussão: As equipes de desenvolvimento de sistemas selecionam e implantam ferramentas de rastreamento de

segurança e privacidade, incluindo sistemas de rastreamento de vulnerabilidades ou itens de trabalho que facilitam a
atribuição, classificação, filtragem e rastreamento de itens de trabalho concluídos ou tarefas associadas a
processos de desenvolvimento.
(3) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | ANÁLISE DE CRITICALIDADE
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute uma análise de
criticidade:
(a) Nos seguintes pontos de decisão no ciclo de vida de desenvolvimento do sistema: [Atribuição: pontos de
decisão definidos pela organização no ciclo de vida de desenvolvimento do sistema]; e
(b) No seguinte nível de rigor: [Atribuição: amplitude e profundidade definidas pela organização
de análise de criticidade].
Discussão: A análise de criticidade realizada pelo desenvolvedor fornece informações para a análise de criticidade realizada
pelas organizações. A contribuição do desenvolvedor é essencial para a análise da criticidade organizacional porque as
organizações podem não ter acesso à documentação detalhada do projeto para componentes do sistema que são
desenvolvidos como produtos comerciais prontos para uso. Essa documentação de projeto inclui especificações funcionais,
projetos de alto nível, projetos de baixo nível, código-fonte e esquemas de hardware. A análise de criticidade é
importante para sistemas organizacionais designados como ativos de alto valor. Ativos de alto valor podem ser sistemas
de impacto moderado ou alto devido ao aumento do interesse adversário ou aos potenciais efeitos adversos sobre a
empresa federal. A contribuição do desenvolvedor é especialmente importante quando as organizações conduzem análises
de criticidade da cadeia de suprimentos.
Controles Relacionados: RA-9.
(4) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | MODELAGEM DE AMEAÇAS E VULNERABILIDADE
ANÁLISE
[Retirado: Incorporado em SA-11(2).]
(5) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | REDUÇÃO DA SUPERFÍCIE DE ATAQUE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema reduza as superfícies
de ataque para [Atribuição: limites definidos pela organização].
Discussão: A redução da superfície de ataque está estreitamente alinhada com as análises de ameaças e vulnerabilidades e
com a arquitetura e design do sistema. A redução da superfície de ataque é um meio de reduzir o risco para as organizações,
dando aos invasores menos oportunidades de explorar pontos fracos ou deficiências (ou seja, vulnerabilidades potenciais) em
sistemas, componentes de sistema e serviços de sistema. A redução da superfície de ataque inclui a implementação do
conceito de defesas em camadas, a aplicação dos princípios de menor privilégio e menor funcionalidade, a aplicação
de práticas seguras de desenvolvimento de software, a descontinuação de funções inseguras, a redução de pontos de
entrada disponíveis para usuários não autorizados, a redução da quantidade de código executado e a eliminação de
aplicativos. interfaces de programação (APIs) vulneráveis a ataques.
Controles Relacionados: AC-6, CM-7, RA-3, SA-11.
(6) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | MELHORIA CONTINUA

e
g
_________________________________________________________________________________________________
pe
E Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema implemente um processo
explícito para melhorar continuamente o processo de desenvolvimento.
Discussão: Os desenvolvedores de sistemas, componentes de sistema e serviços de sistema consideram a eficácia e a

eficiência de seus processos de desenvolvimento para atender aos objetivos de qualidade e abordar os recursos de
segurança e privacidade nos atuais ambientes de ameaças.
(7) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | ANÁLISE AUTOMATIZADA DE VULNERABILIDADE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema [Atribuição: frequência
definida pela organização] :
(a) Realizar uma análise automatizada de vulnerabilidade usando [Atribuição: definido pela organização
ferramentas];
(b) Determinar o potencial de exploração das vulnerabilidades descobertas;
(c) Determinar potenciais mitigações de risco para vulnerabilidades entregues; e
(d) Entregar os resultados das ferramentas e resultados da análise para [Tarefa:

pessoal ou funções definidas pela organização].
Discussão: As ferramentas automatizadas podem ser mais eficazes na análise de pontos fracos ou deficiências exploráveis
em sistemas grandes e complexos, priorizando vulnerabilidades por gravidade e fornecendo recomendações para
mitigação de riscos.
Controles Relacionados: RA-5, SA-11.
(8) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | REUTILIZAÇÃO DE AMEAÇA E VULNERABILIDADE

INFORMAÇÃO
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema use modelagem de ameaças
e análises de vulnerabilidade de sistemas, componentes ou serviços semelhantes para informar o processo de
desenvolvimento atual.
Discussão: A análise de vulnerabilidades encontradas em aplicações de software semelhantes pode informar potenciais
problemas de design e implementação de sistemas em desenvolvimento. Sistemas ou componentes de sistema semelhantes
podem existir nas organizações de desenvolvimento. As informações sobre vulnerabilidade estão disponíveis em diversas
fontes dos setores público e privado, incluindo o Banco de Dados Nacional de Vulnerabilidade do NIST.
(9) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | USO DE DADOS AO VIVO
[Retirado: Incorporado em SA-3(2).]
(10) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | PLANO DE RESPOSTA A INCIDENTES
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça, implemente e
teste um plano de resposta a incidentes.
Discussão: O plano de resposta a incidentes fornecido pelos desenvolvedores pode fornecer informações que não estão
prontamente disponíveis para as organizações e ser incorporado aos planos organizacionais de resposta a incidentes. As
informações do desenvolvedor também podem ser extremamente úteis, como quando as organizações respondem a
vulnerabilidades em produtos comerciais prontos para uso.
Controles Relacionados: IR-8.
(11) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | SISTEMA OU COMPONENTE DE ARQUIVO
Exigir que o desenvolvedor do sistema ou componente do sistema arquive o sistema ou componente a ser
lançado ou entregue juntamente com as evidências correspondentes que apoiam a revisão final de
segurança e privacidade.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O arquivamento do sistema ou dos componentes do sistema exige que o desenvolvedor retenha os
principais artefatos de desenvolvimento, incluindo especificações de hardware, código-fonte, código-objeto e
documentação relevante do processo de desenvolvimento que pode fornecer uma linha de base de configuração
prontamente disponível para atualizações ou modificações de sistemas e componentes.
Controles Relacionados: CM-2.
(12) PROCESSO DE DESENVOLVIMENTO, PADRÕES E FERRAMENTAS | MINIMIZAR IDENTIFICAÇÃO PESSOAL

INFORMAÇÃO
Exigir que o desenvolvedor do sistema ou componente do sistema minimize o uso de informações

de identificação pessoal em ambientes de desenvolvimento e teste.
Discussão: As organizações podem minimizar o risco para a privacidade de um indivíduo utilizando

técnicas como a desidentificação ou dados sintéticos. Limitar o uso de informações pessoalmente
identificáveis em ambientes de desenvolvimento e teste ajuda a reduzir o nível de risco de privacidade criado por
um sistema.
Controles Relacionados: PM-25, SA-3, SA-8.
Referências: [SP 800-160-1], [IR 8179].
TREINAMENTO FORNECIDO PELO DESENVOLVEDOR SA-16
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça o seguinte
treinamento sobre o uso e operação corretos das funções, controles e/ou mecanismos de segurança e privacidade
implementados: [Tarefa: treinamento definido pela organização].
Discussão: O treinamento fornecido pelo desenvolvedor se aplica a desenvolvedores externos e internos (internos).
A formação de pessoal é essencial para garantir a eficácia dos controlos implementados nos sistemas organizacionais. Os
tipos de treinamento incluem treinamento baseado na web e em computador,
treinamento em sala de aula e treinamento prático (incluindo microtreinamento). As organizações também podem solicitar
materiais de treinamento aos desenvolvedores para realizar treinamento interno ou oferecer autotreinamento ao pessoal
organizacional. As organizações determinam o tipo de treinamento necessário e podem exigir diferentes tipos de
treinamento para diferentes funções, controles e mecanismos de segurança e privacidade.
Controles relacionados: AT-2, AT-3, PE-3, SA-4, SA-5.
Melhorias de controle: Nenhuma.
Referências: Nenhuma.
SA-17 ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR
Controle: Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema produza uma especificação
de design e uma arquitetura de segurança e privacidade que:
a. É consistente com a arquitetura de segurança e privacidade da organização, que é parte integrante

a arquitetura empresarial da organização;
b. Descreve de forma precisa e completa a funcionalidade necessária de segurança e privacidade, e o

alocação de controles entre componentes físicos e lógicos; e
c. Expressa como as funções, mecanismos e serviços individuais de segurança e privacidade funcionam juntos para
fornecer os recursos necessários de segurança e privacidade e uma abordagem unificada de proteção.
Discussão: A arquitetura e o design de segurança e privacidade do desenvolvedor são direcionados a desenvolvedores

externos, embora também possam ser aplicados ao desenvolvimento interno (interno). Em contraste, o PL-8 é direcionado
a desenvolvedores internos para garantir que as organizações desenvolvam um sistema de segurança e privacidade

e
g
_________________________________________________________________________________________________
pe
E arquitetura integrada à arquitetura corporativa. A distinção entre SA-17 e PL-8 é especialmente importante quando as
organizações terceirizam o desenvolvimento de sistemas, componentes de sistema ou serviços de sistema e quando
há um requisito para demonstrar consistência com a arquitetura empresarial e a arquitetura de segurança e
privacidade da organização. [ISO 15408-2], [ISO 15408-3] e [SP 800-160-1] fornecem informações sobre arquitetura
e design de segurança, incluindo modelos formais de política, componentes relevantes para a segurança, correspondência
formal e informal, design conceitualmente simples, e estruturação para menos privilégios e testes.
Controles Relacionados: PL-2, PL-8, PM-7, SA-3, SA-4, SA-8, SC-7.
(1) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | MODELO DE POLÍTICA FORMAL
(a) Produzir, como parte integrante do processo de desenvolvimento, um modelo político formal
descrevendo a [Tarefa: elementos de segurança organizacional e política de privacidade definidos pela
organização] a serem aplicados; e
(b) Provar que o modelo político formal é internamente consistente e suficiente para fazer cumprir
os elementos definidos da política de segurança e privacidade organizacional quando
implementados.
Discussão: Os modelos formais descrevem comportamentos específicos ou políticas de segurança e privacidade

usando linguagens formais, permitindo assim que a correção desses comportamentos e políticas seja
formalmente comprovada. Nem todos os componentes dos sistemas podem ser modelados. Geralmente, as
especificações formais têm como escopo os comportamentos ou políticas de interesse, como políticas de controle
de acesso não discricionárias. As organizações escolhem a linguagem e abordagem de modelagem formal com base
na natureza dos comportamentos e políticas a serem descritas e nas ferramentas disponíveis.
Controles relacionados: AC-3, AC-4, AC-25.
(2) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | RELEVANTE PARA A SEGURANÇA
COMPONENTES
(a) Definir hardware, software e firmware relevantes para a segurança; e
(b) Fornecer uma justificativa de que a definição de hardware, software e software relevantes para a segurança
firmware está completo.
Discussão: O hardware, software e firmware relevantes para a segurança representam a parte do sistema, componente
ou serviço que é confiável para funcionar corretamente para manter as propriedades de segurança necessárias.
Controles Relacionados: AC-25, SA-5.
(3) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | CORRESPONDÊNCIA FORMAL
(a) Produzir, como parte integrante do processo de desenvolvimento, um relatório formal de nível superior
especificação que especifica as interfaces para hardware, software e firmware relevantes para a segurança
em termos de exceções, mensagens de erro e efeitos;
(b) Mostrar através de provas, na medida do possível, com demonstração informal adicional, conforme
necessário que a especificação formal de nível superior seja consistente com o modelo político formal;
(c) Mostrar, por meio de demonstração informal, que a especificação formal de nível superior cobre
completamente as interfaces com hardware, software e firmware relevantes para a segurança;

e
g
_________________________________________________________________________________________________
pe
E (d) Mostrar que a especificação formal de nível superior é uma descrição precisa do
hardware, software e firmware implementados relevantes para a segurança; e
(e) Descrever os mecanismos de hardware, software e firmware relevantes para a segurança,
não abordados na especificação formal de nível superior, mas estritamente internos ao
hardware, software e firmware relevantes para a segurança.
Discussão: A correspondência é uma parte importante da garantia obtida através da modelagem.
Demonstra que a implementação é uma transformação precisa do modelo e que qualquer código
adicional ou detalhes de implementação presentes não têm impacto nos comportamentos ou políticas que
estão sendo modelados. Métodos formais podem ser usados para mostrar que as propriedades de
segurança de alto nível são satisfeitas pela descrição formal do sistema e que a descrição formal do
sistema é implementada corretamente por uma descrição de algum nível inferior, incluindo uma descrição de
hardware. A consistência entre as especificações formais de nível superior e os modelos políticos formais
geralmente não é passível de ser totalmente comprovada. Portanto, pode ser necessária uma combinação
de métodos formais e informais para demonstrar essa consistência. A consistência entre a especificação
formal de nível superior e a implementação real pode exigir o uso de uma demonstração informal devido
às limitações na aplicabilidade dos métodos formais para provar que a especificação reflete com precisão
a implementação. Os mecanismos de hardware, software e firmware internos aos componentes relevantes
para a segurança incluem registros de mapeamento e entrada e saída direta de memória.
Controles relacionados: AC-3, AC-4, AC-25, SA-4, SA-5.
(4) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | CORRESPONDÊNCIA INFORMAL

(a) Produzir, como parte integrante do processo de desenvolvimento, uma especificação descritiva
informal de nível superior que especifique as interfaces para hardware, software e
firmware relevantes para a segurança em termos de exceções, mensagens de erro e efeitos;
(b) Show via [Seleção: demonstração informal; argumento convincente com formal
métodos possíveis] que a especificação descritiva de nível superior seja consistente com o
modelo político formal;
(c) Mostrar, por meio de demonstração informal, que a especificação descritiva de nível
superior cobre completamente as interfaces para hardware, software e firmware
relevantes para a segurança;
(d) Mostrar que a especificação descritiva de nível superior é uma descrição precisa das
interfaces para hardware, software e firmware relevantes para a segurança; e
(e) Descrever os mecanismos de hardware, software e firmware relevantes para a segurança não
abordado na especificação descritiva de nível superior, mas estritamente interno ao hardware,
software e firmware relevantes para a segurança.
Discussão: A correspondência é uma parte importante da garantia obtida através da modelagem.
Demonstra que a implementação é uma transformação precisa do modelo e que códigos adicionais ou
detalhes de implementação não têm impacto nos comportamentos ou políticas que estão sendo
modelados. A consistência entre a especificação descritiva de nível superior (isto é, concepção de
alto/baixo nível) e o modelo político formal geralmente não é passível de ser totalmente comprovada.
Portanto, pode ser necessária uma combinação de métodos formais e informais para demonstrar essa
consistência. Os mecanismos de hardware, software e firmware estritamente internos ao hardware,
software e firmware relevantes para a segurança incluem registros de mapeamento e entrada e saída
direta de memória.
Controles relacionados: AC-3, AC-4, AC-25, SA-4, SA-5.
(5) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | PROJETO CONCEITUALMENTE SIMPLES

e
g
_________________________________________________________________________________________________
pe
E (a) Projetar e estruturar o hardware, software e firmware relevantes para a segurança para usar um
mecanismo de proteção completo, conceitualmente simples, com semântica definida com
precisão; e
(b) Estruture internamente o hardware, software e firmware relevantes para a segurança, com atenção
específica a este mecanismo.
Discussão: O princípio da complexidade reduzida afirma que o projeto do sistema é tão simples e pequeno
quanto possível (ver SA-8(7)). Um projeto pequeno e simples é mais fácil de entender e analisar e também é
menos propenso a erros (ver AC-25, SA-8(13)). O princípio da complexidade reduzida aplica-se a qualquer
aspecto de um sistema, mas tem particular importância para a segurança devido às diversas análises realizadas
para obter evidências sobre a propriedade de segurança emergente do sistema. Para que tais análises sejam
bem-sucedidas, um projeto pequeno e simples é essencial. A aplicação do princípio da complexidade
reduzida contribui para a capacidade dos desenvolvedores de sistemas de compreender a exatidão e
integridade das funções de segurança do sistema e facilita a identificação de potenciais vulnerabilidades. O
corolário da complexidade reduzida afirma que a simplicidade do sistema está diretamente relacionada ao
número de vulnerabilidades que ele conterá. Ou seja, sistemas mais simples contêm menos vulnerabilidades. Um
benefício importante da complexidade reduzida é que é mais fácil compreender se a política de segurança foi
capturada no design do sistema e que é provável que sejam introduzidas menos vulnerabilidades durante o
desenvolvimento da engenharia. Um benefício adicional é que qualquer conclusão sobre a exatidão, integridade
e existência de vulnerabilidades pode ser alcançada com um maior grau de segurança, em contraste com as
conclusões alcançadas em situações em que o projeto do sistema é inerentemente mais complexo.
Controles Relacionados: AC-25, SA-8, SC-3.
(6) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | ESTRUTURA PARA TESTE
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema estruture

hardware, software e firmware relevantes para a segurança para facilitar os testes.
Discussão: A aplicação dos princípios de design de segurança em [SP 800-160-1] promove testes e avaliação
completos, consistentes e abrangentes de sistemas, componentes de sistema e serviços. A minuciosidade de tais
testes contribui para que a evidência produzida gere um caso ou argumento de garantia eficaz quanto à confiabilidade
do sistema, componente do sistema ou serviço.
Controles Relacionados: SA-5, SA-11.
(7) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | ESTRUTURA PARA MENOS PRIVILÉGIO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema estruture hardware,
software e firmware relevantes para a segurança para facilitar o controle do acesso com menos
privilégios.
Discussão: O princípio do menor privilégio afirma que cada componente recebe privilégios suficientes para realizar
suas funções especificadas, mas não mais (ver SA-8(14)). A aplicação do princípio do menor privilégio limita
o escopo das ações do componente, o que tem dois efeitos desejáveis. Primeiro, o impacto na segurança
de uma falha, corrupção ou uso indevido do sistema
componente resulta em um impacto de segurança minimizado. Segundo, a análise de segurança do
componente é simplificada. O privilégio mínimo é um princípio difundido que se reflete em todos os aspectos do
design do sistema seguro. As interfaces usadas para invocar a capacidade do componente estão disponíveis apenas
para determinados subconjuntos da população de usuários, e o design do componente suporta uma granularidade
suficientemente fina de decomposição de privilégios. Por exemplo, no caso de um mecanismo de auditoria, pode
haver uma interface para o gestor de auditoria, que define as configurações de auditoria; uma interface para
o operador de auditoria, que garante que os dados de auditoria sejam coletados e armazenados com segurança;
e, finalmente, mais uma interface para o revisor de auditoria, que só precisa visualizar os dados de auditoria que
foram coletados, mas não precisa realizar operações nesses dados.

e
g
_________________________________________________________________________________________________
pe
E Além de suas manifestações na interface do sistema, o privilégio mínimo pode ser usado como princípio orientador para
a estrutura interna do próprio sistema. Um aspecto do menor privilégio interno é construir módulos de modo que apenas os
elementos encapsulados pelo módulo sejam diretamente operados pelas funções dentro do módulo. Elementos externos a
um módulo que podem ser afetados pela operação do módulo são acessados indiretamente através da interação (por
exemplo, através de uma chamada de função) com o módulo que contém esses elementos. Outro aspecto do menor privilégio
interno é que o escopo de um determinado módulo ou componente inclui apenas os elementos do sistema que são
necessários para sua funcionalidade, e os modos de acesso aos elementos (por exemplo, leitura, gravação) são mínimos.
Controles relacionados: AC-5, AC-6, SA-8.
(8) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | ORQUESTRAÇÃO
Projetar [Atribuição: sistemas críticos ou componentes de sistema definidos pela organização] com
comportamento coordenado para implementar os seguintes recursos: [Atribuição: capacidades definidas pela
organização, por sistema ou componente].
Discussão: Os recursos de segurança distribuídos, localizados em diferentes camadas ou em diferentes elementos do sistema,
ou implementados para suportar diferentes aspectos de confiabilidade, podem interagir de maneiras imprevistas ou
incorretas. As consequências adversas podem incluir falhas em cascata, interferências ou lacunas de cobertura. A
coordenação do comportamento dos recursos de segurança (por exemplo, garantindo que um patch seja instalado em todos
os recursos antes de fazer uma alteração na configuração que pressuponha que o patch seja propagado)
pode evitar essas interações negativas.
(9) ARQUITETURA E DESIGN DE SEGURANÇA E PRIVACIDADE DO DESENVOLVEDOR | DIVERSIDADE DE DESIGN
Use designs diferentes para [Atribuição: sistemas críticos ou componentes de sistema definidos pela
organização] para satisfazer um conjunto comum de requisitos ou para fornecer funcionalidade
equivalente.
Discussão: A diversidade de design é alcançada fornecendo a mesma especificação de requisitos a vários desenvolvedores,
cada um dos quais é responsável por desenvolver uma variante do sistema ou componente do sistema que atenda aos
requisitos. As variantes podem estar no design de software, no design de hardware ou no design de hardware e
software. As diferenças nos designs das variantes podem resultar da experiência do desenvolvedor (por exemplo, uso
anterior de um padrão de design), estilo de design (por exemplo, ao decompor uma função necessária em tarefas menores,
determinar o que constitui uma tarefa separada e até que ponto decompor as tarefas em subtarefas), seleção de
bibliotecas para incorporar na variante e ambiente de desenvolvimento (por exemplo, diferentes ferramentas de design
facilitam a visualização de alguns padrões de design). A diversidade de design de hardware inclui a tomada de decisões
diferentes sobre quais informações manter em formato analógico e quais informações converter em formato digital,
transmitindo as mesmas informações em momentos diferentes,
e introdução de atrasos na amostragem (diversidade temporal). A diversidade de design é comumente usada para oferecer
suporte à tolerância a falhas.
Referências: [ISO 15408-2], [ISO 15408-3], [SP 800-160-1].
SA-18 RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO
[Retirado: movido para SR-9.]
(1) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | MÚLTIPLAS FASES DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA

e
g
_________________________________________________________________________________________________
pe
E (2) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | INSPEÇÃO DE SISTEMAS OU COMPONENTES
AUTENTICIDADE DO COMPONENTE SA-19
(1) AUTENTICIDADE DO COMPONENTE | TREINAMENTO ANTI-FALSIFICAÇÃO
(2) AUTENTICIDADE DO COMPONENTE | CONTROLE DE CONFIGURAÇÃO PARA SERVIÇO E REPARO DE COMPONENTES
(3) AUTENTICIDADE DO COMPONENTE | ELIMINAÇÃO DE COMPONENTES
(4) AUTENTICIDADE DO COMPONENTE | DIGITALIZAÇÃO ANTI-FALSA
SA-20 DESENVOLVIMENTO PERSONALIZADO DE COMPONENTES CRÍTICOS
Controle: Reimplemente ou desenvolva de forma personalizada os seguintes componentes críticos do sistema:

[Tarefa: componentes críticos do sistema definidos pela organização].
Discussão: As organizações determinam que determinados componentes do sistema provavelmente não são confiáveis
devido a ameaças e vulnerabilidades específicas nesses componentes para os quais não há controles de segurança viáveis
para mitigar adequadamente os riscos. A reimplementação ou o desenvolvimento personalizado de tais componentes pode
satisfazer os requisitos de maior garantia e é realizado iniciando alterações nos componentes do sistema (incluindo
hardware, software e firmware), de modo que os ataques padrão por parte dos adversários tenham menos probabilidade
de sucesso. Em situações em que não há fontes alternativas disponíveis e as organizações optam por não reimplementar
ou desenvolver de forma personalizada componentes críticos do sistema, controles adicionais podem ser empregados.
Os controles incluem auditoria aprimorada,
restrições ao código-fonte e acesso a utilitários do sistema e proteção contra exclusão de arquivos do sistema e de aplicativos.
Controles Relacionados: CP-2, RA-9, SA-8.
Referências: [SP 800-160-1].
TRIAGEM DO DESENVOLVEDOR SA-21
Controle: Exigir que o desenvolvedor de [Atribuição: sistema definido pela organização, componente do sistema ou
serviço do sistema]:
a. Possui autorizações de acesso apropriadas, conforme determinado pela [Atribuição: funções governamentais oficiais
definidas pela organização]; e
b. Satisfaz os seguintes critérios adicionais de triagem de pessoal: [Atribuição: organização-

definiram critérios adicionais de triagem de pessoal].
Discussão: A triagem de desenvolvedores é direcionada a desenvolvedores externos. A triagem interna do desenvolvedor é

abordada pelo PS-3. Dado que o sistema, o componente do sistema ou o serviço do sistema podem ser utilizados em
atividades críticas essenciais para os interesses de segurança nacional ou económica dos Estados Unidos, as
organizações têm um forte interesse em garantir que os desenvolvedores sejam confiáveis. O grau de

e
g
_________________________________________________________________________________________________
pe
E a confiança exigida dos desenvolvedores pode precisar ser consistente com a dos indivíduos que acessam os sistemas,
componentes do sistema ou serviços do sistema, uma vez implantados. Os critérios de autorização e triagem
de pessoal incluem autorizações, verificações de antecedentes, cidadania e nacionalidade.
A confiabilidade do desenvolvedor também pode incluir uma revisão e análise da propriedade da empresa e dos
relacionamentos que a empresa mantém com entidades que podem afetar potencialmente a qualidade e a
confiabilidade dos sistemas, componentes ou serviços que estão sendo desenvolvidos. Satisfazer as autorizações
de acesso exigidas e os critérios de triagem de pessoal inclui o fornecimento de uma lista de todos os indivíduos
autorizados a realizar atividades de desenvolvimento no sistema, componente do sistema ou serviço do
sistema selecionado, para que as organizações possam validar se o desenvolvedor atendeu aos requisitos de autorização
e triagem.
Controles relacionados: PS-2, PS-3, PS-6, PS-7, SA-4, SR-6.
(1) TRIAGEM DO DESENVOLVEDOR | VALIDAÇÃO DA TRIAGEM
COMPONENTES DO SISTEMA NÃO SUPORTADOS SA-22
Ao controle:
a. Substitua os componentes do sistema quando o suporte para os componentes não estiver mais disponível por parte
do desenvolvedor, fornecedor ou fabricante; ou
b. Forneça as seguintes opções de fontes alternativas para suporte contínuo para componentes não suportados [Seleção
(uma ou mais): suporte interno; [Tarefa: suporte definido pela organização de fornecedores externos]].
Discussão: O suporte para componentes do sistema inclui patches de software, atualizações de firmware, peças
de reposição e contratos de manutenção. Um exemplo de componentes não suportados
inclui quando os fornecedores não fornecem mais patches de software críticos ou atualizações de produtos, o que pode
resultar em uma oportunidade para os adversários explorarem pontos fracos nos componentes instalados.
As exceções à substituição de componentes de sistema não suportados incluem sistemas que fornecem missões
críticas ou capacidades de negócios onde tecnologias mais recentes não estão disponíveis ou onde os sistemas
estão tão isolados que a instalação de componentes de substituição não é uma opção.
Fontes alternativas de suporte atendem à necessidade de fornecer suporte contínuo para componentes de sistema
que não são mais suportados pelos fabricantes, desenvolvedores ou fornecedores originais, quando tais componentes
permanecem essenciais para a missão organizacional e funções de negócios. Se necessário, as organizações podem
estabelecer suporte interno desenvolvendo patches personalizados para componentes de software críticos ou,
alternativamente, obter os serviços de fornecedores externos que fornecem suporte contínuo para os componentes
designados sem suporte através de relações contratuais. Essas relações contratuais podem incluir fornecedores
de valor agregado de software de código aberto. O risco aumentado de utilização de componentes de sistema não
suportados pode ser mitigado, por exemplo, proibindo a ligação de tais componentes a redes públicas ou não
controladas, ou implementando outras formas de isolamento.
Controles Relacionados: PL-2, SA-3.
(1) COMPONENTES DO SISTEMA NÃO SUPORTADOS | FONTES ALTERNATIVAS PARA APOIO CONTÍNUO

e
g
_________________________________________________________________________________________________
pe
E ESPECIALIZAÇÃO SA-23
Controle: Empregar [Seleção (um ou mais): design; modificação; aumento; reconfiguração] em [Atribuição: sistemas ou
componentes de sistema definidos pela organização] apoiando serviços ou funções essenciais à missão para
aumentar a confiabilidade desses sistemas ou componentes.
Discussão: Muitas vezes é necessário que um sistema ou componente de sistema que suporta serviços ou
funções essenciais à missão seja melhorado para maximizar a fiabilidade do recurso.
Às vezes, esse aprimoramento é feito no nível do design. Em outros casos, isso é feito pós-projeto, seja através
de modificações no sistema em questão ou aumentando o sistema com componentes adicionais. Por exemplo, funções
suplementares de autenticação ou não repúdio podem ser adicionadas ao sistema para melhorar a identidade de recursos
críticos para outros recursos que dependem dos recursos definidos pela organização.
Controles Relacionados: RA-9, SA-8.
Referências: [SP 800-160-1], [SP 800-160-2].

e
g
_________________________________________________________________________________________________
pe
E 3.18 PROTEÇÃO DE SISTEMA E COMUNICAÇÕES
Link rápido para a tabela de resumo da proteção do sistema e das comunicações
POLÍTICA E PROCEDIMENTOS SC-1
Ao controle:
a. Desenvolver, documentar e divulgar para [Atribuição: pessoal definido pela organização ou

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] sistema e política de proteção de comunicações que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação

entre entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
2. Procedimentos para facilitar a implementação do sistema e comunicações

política de proteção e os controles associados de proteção de sistemas e comunicações;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento,

documentação e divulgação da política e procedimentos de proteção do sistema e das comunicações; e
c. Revise e atualize o sistema atual e a proteção das comunicações:
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos

definidos pela organização]; e
2. Procedimentos [Atribuição: frequência definida pela organização] e seguintes [Atribuição:

eventos definidos pela organização].
Discussão: As políticas e procedimentos de proteção de sistemas e comunicações abordam os controles da família SC

que são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de
segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de sistemas de proteção de sistemas e comunicações.
política e procedimentos. As políticas e procedimentos do programa de segurança e privacidade no nível da organização
são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão ou do
sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser representada por
múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos para
programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se necessário. Os
procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo
ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança
e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização
da política e dos procedimentos de proteção de sistemas e comunicações incluem avaliações ou resultados de auditoria,
incidentes ou violações de segurança ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Controles Relacionados: PM-9, PS-8, SA-8, SI-12.
Referências: [OMB A-130], [SP 800-12], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E SC-2 SEPARAÇÃO DE SISTEMA E FUNCIONALIDADE DO USUÁRIO
Controle: Funcionalidade de usuário separada, incluindo serviços de interface de usuário, da funcionalidade de gerenciamento do
sistema.
Discussão: A funcionalidade de gerenciamento do sistema inclui funções necessárias para administrar bancos de
dados, componentes de rede, estações de trabalho ou servidores. Estas funções normalmente requerem acesso de usuário
privilegiado. A separação das funções do usuário das funções de gerenciamento do sistema é física ou lógica. As
organizações podem separar as funções de gerenciamento de sistema das funções de usuário usando diferentes computadores,
instâncias de sistemas operacionais, unidades centrais de processamento ou endereços de rede; empregando técnicas de
virtualização; ou alguma combinação destes ou de outros métodos. Separação das funções de gerenciamento do sistema das
funções do usuário
inclui interfaces administrativas da web que empregam métodos de autenticação separados para usuários de quaisquer outros
recursos do sistema. A separação das funções do sistema e do usuário pode incluir o isolamento de interfaces administrativas
em domínios diferentes e com controles de acesso adicionais. A separação da funcionalidade do sistema e do usuário
pode ser alcançada aplicando os princípios de projeto de engenharia de segurança de sistemas em SA-8, incluindo SA-8(1),
SA-8(3), SA-8(4), SA-8(10 ), SA-8(12), SA-8(13), SA-8(14) e SA-8(18).
Controles relacionados: AC-6, SA-4, SA-8, SC-3, SC-7, SC-22, SC-32, SC-39.
(1) SEPARAÇÃO DA FUNCIONALIDADE DO SISTEMA E DO USUÁRIO | INTERFACES PARA USUÁRIOS NÃO PRIVILEGIADOS
Impedir a apresentação da funcionalidade de gerenciamento do sistema em interfaces para usuários não

privilegiados.
Discussão: Impedir a apresentação da funcionalidade de gerenciamento do sistema em interfaces para usuários não
privilegiados garante que as opções de administração do sistema, incluindo privilégios de administrador, não estejam
disponíveis para a população geral de usuários. A restrição do acesso do usuário também proíbe o uso da opção cinza
comumente usada para eliminar a acessibilidade a tais informações. Uma solução potencial é reter as opções de
administração do sistema até que os usuários estabeleçam sessões com privilégios de administrador.
Controles Relacionados: AC-3.
(2) SEPARAÇÃO DA FUNCIONALIDADE DO SISTEMA E DO USUÁRIO | DESASSOCIABILIDADE
Armazene informações de estado de aplicativos e software separadamente.
Discussão: Se um sistema estiver comprometido, armazenar aplicativos e software separadamente das informações de
estado sobre as interações dos usuários com um aplicativo pode proteger melhor a privacidade dos indivíduos.
ISOLAMENTO DA FUNÇÃO DE SEGURANÇA SC-3
Controle: Isole as funções de segurança das funções não relacionadas à segurança.
Discussão: As funções de segurança são isoladas das funções não relacionadas à segurança por meio de um limite de isolamento
implementado dentro de um sistema por meio de partições e domínios. A fronteira do isolamento
controla o acesso e protege a integridade do hardware, software e firmware que executam funções de segurança do
sistema. Os sistemas implementam a separação de código de várias maneiras, como
através do fornecimento de núcleos de segurança através de anéis de processador ou modos de processador. Para código não-
kernel, o isolamento da função de segurança geralmente é obtido por meio de proteções do sistema de arquivos que protegem o
código no disco e proteções de espaço de endereço que protegem a execução do código. Os sistemas podem restringir o acesso às
funções de segurança usando mecanismos de controle de acesso e implementando privilégios mínimos

e
g
_________________________________________________________________________________________________
pe
E capacidades. Embora o ideal seja que todo o código dentro do limite de isolamento da função de segurança definido contenha apenas
código relevante para a segurança, às vezes é necessário incluir funções não relacionadas à segurança como uma exceção. O
isolamento das funções de segurança das funções não relacionadas à segurança pode ser alcançado aplicando os princípios de
projeto de engenharia de segurança de sistemas em SA-8, incluindo SA-8(1), SA-8(3), SA-8(4), SA-8( 10), SA-8(12), SA-8(13),
SA-8(14) e SA-8(18).
Controles relacionados: AC-3, AC-6, AC-25, CM-2, CM-4, SA-4, SA-5, SA-8, SA-15, SA-17, SC-2, SC-7 , SC-32, SC-39, SI-16.
(1) ISOLAMENTO DA FUNÇÃO DE SEGURANÇA | SEPARAÇÃO DE HARDWARE
Empregue mecanismos de separação de hardware para implementar o isolamento da função de segurança.
Discussão: Os mecanismos de separação de hardware incluem arquiteturas de anel de hardware que são implementadas
dentro de microprocessadores e segmentação de endereço imposta por hardware usada para suportar objetos de
armazenamento logicamente distintos com atributos separados (isto é, legíveis, graváveis).
(2) ISOLAMENTO DA FUNÇÃO DE SEGURANÇA | FUNÇÕES DE ACESSO E CONTROLE DE FLUXO
Isole as funções de segurança que impõem o acesso e o controle do fluxo de informações das funções não
relacionadas à segurança e de outras funções de segurança.
Discussão: O isolamento da função de segurança ocorre devido à implementação. As funções ainda podem ser digitalizadas
e monitoradas. As funções de segurança que estão potencialmente isoladas das funções de aplicação de controle de acesso
e fluxo incluem auditoria, detecção de intrusão e funções de proteção de código malicioso.
(3) ISOLAMENTO DA FUNÇÃO DE SEGURANÇA | MINIMIZAR A FUNCIONALIDADE DE NÃO SEGURANÇA
Minimize o número de funções não relacionadas à segurança incluídas no limite de isolamento que contém
funções de segurança.
Discussão: Quando não for viável alcançar o isolamento estrito das funções não relacionadas à segurança das funções de
segurança, é necessário tomar medidas para minimizar as funções não relevantes à segurança dentro dos limites da função
de segurança. As funções não relacionadas à segurança contidas no limite de isolamento são consideradas relevantes para
a segurança porque erros ou códigos maliciosos no software podem impactar diretamente as funções de segurança dos
sistemas. O objetivo fundamental do projeto é que as partes específicas dos sistemas que fornecem segurança da
informação sejam de tamanho e complexidade mínimos. Minimizar o número de funções não relacionadas à segurança
nos componentes do sistema relevantes para a segurança permite que os projetistas e implementadores se concentrem
apenas nas funções necessárias para fornecer a capacidade de segurança desejada (normalmente imposição de acesso).
Ao minimizar as funções não relacionadas à segurança dentro dos limites de isolamento, a quantidade de código confiável para
impor políticas de segurança é significativamente reduzida, contribuindo assim para a compreensão.
(4) ISOLAMENTO DA FUNÇÃO DE SEGURANÇA | ACOPLAMENTO E COESIVIDADE DO MÓDULO
Implemente funções de segurança como módulos amplamente independentes que maximizam a coesão interna
dentro dos módulos e minimizam o acoplamento entre módulos.
Discussão: A redução das interações entre módulos ajuda a restringir as funções de segurança e a gerenciar a complexidade.
Os conceitos de acoplamento e coesão são importantes no que diz respeito à modularidade no design de software.
Acoplamento refere-se às dependências que um módulo tem de outros módulos. Coesão se refere ao relacionamento entre
funções dentro de um módulo.
As melhores práticas em engenharia de software e engenharia de segurança de sistemas dependem de camadas,

e
g
_________________________________________________________________________________________________
pe
E minimização e decomposição modular para reduzir e gerenciar a complexidade. Isso produz módulos de software altamente
coesos e pouco acoplados.
(5) ISOLAMENTO DA FUNÇÃO DE SEGURANÇA | ESTRUTURAS EM CAMADAS
Implemente funções de segurança como uma estrutura em camadas, minimizando as interações entre as
camadas do design e evitando qualquer dependência das camadas inferiores da funcionalidade ou correção das
camadas superiores.
Discussão: A implementação de estruturas em camadas com interações minimizadas entre funções de segurança e
camadas sem loop (ou seja, funções de camada inferior não dependem de funções de camada superior) permite o
isolamento de funções de segurança e o gerenciamento da complexidade.
INFORMAÇÕES SC-4 EM RECURSOS DO SISTEMA COMPARTILHADOS
Controle: Impedir a transferência de informações não autorizadas e não intencionais através de sistema compartilhado
recursos.
Discussão: Prevenir a transferência não autorizada e não intencional de informações por meio de recursos de sistema
compartilhados impede que as informações produzidas pelas ações de usuários ou funções anteriores (ou pelas ações de
processos que atuam em nome de usuários ou funções anteriores) fiquem disponíveis para usuários ou funções atuais (ou
processos atuais). agindo em nome de usuários ou funções atuais) que obtêm acesso a recursos compartilhados do sistema
após esses recursos terem sido liberados de volta ao sistema. As informações em recursos de sistema compartilhados também
se aplicam a representações criptografadas de informações. Em outros contextos, o controle de informações em recursos de
sistema compartilhados é referido como reutilização de objetos e proteção de informações residuais. As informações nos
recursos compartilhados do sistema não abordam a remanência de informações, que se refere à representação residual de
dados que foram nominalmente excluídos; canais secretos (incluindo canais de armazenamento e temporização), onde
recursos compartilhados do sistema são manipulados para violar restrições de fluxo de informações; ou componentes em sistemas
para os quais existem apenas usuários ou funções individuais.
Controles Relacionados: AC-3, AC-4, SA-8.
(1) INFORMAÇÕES EM RECURSOS DO SISTEMA COMPARTILHADO | NÍVEIS DE SEGURANÇA
[Retirado: Incorporado ao SC-4.]
(2) INFORMAÇÕES EM RECURSOS DO SISTEMA COMPARTILHADO | PROCESSAMENTO MULTILÍVEL OU PERÍODOS
Impedir a transferência não autorizada de informações por meio de recursos compartilhados de acordo com
[Atribuição: procedimentos definidos pela organização] quando o processamento do sistema alterna explicitamente
entre diferentes níveis de classificação de informações ou categorias de segurança.
Discussão: Mudanças nos níveis de processamento podem ocorrer durante processamento multinível ou períodos com
informações em diferentes níveis de classificação ou categorias de segurança. Também pode ocorrer durante a
reutilização serial de componentes de hardware em diferentes níveis de classificação. Os procedimentos definidos pela
organização podem incluir processos de sanitização aprovados para informações armazenadas eletronicamente.

e
g
_________________________________________________________________________________________________
pe
E PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO SC-5
Ao controle:
a. [Seleção: Proteger contra; Limitar] os efeitos dos seguintes tipos de eventos de negação de serviço: [Atribuição: tipos de
eventos de negação de serviço definidos pela organização]; e
b. Empregue os seguintes controles para atingir o objetivo de negação de serviço: [Atribuição: controles definidos pela
organização por tipo de evento de negação de serviço].
Discussão: Os eventos de negação de serviço podem ocorrer devido a uma variedade de causas internas e externas,
como um ataque de um adversário ou falta de planejamento para apoiar as necessidades organizacionais em relação à
capacidade e largura de banda. Esses ataques podem ocorrer em uma ampla variedade de protocolos de rede (por exemplo,
IPv4, IPv6). Uma variedade de tecnologias está disponível para limitar ou eliminar a origem e os efeitos de eventos de
negação de serviço. Por exemplo, os dispositivos de proteção de limites podem filtrar certos tipos de pacotes para proteger os
componentes do sistema nas redes internas de serem diretamente afetados ou originados por ataques de negação de serviço.
O emprego de maior capacidade de rede e largura de banda combinada com redundância de serviço também reduz a
suscetibilidade a eventos de negação de serviço.
Controles relacionados: CP-2, IR-4, SC-6, SC-7, SC-40.
(1) PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO | CAPACIDADE RESTRITA DE ATACAR OUTROS SISTEMAS
Restringir a capacidade dos indivíduos de lançar os seguintes ataques de negação de serviço contra outros
sistemas: [Atribuição: ataques de negação de serviço definidos pela organização].
Discussão: Restringir a capacidade dos indivíduos de lançar ataques de negação de serviço exige que os mecanismos
normalmente utilizados para tais ataques não estejam disponíveis. Indivíduos preocupantes incluem pessoas internas hostis
ou adversários externos que violaram ou comprometeram o sistema e o estão usando para lançar um ataque de negação
de serviço. As organizações podem restringir a capacidade dos indivíduos de se conectarem e transmitirem informações
arbitrárias no meio de transporte (isto é, redes com fio, redes sem fio, pacotes de protocolo de Internet falsificados). As
organizações também podem limitar a capacidade dos indivíduos de usar recursos excessivos do sistema. A proteção contra
indivíduos que tenham a capacidade de lançar ataques de negação de serviço pode ser implementada em sistemas
específicos ou dispositivos de limite que proíbam a saída para sistemas alvo em potencial.
(2) PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO | CAPACIDADE, LARGURA DE BANDA E REDUNDÂNCIA
Gerencie a capacidade, a largura de banda ou outras redundâncias para limitar os efeitos dos ataques de
negação de serviço por inundação de informações.
Discussão: A gestão da capacidade garante que esteja disponível capacidade suficiente para combater os ataques
de inundação. O gerenciamento da capacidade inclui o estabelecimento de prioridades de uso selecionadas, cotas,
particionamento ou balanceamento de carga.
(3) PROTEÇÃO CONTRA NEGAÇÃO DE SERVIÇO | DETECÇÃO E MONITORAMENTO
(a) Empregar as seguintes ferramentas de monitoramento para detectar indicadores de ataques de negação de serviço
contra o sistema ou lançados a partir dele: [Tarefa: ferramentas de monitoramento definidas pela organização];
e
(b) Monitore os seguintes recursos do sistema para determinar se existem recursos suficientes para
prevenir ataques eficazes de negação de serviço: [Atribuição: recursos do sistema definidos pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: As organizações consideram a utilização e a capacidade dos recursos do sistema ao gerenciar riscos
associados a uma negação de serviço devido a ataques maliciosos. Os ataques de negação de serviço podem ter origem
em fontes externas ou internas. Os recursos do sistema que são sensíveis à negação de serviço incluem armazenamento
em disco físico, memória e ciclos de CPU. As técnicas usadas para evitar ataques de negação de serviço relacionados à
utilização e capacidade de armazenamento incluem a instituição de cotas de disco, a configuração de sistemas
para alertar automaticamente os administradores quando limites específicos de capacidade de armazenamento
são atingidos, o uso de tecnologias de compactação de arquivos para maximizar o espaço de armazenamento
disponível e a imposição de partições separadas para dados do sistema e do usuário.
Controles Relacionados: CA-7, SI-4.
Referências: [SP 800-189].
DISPONIBILIDADE DE RECURSOS SC-6
Controle: Proteja a disponibilidade de recursos alocando [Atribuição: recursos definidos pela organização] por [Seleção (um
ou mais): prioridade; contingente; [Tarefa: controles definidos pela organização]].
Discussão: A proteção de prioridade evita que processos de prioridade mais baixa atrasem ou interfiram no sistema que
atende processos de prioridade mais alta. As cotas impedem que usuários ou processos obtenham mais do que quantidades
predeterminadas de recursos.
Controles Relacionados: SC-5.
Referências: [OMB M-08-05], [DHS TIC].
PROTEÇÃO DE LIMITE SC-7
Ao controle:
a. Monitore e controle as comunicações nas interfaces gerenciadas externas do sistema e

nas principais interfaces gerenciadas internas do sistema;
b. Implemente sub-redes para componentes do sistema acessíveis ao público que sejam [Seleção: fisicamente;
logicamente] separado das redes organizacionais internas; e
c. Conecte-se a redes ou sistemas externos somente por meio de interfaces gerenciadas que consistem em dispositivos
de proteção de limites organizados de acordo com uma arquitetura organizacional de segurança e privacidade.
Discussão: As interfaces gerenciadas incluem gateways, roteadores, firewalls, guardas, análise de código malicioso
baseada em rede, sistemas de virtualização ou túneis criptografados implementados dentro de uma arquitetura de
segurança. As sub-redes que estão física ou logicamente separadas das redes internas são chamadas de zonas
desmilitarizadas ou DMZs. Restringir ou proibir interfaces dentro de sistemas organizacionais inclui restringir o tráfego
externo da Web a servidores Web designados em interfaces gerenciadas, proibir o tráfego externo que pareça falsificar
endereços internos e proibir o tráfego interno que pareça falsificar endereços externos. [SP 800-189] fornece informações
adicionais sobre técnicas de validação de endereço de origem para evitar entrada e saída de tráfego com endereços
falsificados. Os serviços comerciais de telecomunicações são prestados por componentes de rede e sistemas de gestão
consolidados partilhados pelos clientes. Estes serviços também podem incluir linhas de acesso fornecidas por terceiros e
outros elementos de serviço. Esses serviços podem representar fontes de risco acrescido, apesar das disposições
de segurança contratual. A proteção de limite pode ser implementada como um controle comum para toda ou parte de uma
rede organizacional, de modo que o limite a ser protegido seja maior que um limite específico do sistema (isto é, um
limite de autorização).

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-4, AC-17, AC-18, AC-19, AC-20, AU-13, CA-3, CM-2, CM- 4, CM-7, CM-10, CP -8 , CP-10, IR-4,
MA-4, PE-3, PL-8, PM-12, SA-8, SA-17, SC-5, SC-26, SC- 32, SC-35, SC -43.
(1) PROTEÇÃO DE LIMITES | SUB-REDES FISICAMENTE SEPARADAS [Retirado:
Incorporado ao SC-7.]
(2) PROTEÇÃO DE LIMITES | ACESSO PÚBLICO
(3) PROTEÇÃO DE LIMITES | PONTOS DE ACESSO
Limite o número de conexões de rede externas ao sistema.
Discussão: Limitar o número de conexões de rede externas facilita o monitoramento do tráfego de comunicações
de entrada e saída. A conexão confiável com a Internet [DHS TIC]
A iniciativa é um exemplo de diretriz federal que exige limites no número de conexões de rede externa. Limitar o
número de conexões de rede externas ao sistema é importante durante os períodos de transição de tecnologias mais
antigas para tecnologias mais novas (por exemplo, transição de protocolos de rede IPv4 para IPv6). Essas
transições podem exigir a implementação simultânea de tecnologias mais antigas e mais recentes durante o período
de transição e, assim, aumentar o número de pontos de acesso ao sistema.
(4) PROTEÇÃO DE LIMITES | SERVIÇOS DE TELECOMUNICAÇÕES EXTERNAS
(a) Implementar uma interface gerenciada para cada serviço de telecomunicações externo;
(b) Estabelecer uma política de fluxo de tráfego para cada interface gerenciada;
(c) Proteger a confidencialidade e integridade das informações transmitidas através

cada interface;
(d) Documentar cada exceção à política de fluxo de tráfego com uma missão de apoio ou
necessidade comercial e duração dessa necessidade;
(e) Revisar exceções à política de fluxo de tráfego [Atribuição: definida pela organização
frequência] e remover exceções que não são mais suportadas por uma missão explícita
ou necessidade comercial;
(f) Impedir a troca não autorizada de tráfego do plano de controle com redes externas;
(g) Publicar informações para permitir que redes remotas detectem tráfego não autorizado de plano de
controle de redes internas; e
(h) Filtrar o tráfego não autorizado do plano de controle de redes externas.
Discussão: Os serviços externos de telecomunicações podem fornecer serviços de comunicações de

dados e/ou voz. Exemplos de tráfego de plano de controle incluem roteamento Border Gateway Protocol (BGP),
Domain Name System (DNS) e protocolos de gerenciamento. Consulte [SP 800-189] para obter informações
adicionais sobre o uso do recurso de infraestrutura de chave pública (RPKI) para proteger rotas BGP e detectar
anúncios BGP não autorizados.
Controles relacionados: AC-3, SC-8, SC-20, SC-21, SC-22.
(5) PROTEÇÃO DE LIMITES | NEGAR POR PADRÃO – PERMITIR POR EXCEÇÃO
Negar tráfego de comunicações de rede por padrão e permitir tráfego de comunicações de rede por
exceção [Seleção (uma ou mais): em interfaces gerenciadas; para [Tarefa: sistemas definidos pela
organização]].
Discussão: Negar por padrão e permitir por exceção aplica-se ao tráfego de comunicações de rede de entrada e
saída. Uma política de tráfego de comunicações de rede de negação total e permissão por exceção garante que
apenas as conexões de sistema essenciais e aprovadas sejam

e
g
_________________________________________________________________________________________________
pe
E permitido. Negar por padrão, permitir por exceção também se aplica a um sistema conectado a um sistema
externo.
(6) PROTEÇÃO DE LIMITES | RESPOSTA ÀS FALHAS RECONHECIDAS
[Retirado: Incorporado em SC-7(18).]
(7) PROTEÇÃO DE LIMITES | TÚNEL DIVIDIDO PARA DISPOSITIVOS REMOTOS
Evite o tunelamento dividido para dispositivos remotos conectados a sistemas organizacionais, a

menos que o túnel dividido seja provisionado com segurança usando [Atribuição: proteções definidas pela organização].
Discussão: O tunelamento dividido é o processo que permite que um usuário ou dispositivo remoto
estabeleça uma conexão não remota com um sistema e se comunique simultaneamente por meio de
alguma outra conexão com um recurso em uma rede externa. Este método de acesso à rede permite que
um usuário acesse dispositivos remotos e, simultaneamente, acesse redes não controladas. O
tunelamento dividido pode ser desejável para usuários remotos se comunicarem com recursos do sistema local,
como impressoras ou servidores de arquivos. No entanto, o tunelamento dividido pode facilitar conexões
externas não autorizadas, tornando o sistema vulnerável a ataques e à exfiltração de informações
organizacionais. O tunelamento dividido pode ser evitado desabilitando as definições de configuração que
permitem tal capacidade em dispositivos remotos e impedindo que essas definições de configuração sejam
definidas pelos usuários. A prevenção também pode ser alcançada pela detecção de túnel dividido (ou de
definições de configuração que permitem o túnel dividido) no dispositivo remoto e pela proibição da conexão
se o dispositivo remoto estiver usando túnel dividido. Uma rede privada virtual (VPN) pode ser usada para
provisionar com segurança um túnel dividido. Uma VPN provisionada com segurança inclui o bloqueio da
conectividade para ambientes exclusivos, gerenciados e nomeados, ou para um conjunto específico de
endereços pré-aprovados, sem controle do usuário.
(8) PROTEÇÃO DE LIMITES | ROTEIE TRÁFEGO PARA SERVIDORES PROXY AUTENTICADOS
Encaminhe [Atribuição: tráfego de comunicações internas definido pela organização] para [Atribuição:
redes externas definidas pela organização] através de servidores proxy autenticados em interfaces
gerenciadas.
Discussão: Redes externas são redes fora do controle organizacional. Um servidor proxy é um servidor (isto
é, sistema ou aplicativo) que atua como intermediário para clientes que solicitam recursos do sistema de
servidores não organizacionais ou de outros servidores organizacionais. Os recursos do sistema que podem
ser solicitados incluem arquivos, conexões, páginas da web ou serviços. Solicitações de clientes
estabelecidos através de uma conexão a um servidor proxy são avaliados para gerenciar a complexidade e
fornecer proteção adicional, limitando a conectividade direta. Os dispositivos de filtragem de conteúdo da
Web são um dos servidores proxy mais comuns que fornecem acesso à Internet. Os servidores proxy podem
suportar o registro de sessões do Transmission Control Protocol e o bloqueio de Uniform Resource
Locators, endereços de protocolo da Internet e nomes de domínio específicos. Os proxies da Web podem
ser configurados com listas definidas pela organização de sites autorizados e não autorizados. Observe
que os servidores proxy podem inibir o uso de redes privadas virtuais (VPNs) e criar o potencial para ataques
“man-in-the-middle” (dependendo da implementação).
(9) PROTEÇÃO DE LIMITES | RESTRITAR TRÁFEGO DE COMUNICAÇÕES DE SAÍDA AMEAÇADO
(a) Detectar e negar o tráfego de comunicações de saída que represente uma ameaça aos sistemas externos;
e
(b) Auditar a identidade dos usuários internos associados às comunicações negadas.

Discussão: A detecção do tráfego de comunicações de saída a partir de ações internas que podem
representar ameaças a sistemas externos é conhecida como detecção de extrusão. A detecção de extrusão
é realizada dentro do sistema em interfaces gerenciadas. A detecção de extrusão inclui a análise de

e
g
_________________________________________________________________________________________________
pe
E tráfego de comunicações de entrada e saída enquanto procura indicações de ameaças internas à segurança de sistemas
externos. As ameaças internas a sistemas externos incluem
tráfego indicativo de ataques de negação de serviço, tráfego com endereços de origem falsificados e tráfego que contém
código malicioso. As organizações têm critérios para determinar, atualizar e gerenciar ameaças identificadas relacionadas
à detecção de extrusão.
Controles relacionados: AU-2, AU-6, SC-5, SC-38, SC-44, SI-3, SI-4.
(10) PROTEÇÃO DE LIMITES | EVITE A EXFILTRAÇÃO
(a) Impedir a exfiltração de informações; e
(b) Realizar testes de exfiltração [Atribuição: frequência definida pela organização].
Discussão: A prevenção da exfiltração aplica-se tanto à exfiltração intencional como não intencional de informações.
As técnicas usadas para evitar a exfiltração de informações dos sistemas podem ser implementadas em terminais internos,
limites externos e em interfaces gerenciadas e incluem adesão a formatos de protocolo, monitoramento de atividades
de beacon de sistemas, desconexão de interfaces de rede externas, exceto quando explicitamente necessário, empregando
perfil de tráfego análise para detectar desvios do volume e tipos de tráfego esperados, retornos de chamada para
centros de comando e controle, realização de testes de penetração, monitoramento de esteganografia, desmontagem e
remontagem de cabeçalhos de pacotes e uso de
ferramentas de prevenção contra perda e vazamento de dados. Os dispositivos que impõem adesão estrita aos
formatos de protocolo incluem firewalls de inspeção profunda de pacotes e gateways Extensible Markup Language (XML).
Os dispositivos verificam a adesão aos formatos e especificações do protocolo na camada de aplicação e identificam
vulnerabilidades que não podem ser detectadas pelos dispositivos que operam
nas camadas de rede ou de transporte. A prevenção da exfiltração é semelhante à perda de dados
prevenção ou prevenção de vazamento de dados e está intimamente associada a soluções entre domínios e proteções de
sistema que impõem requisitos de fluxo de informações.
Controles Relacionados: AC-2, CA-8, SI-3.
(11) PROTEÇÃO DE LIMITES | RESTRINGIR TRÁFEGO DE COMUNICAÇÕES DE ENTRADA
Permitir apenas que comunicações recebidas de [Atribuição: fontes autorizadas definidas pela organização] sejam
roteadas para [Atribuição: destinos autorizados definidos pela organização].
Discussão: Técnicas gerais de validação de endereço de origem são aplicadas para restringir o uso de endereços de origem
ilegais e não alocados, bem como de endereços de origem que só devem ser usados dentro do sistema. A restrição do
tráfego de comunicações de entrada fornece determinações de que os pares de endereços de origem e destino
representam comunicações autorizadas ou permitidas. As determinações podem ser baseadas em vários fatores, incluindo
a presença de tais pares de endereços nas listas de comunicações autorizadas ou permitidas, a ausência de tais pares de
endereços em listas de pares não autorizados ou não permitidos ou o cumprimento de regras mais gerais para origem e
destino autorizados ou permitidos. pares. A autenticação forte de endereços de rede não é possível sem o uso de protocolos
de segurança explícitos e, portanto, os endereços podem frequentemente ser falsificados. Além disso, podem ser
empregados métodos de restrição de tráfego de entrada baseados em identidade, incluindo listas de controle de acesso de
roteadores e regras de firewall.
(12) PROTEÇÃO DE LIMITES | PROTEÇÃO BASEADA EM HOST
Implemente [Atribuição: mecanismos de proteção de limites baseados em host definidos pela

organização] em [Atribuição: componentes do sistema definidos pela organização].
Discussão: Os mecanismos de proteção de limites baseados em host incluem firewalls baseados em host.
Os componentes do sistema que empregam mecanismos de proteção de limites baseados em host incluem
servidores, estações de trabalho, notebooks e dispositivos móveis.

e
g
_________________________________________________________________________________________________
pe
E (13) PROTEÇÃO DE LIMITES | ISOLAMENTO DE FERRAMENTAS, MECANISMOS E SUPORTE DE SEGURANÇA
COMPONENTES
Isole [Atribuição: ferramentas, mecanismos e componentes de suporte de segurança da informação definidos

pela organização] de outros componentes internos do sistema, implementando sub-redes fisicamente separadas com
interfaces gerenciadas para outros componentes do sistema.
Discussão: Sub-redes fisicamente separadas com interfaces gerenciadas são úteis para isolar as defesas de redes de
computadores de redes de processamento operacional críticas para evitar que adversários descubram as técnicas
de análise e perícia empregadas por
organizações.
Controles Relacionados: SC-2, SC-3.
(14) PROTEÇÃO DE LIMITES | PROTEJA CONTRA CONEXÕES FÍSICAS NÃO AUTORIZADAS
Proteja contra conexões físicas não autorizadas em [Atribuição: interfaces gerenciadas definidas pela organização].
Discussão: Os sistemas que operam em diferentes categorias de segurança ou níveis de classificação podem partilhar
controlos físicos e ambientais comuns, uma vez que os sistemas podem partilhar espaço dentro das mesmas instalações.
Na prática, é possível que esses sistemas separados compartilhem salas de equipamentos, armários de fiação e caminhos
de distribuição de cabos comuns. A proteção contra conexões físicas não autorizadas pode ser obtida usando bandejas de
cabos, estruturas de conexão e painéis de conexão claramente identificados e fisicamente separados para cada lado das
interfaces gerenciadas com controles de acesso físico que impõem acesso autorizado limitado a esses itens.
Controles Relacionados: PE-4, PE-19.
(15) PROTEÇÃO DE LIMITES | ACESSOS PRIVILEGIADOS EM REDE
Roteie acessos privilegiados em rede por meio de uma interface dedicada e gerenciada para fins de
controle de acesso e auditoria.
Discussão: O acesso privilegiado proporciona maior acessibilidade às funções do sistema, incluindo funções de segurança.
Os adversários tentam obter acesso privilegiado aos sistemas através do acesso remoto para causar impactos adversos na
missão ou nos negócios, como exfiltrando informações ou derrubando uma capacidade crítica do sistema. Roteamento de
solicitações de acesso privilegiado em rede
através de uma interface dedicada e gerenciada restringe ainda mais o acesso privilegiado para maior controle de
acesso e auditoria.
Controles relacionados: AC-2, AC-3, AU-2, SI-4.
(16) PROTEÇÃO DE LIMITES | EVITAR A DESCOBERTA DE COMPONENTES DO SISTEMA
Evite a descoberta de componentes específicos do sistema que representam uma interface gerenciada.
Discussão: Impedir a descoberta de componentes do sistema que representam uma interface gerenciada ajuda a
proteger os endereços de rede desses componentes contra descoberta por meio de ferramentas e técnicas comuns
usadas para identificar dispositivos em redes. Os endereços de rede não estão disponíveis para descoberta e requerem
conhecimento prévio para acesso. Impedir a descoberta de componentes e dispositivos pode ser conseguido através da não
publicação de endereços de rede, usando
tradução de endereços de rede ou não inserir os endereços em sistemas de nomes de domínio.
Outra técnica de prevenção é alterar periodicamente os endereços de rede.
(17) PROTEÇÃO DE LIMITES | APLICAÇÃO AUTOMATIZADA DE FORMATOS DE PROTOCOLO
Imponha a adesão aos formatos de protocolo.
Discussão: Os componentes do sistema que impõem formatos de protocolo incluem firewalls de inspeção profunda
de pacotes e gateways XML. Os componentes verificam a adesão ao protocolo

e
g
_________________________________________________________________________________________________
pe
E formatos e especificações na camada de aplicação e identificar vulnerabilidades que não podem ser detectadas por dispositivos
que operam nas camadas de rede ou de transporte.
(18) PROTEÇÃO DE LIMITES | FALHA SEGURA
Impedir que os sistemas entrem em estados inseguros no caso de uma falha operacional de um dispositivo de
proteção de limites.
Discussão: A segurança contra falhas é uma condição alcançada através do emprego de mecanismos para garantir que, no
caso de falhas operacionais de dispositivos de proteção de limites em interfaces gerenciadas, os sistemas não entrem
em estados inseguros onde as propriedades de segurança pretendidas não sejam mais válidas. As interfaces gerenciadas
incluem roteadores, firewalls e gateways de aplicativos que residem em sub-redes protegidas (comumente chamadas de
zonas desmilitarizadas). As falhas dos dispositivos de proteção de limites não podem levar ou fazer com que informações
externas aos dispositivos entrem nos dispositivos, nem as falhas podem permitir a liberação não autorizada de informações.
Controles Relacionados: CP-2, CP-12, SC-24.
(19) PROTEÇÃO DE LIMITES | BLOQUEAR COMUNICAÇÃO DE CONFIGURADOS NÃO ORGANIZACIONALMENTE

ANFITRIÕES
Bloqueie o tráfego de comunicações de entrada e saída entre [Atribuição: clientes de comunicação definidos pela
organização] que são configurados de forma independente por usuários finais e provedores de serviços
externos.
Discussão: Os clientes de comunicação configurados de forma independente pelos usuários finais e provedores de
serviços externos incluem clientes de mensagens instantâneas e software e aplicativos de videoconferência. O bloqueio
de tráfego não se aplica a clientes de comunicação configurados pelas organizações para executar funções autorizadas.
(20) PROTEÇÃO DE LIMITES | ISOLAMENTO DINÂMICO E SEGREGAÇÃO
Fornecer a capacidade de isolar dinamicamente [Atribuição: componentes do sistema definidos pela organização]
de outros componentes do sistema.
Discussão: A capacidade de isolar dinamicamente certos componentes internos do sistema é útil quando é necessário
particionar ou separar componentes do sistema de origem questionável de componentes que possuem maior
confiabilidade. O isolamento de componentes reduz a superfície de ataque dos sistemas organizacionais. O isolamento de
componentes selecionados do sistema também pode limitar os danos causados por ataques bem-sucedidos quando tais
ataques ocorrem.
(21) PROTEÇÃO DE LIMITES | ISOLAMENTO DE COMPONENTES DO SISTEMA
Empregar mecanismos de proteção de limites para isolar [Atribuição: componentes do sistema definidos pela
organização] que apoiam [Atribuição: missões e/ ou funções de negócios definidas pela organização].
Discussão: As organizações podem isolar componentes do sistema que desempenham diferentes missões ou funções de
negócios. Esse isolamento limita os fluxos de informações não autorizados entre os componentes do sistema e oferece
a oportunidade de implementar maiores níveis de proteção para componentes selecionados do sistema. O isolamento dos
componentes do sistema com mecanismos de proteção de limites fornece a capacidade de aumentar a proteção dos
componentes individuais do sistema e de controlar de forma mais eficaz os fluxos de informações entre esses
componentes. O isolamento dos componentes do sistema fornece proteção aprimorada que limita os danos potenciais
de erros e ataques cibernéticos hostis. O grau de isolamento varia dependendo dos mecanismos escolhidos.
Os mecanismos de proteção de limites incluem roteadores, gateways e firewalls que separam

componentes do sistema em redes ou sub-redes fisicamente separadas; dispositivos entre domínios

e
g
_________________________________________________________________________________________________
pe
E que separam sub-redes; técnicas de virtualização; e a criptografia dos fluxos de informações entre componentes do
sistema usando chaves de criptografia distintas.
Controles Relacionados: CA-9.
(22) PROTEÇÃO DE LIMITES | SUB-REDES SEPARADAS PARA CONECÇÃO A DIFERENTES DOMÍNIOS DE SEGURANÇA
Implemente endereços de rede separados para conectar-se a sistemas em diferentes domínios de segurança.
Discussão: A decomposição de sistemas em sub-redes (isto é, sub-redes) ajuda a fornecer o nível apropriado de proteção
para conexões de rede com diferentes domínios de segurança que contêm informações com diferentes categorias de
segurança ou níveis de classificação.
(23) PROTEÇÃO DE LIMITES | DESATIVAR FEEDBACK DO REMETENTE SOBRE FALHA NA VALIDAÇÃO DO PROTOCOLO
Desative o feedback aos remetentes sobre falha na validação do formato do protocolo.
Discussão: Desabilitar o feedback aos remetentes quando há uma falha no formato de validação do protocolo evita que
os adversários obtenham informações que de outra forma não estariam disponíveis.
(24) PROTEÇÃO DE LIMITES | INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEL
Para sistemas que processam informações de identificação pessoal:
(a) Aplicar as seguintes regras de processamento a elementos de dados de informações de identificação

pessoal: [Atribuição: regras de processamento definidas pela organização];
(b) Monitorar o processamento permitido nas interfaces externas do sistema e nos principais limites internos do
sistema;
(c) Documentar cada exceção de processamento; e
(d) Revise e remova exceções que não são mais suportadas.
Discussão: Gerenciar o processamento de informações de identificação pessoal é um aspecto importante da proteção da

privacidade de um indivíduo. Aplicar, monitorar e documentar exceções às regras de processamento garante que as
informações de identificação pessoal sejam processadas apenas de acordo com os requisitos de privacidade estabelecidos.
Controles Relacionados: PT-2, SI-15.
(25) PROTEÇÃO DE LIMITES | CONEXÕES NÃO CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL
Proibir a conexão direta de [Atribuição: sistema de segurança nacional não classificado definido pela organização]
a uma rede externa sem o uso de [Atribuição: dispositivo de proteção de limites definido pela organização].
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas. As organizações
normalmente não têm controle total sobre redes externas,
incluindo a Internet. Dispositivos de proteção de limites (por exemplo, firewalls, gateways e roteadores)
mediar comunicações e fluxos de informação entre sistemas de segurança nacional não classificados e redes externas.
(26) PROTEÇÃO DE LIMITES | CONEXÕES CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL
Proibir a conexão direta de um sistema de segurança nacional classificado a uma rede externa sem o uso de
[Atribuição: dispositivo de proteção de limites definido pela organização].
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas. As organizações
normalmente não têm controle total sobre redes externas,

e
g
_________________________________________________________________________________________________
pe
E incluindo a Internet. Dispositivos de proteção de limites (por exemplo, firewalls, gateways e roteadores)
mediar comunicações e fluxos de informação entre sistemas de segurança nacional classificados e redes
externas. Além disso, dispositivos de proteção de limites aprovados (normalmente sistemas de
interface gerenciada ou de domínio cruzado) fornecem a aplicação do fluxo de informações dos
sistemas para redes externas.
(27) PROTEÇÃO DE LIMITES | CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS
Proibir a conexão direta de [Atribuição: sistema de segurança não-nacional não classificado

definido pela organização] a uma rede externa sem o uso de [Atribuição: dispositivo de
proteção de limites definido pela organização].
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas.
As organizações normalmente não têm controle total sobre redes externas,
incluindo a Internet. Dispositivos de proteção de limites (por exemplo, firewalls, gateways e roteadores)
mediar comunicações e fluxos de informação entre sistemas de segurança não nacionais não
classificados e redes externas.
(28) PROTEÇÃO DE LIMITES | CONEXÕES COM REDES PÚBLICAS
Proibir a conexão direta de [Atribuição: sistema definido pela organização] a uma rede pública.
Discussão: Uma conexão direta é uma conexão física ou virtual dedicada entre dois ou mais sistemas.
Uma rede pública é uma rede acessível ao público, incluindo a Internet e extranets organizacionais com
acesso público.
(29) PROTEÇÃO DE LIMITES | SUB-REDES SEPARADAS PARA ISOLAR FUNÇÕES
Implementar [Seleção: fisicamente; logicamente] sub-redes separadas para isolar o seguinte

componentes e funções críticas do sistema: [Atribuição: componentes e funções críticas
do sistema definidos pela organização].
Discussão: Pode ser necessário separar componentes e funções críticas do sistema de outros
componentes e funções não críticas do sistema através de sub-redes separadas para reduzir a
suscetibilidade a uma violação ou comprometimento catastrófico ou debilitante que resulte em falha
do sistema. Por exemplo, separar fisicamente a função de comando e controle da função de
entretenimento a bordo através de sub-redes separadas em uma aeronave comercial proporciona um
maior nível de garantia na confiabilidade das funções críticas do sistema.
Referências: [OMB A-130], [FIPS 199], [SP 800-37], [SP 800-41], [SP 800-77], [SP 800-189].
CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO SC-8
Controle: Proteger a [Seleção (uma ou mais): confidencialidade; integridade] das informações

transmitidas.
Discussão: A proteção da confidencialidade e integridade das informações transmitidas aplica-se a redes

internas e externas, bem como a quaisquer componentes do sistema que possam transmitir informações,
incluindo servidores, notebooks, computadores desktop, dispositivos móveis, impressoras, copiadoras,
scanners, máquinas de fax e rádios. As vias de comunicação desprotegidas estão expostas à possibilidade
de interceptação e modificação. A proteção da confidencialidade e integridade das informações pode
ser realizada por meios físicos ou lógicos. A proteção física pode ser alcançada através do uso de
sistemas de distribuição protegidos. Um sistema de distribuição protegido é um sistema de telecomunicações
com fio ou fibra óptica que inclui terminais e dispositivos eletromagnéticos,

e
g
_________________________________________________________________________________________________
pe
E controles acústicos, elétricos e físicos para permitir seu uso na transmissão não criptografada de informações classificadas. A
proteção lógica pode ser alcançada através do emprego de técnicas de criptografia.
As organizações que dependem de fornecedores comerciais que oferecem serviços de transmissão como serviços de mercadorias
em vez de serviços totalmente dedicados podem ter dificuldade em obter as garantias necessárias relativamente à
implementação dos controlos necessários para a confidencialidade e integridade da transmissão. Nessas situações, as organizações
determinam quais tipos de serviços de confidencialidade ou integridade estão disponíveis em pacotes de serviços de
telecomunicações comerciais padrão. Se não for viável obter os controlos necessários e garantias de eficácia do controlo através
de veículos de contratação apropriados, as organizações podem implementar controlos de compensação apropriados.
Controles relacionados: AC-17, AC-18, AU-10 , IA-3, IA-8, IA-9, MA-4, PE-4, SA-4, SA - 8, SC-7, SC-16 , SC-20, SC-23, SC-28.
(1) CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO | PROTEÇÃO CRIPTOGRÁFICA
Implementar mecanismos criptográficos para [Seleção (um ou mais): impedir a divulgação não autorizada de
informações; detectar alterações nas informações] durante a transmissão.
Discussão: A criptografia protege as informações contra divulgação e modificação não autorizadas

durante a transmissão. Os mecanismos criptográficos que protegem a confidencialidade e integridade das informações durante
a transmissão incluem TLS e IPSec. Os mecanismos criptográficos usados para proteger a integridade das informações incluem
funções hash criptográficas que possuem aplicações em assinaturas digitais, somas de verificação e códigos de autenticação
de mensagens.
(2) CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO | MANUSEIO PRÉ E PÓS-TRANSMISSÃO
Manter a [Seleção (uma ou mais): confidencialidade; integridade] das informações durante a preparação para
transmissão e durante a recepção.
Discussão: As informações podem ser divulgadas ou modificadas de forma não intencional ou maliciosa durante a
preparação para transmissão ou durante a recepção, inclusive durante a agregação, em pontos de transformação de
protocolo e durante a embalagem e descompactação. Tais divulgações ou modificações não autorizadas comprometem a
confidencialidade ou integridade das informações.
(3) CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO | PROTEÇÃO CRIPTOGRÁFICA PARA MENSAGEM

EXTERNOS
Implementar mecanismos criptográficos para proteger mensagens externas, a menos que sejam protegidas de
outra forma por [Atribuição: controles físicos alternativos definidos pela organização].
Discussão: A proteção criptográfica para mensagens externas aborda a proteção contra

divulgação não autorizada de informações. As mensagens externas incluem cabeçalhos de mensagens e informações de
roteamento. A proteção criptográfica evita a exploração de mensagens externas e aplica-se a redes ou links
internos e externos que possam ser visíveis para indivíduos que não sejam usuários autorizados. As informações de
cabeçalho e roteamento às vezes são transmitidas em texto simples (ou seja, não criptografadas) porque as informações
não são identificadas pelas organizações como tendo valor significativo ou porque a criptografia das informações pode
resultar em menor desempenho da rede ou custos mais elevados. Os controles físicos alternativos incluem sistemas de
distribuição protegidos.
(4) CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO | OCULTAR OU RANDOMIZAR COMUNICAÇÕES

e
g
_________________________________________________________________________________________________
pe
E Implementar mecanismos criptográficos para ocultar ou randomizar padrões de comunicação, a menos que
protegidos de outra forma por [Atribuição: controles físicos alternativos definidos pela organização].
Discussão: Ocultar ou randomizar padrões de comunicação aborda a proteção contra

divulgação não autorizada de informações. Os padrões de comunicação incluem frequência, períodos, previsibilidade e
quantidade. Mudanças nos padrões de comunicação podem revelar informações com valor de inteligência, especialmente
quando combinadas com outras informações disponíveis relacionadas à missão e às funções de negócios da organização.
Ocultar ou randomizar as comunicações impede a derivação de inteligência com base em padrões de comunicação
e aplica-se a redes ou links internos e externos que podem ser visíveis para indivíduos que não são usuários autorizados.
Criptografar os links e transmitir em padrões contínuos, fixos ou aleatórios evita a derivação de inteligência dos padrões de
comunicação do sistema. Os controles físicos alternativos incluem sistemas de distribuição protegidos.
(5) CONFIDENCIALIDADE E INTEGRIDADE DA TRANSMISSÃO | SISTEMA DE DISTRIBUIÇÃO PROTEGIDO
Implementar [Atribuição: sistema de distribuição protegido definido pela organização] para [Seleção (um ou mais):
evitar a divulgação não autorizada de informações; detectar alterações nas informações] durante a
transmissão.
Discussão: O objectivo de um sistema de distribuição protegido é dissuadir, detectar e/ou dificultar o acesso físico às linhas
de comunicação que transportam informações de segurança nacional.
Referências: [FIPS 140-3], [FIPS 197], [SP 800-52], [SP 800-77], [SP 800-81-2], [SP 800-113], [SP 800-177] , [IR 8023].
CONFIDENCIALIDADE DA TRANSMISSÃO SC-9
DESCONEXÃO DA REDE SC-10
Controle: Encerre a conexão de rede associada a uma sessão de comunicações no final da sessão ou após [Atribuição: período
de tempo definido pela organização] de inatividade.
Discussão: A desconexão da rede aplica-se a redes internas e externas. O encerramento de conexões de rede associadas a
sessões de comunicação específicas inclui a desalocação de endereços TCP/IP ou pares de portas no nível do sistema
operacional e a desalocação de atribuições de rede no nível do aplicativo se várias sessões de aplicativos estiverem usando uma
única conexão de rede no nível do sistema operacional. Os períodos de inatividade podem ser estabelecidos pelas organizações
e incluem tempo
períodos por tipo de acesso à rede ou para acessos a redes específicos.
Controles Relacionados: AC-17, SC-23.
CAMINHO CONFIÁVEL SC-11
Ao controle:
a. Forneça uma [Seleção: fisicamente; logicamente] caminho de comunicação confiável isolado para comunicações
entre o usuário e os componentes confiáveis do sistema; e

e
g
_________________________________________________________________________________________________
pe
E b. Permitir que os usuários invoquem o caminho de comunicação confiável para comunicações entre o usuário e
as seguintes funções de segurança do sistema, incluindo, no mínimo, autenticação e
reautenticação: [Atribuição: funções de segurança definidas pela organização].
Discussão: Caminhos confiáveis são mecanismos pelos quais os usuários podem se comunicar (usando dispositivos
de entrada como teclados) diretamente com as funções de segurança dos sistemas com a garantia necessária para
apoiar políticas de segurança. Os mecanismos de caminho confiável só podem ser ativados pelos usuários ou pelas
funções de segurança dos sistemas organizacionais. As respostas do usuário que ocorrem por meio de caminhos
confiáveis são protegidas contra modificação e divulgação para aplicativos não confiáveis. As organizações
empregam caminhos confiáveis para conexões confiáveis e de alta segurança entre funções de segurança de
sistemas e usuários, inclusive durante logons no sistema. As implementações originais de caminhos confiáveis empregados
um sinal fora de banda para iniciar o caminho, como usar a tecla <BREAK>, que não transmite caracteres
que possam ser falsificados. Em implementações posteriores, foi usada uma combinação de teclas que não podia
ser sequestrada (por exemplo, as teclas <CTRL> + <ALT> + <DEL>). Tais combinações de teclas, no
entanto, são específicas da plataforma e podem não fornecer uma implementação de caminho confiável em todos os casos.
A aplicação de caminhos de comunicação confiáveis é fornecida por uma implementação específica que atende ao
conceito de monitor de referência.
Controles relacionados: AC-16, AC-25, SC-12, SC-23.
(1) CAMINHO CONFIÁVEL | CAMINHO DE COMUNICAÇÃO IRREFUGÁVEL
(a) Fornecer um caminho de comunicação confiável que seja irrefutavelmente distinguível de outros
caminhos de comunicação; e
(b) Iniciar o caminho de comunicação confiável para comunicações entre o

[Atribuição: funções de segurança definidas pela organização] do sistema e do usuário.
Discussão: Um caminho de comunicação irrefutável permite que o sistema inicie um caminho confiável,
o que exige que o usuário possa reconhecer inequivocamente a fonte da comunicação como um componente
confiável do sistema. Por exemplo, o caminho confiável pode aparecer em uma área da tela que outros aplicativos
não podem acessar ou ser baseado na presença de um identificador que não pode ser falsificado.
Referências: [OMB A-130].
ESTABELECIMENTO E GERENCIAMENTO DE CHAVE CRIPTOGRÁFICA SC-12
Controle: Estabelecer e gerenciar chaves criptográficas quando a criptografia for empregada no sistema de
acordo com os seguintes requisitos de gerenciamento de chaves: [Atribuição: requisitos definidos pela
organização para geração, distribuição, armazenamento, acesso e destruição de chaves].
Discussão: O gerenciamento e o estabelecimento de chaves criptográficas podem ser realizados usando

procedimentos manuais ou mecanismos automatizados com suporte a procedimentos manuais. As organizações
definem os principais requisitos de gestão de acordo com as leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes aplicáveis e especificam opções, parâmetros e níveis apropriados. As organizações
gerenciam armazenamentos confiáveis para garantir que apenas âncoras de confiança aprovadas façam parte
desses armazenamentos confiáveis. Isto inclui certificados com visibilidade externa aos sistemas organizacionais
e certificados relacionados às operações internas dos sistemas. [NIST CMVP] e [NIST CAVP] fornecem informações
adicionais sobre módulos e algoritmos criptográficos validados que podem ser usados no gerenciamento e
estabelecimento de chaves criptográficas.
Controles relacionados: AC-17, AU-9, AU-10, CM-3, IA-3, IA-7, SA-4, SA-8, SA-9, SC-8, SC -11, SC-12 , SC-13,
SC-17, SC-20, SC-37, SC-40, SI-3, SI-7.

e
g
_________________________________________________________________________________________________
pe
E Melhorias de controle:
(1) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | DISPONIBILIDADE
Manter a disponibilidade das informações em caso de perda de chaves criptográficas pelos usuários.
Discussão: A garantia de chaves de criptografia é uma prática comum para garantir a disponibilidade em caso de perda de
chaves. Uma senha esquecida é um exemplo de perda de uma chave criptográfica.
(2) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | CHAVES SIMÉTRICAS
Produza, controle e distribua chaves criptográficas simétricas usando [Seleção: validada por NIST FIPS; Aprovado
pela NSA] tecnologia e processos de gerenciamento de chaves.
Discussão: [SP 800-56A], [SP 800-56B] e [SP 800-56C] fornecem orientação sobre esquemas de estabelecimento de chaves
criptográficas e métodos de derivação de chaves. [SP 800-57-1], [SP 800-57-2] e [SP 800-57-3] fornecem orientação sobre
gerenciamento de chaves criptográficas.
(3) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | CHAVES ASSIMÉTRICAS
Produzir, controlar e distribuir chaves criptográficas assimétricas usando [Seleção: tecnologia e processos de
gerenciamento de chaves aprovados pela NSA; material de codificação pré-posicionado; Certificados PKI de
garantia média aprovados ou emitidos pelo DoD; Certificados PKI de garantia de hardware médio aprovados ou
emitidos pelo DoD e tokens de segurança de hardware que protegem a chave privada do usuário; certificados
emitidos de acordo com os requisitos definidos pela organização].
Discussão: [SP 800-56A], [SP 800-56B] e [SP 800-56C] fornecem orientação sobre esquemas de estabelecimento de chaves
criptográficas e métodos de derivação de chaves. [SP 800-57-1], [SP 800-57-2] e [SP 800-57-3] fornecem orientação sobre
gerenciamento de chaves criptográficas.
(4) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | CERTIFICADOS PKI
(5) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | CERTIFICADOS PKI / TOKENS DE HARDWARE
(6) ESTABELECIMENTO E GESTÃO DE CHAVES CRIPTOGRÁFICAS | CONTROLE FÍSICO DAS CHAVES
Mantenha o controle físico das chaves criptográficas quando as informações armazenadas são criptografadas por
provedores de serviços externos.
Discussão: Para organizações que utilizam provedores de serviços externos (por exemplo, provedores de serviços em nuvem
ou de data center), o controle físico de chaves criptográficas fornece garantia adicional de que as informações armazenadas
por tais provedores externos não estão sujeitas a divulgação ou modificação não autorizada.
Referências: [FIPS 140-3], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-63-3],
[IR 7956], [IR 7966].
PROTEÇÃO CRIPTOGRÁFICA SC-13
Ao controle:
a. Determinar a [Atribuição: usos criptográficos definidos pela organização]; e

e
g
_________________________________________________________________________________________________
pe
E b. Implemente os seguintes tipos de criptografia necessários para cada uso criptográfico especificado: [Atribuição:
tipos de criptografia definidos pela organização para cada uso criptográfico especificado].
Discussão: A criptografia pode ser empregada para suportar uma variedade de soluções de segurança, incluindo
a proteção de informações classificadas e informações não classificadas controladas, o fornecimento e implementação
de assinaturas digitais e a aplicação da separação de informações quando indivíduos autorizados possuem as
autorizações necessárias, mas não possuem as aprovações formais de acesso necessárias. A criptografia
também pode ser usada para suportar números aleatórios e geração de hash.
Os padrões criptográficos geralmente aplicáveis incluem criptografia validada por FIPS e criptografia aprovada
pela NSA. Por exemplo, as organizações que necessitam proteger informações confidenciais podem especificar o uso
de criptografia aprovada pela NSA. As organizações que precisam fornecer e implementar assinaturas digitais
podem especificar o uso de criptografia validada por FIPS. A criptografia é implementada de acordo com as leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Controles relacionados: AC-2, AC-3, AC-7, AC-17, AC-18, AC -19, AU-9, AU-10, CM -11, CP-9, IA-3, IA-5 ,
IA-7, MA -4, MP-2, MP-4, MP-5 , SA-4, SA-8, SA-9, SC-8, SC-12, SC-20, SC-23, SC- 28, SC-40, SI-3, SI- 7.
(1) PROTEÇÃO CRIPTOGRÁFICA | CRIPTOGRAFIA VALIDADA POR FIPS
(2) PROTEÇÃO CRIPTOGRÁFICA | CRIPTOGRAFIA APROVADA pela NSA
(3) PROTEÇÃO CRIPTOGRÁFICA | INDIVÍDUOS SEM APROVAÇÕES FORMAIS DE ACESSO
(4) PROTEÇÃO CRIPTOGRÁFICA | ASSINATURAS DIGITAIS
Referências: [FIPS 140-3].
PROTEÇÕES DE ACESSO PÚBLICO SC-14
[Retirado: Incorporado em AC-2, AC-3, AC-5, AC-6, SI-3, SI-4, SI-5, SI-7 e SI-10.]
DISPOSITIVOS E APLICAÇÕES DE COMPUTAÇÃO COLABORATIVA SC-15
Ao controle:
a. Proibir a ativação remota de dispositivos e aplicativos de computação colaborativa com o

seguintes exceções: [Atribuição: exceções definidas pela organização onde a ativação remota deve ser permitida];
e
b. Fornecer uma indicação explícita de uso aos usuários presentes fisicamente nos dispositivos.
Discussão: Dispositivos e aplicativos de computação colaborativa incluem dispositivos e aplicativos para reuniões
remotas, quadros brancos em rede, câmeras e microfones. A indicação explícita de uso inclui sinais aos usuários quando
dispositivos e aplicativos de computação colaborativa são ativados.

e
g
_________________________________________________________________________________________________
pe
E (1) DISPOSITIVOS DE COMPUTAÇÃO COLABORATIVA | DESCONEXÃO FÍSICA OU LÓGICA
Fornecer [Seleção (uma ou mais): física; desconexão lógica] de dispositivos de computação colaborativa de uma
maneira que ofereça facilidade de uso.
Discussão: Deixar de se desconectar dos dispositivos de computação colaborativa pode resultar em

comprometimentos subsequentes das informações organizacionais. Fornecer métodos fáceis para se desconectar
de tais dispositivos após uma sessão de computação colaborativa garante que os participantes realizem a
atividade de desconexão sem ter que passar por procedimentos complexos e tediosos. A desconexão de dispositivos
de computação colaborativa pode ser manual ou automática.
(2) DISPOSITIVOS DE COMPUTAÇÃO COLABORATIVA | BLOQUEIO DE COMUNICAÇÕES DE ENTRADA E SAÍDA

TRÁFEGO
(3) DISPOSITIVOS DE COMPUTAÇÃO COLABORATIVA | DESATIVAÇÃO E REMOÇÃO EM ÁREAS DE TRABALHO SEGURAS
Desative ou remova dispositivos e aplicativos de computação colaborativa de [Atribuição: sistemas ou

componentes de sistema definidos pela organização] em [Atribuição: áreas de trabalho seguras definidas pela
organização].
Discussão: Deixar de desabilitar ou remover dispositivos e aplicativos de computação colaborativa de sistemas ou

componentes de sistema pode resultar em comprometimento de informações, incluindo
escutando conversas. Um Centro de Informações Compartimentadas Sensíveis (SCIF) é um exemplo de área de trabalho
segura.
(4) DISPOSITIVOS DE COMPUTAÇÃO COLABORATIVA | INDIQUE EXPLICITAMENTE OS PARTICIPANTES ATUAIS
Forneça uma indicação explícita dos participantes atuais em [Tarefa: reuniões e teleconferências on-line definidas
Discussão: A indicação explícita dos participantes atuais evita que indivíduos não autorizados participem de sessões de
computação colaborativa sem o conhecimento explícito de outros participantes.
SC-16 TRANSMISSÃO DE ATRIBUTOS DE SEGURANÇA E PRIVACIDADE
Controle: Associar [Atribuição: atributos de segurança e privacidade definidos pela organização] às informações trocadas
entre sistemas e entre componentes do sistema.
Discussão: Os atributos de segurança e privacidade podem ser associados explícita ou implicitamente às informações
contidas nos sistemas organizacionais ou nos componentes do sistema. Os atributos são
abstrações que representam as propriedades ou características básicas de uma entidade em relação a
proteger informações ou gerenciar informações de identificação pessoal. Os atributos são normalmente associados a estruturas de
dados internas, incluindo registros, buffers e arquivos dentro do sistema. Atributos de segurança e privacidade são utilizados para
implementar políticas de controle de acesso e controle de fluxo de informações; refletir instruções especiais de disseminação,
gerenciamento ou distribuição, incluindo usos permitidos de informações de identificação pessoal; ou apoiar outros aspectos
das políticas de segurança e privacidade da informação. Os atributos de privacidade podem ser usados independentemente ou
em conjunto com atributos de segurança.
Controles relacionados: AC-3, AC-4, AC-16.

e
g
_________________________________________________________________________________________________
pe
E (1) TRANSMISSÃO DE ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | VERIFICAÇÃO DE INTEGRIDADE
Verifique a integridade dos atributos de segurança e privacidade transmitidos.
Discussão: Parte da verificação da integridade das informações transmitidas é garantir que os atributos de segurança
e privacidade associados a essas informações não tenham sido modificados de maneira não autorizada. A
modificação não autorizada de atributos de segurança ou privacidade pode resultar na perda de integridade
das informações transmitidas.
Controles Relacionados: AU-10, SC-8.
(2) TRANSMISSÃO DE ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | MECANISMOS ANTI-SPOOFING
Implementar mecanismos anti-spoofing para evitar que adversários falsifiquem os atributos de segurança,
indicando a aplicação bem-sucedida do processo de segurança.
Discussão: Alguns vetores de ataque operam alterando os atributos de segurança de um sistema de informação
para implementar intencionalmente e maliciosamente um nível insuficiente de segurança dentro do sistema. A
alteração de atributos leva as organizações a acreditar que um maior número de funções de segurança estão
implementadas e operacionais do que realmente foram implementadas.
Controles Relacionados: SI-3, SI-4, SI-7.
(3) TRANSMISSÃO DE ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | LIGAÇÃO CRIPTOGRÁFICA
Implementar [Atribuição: mecanismos ou técnicas definidas pela organização] para vincular atributos de
segurança e privacidade às informações transmitidas.
Discussão: Mecanismos e técnicas criptográficas podem fornecer uma forte ligação de atributos de segurança
e privacidade às informações transmitidas para ajudar a garantir a integridade de tais informações.
Controles Relacionados: AC-16, SC-12, SC-13.
CERTIFICADOS DE INFRAESTRUTURA DE CHAVE PÚBLICA SC-17
Ao controle:
a. Emitir certificados de chave pública sob uma [Atribuição: política de certificados definida pela organização] ou obter
certificados de chave pública de um provedor de serviços aprovado; e
b. Incluir apenas âncoras de confiança aprovadas em armazenamentos confiáveis ou armazenamentos de certificados gerenciados pelo
organização.
Discussão: Os certificados de infraestrutura de chave pública (PKI) são certificados com visibilidade externa aos
sistemas organizacionais e certificados relacionados às operações internas dos sistemas, como serviços de horário
específicos de aplicativos. Em sistemas criptográficos com uma estrutura hierárquica, uma âncora de confiança é uma
fonte autorizada (isto é, uma autoridade certificadora) para a qual a confiança é assumida e não derivada. Um certificado
raiz para um sistema PKI é um exemplo de âncora de confiança. Um armazenamento confiável ou armazenamento
de certificados mantém uma lista de certificados raiz confiáveis.
Controles Relacionados: AU-10, IA-5, SC-12.
Referências: [SP 800-32], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-63-3].
CÓDIGO MÓVEL SC-18
Ao controle:
a. Definir código móvel e tecnologias de código móvel aceitáveis e inaceitáveis; e
b. Autorize, monitore e controle o uso de código móvel dentro do sistema.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O código móvel inclui qualquer programa, aplicativo ou conteúdo que possa ser transmitido através de uma rede (por
exemplo, incorporado em um e-mail, documento ou site) e executado em um sistema remoto. As decisões relativas ao uso de código
móvel em sistemas organizacionais baseiam-se no potencial do código causar danos aos sistemas se usado de forma maliciosa.
As tecnologias de código móvel incluem miniaplicativos Java, JavaScript, HTML5, WebGL e VBScript. As restrições de uso e
as diretrizes de implementação aplicam-se tanto à seleção quanto ao uso de código móvel instalado em servidores e código
móvel baixado e executado em estações de trabalho e dispositivos individuais,
incluindo notebooks e smartphones. A política e os procedimentos de códigos móveis abordam ações específicas tomadas para
evitar o desenvolvimento, a aquisição e a introdução de códigos móveis inaceitáveis nos sistemas organizacionais, incluindo a
exigência de que o código móvel seja assinado digitalmente por uma fonte confiável.
Controles relacionados: AU-2, AU-12, CM-2, CM-6, SI-3.
(1) CÓDIGO MÓVEL | IDENTIFIQUE CÓDIGO INACEITÁVEL E TOME AÇÕES CORRETIVAS
Identifique [Atribuição: código móvel inaceitável definido pela organização] e execute [Atribuição: ações
corretivas definidas pela organização].
Discussão: As ações corretivas quando um código móvel inaceitável é detectado incluem bloqueio, quarentena ou alerta aos
administradores. O bloqueio inclui impedir a transmissão de arquivos de processamento de texto com macros
incorporadas quando tais macros forem consideradas códigos móveis inaceitáveis.
(2) CÓDIGO MÓVEL | AQUISIÇÃO, DESENVOLVIMENTO E USO
Verifique se a aquisição, o desenvolvimento e o uso do código móvel a ser implantado no sistema atendem à
[Atribuição: requisitos de código móvel definidos pela organização].
Discussão: Nenhuma.
(3) CÓDIGO MÓVEL | EVITAR DOWNLOAD E EXECUÇÃO
Impedir o download e a execução de [Atribuição: código móvel inaceitável definido pela organização].
(4) CÓDIGO MÓVEL | EVITE A EXECUÇÃO AUTOMÁTICA
Evite a execução automática de código móvel em [Atribuição: aplicativos de software definidos pela organização]
e imponha [Atribuição: ações definidas pela organização] antes de executar o código.
Discussão: As ações aplicadas antes da execução do código móvel incluem avisar os usuários antes de abrir anexos de e-mail
ou clicar em links da web. Prevenir a execução automática de código móvel inclui desabilitar recursos de execução
automática em componentes do sistema que utilizam dispositivos de armazenamento portáteis, como discos compactos,
discos versáteis digitais e dispositivos seriais universais.
dispositivos de barramento.
(5) CÓDIGO MÓVEL | PERMITIR A EXECUÇÃO SOMENTE EM AMBIENTES CONFINADOS
Permitir a execução de código móvel permitido apenas em ambientes confinados de máquinas virtuais.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Permitir a execução de código móvel apenas em ambientes confinados de máquinas virtuais ajuda a
prevenir a introdução de código malicioso em outros sistemas e componentes do sistema.
Controles Relacionados: SC-44, SI-7.
SC-19 VOZ SOBRE PROTOCOLO DE INTERNET
[Retirado: específico da tecnologia; abordado como qualquer outra tecnologia ou protocolo.]
SERVIÇO DE RESOLUÇÃO SEGURA DE NOME/ENDEREÇO SC-20 (FONTE AUTORITIVA)

Ao controle:
a. Fornece artefatos adicionais de autenticação de origem de dados e verificação de integridade junto com
os dados oficiais de resolução de nomes que o sistema retorna em resposta a consultas externas de resolução
de nomes/endereços; e
b. Fornecer os meios para indicar o status de segurança das zonas secundárias e (se a criança sustentar
serviços de resolução segura) para permitir a verificação de uma cadeia de confiança entre domínios pai e filho, ao operar
como parte de um namespace hierárquico e distribuído.
Discussão: Fornecer informações de origem autorizada permite que clientes externos, incluindo clientes remotos da Internet,
obtenham garantias de autenticação de origem e verificação de integridade para o nome do host/serviço para informações
de resolução de endereço de rede obtidas através do serviço.
Os sistemas que fornecem serviços de resolução de nomes e endereços incluem servidores de sistema de nomes de domínio
(DNS). Artefatos adicionais incluem assinaturas digitais e chaves criptográficas de Extensões de Segurança DNS (DNSSEC).
Os dados oficiais incluem registros de recursos DNS. Os meios para indicar
o status de segurança das zonas secundárias inclui o uso de registros de recursos de assinante de delegação no DNS. Os
sistemas que utilizam tecnologias diferentes do DNS para mapear nomes de hosts e serviços e endereços de rede fornecem outros
meios para garantir a autenticidade e a integridade dos dados de resposta.
Controles relacionados: AU-10, SC-8, SC-12, SC-13, SC-21, SC-22.
(1) SERVIÇO SEGURO DE RESOLUÇÃO DE NOME/ENDEREÇO (FONTE AUTORITIVA) | SUBESPAÇOS INFANTIS
(2) SERVIÇO SEGURO DE RESOLUÇÃO DE NOME/ENDEREÇO (FONTE AUTORITIVA) | ORIGEM DOS DADOS E
INTEGRIDADE
Fornece artefatos de origem de dados e proteção de integridade para consultas internas de resolução de nomes/
endereços.
Referências: [FIPS 140-3], [FIPS 186-4], [SP 800-81-2].
SERVIÇO DE RESOLUÇÃO SEGURA DE NOME/ENDEREÇO SC-21 (RESOLVER RECURSIVO OU DE CACHING)

Controle: Solicite e execute autenticação de origem de dados e verificação de integridade de dados nas respostas de resolução
de nome/endereço que o sistema recebe de fontes autorizadas.
Discussão: Cada cliente de serviços de resolução de nomes realiza essa validação por conta própria ou possui canais autenticados
para provedores de validação confiáveis. Sistemas que fornecem nome e

e
g
_________________________________________________________________________________________________
pe
E os serviços de resolução de endereços para clientes locais incluem resolução recursiva ou armazenamento em cache
de servidores de sistema de nomes de domínio (DNS). Os resolvedores de clientes DNS realizam a validação de
assinaturas DNSSEC ou os clientes usam canais autenticados para resolvedores recursivos que realizam tais validações.
Os sistemas que usam tecnologias diferentes do DNS para mapear nomes de host e de serviço e endereços de rede
fornecem outros meios para permitir que os clientes verifiquem a autenticidade e a integridade dos dados de resposta.
(1) SERVIÇO SEGURO DE RESOLUÇÃO DE NOME/ENDEREÇO (RESOLVER RECURSIVO OU DE CACHING) | ORIGEM DOS DADOS
E INTEGRIDADE
ARQUITETURA SC-22 E PROVISIONAMENTO PARA SERVIÇO DE RESOLUÇÃO DE NOME/ENDEREÇO
Controle: Garantir que os sistemas que fornecem coletivamente serviços de resolução de nomes/endereços para
uma organização sejam tolerantes a falhas e implementem separação de funções internas e externas.
Discussão: Os sistemas que fornecem serviços de resolução de nomes e endereços incluem servidores de sistema
de nomes de domínio (DNS). Para eliminar pontos únicos de falha nos sistemas e aumentar a redundância, as
organizações empregam pelo menos dois servidores de sistema de nomes de domínio autoritativos – um configurado
como servidor primário e outro configurado como servidor secundário. Além disso, as organizações normalmente
implantam os servidores em duas sub-redes de rede separadas geograficamente (ou seja, não localizadas na
mesma instalação física). Para separação de funções, os servidores DNS com funções internas processam apenas
solicitações de resolução de nomes e endereços de dentro das organizações (ou seja, de clientes internos). Os
servidores DNS com funções externas processam apenas solicitações de informações de resolução de nomes e
endereços de clientes externos às organizações (ou seja, em redes externas, incluindo a Internet). As
organizações especificam clientes que podem acessar servidores DNS autoritativos em determinadas funções
(por exemplo, por intervalos de endereços e listas explícitas).
Controles relacionados: SC-2, SC-20, SC-21, SC-24.
AUTENTICIDADE DA SESSÃO SC-23
Controle: Proteja a autenticidade das sessões de comunicação.
Discussão: A proteção da autenticidade da sessão aborda a proteção das comunicações no nível da sessão, não no nível
do pacote. Essa proteção estabelece bases para a confiança em ambas as extremidades das sessões de comunicação
nas identidades contínuas de outras partes e na validade das informações transmitidas. A proteção de autenticidade inclui
proteção contra ataques “man-in-the-middle”, sequestro de sessão e inserção de informações falsas nas sessões.
Controles relacionados: AU-10, SC-8, SC-10, SC-11.
(1) AUTENTICIDADE DA SESSÃO | INVALIDAR IDENTIFICADORES DE SESSÃO NO LOGOUT
Invalidar identificadores de sessão após logout do usuário ou outro encerramento de sessão.
Discussão: A invalidação de identificadores de sessão no logout restringe a capacidade dos adversários de

capturar e continuar a empregar IDs de sessão anteriormente válidos.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
(2) AUTENTICIDADE DA SESSÃO | LOGOUTS INICIADOS PELO USUÁRIO E EXIBIÇÕES DE MENSAGENS
[Retirado: Incorporado em AC-12(1).]
(3) AUTENTICIDADE DA SESSÃO | IDENTIFICADORES DE SESSÃO GERADOS PELO SISTEMA ÚNICOS
Gere um identificador de sessão exclusivo para cada sessão com [Atribuição: requisitos de aleatoriedade
definidos pela organização] e reconheça apenas identificadores de sessão gerados pelo sistema.
Discussão: A geração de identificadores de sessão exclusivos restringe a capacidade dos adversários de reutilizar
IDs de sessão anteriormente válidos. Empregar o conceito de aleatoriedade na geração de identificadores de sessão
exclusivos protege contra ataques de força bruta para determinar identificadores de sessão futuros.
Controles relacionados: AC-10, SC-12, SC-13.
(4) AUTENTICIDADE DA SESSÃO | IDENTIFICADORES DE SESSÃO ÚNICOS COM RANDOMIZAÇÃO
(5) AUTENTICIDADE DA SESSÃO | AUTORIDADES DE CERTIFICAÇÃO PERMITIDAS
Permitir apenas o uso de [Atribuição: autoridades de certificação definidas pela organização] para verificação
do estabelecimento de sessões protegidas.
Discussão: Confiança nas autoridades certificadoras para o estabelecimento de sessões seguras

inclui o uso de certificados Transport Layer Security (TLS). Estes certificados, após verificação pelas respectivas
autoridades certificadoras, facilitam o estabelecimento de sessões protegidas entre clientes web e servidores web.
Referências: [SP 800-52], [SP 800-77], [SP 800-95], [SP 800-113].
SC-24 FALHA NO ESTADO CONHECIDO
Controle: Falha em uma [Atribuição: estado do sistema conhecido definido pela organização] para as seguintes falhas nos
componentes indicados, preservando [Atribuição: informações do estado do sistema definido pela organização] em caso de falha:
[Atribuição: lista de tipos de falhas do sistema definidos pela organização em componentes do sistema definidos pela organização].
Discussão: A falha num estado conhecido aborda as questões de segurança de acordo com a missão e as necessidades comerciais
das organizações. A falha em um estado conhecido evita a perda de confidencialidade, integridade ou disponibilidade de informações
no caso de falhas de sistemas organizacionais ou componentes de sistemas. A falha em um estado seguro conhecido ajuda a evitar
que os sistemas falhem em um estado que possa causar ferimentos a indivíduos ou destruição de propriedades. A preservação
das informações do estado do sistema facilita a reinicialização do sistema e o retorno ao modo operacional com menos interrupções
na missão e nos processos de negócios.
Controles Relacionados: CP-2, CP-4, CP-10, CP-12, SA-8, SC-7, SC-22, SI-13.
NÓS FINO SC-25
Controle: Empregue funcionalidade mínima e armazenamento de informações nos seguintes componentes do sistema:
[Atribuição: componentes do sistema definidos pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: A implantação de componentes de sistema com funcionalidade mínima reduz a necessidade de proteger todos os
terminais e pode reduzir a exposição de informações, sistemas e serviços a ataques. A funcionalidade reduzida ou mínima
inclui nós sem disco e tecnologias de thin client.
ISCAS SC-26
Controle: Inclui componentes dentro de sistemas organizacionais projetados especificamente para serem alvo de ataques
maliciosos para detectar, desviar e analisar tais ataques.
Discussão: Iscas (isto é, honeypots, honeynets ou redes de engano) são estabelecidas para atrair adversários e desviar
ataques dos sistemas operacionais que apoiam a missão organizacional e as funções de negócios. O uso de iscas requer
algumas medidas de isolamento de apoio para garantir que qualquer código malicioso desviado não infecte os sistemas
organizacionais. Dependendo
o uso específico da isca, pode ser necessária consulta com o Gabinete do Conselho Geral antes da implantação.
Controles relacionados: RA-5, SC-7, SC-30, SC-35, SC-44, SI-3, SI-4.
(1) ISCAS | DETECÇÃO DE CÓDIGO MALICIOSO
APLICAÇÕES INDEPENDENTES DA PLATAFORMA SC-27
Controle: Incluir nos sistemas organizacionais os seguintes aplicativos independentes de plataforma: [Atribuição: aplicativos
independentes de plataforma definidos pela organização].
Discussão: Plataformas são combinações de componentes de hardware, firmware e software usados para executar
aplicativos de software. As plataformas incluem sistemas operacionais, as arquiteturas de computador subjacentes ou ambos.
Aplicativos independentes de plataforma são aplicativos com capacidade de execução em múltiplas plataformas. Tais
aplicações promovem a portabilidade e a reconstituição em diferentes plataformas. A portabilidade de aplicativos e a
capacidade de reconstituição em diferentes plataformas aumentam a disponibilidade de funções essenciais à missão nas
organizações em situações em que sistemas com sistemas operacionais específicos estão sob ataque.
SC-28 PROTEÇÃO DE INFORMAÇÕES EM REPOUSO
Controle: Proteger a [Seleção (uma ou mais): confidencialidade; integridade] das seguintes informações em
repouso: [Atribuição: informações em repouso definidas pela organização].
Discussão: A informação em repouso refere-se ao estado da informação quando não está em processo ou em trânsito e
está localizada nos componentes do sistema. Esses componentes incluem unidades de disco rígido internas ou externas,
dispositivos de rede de área de armazenamento ou bancos de dados. No entanto, o foco da proteção da informação
em repouso não está no tipo de dispositivo de armazenamento ou na frequência de acesso, mas sim no estado da
informação. As informações em repouso abordam a confidencialidade e a integridade de

e
g
_________________________________________________________________________________________________
pe
E informações e abrange informações do usuário e informações do sistema. As informações relacionadas ao sistema que requerem
proteção incluem configurações ou conjuntos de regras para firewalls, sistemas de detecção e prevenção de invasões, filtragem de
roteadores e informações de autenticação. As organizações podem empregar diferentes mecanismos para obter proteções de
confidencialidade e integridade, incluindo o uso de mecanismos criptográficos e verificação de compartilhamento de arquivos. A
proteção da integridade pode ser alcançada, por exemplo, através da implementação de tecnologias WORM (write-once-read-
many). Quando a proteção adequada das informações em repouso não puder ser alcançada de outra forma, as
organizações podem empregar outros controles, incluindo varreduras frequentes para identificar códigos maliciosos em repouso e
armazenamento offline seguro em vez do armazenamento online.
Controles relacionados: AC-3, AC-4, AC-6, AC-19, CA-7, CM-3, CM-5, CM-6, CP-9, MP-4, MP-5, PE-3 , SC- 8, SC-12, SC-13,
SC-34, SI-3, SI-7, SI-16.
(1) PROTEÇÃO DE INFORMAÇÕES EM RESTO | PROTEÇÃO CRIPTOGRÁFICA
Implementar mecanismos criptográficos para evitar a divulgação e modificação não autorizada das
seguintes informações em repouso em [Atribuição: componentes ou mídia do sistema definidos pela organização]:
[Atribuição: informações definidas pela organização].
Discussão: A seleção de mecanismos criptográficos baseia-se na necessidade de proteger a confidencialidade e integridade

das informações organizacionais. A força do mecanismo é proporcional à categoria de segurança ou classificação da
informação. As organizações têm flexibilidade para criptografar informações em componentes ou mídia do sistema ou
criptografar estruturas de dados, incluindo arquivos, registros ou campos.
Controles Relacionados: AC-19, SC-12, SC-13.
(2) PROTEÇÃO DE INFORMAÇÕES EM RESTO | ARMAZENAMENTO OFF-LINE
Remova as seguintes informações do armazenamento online e armazene-as offline em um local seguro:

[Atribuição: informações definidas pela organização].
Discussão: A remoção de informações organizacionais do armazenamento online para o armazenamento offline elimina
a possibilidade de indivíduos obterem acesso não autorizado às informações através de uma rede. Portanto, as
organizações podem optar por mover as informações para o armazenamento offline em vez de protegê-las no
armazenamento online.
(3) PROTEÇÃO DE INFORMAÇÕES EM RESTO | CHAVES CRIPTOGRÁFICAS
Fornecer armazenamento protegido para chaves criptográficas [Seleção: [Atribuição: salvaguardas definidas pela
organização]; armazenamento de chaves protegido por hardware].
Discussão: Um Trusted Platform Module (TPM) é um exemplo de armazenamento de dados protegido por hardware que
pode ser usado para proteger chaves criptográficas.
Referências: [OMB A-130], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-
2], [SP 800-57-3], [SP 800-111], [SP 800-124].
HETEROGENEIDADE SC-29
Controle: Empregar um conjunto diversificado de tecnologias de informação para os seguintes componentes do sistema na
implementação do sistema: [Atribuição: componentes do sistema definidos pela organização].
Discussão: Aumentar a diversidade das tecnologias de informação dentro dos sistemas organizacionais reduz o impacto de
potenciais explorações ou comprometimentos de tecnologias específicas. Essa diversidade protege contra falhas de modo
comum, incluindo aquelas induzidas por ataques à cadeia de abastecimento. A diversidade nas tecnologias de informação
também reduz a probabilidade de que os meios

e
g
_________________________________________________________________________________________________
pe
E Os adversários usam para comprometer um componente do sistema serão eficazes contra outros componentes do
sistema, aumentando ainda mais o fator de trabalho do adversário para concluir com êxito os ataques planejados. Um
aumento na diversidade pode adicionar complexidade e sobrecarga de gerenciamento que podem levar a erros e
configurações não autorizadas.
Controles relacionados: AU-9, PL-8, SC-27, SC-30, SR-3.
(1) HETEROGENEIDADE | TÉCNICAS DE VIRTUALIZAÇÃO
Empregue técnicas de virtualização para dar suporte à implantação de uma diversidade de sistemas
operacionais e aplicativos que são alterados [Atribuição: frequência definida pela organização].
Discussão: Embora alterações frequentes em sistemas operacionais e aplicativos possam representar

desafios significativos de gerenciamento de configuração, as alterações podem resultar em um maior fator de
trabalho para os adversários conduzirem ataques bem-sucedidos. A alteração de sistemas operacionais ou
aplicativos virtuais, em vez de alterar sistemas operacionais ou aplicativos reais, proporciona alterações virtuais
que impedem o sucesso do invasor e, ao mesmo tempo, reduzem os esforços de gerenciamento de
configuração. As técnicas de virtualização podem ajudar a isolar software não confiável ou de origem duvidosa
em ambientes de execução confinados.
SC-30 OCULTAÇÃO E MÁ DIREÇÃO
Controle: Empregue as seguintes técnicas de ocultação e desorientação para [Tarefa: sistemas definidos pela
organização] em [Tarefa: períodos de tempo definidos pela organização] para confundir e enganar os adversários:
[Tarefa: técnicas de ocultação e desorientação definidas pela organização].
Discussão: As técnicas de ocultação e desorientação podem reduzir significativamente a capacidade de seleção

de alvos dos adversários (isto é, janela de oportunidade e superfície de ataque disponível) para iniciar e concluir
ataques. Por exemplo, as técnicas de virtualização proporcionam às organizações a capacidade de disfarçar
sistemas, reduzindo potencialmente a probabilidade de ataques bem-sucedidos sem o custo de ter múltiplas
plataformas. O aumento do uso de técnicas e métodos de ocultação e desorientação — incluindo aleatoriedade, incerteza
e virtualização — pode confundir e enganar suficientemente os adversários e, subsequentemente, aumentar o risco de
descoberta e/ou exposição de técnicas comerciais. Técnicas de ocultação e desorientação podem fornecer
tempo adicional para executar a missão principal e as funções comerciais. A implementação de técnicas de ocultação
e desorientação pode aumentar a complexidade e a sobrecarga de gestão necessária para o sistema.
Controles relacionados: AC-6, SC-25, SC-26, SC-29, SC-44, SI-14.
(1) OCULTAÇÃO E MÁ DIREÇÃO | TÉCNICAS DE VIRTUALIZAÇÃO
(2) OCULTAÇÃO E MÁ DIREÇÃO | ALEATORIEDADE
Empregue [Tarefa: técnicas definidas pela organização] para introduzir aleatoriedade nas operações
e ativos organizacionais.
Discussão: A aleatoriedade introduz níveis aumentados de incerteza para os adversários em relação às ações que
as organizações tomam para defender os seus sistemas contra ataques. Tais ações podem impedir a capacidade
dos adversários de direcionar corretamente os recursos de informação das organizações que apoiam missões
críticas ou funções empresariais. A incerteza também pode fazer com que os adversários hesitem antes de iniciar
ou continuar os ataques. Técnicas de desorientação que envolvem

e
g
_________________________________________________________________________________________________
pe
E a aleatoriedade inclui a realização de certas ações rotineiras em diferentes horários do dia, o emprego de diferentes
tecnologias de informação, o uso de diferentes fornecedores e a rotação de funções e responsabilidades do
pessoal organizacional.
(3) OCULTAÇÃO E MÁ DIREÇÃO | ALTERAR LOCAIS DE PROCESSAMENTO E ARMAZENAMENTO
Alterar o local de [Atribuição: processamento e/ ou armazenamento definido pela organização]

[Seleção: [Atribuição: frequência de tempo definida pela organização]; em intervalos de tempo aleatórios]].
Discussão: Os adversários visam missões críticas e funções empresariais e os sistemas que apoiam essas missões e
funções empresariais, ao mesmo tempo que tentam minimizar a exposição da sua existência e do seu ofício. A natureza
estática, homogênea e determinística dos sistemas organizacionais visados pelos adversários torna esses sistemas
mais suscetíveis a ataques com menos custo e esforço do adversário para serem bem-sucedidos. A alteração dos
locais de processamento e armazenamento (também chamada de defesa de alvo móvel) aborda a ameaça persistente
avançada usando técnicas como virtualização, processamento distribuído e replicação. Isso permite que as organizações
realoquem os componentes do sistema (ou seja, processamento, armazenamento) que dão suporte à missão crítica e às
funções de negócios. A alteração dos locais das atividades de processamento e/ou locais de armazenamento introduz
um certo grau de incerteza nas atividades de seleção de alvos dos adversários. A incerteza da segmentação
aumenta o fator de trabalho dos adversários e torna
compromissos ou violações dos sistemas organizacionais são mais difíceis e demorados.

Também aumenta as chances de os adversários revelarem inadvertidamente certos aspectos de sua arte ao tentarem
localizar recursos organizacionais críticos.
(4) OCULTAÇÃO E MÁ DIREÇÃO | INFORMAÇÃO ENGANOSA
Empregue informações realistas, mas enganosas, em [Tarefa: componentes do sistema definidos pela organização]
sobre seu estado ou postura de segurança.
Discussão: O emprego de informações enganosas destina-se a confundir potenciais adversários relativamente à natureza e
extensão dos controlos implementados pelas organizações. Assim, os adversários podem empregar técnicas de ataque
incorretas e ineficazes. Uma técnica para enganar os adversários é as organizações colocarem informações enganosas
sobre os controles específicos implantados em sistemas externos que são conhecidos por serem alvo dos adversários.
Outra técnica é o uso de redes enganosas que imitam aspectos reais dos sistemas organizacionais, mas utilizam, por exemplo,
configurações de software desatualizadas.
(5) OCULTAÇÃO E MÁ DIREÇÃO | OCULTAÇÃO DE COMPONENTES DO SISTEMA
Empregue as seguintes técnicas para ocultar ou ocultar [Atribuição: componentes do sistema definidos pela
organização]: [Atribuição: técnicas definidas pela organização].
Discussão: Ao ocultar, disfarçar ou ocultar componentes críticos do sistema, as organizações podem diminuir a
probabilidade de os adversários visarem e comprometerem com sucesso esses ativos. Meios potenciais para ocultar, disfarçar
ou ocultar componentes do sistema incluem a configuração de roteadores ou o uso de técnicas de criptografia ou virtualização.
ANÁLISE DO CANAL SECRETO SC-31
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Realize uma análise de canal secreto para identificar os aspectos das comunicações dentro do sistema que são caminhos
potenciais para [Seleção (um ou mais): armazenamento; canais de tempo] ; e
b. Estime a largura de banda máxima desses canais.
Discussão: Os desenvolvedores estão na melhor posição para identificar áreas potenciais dentro dos sistemas que podem levar
a canais secretos. A análise de canal secreto é uma atividade significativa quando há potencial para fluxos de informações não
autorizados através de domínios de segurança, como no caso de sistemas que contêm informações controladas para
exportação e têm conexões com redes externas (ou seja, redes que não são controladas por organizações). . A análise de canal
secreto também é útil para sistemas seguros multiníveis, sistemas com vários níveis de segurança e sistemas entre domínios.
Controles Relacionados: AC-3, AC-4, SA-8, SI-11.
(1) ANÁLISE DE CANAL COBERTO | TESTE CANAIS COBERTOS PARA EXPLORAÇÃO
Teste um subconjunto de canais secretos identificados para determinar os canais que podem ser
explorados.
(2) ANÁLISE DE CANAL COBERTO | LARGURA DE BANDA MÁXIMA
Reduzir a largura de banda máxima para [Seleção (um ou mais): armazenamento secreto identificado; timing]
canais para [Atribuição: valores definidos pela organização].
Discussão: A eliminação completa de canais secretos, especialmente canais de temporização ocultos, geralmente não é
possível sem impactos significativos no desempenho.
(3) ANÁLISE DE CANAL SECRETO | MEDIR A LARGURA DE BANDA EM AMBIENTES OPERACIONAIS
Meça a largura de banda de [Atribuição: subconjunto de canais secretos identificados definido pela organização]
no ambiente operacional do sistema.
Discussão: Medir a largura de banda do canal secreto em ambientes operacionais específicos ajuda as organizações a
determinar quanta informação pode ser vazada secretamente antes que tal vazamento afete negativamente a missão ou
as funções de negócios. A largura de banda do canal secreto pode ser significativamente diferente quando medida em
configurações independentes dos ambientes específicos de operação, incluindo laboratórios ou ambientes de
desenvolvimento de sistemas.
PARTICIONAMENTO DO SISTEMA SC-32
Controle: particione o sistema em [Atribuição: componentes do sistema definidos pela organização] residindo em [Seleção:
física; lógicos] domínios ou ambientes baseados em [Atribuição: circunstâncias definidas pela organização para separação física ou
lógica de componentes].
Discussão: O particionamento do sistema faz parte de uma estratégia de proteção de defesa profunda. As organizações determinam
o grau de separação física dos componentes do sistema. As opções de separação física incluem componentes fisicamente distintos
em racks separados na mesma sala, componentes críticos em salas separadas e separação geográfica de componentes críticos. A
categorização de segurança pode orientar a seleção de candidatos para particionamento de domínio. As interfaces gerenciadas
restringem ou proíbem o acesso à rede e o fluxo de informações entre componentes do sistema particionado.
Controles relacionados: AC-4, AC-6, SA-8, SC-2, SC-3, SC-7, SC-36.

e
g
_________________________________________________________________________________________________
pe
E Melhorias de controle:
(1) PARTICIONAMENTO DO SISTEMA | DOMÍNIOS FÍSICOS SEPARADOS PARA FUNÇÕES PRIVILEGIADAS
Particione funções privilegiadas em domínios físicos separados.
Discussão: Funções privilegiadas que operam em um único domínio físico podem representar um único ponto
de falha se esse domínio for comprometido ou sofrer uma negação de serviço.
Referências: [FIPS 199], [IR 8179].
INTEGRIDADE DE PREPARAÇÃO DA TRANSMISSÃO SC-33
PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS SC-34
Controle: Para [Atribuição: componentes do sistema definidos pela organização], carregue e execute:
a. O ambiente operacional de mídia somente leitura imposta por hardware; e
b. Os seguintes aplicativos de mídia somente leitura imposta por hardware: [Atribuição: aplicativos definidos
Discussão: O ambiente operacional de um sistema contém o código que hospeda aplicativos, incluindo sistemas
operacionais, executivos ou monitores de máquinas virtuais (ou seja, hipervisores). Também pode incluir
determinados aplicativos executados diretamente em plataformas de hardware. A mídia somente leitura reforçada
por hardware inclui unidades de disco compacto gravável (CD-R) e disco digital versátil gravável (DVD-R), bem como
memória programável única somente leitura. O uso de armazenamento não modificável garante a integridade
do software desde o ponto de criação da imagem somente leitura. O uso de memória reprogramável somente leitura
pode ser aceito como mídia somente leitura, desde que a integridade possa ser adequadamente protegida desde
o ponto da gravação inicial até a inserção da memória no sistema e que existam proteções de hardware
confiáveis contra a reprogramação da memória. enquanto instalado em sistemas organizacionais.
Controles Relacionados: AC-3, SI-7, SI-14.
(1) PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS | SEM ARMAZENAMENTO GRAVÁVEL
Empregue [Atribuição: componentes do sistema definidos pela organização] sem armazenamento gravável
que seja persistente durante a reinicialização do componente ou liga/desliga.
Discussão: A proibição do armazenamento gravável elimina a possibilidade de inserção de código

malicioso por meio de armazenamento persistente e gravável nos componentes designados do sistema. A
restrição aplica-se ao armazenamento fixo e removível, sendo este último abordado diretamente ou como
restrições específicas impostas através de controles de acesso para dispositivos móveis.
Controles relacionados: AC-19, MP-7.
(2) PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS | PROTEÇÃO DE INTEGRIDADE EM MÍDIA SOMENTE LEITURA
Proteja a integridade das informações antes do armazenamento em mídia somente leitura e controle a
mídia depois que tais informações forem gravadas na mídia.
Discussão: Os controles evitam a substituição de mídia em sistemas ou a reprogramação de mídia programável

somente leitura antes da instalação nos sistemas. Os controles de proteção de integridade incluem uma
combinação de prevenção, detecção e resposta.
Controles relacionados: CM-3, CM-5, CM-9, MP-2, MP-4, MP-5, SC-28, SI-3.

e
g
_________________________________________________________________________________________________
pe
E (3) PROGRAMAS EXECUTÁVEIS NÃO MODIFIÁVEIS | PROTEÇÃO BASEADA EM HARDWARE
[Retirado: movido para SC-51.]
IDENTIFICAÇÃO DE CÓDIGO MALICIOSO EXTERNO SC-35
Controle: inclui componentes do sistema que buscam proativamente identificar códigos maliciosos baseados em rede ou sites
maliciosos.
Discussão: A identificação externa de códigos maliciosos difere das iscas no SC-26 porque os componentes
investigam ativamente as redes, incluindo a Internet, em busca de códigos maliciosos contidos em sites externos.
Tal como os engodos, a utilização de técnicas externas de identificação de códigos maliciosos requer algumas medidas de
isolamento de apoio para garantir que qualquer código malicioso descoberto durante a pesquisa e subsequentemente
executado não infecte os sistemas organizacionais.
A virtualização é uma técnica comum para alcançar esse isolamento.
Controles Relacionados: SC-7, SC-26, SC-44, SI-3, SI-4.
PROCESSAMENTO E ARMAZENAMENTO DISTRIBUÍDO SC-36
Controle: Distribua os seguintes componentes de processamento e armazenamento em vários [Seleção: locais físicos; domínios
lógicos]: [Atribuição: componentes de processamento e armazenamento definidos pela organização].
Discussão: A distribuição do processamento e do armazenamento em vários locais físicos ou domínios lógicos

proporciona um certo grau de redundância ou sobreposição para as organizações. A redundância e a sobreposição
aumentam o fator de trabalho dos adversários para impactar negativamente as operações organizacionais, os ativos e os
indivíduos. O uso de processamento e armazenamento distribuído não pressupõe um único local primário de processamento
ou armazenamento. Portanto, permite processamento e armazenamento paralelos.
Controles Relacionados: CP-6, CP-7, PL-8, SC-32.
(1) PROCESSAMENTO E ARMAZENAGEM DISTRIBUÍDOS | TÉCNICAS DE PESQUISA
(a) Empregar técnicas de pesquisa para identificar possíveis falhas, erros ou comprometimentos nos seguintes
componentes de processamento e armazenamento: [Atribuição: definido pela organização
componentes distribuídos de processamento e armazenamento]; e
(b) Tomar as seguintes ações em resposta a falhas, erros ou comprometimentos identificados:

[Tarefa: ações definidas pela organização].
Discussão: O processamento e/ou armazenamento distribuído pode ser usado para reduzir as oportunidades para os
adversários comprometerem a confidencialidade, integridade ou disponibilidade de informações e sistemas
organizacionais. Contudo, a distribuição de componentes de processamento e armazenamento não impede que os
adversários comprometam um ou mais componentes. A votação compara os resultados do processamento e/ou
conteúdo de armazenamento dos componentes distribuídos e, posteriormente, vota nos resultados. A pesquisa
identifica possíveis falhas, comprometimentos ou erros nos componentes de processamento e armazenamento distribuídos.
(2) PROCESSAMENTO E ARMAZENAGEM DISTRIBUÍDOS | SINCRONIZAÇÃO
Sincronize os seguintes sistemas ou componentes de sistema duplicados: [Atribuição: sistemas ou

componentes de sistema duplicados definidos pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: SC-36 e CP-9(6) exigem a duplicação de sistemas ou componentes de sistemas em locais distribuídos. A
sincronização de serviços e dados duplicados e redundantes
ajuda a garantir que as informações contidas nos locais distribuídos possam ser usadas na missão ou nas funções de
negócios das organizações, conforme necessário.
Controles Relacionados: CP-9.
CANAIS FORA DE BANDA SC-37
Controle: Empregue os seguintes canais fora de banda para a entrega física ou transmissão eletrônica de [Atribuição:
informações, componentes de sistema ou dispositivos definidos pela organização] para [Atribuição: indivíduos ou sistemas definidos
pela organização]: [Atribuição: organização- canais fora de banda definidos].
Discussão: Canais fora de banda incluem acessos locais, fora da rede, aos sistemas; caminhos de rede fisicamente separados dos
caminhos de rede usados para tráfego operacional; ou caminhos não eletrônicos, como o Serviço Postal dos EUA. O uso de canais
fora da banda é contrastado com o uso de canais dentro da banda.
canais (ou seja, os mesmos canais) que transportam tráfego operacional de rotina. Os canais fora da banda não apresentam a
mesma vulnerabilidade ou exposição que os canais dentro da banda. Portanto, os compromissos de confidencialidade, integridade
ou disponibilidade dos canais dentro da banda não comprometerão nem afetarão negativamente os canais fora da banda. As
organizações podem empregar canais fora de banda na entrega ou
transmissão de itens organizacionais, incluindo autenticadores e credenciais; informações de gerenciamento de chaves criptográficas;
backups de sistema e dados; alterações no gerenciamento de configuração de hardware, firmware ou software; atualizações
de segurança; informações de manutenção; e malicioso
atualizações de proteção de código.
Controles relacionados: AC-2, CM-3, CM-5, CM-7, IA-2, IA-4, IA-5, MA-4, SC-12, SI-3, SI-4, SI-7 .
(1) CANAIS FORA DE BANDA | GARANTIR ENTREGA E TRANSMISSÃO

Empregue [Atribuição: controles definidos pela organização] para garantir que apenas [Atribuição: indivíduos
ou sistemas definidos pela organização] receba as seguintes informações, componentes do sistema ou
dispositivos: [Atribuição: informações, componentes do sistema ou dispositivos definidos pela
organização].
Discussão: As técnicas utilizadas pelas organizações para garantir que apenas sistemas ou indivíduos designados recebam
determinadas informações, componentes de sistema ou dispositivos incluem o envio de autenticadores através de um
serviço de correio aprovado, mas exigem que os destinatários apresentem alguma forma de identificação fotográfica emitida
pelo governo como condição de recebimento.
Referências: [SP 800-57-1], [SP 800-57-2], [SP 800-57-3].
SEGURANÇA DE OPERAÇÕES SC-38
Controle: Empregue os seguintes controles de segurança operacional para proteger as principais informações
organizacionais durante todo o ciclo de vida de desenvolvimento do sistema: [Atribuição: controles de segurança operacional
definidos pela organização].
Discussão: A segurança das operações (OPSEC) é um processo sistemático pelo qual potenciais adversários podem ter negadas
informações sobre as capacidades e intenções das organizações, identificando, controlando e protegendo informações geralmente
não classificadas que se relacionam especificamente com o planeamento e execução de atividades organizacionais sensíveis.
O processo OPSEC envolve cinco etapas: identificação de informações críticas, análise de ameaças, análise de vulnerabilidades,
avaliação de riscos e aplicação de contramedidas apropriadas. Os controles OPSEC são

e
g
_________________________________________________________________________________________________
pe
E aplicado a sistemas organizacionais e aos ambientes em que esses sistemas operam. Os controles OPSEC protegem a
confidencialidade das informações, incluindo a limitação do compartilhamento de informações com fornecedores, potenciais
fornecedores e outros elementos e indivíduos não organizacionais.
As informações críticas para a missão organizacional e funções de negócios incluem identidades de usuários, usos de
elementos, fornecedores, processos da cadeia de suprimentos, requisitos funcionais, requisitos de segurança, especificações de
design de sistema, protocolos de teste e avaliação e detalhes de implementação de controle de segurança.
Controles Relacionados: CA-2, CA-7, PL-1, PM-9, PM-12, RA-2, RA-3, RA-5, SC-7, SR-3, SR-7.
ISOLAMENTO DO PROCESSO SC-39
Controle: Mantenha um domínio de execução separado para cada processo do sistema em execução.
Discussão: Os sistemas podem manter domínios de execução separados para cada processo em execução, atribuindo a cada
processo um espaço de endereço separado. Cada processo do sistema possui um espaço de endereço distinto para que a
comunicação entre os processos seja realizada de maneira controlada pelas funções de segurança, e um processo não possa
modificar o código de execução de outro processo.
A manutenção de domínios de execução separados para processos em execução pode ser alcançada, por exemplo, através da
implementação de espaços de endereço separados. Tecnologias de isolamento de processos, incluindo sandbox ou virtualização,
separam logicamente software e firmware de outros softwares, firmware e dados. O isolamento do processo ajuda a limitar o
acesso de software potencialmente não confiável a outros recursos do sistema. A capacidade de manter domínios de execução
separados está disponível em sistemas operacionais comerciais que empregam tecnologias de processador multiestado.
Controles relacionados: AC-3, AC-4, AC-6, AC-25, SA-8, SC-2, SC-3, SI-16.
(1) ISOLAMENTO DO PROCESSO | SEPARAÇÃO DE HARDWARE
Implemente mecanismos de separação de hardware para facilitar o isolamento do processo.
Discussão: A separação de processos do sistema baseada em hardware é geralmente menos suscetível a comprometimento
do que a separação baseada em software, proporcionando assim maior garantia de que a separação será aplicada. Os
mecanismos de separação de hardware incluem gerenciamento de memória de hardware.
(2) ISOLAMENTO DO PROCESSO | DOMÍNIO DE EXECUÇÃO SEPARADO POR THREAD
Mantenha um domínio de execução separado para cada thread em [Atribuição: processamento multithread
definido pela organização].
PROTEÇÃO DE LIGAÇÃO SEM FIO SC-40
Controle: Proteger [Atribuição: links sem fio definidos pela organização] externos e internos dos seguintes ataques de parâmetros de
sinal: [Atribuição: tipos de ataques de parâmetros de sinal definidos pela organização ou referências a fontes para tais ataques].
Discussão: A proteção de link sem fio aplica-se a links de comunicação sem fio internos e externos que podem ser visíveis
para indivíduos que não são usuários autorizados do sistema. Os adversários podem

e
g
_________________________________________________________________________________________________
pe
E explorar os parâmetros de sinal de links sem fio se tais links não estiverem adequadamente protegidos. Há muitas
maneiras de explorar os parâmetros de sinal de links sem fio para obter inteligência, negar serviço ou falsificar usuários do
sistema. A proteção de links sem fio reduz o impacto de ataques exclusivos de sistemas sem fio. Se as organizações
confiarem em prestadores de serviços comerciais para serviços de transmissão como itens de commodities, em
vez de serviços totalmente dedicados, poderá não ser possível implementar proteções de links sem fio na medida
necessária para atender aos requisitos de segurança organizacional.
(1) PROTEÇÃO DE LINK SEM FIO | INTERFERÊNCIA ELETROMAGNÉTICA
Implementar mecanismos criptográficos que alcancem [Atribuição: nível de proteção definido pela
organização] contra os efeitos da interferência eletromagnética intencional.
Discussão: A implementação de mecanismos criptográficos para interferência eletromagnética protege

os sistemas contra interferências intencionais que podem negar ou prejudicar as comunicações, garantindo
que as formas de onda de espectro espalhado sem fio usadas para fornecer proteção anti-bloqueio não sejam
previsíveis por indivíduos não autorizados. A implementação de mecanismos criptográficos também pode,
coincidentemente, mitigar os efeitos de interferências não intencionais devido à interferência de transmissores
legítimos que compartilham o mesmo espectro.
Os requisitos da missão, as ameaças projetadas, o conceito de operações e as leis, ordens executivas, diretivas,
regulamentos, políticas e padrões determinam os níveis de disponibilidade do link sem fio,
criptografia necessária e desempenho.
Controles Relacionados: PE-21, SC-12, SC-13.
(2) PROTEÇÃO DE LINK SEM FIO | REDUZIR O POTENCIAL DE DETECÇÃO
Implementar mecanismos criptográficos para reduzir o potencial de detecção de links sem fio para
[Atribuição: nível de redução definido pela organização].
Discussão: A implementação de mecanismos criptográficos para reduzir o potencial de detecção é usada para
comunicações secretas e para proteger transmissores sem fio contra geolocalização. Ele também garante que as
formas de onda de espectro espalhado usadas para alcançar uma baixa probabilidade de detecção não
sejam previsíveis por indivíduos não autorizados. Os requisitos da missão, as ameaças projetadas, o conceito de
operações e as leis, ordens executivas, diretivas, regulamentos, políticas e padrões aplicáveis determinam os níveis
em que os links sem fio são indetectáveis.
(3) PROTEÇÃO DE LINK SEM FIO | ENGANO DE COMUNICAÇÕES IMITATIVAS OU MANIPULATIVAS
Implementar mecanismos criptográficos para identificar e rejeitar transmissões sem fio que sejam
tentativas deliberadas de enganar comunicações imitativas ou manipulativas com base em parâmetros de
sinal.
Discussão: A implementação de mecanismos criptográficos para identificar e rejeitar comunicações

imitativas ou manipulativas garante que os parâmetros do sinal das transmissões sem fio não sejam previsíveis
por indivíduos não autorizados. Tal imprevisibilidade reduz a probabilidade de fraude imitativa ou manipulativa nas
comunicações com base apenas nos parâmetros do sinal.
(4) PROTEÇÃO DE LINK SEM FIO | IDENTIFICAÇÃO DO PARÂMETRO DE SINAL
Implemente mecanismos criptográficos para evitar a identificação de [Atribuição: transmissores

sem fio definidos pela organização] usando os parâmetros de sinal do transmissor.
Discussão: A implementação de mecanismos criptográficos para impedir a identificação de transmissores sem fio
protege contra a identificação única de transmissores sem fio

e
g
_________________________________________________________________________________________________
pe
E para efeitos de exploração de informações, garantindo que as alterações anti-impressões digitais nos parâmetros do
sinal não sejam previsíveis por indivíduos não autorizados. Ele também fornece anonimato quando necessário.
As técnicas de impressão digital de rádio identificam os parâmetros de sinal exclusivos dos transmissores para
imprimir impressões digitais de tais transmissores para fins de rastreamento e missão ou identificação do usuário.
SC-41 PORTA E ACESSO A DISPOSITIVOS DE E/S
Controle: [Seleção: Fisicamente; Logicamente] desabilitar ou remover [Atribuição: portas de conexão definidas pela
organização ou dispositivos de entrada/ saída] nos seguintes sistemas ou componentes do sistema:
[Tarefa: sistemas ou componentes de sistema definidos pela organização].
Discussão: As portas de conexão incluem Universal Serial Bus (USB), Thunderbolt e Firewire (IEEE 1394). Os dispositivos de
entrada/saída (E/S) incluem unidades de disco compacto e de disco digital versátil. Desativar ou remover essas portas de
conexão e dispositivos de E/S ajuda a evitar a exfiltração de informações dos sistemas e a introdução de código malicioso
dessas portas ou dispositivos. Desativar ou remover fisicamente portas e/ou dispositivos é a ação mais forte.
Controles relacionados: AC-20, MP-7.
CAPACIDADE E DADOS DO SENSOR SC-42
Ao controle:
a. Proibir [Seleção (um ou mais): o uso de dispositivos que possuam [Atribuição: capacidades de detecção ambiental
definidas pela organização] em [Atribuição: instalações, áreas ou sistemas definidos pela organização]; a ativação
remota de capacidades de detecção ambiental em sistemas organizacionais ou componentes de sistema
com as seguintes exceções: [Atribuição: exceções definidas pela organização onde a ativação remota de sensores é
permitida]]; e
b. Forneça uma indicação explícita do uso do sensor para [Atribuição: grupo de

Usuários].
Discussão: A capacidade e os dados dos sensores aplicam-se a tipos de sistemas ou componentes de sistemas
caracterizados como dispositivos móveis, como telefones celulares, smartphones e tablets. Os dispositivos móveis
geralmente incluem sensores que podem coletar e registrar dados relativos ao ambiente onde o sistema está em uso. Os
sensores incorporados em dispositivos móveis incluem microfones,
câmeras, mecanismos do Sistema de Posicionamento Global (GPS) e acelerômetros. Embora os sensores em dispositivos
móveis forneçam uma função importante, se ativados secretamente, tais dispositivos podem potencialmente
fornecer um meio para os adversários obterem informações valiosas sobre indivíduos e organizações. Por exemplo, ativar
remotamente a função GPS num dispositivo móvel poderia fornecer a um adversário a capacidade de rastrear os
movimentos de um indivíduo. As organizações podem proibir indivíduos de trazer telefones celulares ou câmeras digitais para
determinadas instalações designadas ou áreas controladas dentro de instalações onde informações confidenciais são
armazenadas ou confidenciais.
conversas estão acontecendo.
(1) CAPACIDADE E DADOS DO SENSOR | RELATÓRIOS A INDIVÍDUOS OU FUNÇÕES AUTORIZADOS

e
g
_________________________________________________________________________________________________
pe
E Verifique se o sistema está configurado para que os dados ou informações coletados pela [Atribuição:
sensores definidos pela organização] sejam relatados apenas a indivíduos ou funções autorizadas.
Discussão: Nas situações em que os sensores são ativados por pessoas autorizadas, ainda é possível que os dados
ou informações recolhidos pelos sensores sejam enviados para entidades não autorizadas.
(2) CAPACIDADE E DADOS DO SENSOR | USO AUTORIZADO
Empregue as seguintes medidas para que os dados ou informações coletados por [Atribuição: sensores
definidos pela organização] sejam usados apenas para fins autorizados: [Atribuição: medidas definidas
Discussão: As informações coletadas pelos sensores para uma finalidade específica autorizada podem ser utilizadas
indevidamente para alguma finalidade não autorizada. Por exemplo, sensores GPS usados para apoiar a navegação no
trânsito podem ser mal utilizados para rastrear os movimentos de indivíduos. As medidas para mitigar tais atividades
incluem formação adicional para ajudar a garantir que os indivíduos autorizados não abusem da sua autoridade e, no caso em
que os dados dos sensores sejam mantidos por terceiros, restrições contratuais à utilização de tais dados.
Controles Relacionados: PT-2.
(3) CAPACIDADE E DADOS DO SENSOR | PROIBIR O USO DE DISPOSITIVOS
(4) CAPACIDADE E DADOS DO SENSOR | AVISO DE COLETA
Empregue as seguintes medidas para facilitar a consciência de um indivíduo de que informações pessoalmente
identificáveis estão sendo coletadas por [Atribuição: sensores definidos pela organização]: [Atribuição: medidas
definidas pela organização].
Discussão: A consciência de que os sensores organizacionais estão a recolher dados permite que os indivíduos se envolvam
de forma mais eficaz na gestão da sua privacidade. As medidas podem incluir avisos convencionais por escrito e
configurações de sensores que conscientizam os indivíduos, direta ou indiretamente, por meio de outros dispositivos, de que
o sensor está coletando informações. A usabilidade e eficácia do aviso são considerações importantes.
Controles relacionados: PT-1, PT-4, PT-5.
(5) CAPACIDADE E DADOS DO SENSOR | MINIMIZAÇÃO DA COLETA
Empregue [Atribuição: sensores definidos pela organização] que sejam configurados para minimizar a coleta de
informações desnecessárias sobre indivíduos.
Discussão: Embora as políticas de controlo da utilização autorizada possam ser aplicadas às informações uma vez
recolhidas, minimizar a recolha de informações desnecessárias mitiga o risco de privacidade no ponto de entrada do
sistema e mitiga o risco de falhas no controlo das políticas. As configurações dos sensores incluem o obscurecimento de
características humanas, como desfoque ou pixelização da pele
tons.
Controles Relacionados: SA-8, SI-12.
Referências: [OMB A-130], [SP 800-124].
RESTRIÇÕES DE USO DO SC-43
Ao controle:
a. Estabelecer restrições de uso e diretrizes de implementação para os seguintes componentes do sistema: [Atribuição:
componentes do sistema definidos pela organização]; e

e
g
_________________________________________________________________________________________________
pe
E b. Autorizar, monitorar e controlar o uso de tais componentes no sistema.
Discussão: As restrições de uso se aplicam a todos os componentes do sistema, incluindo, entre outros,
código móvel, dispositivos móveis, acesso sem fio e componentes periféricos com e sem fio.
(por exemplo, copiadoras, impressoras, scanners, dispositivos ópticos e outras tecnologias similares). As
restrições de uso e as diretrizes de implementação baseiam-se no potencial dos componentes do sistema causarem
danos ao sistema e ajudam a garantir que somente ocorra o uso autorizado do sistema.
Controles relacionados: AC-18, AC-19, CM-6, SC-7, SC-18.
CÂMARAS DE DETONAÇÃO SC-44
Controle: Empregue uma capacidade de câmara de detonação dentro de [Atribuição: sistema definido pela
organização, componente do sistema ou localização].
Discussão: As câmaras de detonação, também conhecidas como ambientes de execução dinâmicos,

permitem que as organizações abram anexos de e-mail, executem aplicativos não confiáveis ou suspeitos e
executem solicitações do Universal Resource Locator na segurança de um ambiente isolado ou de uma
sandbox virtualizada. Ambientes de execução protegidos e isolados fornecem um meio de determinar se
os anexos ou aplicativos associados contêm código malicioso. Embora relacionado com o conceito de redes de
engano, o emprego de câmaras de detonação não se destina a manter um ambiente de longo prazo no qual
os adversários possam operar e as suas ações possam ser observadas. Em vez disso, as câmaras de
detonação destinam-se a identificar rapidamente código malicioso e reduzir a probabilidade de o código ser propagado
para ambientes de operação do usuário ou impedir completamente tal propagação.
Controles relacionados: SC-7, SC-18, SC-25, SC-26, SC-30, SC-35, SC-39, SI-3, SI-7.
SINCRONIZAÇÃO DE TEMPO DO SISTEMA SC-45
Controle: Sincronize os relógios do sistema dentro e entre sistemas e componentes do sistema.
Discussão: A sincronização de horário dos relógios do sistema é essencial para a correta execução de muitos
serviços do sistema, incluindo processos de identificação e autenticação que envolvem certificados
e restrições de horário como parte do controle de acesso. A negação de serviço ou a falha na negação de credenciais
expiradas pode resultar na falta de relógios devidamente sincronizados dentro e entre sistemas e componentes
do sistema. O tempo é comumente expresso em Tempo Universal Coordenado (UTC), uma continuação
moderna do Horário de Greenwich (GMT), ou hora local com um deslocamento do UTC. A granularidade das medições
de tempo refere-se ao grau de sincronização entre os relógios do sistema e os relógios de referência, como relógios
sincronizados em centenas de milissegundos ou dezenas de milissegundos. As organizações podem definir
diferentes granularidades de tempo para componentes do sistema. O serviço de tempo pode ser crítico para outras
capacidades de segurança – como controle de acesso, identificação e autenticação – dependendo da natureza dos
mecanismos usados para apoiar as capacidades.
Controles Relacionados: AC-3, AU-8, IA-2, IA-8.
(1) SINCRONIZAÇÃO DE HORÁRIO DO SISTEMA | SINCRONIZAÇÃO COM FONTE DE TEMPO AUTORITIVA
(a) Compare os relógios do sistema interno [Atribuição: frequência definida pela organização] com
[Atribuição: fonte de tempo oficial definida pela organização]; e

e
g
_________________________________________________________________________________________________
pe
E (b) Sincronizar os relógios do sistema interno com a fonte de tempo oficial quando a diferença de horário for maior
que [Atribuição: período de tempo definido pela organização].
Discussão: A sincronização dos relógios do sistema interno com uma fonte autorizada fornece uniformidade de registros de
data e hora para sistemas com vários relógios de sistema e sistemas conectados em uma rede.
(2) SINCRONIZAÇÃO DE HORÁRIO DO SISTEMA | FONTE DE TEMPO AUTORITATIVA SECUNDÁRIA
(a) Identifique uma fonte de tempo secundária autorizada que esteja em uma região geográfica diferente
do que a principal fonte de tempo oficial; e
(b) Sincronize os relógios do sistema interno com a fonte de tempo oficial secundária se a fonte de tempo oficial
primária estiver indisponível.
Discussão: Pode ser necessário empregar informações de geolocalização para determinar se a fonte de tempo oficial
secundária está em uma região geográfica diferente.
Referências: [IETF 5905].
APLICAÇÃO DA POLÍTICA DE DOMÍNIO TRANSVERSAL SC-46
Controle: Implementar um mecanismo de aplicação de políticas [Seleção: fisicamente; logicamente] entre as interfaces físicas e/
ou de rede para os domínios de segurança de conexão.
Discussão: Para mecanismos lógicos de aplicação de políticas, as organizações evitam criar um caminho lógico entre interfaces
para evitar a capacidade de contornar o mecanismo de aplicação de políticas. Para mecanismos físicos de aplicação de políticas,
pode ser necessária a robustez do isolamento físico proporcionada pela implementação física da aplicação de políticas para
impedir a presença de canais lógicos secretos que penetram no domínio de segurança. Contate ncdsmo@nsa.gov para
obter mais informações.
SC-47 CAMINHOS ALTERNATIVOS DE COMUNICAÇÃO
Controle: Estabelecer [Atribuição: caminhos de comunicação alternativos definidos pela organização] para o comando e
controle organizacional das operações do sistema.
Discussão: Um incidente, seja de base adversária ou não, pode interromper os caminhos de comunicação estabelecidos usados
para operações do sistema e comando e controle organizacional.
Caminhos de comunicação alternativos reduzem o risco de todos os caminhos de comunicação serem afetados pelo mesmo
incidente. Para agravar o problema, a incapacidade dos responsáveis organizacionais de obterem informações atempadas sobre
perturbações ou de fornecerem orientação atempada aos elementos operacionais após um incidente no caminho de comunicações,
pode ter impacto na capacidade da organização de responder a tais incidentes em tempo útil. O estabelecimento de caminhos
de comunicação alternativos para fins de comando e controle, incluindo a designação de tomadores de decisão alternativos se
os tomadores de decisão primários não estiverem disponíveis e o estabelecimento da extensão e das limitações de suas ações,
pode facilitar enormemente a capacidade da organização de continuar a operar e tomar as ações apropriadas durante um incidente.
Controles Relacionados: CP-2, CP-8.
Referências: [SP 800-34], [SP 800-61], [SP 800-160-2].

e
g
_________________________________________________________________________________________________
pe
E RELOCAÇÃO DO SENSOR SC-48
Controle: Realocar [Atribuição: sensores e recursos de monitoramento definidos pela organização] para [Atribuição:
locais definidos pela organização] sob as seguintes condições ou circunstâncias:
[Tarefa: condições ou circunstâncias definidas pela organização].
Discussão: Os adversários podem seguir vários caminhos e utilizar diferentes abordagens à medida que se
movem lateralmente através de uma organização (incluindo os seus sistemas) para atingir o seu alvo ou quando
tentam exfiltrar informações da organização. A organização muitas vezes tem apenas um conjunto limitado de
capacidades de monitoramento e detecção, e elas podem estar focadas nos caminhos críticos ou prováveis de infiltração
ou exfiltração. Ao utilizar caminhos de comunicação que a organização normalmente não monitora, o adversário
pode aumentar suas chances de atingir os objetivos desejados. Ao realocar seus sensores ou capacidades de
monitoramento para novos locais, a organização pode impedir a capacidade do adversário de atingir seus objetivos. A
realocação dos sensores ou capacidades de monitoramento pode ser feita com base nas informações sobre ameaças
que a organização adquiriu ou aleatoriamente para confundir o adversário e tornar mais desafiadora sua
transição lateral através do sistema ou organização.
Controles Relacionados: AU-2, SC-7, SI-4.
(1) RELOCAÇÃO DO SENSOR | REALOCAÇÃO DINÂMICA DE SENSORES OU CAPACIDADES DE MONITORAMENTO
Realocar dinamicamente [Atribuição: sensores e recursos de monitoramento definidos pela

organização] para [Atribuição: locais definidos pela organização] sob as seguintes condições
ou circunstâncias: [Atribuição: condições ou circunstâncias definidas pela organização].
SC-49 SEPARAÇÃO FORÇADA POR HARDWARE E APLICAÇÃO DE POLÍTICAS
Controle: Implementar separação imposta por hardware e mecanismos de aplicação de políticas entre
[Atribuição: domínios de segurança definidos pela organização].
Discussão: Os proprietários de sistemas podem exigir mecanismos e robustez adicionais para garantir a separação
de domínios e a aplicação de políticas para tipos específicos de ameaças e ambientes de operação. A separação
imposta por hardware e a aplicação de políticas fornecem maior força de mecanismo do que a separação imposta por
software e a aplicação de políticas.
Controles Relacionados: AC-4, SA-8, SC-50.
SEPARAÇÃO FORÇADA POR SOFTWARE SC-50 E APLICAÇÃO DE POLÍTICAS
Controle: Implementar separação imposta por software e mecanismos de aplicação de políticas entre [Atribuição:
domínios de segurança definidos pela organização].
Discussão: Os proprietários de sistemas podem exigir mecanismos adicionais para garantir a separação de
domínios e a aplicação de políticas para tipos específicos de ameaças e ambientes de operação.
Controles relacionados: AC-3, AC-4, SA-8, SC-2, SC-3, SC-49.

e
g
_________________________________________________________________________________________________
pe
E PROTEÇÃO BASEADA EM HARDWARE SC-51
Ao controle:
a. Empregue proteção contra gravação baseada em hardware para [Atribuição: sistema definido pela organização
componentes de firmware]; e
b. Implemente procedimentos específicos para [Atribuição: indivíduos autorizados definidos pela organização] para desativar manualmente a
proteção contra gravação de hardware para modificações de firmware e reativar a proteção contra gravação antes de retornar ao
modo operacional.

e
g
_________________________________________________________________________________________________
pe
E 3.19 INTEGRIDADE DO SISTEMA E DA INFORMAÇÃO
Link rápido para a tabela de resumo de integridade do sistema e da informação
POLÍTICA E PROCEDIMENTOS SI-1
Ao controle:

funções]:
nível] sistema e política de integridade de informações que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação

entre entidades organizacionais e conformidade; e
2. Procedimentos para facilitar a implementação da política de integridade de sistemas e informações e dos

controles associados de integridade de sistemas e informações;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento,

documentação e disseminação do sistema e da política e procedimentos de integridade da informação; e
c. Revise e atualize o sistema atual e a integridade das informações:
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos


Discussão: As políticas e procedimentos de integridade de sistemas e informações abordam os controles da família SI

que são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de
segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de políticas e procedimentos de integridade de sistemas e informações. As políticas e
procedimentos do programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem
evitar a necessidade de políticas e procedimentos específicos da missão ou do sistema. A política pode ser incluída
como parte da política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a
natureza complexa das organizações. Podem ser estabelecidos procedimentos para programas de segurança e
privacidade, para processos de missão ou de negócios e para sistemas, se necessário. Os procedimentos
descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo ou função que
é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança e privacidade
do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização da política e
dos procedimentos de integridade do sistema e da informação incluem resultados de avaliação ou auditoria,
incidentes ou violações de segurança ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Controles Relacionados: PM-9, PS-8, SA-8, SI-12.
Referências: [OMB A-130], [SP 800-12], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E REMEDIAÇÃO DE FALHAS SI-2
Ao controle:
a. Identificar, relatar e corrigir falhas do sistema;
b. Testar atualizações de software e firmware relacionadas à correção de falhas quanto à eficácia e possíveis
efeitos colaterais antes da instalação;
c. Instale atualizações de software e firmware relevantes para a segurança em [Tarefa: organização-

período de tempo definido] do lançamento das atualizações; e
d. Incorpore a correção de falhas no processo de gerenciamento de configuração organizacional.
Discussão: A necessidade de remediar falhas do sistema aplica-se a todos os tipos de software e firmware.
As organizações identificam os sistemas afetados por falhas de software, incluindo vulnerabilidades potenciais
resultantes dessas falhas, e reportam essas informações ao pessoal organizacional designado com responsabilidades
de segurança da informação e privacidade. As atualizações relevantes para a segurança incluem patches, service packs e
assinaturas de códigos maliciosos. As organizações também abordam falhas descobertas durante avaliações,
monitoramento contínuo, atividades de resposta a incidentes e tratamento de erros do sistema. Ao incorporar a correção
de falhas nos processos de gerenciamento de configuração, as ações de correção necessárias podem ser rastreadas e
verificadas.
Os períodos de tempo definidos pela organização para atualização de software e firmware relevantes para a segurança
podem variar com base em vários fatores de risco, incluindo a categoria de segurança do sistema, a criticidade da
atualização (ou seja, a gravidade da vulnerabilidade relacionada à falha descoberta), a tolerância ao risco organizacional,
a missão apoiada pelo sistema ou o ambiente de ameaça. Alguns tipos de correção de falhas podem exigir mais testes
do que outros tipos. As organizações determinam o tipo de teste necessário para o tipo específico de atividade de
correção de falhas em consideração e os tipos de alterações que devem ser gerenciadas pela configuração. Em algumas
situações, as organizações podem determinar que o teste de atualizações de software ou firmware não é necessário
ou prático, como
ao implementar atualizações simples de assinatura de código malicioso. Nas decisões de teste, as organizações
consideram se as atualizações de software ou firmware relevantes para a segurança são obtidas de fontes autorizadas
com assinaturas digitais apropriadas.
Controles relacionados: CA-5, CM-3, CM-4, CM-5, CM-6, CM-8, MA-2, RA-5, SA-8, SA-10, SA-11, SI-3 , SI- 5, SI-7, SI-11.
(1) REMEDIAÇÃO DE FALHAS | GESTÃO CENTRAL
[Retirado: Incorporado ao PL-9.]
(2) REMEDIAÇÃO DE FALHAS | STATUS DE REMEDIAÇÃO AUTOMATIZADA DE FALHAS
Determine se os componentes do sistema possuem atualizações de software e firmware relevantes para a

segurança instaladas usando [Atribuição: mecanismos automatizados definidos pela organização]
[Atribuição: frequência definida pela organização].
Discussão: Mecanismos automatizados podem rastrear e determinar o status de falhas conhecidas para
componentes do sistema.
(3) REMEDIAÇÃO DE FALHAS | TEMPO PARA REMEDIAR FALHAS E REFERÊNCIAS PARA AÇÕES CORRETIVAS
(a) Medir o tempo entre a identificação da falha e a correção da falha; e
(b) Estabelecer os seguintes parâmetros de referência para a tomada de ações corretivas: [Atribuição:
benchmarks definidos pela organização].
Discussão: As organizações determinam o tempo médio que leva para corrigir falhas do sistema depois que tais
falhas foram identificadas e subsequentemente estabelecem benchmarks organizacionais

e
g
_________________________________________________________________________________________________
pe
E (ou seja, prazos) para tomar ações corretivas. Os benchmarks podem ser estabelecidos pelo tipo de falha ou pela gravidade da
vulnerabilidade potencial, se a falha puder ser explorada.
(4) REMEDIAÇÃO DE FALHAS | FERRAMENTAS AUTOMATIZADAS DE GERENCIAMENTO DE PATCH
Empregue ferramentas automatizadas de gerenciamento de patches para facilitar a correção de falhas nos seguintes componentes
do sistema: [Atribuição: componentes do sistema definidos pela organização].
Discussão: O uso de ferramentas automatizadas para dar suporte ao gerenciamento de patches ajuda a garantir a pontualidade
e a integridade das operações de patch do sistema.
(5) REMEDIAÇÃO DE FALHAS | ATUALIZAÇÕES AUTOMÁTICAS DE SOFTWARE E FIRMWARE
Instale [Atribuição: atualizações de software e firmware relevantes para a segurança definidas pela organização]
automaticamente em [Atribuição: componentes do sistema definidos pela organização].
Discussão: Devido a preocupações com integridade e disponibilidade do sistema, as organizações consideram a metodologia
utilizada para realizar atualizações automáticas. As organizações equilibram a necessidade de garantir que as atualizações
sejam instaladas o mais rápido possível com a necessidade de manter o gerenciamento e o controle da configuração com
quaisquer impactos operacionais ou de missão que as atualizações automáticas possam impor.
(6) REMEDIAÇÃO DE FALHAS | REMOÇÃO DE VERSÕES ANTERIORES DE SOFTWARE E FIRMWARE
Remova as versões anteriores de [Atribuição: componentes de software e firmware definidos pela organização] após a
instalação das versões atualizadas.
Discussão: Versões anteriores de componentes de software ou firmware que não são removidos do sistema após a instalação das
atualizações podem ser exploradas por adversários. Alguns produtos podem remover automaticamente versões anteriores de software
e firmware do sistema.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 186-4], [SP 800-39], [SP 800-40], [SP 800-128], [IR 7788].
PROTEÇÃO DE CÓDIGO MALICIOSO SI-3
Ao controle:
a. Implementar [Seleção (uma ou mais): baseada em assinatura; mecanismos de proteção contra códigos maliciosos não baseados em
assinaturas nos pontos de entrada e saída do sistema para detectar e erradicar códigos maliciosos;
b. Atualizar automaticamente os mecanismos de proteção contra códigos maliciosos à medida que novas versões são disponibilizadas, de acordo
com as políticas e procedimentos de gerenciamento de configuração organizacional;
c. Configure mecanismos de proteção contra códigos maliciosos para:
1. Realize verificações periódicas do sistema [Atribuição: frequência definida pela organização] e verificações em tempo real de arquivos
de fontes externas em [Seleção (um ou mais): endpoint; pontos de entrada e saída da rede] à medida que os arquivos são
baixados, abertos ou executados de acordo com a política organizacional; e
2. [Seleção (um ou mais): bloquear código malicioso; colocar código malicioso em quarentena; pegar
[Tarefa: ação definida pela organização]]; e enviar alerta para [Atribuição: pessoal ou funções definidas pela organização] em
resposta à detecção de código malicioso; e

e
g
_________________________________________________________________________________________________
pe
E d. Abordar o recebimento de falsos positivos durante a detecção e erradicação de códigos maliciosos e
o impacto potencial resultante na disponibilidade do sistema.
Discussão: Os pontos de entrada e saída do sistema incluem firewalls, servidores de acesso remoto, estações de trabalho,
servidores de correio eletrônico, servidores web, servidores proxy, notebooks e dispositivos móveis.
O código malicioso inclui vírus, worms, cavalos de Tróia e spyware. O código malicioso também pode ser codificado em vários
formatos contidos em arquivos compactados ou ocultos ou ocultos em arquivos usando técnicas como a esteganografia. O código
malicioso pode ser inserido em sistemas de diversas maneiras, inclusive por correio eletrônico, pela rede mundial de
computadores e por dispositivos de armazenamento portáteis. As inserções de códigos maliciosos ocorrem através da exploração
de vulnerabilidades do sistema. Existe uma variedade de tecnologias e métodos para limitar ou eliminar os efeitos do código
malicioso.
Os mecanismos de proteção de códigos maliciosos incluem tecnologias baseadas em assinaturas e não-assinaturas.

Os mecanismos de detecção não baseados em assinaturas incluem técnicas de inteligência artificial que usam
heurística para detectar, analisar e descrever as características ou o comportamento de códigos maliciosos e para fornecer
controles contra códigos para os quais ainda não existem assinaturas ou para os quais as assinaturas existentes podem não ser
eficazes. O código malicioso para o qual ainda não existem assinaturas ativas ou pode ser ineficaz inclui o código malicioso
polimórfico (ou seja, código que altera as assinaturas quando é replicado). Os mecanismos não baseados em assinatura também
incluem tecnologias baseadas em reputação. Além das tecnologias acima, o gerenciamento abrangente de configuração, os
controles abrangentes de integridade de software e o software antiexploração podem ser eficazes na prevenção da
execução de código não autorizado. Código malicioso pode estar presente em software comercial pronto para uso, bem como
em software personalizado, e pode incluir bombas lógicas, backdoors e outros tipos de ataques que podem afetar a missão
organizacional e as funções de negócios.
Em situações em que o código malicioso não pode ser detectado por métodos ou tecnologias de detecção, as organizações
contam com outros tipos de controles, incluindo práticas de codificação segura, gerenciamento e controle de configuração,
processos de aquisição confiáveis e práticas de monitoramento para garantir que o software não execute outras funções além
das funções pretendidas. As organizações podem determinar que, em resposta à detecção de código malicioso, diferentes ações
podem ser justificadas. Por exemplo, as organizações podem definir ações em resposta à detecção de código malicioso
durante verificações periódicas, à detecção de downloads maliciosos ou à detecção de maldade ao tentar abrir ou
executar arquivos.
Controles relacionados: AC-4, AC-19, CM-3, CM-8, IR-4, MA-3, MA-4, PL-9, RA-5, SC-7, SC-23, SC-26 , SC-28, SC-44, SI-2, SI-4,
SI-7, SI-8, SI-15.
(1) PROTEÇÃO DE CÓDIGO MALICIOSO | GESTÃO CENTRAL
(2) PROTEÇÃO DE CÓDIGOS MALICIOSOS | ATUALIZAÇÕES
AUTOMÁTICAS [Retirado: Incorporado ao SI-3.]
(3) PROTEÇÃO DE CÓDIGOS MALICIOSOS | USUÁRIOS NÃO PRIVILEGIADOS
(4) PROTEÇÃO DE CÓDIGOS MALICIOSOS | ATUALIZAÇÕES SOMENTE PARA USUÁRIOS PRIVILEGIADOS
Atualize os mecanismos de proteção contra códigos maliciosos somente quando direcionado por um usuário privilegiado.
Discussão: Os mecanismos de proteção contra códigos maliciosos são normalmente categorizados como software
relacionado à segurança e, como tal, são atualizados apenas pelo pessoal da organização com privilégios de
acesso apropriados.
(5) PROTEÇÃO DE CÓDIGOS MALICIOSOS | DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao MP-7.]
(6) PROTEÇÃO DE CÓDIGOS MALICIOSOS | TESTE E VERIFICAÇÃO
(a) Testar mecanismos de proteção contra códigos maliciosos [Atribuição: frequência definida
pela organização] , introduzindo código benigno conhecido no sistema; e
(b) Verifique se a detecção do código e o relatório de incidente associado ocorrem.

Controles Relacionados: CA-2, CA-7, RA-5.
(7) PROTEÇÃO DE CÓDIGOS MALICIOSOS | DETECÇÃO NÃO BASEADA EM ASSINATURA
[Retirado: Incorporado ao SI-3.]
(8) PROTEÇÃO DE CÓDIGOS MALICIOSOS | DETECTAR COMANDOS NÃO AUTORIZADOS
(a) Detectar os seguintes comandos não autorizados do sistema operacional por meio da interface de
programação do aplicativo kernel em [Atribuição: componentes de hardware do sistema
definidos pela organização]: [Atribuição: comandos não autorizados do sistema operacional
(b) [Seleção (um ou mais): emitir uma advertência; auditar a execução do comando; prevenir o
execução do comando].
Discussão: A detecção de comandos não autorizados pode ser aplicada a interfaces críticas diferentes das
interfaces baseadas em kernel, incluindo interfaces com máquinas virtuais e aplicativos privilegiados. Os
comandos não autorizados do sistema operacional incluem comandos para funções do kernel de
processos do sistema que não são confiáveis para iniciar tais comandos, bem como comandos para funções
do kernel que são suspeitas, mesmo que comandos desse tipo sejam razoáveis para a inicialização dos
processos. As organizações podem definir os comandos maliciosos a serem detectados por uma combinação de
tipos de comandos, classes de comandos ou instâncias específicas de comandos. As organizações também
podem definir componentes de hardware por tipo de componente, componente, localização do
componente na rede ou uma combinação destes. As organizações podem selecionar diferentes ações para
diferentes tipos, classes ou instâncias de comandos maliciosos.
Controles relacionados: AU-2, AU-6, AU-12.
(9) PROTEÇÃO DE CÓDIGOS MALICIOSOS | AUTENTICAR COMANDOS REMOTOS
[Retirado: Movido para AC-17(10).]
(10) PROTEÇÃO DE CÓDIGOS MALICIOSOS | ANÁLISE DE CÓDIGOS MALICIOSOS
(a) Empregar as seguintes ferramentas e técnicas para analisar as características e o comportamento do

código malicioso: [Tarefa: ferramentas e técnicas definidas pela organização]; e
(b) Incorporar os resultados da análise de código malicioso em incidentes organizacionais

processos de resposta e remediação de falhas.
Discussão: O uso de ferramentas de análise de código malicioso fornece às organizações uma compreensão
mais aprofundada do comércio do adversário (ou seja, táticas, técnicas e procedimentos) e da funcionalidade
e da finalidade de instâncias específicas de código malicioso. Compreender as características do código
malicioso facilita respostas organizacionais eficazes às ameaças atuais e futuras. As organizações podem
conduzir análises de códigos maliciosos empregando técnicas de engenharia reversa ou monitorando o
comportamento da execução do código.
Referências: [SP 800-83], [SP 800-125B], [SP 800-177].
MONITORAMENTO DO SISTEMA SI-4
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Monitore o sistema para detectar:
1. Ataques e indicadores de ataques potenciais de acordo com os seguintes objetivos de

monitoramento: [Atribuição: objetivos de monitoramento definidos pela organização]; e
2. Conexões locais, de rede e remotas não autorizadas;
b. Identifique o uso não autorizado do sistema através das seguintes técnicas e métodos:
[Tarefa: técnicas e métodos definidos pela organização];
c. Invoque recursos de monitoramento interno ou implante dispositivos de monitoramento:
1. Estrategicamente dentro do sistema para coletar informações essenciais determinadas pela organização;
e
2. Em locais ad hoc dentro do sistema para rastrear tipos específicos de transações de interesse da
organização;
d. Analisar eventos e anomalias detectadas;
e. Ajustar o nível de atividade de monitoramento do sistema quando houver uma mudança no risco para a organização
operações e ativos, indivíduos, outras organizações ou a Nação;
f. Obter parecer jurídico sobre as atividades de monitoramento do sistema; e
g. Fornecer [Atribuição: informações de monitoramento do sistema definidas pela organização] para [Atribuição:
pessoal ou funções definidas pela organização] [Seleção (uma ou mais): conforme necessário; [Atribuição:
frequência definida pela organização]].
Discussão: A monitorização do sistema inclui monitorização externa e interna. O monitoramento externo

inclui a observação de eventos que ocorrem em interfaces externas do sistema. O monitoramento
interno inclui a observação de eventos que ocorrem dentro do sistema. As organizações monitoram os
sistemas observando atividades de auditoria em tempo real ou observando outros aspectos do sistema, como
padrões de acesso, características de acesso e outras ações. Os objetivos de monitoramento orientam e
informam a determinação dos eventos. Os recursos de monitoramento do sistema são obtidos por meio de
uma variedade de ferramentas e técnicas, incluindo sistemas de detecção e prevenção de intrusões, software
de proteção contra códigos maliciosos, ferramentas de varredura, software de monitoramento de
registros de auditoria e software de monitoramento de rede.
Dependendo da arquitetura de segurança, a distribuição e configuração dos dispositivos de monitoramento

podem impactar o rendimento nos principais limites internos e externos, bem como em outros locais da
rede, devido à introdução da latência do rendimento da rede. Se for necessário gerenciamento de
rendimento, esses dispositivos serão estrategicamente localizados e implantados como parte de uma
arquitetura de segurança estabelecida em toda a organização. Locais estratégicos para dispositivos de
monitoramento incluem locais de perímetro selecionados e servidores próximos e farms de servidores
importantes que suportam aplicativos críticos. Dispositivos de monitoramento são normalmente empregados
nas interfaces gerenciadas associadas aos controles SC-7 e AC-17. A informação recolhida é uma
função dos objectivos de monitorização organizacional e da capacidade dos sistemas para apoiar tais
objectivos. Tipos específicos de transações de interesse incluem tráfego HTTP (Hypertext Transfer Protocol)
que ignora proxies HTTP. O monitoramento do sistema é parte integrante dos programas organizacionais
de monitoramento contínuo e resposta a incidentes, e os resultados do monitoramento do sistema
servem como entrada para esses programas. Os requisitos de monitoramento do sistema, incluindo a
necessidade de tipos específicos de monitoramento do sistema, podem ser referenciados em outros controles
(por exemplo, AC-2g, AC-2(7), AC-2(12)(a), AC-17(1) , AU-13, AU-13(1), AU-13(2), CM-3f, CM-6d, MA-3a,
MA-4a, SC-5(3)(b), SC-7a, SC -7(24)(b), SC-18b, SC-43b). Os ajustes nos níveis de monitorização do
sistema baseiam-se em informações de aplicação da lei, informações de inteligência ou outras fontes de
informação. A legalidade das atividades de monitoramento do sistema baseia-se nas leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-2, AC-3, AC-4, AC-8, AC-17, AU-2, AU-6, AU-7, AU-9, AU-12, AU- 13, AU-14 , CA-7, CM-3, CM-6,
CM-8, CM-11, IA-10, IR-4, MA-3, MA-4, PL-9, PM-12, RA-5, RA -10, SC-5, SC-7, SC-18, SC-26, SC-31, SC-35, SC-36, SC-37,
SC-43, SI-3, SI-6 , SI-7 , SR-9, SR-10.
(1) MONITORAMENTO DO SISTEMA | SISTEMA DE DETECÇÃO DE INTRUSÃO EM TODO O SISTEMA
Conecte e configure ferramentas individuais de detecção de intrusão em um sistema de detecção de intrusão para
todo o sistema.
Discussão: A vinculação de ferramentas individuais de detecção de intrusões a um sistema de detecção de

intrusões que abrange todo o sistema fornece cobertura adicional e capacidades de detecção eficazes. As informações
contidas em uma ferramenta de detecção de intrusões podem ser amplamente compartilhadas em toda a organização,
tornando a capacidade de detecção de todo o sistema mais robusta e poderosa.
(2) MONITORAMENTO DO SISTEMA | FERRAMENTAS E MECANISMOS AUTOMATIZADOS PARA ANÁLISE EM TEMPO REAL
Empregue ferramentas e mecanismos automatizados para dar suporte à análise de eventos quase em tempo real.
Discussão: Ferramentas e mecanismos automatizados incluem ferramentas e mecanismos de monitoramento de

eventos baseados em host, baseados em rede, baseados em transporte ou baseados em armazenamento ou
tecnologias de gerenciamento de eventos e informações de segurança (SIEM) que fornecem análise em tempo real de
alertas e notificações gerados por sistemas organizacionais. As técnicas de monitoramento automatizado podem
criar riscos de privacidade não intencionais porque os controles automatizados podem se conectar a sistemas externos ou não
relacionados. A correspondência de registos entre estes sistemas pode criar ligações com consequências indesejadas. As
organizações avaliam e documentam estes riscos na sua avaliação de impacto na privacidade e tomam decisões que
estão alinhadas com o seu plano de programa de privacidade.
Controles Relacionados: PM-23, PM-25.
(3) MONITORAMENTO DO SISTEMA | INTEGRAÇÃO AUTOMATIZADA DE FERRAMENTAS E MECANISMOS
Empregue ferramentas e mecanismos automatizados para integrar ferramentas e mecanismos de detecção

de intrusão em mecanismos de controle de acesso e controle de fluxo.
Discussão: A utilização de ferramentas e mecanismos automatizados para integrar ferramentas e mecanismos de detecção
de intrusões em mecanismos de acesso e controlo de fluxo facilita uma resposta rápida aos ataques, permitindo a
reconfiguração de mecanismos de apoio ao isolamento e eliminação de ataques.
Controles Relacionados: PM-23, PM-25.
(4) MONITORAMENTO DO SISTEMA | TRÁFEGO DE COMUNICAÇÕES DE ENTRADA E SAÍDA
(a) Determinar critérios para atividades ou condições incomuns ou não autorizadas para o tráfego de
comunicações de entrada e saída;
(b) Monitorar o tráfego de comunicações de entrada e saída [Atribuição: frequência definida pela organização]
para [Atribuição: atividades ou condições incomuns ou não autorizadas definidas pela organização].
Discussão: Atividades ou condições incomuns ou não autorizadas relacionadas ao tráfego de comunicações de entrada e
saída do sistema incluem tráfego interno que indica a presença de código malicioso ou uso não autorizado de código ou
credenciais legítimos dentro de sistemas organizacionais ou propagação entre componentes do sistema, sinalização para
sistemas externos e o exportação não autorizada de informações. Evidências de código malicioso ou uso não autorizado de
código ou credenciais legítimos são usadas para identificar sistemas ou componentes de sistema potencialmente
comprometidos.

e
g
_________________________________________________________________________________________________
pe
E (5) MONITORAMENTO DO SISTEMA | ALERTAS GERADOS PELO SISTEMA
Alertar [Atribuição: pessoal ou funções definidas pela organização] quando ocorrerem as seguintes indicações
de comprometimento ou potencial comprometimento geradas pelo sistema: [Atribuição: indicadores de
comprometimento definidos pela organização].
Discussão: Os alertas podem ser gerados a partir de diversas fontes, incluindo registros de auditoria ou entradas de
mecanismos de proteção de códigos maliciosos, mecanismos de detecção ou prevenção de intrusões ou dispositivos
de proteção de limites, como firewalls, gateways e roteadores. Os alertas podem ser automatizados e transmitidos por telefone,
por mensagens de correio eletrônico ou por mensagens de texto. O pessoal organizacional na lista de notificação de alerta
pode incluir administradores de sistema, proprietários de missão ou negócios, proprietários de sistemas, proprietários/
administradores de informações, oficiais seniores de segurança de informações de agências, funcionários seniores de
agências para privacidade, oficiais de segurança de sistema ou oficiais de privacidade. Em contraste com os alertas
gerados pelo sistema, os alertas gerados pelas organizações no SI-4(12) concentram-se em fontes de informação
externas ao sistema,
como relatórios de atividades suspeitas e relatórios sobre possíveis ameaças internas.
Controles Relacionados: AU-4, AU-5, PE-6.
(6) MONITORAMENTO DO SISTEMA | RESTRITAR USUÁRIOS NÃO PRIVILEGIADOS
(7) MONITORAMENTO DO SISTEMA | RESPOSTA AUTOMATIZADA A EVENTOS SUSPEITOS
(a) Notificar [Atribuição: pessoal de resposta a incidentes definido pela organização (identificado por
nome e/ ou por função)] de eventos suspeitos detectados; e
(b) Tomar as seguintes ações após a detecção: [Atribuição: mínimo definido pela organização
ações disruptivas para encerrar eventos suspeitos].
Discussão: As ações menos perturbadoras incluem iniciar solicitações de respostas humanas.
(8) MONITORAMENTO DO SISTEMA | PROTEÇÃO DE INFORMAÇÕES DE MONITORAMENTO
[Retirado: Incorporado ao SI-4.]
(9) MONITORAMENTO DO SISTEMA | TESTE DE FERRAMENTAS E MECANISMOS DE MONITORAMENTO
Testar ferramentas e mecanismos de monitoramento de intrusões [Atribuição: frequência definida pela

organização].
Discussão: É necessário testar ferramentas e mecanismos de monitoramento de intrusões para garantir que as ferramentas
e mecanismos estejam operando corretamente e continuem a satisfazer os objetivos de monitoramento das organizações.
A frequência e a profundidade dos testes dependem dos tipos de ferramentas e mecanismos utilizados pelas organizações
e dos métodos de implantação.
(10) MONITORAMENTO DO SISTEMA | VISIBILIDADE DE COMUNICAÇÕES CRIPTOGRAFADAS
Tomar providências para que [Atribuição: tráfego de comunicações criptografadas definido pela organização]
fique visível para [Atribuição: ferramentas e mecanismos de monitoramento de sistema definidos pela
organização].
Discussão: As organizações equilibram a necessidade de criptografar o tráfego de comunicações para proteger a

confidencialidade dos dados com a necessidade de manter a visibilidade desse tráfego a partir de uma perspectiva de
monitoramento. As organizações determinam se o requisito de visibilidade se aplica ao tráfego criptografado interno, ao
tráfego criptografado destinado a destinos externos ou a um subconjunto dos tipos de tráfego.
(11) MONITORAMENTO DO SISTEMA | ANALISAR ANOMALIAS DE TRÁFEGO DE COMUNICAÇÕES

e
g
_________________________________________________________________________________________________
pe
E Analise o tráfego de comunicações de saída nas interfaces externas do sistema e selecione [Atribuição: pontos
internos definidos pela organização dentro do sistema] para descobrir anomalias.
Discussão: Os pontos interiores definidos pela organização incluem sub-redes e subsistemas.

As anomalias nos sistemas organizacionais incluem grandes transferências de arquivos, conexões persistentes de longo
prazo, tentativas de acessar informações de locais inesperados, uso de protocolos e portas incomuns, uso de protocolos de
rede não monitorados (por exemplo, uso de IPv6 durante a transição para IPv4) e tentativas de comunicação. com endereços
externos suspeitos de serem maliciosos.
(12) MONITORAMENTO DO SISTEMA | ALERTAS AUTOMATIZADOS GERADOS PELA ORGANIZAÇÃO
Alertar [Atribuição: pessoal ou funções definidas pela organização] usando [Atribuição: mecanismos
automatizados definidos pela organização] quando ocorrerem as seguintes indicações de atividades
inadequadas ou incomuns com implicações de segurança ou privacidade: [Atribuição: atividades
definidas pela organização que acionam alertas].
Discussão: O pessoal organizacional na lista de notificação de alerta do sistema inclui administradores de sistema,
proprietários de missão ou negócios, proprietários de sistema, oficial sênior de segurança da informação da agência,
oficial sênior da agência para privacidade, oficiais de segurança do sistema ou oficiais de privacidade.
Alertas automatizados gerados pela organização são alertas de segurança gerados pelas organizações e transmitidos por
meios automatizados. As fontes de alertas gerados pela organização concentram-se em outras entidades, como relatórios de
atividades suspeitas e relatórios sobre possíveis ameaças internas. Em contraste com os alertas gerados pela organização,
os alertas gerados pelo sistema no SI-4(5) concentram-se em fontes de informação que são internas aos sistemas, tais como
registos de auditoria.
(13) MONITORAMENTO DO SISTEMA | ANALISE PADRÕES DE TRÁFEGO E EVENTOS
(a) Analisar o tráfego de comunicações e os padrões de eventos do sistema;
(b) Desenvolver perfis que representem padrões comuns de tráfego e eventos; e
(c) Usar os perfis de tráfego e eventos no ajuste dos dispositivos de monitoramento do sistema.
Discussão: Identificar e compreender o tráfego de comunicações comuns e os padrões de eventos ajuda as

organizações a fornecer informações úteis aos dispositivos de monitoramento do sistema para identificar de forma mais
eficaz tráfego e eventos suspeitos ou anômalos quando eles ocorrem. Essas informações podem ajudar a reduzir o número
de falsos positivos e falsos negativos durante o monitoramento do sistema.
(14) MONITORAMENTO DO SISTEMA | DETECÇÃO DE INTRUSÃO SEM FIO
Empregue um sistema de detecção de intrusão sem fio para identificar dispositivos sem fio não autorizados e
detectar tentativas de ataque e possíveis comprometimentos ou violações do sistema.
Discussão: Os sinais sem fio podem irradiar para além das instalações organizacionais. As organizações procuram
proativamente conexões sem fio não autorizadas, incluindo a realização de varreduras completas em busca de pontos de
acesso sem fio não autorizados. As varreduras sem fio não se limitam às áreas dentro das instalações que contêm sistemas,
mas também incluem áreas fora das instalações para verificar se os pontos de acesso sem fio não autorizados não estão
conectados aos sistemas organizacionais.
Controles Relacionados: AC-18, IA-3.
(15) MONITORAMENTO DO SISTEMA | COMUNICAÇÕES SEM FIO PARA FIO
Empregue um sistema de detecção de intrusão para monitorar o tráfego de comunicações sem fio à medida que o
tráfego passa de redes sem fio para redes fixas.

e
g
_________________________________________________________________________________________________
pe
E Discussão: As redes sem fio são inerentemente menos seguras que as redes com fio. Por exemplo, as redes sem fio são mais
suscetíveis a bisbilhoteiros ou à análise de tráfego do que as redes com fio. Quando existem comunicações sem fio para
rede fixa, a rede sem fio pode se tornar uma porta de entrada para a rede com fio. Dada a maior facilidade de acesso
não autorizado à rede através de pontos de acesso sem fio em comparação com o acesso não autorizado à rede com fio
dentro dos limites físicos do sistema, pode ser necessário monitoramento adicional do tráfego de transição entre redes sem
fio e com fio para detectar atividades maliciosas.
O emprego de sistemas de detecção de intrusão para monitorar o tráfego de comunicações sem fio ajuda a garantir que o
tráfego não contenha código malicioso antes da transição para a rede fixa.
(16) MONITORAMENTO DO SISTEMA | INFORMAÇÕES DE MONITORAMENTO CORRELACIONADAS
Correlacionar informações de ferramentas e mecanismos de monitoramento empregados em todo o sistema.
Discussão: A correlação de informações de diferentes ferramentas e mecanismos de monitoramento do sistema pode fornecer
uma visão mais abrangente da atividade do sistema. A correlação de ferramentas e mecanismos de monitoramento de
sistema que normalmente funcionam isoladamente – incluindo software de proteção contra códigos maliciosos, monitoramento
de host e monitoramento de rede – pode fornecer uma visão de monitoramento de toda a organização e revelar padrões
de ataque que de outra forma seriam invisíveis. Compreendendo o
as capacidades e limitações de diversas ferramentas e mecanismos de monitoramento e como maximizar o uso
das informações geradas por essas ferramentas e mecanismos podem ajudar as organizações a desenvolver,
operar e manter programas de monitoramento eficazes. A correlação das informações de monitoramento é especialmente
importante durante a transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, transição de protocolos
de rede IPv4 para IPv6).
Controles Relacionados: AU-6.
(17) MONITORAMENTO DO SISTEMA | CONSCIÊNCIA SITUACIONAL INTEGRADA
Correlacione informações do monitoramento de atividades físicas, cibernéticas e da cadeia de suprimentos

para obter uma consciência situacional integrada em toda a organização.
Discussão: A correlação da informação de monitorização proveniente de um conjunto mais diversificado de fontes de

informação ajuda a alcançar uma consciência situacional integrada. A consciência situacional integrada a partir de uma
combinação de atividades de monitoramento físico, cibernético e da cadeia de suprimentos aumenta a capacidade das
organizações de detectar mais rapidamente ataques sofisticados e investigar os métodos e técnicas empregados para
realizar tais ataques. Em contraste com SI-4(16), que
correlaciona as diversas informações de monitoramento cibernético, a consciência situacional integrada tem como
objetivo correlacionar o monitoramento além do domínio cibernético. A correlação de informações de monitoramento
de diversas atividades pode ajudar a revelar ataques a organizações que operam em diversos vetores de ataque.
Controles relacionados: AU-16, PE-6, SR-2, SR-4, SR-6.
(18) MONITORAMENTO DO SISTEMA | ANALISAR TRÁFEGO E EXFILTRAÇÃO COBERTA
Analise o tráfego de comunicações de saída em interfaces externas do sistema e nos seguintes pontos internos
para detectar exfiltração secreta de informações: [Atribuição: pontos internos definidos pela organização
dentro do sistema].
Discussão: Os pontos interiores definidos pela organização incluem sub-redes e subsistemas.

Os meios secretos que podem ser usados para exfiltrar informações incluem a esteganografia.
(19) MONITORAMENTO DO SISTEMA | RISCO PARA INDIVÍDUOS

e
g
_________________________________________________________________________________________________
pe
E Implementar [Atribuição: monitoramento adicional definido pela organização] de indivíduos que foram identificados
por [Atribuição: fontes definidas pela organização] como apresentando um nível maior de risco.
Discussão: As indicações de risco aumentado por parte dos indivíduos podem ser obtidas de diferentes fontes, incluindo
registos pessoais, agências de inteligência, organizações responsáveis pela aplicação da lei e outras fontes. O monitoramento
de indivíduos é coordenado com os funcionários administrativos, jurídicos, de segurança, de privacidade e de recursos
humanos que conduzem esse monitoramento. O monitoramento é conduzido de acordo com as leis, ordens executivas,
diretrizes, regulamentos, políticas, padrões e diretrizes aplicáveis.
(20) MONITORAMENTO DO SISTEMA | USUÁRIOS PRIVILEGIADOS
Implemente o seguinte monitoramento adicional de usuários privilegiados: [Atribuição: monitoramento

adicional definido pela organização].
Discussão: Os utilizadores privilegiados têm acesso a informações mais sensíveis, incluindo informações relacionadas
com a segurança, do que a população de utilizadores em geral. O acesso a tais informações significa que os utilizadores
privilegiados podem potencialmente causar maiores danos aos sistemas e organizações do que os utilizadores não
privilegiados. Portanto, a implementação de monitoramento adicional em usuários privilegiados ajuda a garantir que as
organizações possam identificar atividades maliciosas o mais rápido possível e tomar as medidas apropriadas.
(21) MONITORAMENTO DO SISTEMA | PERÍODOS PROBATÓRIOS
Implementar o seguinte monitoramento adicional de indivíduos durante [Tarefa: período probatório definido
pela organização]: [Tarefa: monitoramento adicional definido pela organização].
Discussão: Durante os períodos probatórios, os funcionários não têm status de emprego permanente nas organizações.
Sem esse status ou acesso às informações residentes no sistema, o monitoramento adicional pode ajudar a identificar
qualquer atividade potencialmente maliciosa ou comportamento inadequado.
(22) MONITORAMENTO DO SISTEMA | SERVIÇOS DE REDE NÃO AUTORIZADOS
(a) Detectar serviços de rede que não foram autorizados ou aprovados por [Atribuição: processos de autorização ou
aprovação definidos pela organização]; e
(b) [Seleção (um ou mais): Auditoria; Alerta [Atribuição: pessoal ou funções definidas pela organização]] quando
detectado.
Discussão: Serviços de rede não autorizados ou não aprovados incluem serviços em arquiteturas orientadas a
serviços que carecem de verificação ou validação organizacional e podem, portanto, não ser confiáveis ou servir como
invasores maliciosos para serviços válidos.
(23) MONITORAMENTO DO SISTEMA | DISPOSITIVOS BASEADOS EM HOST
Implemente os seguintes mecanismos de monitoramento baseados em host em [Atribuição:

componentes do sistema definidos pela organização]: [Atribuição: mecanismos de monitoramento baseados em host
definidos pela organização].
Discussão: O monitoramento baseado em host coleta informações sobre o host (ou sistema no qual ele reside). Os componentes
do sistema nos quais o monitoramento baseado em host pode ser implementado incluem
servidores, notebooks e dispositivos móveis. As organizações podem considerar o emprego de mecanismos de
monitoramento baseados em host de vários desenvolvedores ou fornecedores de produtos.
Controles relacionados: AC-18, AC-19.

e
g
_________________________________________________________________________________________________
pe
E (24) MONITORAMENTO DO SISTEMA | INDICADORES DE COMPROMISSO
Descubra, colete e distribua para [Atribuição: pessoal ou funções definidas pela organização], indicadores de
comprometimento fornecidos por [Atribuição: fontes definidas pela organização].
Discussão: Indicadores de comprometimento (IOC) são artefatos forenses de invasões identificadas em sistemas
organizacionais no nível do host ou da rede. Os IOCs fornecem informações valiosas sobre sistemas que foram
comprometidos. Os IOCs podem incluir a criação de valores de chave de registro. Os IOCs para tráfego de rede
incluem o Universal Resource Locator ou elementos de protocolo que indicam servidores de comando e controle de
código malicioso. A rápida distribuição e adoção de IOCs pode melhorar a segurança da informação, reduzindo o
tempo que os sistemas e organizações ficam vulneráveis à mesma exploração ou ataque. Indicadores de ameaças,
assinaturas, táticas, técnicas, procedimentos e outros indicadores de comprometimento podem estar disponíveis por
meio de cooperativas governamentais e não governamentais, incluindo o Fórum de Equipes de Segurança e
Resposta a Incidentes, a Equipe de Preparação para Emergências de Computadores dos Estados Unidos, a Base
Industrial de Defesa de Segurança Cibernética Programa de Compartilhamento de Informações e Centro de
Coordenação CERT.
(25) MONITORAMENTO DO SISTEMA | OTIMIZAR A ANÁLISE DE TRÁFEGO DE REDE
Forneça visibilidade do tráfego de rede nas principais interfaces externas e internas do sistema para
otimizar a eficácia dos dispositivos de monitoramento.
Discussão: Tráfego criptografado, arquiteturas de roteamento assimétricas, limitações de capacidade e

latência e transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, transição de protocolo
de rede IPv4 para IPv6) podem resultar em pontos cegos para as organizações ao analisarem o tráfego de rede.
Coletar, descriptografar, pré-processar e distribuir apenas o tráfego relevante para dispositivos de
monitoramento pode agilizar a eficiência e o uso dos dispositivos e otimizar a análise de tráfego.
Referências: [OMB A-130], [FIPS 140-3], [SP 800-61], [SP 800-83], [SP 800-92], [SP 800-94], [SP 800-137] .
ALERTAS, CONSELHOS E DIRETRIZES DE SEGURANÇA SI-5

Ao controle:
a. Receba alertas, avisos e diretivas de segurança do sistema de [Tarefa: organização-

organizações externas definidas] de forma contínua;
b. Gerar alertas, avisos e diretivas de segurança interna conforme necessário;
c. Divulgar alertas, recomendações e diretivas de segurança para: [Seleção (um ou mais):

[Atribuição: pessoal ou funções definidas pela organização]; [Atribuição: elementos definidos pela organização
dentro da organização]; [Atribuição: organizações externas definidas pela organização]]; e
d. Implementar diretrizes de segurança de acordo com os prazos estabelecidos ou notificar o

organização emissora do grau de descumprimento.
Discussão: A Agência de Segurança Cibernética e de Infraestrutura (CISA) gera alertas e avisos de segurança para manter
o conhecimento situacional em todo o Governo Federal. As diretivas de segurança são emitidas pelo OMB ou outras
organizações designadas com a responsabilidade e autoridade para emitir tais diretivas. A conformidade com as
directivas de segurança é essencial devido à natureza crítica de muitas destas directivas e aos potenciais efeitos
adversos (imediatos) nas operações e activos organizacionais, nos indivíduos, em outras organizações e na Nação,
caso as directivas não sejam implementadas em tempo útil. Organizações externas incluem cadeia de suprimentos

e
g
_________________________________________________________________________________________________
pe
E parceiros, missão externa ou parceiros de negócios, prestadores de serviços externos e outras organizações pares ou de apoio.
Controles Relacionados: PM-15, RA-5, SI-2.
(1) ALERTAS, CONSELHOS E DIRETRIZES DE SEGURANÇA | ALERTAS E AVISOS AUTOMATIZADOS
Transmita alertas de segurança e informações de aconselhamento por toda a organização usando [Atribuição:
mecanismos automatizados definidos pela organização].
Discussão: O número significativo de mudanças nos sistemas organizacionais e nos ambientes de operação exige a
disseminação de informações relacionadas à segurança para uma variedade de entidades organizacionais que têm
interesse direto no sucesso da missão organizacional e das funções de negócios. Com base nas informações fornecidas pelos
alertas e avisos de segurança, podem ser necessárias alterações em um ou mais dos três níveis relacionados ao gerenciamento
de risco,
incluindo o nível de governação, o nível da missão e do processo empresarial e o nível do sistema de informação.
VERIFICAÇÃO DA FUNÇÃO DE SEGURANÇA E PRIVACIDADE SI-6
Ao controle:
a. Verifique a operação correta de [Atribuição: segurança e privacidade definidas pela organização

funções];
b. Execute a verificação das funções especificadas em SI-6a [Seleção (uma ou mais):

[Tarefa: estados de transição do sistema definidos pela organização]; mediante comando de usuário com privilégio
apropriado; [Atribuição: frequência definida pela organização]];
c. Alerta [Atribuição: pessoal ou funções definidas pela organização] sobre falhas de segurança e privacidade
testes de verificação; e
d. [Seleção (uma ou mais): Desligue o sistema; Reinicie o sistema; [Tarefa: ação(ões) alternativa(s) definida(s) pela
organização]] quando anomalias são descobertas.
Discussão: Os estados de transição para sistemas incluem inicialização, reinicialização, desligamento e cancelamento do sistema.
As notificações do sistema incluem luzes indicadoras de hardware, alertas eletrônicos para administradores de sistema e mensagens
para consoles de computadores locais. Em contraste com a verificação da função de segurança, a verificação da função de
privacidade garante que as funções de privacidade operem conforme esperado e sejam aprovadas pelo funcionário sênior da agência
para privacidade ou que os atributos de privacidade sejam aplicados ou usados conforme esperado.
Controles Relacionados: CA-7, CM-4, CM-6, SI-7.
(1) VERIFICAÇÃO DA FUNÇÃO DE SEGURANÇA E PRIVACIDADE | NOTIFICAÇÃO DE TESTES DE SEGURANÇA
FALHADOS [Retirado: Incorporado no SI-6.]
(2) VERIFICAÇÃO DA FUNÇÃO DE SEGURANÇA E PRIVACIDADE | SUPORTE DE AUTOMAÇÃO PARA DISTRIBUÍDO

TESTE
Implementar mecanismos automatizados para apoiar o gerenciamento de testes distribuídos de segurança e

funções de privacidade.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O uso de mecanismos automatizados para apoiar o gerenciamento de testes de funções distribuídas ajuda a
garantir a integridade, pontualidade, integridade e eficácia de tais testes.
(3) VERIFICAÇÃO DA FUNÇÃO DE SEGURANÇA E PRIVACIDADE | RELATÓRIO DE RESULTADOS DE VERIFICAÇÃO
Relate os resultados da verificação da função de segurança e privacidade para [Atribuição: pessoal ou

funções definidas pela organização].
Discussão: O pessoal organizacional com interesse potencial nos resultados da verificação das funções de segurança e
privacidade inclui funcionários de segurança de sistemas, funcionários seniores de segurança da informação de agências e
funcionários seniores de agências para privacidade.
Controles Relacionados: SI-4, SR-4, SR-5.
SI-7 SOFTWARE, FIRMWARE E INTEGRIDADE DE INFORMAÇÕES
Ao controle:
a. Empregar ferramentas de verificação de integridade para detectar alterações não autorizadas nos seguintes softwares, firmware e
informações: [Atribuição: software, firmware e informações definidos pela organização]; e
b. Execute as seguintes ações quando forem detectadas alterações não autorizadas no software, firmware e informações:
[Atribuição: ações definidas pela organização].
Discussão: Alterações não autorizadas em software, firmware e informações podem ocorrer devido a erros ou atividades
maliciosas. O software inclui sistemas operacionais (com componentes internos importantes,
como kernels ou drivers), middleware e aplicativos. As interfaces de firmware incluem Unified Extensible Firmware Interface
(UEFI) e Basic Input/Output System (BIOS). As informações incluem informações de identificação pessoal e metadados que contêm
atributos de segurança e privacidade associados às informações. Mecanismos de verificação de integridade – incluindo
verificações de paridade, verificações de redundância cíclica, hashes criptográficos e ferramentas associadas – podem monitorar
automaticamente a integridade de sistemas e aplicativos hospedados.
Controles relacionados: AC-4, CM-3, CM-7, CM-8, MA-3, MA-4, RA-5, SA-8, SA-9, SA-10, SC-8, SC-12 , SC-13, SC-28, SC-37,
SI-3, SR-3, SR-4, SR -5, SR-6, SR-9, SR-10, SR-11.
(1) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | VERIFICAÇÕES DE INTEGRIDADE
Execute uma verificação de integridade de [Atribuição: software, firmware e informações definidos pela organização]
[Seleção (uma ou mais): na inicialização; em [Tarefa: estados de transição definidos pela organização ou eventos
relevantes para a segurança]; [Atribuição: frequência definida pela organização]].
Discussão: Os eventos relevantes para a segurança incluem a identificação de novas ameaças às quais os sistemas
organizacionais são suscetíveis e a instalação de novo hardware, software ou firmware. Os estados de transição incluem
inicialização, reinicialização, desligamento e cancelamento do sistema.
(2) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | NOTIFICAÇÕES AUTOMATIZADAS DE INTEGRIDADE

VIOLAÇÕES
Empregue ferramentas automatizadas que forneçam notificação para [Atribuição: pessoal ou funções definidas
pela organização] ao descobrir discrepâncias durante a verificação de integridade.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O emprego de ferramentas automatizadas para relatar violações da integridade do sistema e da informação e para
notificar o pessoal da organização em tempo hábil é essencial para uma resposta eficaz aos riscos. O pessoal com interesse
em violações da integridade do sistema e da informação inclui proprietários de missões e empresas, proprietários de
sistemas, funcionário sênior de segurança da informação da agência, funcionário sênior da agência para privacidade,
administradores de sistema, desenvolvedores de software, integradores de sistemas, oficiais de segurança da
informação e oficiais de privacidade.
(3) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | FERRAMENTAS DE INTEGRIDADE GERENCIADA CENTRALMENTE
Empregue ferramentas de verificação de integridade gerenciadas centralmente.
Discussão: As ferramentas de verificação de integridade geridas centralmente proporcionam maior consistência na aplicação
de tais ferramentas e podem facilitar uma cobertura mais abrangente das ações de verificação de integridade.
Controles Relacionados: AU-3, SI-2, SI-8.
(4) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | EMBALAGEM INFLAMÁVEL
(5) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | RESPOSTA AUTOMATIZADA À INTEGRIDADE

VIOLAÇÕES
Automaticamente [Seleção (um ou mais): desligue o sistema; reinicie o sistema; implementar [Atribuição:
controles definidos pela organização]] quando violações de integridade forem descobertas.
Discussão: As organizações podem definir diferentes respostas de verificação de integridade por tipo de informação,
informação específica ou uma combinação de ambas. Os tipos de informações incluem firmware, software e dados do
usuário. Informações específicas incluem firmware de inicialização para determinados
tipos de máquinas. A implementação automática de controles nos sistemas organizacionais inclui reverter as alterações,
interromper o sistema ou disparar alertas de auditoria quando ocorrem modificações não autorizadas em
arquivos críticos de segurança.
(6) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | PROTEÇÃO CRIPTOGRÁFICA
Implemente mecanismos criptográficos para detectar alterações não autorizadas em software, firmware e
informações.
Discussão: Os mecanismos criptográficos usados para proteger a integridade incluem assinaturas digitais e o cálculo e
aplicação de hashes assinados usando criptografia assimétrica,
proteger a confidencialidade da chave usada para gerar o hash e usar a chave pública para verificar as informações do hash.
As organizações que empregam mecanismos criptográficos também consideram soluções de gerenciamento de chaves
criptográficas.
(7) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | INTEGRAÇÃO DE DETECÇÃO E

RESPOSTA
Incorporar a detecção das seguintes alterações não autorizadas na capacidade de resposta a incidentes
organizacionais: [Atribuição: alterações relevantes para a segurança definidas pela organização no sistema].
Discussão: A integração da detecção e da resposta ajuda a garantir que os eventos detectados sejam rastreados,
monitorados, corrigidos e disponíveis para fins históricos. A manutenção de registros históricos é importante para poder
identificar e discernir ações adversárias durante um longo período de tempo e para possíveis ações legais.
Mudanças relevantes para a segurança incluem

e
g
_________________________________________________________________________________________________
pe
E alterações não autorizadas nas configurações estabelecidas ou elevação não autorizada de privilégios do sistema.
Controles relacionados: AU-2, AU-6, IR-4, IR-5, SI-4.
(8) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | CAPACIDADE DE AUDITORIA PARA SIGNIFICATIVOS

EVENTOS
Após a detecção de uma potencial violação de integridade, forneça a capacidade de auditar o evento e iniciar as
seguintes ações: [Seleção (uma ou mais): gerar um registro de auditoria; alertar o usuário atual; alerta [Atribuição:
pessoal ou funções definidas pela organização]; [Tarefa: outras ações definidas pela organização]].
Discussão: As organizações selecionam ações de resposta com base em tipos de software, software específico
ou informações para as quais existem possíveis violações de integridade.
Controles relacionados: AU-2, AU-6, AU-12.
(9) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | VERIFIQUE O PROCESSO DE INICIALIZAÇÃO
Verifique a integridade do processo de inicialização dos seguintes componentes do sistema: [Atribuição:

componentes do sistema definidos pela organização].
Discussão: Garantir a integridade dos processos de inicialização é fundamental para iniciar os componentes do sistema
em estados conhecidos e confiáveis. Os mecanismos de verificação de integridade fornecem um nível de garantia de que
apenas código confiável será executado durante os processos de inicialização.
(10) SOFTWARE, FIRMWARE E INTEGRIDADE DA INFORMAÇÃO | PROTEÇÃO DE FIRMWARE DE INICIALIZAÇÃO
Implemente os seguintes mecanismos para proteger a integridade do firmware de inicialização em

[Atribuição: componentes do sistema definidos pela organização]: [Atribuição: mecanismos definidos
Discussão: Modificações não autorizadas no firmware de inicialização podem indicar um ataque sofisticado e
direcionado. Esses tipos de ataques direcionados podem resultar em uma negação de serviço permanente ou na
presença persistente de código malicioso. Essas situações podem ocorrer se o firmware estiver corrompido ou
se o código malicioso estiver incorporado no firmware. Componentes do sistema
pode proteger a integridade do firmware de inicialização em sistemas organizacionais, verificando a integridade e a
autenticidade de todas as atualizações do firmware antes de aplicar alterações no componente do sistema e
evitando que processos não autorizados modifiquem o firmware de inicialização.
(11) SOFTWARE, FIRMWARE E INTEGRIDADE DA INFORMAÇÃO | AMBIENTES CONFINADOS COM LIMITAÇÃO

PRIVILÉGIOS
[Retirado: Movido para CM-7(6).]
(12) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | VERIFICAÇÃO DE INTEGRIDADE
Exija que a integridade do seguinte software instalado pelo usuário seja verificada antes da execução:
[Atribuição: software instalado pelo usuário definido pela organização].
Discussão: As organizações verificam a integridade do software instalado pelo usuário antes da execução para reduzir a
probabilidade de execução de códigos maliciosos ou programas que contenham erros de modificações não
autorizadas. As organizações consideram a praticidade das abordagens para verificar a integridade do software,
incluindo a disponibilidade de somas de verificação confiáveis de desenvolvedores e fornecedores de software.
(13) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | EXECUÇÃO DE CÓDIGO PROTEGIDO

AMBIENTES

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Movido para CM-7(7).]
(14) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | CÓDIGO BINÁRIO OU EXECUTÁVEL POR MÁQUINA
[Retirado: Movido para CM-7(8).]
(15) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | AUTENTICAÇÃO DE CÓDIGO
Implemente mecanismos criptográficos para autenticar os seguintes componentes de software ou firmware antes da
instalação: [Atribuição: componentes de software ou firmware definidos pela organização].
Discussão: A autenticação criptográfica inclui a verificação de que os componentes de software ou firmware foram
assinados digitalmente usando certificados reconhecidos e aprovados pelas organizações. A assinatura de código é
um método eficaz de proteção contra códigos maliciosos.
As organizações que empregam mecanismos criptográficos também consideram soluções de gerenciamento de
chaves criptográficas.
Controles relacionados: CM-5, SC-12, SC-13.
(16) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | LIMITE DE TEMPO DE EXECUÇÃO DO PROCESSO

SEM SUPERVISÃO
Proibir a execução de processos sem supervisão por mais de [Atribuição: período de tempo definido pela
organização].
Discussão: A fixação de um limite de tempo para a execução de processos sem supervisão destina-se a ser aplicada a
processos para os quais podem ser determinados períodos de execução típicos ou normais e a situações em que as
organizações excedem esses períodos. A supervisão inclui temporizadores em sistemas operacionais, respostas
automatizadas e supervisão e resposta manual quando ocorrem anomalias no processo do sistema.
(17) INTEGRIDADE DE SOFTWARE, FIRMWARE E INFORMAÇÃO | AUTOPROTEÇÃO DE APLICATIVO EM TEMPO DE EXECUÇÃO
Implemente [Atribuição: controles definidos pela organização] para autoproteção de aplicativos em tempo de
execução.
Discussão: A autoproteção de aplicativos em tempo de execução emprega instrumentação em tempo de execução para
detectar e bloquear a exploração de vulnerabilidades de software , aproveitando as informações do software em execução.
A prevenção de exploração em tempo de execução difere das proteções tradicionais baseadas em perímetro,
como guardas e firewalls, que só podem detectar e bloquear ataques usando informações de rede sem conhecimento
contextual. A tecnologia de autoproteção de aplicativos em tempo de execução pode reduzir a suscetibilidade do software
a ataques, monitorando suas entradas e bloqueando as entradas que possam permitir ataques. Também pode ajudar a proteger
o ambiente de tempo de execução contra alterações e adulterações indesejadas. Quando uma ameaça é detectada, a
tecnologia de autoproteção do aplicativo em tempo de execução pode impedir a exploração e tomar outras ações (por
exemplo, enviar uma mensagem de aviso ao usuário, encerrar a sessão do usuário, encerrar o aplicativo ou enviar um
alerta ao pessoal da organização). As soluções de autoproteção de aplicativos em tempo de execução podem ser
implantadas em modo monitor ou de proteção.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-70], [SP 800-147].
PROTEÇÃO CONTRA SPAM SI-8
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Empregar mecanismos de proteção contra spam nos pontos de entrada e saída do sistema para detectar e agir em relação a
mensagens não solicitadas; e
b. Atualize os mecanismos de proteção contra spam quando novas versões estiverem disponíveis, de acordo com as políticas e
procedimentos de gerenciamento de configuração organizacional.
Discussão: Os pontos de entrada e saída do sistema incluem firewalls, servidores de acesso remoto, servidores de correio eletrônico,
servidores web, servidores proxy, estações de trabalho, notebooks e dispositivos móveis.
O spam pode ser transportado por diversos meios, incluindo e-mail, anexos de e-mail e acessos à web. Os mecanismos de
proteção contra spam incluem definições de assinatura.
Controles relacionados: PL-9, SC-5, SC-7, SC-38, SI-3, SI-4.
(1) PROTEÇÃO CONTRA SPAM | GESTÃO CENTRAL
(2) PROTEÇÃO CONTRA SPAM | ATUALIZAÇÕES AUTOMÁTICAS
Atualizar automaticamente os mecanismos de proteção contra spam [Atribuição: frequência definida pela
organização].
Discussão: O uso de mecanismos automatizados para atualizar os mecanismos de proteção contra spam ajuda a garantir
que as atualizações ocorram regularmente e fornece o conteúdo e os recursos de proteção mais recentes.
(3) PROTEÇÃO CONTRA SPAM | CAPACIDADE DE APRENDIZAGEM CONTÍNUA
Implemente mecanismos de proteção contra spam com capacidade de aprendizagem para identificar de forma
mais eficaz o tráfego de comunicações legítimo.
Discussão: Os mecanismos de aprendizagem incluem filtros bayesianos que respondem às entradas do usuário que
identificam tráfego específico como spam ou legítimo, atualizando os parâmetros do algoritmo e, assim, separando com mais
precisão os tipos de tráfego.
Referências: [SP 800-45], [SP 800-177].
RESTRIÇÕES DE ENTRADA DE INFORMAÇÕES SI-9
[Retirado: Incorporado em AC-2, AC-3, AC-5 e AC-6.]
VALIDAÇÃO DE ENTRADA DE INFORMAÇÕES SI-10
Controle: Verifique a validade das seguintes entradas de informações: [Atribuição: entradas de informações definidas pela
organização para o sistema].
Discussão: A verificação da sintaxe e da semântica válidas das entradas do sistema – incluindo conjunto de caracteres,
comprimento, intervalo numérico e valores aceitáveis – verifica se as entradas correspondem às definições especificadas de
formato e conteúdo. Por exemplo, se a organização especificar que valores numéricos entre 1-100 são as únicas entradas aceitáveis
para um campo em uma determinada aplicação, as entradas “387”, “abc” ou “%K%” são entradas inválidas e não são aceitas.
como entrada para o sistema. As entradas válidas provavelmente variam de campo para campo dentro de um aplicativo de
software. As aplicações normalmente seguem protocolos bem definidos que utilizam mensagens estruturadas (ou seja, comandos
ou consultas) para comunicação entre módulos de software ou componentes do sistema. As mensagens estruturadas podem
conter dados brutos ou não estruturados intercalados com metadados ou informações de controle. Se os aplicativos de software
usarem entradas fornecidas pelo invasor para construir mensagens estruturadas sem codificar adequadamente essas
mensagens, o invasor poderá inserir comandos maliciosos ou caracteres especiais que podem fazer com que os dados

e
g
_________________________________________________________________________________________________
pe
E ser interpretado como informação de controle ou metadados. Conseqüentemente, o módulo ou componente que recebe a saída
corrompida executará as operações erradas ou interpretará os dados incorretamente. A pré-seleção das entradas antes de passá-
las aos intérpretes evita que o conteúdo seja interpretado involuntariamente como comandos. A validação de entrada garante
entradas precisas e corretas e evita ataques como scripts entre sites e uma variedade de ataques de injeção.
(1) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | CAPACIDADE DE SUBSTITUIÇÃO MANUAL
(a) Fornecer uma capacidade de substituição manual para validação de entrada das seguintes entradas de
informações: [Atribuição: entradas definidas pela organização definidas no controle base (SI-10)];
(b) Restringir o uso da capacidade de cancelamento manual apenas a [Atribuição: indivíduos autorizados definidos
pela organização]; e
(c) Auditar o uso da capacidade de cancelamento manual.
Discussão: Em determinadas situações, como durante eventos definidos em planos de contingência,

pode ser necessário um recurso de substituição manual para validação de entrada. As substituições manuais são usadas
apenas em circunstâncias limitadas e com as entradas definidas pela organização.
Controles relacionados: AC-3, AU-2, AU-12.
(2) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | REVER E RESOLVER ERROS
Revise e resolva erros de validação de entrada dentro de [Atribuição: tempo definido pela organização
período].
Discussão: A resolução de erros de validação de entrada inclui a correção de causas sistêmicas de erros e o reenvio
de transações com entrada corrigida. Erros de validação de entradas são aqueles relacionados às entradas de informações
definidas pela organização no controle base (SI-10).
(3) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | COMPORTAMENTO PREVISÍVEL
Verifique se o sistema se comporta de maneira previsível e documentada quando entradas inválidas são recebidas.
Discussão: Uma vulnerabilidade comum em sistemas organizacionais é o comportamento imprevisível quando entradas
inválidas são recebidas. A verificação da previsibilidade do sistema ajuda a garantir que o sistema se comporte conforme
esperado quando entradas inválidas são recebidas. Isso ocorre especificando respostas do sistema que permitem a
transição do sistema para estados conhecidos sem efeitos colaterais adversos e não intencionais. As entradas inválidas
são aquelas relacionadas às entradas de informações definidas pela organização no controle base (SI-10).
(4) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | INTERAÇÕES DE TEMPO
Considere as interações de tempo entre os componentes do sistema na determinação de respostas apropriadas

para entradas inválidas.
Discussão: Ao abordar entradas de sistema inválidas recebidas através de interfaces de protocolo, as interações de
temporização tornam-se relevantes, onde um protocolo precisa considerar o impacto da resposta de erro em outros protocolos
na pilha de protocolos. Por exemplo, os protocolos de rede sem fio padrão 802.11 não interagem bem com os protocolos
de controle de transmissão (TCP) quando os pacotes são descartados (o que pode ser devido à entrada de pacotes
inválidos). O TCP assume que as perdas de pacotes são devido ao congestionamento, enquanto os pacotes perdidos em links
802.11 são normalmente descartados devido a ruído ou colisões no link. Se o TCP fizer uma resposta de congestionamento,
ele tomará a ação errada em resposta a um evento de colisão. Os adversários podem ser capazes de usar o que parecem
ser comportamentos individuais aceitáveis dos protocolos em conjunto para obter efeitos adversos através de medidas
adequadas.

e
g
_________________________________________________________________________________________________
pe
E construção de entrada inválida. As entradas inválidas são aquelas relacionadas às entradas de informações definidas pela
organização no controle base (SI-10).
(5) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | RESTRINGIR ENTRADAS A FONTES CONFIÁVEIS E APROVADAS

FORMATOS
Restrinja o uso de entradas de informações a [Atribuição: fontes confiáveis definidas pela organização] e/ou
[Atribuição: formatos definidos pela organização].
Discussão: Restringir o uso de entradas a fontes confiáveis e em formatos confiáveis aplica o conceito de software
autorizado ou permitido às entradas de informações. Especificar fontes confiáveis conhecidas para entradas de informações
e formatos aceitáveis para tais entradas pode reduzir a probabilidade de atividades maliciosas. As entradas de informação
são aquelas definidas pela organização no controle base (SI-10).
(6) VALIDAÇÃO DE ENTRADA DE INFORMAÇÃO | PREVENÇÃO DE INJEÇÃO
Evite injeções de dados não confiáveis.
Discussão: Injeções de dados não confiáveis podem ser evitadas usando uma interface parametrizada ou escape de saída
(codificação de saída). Interfaces parametrizadas separam os dados do código para que injeções de dados maliciosos ou
não intencionais não possam alterar a semântica dos comandos
sendo enviado. O escape de saída usa caracteres especificados para informar ao analisador do interpretador se os
dados são confiáveis. A prevenção de injeções de dados não confiáveis diz respeito às entradas de informações
definidas pela organização no controle de base (SI-10).
TRATAMENTO DE ERROS SI-11
Ao controle:
a. Gere mensagens de erro que forneçam informações necessárias para ações corretivas sem
revelar informações que poderiam ser exploradas; e
b. Revele mensagens de erro apenas para [Atribuição: pessoal ou funções definidas pela organização].
Discussão: As organizações consideram a estrutura e o conteúdo das mensagens de erro. A medida em que os sistemas podem
lidar com condições de erro é orientada e informada pela política organizacional e pelos requisitos operacionais. As informações
exploráveis incluem rastreamentos de pilha e detalhes de implementação; tentativas erradas de login com senhas inseridas
erroneamente como nome de usuário; missão
ou informações comerciais que possam ser derivadas, se não forem declaradas explicitamente pelas informações registradas;
e informações de identificação pessoal, como números de contas, números de previdência social e números de cartão de
crédito. As mensagens de erro também podem fornecer um canal secreto para transmissão de informações.
Controles Relacionados: AU-2, AU-3, SC-31, SI-2, SI-15.
GESTÃO E RETENÇÃO DE INFORMAÇÕES SI-12
Controle: Gerenciar e reter informações dentro do sistema e saída de informações do sistema de acordo com leis aplicáveis,
ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes e requisitos operacionais.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Os requisitos de gestão e retenção de informação abrangem todo o ciclo de vida da informação,
estendendo-se, em alguns casos, para além da eliminação do sistema. As informações a serem retidas também podem
incluir políticas, procedimentos, planos, relatórios, resultados de dados da implementação do controle e outros tipos de
informações administrativas. A Administração Nacional de Arquivos e Registros (NARA) fornece políticas federais e
orientações sobre retenção e cronogramas de registros. Se as organizações tiverem um escritório de gerenciamento de
registros, considere a coordenação com o pessoal de gerenciamento de registros.
Os registros produzidos a partir da saída de controles implementados que podem exigir gerenciamento e retenção
incluem, mas não estão limitados a: Todos XX-1, AC-6(9), AT-4, AU-12, CA-2, CA-3, CA-5, CA-6, CA-7, CA-8, CA-9,
CM-2, CM-3, CM-4, CM-6, CM-8, CM-9, CM-12, CM- 13, CP-2, IR-6, IR-8, MA-2, MA-4, PE-2, PE-8, PE-16, PE-17, PL-2,
PL-4, PL-7, PL-8, PM-5, PM-8, PM-9, PM-18, PM-21, PM-27, PM-28, PM-30, PM-31 , PS-2, PS-6, PS- 7, PT-2, PT-3,
PT-7, RA-2, RA-3, RA-5, RA-8, SA-4, SA-5, SA-8, SA-10, SI-4, SR-2, SR-4, SR-8.
Controles relacionados: Todos os controles XX-1, AC-16, AU-5, AU-11, CA-2, CA-3, CA-5, CA-6, CA-7, CA-9, CM- 5, CM
-9, CP-2, IR-8, MP-2, MP-3, MP-4, MP-6, PL-2, PL-4, PM-4, PM-8, PM-9, PS-2 , PS-6, PT-2, PT - 3, RA-2, RA-3, SA-5,
SA-8, SR-2.
(1) GESTÃO E RETENÇÃO DE INFORMAÇÃO | LIMITE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS

ELEMENTOS
Limitar as informações pessoalmente identificáveis processadas no ciclo de vida da informação a

os seguintes elementos de informações de identificação pessoal: [Atribuição: elementos de informações
de identificação pessoal definidos pela organização].
Discussão: Limitar a utilização de informações pessoalmente identificáveis ao longo do ciclo de vida da

informação, quando as informações não são necessárias para fins operacionais, ajuda a reduzir o nível de risco de
privacidade criado por um sistema. O ciclo de vida da informação inclui criação, coleta, uso, processamento,
armazenamento, manutenção, disseminação, divulgação e disposição da informação. As avaliações de risco,
bem como as leis, regulamentos e políticas aplicáveis, podem fornecer informações úteis para determinar quais
elementos de informações de identificação pessoal podem criar riscos.
Controles Relacionados: PM-25.
(2) GESTÃO E RETENÇÃO DE INFORMAÇÕES | MINIMIZAR IDENTIFICAÇÃO PESSOAL
INFORMAÇÕES EM TESTE, TREINAMENTO E PESQUISA
Use as seguintes técnicas para minimizar o uso de informações de identificação pessoal para pesquisa, testes
ou treinamento: [Tarefa: técnicas definidas pela organização].
Discussão: As organizações podem minimizar o risco à privacidade de um indivíduo empregando

técnicas como desidentificação ou dados sintéticos. Limitar o uso de informações pessoalmente
identificáveis durante todo o ciclo de vida das informações, quando as informações não são necessárias para
pesquisa, testes ou treinamento, ajuda a reduzir o nível de risco de privacidade criado por um sistema. As
avaliações de risco, bem como as leis, regulamentos e políticas aplicáveis podem fornecer informações úteis
para determinar as técnicas a utilizar e quando utilizá-las.
Controles Relacionados: PM-22, PM-25, SI-19.
(3) GESTÃO E RETENÇÃO DE INFORMAÇÕES | ELIMINAÇÃO DE INFORMAÇÕES
Use as seguintes técnicas para descartar, destruir ou apagar informações após o período de retenção:
[Atribuição: técnicas definidas pela organização].
Discussão: As organizações podem minimizar os riscos de segurança e de privacidade, eliminando

informações quando já não são necessárias. A eliminação ou destruição de informações aplica-se a originais, bem
como a cópias e registros arquivados, incluindo registros de sistema que possam conter informações de
identificação pessoal.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Referências: [USC 2901], [OMB A-130].
PREVENÇÃO DE FALHAS PREVISÍVEIS SI-13
Ao controle:
a. Determinar o tempo médio até a falha (MTTF) para os seguintes componentes do sistema em ambientes específicos de
operação: [Atribuição: componentes do sistema definidos pela organização]; e
b. Fornecer componentes de sistema substitutos e um meio de trocar ativos e standby

componentes de acordo com os seguintes critérios: [Atribuição: critérios de substituição do MTTF definidos pela organização].
Discussão: Embora o MTTF seja principalmente uma questão de confiabilidade, a prevenção previsível de falhas destina-se a resolver
possíveis falhas de componentes do sistema que fornecem recursos de segurança. As taxas de falha refletem considerações
específicas da instalação e não a média do setor. As organizações definem os critérios para a substituição de componentes do sistema
com base no valor MTTF levando em consideração os danos potenciais decorrentes de falhas de componentes. A transferência
de responsabilidades entre componentes ativos e de reserva não compromete a segurança, a prontidão operacional ou as
capacidades de segurança. A preservação das variáveis de estado do sistema também é crítica para ajudar a garantir um
processo de transferência bem-sucedido. Os componentes em espera permanecem disponíveis o tempo todo, exceto em
caso de problemas de manutenção ou falhas de recuperação em andamento.
Controles Relacionados: CP-2, CP-10, CP-13, MA-2, MA-6, SA-8, SC-6.
(1) PREVENÇÃO PREVISÍVEL DE FALHAS | TRANSFERINDO RESPONSABILIDADES DOS COMPONENTES
Retire os componentes do sistema de serviço transferindo as responsabilidades dos componentes para

componentes substitutos no máximo até [Atribuição: fração ou porcentagem definida pela organização] do
tempo médio até a falha.
Discussão: Transferir as responsabilidades dos componentes primários do sistema para outros componentes substitutos
antes da falha do componente primário é importante para reduzir o risco de missão ou funções de negócios degradadas ou
debilitadas. Fazer essas transferências com base em uma porcentagem do tempo médio até a falha permite que as organizações
sejam proativas com base na sua tolerância ao risco.
Contudo, a substituição prematura de componentes do sistema pode resultar no aumento do custo das operações do sistema.
(2) PREVENÇÃO PREVISÍVEL DE FALHAS | LIMITE DE TEMPO PARA EXECUÇÃO DO PROCESSO SEM SUPERVISÃO
[Retirado: Incorporado em SI-7(16).]
(3) PREVENÇÃO PREVISÍVEL DE FALHAS | TRANSFERÊNCIA MANUAL ENTRE COMPONENTES
Inicie manualmente as transferências entre os componentes do sistema ativo e em espera quando o uso do componente
ativo atingir [Atribuição: porcentagem definida pela organização] do tempo médio até a falha.
Discussão: Por exemplo, se o MTTF para um componente do sistema for 100 dias e a percentagem de MTTF definida pela
organização for 90 por cento, a transferência manual ocorreria após 90 dias.
(4) PREVENÇÃO PREVISÍVEL DE FALHAS | INSTALAÇÃO E NOTIFICAÇÃO DE COMPONENTES EM ESPERA
Se forem detectadas falhas em componentes do sistema:

e
g
_________________________________________________________________________________________________
pe
E (a) Garantir que os componentes de reserva sejam instalados com sucesso e de forma transparente dentro de
[Atribuição: período de tempo definido pela organização]; e
(b) [Seleção (uma ou mais): Ativar [Atribuição: alarme definido pela organização];
Desligue automaticamente o sistema; [Tarefa: ação definida pela organização]].
Discussão: A transferência automática ou manual de componentes do modo de espera para o modo ativo pode ocorrer após
a detecção de falhas de componentes.
(5) PREVENÇÃO PREVISÍVEL DE FALHAS | CAPACIDADE DE FALHA
Fornecer [Seleção: tempo real; quase em tempo real] [Atribuição: capacidade de failover definida pela organização]
para o sistema.
Discussão: Failover refere-se à mudança automática para um sistema alternativo após falha do sistema primário. A
capacidade de failover inclui a incorporação de operações de sistema espelhadas em locais de processamento
alternativos ou espelhamento periódico de dados em intervalos regulares
definido pelos períodos de tempo de recuperação das organizações.
Controles Relacionados: CP-6, CP-7, CP-9.
NÃO PERSISTÊNCIA SI-14
Controle: Implementar [Atribuição: componentes e serviços do sistema definidos pela organização] não persistentes que são
iniciados em um estado conhecido e finalizados [Seleção (um ou mais): ao final da sessão de uso; periodicamente em [Atribuição:
frequência definida pela organização]].
Discussão: A implementação de componentes e serviços não persistentes mitiga o risco de ameaças persistentes avançadas
(APTs), reduzindo a capacidade de direcionamento dos adversários (ou seja, janela de oportunidade e superfície de ataque
disponível) para iniciar e concluir ataques. Ao implementar o conceito de não persistência para componentes de sistema
selecionados, as organizações podem fornecer um recurso de computação de estado conhecido e confiável por um período de tempo
específico que não dá aos adversários tempo suficiente para explorar vulnerabilidades em sistemas organizacionais ou operacionais.
ambientes. Como a APT é uma ameaça sofisticada e de alto nível no que diz respeito à capacidade, intenção e direcionamento, as
organizações presumem que, durante um período prolongado, uma porcentagem dos ataques será bem-sucedida. Os componentes
e serviços não persistentes do sistema são ativados conforme necessário usando informações protegidas e encerrados
periodicamente ou no final das sessões. A não persistência aumenta o fator de trabalho dos adversários que tentam comprometer
ou violar os sistemas organizacionais.
A não persistência pode ser alcançada atualizando os componentes do sistema, recriando periodicamente a imagem dos
componentes ou usando uma variedade de técnicas comuns de virtualização. Os serviços não persistentes podem ser implementados
usando técnicas de virtualização como parte de máquinas virtuais ou como novas instâncias de processos em máquinas
físicas (persistentes ou não persistentes). O benefício das atualizações periódicas de componentes e serviços do sistema é que não
exige que as organizações determinem primeiro se ocorreram comprometimentos de componentes ou serviços (algo que muitas
vezes pode ser difícil de determinar). A atualização de componentes e serviços selecionados do sistema ocorre com frequência
suficiente para evitar a propagação ou o impacto pretendido de ataques, mas não com tal frequência que torne o sistema
instável. As atualizações de componentes e serviços críticos podem ser feitas periodicamente para impedir a capacidade dos
adversários de explorarem janelas ideais de vulnerabilidades.
(1) NÃO PERSISTÊNCIA | ATUALIZAR DE FONTES CONFIÁVEIS

e
g
_________________________________________________________________________________________________
pe
E Obtenha software e dados empregados durante atualizações de componentes e serviços do sistema de
as seguintes fontes confiáveis: [Atribuição: fontes confiáveis definidas pela organização].
Discussão: Fontes confiáveis incluem software e dados de mídias de gravação única e somente leitura ou de instalações de
armazenamento seguras off-line selecionadas.
(2) NÃO PERSISTÊNCIA | INFORMAÇÕES NÃO PERSISTENTES
(a) [Seleção: Atualizar [Atribuição: informações definidas pela organização] [Atribuição: frequência definida
pela organização]; Gerar [Atribuição: informações definidas pela organização] sob demanda]; e
(b) Excluir informações quando não forem mais necessárias.
Discussão: A retenção de informações por mais tempo do que o necessário torna as informações um alvo potencial para
adversários avançados que buscam ativos de alto valor para comprometer por meio de divulgação não autorizada,
modificação não autorizada ou exfiltração. Para relacionados ao sistema
informações, a retenção desnecessária fornece aos adversários informações avançadas que podem auxiliar no seu
reconhecimento e movimento lateral através do sistema.
(3) NÃO PERSISTÊNCIA | CONECTIVIDADE NÃO PERSISTENTE
Estabeleça conexões com o sistema sob demanda e finalize as conexões após [Seleção: conclusão de
uma solicitação; um período de não utilização].
Discussão: Conexões persistentes com sistemas podem fornecer aos adversários avançados caminhos para se moverem
lateralmente através dos sistemas e potencialmente se posicionarem mais perto de ativos de alto valor. Limitar a
disponibilidade de tais conexões impede a capacidade do adversário de se movimentar livremente através dos sistemas
organizacionais.
FILTRAGEM DE SAÍDA DE INFORMAÇÕES SI-15
Controle: Valide a saída de informações dos seguintes programas de software e/ou aplicativos
para garantir que as informações sejam consistentes com o conteúdo esperado: [Tarefa: programas de software e/
ou aplicativos definidos pela organização].
Discussão: Certos tipos de ataques, incluindo injeções de SQL, produzem resultados inesperados ou inconsistentes com os
resultados esperados de programas de software ou aplicativos. A filtragem de saída de informações concentra-se na
detecção de conteúdo estranho, evitando que tal conteúdo estranho seja exibido e, em seguida, alertando as ferramentas de
monitoramento de que um comportamento anômalo foi descoberto.
Controles Relacionados: SI-3, SI-4, SI-11.
PROTEÇÃO DE MEMÓRIA SI-16
Controle: Implemente os seguintes controles para proteger a memória do sistema contra execução não autorizada de código:
[Atribuição: controles definidos pela organização].
Discussão: Alguns adversários lançam ataques com a intenção de executar código em regiões não executáveis da memória ou em
locais de memória proibidos. Os controles empregados para proteger a memória incluem prevenção de execução de dados e
randomização do layout do espaço de endereço. Dados

e
g
_________________________________________________________________________________________________
pe
E os controles de prevenção de execução podem ser aplicados por hardware ou por software, com a aplicação de
hardware proporcionando maior resistência ao mecanismo.
Controles Relacionados: AC-25, SC-3, SI-7.
PROCEDIMENTOS À PROVA DE FALHAS SI-17
Controle: Implemente os procedimentos de segurança indicados quando as falhas indicadas ocorrerem:

[Tarefa: lista de condições de falha definida pela organização e procedimentos de segurança associados].
Discussão: As condições de falha incluem a perda de comunicações entre componentes críticos do sistema
ou entre componentes do sistema e instalações operacionais. Os procedimentos à prova de falhas incluem alertar
o pessoal do operador e fornecer instruções específicas sobre as etapas subsequentes a serem tomadas. As etapas
subsequentes podem incluir não fazer nada, restabelecer as configurações do sistema, encerrar processos, reiniciar o
sistema ou entrar em contato com o pessoal organizacional designado.
Controles Relacionados: CP-12, CP-13, SC-24, SI-13.
SI-18 OPERAÇÕES DE QUALIDADE DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS
Ao controle:
a. Verifique a precisão, relevância, atualidade e integridade de informações pessoalmente identificáveis

informações ao longo do ciclo de vida da informação [Atribuição: frequência definida pela organização]; e
b. Corrija ou exclua informações de identificação pessoal imprecisas ou desatualizadas.
Discussão: As operações de qualidade da informação pessoalmente identificável incluem as etapas que as

organizações tomam para confirmar a precisão e a relevância das informações pessoalmente identificáveis ao longo
do ciclo de vida da informação. O ciclo de vida da informação inclui a criação, coleta, uso, processamento,
armazenamento, manutenção, disseminação, divulgação e descarte de informações de identificação pessoal. As
operações de qualidade de informações pessoalmente identificáveis incluem a edição e validação de endereços à
medida que são coletados ou inseridos em sistemas usando interfaces de programação de aplicativos de consulta
automatizada de verificação de endereço. A verificação da qualidade das informações de identificação pessoal
inclui o rastreamento de atualizações ou alterações nos dados ao longo do tempo, o que permite que as organizações
saibam como e quais informações de identificação pessoal foram alteradas caso informações errôneas sejam
identificadas. As medidas tomadas para proteger a qualidade das informações de identificação pessoal baseiam-
se na natureza e no contexto das informações de identificação pessoal, na forma como devem ser
utilizadas, como foram obtidas e nos possíveis métodos de desidentificação utilizados. As medidas tomadas
para validar a precisão das informações de identificação pessoal utilizadas para determinar os direitos, benefícios
ou privilégios dos indivíduos abrangidos pelos programas federais podem ser mais abrangentes do que as medidas
utilizadas para validar as informações de identificação pessoal utilizadas para fins menos sensíveis.
Controles Relacionados: PM-22, PM-24, PT-2, SI-4.
(1) OPERAÇÕES DE QUALIDADE DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS | SUPORTE À AUTOMAÇÃO

e
g
_________________________________________________________________________________________________
pe
E Corrija ou exclua informações de identificação pessoal que sejam imprecisas ou desatualizadas, determinadas
incorretamente em relação ao impacto ou desidentificadas incorretamente usando [Atribuição: mecanismos
automatizados definidos pela organização].
Discussão: A utilização de mecanismos automatizados para melhorar a qualidade dos dados pode criar inadvertidamente
riscos de privacidade. As ferramentas automatizadas podem ligar-se a sistemas externos ou não relacionados, e a
correspondência de registos entre estes sistemas pode criar ligações com consequências indesejadas. As organizações
avaliam e documentam estes riscos nas suas avaliações de impacto na privacidade e tomam decisões que estão alinhadas
com os seus planos de programa de privacidade.
À medida que os dados são obtidos e utilizados ao longo do ciclo de vida da informação, é importante confirmar a precisão e
a relevância das informações de identificação pessoal. Mecanismos automatizados podem aumentar os processos e
procedimentos de qualidade de dados existentes e permitir que uma organização identifique e gerencie melhor
informações pessoalmente identificáveis em sistemas de grande escala. Por exemplo, ferramentas automatizadas podem
melhorar muito os esforços para normalizar dados de forma consistente ou identificar dados malformados. Ferramentas
automatizadas também podem ser usadas para melhorar a auditoria de dados e detectar erros que possam alterar
incorretamente informações de identificação pessoal ou associar incorretamente tais informações ao indivíduo errado. Recursos
automatizados respaldam processos e procedimentos em escala e permitem detecção e correção mais refinadas de
erros de qualidade de dados.
Controles Relacionados: PM-18, RA-8.
(2) OPERAÇÕES DE QUALIDADE DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS | ETIQUETAS DE DADOS
Empregue tags de dados para automatizar a correção ou exclusão de informações de identificação pessoal
em todo o ciclo de vida das informações nos sistemas organizacionais.
Discussão: A marcação de dados de informações de identificação pessoal inclui tags que indicam
permissões de processamento, autoridade para processar, desidentificação, nível de impacto, estágio do ciclo de vida da
informação e retenção ou datas da última atualização. O emprego de tags de dados para informações de
identificação pessoal pode apoiar o uso de ferramentas de automação para corrigir ou excluir informações de
identificação pessoal relevantes.
Controles relacionados: AC-3, AC-16, SC-16.
(3) OPERAÇÕES DE QUALIDADE DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS | COLEÇÃO
Colete informações de identificação pessoal diretamente do indivíduo.
Discussão: Indivíduos ou seus representantes designados podem ser fontes de informações corretas de identificação
pessoal. As organizações consideram fatores contextuais que podem incentivar os indivíduos a fornecer dados corretos
em vez de dados falsos. Podem ser necessárias etapas adicionais para validar as informações coletadas com base na
natureza e no contexto das informações de identificação pessoal, como serão utilizadas e como foram obtidas.
As medidas tomadas para validar a precisão das informações de identificação pessoal usadas para fazer determinações
sobre os direitos, benefícios ou privilégios de indivíduos sob programas federais podem ser mais abrangentes do que as
medidas tomadas para validar informações de identificação pessoal menos confidenciais.
(4) OPERAÇÕES DE QUALIDADE DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS | PEDIDOS INDIVIDUAIS
Corrija ou exclua informações de identificação pessoal mediante solicitação de indivíduos ou de seus representantes
designados.
Discussão: Informações imprecisas de identificação pessoal mantidas pelas organizações podem causar problemas aos
indivíduos, especialmente nas funções empresariais onde informações imprecisas podem resultar em decisões
inadequadas ou na negação de benefícios e serviços aos indivíduos. Mesmo informações corretas, em certas circunstâncias,
podem causar problemas para

e
g
_________________________________________________________________________________________________
pe
E indivíduos que superam os benefícios de uma organização manter as informações.
As organizações usam o critério ao determinar se as informações de identificação pessoal devem ser corrigidas ou excluídas
com base no escopo das solicitações, nas alterações desejadas, no impacto das alterações e nas leis, regulamentos e
políticas. O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de
privacidade em relação aos casos apropriados de correção ou exclusão.
(5) OPERAÇÕES DE QUALIDADE DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS | AVISO DE CORREÇÃO OU

ELIMINAÇÃO
Notificar [Atribuição: destinatários de informações de identificação pessoal definidos pela organização] e indivíduos
que as informações de identificação pessoal foram corrigidas ou excluídas.
Discussão: Quando informações de identificação pessoal são corrigidas ou excluídas, as organizações tomam medidas para
garantir que todos os destinatários autorizados de tais informações e o indivíduo ao qual as informações estão associadas
ou seus representantes designados sejam informados das informações corrigidas ou excluídas.
Referências: [OMB M-19-15], [SP 800-188], [IR 8112].
DESIDENTIFICAÇÃO SI-19
Ao controle:
a. Remova os seguintes elementos de informações de identificação pessoal dos conjuntos de dados:

[Atribuição: elementos de informações de identificação pessoal definidos pela organização]; e
b. Avalie [Atribuição: frequência definida pela organização] quanto à eficácia da desidentificação.
Discussão: Desidentificação é o termo geral para o processo de remoção da associação entre um conjunto de dados de
identificação e o titular dos dados. Muitos conjuntos de dados contêm informações sobre indivíduos que podem ser usadas para
distinguir ou rastrear a identidade de um indivíduo, como nome, número de segurança social, data e local de nascimento, nome
de solteira da mãe ou registos biométricos. Os conjuntos de dados também podem conter outras informações vinculadas ou
vinculáveis a um indivíduo, como informações médicas, educacionais, financeiras e de emprego. As informações pessoalmente
identificáveis são removidas dos conjuntos de dados por indivíduos treinados quando tais informações não são (ou não são
mais) necessárias para satisfazer os requisitos previstos para os dados. Por exemplo, se o conjunto de dados for utilizado
apenas para produzir estatísticas agregadas, os identificadores que não são necessários para produzir essas estatísticas serão
removidos. A remoção de identificadores melhora a proteção da privacidade, uma vez que as informações removidas não
podem ser divulgadas inadvertidamente ou usadas indevidamente. As organizações podem estar sujeitas a definições ou métodos
específicos de desidentificação de acordo com as leis, regulamentos ou políticas aplicáveis.
A reidentificação é um risco residual com dados desidentificados. Os ataques de reidentificação podem variar,
incluindo a combinação de novos conjuntos de dados ou outras melhorias na análise de dados. Manter a consciência
dos potenciais ataques e avaliar a eficácia da desidentificação ao longo do tempo apoia a gestão deste risco residual.
Controles relacionados: MP-6, PM-22, PM-23, PM-24, RA-2, SI-12.
(1) DESIDENTIFICAÇÃO | COLEÇÃO
Desidentifique o conjunto de dados no momento da coleta, não coletando informações de identificação

pessoal.
Discussão: Se uma fonte de dados contiver informações de identificação pessoal, mas as informações não forem usadas, o
conjunto de dados poderá ser desidentificado quando for criado, não coletando os dados

e
g
_________________________________________________________________________________________________
pe
E elementos de dados que contêm informações de identificação pessoal. Por exemplo, se uma organização não
pretende utilizar o número de segurança social de um requerente, os formulários de candidatura não solicitam um
número de segurança social.
(2) DESIDENTIFICAÇÃO | ARQUIVAMENTO
Proibir o arquivamento de elementos de informação pessoalmente identificáveis se esses elementos em um

conjunto de dados não forem necessários após o arquivamento do conjunto de dados.
Discussão: Os conjuntos de dados podem ser arquivados por vários motivos. As finalidades previstas para o conjunto de
dados arquivado são especificadas e, se não forem necessários elementos de informação pessoalmente identificáveis, os
elementos não são arquivados. Por exemplo, os números da segurança social podem ter sido recolhidos para ligação de
registos, mas o conjunto de dados arquivado pode incluir os elementos necessários dos registos ligados. Neste
caso, não é necessário arquivar os números da segurança social.
(3) DESIDENTIFICAÇÃO | LIBERAR
Remova elementos de informações pessoalmente identificáveis de um conjunto de dados antes de sua divulgação,
se esses elementos do conjunto de dados não precisarem fazer parte da divulgação de dados.
Discussão: Antes de divulgar um conjunto de dados, um custodiante de dados considera os usos pretendidos do conjunto de
dados e determina se é necessário divulgar informações de identificação pessoal. Se as informações de identificação pessoal
não forem necessárias, as informações poderão ser removidas usando técnicas de desidentificação.
(4) DESIDENTIFICAÇÃO | REMOÇÃO, MASCARAMENTO, CRIPTOGRAFIA, HASHING OU SUBSTITUIÇÃO DE DIRETO

IDENTIFICADORES
Remova, mascare, criptografe, hash ou substitua identificadores diretos em um conjunto de dados.
Discussão: Existem muitos processos possíveis para remover identificadores diretos de um conjunto de dados. As
colunas em um conjunto de dados que contêm um identificador direto podem ser removidas. No mascaramento, o
identificador direto é transformado em um caractere repetitivo, como XXXXXX ou 999999.
Os identificadores podem ser criptografados ou com hash para que os registros vinculados permaneçam vinculados. No
caso de criptografia ou hashing, são empregados algoritmos que exigem o uso de uma chave, incluindo
o Advanced Encryption Standard ou um código de autenticação de mensagem baseado em Hash.
As implementações podem usar a mesma chave para todos os identificadores ou usar uma chave diferente para cada
identificador. Usar uma chave diferente para cada identificador proporciona um maior grau de segurança e privacidade.
Alternativamente, os identificadores podem ser substituídos por uma palavra-chave, incluindo a transformação de
“George Washington” em “PACIENTE” ou sua substituição por um valor substituto, como
transformando “George Washington” em “Abraham Polk”.
(5) DESIDENTIFICAÇÃO | CONTROLE DE DIVULGAÇÃO ESTATÍSTICA
Manipule dados numéricos, tabelas de contingência e descobertas estatísticas para que nenhum indivíduo
ou organização seja identificável nos resultados da análise.
Discussão: Muitos tipos de análises estatísticas podem resultar na divulgação de informações sobre indivíduos, mesmo
que apenas sejam fornecidas informações resumidas. Por exemplo, se uma escola que publica uma tabela mensal com o
número de alunos pertencentes a minorias matriculados, reporta que tem entre 10 e 19 desses alunos em Janeiro e,
subsequentemente, informa que tem entre 20 e 29 desses alunos em Março, então pode-se inferir que o aluno que se
matriculou em fevereiro era minoria.

e
g
_________________________________________________________________________________________________
pe
E (6) DESIDENTIFICAÇÃO | PRIVACIDADE DIFERENCIAL
Evite a divulgação de informações de identificação pessoal adicionando ruído não determinístico aos resultados
das operações matemáticas antes que os resultados sejam relatados.
Discussão: A definição matemática para privacidade diferencial sustenta que o resultado de uma análise de conjunto de
dados deve ser aproximadamente o mesmo antes e depois da adição ou remoção de um único registo de dados (que se
presume serem os dados de um único indivíduo). Na sua forma mais básica, a privacidade diferencial aplica-se apenas a
sistemas de consulta online. No entanto, também pode ser usado para produzir classificadores estatísticos de aprendizado de
máquina e dados sintéticos. A privacidade diferencial tem o custo da diminuição da precisão dos resultados, forçando
as organizações a quantificar o compromisso entre a proteção da privacidade e a precisão, utilidade e utilidade geral do
conjunto de dados desidentificado. O ruído não determinístico pode incluir a adição de valores pequenos e aleatórios aos
resultados de operações matemáticas na análise de conjuntos de dados.
(7) DESIDENTIFICAÇÃO | ALGORITMOS E SOFTWARE VALIDADOS
Execute a desidentificação usando algoritmos validados e software validado para implementar os algoritmos.
Discussão: Algoritmos que parecem remover informações pessoalmente identificáveis de um conjunto de dados podem,
na verdade, deixar informações pessoalmente identificáveis ou dados reidentificáveis. O software que supostamente
implementa um algoritmo validado pode conter bugs ou implementar um algoritmo diferente. O software pode desidentificar
um tipo de dados, como
inteiros, mas não desidentificar outro tipo de dados, como números de ponto flutuante. Por essas razões, a desidentificação é
realizada por meio de algoritmos e softwares validados.
(8) DESIDENTIFICAÇÃO | INTRUSO MOTIVADO

Execute um teste de intrusão motivado no conjunto de dados desidentificados para determinar se os dados
identificados permanecem ou se os dados desidentificados podem ser reidentificados.
Discussão: Um teste de intrusão motivado é um teste no qual um indivíduo ou grupo libera dados e recursos específicos e
tenta reidentificar um ou mais indivíduos no conjunto de dados desidentificados. Esses testes especificam a quantidade de
conhecimento interno, recursos computacionais, recursos financeiros, dados e habilidades que os invasores possuem
para conduzir os testes. Um teste de intrusão motivado pode determinar se a desidentificação é insuficiente. Também pode
ser uma ferramenta de diagnóstico útil para avaliar se a desidentificação é susceptível de ser suficiente. No entanto, o teste
por si só não pode provar que a desidentificação é suficiente.
CONTAMINAÇÃO SI-20
Controle: Incorpore dados ou recursos nos seguintes sistemas ou componentes de sistema para determinar se os
dados organizacionais foram exfiltrados ou removidos indevidamente da organização: [Atribuição: sistemas ou
componentes de sistema definidos pela organização].
Discussão: Muitos ataques cibernéticos têm como alvo informações organizacionais ou informações que a organização
detém em nome de outras entidades (por exemplo, informações de identificação pessoal) e exfiltram esses dados. Além disso,
ataques internos e procedimentos incorretos do usuário podem remover do sistema informações que violem as políticas
organizacionais. As abordagens de contaminação podem variar de passivas a ativas. Uma abordagem de contaminação
passiva pode ser tão simples quanto adicionar nomes e endereços de e-mail falsos a um banco de dados interno. Se a
organização receber e-mail em um dos endereços de e-mail falsos, ela saberá que o banco de dados foi comprometido.
Além disso, a organização sabe que o email foi enviado por uma entidade não autorizada, pelo que qualquer

e
g
_________________________________________________________________________________________________
pe
E os pacotes que ele inclui contêm potencialmente código malicioso e que a entidade não autorizada pode ter obtido uma cópia do
banco de dados. Outra abordagem de contaminação pode incluir a incorporação de dados falsos ou dados esteganográficos em
arquivos para permitir que os dados sejam encontrados por meio de análise de código aberto.
Finalmente, uma abordagem de contaminação activa pode incluir a incorporação de software nos dados que seja capaz de “ligar
para casa”, alertando assim a organização para a sua “captura”, e possivelmente a sua localização, e o caminho pelo qual foi
exfiltrado ou removido.
Controles Relacionados: AU-13.
Referências: [OMB A-130], [SP 800-160-2].
ATUALIZAÇÃO DE INFORMAÇÕES SI-21
Controle: atualize [Atribuição: informações definidas pela organização] em [Atribuição: frequências definidas pela organização] ou
gere as informações sob demanda e exclua as informações quando não forem mais necessárias.
Discussão: Reter informações por mais tempo do que o necessário torna-as um alvo cada vez mais valioso e atraente para os
adversários. Manter as informações disponíveis pelo período mínimo necessário para apoiar missões organizacionais ou
funções de negócios reduz a oportunidade de os adversários comprometerem, capturarem e exfiltrarem essas informações.
Referências: [OMB A-130], [SP 800-160-2].
DIVERSIDADE DE INFORMAÇÕES SI-22
Ao controle:
a. Identifique as seguintes fontes alternativas de informação para [Atribuição: funções e serviços essenciais definidos pela
organização]: [Atribuição: alternativa definida pela organização
Fontes de informação]; e
b. Use uma fonte de informação alternativa para a execução de funções ou serviços essenciais em [Atribuição: sistemas ou
componentes de sistema definidos pela organização] quando a fonte primária de informação estiver corrompida ou indisponível.
Discussão: As ações tomadas por um serviço ou função do sistema são frequentemente orientadas pelas informações que ele
recebe. A corrupção, a fabricação, a modificação ou a exclusão dessas informações podem afetar a capacidade da função de
serviço de executar adequadamente as ações pretendidas. Por ter múltiplas fontes de entrada, o serviço ou função pode
continuar a operação se uma fonte estiver corrompida ou não estiver mais disponível. É possível que as fontes alternativas de
informação sejam menos precisas ou menos precisas do que a fonte primária de informação. Mas ter essas fontes de informação
subótimas pode ainda proporcionar um nível de qualidade suficiente para que o serviço ou função essencial possa ser executado,
mesmo de forma degradada ou debilitada.
FRAGMENTAÇÃO DE INFORMAÇÕES SI-23
Controle: Baseado em [Atribuição: circunstâncias definidas pela organização]:

e
g
_________________________________________________________________________________________________
pe
E a. Fragmente as seguintes informações: [Atribuição: informações definidas pela organização]; e
b. Distribua as informações fragmentadas pelos seguintes sistemas ou componentes do sistema:

[Atribuição de sistemas ou componentes de sistema definidos pela organização].
Discussão: Um objetivo da ameaça persistente avançada é exfiltrar informações valiosas.

Uma vez exfiltradas, geralmente não há como a organização recuperar as informações perdidas.
Portanto, as organizações podem considerar dividir as informações em elementos díspares e
distribuir esses elementos em vários sistemas ou componentes e locais do sistema. Tais ações aumentarão o fator
de trabalho do adversário para capturar e exfiltrar as informações desejadas e, ao fazê-lo, aumentarão a probabilidade
de detecção. A fragmentação das informações impacta a capacidade da organização de acessar as informações em
tempo hábil. A extensão da fragmentação é ditada pelo impacto ou nível de classificação (e valor) das
informações, informações de inteligência sobre ameaças recebidas e se a contaminação de dados é usada (ou
seja, informações derivadas de contaminação de dados sobre a exfiltração de algumas informações podem
resultar na fragmentação da informação restante).

e
g
_________________________________________________________________________________________________
pe
E 3.20 GESTÃO DE RISCOS DA CADEIA DE FORNECIMENTO
Link rápido para a tabela de resumo do gerenciamento de riscos da cadeia de suprimentos
POLÍTICA E PROCEDIMENTOS SR-1
Ao controle:

funções]:
nível] política de gestão de risco da cadeia de suprimentos que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
2. Procedimentos para facilitar a implementação da política de gestão de riscos da cadeia de abastecimento

e os controles associados de gestão de riscos da cadeia de suprimentos;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento, a documentação
e a divulgação da política e dos procedimentos de gestão de riscos da cadeia de suprimentos; e
c. Rever e atualizar a atual gestão de riscos da cadeia de abastecimento:
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos definidos
pela organização]; e

Discussão: A política e os procedimentos de gestão de riscos da cadeia de abastecimento abordam os controles na família de
RS, bem como os controles relacionados à cadeia de abastecimento em outras famílias que são implementadas dentro
de sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas e
procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é
importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de gestão de riscos na cadeia de abastecimento. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos
da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser
representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados
ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança
e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização da
política e dos procedimentos de gestão de riscos da cadeia de fornecimento incluem resultados de avaliação ou auditoria,
incidentes ou violações de segurança ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Controles relacionados: PM-9, PM-30, PS-8, SI-12.

e
g
_________________________________________________________________________________________________
pe
E Referências: [FASC18], [41 CFR 201], [EO 13873], [CNSSD 505], [SP 800-12], [SP 800-30], [SP 800-
39], [SP 800-100], [SP 800-161].
PLANO DE GERENCIAMENTO DE RISCOS DA CADEIA DE FORNECIMENTO SR-2
Ao controle:
a. Desenvolver um plano para gerenciar os riscos da cadeia de suprimentos associados à pesquisa e

desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações e manutenção e descarte
dos seguintes sistemas, componentes de sistema ou serviços de sistema:
[Atribuição: sistemas, componentes de sistema ou serviços de sistema definidos pela organização];
b. Revisar e atualizar o plano de gerenciamento de riscos da cadeia de suprimentos [Atribuição: frequência

definida pela organização] ou conforme necessário, para lidar com ameaças, mudanças organizacionais
ou ambientais; e
c. Proteja o plano de gerenciamento de riscos da cadeia de suprimentos contra divulgação não autorizada e
modificação.
Discussão: A dependência de produtos, sistemas e serviços de fornecedores externos, bem como a natureza das
relações com esses fornecedores, apresentam um nível crescente de risco para uma organização. As ações de
ameaça que podem aumentar os riscos de segurança ou privacidade incluem produção não autorizada, inserção
ou utilização de falsificações, adulteração, roubo, inserção de software e hardware maliciosos e práticas inadequadas de
fabrico e desenvolvimento na cadeia de abastecimento. Os riscos da cadeia de abastecimento podem ser endémicos
ou sistémicos dentro de um elemento ou componente do sistema, de um sistema, de uma organização, de um setor
ou da Nação. A gestão do risco da cadeia de abastecimento é uma tarefa complexa e multifacetada que requer
um esforço coordenado em toda a organização para construir relações de confiança e comunicar com as partes
interessadas internas e externas. As atividades de gerenciamento de riscos da cadeia de suprimentos (SCRM)
incluem a identificação e avaliação de riscos, determinando a resposta apropriada aos riscos
ações, desenvolvendo planos SCRM para documentar ações de resposta e monitorando o desempenho em relação
aos planos. O plano SCRM (ao nível do sistema) é específico da implementação, fornecendo implementação de
políticas, requisitos, restrições e implicações. Ele pode ser independente ou incorporado aos planos de segurança
e privacidade do sistema. O plano SCRM aborda o gerenciamento, implementação e monitoramento de controles
SCRM e o desenvolvimento/sustentação de sistemas em todo o SDLC para apoiar a missão e as funções de negócios.
Como as cadeias de fornecimento podem diferir significativamente entre e dentro das organizações, os planos SCRM
são adaptados ao programa individual, aos contextos organizacionais e operacionais. Planos SCRM personalizados
fornecem a base para determinar se uma tecnologia, serviço, componente de sistema ou sistema é
adequados à finalidade e, como tal, os controlos necessitam de ser adaptados em conformidade. Planos SCRM
personalizados ajudam as organizações a concentrar seus recursos na missão e nas funções de negócios mais
críticas, com base na missão e nos requisitos de negócios e em seu ambiente de risco. Os planos de
gerenciamento de riscos da cadeia de suprimentos incluem uma expressão da tolerância ao risco da cadeia de
suprimentos para a organização, estratégias ou controles aceitáveis de mitigação de riscos da cadeia de
suprimentos, um processo para avaliar e monitorar consistentemente o risco da cadeia de suprimentos, abordagens
para implementar e comunicar o plano, uma descrição e justificativa para as medidas de mitigação de riscos da cadeia
de abastecimento tomadas e funções e responsabilidades associadas. Finalmente, os planos de gestão de
riscos da cadeia de abastecimento abordam os requisitos para o desenvolvimento de componentes e sistemas
confiáveis, seguros, que protejam a privacidade e sejam resilientes, incluindo a aplicação dos princípios de design de
segurança implementados como parte dos processos de engenharia de segurança de sistemas baseados no ciclo de vida (ver SA- 8).
Controles relacionados: CA-2, CP-4, IR-4, MA-2, MA-6, PE-16, PL-2, PM-9, PM-30, RA-3, RA-7, SA-8 , SI-4.
(1) PLANO DE GESTÃO DE RISCOS DA CADEIA DE FORNECIMENTO | ESTABELECER EQUIPE SCRM

e
g
_________________________________________________________________________________________________
pe
E Estabelecer uma equipe de gerenciamento de riscos da cadeia de suprimentos composta por [Atribuição: pessoal,
funções e responsabilidades definidas pela organização] para liderar e apoiar o seguinte SCRM
atividades: [Tarefa: atividades de gerenciamento de risco da cadeia de suprimentos definidas pela organização].
Discussão: Para implementar planos de gestão de riscos na cadeia de abastecimento, as organizações estabelecem
uma abordagem coordenada e baseada em equipa para identificar e avaliar os riscos da cadeia de abastecimento e gerir
esses riscos através da utilização de técnicas de mitigação programáticas e técnicas. A abordagem de equipe permite que
as organizações conduzam uma análise de sua cadeia de suprimentos, comuniquem-se com parceiros ou partes
interessadas internas e externas e obtenham amplo consenso sobre os recursos apropriados para SCRM. A equipe
SCRM consiste em pessoal organizacional com diversas funções e responsabilidades para liderar e apoiar atividades SCRM,
incluindo executivo de risco, tecnologia da informação, contratação, segurança da informação, privacidade, missão ou
negócio, jurídico, cadeia de suprimentos e logística, aquisição, continuidade de negócios e outras funções relevantes. Os
membros da equipe SCRM estão envolvidos em vários aspectos do SDLC e, coletivamente, têm conhecimento e
fornecem experiência em processos de aquisição, práticas legais, vulnerabilidades, ameaças e vetores de ataque, bem como
uma compreensão dos aspectos técnicos e dependências de sistemas. A equipe SCRM pode ser uma extensão dos
processos de gerenciamento de riscos de segurança e privacidade ou ser incluída como parte de uma equipe de
gerenciamento de riscos organizacionais.
Referências: [FASC18], [41 CFR 201], [EO 13873], [CNSSD 505], [SP 800-30], [SP 800-39], [SP-800-
160-1], [SP 800-161], [SP 800-181], [IR 7622], [IR 8272].
CONTROLES E PROCESSOS DA CADEIA DE FORNECIMENTO SR-3
Ao controle:
a. Estabelecer um processo ou processos para identificar e resolver pontos fracos ou deficiências no

elementos e processos da cadeia de suprimentos de [Atribuição: sistema ou componente de sistema definido pela organização]
em coordenação com [Atribuição: pessoal da cadeia de suprimentos definido pela organização];
b. Empregue os seguintes controles para proteger contra riscos da cadeia de abastecimento ao sistema, componente do sistema
ou serviço do sistema e para limitar os danos ou consequências de eventos relacionados à cadeia de abastecimento:
[Atribuição: controles da cadeia de abastecimento definidos pela organização]; e
c. Documente os processos e controles da cadeia de suprimentos selecionados e implementados em [Seleção: planos de segurança
e privacidade; plano de gerenciamento de riscos da cadeia de suprimentos; [Tarefa: documento definido pela organização]].
Discussão: Os elementos da cadeia de abastecimento incluem organizações, entidades ou ferramentas utilizadas para a
investigação e desenvolvimento, concepção, fabrico, aquisição, entrega, integração, operações e manutenção, e eliminação de
sistemas e componentes de sistemas. Os processos da cadeia de suprimentos incluem processos de desenvolvimento de
hardware, software e firmware; procedimentos de envio e manuseio; programas de segurança pessoal e segurança física;
ferramentas, técnicas e medidas de gerenciamento de configuração para manter a procedência; ou outros programas, processos ou
procedimentos associados ao desenvolvimento, aquisição, manutenção e descarte de sistemas e componentes de sistemas. Os
elementos e processos da cadeia de abastecimento podem ser fornecidos por organizações, integradores de sistemas ou
fornecedores externos. As fraquezas ou deficiências nos elementos ou processos da cadeia de abastecimento representam
vulnerabilidades potenciais que podem ser exploradas pelos adversários para causar danos à organização e afectar a sua
capacidade de cumprir as suas missões principais ou funções empresariais.
O pessoal da cadeia de abastecimento são indivíduos com funções e responsabilidades na cadeia de abastecimento.
Controles Relacionados: CA-2, MA-2, MA-6, PE-3, PE-16, PL-8, PM-30, SA-2, SA-3, SA- 4, SA-5, SA-8 , SA-9, SA-10, SA-15, SC-7,
SC-29, SC-30, SC-38, SI-7, SR-6, SR-9, SR-11.

e
g
_________________________________________________________________________________________________
pe
E (1) CONTROLES E PROCESSOS DA CADEIA DE FORNECIMENTO | BASE DE FORNECIMENTO DIVERSIFICADA
Empregue um conjunto diversificado de fontes para os seguintes componentes e serviços do sistema:

[Atribuição: componentes e serviços do sistema definidos pela organização].
Discussão: Diversificar o fornecimento de sistemas, componentes de sistemas e serviços pode reduzir a probabilidade de os
adversários identificarem e atacarem com sucesso a cadeia de abastecimento e pode reduzir o impacto de um evento ou
comprometimento da cadeia de abastecimento. A identificação de vários fornecedores de componentes de substituição pode
reduzir a probabilidade de o componente de substituição ficar indisponível. Empregar um conjunto diversificado de
promotores ou prestadores de serviços logísticos pode reduzir o impacto de uma catástrofe natural ou de outro evento na
cadeia de abastecimento. As organizações consideram projetar o sistema para incluir diversos materiais e componentes.
(2) CONTROLES E PROCESSOS DE PROTEÇÃO DA CADEIA DE FORNECIMENTO | LIMITAÇÃO DE DANOS
Empregue os seguintes controles para limitar os danos causados por adversários em potencial que identificam
e visam a cadeia de suprimentos organizacional: [Atribuição: controles definidos pela organização].
Discussão: Os controles que podem ser implementados para reduzir a probabilidade de adversários identificarem e
atacarem com sucesso a cadeia de suprimentos incluem evitar a compra de configurações personalizadas ou não
padronizadas, empregar listas de fornecedores aprovados com reputação permanente na indústria, seguir cronogramas de
manutenção pré-acordados e atualizações e mecanismos de entrega de patches, mantendo um plano de contingência no
caso de um evento na cadeia de abastecimento, utilizando exclusões de compras que fornecem exclusões a compromissos
ou obrigações, utilizando diversas rotas de entrega e minimizando o tempo entre as decisões de compra e a entrega.
(3) CONTROLES E PROCESSOS DE PROTEÇÃO DA CADEIA DE FORNECIMENTO | FLUXO DE SUB-NÍVEL PARA BAIXO
Garantir que os controlos incluídos nos contratos dos contratantes principais também sejam incluídos nos contratos
dos subcontratantes.
Discussão: Para gerir o risco da cadeia de abastecimento de forma eficaz e holística, é importante que as organizações
garantam que os controlos de gestão do risco da cadeia de abastecimento sejam incluídos em todos os níveis da cadeia de
abastecimento. Isto inclui garantir que os contratantes de Nível 1 (principais) implementaram processos para facilitar o
“fluxo descendente” dos controlos de gestão de riscos da cadeia de abastecimento para os contratantes de subnível. Os
controles sujeitos ao fluxo descendente são identificados na SR-3b.
Controles relacionados: SR-5, SR-8.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 20243], [SP 800-30], [SP 800-161], [IR 7622].
PROVENIÊNCIA SR-4
Controle: Documente, monitore e mantenha a procedência válida dos seguintes sistemas, componentes do sistema e dados
associados: [Atribuição: sistemas definidos pela organização, componentes do sistema e dados associados].
Discussão: Todo sistema e componente do sistema tem um ponto de origem e pode ser alterado ao longo de sua existência.
Proveniência é a cronologia da origem, desenvolvimento, propriedade, localização e alterações em um sistema ou componente
do sistema e dados associados. Também pode incluir pessoal e processos usados para interagir ou fazer modificações no sistema,
componente ou dados associados. As organizações consideram o desenvolvimento de procedimentos (ver SR-1) para a atribuição
de responsabilidades pela criação, manutenção e monitorização da proveniência de sistemas e componentes de sistemas;
transferência de documentação de proveniência e responsabilidade entre organizações; e prevenção e monitoramento de
alterações não autorizadas nos registros de proveniência. As organizações têm métodos para documentar, monitorar e
manter linhas de base de proveniência válidas para sistemas, componentes de sistemas e dados relacionados. Essas ações
ajudam a rastrear, avaliar,

e
g
_________________________________________________________________________________________________
pe
E e documentar quaisquer alterações na proveniência, incluindo alterações nos elementos ou na configuração da
cadeia de abastecimento, e ajudar a garantir o não repúdio das informações de proveniência e dos registos de
alterações de proveniência. As considerações de proveniência são abordadas ao longo do ciclo de vida de
desenvolvimento do sistema e incorporadas em contratos e outros acordos, conforme apropriado.
Controles Relacionados: CM-8, MA-2, MA-6, RA-9, SA-3, SA-8, SI-4.
(1) PROVENIÊNCIA | IDENTIDADE
Estabelecer e manter uma identificação exclusiva dos seguintes elementos, processos e pessoal
da cadeia de suprimentos associados ao sistema identificado e aos componentes críticos do
sistema: [Atribuição: elementos, processos e pessoal da cadeia de suprimentos definidos pela
organização associados aos sistemas definidos pela organização e aos componentes críticos do sistema ].
Discussão: Saber quem e o que está nas cadeias de abastecimento das organizações é fundamental para
ganhar visibilidade nas atividades da cadeia de abastecimento. A visibilidade das atividades da cadeia de
abastecimento também é importante para monitorizar e identificar eventos e atividades de alto risco. Sem uma
visibilidade razoável dos elementos, processos e pessoal das cadeias de abastecimento, é muito difícil
para as organizações compreender e gerir os riscos e reduzir a sua suscetibilidade a eventos adversos. Os
elementos da cadeia de suprimentos incluem organizações, entidades ou ferramentas usadas para pesquisa e
desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações, manutenção e descarte de
sistemas e componentes de sistemas. Os processos da cadeia de suprimentos incluem processos de
desenvolvimento de hardware, software e firmware; procedimentos de envio e manuseio; ferramentas, técnicas e
medidas de gerenciamento de configuração para manter a procedência; programas de pessoal e
segurança física; ou outros programas, processos ou procedimentos associados à produção e distribuição de
elementos da cadeia de abastecimento. O pessoal da cadeia de suprimentos são indivíduos com funções e
responsabilidades específicas relacionadas à segurança
a pesquisa e desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações e manutenção
e descarte de um sistema ou componente de sistema. Os métodos de identificação são suficientes para apoiar
uma investigação em caso de alteração na cadeia de abastecimento (por exemplo, se uma empresa fornecedora
for adquirida), compromisso ou evento.
Controles Relacionados: IA-2, IA-8, PE-16.
(2) PROVENIÊNCIA | SEGUIR E RASTREAR
Estabelecer e manter uma identificação exclusiva dos seguintes sistemas e componentes críticos do
sistema para rastreamento ao longo da cadeia de abastecimento: [Atribuição: sistemas definidos pela
organização e componentes críticos do sistema].
Discussão: Rastrear a identificação única de sistemas e componentes de sistemas durante as atividades de

desenvolvimento e transporte fornece uma estrutura de identidade fundamental para o estabelecimento e
manutenção da proveniência. Por exemplo, os componentes do sistema podem ser etiquetados com números
de série ou etiquetados com etiquetas de identificação por radiofrequência. Rótulos e tags podem ajudar a
fornecer melhor visibilidade sobre a origem de um sistema ou componente de sistema.
Um sistema ou componente de sistema pode ter mais de um identificador exclusivo. Os métodos de
identificação são suficientes para apoiar uma investigação forense após um comprometimento da cadeia de abastecimento
ou evento.
Controles Relacionados: IA-2, IA-8, PE-16, PL-2.
(3) PROVENIÊNCIA | VALIDAR COMO GENUÍNO E NÃO ALTERADO
Empregue os seguintes controles para validar se o sistema ou componente do sistema recebido é genuíno
e não foi alterado: [Atribuição: controles definidos pela organização].
Discussão: Para muitos sistemas e componentes de sistema, especialmente hardware, existem meios
técnicos para determinar se os itens são genuínos ou foram alterados, incluindo
marcação óptica e nanotecnológica, funções fisicamente não clonáveis, análise de canal lateral,

e
g
_________________________________________________________________________________________________
pe
E verificações criptográficas de hash ou assinaturas digitais e etiquetas ou adesivos anti-adulteração visíveis. Os
controles também podem incluir monitoramento de desempenho fora das especificações, o que pode ser um
indicador de adulteração ou falsificação. As organizações podem aproveitar os processos do fornecedor e do
contratante para validar se um sistema ou componente é genuíno e não foi alterado e para substituir um sistema ou
componente suspeito. Algumas indicações de adulteração podem ser visíveis e solucionáveis antes da aceitação
da entrega, como embalagens inconsistentes, selos quebrados e etiquetas incorretas. Quando um sistema ou
componente de sistema é suspeito de ser alterado ou falsificado, o fornecedor, empreiteiro ou fabricante do
equipamento original pode substituir o item ou fornecer capacidade forense para determinar a origem do item
falsificado ou alterado. As organizações podem fornecer treinamento ao pessoal sobre como identificar sistemas
suspeitos ou entregas de componentes.
Controles relacionados: AT-3, SR-9, SR-10, SR-11.
(4) PROVENIÊNCIA | INTEGRIDADE DA CADEIA DE FORNECIMENTO — PEDIGREE
Empregar [Tarefa: controles definidos pela organização] e conduzir [Tarefa: análise definida pela
organização] para garantir a integridade do sistema e dos componentes do sistema, validando a
composição interna e a procedência de tecnologias, produtos e serviços críticos ou essenciais à missão.
Discussão: Informações oficiais sobre a composição interna dos componentes do sistema e a proveniência
da tecnologia, produtos e serviços fornecem uma base sólida para a confiança. A validação da composição interna
e procedência de tecnologias, produtos e serviços é chamada de pedigree. Para microeletrônica, isso inclui a
composição material dos componentes. Para software, isso inclui a composição de código-fonte aberto e
proprietário, incluindo a versão do componente em um determinado momento. Os pedigrees aumentam a garantia
de que as afirmações que os fornecedores afirmam sobre a composição interna e a procedência dos produtos,
serviços e tecnologias que fornecem são válidas. A validação da composição interna e procedência pode ser
alcançada por vários artefatos ou registros probatórios que fabricantes e fornecedores produzem durante a pesquisa
e desenvolvimento, projeto, fabricação, aquisição, entrega, integração, operações e manutenção, e descarte de
tecnologia, produtos e Serviços. Os artefatos de evidência incluem, entre outros, tags de identificação de
software (SWID), inventário de componentes de software, declarações dos fabricantes sobre atributos de
plataforma (por exemplo, números de série, inventário de componentes de hardware) e medições (por exemplo, hashes
de firmware) que são rigorosamente vinculado ao próprio hardware.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [SP 800-160-1], [SP 800-161], [IR 7622], [IR
8112], [IR 8272].
ESTRATÉGIAS, FERRAMENTAS E MÉTODOS DE AQUISIÇÃO SR-5
Controle: Empregue as seguintes estratégias de aquisição, ferramentas de contrato e métodos de aquisição para proteger,
identificar e mitigar riscos da cadeia de suprimentos: [Tarefa: estratégias de aquisição definidas pela organização,
ferramentas de contrato e métodos de aquisição].
Discussão: A utilização do processo de aquisição proporciona um veículo importante para proteger a cadeia de
abastecimento. Existem muitas ferramentas e técnicas úteis disponíveis, incluindo ocultar o uso final de um sistema ou
componente de sistema, usar compras cegas ou filtradas, exigir embalagens invioláveis ou usar distribuição confiável
ou controlada. Os resultados de uma avaliação de riscos na cadeia de abastecimento podem orientar e informar as
estratégias, ferramentas e métodos mais aplicáveis à situação. Ferramentas e técnicas podem fornecer proteções contra
produção não autorizada, roubo, adulteração, inserção de falsificações, inserção de software malicioso ou backdoors e
práticas de desenvolvimento inadequadas durante todo o ciclo de vida de desenvolvimento do sistema. As organizações
também

e
g
_________________________________________________________________________________________________
pe
E considerar fornecer incentivos para fornecedores que implementem controles, promovam a transparência em seus processos e
práticas de segurança e privacidade, forneçam linguagem contratual que aborde a proibição de componentes contaminados ou
falsificados e restrinjam compras de fornecedores não confiáveis. As organizações consideram fornecer programas de
treinamento, educação e conscientização para
pessoal em relação ao risco da cadeia de suprimentos, estratégias de mitigação disponíveis e quando os programas
deveria ser empregado. Os métodos para revisar e proteger planos de desenvolvimento, documentação e evidências são
proporcionais aos requisitos de segurança e privacidade da organização.
Os contratos podem especificar requisitos de proteção de documentação.
Controles relacionados: AT-3, SA-2, SA-3, SA-4, SA-5, SA -8, SA-9, SA-10, SA-15, SR-6, SR-9, SR-10 , SR-11.
(1) ESTRATÉGIAS, FERRAMENTAS E MÉTODOS DE AQUISIÇÃO | FORNECIMENTO ADEQUADO
Empregue os seguintes controles para garantir um fornecimento adequado de [Atribuição: componentes críticos
do sistema definidos pela organização]: [Atribuição: controles definidos pela organização].
Discussão: Os adversários podem tentar impedir as operações organizacionais interrompendo o fornecimento de

componentes críticos do sistema ou corrompendo as operações dos fornecedores. As organizações podem rastrear o
tempo médio até a falha dos sistemas e componentes para mitigar a perda da função temporária ou permanente do
sistema. Os controles para garantir que o fornecimento adequado de componentes críticos do sistema inclui o uso de
vários fornecedores em toda a cadeia de fornecimento para os componentes críticos identificados, o
armazenamento de componentes sobressalentes para garantir a operação durante períodos de missão crítica e a
identificação de componentes funcionalmente idênticos ou semelhantes que possam ser usado, se necessário.
(2) ESTRATÉGIAS, FERRAMENTAS E MÉTODOS DE AQUISIÇÃO | AVALIAÇÕES ANTES DA SELEÇÃO,
ACEITAÇÃO, MODIFICAÇÃO OU ATUALIZAÇÃO
Avalie o sistema, componente do sistema ou serviço do sistema antes da seleção, aceitação, modificação ou
atualização.
Discussão: O pessoal organizacional ou entidades externas independentes realizam avaliações de sistemas, componentes,
produtos, ferramentas e serviços para descobrir evidências de adulteração, vulnerabilidades não intencionais e
intencionais ou evidências de não conformidade com os controles da cadeia de suprimentos. Isso inclui códigos
maliciosos, processos maliciosos, software defeituoso, backdoors e falsificações. As avaliações podem incluir
avaliações; revisões de propostas de design; inspeção visual ou física; análises estáticas e dinâmicas; inspeções visuais,
de raios X ou de partículas magnéticas; simulações; teste de caixa branca, cinza ou preta; teste de fuzz; testes de
estresse; e testes de penetração (ver SR-6(1)). As evidências geradas durante as avaliações são documentadas para
ações de acompanhamento por parte das organizações. As evidências geradas durante as avaliações organizacionais
ou independentes dos elementos da cadeia de abastecimento podem ser usadas para melhorar os processos da
cadeia de abastecimento e informar o processo de gestão de riscos da cadeia de abastecimento. A evidência pode ser
aproveitado em avaliações de acompanhamento. Evidências e outra documentação podem ser compartilhadas de
acordo com acordos organizacionais.
Controles Relacionados: CA-8, RA-5, SA-11, SI-7.
Referências: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [SP 800-30], [SP 800-
161], [IR 7622], [IR 8272].
AVALIAÇÕES E AVALIAÇÕES DO FORNECEDOR SR-6
Controle: Avalie e revise os riscos relacionados à cadeia de suprimentos associados a fornecedores ou contratados
e ao sistema, componente do sistema ou serviço do sistema que eles fornecem [Atribuição: frequência definida pela
organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: Uma avaliação e revisão do risco do fornecedor inclui processos de gestão de riscos de segurança e da
cadeia de fornecimento, propriedade, controle ou influência estrangeira (FOCI) e a capacidade do fornecedor de
avaliar efetivamente fornecedores e contratados subordinados de segundo e terceiro níveis.
As revisões podem ser conduzidas pela organização ou por terceiros independentes. As revisões consideram processos
documentados, controles documentados, inteligência de todas as fontes e informações publicamente disponíveis
relacionadas ao fornecedor ou contratado. As organizações podem usar informações de código aberto para monitorar
indicações de informações roubadas, mau desenvolvimento e práticas de controle de qualidade, vazamento de
informações ou falsificações. Em alguns casos, pode ser apropriado ou exigido compartilhar a avaliação e a revisão dos
resultados com outras organizações de acordo com quaisquer regras, políticas ou acordos ou contratos interorganizacionais
aplicáveis.
Controles relacionados: SR-3, SR-5.
(1) AVALIAÇÕES E AVALIAÇÕES DE FORNECEDORES | TESTE E ANÁLISE
Empregar [Seleção (um ou mais): análise organizacional; análise independente de terceiros;

testes organizacionais; testes independentes de terceiros] dos seguintes elementos, processos e
atores da cadeia de suprimentos associados ao sistema, componente do sistema ou serviço do sistema:
[Atribuição: elementos, processos e atores da cadeia de suprimentos definidos pela organização].
Discussão: Relações entre entidades e procedimentos dentro da cadeia de abastecimento,

incluindo desenvolvimento e entrega, são considerados. Os elementos da cadeia de suprimentos incluem
organizações, entidades ou ferramentas usadas para pesquisa e desenvolvimento, projeto, fabricação,
aquisição, entrega, integração, operações, manutenção e descarte de sistemas, componentes de sistema ou
serviços de sistema. Os processos da cadeia de abastecimento incluem programas de gestão de riscos da
cadeia de abastecimento; Estratégias e planos de implementação de SCRM; programas de pessoal e segurança
física; processos de desenvolvimento de hardware, software e firmware; ferramentas, técnicas e medidas de
gerenciamento de configuração para manter a procedência; procedimentos de envio e manuseio; e
programas, processos ou procedimentos associados à produção e distribuição de elementos da cadeia de
abastecimento. Os atores da cadeia de abastecimento são indivíduos com funções e responsabilidades específicas
na cadeia de abastecimento. As evidências geradas e coletadas durante análises e testes de elementos,
processos e atores da cadeia de suprimentos são documentadas e usadas para informar as atividades e
decisões de gestão de riscos organizacionais.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [ISO 20243], [FIPS 140-3], [FIPS 180-4], [FIPS 186-4],
[FIPS 202], [SP 800-30], [SP 800-161], [IR 7622], [IR 8272].
SEGURANÇA DE OPERAÇÕES DA CADEIA DE FORNECIMENTO SR-7
Controle: Empregue os seguintes controles de Segurança de Operações (OPSEC) para proteger informações
relacionadas à cadeia de suprimentos para o sistema, componente do sistema ou serviço do sistema:
[Atribuição: controles de Segurança de Operações (OPSEC) definidos pela organização].
Discussão: O OPSEC da cadeia de suprimentos expande o escopo do OPSEC para incluir fornecedores e fornecedores
potenciais. OPSEC é um processo que inclui a identificação de informações críticas, a análise de ações amigas
relacionadas com operações e outras atividades para identificar ações que podem ser observadas por potenciais
adversários, determinando indicadores que potenciais adversários possam obter e que possam ser interpretados ou
reunidos para obter informações em tempo suficiente. causar danos às organizações, implementando salvaguardas
ou contramedidas para eliminar ou reduzir vulnerabilidades e riscos exploráveis a um nível aceitável, e considerando
como as informações agregadas podem expor usuários ou usos específicos da cadeia de abastecimento. As informações
da cadeia de fornecimento incluem identidades de usuários; usos para sistemas, componentes de sistema e
serviços de sistema; identidades dos fornecedores; requisitos de segurança e privacidade; configurações de
sistema e componentes; processos de fornecedores; especificações de projeto; e resultados de testes e avaliações.
OPSEC da cadeia de suprimentos pode exigir

e
g
_________________________________________________________________________________________________
pe
E organizações reterem informações de missão ou negócios de fornecedores e podem incluir o uso de intermediários para
ocultar o uso final ou usuários de sistemas, componentes de sistema ou serviços de sistema.
References: [EO 13873], [SP 800-30], [ISO 27036], [SP 800-161], [IR 7622].
ACORDOS DE NOTIFICAÇÃO SR-8
Controle: Estabelecer acordos e procedimentos com entidades envolvidas na cadeia de abastecimento para o sistema,
componente do sistema ou serviço do sistema para [Seleção (um ou mais): notificação de comprometimentos da cadeia
de abastecimento; resultados de avaliações ou auditorias; [Tarefa: informações definidas pela organização]].
Discussão: O estabelecimento de acordos e procedimentos facilita a comunicação entre as entidades da cadeia de

abastecimento. A notificação antecipada de compromissos e potenciais compromissos na cadeia de abastecimento que
possam potencialmente afetar adversamente ou ter afetado negativamente os sistemas organizacionais ou componentes do
sistema é essencial para que as organizações respondam eficazmente a tais incidentes. Os resultados das avaliações ou
auditorias podem incluir informações de fonte aberta que contribuíram para uma decisão ou resultado e podem ser
utilizadas para ajudar a entidade da cadeia de abastecimento a resolver uma preocupação ou a melhorar os seus processos.
Controles relacionados: IR-4, IR-6, IR-8.
References: [FASC18], [41 CFR 201], [EO 13873], [ISO 27036], [SP 800-30], [SP 800-161], [IR 7622].
RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO SR-9
Controle: Implemente um programa de proteção contra adulteração para o sistema, componente do sistema ou serviço do
sistema.
Discussão: Tecnologias, ferramentas e técnicas anti-adulteração fornecem um nível de proteção para sistemas,
componentes de sistema e serviços contra muitas ameaças, incluindo engenharia reversa, modificação e substituição. Uma
forte identificação combinada com resistência e/ou detecção de violação é essencial para proteger sistemas e componentes
durante a distribuição e quando em uso.
Controles Relacionados: PE-3, PM-30, SA-15, SI-4, SI-7, SR-3, SR-4, SR-5, SR-10, SR-11.
(1) RESISTÊNCIA E DETECÇÃO DE VIOLAÇÃO | MÚLTIPLOS ESTÁGIOS DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA
Empregue tecnologias, ferramentas e técnicas anti-adulteração em todo o ciclo de vida de

desenvolvimento do sistema.
Discussão: O ciclo de vida de desenvolvimento do sistema inclui pesquisa e desenvolvimento, projeto, fabricação,
aquisição, entrega, integração, operações e manutenção e descarte.
As organizações usam uma combinação de técnicas de hardware e software para resistência e detecção de violação. As
organizações usam ofuscação e autoverificação para tornar a engenharia reversa e as modificações mais difíceis,
demoradas e caras para os adversários. A personalização dos sistemas e componentes do sistema pode
facilitar a detecção de substituições e, portanto, limitar os danos.

e
g
_________________________________________________________________________________________________
pe
E Referências: [ISO 20243].
SR-10 INSPEÇÃO DE SISTEMAS OU COMPONENTES
Controle: Inspecione os seguintes sistemas ou componentes do sistema [Seleção (um ou mais): aleatoriamente; em
[Atribuição: frequência definida pela organização], em [Atribuição: indicações de necessidade de inspeção definidas
pela organização]] para detectar adulteração: [Atribuição: sistemas ou componentes de sistema definidos pela
organização].
Discussão: A inspeção de sistemas ou componentes de sistemas quanto à resistência e detecção de violação

aborda a violação física e lógica e é aplicada a sistemas e componentes de sistema removidos de áreas controladas
pela organização. As indicações de necessidade de inspeção incluem alterações na embalagem, nas especificações, na
localização da fábrica ou na entidade onde a peça é adquirida, e quando os indivíduos retornam de viagens para
locais de alto risco.
Controles relacionados: AT-3, PM-30, SI-4, SI-7, SR-3, SR-4, SR-5, SR-9, SR-11.
Referências: [ISO 20243].
AUTENTICIDADE DO COMPONENTE SR-11
Ao controle:
a. Desenvolver e implementar políticas e procedimentos antifalsificação que incluam meios para detectar e impedir a
entrada de componentes falsificados no sistema; e
b. Reportar componentes falsificados do sistema para [Seleção (um ou mais): origem do componente falsificado;
[Atribuição: organizações subordinadas externas definidas pela organização];
[Atribuição: pessoal ou funções definidas pela organização]].
Discussão: As fontes de componentes falsificados incluem fabricantes, desenvolvedores, fornecedores e empreiteiros. As

políticas e procedimentos antifalsificação apoiam a resistência à adulteração e fornecem um nível de proteção contra a
introdução de códigos maliciosos. As organizações relatoras externas incluem a CISA.
Controles Relacionados: PE-3, SA-4, SI-7, SR-9, SR-10.
(1) AUTENTICIDADE DO COMPONENTE | TREINAMENTO ANTI-FALSIFICAÇÃO
Treinar [Atribuição: pessoal ou funções definidas pela organização] para detectar componentes de sistema
falsificados (incluindo hardware, software e firmware).
Controles relacionados: AT-3.
(2) AUTENTICIDADE DO COMPONENTE | CONTROLE DE CONFIGURAÇÃO PARA SERVIÇO E REPARO DE COMPONENTES
Mantenha o controle de configuração sobre os seguintes componentes do sistema aguardando serviço ou

reparo e componentes atendidos ou reparados aguardando retorno ao serviço: [Atribuição: componentes
do sistema definidos pela organização].
Controles Relacionados: CM-3, MA-2, MA-4, SA-10.
(3) AUTENTICIDADE DO COMPONENTE | DIGITALIZAÇÃO ANTI-FALSA
Procurar componentes de sistema falsificados [Atribuição: frequência definida pela organização].
Discussão: O tipo de componente determina o tipo de varredura a ser conduzida (por exemplo, varredura de aplicações
web se o componente for uma aplicação web).

e
g
_________________________________________________________________________________________________
pe
E Referências: [ISO 20243].
ELIMINAÇÃO DE COMPONENTES SR-12
Controle: Descarte [Atribuição: dados, documentação, ferramentas ou componentes de sistema definidos pela
organização] usando as seguintes técnicas e métodos: [Atribuição: técnicas e métodos definidos pela organização].
Discussão: Dados, documentação, ferramentas ou componentes do sistema podem ser descartados a qualquer
momento durante o ciclo de vida de desenvolvimento do sistema (não apenas na fase de descarte ou retirada do ciclo
de vida). Por exemplo, o descarte pode ocorrer durante pesquisa e desenvolvimento, projeto, prototipagem ou operações/
manutenção e incluir métodos como limpeza de disco, remoção de chaves criptográficas, reutilização parcial de
componentes. As oportunidades de comprometimento durante o descarte afetam os dados físicos e lógicos, incluindo a
documentação do sistema em arquivos digitais ou em papel; documentação de envio e entrega; cartões de memória
com código de software; ou roteadores ou servidores completos que incluam mídia permanente, que contenham
informações confidenciais ou proprietárias. Além disso, o descarte adequado dos componentes do sistema ajuda
a evitar que tais componentes entrem no mercado paralelo.
Controles relacionados: MP-6.

e
g
_________________________________________________________________________________________________
pe
E REFERÊNCIAS
LEIS, POLÍTICAS, DIRETRIZES, REGULAMENTOS, PADRÕES E DIRETRIZES 34
[ATOM54]
[CMPPA]
LEIS E ORDENS EXECUTIVAS
Lei de Energia Atômica (PL 83-703), agosto de 1954.

https://www.govinfo.gov/content/pkg/STATUTE-68/pdf/STATUTE-68-Pg919.pdf
Lei de correspondência de computadores e proteção de privacidade de 1988 (PL 100-503),

outubro de 1988.
https://www.govinfo.gov/content/pkg/STATUTE-102/pdf/STATUTE-102-
Pg2507.pdf
[EGOV] Lei de governo eletrônico [inclui FISMA] (PL 107-347), dezembro de 2002. https://
www.congress.gov/107/plaws/publ347/PLAW-107publ347.pdf
[EVIDATO] Lei de Fundamentos para a Elaboração de Políticas Baseadas em Evidências de 2018 (PL
115-435), janeiro de 2019.
https://www.congress.gov/115/plaws/publ435/PLAW-115publ435.pdf
[FASC18] Lei de Tecnologia Segura [inclui Lei de Segurança da Cadeia de Suprimentos de Aquisição Federal]
(PL 115-390), dezembro de 2018.
https://www.congress.gov/bill/115th-congress/senate-bill/3085
[FISMA] Lei Federal de Modernização da Segurança da Informação (PL 113-283), dezembro de 2014.
[FOIA96] Lei de Liberdade de Informação (FOIA), 5 USC § 552, conforme alterada pela Lei Pública nº
104-231, 110 Stat. 3048, Emendas à Lei de Liberdade de Informação Eletrônica de 1996.
https://www.govinfo.gov/content/pkg/PLAW-104publ231/pdf/PLAW-104publ231.pdf
[PRIVATO] Lei de Privacidade (PL 93-579), dezembro de 1974.

https://www.govinfo.gov/content/pkg/STATUTE-88/pdf/STATUTE-88-Pg1896.pdf
[EUA PATRIOTA] Lei Patriota dos EUA (PL 107-56), outubro de 2001.
[USC 552] Código dos Estados Unidos, Edição de 2006, Suplemento 4, Título 5 - Organização
Governamental e Funcionários, janeiro de 2011.
https://www.govinfo.gov/content/pkg/USCODE-2010-title5/pdf/USCODE-2010-
título5-parteI-chap5-subchapII-sec552a.pdf
[USC2901] Código dos Estados Unidos, Edição de 2008, Título 44 - Impressão e Documentos Públicos, Capítulos
29, 31 e 33, janeiro de 2012.
https://www.govinfo.gov/content/pkg/USCODE-2011-title44/pdf/USCODE-2011-
título44-chap29-sec2901.pdf
34 As referências citadas neste apêndice são aquelas publicações externas que apoiam diretamente os Projetos FISMA e
de Privacidade no NIST. Padrões, diretrizes e relatórios interagências adicionais do NIST também são citados ao
longo desta publicação, inclusive na seção de referências dos controles aplicáveis no Capítulo Três. Links diretos para o
site do NIST são fornecidos para obter acesso a essas publicações.
REFERÊNCIAS PÁGINA 374

e
g
_________________________________________________________________________________________________
pe
E [USC3502]
[USC11101]
[EO 13526]
“Definições”, Título 44 Código dos EUA, Sec. 3502. Edição de 2011.
https://www.govinfo.gov/app/details/USCODE-2011-title44/USCODE-2011-title44-
chap35-subchapI-sec3502
“Definições”, Título 40 Código dos EUA, Sec. 11101. 2018 ed.

https://www.govinfo.gov/app/details/USCODE-2018-title40/USCODE-2018-title40-
subtítuloIII-chap111-sec11101
Ordem Executiva 13526, Informações Classificadas de Segurança Nacional, dezembro de 2009.
https://www.archives.gov/isoo/policy-documents/cnsi-eo.html
[EO 13556] Ordem Executiva 13556, Informações Não Classificadas Controladas, novembro de 2010.
https://obamawhitehouse.archives.gov/the-press-office/2010/11/04/executive-
order-13556-controlled-unclassified-information
[EO 13587] Ordem Executiva 13587, Reformas Estruturais para Melhorar a Segurança de Redes
Classificadas e o Compartilhamento Responsável e Proteção de Informações Classificadas,
outubro de 2011.
https://obamawhitehouse.archives.gov/the-press-office/2011/10/07/executive-
order-13587-structural-reforms-improve-security-classified-net
[EO 13636] Ordem Executiva 13636, Melhoria da Segurança Cibernética de Infraestruturas Críticas,
fevereiro de 2013.
https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/executive-order-
improving-critical-infrastructure-cybersecurity
[EO 13800] Ordem Executiva 13.800, Fortalecimento da segurança cibernética de redes federais
e infraestrutura crítica, maio de 2017.
https://www.whitehouse.gov/presidential-actions/presidential-executive-order-
strengthening-cybersecurity-federal-networks-critical-infrastructure
[EO 13873] Ordem Executiva 13873, Ordem Executiva sobre a Segurança da Tecnologia da Informação e
Comunicação e da Cadeia de Fornecimento de Serviços, maio de 2019.
https://www.whitehouse.gov/presidential-actions/executive-order-securing-information-
communications-technology-services-supply-chain
REGULAMENTOS, DIRETRIZES, PLANOS E POLÍTICAS
[HSPD 7] Diretiva Presidencial de Segurança Interna 7, Identificação, Priorização e Proteção

de Infraestruturas Críticas, dezembro de 2003.
https://www.dhs.gov/homeland-security-presidential-directive-7
[HSPD 12] Diretiva Presidencial de Segurança Interna 12, Política para um Padrão de
Identificação Comum para Funcionários e Contratantes Federais, agosto de 2004.
https://www.dhs.gov/homeland-security-presidential-directive-12
[NITP12] Memorando Presidencial para Chefes de Departamentos e Agências Executivos, Política

Nacional sobre Ameaças Internas e Padrões Mínimos para Programas de Ameaças
Internas do Poder Executivo, novembro de 2012.
https://obamawhitehouse.archives.gov/the-press-office/2012/11/21/presidential-
memorandum-national-insider-threat-policy-and-minimum-stand

e
g
_________________________________________________________________________________________________
pe
E [5 CFR 731]
[32 CFR 2002]

Código de Regulamentações Federais, Título 5, Pessoal Administrativo, Seção 731.106,
Designação de Cargos de Confiança Pública e Requisitos de Investigação (5
CFR 731.106).
https://www.govinfo.gov/content/pkg/CFR-2012-title5-vol2/pdf/CFR-2012-title5-
vol2-sec731-106.pdf
Código de Regulamentações Federais, Título 32, Informações Não Classificadas Controladas

(32 CFR 2002).
https://www.federalregister.gov/documents/2016/09/14/2016-21665/controlled-unclassified-
information
[41 CFR 201] “Lei de Segurança da Cadeia de Suprimentos de Aquisição Federal; Regra”, 85 Federal
Register 54263 (1º de setembro de 2020), pp 54263-54271.
https://www.federalregister.gov/d/2020-18939 [ou conforme publicado no Título 41 do Código
de Regulamentações Federais, Sec. 201 (em breve)]
[ODNI NITP] Gabinete do Diretor Nacional de Inteligência, Política Nacional de Ameaças Internas
https://www.dni.gov/files/NCSC/documents/nittf/National_Insider_Threat_Policy.
pdf
[OMB A-108] Circular A-108 do Memorando do Escritório de Gestão e Orçamento, Responsabilidades da

Agência Federal para Revisão, Relatórios e Publicação sob a Lei de Privacidade, dezembro
de 2016.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/circulars/A108/omb
_circular_a-108.pdf
[OMB A-130] Circular A-130 do Memorando do Escritório de Gestão e Orçamento, Gerenciando Informações
como um Recurso Estratégico, julho de 2016.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/circulars/A130/a13
0revisado.pdf
[OMB M-03-22] Memorando M-03-22 do Escritório de Gestão e Orçamento, Orientação do OMB para
Implementação das Disposições de Privacidade da Lei de Governo Eletrônico de 2002,
setembro de 2003.
https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2003/
m03_22.pdf
[OMB M-08-05] Memorando do Escritório de Gestão e Orçamento M-08-05, Implementação
de Conexões de Internet Confiáveis (TIC), novembro de 2007.
https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/omb/memo
randa/fy2008/m08-05.pdf
[OMB M-17-06] Memorando do Escritório de Gestão e Orçamento M-17-06, Políticas para

Sites públicos e serviços digitais da Agência Federal, novembro de 2016.
m-17-06.pdf
[OMB M-17-12] Memorando M-17-12 do Escritório de Gestão e Orçamento, Preparação e resposta a uma
violação de informações de identificação pessoal, janeiro de 2017.
https://obamawhitehouse.archives.gov/sites/default/files/omb/memoranda/2017
/m-17-12_0.pdf

e
g
_________________________________________________________________________________________________
pe
E [OMB M-17-25] Memorando do Escritório de Gestão e Orçamento M-17-25, Relatórios
Orientação para Ordem Executiva sobre o Fortalecimento da Segurança Cibernética de Redes
Federais e Infraestrutura Crítica, maio de 2017.
M-17-25.pdf
[OMB M-19-03] Memorando do Escritório de Gestão e Orçamento M-19-03, Fortalecimento

a segurança cibernética das agências federais através do aprimoramento do programa de
ativos de alto valor, dezembro de 2018.
https://www.whitehouse.gov/wp-content/uploads/2018/12/M-19-03.pdf
[OMB M-19-15] Memorando M-19-15 do Escritório de Gestão e Orçamento, Melhorando a Implementação

da Lei de Qualidade da Informação, abril de 2019.
[OMB M-19-23] Memorando M-19-23 do Gabinete de Gestão e Orçamento, Fase 1 Implementação da

Lei de Bases para a Elaboração de Políticas Baseadas em Evidências de 2018: Agendas de
Aprendizagem, Pessoal e Orientação de Planeamento, Julho de 2019.
[CNSSD 505] Comitê de Diretiva de Sistemas de Segurança Nacional nº 505, Supply Chain Risk Management
(SCRM), agosto de 2017.
https://www.cnss.gov/CNSS/issuances/Directives.cfm
[CNSSP 22] Comitê de Política de Sistemas de Segurança Nacional nº 22, Política de Gestão de Riscos de
Segurança Cibernética, agosto de 2016.
https://www.cnss.gov/CNSS/issuances/Policies.cfm
[CNSSI 1253] Instrução do Comitê de Sistemas de Segurança Nacional nº 1253, Categorização de

Segurança e Seleção de Controle para Sistemas de Segurança Nacional, março de 2014.
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
[CNSSI 4009] Instrução do Comitê de Sistemas de Segurança Nacional nº 4009, Glossário do Comitê de
Sistemas de Segurança Nacional (CNSS), abril de 2015.
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
[DODI 8510.01] Instrução 8510.01 do Departamento de Defesa, Estrutura de gerenciamento de risco (RMF) para tecnologia
da informação (TI) do DoD, março de 2014.
https://www.esd.whs.mil/Portals/54/Documents/DD/issues/dodi/851001p.pdf
?ver=2019-02-26-101520-300
[DHS NIPP] Departamento de Segurança Interna, Plano Nacional de Proteção de Infraestrutura (NIPP), 2009.
https://www.dhs.gov/xlibrary/assets/NIPP_Plan.pdf
PADRÕES, DIRETRIZES E RELATÓRIOS
[ISO 15026-1] Organização Internacional de Padronização/Comissão Eletrotécnica

Internacional/Instituto de Engenheiros Elétricos e Eletrônicos (ISO/IEC/IEEE)
15026-1:2019, Engenharia de sistemas e software
— Garantia de sistemas e software — Parte 1: Conceitos e vocabulário, março de 2019.
https://www.iso.org/standard/73567.html

e
g
_________________________________________________________________________________________________
pe
E [ISO 15408-1]
[ISO 15408-2]
Organização Internacional de Normalização/Comissão Eletrotécnica
Internacional 15408-1:2009, Tecnologia da informação —
Técnicas de segurança — Critérios de avaliação para segurança informática —
Parte 1: Introdução e modelo geral, abril de 2017.
https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R5.pdf
Organização Internacional de Normalização/Comissão Eletrotécnica

Técnicas de segurança — Critérios de avaliação para segurança informática — Parte 2:
Requisitos funcionais de segurança, abril de 2017.
[ISO 15408-3] Organização Internacional de Padronização/Comissão Eletrotécnica

Internacional 15408-3:2008, Tecnologia da informação—
Técnicas de segurança — Critérios de avaliação para segurança informática — Parte 3:
Requisitos de garantia de segurança, abril de 2017.
[ISO 15288] Organização Internacional de Padronização/Comissão Eletrotécnica

15288:2015, Engenharia de sistemas e software —
Processos do ciclo de vida dos sistemas, maio de 2015.
https://www.iso.org/standard/63711.h1ml
[ISO 20243] Organização Internacional de Normalização/Comissão Eletrotécnica

Padrão Open Trusted Technology ProviderTM (O-TTPS) — Mitigação de produtos
falsificados e contaminados com códigos maliciosos — Parte 1: Requisitos e recomendações,
fevereiro de 2018.
[ISO25237] Organização Internacional de Normalização/Comissão Eletrotécnica

Internacional 25237:2017, Informática em saúde —
Pseudonimização, janeiro de 2017.

Internacional 27036-1:2014, Tecnologia da informação—
Técnicas de segurança — Segurança da informação para relacionamentos com fornecedores,
Parte 1: Visão geral e conceitos, abril de 2014.

Internacional 29100:2011, Tecnologia da informação — Técnicas de segurança — Estrutura de
privacidade, dezembro de 2011.

Internacional 29147:2018, Tecnologia da informação — Técnicas de segurança — Divulgação de
vulnerabilidades, outubro de 2018.

e
g
_________________________________________________________________________________________________
pe
E [ISO29148]
[FIPS140-3]
Organização Internacional de Padronização/Comissão Eletrotécnica
29148:2018, Engenharia de sistemas e software—
Processos de ciclo de vida – Engenharia de requisitos, novembro de 2018.
Instituto Nacional de Padrões e Tecnologia (2019) Requisitos de segurança

para módulos criptográficos. (Departamento de Comércio dos EUA, Washington, DC),
Publicação Federal de Padrões de Processamento de Informações (FIPS) 140-3.
https://doi.org/
10.6028/NIST.FIPS.140-3
[FIPS 180-4] Instituto Nacional de Padrões e Tecnologia (2015) Secure Hash Standard (SHS).
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de Padrões
de Processamento de Informações (FIPS) 180-4.
https://doi.org/10.6028/NIST.FIPS.180-4
[FIPS 186-4] Instituto Nacional de Padrões e Tecnologia (2013) Padrão de Assinatura Digital (DSS).
de Processamento de Informações (FIPS) 186-4.
[FIPS 197] Instituto Nacional de Padrões e Tecnologia (2001) Padrão de Criptografia Avançada (AES).
de Processamento de Informações (FIPS) 197.
https://doi.org/10.6028/NIST.FIPS.197
[FIPS 199] Instituto Nacional de Padrões e Tecnologia (2004) Padrões para Categorização
de Segurança de Informações Federais e Sistemas de Informação.
(Departamento de Comércio dos EUA, Washington, DC), Publicação Federal de
Padrões de Processamento de Informações (FIPS) 199.
[FIPS200] Instituto Nacional de Padrões e Tecnologia (2006) Requisitos Mínimos de Segurança

para Informações Federais e Sistemas de Informação. (NÓS
Departamento de Comércio, Washington, DC), Publicação Federal de Padrões
[FIPS201-2] Instituto Nacional de Padrões e Tecnologia (2013) Verificação de Identidade Pessoal

(PIV) de Funcionários Federais e Contratados. (Departamento de Comércio dos EUA,
Washington, DC), Publicação Federal de Padrões de Processamento de Informações (FIPS)
201-2.
[FIPS202] Instituto Nacional de Padrões e Tecnologia (2015) Padrão SHA-3: Hash baseado em
permutação e funções de saída extensíveis. (NÓS
Departamento de Comércio, Washington, DC), Publicação Federal de Padrões

e
g
_________________________________________________________________________________________________
pe
E [SP 800-12]
[SP 800-18]
Nieles M, Pillitteri VY, Dempsey KL (2017) Uma introdução à segurança da informação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial
NIST (SP) 800-12, Rev.
https://doi.org/10.6028/NIST.SP.800-12r1
Swanson MA, Hash J, Bowen P (2006) Guia para o desenvolvimento de planos de

segurança para sistemas de informação federais. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-18, Rev.
[SP 800-28] Jansen W, Winograd T, Scarfone KA (2008) Diretrizes sobre conteúdo ativo e código
móvel. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-28, Versão 2.
https://doi.org/10.6028/NIST.SP.800-28ver2
[SP 800-30] Iniciativa Conjunta de Transformação da Força-Tarefa (2012) Guia para a realização de
avaliações de risco. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-30, Rev.
[SP 800-32] Kuhn R, Hu VC, Polk T, Chang SJ (2001) Introdução à tecnologia de chave
pública e à infraestrutura PKI federal. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-32.
https://doi.org/10.6028/NIST.SP.800-32
[SP 800-34] Swanson MA, Bowen P, Phillips AW, Gallup D, Lynes D (2010) Guia de planejamento de
contingência para sistemas de informação federais. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-34, Rev. 1, Inclui atualizações de 11 de novembro de 2010.
[SP 800-35] Grance T, Hash J, Stevens M, O'Neal K, Bartol N (2003) Guia para serviços de segurança
de tecnologia da informação. (Instituto Nacional de Padrões e Tecnologia,
[SP 800-37] Força-Tarefa Conjunta (2018) Estrutura de Gerenciamento de Risco para Sistemas e
Organizações de Informação: Uma Abordagem do Ciclo de Vida do Sistema para
Segurança e Privacidade. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-37, Rev.
[SP 800-39] Iniciativa Conjunta de Transformação da Força-Tarefa (2011) Gerenciando Riscos de

Segurança da Informação: Organização, Missão e Visão do Sistema de Informação.
NIST (SP) 800-39.

e
g
_________________________________________________________________________________________________
pe
E [SP 800-40]
[SP 800-41]
[SP 800-45]
Souppaya MP, Scarfone KA (2013) Guia para tecnologias de gerenciamento de
patches empresariais. (Instituto Nacional de Padrões e Tecnologia,
Scarfone KA, Hoffman P (2009) Diretrizes sobre Firewalls e Política de Firewall.

NIST (SP) 800-41, Rev.
Tracy MC, Jansen W, Scarfone KA, Butterfield J (2007) Diretrizes sobre

segurança de correio eletrônico. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-45, Versão 2.
https://doi.org/10.6028/NIST.SP.800-45ver2
[SP 800-46] Souppaya MP, Scarfone KA (2016) Guia para teletrabalho empresarial, acesso
remoto e segurança de trazer seu próprio dispositivo (BYOD). (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-46, Rev.
[SP 800-47] Grance T, Hash J, Peck S, Smith J, Korow-Diks K (2002) Guia de segurança para
interconexão de sistemas de tecnologia da informação. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-47.
[SP 800-50] Wilson M, Hash J (2003) Construindo um Programa de Conscientização e

Treinamento em Segurança da Tecnologia da Informação. (Instituto Nacional
de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-50.
[SP 800-52] McKay KA, Cooper DA (2019) Diretrizes para a seleção, configuração e uso de
implementações de segurança da camada de transporte (TLS). (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-52, Rev.
[SP 800-53A] Iniciativa Conjunta de Transformação da Força-Tarefa (2014) Avaliando Controles

de Segurança e Privacidade em Sistemas e Organizações de Informação Federais:
Construindo Planos de Avaliação Eficazes. (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-53A, Rev.
4, Inclui atualizações em 18 de dezembro de 2014.
https://doi.org/10.6028/NIST.SP.800-53Ar4
[SP 800-53B] Força-Tarefa Conjunta (2020) Linhas de Base de Controle e Orientação de Adaptação
para Sistemas e Organizações de Informação Federais. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-53B.
https://doi.org/10.6028/NIST.SP.800-53B

e
g
_________________________________________________________________________________________________
pe
E [SP 800-55]
[SP 800-56A]
Mastigar E, Swanson MA, Stine KM, Bartol N, Brown A, Robinson W (2008)
Guia de medição de desempenho para segurança da informação. (Instituto
(SP) 800-55, Rev.
Barker EB, Chen L, Roginsky A, Vassilev A, Davis R (2018) Recomendação para

esquemas de estabelecimento de chaves pares usando criptografia de
logaritmo discreto. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-56A, Rev.
https://doi.org/10.6028/NIST.SP.800-56Ar3
[SP 800-56B] Barker EB, Chen L, Roginsky A, Vassilev A, Davis R, Simon S (2019).
Recomendação para estabelecimento de chaves pareadas usando
criptografia de fatoração de números inteiros. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-56B,
Rev.
https://doi.org/10.6028/NIST.SP.800-56Br2
[SP 800-56C] Barker EB, Chen L, Davis R (2020) Recomendação para métodos de derivação
de chaves em esquemas de estabelecimento de chaves. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-56C,
Rev.
https://doi.org/10.6028/NIST.SP.800-56Cr2
[SP 800-57-1] Recomendação Barker EB (2020) para gerenciamento de chaves: Parte 1 – Geral.
NIST (SP) 800-57 Parte 1, Rev.
https://doi.org/10.6028/NIST.SP.800-57pt1r5
[SP 800-57-2] Barker EB, Barker WC (2019) Recomendação para Gestão de Chaves: Parte 2 –
Melhores Práticas para Organizações de Gestão de Chaves. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-57 Parte 2, Rev.
[SP 800-57-3] Barker EB, Dang QH (2015) Recomendação para gerenciamento de chaves, Parte 3:
Orientação para gerenciamento de chaves específicas da aplicação. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-57 Parte 3, Rev.
[SP 800-60-1] Stine KM, Kissel RL, Barker WC, Fahlsing J, Gulick J (2008) Guia para
mapeamento de tipos de informação e sistemas de informação para
categorias de segurança. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-60, Vol. 1, Rev.
https://doi.org/10.6028/NIST.SP.800-60v1r1

e
g
_________________________________________________________________________________________________
pe
E [SP 800-60-2]
[SP 800-61]
Stine KM, Kissel RL, Barker WC, Lee A, Fahlsing J (2008) Guia para mapeamento de tipos de
informação e sistemas de informação para categorias de segurança: Apêndices. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-60, Vol.
2, Rev.
https://doi.org/10.6028/NIST.SP.800-60v2r1
Cichonski PR, Millar T, Grance T, Scarfone KA (2012) Guia de tratamento de incidentes de

segurança informática. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-61, Rev.
[SP 800-63-3] Grassi PA, Garcia ME, Fenton JL (2017) Diretrizes de Identidade Digital. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63-3, Inclui
atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63-3
[SP 800-63A] Grassi PA, Fenton JL, Lefkovitz NB, Danker JM, Choong YY, Greene KK, Theofanos MF
(2017) Diretrizes de Identidade Digital: Inscrição e Prova de Identidade. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63A, Inclui
atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63a
[SP 800-63B] Grassi PA, Fenton JL, Newton EM, Perlner RA, Regenscheid AR, Burr WE, Richer, JP,
Lefkovitz NB, Danker JM, Choong YY, Greene KK, Theofanos MF (2017) Diretrizes de identidade
digital: autenticação e gerenciamento do ciclo de vida. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-63B,
Inclui atualizações em 2 de março de 2020.
https://doi.org/10.6028/NIST.SP.800-63b
[SP 800-70] Quinn SD, Souppaya MP, Cook MR, Scarfone KA (2018) Programa Nacional de Lista de
Verificação para Produtos de TI: Diretrizes para Usuários e Desenvolvedores da Lista de Verificação.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-70, Rev.
[SP 800-73-4] Cooper DA, Ferraiolo H, Mehta KL, Francomacaro S, Chandramouli R, Mohler J (2015)
Interfaces para verificação de identidade pessoal. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-73-4, Inclui atualizações
em 8 de fevereiro de 2016.
[SP 800-76-2] Grother PJ, Salamon WJ, Chandramouli R (2013) Especificações biométricas para verificação
de identidade pessoal. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-76-2.
[SP 800-77] Barker EB, Dang QH, Frankel SE, Scarfone KA, Wouters P (2020) Guia para VPNs IPsec.
800-77, Rev.

e
g
_________________________________________________________________________________________________
pe
E [SP 800-78-4]
[SP 800-79-2]
Polk T, Dodson DF, Burr WE, Ferraiolo H, Cooper DA (2015) Algoritmos criptográficos e
tamanhos de chave para verificação de identidade pessoal. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-78-4.
Ferraiolo H, Chandramouli R, Ghadiali N, Mohler J, Shorter S (2015).

Diretrizes para Autorização de Emissores de Cartões de Verificação de Identidade
Pessoal (PCI) e Emissores de Credenciais PIV Derivadas (DPCI). (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-79-2.
[SP 800-81-2] Chandramouli R, Rose SW (2013) Sistema de Nomes de Domínio Seguro (DNS)
Guia de implantação. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-81-2.
[SP 800-82] Stouffer KA, Lightman S, Pillitteri VY, Abrams M, Hahn A (2015) Guia para segurança de
sistemas de controle industrial (ICS). (Instituto Nacional de Padrões e Tecnologia,
[SP 800-83] Souppaya MP, Scarfone KA (2013) Guia para prevenção e tratamento de incidentes de
malware para desktops e laptops. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
[SP 800-84] Grance T, Nolan T, Burke K, Dudley R, White G, Good T (2006) Guia para programas de teste,
treinamento e exercícios para planos e recursos de TI. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-84.
[SP 800-86] Kent K, Chevalier S, Grance T, Dang H (2006) Guia para integração de técnicas forenses na
resposta a incidentes. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-86.
[SP 800-88] Kissel RL, Regenscheid AR, Scholl MA, Stine KM (2014) Diretrizes para Sanitização de Mídia.
800-88, Rev.
[SP 800-92] Kent K, Souppaya MP (2006) Guia para gerenciamento de logs de segurança de computadores.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-92.

e
g
_________________________________________________________________________________________________
pe
E [SP 800-94]
[SP 800-95]
[SP 800-97]
Scarfone KA, Mell PM (2007) Guia para Sistemas de Detecção e Prevenção de
Intrusões (IDPS). (Instituto Nacional de Padrões e Tecnologia,
Singhal A, Winograd T, Scarfone KA (2007) Guia para serviços da Web seguros.

(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-95.
Frankel SE, Eydt B, Owens L, Scarfone KA (2007) Estabelecendo redes de

segurança robustas sem fio: um guia para IEEE 802.11i. (Instituto Nacional de
[SP 800-100] Bowen P, Hash J, Wilson M (2006) Manual de Segurança da Informação: Um Guia
para Gerentes. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), Publicação Especial NIST (SP) 800-100, Inclui atualizações em
7 de março de 2007.
[SP 800-101] Ayers RP, Brothers S, Jansen W (2014) Diretrizes sobre análise forense de
dispositivos móveis. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
[SP 800-111] Scarfone KA, Souppaya MP, Sexton M (2007) Guia para tecnologias de criptografia
de armazenamento para dispositivos de usuário final. (Instituto Nacional de
[SP 800-113] Frankel SE, Hoffman P, Orebaugh AD, Park R (2008) Guia para VPNs SSL.
[SP 800-114] Souppaya MP, Scarfone KA (2016) Guia do usuário para teletrabalho e segurança
de trazer seu próprio dispositivo (BYOD). (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-114, Rev.
[SP 800-115] Scarfone KA, Souppaya MP, Cody A, Orebaugh AD (2008) Guia Técnico para Teste
e Avaliação de Segurança da Informação. (Instituto Nacional de Padrões e

e
g
_________________________________________________________________________________________________
pe
E [SP 800-116]
[SP 800-121]
Ferraiolo H, Mehta KL, Ghadiali N, Mohler J, Johnson V, Brady S (2018) Uma
recomendação para o uso de credenciais PIV em sistemas de controle de acesso físico
(PACS). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-116, Rev.
Padgette J, Bahr J, Holtmann M, Batra M, Chen L, Smithbey R, Scarfone KA (2017) Guia

de segurança Bluetooth. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
[SP 800-124] Souppaya MP, Scarfone KA (2013) Diretrizes para gerenciamento da segurança de
dispositivos móveis na empresa. (Instituto Nacional de Padrões e Tecnologia,
[SP 800-125B] Chandramouli R (2016) Configuração segura de rede virtual para proteção de máquina
virtual (VM). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-125B.
https://doi.org/10.6028/NIST.SP.800-125B
[SP 800-126] Waltermire DA, Quinn SD, Booth H, III, Scarfone KA, Prisaca D (2018) A especificação
técnica para o protocolo de automação de conteúdo de segurança (SCAP): SCAP
versão 1.3. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Especial NIST (SP) 800-126, Rev.
[SP 800-128] Johnson LA, Dempsey KL, Ross RS, Gupta S, Bailey D (2011) Guia para
gerenciamento de configuração de sistemas de informação com foco na segurança.
NIST (SP) 800-128, Inclui atualizações em 10 de outubro de 2019.
[SP 800-130] Barker EB, Smid ME, Branstad DK, Chokhani S (2013) Uma estrutura para projetar
sistemas de gerenciamento de chaves criptográficas. (Instituto Nacional de Padrões e
[SP 800-137] Dempsey KL, Chawla NS, Johnson LA, Johnston R, Jones AC, Orebaugh AD, Scholl MA,
Stine KM (2011) Monitoramento Contínuo de Segurança da Informação (ISCM) para
Sistemas e Organizações de Informação Federais. (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-137.
[SP 800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer R, Rudman R, Urban S (2020)
Avaliando Programas de Monitoramento Contínuo de Segurança da Informação (ISCM):
Desenvolvendo uma avaliação do programa ISCM. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-137A.
https://doi.org/10.6028/NIST.SP.800-137A

e
g
_________________________________________________________________________________________________
pe
E [SP 800-147]
[SP 800-150]
[SP 800-152]
Cooper DA, Polk T, Regenscheid AR, Souppaya MP (2011) Diretrizes de proteção do BIOS.
800-147.
Johnson CS, Waltermire DA, Badger ML, Skorupka C, Snyder J (2016) Guia para compartilhamento
de informações sobre ameaças cibernéticas. (Instituto Nacional de Padrões e Tecnologia,
Barker EB, Branstad DK, Smid ME (2015) Um perfil para sistemas federais de
gerenciamento de chaves criptográficas (CKMS) dos EUA. (Instituto Nacional de Padrões e
[SP 800-154] Souppaya MP, Scarfone KA (2016) Guia para modelagem de ameaças a sistemas centrada
em dados. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Rascunho de
Publicação Especial do NIST (SP) 800-154.
https://csrc.nist.gov/publications/detail/sp/800-154/draft
[SP 800-156] Ferraiolo H, Chandramouli R, Mehta KL, Mohler J, Skordinski S, Brady S (2016)
Representação da Cadeia de Confiança PIV para Importação e Exportação.
800-156.
[SP 800-160-1] Ross RS, Oren JC, McEvilley M (2016) Engenharia de segurança de sistemas:
considerações para uma abordagem multidisciplinar na engenharia de sistemas seguros
confiáveis. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-160, Vol.
1, Inclui atualizações a partir de 21 de março de 2018.
https://doi.org/10.6028/NIST.SP.800-160v1
[SP 800-160-2] Ross RS, Pillitteri VY, Graubart R, Bodeau D, McQuaid R (2019) Desenvolvendo sistemas
ciberresilientes: uma abordagem de engenharia de segurança de sistemas.
800-160, Vol. 2.
https://doi.org/10.6028/NIST.SP.800-160v2
[SP 800-161] Boyens JM, Paulsen C, Moorthy R, Bartol N (2015) Práticas de gerenciamento de risco
da cadeia de suprimentos para sistemas e organizações de informação federais.
800-161.
[SP 800-162] Hu VC, Ferraiolo DF, Kuhn R, Schnitzer A, Sandlin K, Miller R, Scarfone KA (2014) Guia para
definição e considerações de controle de acesso baseado em atributos (ABAC). (Instituto
(SP) 800-162, Inclui atualizações em 2 de agosto de 2019.

e
g
_________________________________________________________________________________________________
pe
E [SP 800-166]
[SP 800-167]
Cooper DA, Ferraiolo H, Chandramouli R, Ghadiali N, Mohler J, Brady S (2016)
Diretrizes derivadas de aplicação de PIV e teste de modelo de dados. (Instituto Nacional
de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP) 800-166.
Sedgewick A, Souppaya MP, Scarfone KA (2015) Guia para lista de permissões de

aplicativos. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
[SP 800-171] Ross RS, Pillitteri VY, Dempsey KL, Riddle M, Guissanie G (2020) Protegendo informações
não classificadas controladas em sistemas e organizações não federais.
Especial NIST (SP) 800-171, Rev.
[SP 800-172] Ross RS, Pillitteri VY, Graubart RD, Guissanie G, Wagner R, Bodeau D (2020)
Requisitos de segurança aprimorados para proteger informações não classificadas
controladas: um suplemento à publicação especial do NIST 800-171 (versão pública final).
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST
(SP) 800-172.
https://doi.org/10.6028/NIST.SP.800-172-draft
[SP 800-177] Rose SW, Nightingale S, Garfinkel SL, Chandramouli R (2019) E-mail confiável. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial NIST (SP)
800-177, Rev.
[SP 800-178] Ferraiolo DF, Hu VC, Kuhn R, Chandramouli R (2016) Uma comparação de padrões
de controle de acesso baseado em atributos (ABAC) para aplicativos de
serviços de dados: linguagem de marcação de controle de acesso extensível (XACML)
e controle de acesso de próxima geração (NGAC). (Instituto Nacional de Padrões e
[SP 800-181] Petersen R, Santos D, Smith MC, Wetzel KA, Witte G (2020) Estrutura de força de
trabalho para segurança cibernética (Estrutura NICE). (Instituto Nacional de Padrões
e Tecnologia, Gaithersburg, MD), Publicação Especial do NIST (SP)
800-181, Rev.
[SP 800-184] Bartock M, Scarfone KA, Smith MC, Witte GA, Cichonski JA, Souppaya MP (2016) Guia
para recuperação de eventos de segurança cibernética. (Instituto Nacional de
[SP 800-188] Garfinkel S (2016) Desidentificando conjuntos de dados governamentais. (Instituto Nacional
de Padrões e Tecnologia, Gaithersburg, MD), Segunda versão preliminar da publicação
especial do NIST (SP) 800-188.
https://csrc.nist.gov/publications/detail/sp/800-188/draft

e
g
_________________________________________________________________________________________________
pe
E [SP 800-189]
[SP 800-192]
[IR 7539]
Sriram K, Montgomery D (2019) Troca de tráfego interdomínio resiliente: segurança BGP e
mitigação de DDoS. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial NIST (SP) 800-189.
Yaga DJ, Kuhn R, Hu VC (2017) Métodos de verificação e teste para políticas/modelos de

controle de acesso. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação
Cooper DA, MacGregor WI (2008) Injeção de chave simétrica em cartões inteligentes.

(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório
Interno (IR) 7539.
https://doi.org/10.6028/NIST.IR.7539
[IR 7559] Singhal A, Gunestas M, Wijesekera D (2010) Serviços Web Forenses (FWS).
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou
Relatório Interno (IR) 7559.
[IR 7622] Boyens JM, Paulsen C, Bartol N, Shankles S, Moorthy R (2012) Práticas nocionais de
gerenciamento de risco da cadeia de suprimentos para sistemas de informação federais.
[IR 7676] Cooper DA (2010) Manutenção e uso do histórico de chaves em cartões de verificação de
identidade pessoal (PIV). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 7676.
[IR 7788] Singhal A, Ou X (2011) Análise de risco de segurança de redes corporativas usando gráficos
de ataque probabilísticos. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 7788.
[IR 7817] Ferraiolo H (2012) Um modelo de confiabilidade e revogação de credenciais para

identidades federadas. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 7817.
[IR 7849] Chandramouli R (2014) Uma metodologia para o desenvolvimento de taxonomia de nível
de garantia de autenticação para verificação de identidade baseada em cartão inteligente.
[IR 7870] Cooper DA (2012) Cartões de verificação de identidade pessoal (PIV) de teste NIST.

e
g
_________________________________________________________________________________________________
pe
E [IR 7874]
[IR 7956]
Hu VC, Scarfone KA (2012) Diretrizes para Métricas de Avaliação de Sistemas de Controle
de Acesso. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST
Interagências ou Relatório Interno (IR) 7874.
Chandramouli R, Iorga M, Chokhani S (2013) Problemas e desafios de

gerenciamento de chaves criptográficas em serviços em nuvem. (Instituto Nacional de
Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR)
7956.
[IR 7966] Ylonen T, Turner P, Scarfone KA, Souppaya MP (2015) Segurança de

gerenciamento de acesso interativo e automatizado usando Secure Shell (SSH).
[IR 8011-1] Dempsey KL, Eavy P, Moore G (2017) Suporte de automação para avaliações de
controle de segurança: Volume 1: Visão geral. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno
(IR) 8011, Volume 1.
https://doi.org/10.6028/NIST.IR.8011-1
[IR 8011-2] Dempsey KL, Eavy P, Moore G (2017) Suporte de automação para avaliações de
controle de segurança: Volume 2: Gerenciamento de ativos de hardware. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório
Interno (IR) 8011, Volume 2.
[IR 8011-3] Dempsey KL, Eavy P, Goren N, Moore G (2018) Suporte de automação para
avaliações de controle de segurança: Volume 3: Gerenciamento de ativos de software.
Relatório Interno (IR) 8011, Volume 3.
[IR 8011-4] Dempsey KL, Takamura E, Eavy P, Moore G (2020) Suporte de automação para avaliações
de controle de segurança: Volume 4: Gerenciamento de vulnerabilidades de
software. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
NIST Interagências ou Relatório Interno (IR) 8011, Volume 4.
[IR 8023] Dempsey KL, Paulsen C (2015) Gerenciamento de risco para dispositivos de replicação.
[IR 8040] Greene KK, Kelsey JM, Franklin JM (2016) Medindo a usabilidade e segurança de
senhas permutadas em plataformas móveis. (Instituto Nacional de Padrões e Tecnologia,
Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 8040.

e
g
_________________________________________________________________________________________________
pe
E [IR 8062]
[IR 8112]
Brooks S, Garcia M, Lefkovitz N, Lightman S, Nadeau E (2017) Uma introdução
à engenharia de privacidade e gerenciamento de riscos em sistemas federais.
Grassi P, Lefkovitz N, Nadeau E, Galluzzo R, Dinh, A (2018) Metadados de atributos:

um esquema proposto para avaliar atributos federados.
[IR 8179] Paulsen C, Boyens JM, Bartol N, Winkler K (2018) Modelo de processo de análise de
criticidade: priorizando sistemas e componentes. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório Interno (IR) 8179.
[IR 8272] Paulsen C, Winkler K, Boyens JM, Ng J, Gimbi J (2020) Ferramenta de análise de impacto
para riscos interdependentes da cadeia de suprimentos cibernética. (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), NIST Interagências ou Relatório
Interno (IR) 8272.
PUBLICAÇÕES E SITES DIVERSOS
[USCERT É] Departamento de Segurança Interna, Diretrizes de Notificação de Incidentes Federais do

US-CERT, abril de 2017.
https://us-cert.cisa.gov/incident-notification-guidelines
[TIC do DHS] Departamento de Segurança Interna, Conexões de Internet Confiáveis (TIC).

https://www.dhs.gov/trusted-internet-connections
[DSB 2017] Departamento de Defesa, Conselho Científico de Defesa, Força-Tarefa sobre

Dissuasão Cibernética, fevereiro de 2017.
https://dsb.cto.mil/reports/2010s/DSB-CyberDeterrenceReport_02-28-
17_Final.pdf
[OBTENHA UM BASTÃO] Agência de Sistemas de Informação de Defesa, Guias de Implementação Técnica de

Segurança (STIG).
https://public.cyber.mil/stigs
[DODTERMOS] Departamento de Defesa, Dicionário de Termos Militares e Associados.

https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/dictionary.pdf
[FED PKI] Administração de Serviços Gerais, Infraestrutura de Chaves Públicas Federais.

https://www.idmanagement.gov/topics/fpki
[IMP FISMA] Projeto de implementação da Lei Federal de Modernização da Segurança da Informação

(FISMA).
https://nist.gov/RMF
[IETF4949] Força-Tarefa de Engenharia da Internet (IETF), Solicitação de comentários: 4949,

Glossário de segurança da Internet, versão 2, agosto de 2007.
https://tools.ietf.org/html/rfc4949

e
g
_________________________________________________________________________________________________
pe
E [IETF5905]
[LAMPSON73]
[NARA QUEM]
Força-Tarefa de Engenharia da Internet (IETF), Solicitação de comentários: 5905, Network
Time Protocol Versão 4: Especificação de protocolo e algoritmos, junho de 2010.
https://tools.ietf.org/pdf/rfc5905.pdf
BW Lampson, Uma nota sobre o problema do confinamento, Communications of the ACM 16,
10, pp. 613-615, outubro de 1973.
Administração Nacional de Arquivos e Registros, Registro de Informações Não Classificadas

Controladas (CUI).
https://www.archives.gov/cui
[NIAP CCEVS] Parceria Nacional de Garantia de Informação, Esquema de Avaliação e Validação de Critérios
Comuns.
https://www.niap-ccevs.org
[NIST CAVP] Programa de validação de algoritmo criptográfico do Instituto Nacional de Padrões e

Tecnologia (2020) . Disponível em
https://csrc.nist.gov/projects/cryptographic-algorithm-validation-program
[CMVP do NIST] Programa de validação de módulo criptográfico do Instituto Nacional de Padrões e

Tecnologia (2020) . Disponível em
https://csrc.nist.gov/projects/cryptographic-module-validation-program
[NIST CSF] Instituto Nacional de Padrões e Tecnologia (2018) Estrutura para Melhorar a Segurança
Cibernética de Infraestruturas Críticas, Versão 1.1. (Instituto Nacional de Padrões e
Tecnologia, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018
[NISTPF] Estrutura de privacidade do Instituto Nacional de Padrões e Tecnologia (2020): uma ferramenta
para melhorar a privacidade por meio do gerenciamento de riscos empresariais, versão 1.0.
(Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.01162020
[NCPR] Instituto Nacional de Padrões e Tecnologia (2020) Repositório do Programa de Lista de

Verificação Nacional. Disponível em
https://nvd.nist.gov/ncp/repository
[NVD 800-53] Instituto Nacional de Padrões e Tecnologia (2020) Banco de Dados Nacional de
Vulnerabilidade: Publicação Especial NIST 800-53 [banco de dados de controles].
Disponível em
https://nvd.nist.gov/800-53
[NEUM04] Arquiteturas Composable com Princípios Asseguradamente Confiáveis, P. Neumann, CDRL

A001 Final Report, SRI International, dezembro de 2004.
http://www.csl.sri.com/users/neumann/chats4.pdf
[NSA CSFC] Agência de Segurança Nacional, Programa de Soluções Comerciais para Classificados
(CSfC).
https://www.nsa.gov/resources/everyone/csfc
[MÍDIA NSA] Agência de Segurança Nacional, Orientação sobre Destruição de Mídia.

https://www.nsa.gov/resources/everyone/media-destruction

e
g
_________________________________________________________________________________________________
pe
E [ODNI CTF]
[POPEK74]
[SALZER75]
Estrutura de ameaças cibernéticas do Gabinete do Diretor de Inteligência
Nacional (ODNI).
https://www.dni.gov/index.php/cyber-threat-framework
G. Popek, O Princípio do Design do Kernel, em 1974 NCC, AFIPS Cong. Proc., vol.
43, pp. 977-9
J. Saltzer e M. Schroeder, The Protection of Information in Computer Systems, em
Proceedings of the IEEE 63(9), setembro de 1975, pp.
[SP 800-53 RES] Publicação Especial NIST 800-53, Revisão 5 Resource Center.
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
[USGCB] Instituto Nacional de Padrões e Tecnologia (2020) Linha de base de configuração

do governo dos Estados Unidos. Disponível em
https://csrc.nist.gov/projects/united-states-government-configuration-baseline

e
g
_________________________________________________________________________________________________
pe
E APÊNDICE A
GLOSSÁRIO
TERMOS E DEFINIÇÕES COMUNS
O Apêndice A fornece definições para a terminologia usada na Publicação Especial NIST 800-53. As fontes dos termos usados
nesta publicação são citadas conforme aplicável. Onde nenhuma citação for anotada, a fonte da definição é a Publicação Especial
800-53.
controle de acesso O processo de concessão ou recusa de pedidos específicos de obtenção

[FIPS201-2] e utilização de informação e serviços de processamento de informação
relacionados; e entrar em instalações físicas específicas (por exemplo, edifícios
federais, estabelecimentos militares e entradas de fronteiras).
segurança adequada Proteções de segurança proporcionais ao risco resultante do acesso, uso, divulgação,
[OMB A-130] interrupção, modificação ou destruição não autorizados de informações.
Isso inclui garantir que as informações hospedadas em nome de uma agência
e os sistemas e aplicativos de informação usados pela agência operem de maneira
eficaz e forneçam proteções adequadas de confidencialidade, integridade e
disponibilidade por meio da aplicação de controles de segurança econômicos.
Ameaça persistente Um adversário que possui níveis sofisticados de conhecimento e recursos significativos
avançada
que lhe permitem criar oportunidades para atingir seus objetivos usando múltiplos
[SP 800-39]
vetores de ataque, incluindo
cibernético, físico e engano. Esses objetivos normalmente incluem estabelecer e
ampliar pontos de apoio na infraestrutura de TI das organizações visadas para fins de
exfiltração de informações, minando ou impedindo aspectos críticos de uma
missão, programa ou organização; ou posicionar-se para realizar esses
objetivos no futuro. A ameaça persistente avançada persegue os seus objectivos
repetidamente durante um período prolongado; adapta-se aos esforços dos
defensores para resistir; e está determinado a manter o nível de interação
necessário para executar seus objetivos.
agência Qualquer agência ou departamento executivo, departamento militar, corporação

[OMB A-130] do Governo Federal, corporação controlada pelo Governo Federal ou
outro estabelecimento do Poder Executivo do Governo Federal, ou qualquer agência
reguladora independente. Veja agência executiva.
inteligência de todas as fontes Produtos e/ou organizações e atividades de inteligência que incorporam todas as
[DODTERMOS] fontes de informação, mais frequentemente incluindo inteligência de recursos humanos,
inteligência de imagens, inteligência de medição e assinatura,
inteligência de sinais e dados de código aberto na produção de inteligência
acabada.
APÊNDICE A PÁGINA 394

e
g
_________________________________________________________________________________________________
pe
E aplicativo
[SP 800-37]
avaliação
plano de avaliação
assessor
operação de atribuição
Um programa de software hospedado por um sistema de informação.
Consulte avaliação de controle ou avaliação de risco.
Os objetivos das avaliações de controle de segurança e privacidade e um roteiro detalhado

de como conduzir tais avaliações.
O indivíduo, grupo ou organização responsável por conduzir uma avaliação de controle de

segurança ou privacidade.
Um parâmetro de controle que permite que uma organização atribua um valor

específico e definido pela organização ao controle ou aprimoramento de controle (por
exemplo, atribuindo uma lista de funções a serem notificadas ou um valor para a
frequência de testes).
Consulte parâmetros de controle definidos pela organização e operação de seleção.
garantia Motivos para confiança justificada de que uma reivindicação [de segurança ou privacidade]
[ISO/IEC 15026, Adaptado] foi ou será alcançada.
Nota 1: A garantia é normalmente obtida relativamente a um conjunto de reclamações específicas. O escopo

e o foco de tais reivindicações podem variar (por exemplo, reivindicações de segurança, reivindicações de
segurança) e as próprias reivindicações podem estar inter-relacionadas.
Nota 2: A garantia é obtida por meio de técnicas e métodos que geram evidências confiáveis para fundamentar
as alegações.
superfície de ataque O conjunto de pontos na fronteira de um sistema, componente de sistema ou

ambiente onde um invasor pode tentar entrar, causar efeito ou extrair dados desse
sistema, componente ou ambiente.
auditoria Revisão e exame independentes de registros e atividades para avaliar a adequação dos
[CNSSI 4009] controles do sistema, para garantir a conformidade com as políticas e procedimentos
operacionais estabelecidos.
registro de auditoria Um registro cronológico das atividades do sistema, incluindo registros de acessos ao
[CNSSI 4009] sistema e operações realizadas em um determinado período.
registro de auditoria Uma entrada individual em um log de auditoria relacionada a um evento auditado.
redução de registros de auditoria Um processo que manipula as informações de auditoria coletadas e as organiza em
um formato de resumo que seja mais significativo para os analistas.
trilha de auditoria Um registro cronológico que reconstrói e examina a sequência de atividades que
envolvem ou levam a uma operação, procedimento ou evento específico em uma
transação relevante para a segurança, desde o início até o resultado.
autenticação Verificar a identidade de um usuário, processo ou dispositivo, muitas vezes como um

[FIPS200] pré-requisito para permitir o acesso aos recursos de um sistema.

e
g
_________________________________________________________________________________________________
pe
E autenticador
autenticidade
autorização
[CNSSI 4009]
Algo que o reclamante possui e controla (normalmente um módulo
criptográfico ou senha) que é usado para autenticar a identidade do
reclamante. Anteriormente, isso era conhecido como token.
A propriedade de ser genuíno e poder ser verificado e confiável; confiança

na validade de uma transmissão, mensagem ou originador de mensagem.
Consulte autenticação.
Privilégios de acesso concedidos a um usuário, programa ou processo ou

o ato de conceder esses privilégios.
limite de autorização Todos os componentes de um sistema de informação devem ser

[OMB A-130] autorizados para funcionamento por um gestor orçamental. Isto exclui
sistemas autorizados separadamente aos quais o sistema de
informação está conectado.
autorização para operar A decisão oficial de gestão tomada por um alto funcionário ou
[OMB A-130] funcionários federais para autorizar a operação de um sistema de
informação e aceitar explicitamente o risco para as operações da
agência (incluindo missão, funções, imagem ou reputação), ativos da
agência, indivíduos, outras organizações e o Nação baseada na
implementação de um conjunto acordado de controles de segurança
e privacidade. A autorização também se aplica a controles comuns herdados
pelos sistemas de informação das agências.
oficial de autorização Um alto funcionário ou executivo federal com autoridade para

[OMB A-130] autorizar (ou seja, assumir a responsabilidade por) a operação de um
sistema de informação ou o uso de um conjunto designado de controles
comuns com um nível aceitável de risco para as operações da agência
(incluindo missão, funções, imagem ou reputação), ativos de agências,
indivíduos, outras organizações e a Nação.
disponibilidade Garantir o acesso e uso oportuno e confiável da informação.

[FISMA]
linha de base Consulte a linha de base de controle.
configuração de linha de base Um conjunto documentado de especificações para um sistema,

[SP 800-128, Adaptado] ou um item de configuração dentro de um sistema, que foi formalmente
revisado e acordado em um determinado momento e que só pode ser
alterado por meio de procedimentos de controle de alterações.
limite Perímetro físico ou lógico de um sistema. Consulte também limite e interface

[CNSSI 4009] de autorização.
proteção de limites Monitoramento e controle de comunicações na interface externa de

um sistema para prevenir e detectar comunicações maliciosas e outras
comunicações não autorizadas usando dispositivos de proteção de
limites.

e
g
_________________________________________________________________________________________________
pe
E dispositivo de proteção
de limite
violação
[OMB M-17-12]
Um dispositivo (por exemplo, gateway, roteador, firewall, guarda ou túnel
criptografado) que facilita a adjudicação de diferentes políticas de
segurança de sistema para sistemas conectados ou fornece proteção de
limites. O limite pode ser o limite de autorização para um sistema, o limite da rede
organizacional ou um limite lógico definido pela organização.
A perda de controle, comprometimento, divulgação não autorizada,

aquisição não autorizada ou qualquer ocorrência semelhante onde: uma
pessoa que não seja um usuário autorizado acesse ou potencialmente
acesse informações de identificação pessoal; ou um usuário autorizado acessa
informações pessoalmente identificáveis para outra finalidade que não a
autorizada.
largura Um atributo associado a um método de avaliação que

[SP 800-53A] aborda o escopo ou cobertura dos objetos de avaliação incluídos na
avaliação.
capacidade Uma combinação de controles de segurança e/ou privacidade que se reforçam

mutuamente, implementados por meios técnicos, físicos e processuais.
Esses controles são normalmente selecionados para atingir um propósito comum
relacionado à segurança da informação ou à privacidade.
gestão central O gerenciamento e implementação em toda a organização de controles

selecionados de segurança e privacidade e processos relacionados.
O gerenciamento central inclui planejar, implementar, avaliar, autorizar
e monitorar os controles e processos de segurança e privacidade definidos pela
organização e gerenciados centralmente.
soma de verificação Um valor que (a) é calculado por uma função que depende do conteúdo
[IETF4949] de um objeto de dados e (b) é armazenado ou transmitido junto com o
objeto, para detectar alterações nos dados.
diretor de informações O alto funcionário que fornece aconselhamento e outra assistência ao chefe da
[OMB A-130] agência e outro pessoal de gestão sênior da agência para garantir que a TI seja
adquirida e os recursos de informação sejam gerenciados para a agência
de uma maneira que atinja os objetivos estratégicos da agência e a gestão dos
recursos de informação metas; e é responsável por garantir a
conformidade da agência e a implementação rápida, eficiente e eficaz das
políticas de informação e das responsabilidades de gestão dos
recursos de informação, incluindo a redução dos encargos de recolha de
informações para o público.
diretor de segurança da Consulte o oficial sênior de segurança da informação da agência.

informação
informação classificada Veja informações classificadas de segurança nacional.
informações Informações que foram determinadas de acordo com a Ordem Executiva

classificadas de segurança nacional
(EO) 13526 ou qualquer ordem anterior para exigir proteção contra
[EO 13526]
divulgação não autorizada e são marcadas para indicar seu status
classificado quando em formato documental.

e
g
_________________________________________________________________________________________________
pe
E serviço de commodities
transportador comum
Um serviço de sistema fornecido por um provedor de serviços comerciais a um
conjunto grande e diversificado de consumidores. A organização que adquire ou
recebe o serviço de commodity possui visibilidade limitada da estrutura de
gerenciamento e das operações do fornecedor e, embora a organização possa
negociar acordos de nível de serviço, a organização normalmente não é capaz
de exigir que o fornecedor implemente segurança específica ou controles de
privacidade.
Uma empresa de telecomunicações que se oferece ao público para fornecer

serviços de transmissão de comunicações.
controle comum Um controle de segurança ou privacidade herdado por vários sistemas ou

[OMB A-130] programas de informação.
provedor de controle comum Um funcionário organizacional responsável pelo desenvolvimento,

[SP 800-37] implementação, avaliação e monitoramento de controles comuns (ou seja,
controles de segurança ou privacidade herdados por sistemas).
critérios comuns Documento regulador que fornece um método abrangente e rigoroso para
[CNSSI 4009] especificar funções de segurança e requisitos de garantia para produtos
e sistemas.
seguro comum Um benchmark reconhecido, padronizado e estabelecido que estipula

configuração
definições de configuração seguras específicas para uma determinada
[SP 800-128]
plataforma de tecnologia da informação.
controles de compensação Os controles de segurança e privacidade empregados no lugar dos

controles nas linhas de base descritas na Publicação Especial 800-53B do NIST
que fornecem proteção equivalente ou comparável para um sistema ou organização.
componente Consulte componente do sistema.
confidencialidade Preservar restrições autorizadas ao acesso e divulgação de informações,

[FISMA] incluindo meios para proteger a privacidade pessoal e informações proprietárias.
controle de configuração Processo para controlar modificações em hardware, firmware, software e

[SP 800-128] documentação para proteger o sistema contra modificações inadequadas
antes, durante e após a implementação do sistema.
item de configuração Uma agregação de componentes do sistema designada para gerenciamento

[SP 800-128] de configuração e tratada como uma entidade única no processo de gerenciamento
de configuração.
gerenciamento Um conjunto de atividades focadas no estabelecimento e manutenção da integridade

de configurações
de produtos e sistemas de tecnologia da informação, por meio do controle de
[SP 800-128]
processos para inicialização, alteração e monitoramento das configurações
desses produtos e sistemas durante todo o ciclo de vida de desenvolvimento do
sistema.

e
g
_________________________________________________________________________________________________
pe
E definições de configuração
[SP 800-128]
monitoramento contínuo
[SP 800-137]
ao controle
avaliação de controle
[SP 800-37]
O conjunto de parâmetros que podem ser alterados em hardware, software
ou firmware que afetam a postura de segurança e/ou funcionalidade do sistema.
Manter a conscientização contínua para apoiar decisões de risco organizacional.
Consulte controle de segurança ou controle de privacidade.
O teste ou avaliação dos controles em um sistema de informação ou em uma

organização para determinar até que ponto os controles são implementados
corretamente, operando conforme pretendido e produzindo o resultado desejado no
que diz respeito ao cumprimento dos requisitos de segurança ou privacidade do
sistema ou da organização .
avaliador de controle Veja avaliador.
linha de base de controle Conjuntos predefinidos de controles montados especificamente para atender às
[SP 800-53B] necessidades de proteção de grupos, organizações ou comunidades de interesse.
Consulte a linha de base do controle de privacidade ou a linha de base do controle de segurança.
Eficácia do Controle Uma medida para saber se um controle de segurança ou privacidade contribui
para a redução da segurança da informação ou do risco de privacidade.
aprimoramento de controle Aumento de um controle de segurança ou privacidade para incorporar

funcionalidades adicionais, mas relacionadas, ao controle, aumentar a força do
controle ou adicionar garantia ao controle.
herança de controle Uma situação em que um sistema ou aplicação recebe proteção contra controles de
segurança ou privacidade (ou partes de controles) que são desenvolvidos,
implementados, avaliados, autorizados e monitorados por entidades que
não sejam as responsáveis pelo sistema ou aplicação; entidades internas ou
externas à organização onde o sistema ou aplicativo reside. Veja controle comum.
parâmetro de controle Consulte parâmetro de controle definido pela organização.
área controlada Qualquer área ou espaço para o qual uma organização tenha confiança de que as
proteções físicas e processuais fornecidas são suficientes para atender aos requisitos
estabelecidos para proteger a informação e/ou sistema de informação.
interface controlada Uma interface para um sistema com um conjunto de mecanismos que impõe as políticas
de segurança e controla o fluxo de informações entre sistemas conectados.

e
g
_________________________________________________________________________________________________
pe
E informações não
classificadas controladas
[32 CFR 2002]
Informações que o Governo cria ou possui, ou que uma entidade cria ou possui
para ou em nome do Governo, que uma lei, regulamento ou política
governamental exige ou permite que uma agência administre usando controles
de salvaguarda ou disseminação. No entanto, o CUI não inclui informações
classificadas ou informações que uma entidade do poder não executivo possua e
mantenha nos seus próprios sistemas que não tenham vindo de, ou não
tenham sido criadas ou possuídas por ou para, uma agência do poder
executivo ou uma entidade que atue para uma agência .
falsificado Uma cópia ou substituto não autorizado que tenha sido identificado, marcado
[SP 800-161] e/ou alterado por uma fonte diferente da fonte legalmente autorizada do item e
que tenha sido deturpado como sendo um item autorizado da fonte
legalmente autorizada.
contramedidas Ações, dispositivos, procedimentos, técnicas ou outras medidas que reduzam a

[FIPS200] vulnerabilidade de um sistema. Sinônimo de controles e proteções de segurança.
canal secreto Um canal intrasistema não intencional ou não autorizado que permite que
[CNSSI 4009] duas entidades cooperantes transfiram informações de uma forma que viola a
política de segurança do sistema, mas não excede as autorizações de acesso das
entidades.
análise de canal secreto Determinação da extensão em que o modelo de política de segurança e

[CNSSI 4009] subsequentes descrições de programas de nível inferior podem permitir
acesso não autorizado à informação.
canal de armazenamento secreto Um recurso do sistema que permite que uma entidade do sistema
[CNSSI 4009] sinalize informações para outra entidade, escrevendo direta ou indiretamente em
um local de armazenamento que é posteriormente lido direta ou indiretamente
pela segunda entidade.
canal de cronometragem secreto Um recurso do sistema que permite que uma entidade do sistema
[CNSSI 4009, Adaptado] sinalize informações para outra, modulando seu próprio uso de um recurso do
sistema de modo a afetar o tempo de resposta do sistema observado
pela segunda entidade.
credencial Um objeto ou estrutura de dados que vincula com autoridade uma identidade, por
[SP 800-63-3] meio de um identificador ou identificadores e (opcionalmente) atributos
adicionais, a pelo menos um autenticador possuído e controlado por
um assinante.
infraestrutura crítica Sistemas e activos, sejam físicos ou virtuais, tão vitais para os Estados Unidos
[EUA PATRIOTA] que a incapacidade ou destruição de tais sistemas e activos teria um impacto
debilitante na segurança, na segurança económica nacional, na saúde ou
segurança pública nacional, ou em qualquer combinação dessas questões.
solução entre domínios Uma forma de interface controlada que fornece a capacidade de acessar
[CNSSI 1253] e/ou transferir informações manual e/ou automaticamente entre
diferentes domínios de segurança.

e
g
_________________________________________________________________________________________________
pe
E módulo criptográfico
[FIPS140-3]
cíber segurança
[OMB A-130]
O conjunto de hardware, software e/ou firmware que implementa funções de
segurança Aprovadas (incluindo algoritmos criptográficos e geração de chaves) e
está contido dentro do limite criptográfico.
Prevenção de danos, proteção e restauração de computadores, sistemas

de comunicações eletrônicas, serviços de comunicações eletrônicas,
comunicações por fio e comunicações eletrônicas, incluindo informações neles
contidas, para garantir sua disponibilidade, integridade, autenticação,
confidencialidade e não repúdio.
ciberespaço A rede interdependente de infra-estruturas de tecnologia da informação

[CNSSI 4009] que inclui a Internet, redes de telecomunicações, sistemas informáticos e
processadores e controladores incorporados em indústrias críticas.
ação de dados Uma operação de sistema que processa informações de identificação

[IR 8062] pessoal.
mineração de dados Um processo analítico que tenta encontrar correlações ou padrões em

grandes conjuntos de dados para fins de descoberta de dados ou conhecimento.
desidentificação Termo geral para qualquer processo de remoção da associação entre um

[ISO25237] conjunto de dados de identificação e o titular dos dados.
defesa em amplitude Um conjunto planejado e sistemático de atividades multidisciplinares que buscam

[CNSSI 4009] identificar, gerenciar e reduzir o risco de vulnerabilidades exploráveis em todas as
fases do ciclo de vida do sistema, rede ou subcomponente, incluindo projeto
e desenvolvimento de sistema, rede ou produto; fabricação; embalagem;
conjunto; integração de sistemas; distribuição; operações; manutenção; e
aposentadoria.
defesa em profundidade Uma estratégia de segurança da informação que integra pessoas,

tecnologia e capacidades operacionais para estabelecer barreiras variáveis
em múltiplas camadas e missões da organização.
profundidade Um atributo associado a um método de avaliação que

[SP 800-53A] aborda o rigor e o nível de detalhe associado à aplicação do método.
desenvolvedor Um termo geral que inclui desenvolvedores ou fabricantes de sistemas,

componentes de sistema ou serviços de sistema; integradores de sistemas;
vendedores; e revendedores de produtos. O desenvolvimento de sistemas,
componentes ou serviços pode ocorrer internamente nas organizações ou
através de entidades externas.
mídia digital Uma forma de mídia eletrônica onde os dados são armazenados em formato
digital (em vez de analógico).

e
g
_________________________________________________________________________________________________
pe
E controle de acesso
discricionário
Uma política de controle de acesso imposta a todos os sujeitos e objetos
em um sistema onde a política especifica que um sujeito ao qual foi concedido
acesso à informação pode fazer um ou mais dos seguintes: passar as
informações para outros sujeitos ou objetos; conceder seus privilégios a outros
sujeitos; alterar os atributos de segurança de assuntos, objetos,
sistemas ou componentes de sistema; escolha os atributos de segurança a
serem associados aos objetos recém-criados ou revisados; ou alterar as
regras que regem o controle de acesso. Os controles de acesso obrigatórios
restringem essa capacidade.
dissociabilidade Permitir o processamento de informações ou eventos de identificação pessoal

[IR 8062] sem associação a indivíduos ou dispositivos além dos requisitos operacionais
do sistema.
domínio Um ambiente ou contexto que inclui um conjunto de recursos do

sistema e um conjunto de entidades do sistema que têm o direito de
acessar os recursos conforme definido por uma política de segurança,
modelo de segurança ou arquitetura de segurança comum. Consulte domínio de segurança.
empreendimento Uma organização com uma missão/objetivo definido e um limite definido,

[CNSSI 4009] utilizando sistemas para executar essa missão e com responsabilidade
pela gestão dos seus próprios riscos e desempenho. Uma empresa pode
consistir em todos ou alguns dos seguintes aspectos de negócios: aquisição,
gestão de programas, recursos humanos, gestão financeira, segurança e
gestão de sistemas, informações e missão. Veja organização.
arquitetura corporativa Uma base de ativos de informação estratégica, que define a missão; as
[OMB A-130] informações necessárias para cumprir a missão; as tecnologias
necessárias para cumprir a missão; e os processos de transição para
a implementação de novas tecnologias em resposta às mudanças nas
necessidades da missão; e inclui uma arquitetura básica; uma arquitetura
alvo; e um plano de sequenciamento.
ambiente de operação O ambiente físico no qual um sistema de informação processa, armazena

[OMB A-130] e transmite informações.
evento Qualquer ocorrência observável em um sistema.

[SP 800-61, Adaptado]
agência executiva Um departamento executivo especificado em 5 USC, Sec. 101; um
[OMB A-130] departamento militar especificado em 5 USC, Sec. 102; um
estabelecimento independente conforme definido em 5 USC, Sec. 104(1); e
uma empresa governamental de propriedade integral, totalmente sujeita às
disposições do 31 USC, Capítulo 91.
exfiltração A transferência não autorizada de informações de um sistema.
sistema externo (ou Um sistema ou componente de um sistema que é usado, mas não faz parte
componente) de um sistema organizacional e para o qual a organização não tem controle
direto sobre a implementação dos controles de segurança e privacidade
necessários ou a avaliação da eficácia do controle.

e
g
_________________________________________________________________________________________________
pe
E serviço de sistema externo
provedor de serviços de
sistema externo
Um serviço de sistema fornecido por um provedor de serviços externo e para o
qual a organização não tem controle direto sobre a implementação dos
controles de segurança e privacidade necessários ou a avaliação da eficácia do
controle.
Um fornecedor de serviços de sistema externo para uma organização

através de uma variedade de relações consumidor-produtor, incluindo joint
ventures, parcerias comerciais, acordos de terceirização (ou seja, através de
contratos, acordos interagências, acordos de linhas de negócios), acordos
de licenciamento e/ou cadeia de suprimentos trocas.
rede externa Uma rede não controlada pela organização.
failover A capacidade de alternar automaticamente (normalmente sem intervenção

humana ou aviso) para um sistema redundante ou de espera após falha ou
encerramento anormal do sistema anteriormente ativo.
informações federais Um sistema de informação usado ou operado por uma agência executiva, por um
sistema contratante de uma agência executiva ou por outra organização em
[OMB A-130] nome de uma agência executiva.
Criptografia Um módulo criptográfico validado pelo Programa de Validação de Módulo

validada por FIPS Criptográfico (CMVP) para atender aos requisitos especificados na Publicação
FIPS 140-3 (conforme alterada). Como pré-requisito para a validação do CMVP, o
módulo criptográfico deve empregar uma implementação de algoritmo
criptográfico que tenha passado com êxito nos testes de validação do Programa
de Validação de Algoritmo Criptográfico (CAVP). Consulte criptografia
aprovada pela NSA.
firmware Programas de computador e dados armazenados em hardware - normalmente

[CNSSI 4009] em memória somente leitura (ROM) ou memória somente leitura programável
(PROM) - de modo que os programas e dados não possam ser
gravados ou modificados dinamicamente durante a execução dos
programas. Consulte hardware e software.
hardware Os componentes físicos materiais de um sistema. Consulte software e firmware.

[CNSSI 4009]
sistema de alto impacto Um sistema no qual pelo menos um objetivo de segurança (ou seja,
[FIPS200] confidencialidade, integridade ou disponibilidade) recebe um valor de
impacto potencial alto.
controle híbrido Um controle de segurança ou privacidade implementado para um

[OMB A-130] sistema de informação, em parte como um controle comum e em parte como um
controle específico do sistema.
identificador Dados exclusivos usados para representar a identidade e os atributos associados
[FIPS201-2] de uma pessoa. Um nome ou número de cartão são exemplos de identificadores.

Um rótulo exclusivo usado por um sistema para indicar uma entidade, objeto
ou grupo específico.

e
g
_________________________________________________________________________________________________
pe
E impacto
valor de impacto
[FIPS 199]
incidente
O efeito nas operações organizacionais, nos ativos organizacionais, nos indivíduos,
em outras organizações ou na Nação (incluindo os interesses de segurança
nacional dos Estados Unidos) de uma perda de confidencialidade, integridade
ou disponibilidade de informações ou de um sistema.
O impacto potencial avaliado no pior caso que poderia resultar de um comprometimento

da confidencialidade, integridade ou disponibilidade da informação expresso como
um valor baixo, moderado ou alto.
Ocorrência que comprometa real ou iminentemente, sem autoridade legal, a

[FISMA] confidencialidade, integridade ou disponibilidade de informação ou sistema de
informação; ou constitui uma violação ou ameaça iminente de violação da lei, políticas
de segurança, procedimentos de segurança ou políticas de uso aceitável.
sistema de controle industrial Termo geral que abrange vários tipos de sistemas de controle, incluindo sistemas de
[SP 800-82] controle de supervisão e aquisição de dados (SCADA), sistemas de controle
distribuído (DCS) e outras configurações de sistemas de controle, como
controladores lógicos programáveis (CLP) encontrados nos setores industriais e
infraestruturas críticas.
Um sistema de controle industrial consiste em combinações de componentes de
controle (por exemplo, elétricos, mecânicos, hidráulicos, pneumáticos) que atuam
juntos para atingir um objetivo industrial (por exemplo, fabricação, transporte
de matéria ou energia).
Informação Qualquer comunicação ou representação de conhecimento, como fatos, dados

[OMB A-130] ou opiniões, em qualquer meio ou forma, incluindo formas textuais, numéricas, gráficas,
cartográficas, narrativas, eletrônicas ou audiovisuais.
controle de fluxo de informações Controles para garantir que as transferências de informações dentro de um sistema ou
organização não sejam feitas em violação à política de segurança.
vazamento de informação A divulgação intencional ou não intencional de informações a um

ambiente não confiável.
proprietário da informação Oficial com autoridade estatutária ou operacional para informações específicas
[SP 800-37] e responsabilidade por estabelecer os controles para sua geração, coleta, processamento,
disseminação e descarte.
recursos de informação Informações e recursos relacionados, como pessoal, equipamentos,

[OMB A-130] fundos e tecnologia da informação.
segurança da informação A proteção de informações e sistemas contra acesso, uso, divulgação, interrupção,
[OMB A-130] modificação ou destruição não autorizados, a fim de fornecer confidencialidade,
integridade e disponibilidade.
arquitetura de segurança Uma parte integrante e incorporada da arquitetura empresarial que descreve a
da informação estrutura e o comportamento dos processos de segurança empresarial, sistemas de
[OMB A-130] segurança, pessoal e subunidades organizacionais, mostrando seu
alinhamento com a missão e os planos estratégicos da empresa.

e
g
_________________________________________________________________________________________________
pe
E segurança da informação
política
[CNSSI 4009]
plano do programa de
segurança da informação
[OMB A-130]
risco de segurança da informação

Agregado de diretivas, regulamentos, regras e práticas que prescrevem como uma
organização gerencia, protege e distribui informações.
Documento formal que fornece uma visão geral dos requisitos de segurança para um
programa de segurança da informação em toda a organização e descreve os controles
de gerenciamento do programa e os controles comuns em vigor ou planejados para
atender a esses requisitos.
O risco para as operações organizacionais (incluindo missão, funções, imagem,

[SP 800-30] reputação), ativos organizacionais, indivíduos, outras organizações e a Nação devido ao
potencial de acesso não autorizado, uso, divulgação, interrupção, modificação ou
destruição de informações e/ou sistemas.
administrador de informações Um funcionário da agência com autoridade estatutária ou operacional para informações
[SP 800-37] específicas e responsabilidade por estabelecer os controles para sua geração, coleta,
processamento, disseminação e descarte.
sistema de informação Um conjunto discreto de recursos de informação organizados para a coleta,

[USC3502] processamento, manutenção, uso, compartilhamento, disseminação ou disposição de
informações.
tecnologia da Informação Quaisquer serviços, equipamentos ou sistemas ou subsistemas interconectados

[USC11101] de equipamentos usados na aquisição automática, armazenamento, análise,
avaliação, manipulação, gerenciamento, movimentação, controle, exibição,
comutação, intercâmbio, transmissão ou recepção de dados ou informações
pelo órgão. Para efeitos desta definição, tais serviços ou equipamentos são utilizados
diretamente pela agência ou são utilizados por um contratante ao abrigo de um
contrato com a agência que exige a sua utilização; ou, em medida significativa,
a sua utilização na execução de um serviço ou no fornecimento de um produto. A
tecnologia da informação inclui computadores, equipamentos auxiliares (incluindo
periféricos de imagem, dispositivos de entrada, saída e armazenamento necessários para
segurança e vigilância), equipamentos periféricos projetados para serem controlados
pela unidade central de processamento de um computador, software, firmware e
procedimentos semelhantes, serviços ( incluindo computação em nuvem e serviços de
suporte técnico ou outros serviços profissionais que apoiam qualquer ponto do
ciclo de vida do equipamento ou serviço) e recursos relacionados. A tecnologia da
informação não inclui qualquer equipamento adquirido por um contratante incidentalmente
a um contrato que não exija a sua
usar.
produto de tecnologia da Consulte componente do sistema.

informação

e
g
_________________________________________________________________________________________________
pe
E tipo de informação
[FIPS 199]
interno
[CNSSI 4009, Adaptado]
ameaça interna
[CNSSI 4009, Adaptado]
Uma categoria específica de informações (por exemplo, privacidade,
médica, proprietária, financeira, investigativa, sensível ao contratante, gerenciamento
de segurança) definida por uma organização ou, em alguns casos, por uma lei
específica, Ordem Executiva, diretiva, política ou regulamento.
Qualquer pessoa com acesso autorizado a qualquer recurso

organizacional, incluindo pessoal, instalações, informações,
equipamentos, redes ou sistemas.
A ameaça de que um insider usará seu acesso autorizado, intencionalmente

ou inconscientemente, para prejudicar a segurança das operações
e ativos organizacionais, de indivíduos, de outras organizações e da
Nação. Esta ameaça pode incluir danos através de espionagem, terrorismo,
divulgação não autorizada de informações de segurança nacional ou
através da perda ou degradação de recursos ou capacidades organizacionais.
programa de ameaças internas Uma coleção coordenada de capacidades autorizadas pela organização
[CNSSI 4009, Adaptado] e usadas para impedir, detectar e mitigar a divulgação não autorizada
de informações.
interface Limite comum entre sistemas ou módulos independentes onde ocorrem

[CNSSI 4009] interações.
integridade Proteger contra modificação ou destruição inadequada de informações

[FISMA] e inclui garantir o não repúdio e a autenticidade das informações.
Rede interna Uma rede onde o estabelecimento, a manutenção e o fornecimento

de controles de segurança estão sob o controle direto de funcionários ou
contratados da organização. O encapsulamento criptográfico ou
tecnologia de segurança semelhante implementada entre terminais
controlados pela organização proporciona o mesmo efeito (pelo menos no que
diz respeito à confidencialidade e integridade). Uma rede interna
normalmente é de propriedade da organização, mas pode ser controlada
pela organização, embora não seja de propriedade da organização.
rótulo Consulte a etiqueta de segurança.
Ultimo privilégio O princípio de que uma arquitetura de segurança é projetada para que cada
[CNSSI 4009] entidade receba os recursos mínimos de sistema e as autorizações
de que a entidade necessita para desempenhar sua função.
acesso local Acesso a um sistema organizacional por um usuário (ou processo agindo em
nome de um usuário) comunicando-se através de uma conexão direta
sem o uso de uma rede.

e
g
_________________________________________________________________________________________________
pe
E sistema de controle de
acesso lógico
sistema de baixo impacto

Um sistema automatizado que controla a capacidade de um indivíduo acessar
um ou mais recursos do sistema de computador, como uma estação de
trabalho, rede, aplicativo ou banco de dados. Um sistema lógico de controle de
acesso requer a validação da identidade de um indivíduo por meio de algum
mecanismo, como PIN, cartão, biométrico ou outro token. Tem a capacidade
de atribuir diferentes privilégios de acesso a diferentes indivíduos, dependendo
de suas funções e responsabilidades em uma organização.
Um sistema no qual todos os três objetivos de segurança (isto é,

[FIPS200] confidencialidade, integridade e disponibilidade) recebem um valor de impacto
potencial baixo.
Código malicioso Software ou firmware destinado a executar um processo não autorizado que
terá impactos adversos na confidencialidade, integridade ou disponibilidade de
um sistema. Um vírus, worm, cavalo de Tróia ou outra entidade baseada em código
que infecta um host. Spyware e algumas formas de adware também são
exemplos de código malicioso.
interface gerenciada Uma interface dentro de um sistema que fornece recursos de proteção de limites
usando mecanismos ou dispositivos automatizados.
controle de acesso obrigatório Uma política de controle de acesso que é aplicada uniformemente em todos os
assuntos e objetos dentro de um sistema. Um sujeito ao qual foi concedido
acesso à informação está impedido de: transmitir a informação a sujeitos ou
objetos não autorizados; conceder seus privilégios a outros sujeitos; alterar um
ou mais atributos de segurança em assuntos, objetos, sistema ou componentes
de sistema; escolher os atributos de segurança a serem associados
aos objetos recém-criados ou modificados; ou alterar as regras para reger o
controle de acesso. Os assuntos definidos pela organização podem receber
explicitamente privilégios definidos pela organização (isto é, são assuntos
confiáveis), de modo que não sejam limitados por algumas ou todas as restrições
acima. O controle de acesso obrigatório é considerado um tipo de controle de
acesso não discricionário.
marcação Consulte marcação de segurança.
acordo de correspondência Um acordo por escrito entre uma agência receptora e uma agência fonte (ou uma
[OMB A-108] agência não federal) que é exigido pela Lei de Privacidade para as partes envolvidas
em um programa de correspondência.
meios de comunicação
Dispositivos físicos ou superfícies de escrita, incluindo fitas magnéticas, discos
[FIPS200] ópticos, discos magnéticos, chips de memória de integração em larga escala e
impressões (mas excluindo mídia de exibição) nos quais as informações são
gravadas, armazenadas ou impressas dentro de um sistema.
metadados Informações que descrevem as características dos dados, incluindo metadados

estruturais que descrevem estruturas de dados (ou seja, formato de dados,
sintaxe, semântica) e metadados descritivos que descrevem o conteúdo
dos dados (ou seja, rótulos de segurança).

e
g
_________________________________________________________________________________________________
pe
E código móvel Programas de software ou partes de programas obtidos de sistemas remotos,
transmitidos através de uma rede e executados em um sistema local sem
instalação ou execução explícita pelo destinatário.
tecnologias de código móvel Tecnologias de software que fornecem os mecanismos para o
dispositivo móvel
produção e uso de código móvel.
Um dispositivo de computação portátil que possui um formato pequeno, de

modo que pode ser facilmente transportado por um único indivíduo; foi projetado
para operar sem conexão física (por exemplo, transmitir ou receber informações
sem fio); possui armazenamento de dados local e não removível; e é ligado
por longos períodos de tempo com uma fonte de alimentação independente. Os
dispositivos móveis também podem incluir capacidades de comunicação de
voz, sensores integrados que permitem ao dispositivo capturar (por exemplo,
fotografar, filmar, gravar ou determinar a localização) informações e/ou
recursos integrados para sincronizar dados locais com locais remotos. Os
exemplos incluem smartphones, tablets e leitores eletrônicos.
sistema de impacto moderado Um sistema no qual pelo menos um objetivo de segurança (ou
[FIPS200] seja, confidencialidade, integridade ou disponibilidade) recebe um valor
de impacto potencial moderado e nenhum objetivo de segurança recebe
um valor de impacto potencial alto.
multifatorial Um sistema de autenticação ou autenticador que requer mais de um fator de

autenticação autenticação para uma autenticação bem-sucedida.
[SP 800-63-3] A autenticação multifator pode ser realizada usando um único autenticador
que fornece mais de um fator ou por uma combinação de autenticadores
que fornecem diferentes fatores.
Os três fatores de autenticação são algo que você conhece, algo que
você tem e algo que você é. Consulte autenticador.
segurança multinível Conceito de processamento de informações com diferentes classificações e

[CNSSI 4009] categorias que permite simultaneamente o acesso de usuários com diferentes
credenciações de segurança e nega o acesso a usuários que não possuem
autorização.
vários níveis de segurança Capacidade de um sistema confiável para conter e manter a separação entre
[CNSSI 4009] recursos (particularmente dados armazenados) de diferentes domínios de
segurança.

e
g
_________________________________________________________________________________________________
pe
E sistema de segurança nacional
[OMB A-130]
Qualquer sistema (incluindo qualquer sistema de telecomunicações) utilizado
ou operado por uma agência ou por um contratante de uma agência, ou outra
organização em nome de uma agência — (i) cuja função, operação ou utilização
envolva atividades de inteligência; envolve atividades criptológicas
relacionadas à segurança nacional; envolve comando e controle de
forças militares; envolve equipamento que é parte integrante de uma arma ou
sistema de armas; ou é fundamental para o cumprimento direto de missões
militares ou de inteligência (excluindo um sistema que será usado para
aplicações administrativas e comerciais de rotina, por exemplo, aplicações de
folha de pagamento, finanças, logística e gestão de pessoal); ou (ii) esteja sempre
protegido por procedimentos estabelecidos para que informações que tenham
sido especificamente autorizadas sob critérios estabelecidos por uma Ordem
Executiva ou por uma Lei do Congresso sejam mantidas confidenciais no
interesse da defesa nacional ou da política externa.
rede Um sistema implementado com uma coleção de componentes

conectados. Esses componentes podem incluir roteadores, hubs,
cabeamento, controladores de telecomunicações, centros de distribuição
de chaves e dispositivos de controle técnico.
acesso à rede Acesso a um sistema por um usuário (ou um processo agindo em nome de
um usuário) comunicando-se através de uma rede, incluindo uma rede local,
uma rede de área ampla e a Internet.
agora Um valor usado em protocolos de segurança que nunca é repetido com a mesma
[SP 800-63-3] chave. Por exemplo, nonces usados como desafios em protocolos de
autenticação de resposta a desafio não são repetidos até que as chaves de
autenticação sejam alteradas. Caso contrário, existe a possibilidade de um ataque
de repetição.
controle de acesso não Consulte controle de acesso obrigatório.

discricionário
manutenção não local Atividades de manutenção realizadas por indivíduos que se

comunicam através de uma rede interna ou externa.
usuário não organizacional Um usuário que não é um usuário organizacional (incluindo usuários públicos).
não repúdio Proteção contra um indivíduo que nega falsamente ter realizado uma
determinada ação e fornece a capacidade de determinar se um
indivíduo executou uma determinada ação, como criar informações, enviar
uma mensagem, aprovar informações ou receber uma mensagem.
Criptografia Criptografia que consiste em um algoritmo aprovado, uma

aprovada pela NSA implementação que foi aprovada para a proteção de informações classificadas
e/ou informações não classificadas controladas em um ambiente específico e
uma infra-estrutura de suporte ao gerenciamento de chaves.

e
g
_________________________________________________________________________________________________
pe
E objeto
Operações de Segurança
[CNSSI 4009]
Entidade passiva relacionada ao sistema, incluindo dispositivos, arquivos,
registros, tabelas, processos, programas e domínios que contêm ou recebem
informações. O acesso a um objeto (por um sujeito) implica acesso à informação
que ele contém. Veja assunto.
Processo sistemático e comprovado pelo qual potenciais adversários podem ter

negadas informações sobre capacidades e intenções, identificando, controlando e
protegendo evidências geralmente não classificadas do planejamento e
execução de atividades sensíveis.
O processo envolve cinco etapas: identificação de informações críticas,
análise de ameaças, análise de vulnerabilidades, avaliação de riscos e
aplicação de contramedidas apropriadas.
organização Uma entidade de qualquer tamanho, complexidade ou posicionamento

[FIPS 200, Adaptado] dentro de uma estrutura organizacional, incluindo agências federais, empresas
privadas, instituições acadêmicas, governos estaduais, locais ou tribais
ou, conforme apropriado, qualquer um de seus elementos operacionais.
parâmetro de controle A parte variável de um controle ou aprimoramento de controle que é instanciada

definido pela organização por uma organização durante o processo de adaptação, atribuindo um valor
definido pela organização ou selecionando um valor de uma lista predefinida
fornecida como parte do controle ou aprimoramento de controle. Consulte
operação de atribuição e operação de seleção.
usuário organizacional Um funcionário organizacional ou um indivíduo que a organização

considera ter status equivalente ao de um funcionário, incluindo um contratado,
pesquisador convidado ou indivíduo destacado de outra organização. As políticas
e procedimentos para conceder status equivalente de funcionários a indivíduos
podem incluir necessidade de conhecimento, relacionamento com a organização
e cidadania.
sobreposição Uma especificação de controles de segurança ou privacidade,

[OMB A-130] melhorias de controle, orientações suplementares e outras informações de apoio
empregadas durante o processo de adaptação, que se destinam a
complementar (e refinar ainda mais) as linhas de base do controle de segurança.
A especificação de sobreposição pode ser mais rigorosa ou menos rigorosa do
que a especificação original da linha de base do controle de segurança
e pode ser aplicada a vários sistemas de informação.
Veja alfaiataria.
parâmetro Consulte parâmetro de controle definido pela organização.
teste de penetração Uma metodologia de teste na qual os avaliadores, normalmente trabalhando sob
restrições específicas, tentam contornar ou anular os recursos de segurança de um
sistema.

e
g
_________________________________________________________________________________________________
pe
E processamento de períodos
informação pessoalmente
identificável
[OMB A-130]
processamento de
Um modo de operação do sistema no qual informações de diferentes
sensibilidades são processadas em momentos distintos pelo mesmo sistema, sendo
o sistema devidamente purgado ou higienizado entre os períodos.
Informações que podem ser usadas para distinguir ou rastrear a

identidade de um indivíduo, isoladamente ou quando combinadas com outras
informações que estejam vinculadas ou possam ser vinculadas a um indivíduo específico.
Uma operação ou conjunto de operações realizadas com informações de

identificação pessoal que pode incluir, mas não está limitada a, coleta, retenção,
informações pessoalmente identificáveis
[ISO/IEC 29100, Adaptado] registro, geração, transformação, uso, divulgação, transferência e descarte de
informações de identificação pessoal.
permissões de Os requisitos sobre como as informações de identificação pessoal podem ser

processamento de processadas ou as condições sob as quais as informações de identificação
informações pessoalmente identificáveis
pessoal podem ser processadas.
segurança pessoal A disciplina de avaliar a conduta, integridade, julgamento, lealdade,

confiabilidade e estabilidade dos indivíduos para deveres e responsabilidades
que exigem confiabilidade.
sistema de controle de Sistema eletrônico que controla a capacidade de entrada de pessoas ou

acesso físico veículos em uma área protegida por meio de autenticação e autorização em
[SP 800-116] pontos de controle de acesso.
plano de ação e Um documento que identifica tarefas que precisam ser realizadas.
conquistas Ele detalha os recursos necessários para cumprir os elementos do plano, os
marcos para cumprir as tarefas e as datas programadas de conclusão dos
marcos.
dispositivo de armazenamento portátil Um componente do sistema que pode se comunicar e ser adicionado ou removido
de um sistema ou rede e que é limitado ao armazenamento de dados - incluindo
dados de texto, vídeo, áudio ou imagem - como sua função principal (por exemplo,
discos ópticos, discos rígidos externos ou removíveis). unidades de estado sólido
externas ou removíveis, fitas magnéticas ou ópticas, dispositivos de memória flash,
cartões de memória flash e outros discos externos ou removíveis).
impacto potencial Pode-se esperar que a perda de confidencialidade, integridade ou

[FIPS 199] disponibilidade tenha um efeito adverso limitado (Publicação FIPS 199 baixa); um
efeito adverso grave (Publicação FIPS 199 moderado); ou um efeito adverso
grave ou catastrófico (Publicação FIPS 199 alta) nas operações organizacionais,
ativos organizacionais ou indivíduos.
arquitetura de privacidade Uma parte integrante e incorporada da arquitetura empresarial que descreve a
[SP 800-37] estrutura e o comportamento dos processos de proteção de privacidade, medidas
técnicas, pessoal e subunidades organizacionais de uma empresa,
mostrando seu alinhamento com a missão e os planos estratégicos da
empresa.

e
g
_________________________________________________________________________________________________
pe
E controle de privacidade
[OMB A-130]
linha de base de controle de privacidade
domínio de privacidade
avaliação de impacto
As salvaguardas administrativas, técnicas e físicas empregadas em uma agência para garantir a
conformidade com os requisitos de privacidade aplicáveis e gerenciar os riscos de privacidade.
O conjunto de controles de privacidade selecionados com base nos critérios de seleção
de privacidade que fornecem um ponto de partida para a adaptação
processo.
Um domínio que implementa uma política de privacidade.
Uma análise de como as informações são tratadas para garantir que o tratamento esteja em
na privacidade conformidade com os requisitos legais, regulatórios e políticos aplicáveis em relação à privacidade;
[OMB A-130] determinar os riscos e efeitos da criação, coleta, uso, processamento, armazenamento,
manutenção, disseminação, divulgação e descarte de informações em forma identificável em um
sistema eletrônico de informações; e examinar e avaliar proteções e processos alternativos para
lidar com informações para mitigar possíveis preocupações com a privacidade. Uma
avaliação de impacto na privacidade é tanto uma análise como um documento formal que detalha
o processo e o resultado da análise.
plano de privacidade Um documento formal que detalha os controles de privacidade selecionados para um sistema de
[OMB A-130] informação ou ambiente de operação que estão em vigor ou planejados para atender aos
requisitos de privacidade aplicáveis e gerenciar riscos de privacidade, detalha como os
controles foram implementados e descreve as metodologias e métricas que serão usado para
avaliar os controles.
plano de programa de privacidade Um documento formal que fornece uma visão geral do programa de privacidade de uma
[OMB A-130] agência, incluindo uma descrição da estrutura do programa de privacidade, os recursos
dedicados ao programa de privacidade, o papel do funcionário sênior da agência para
privacidade e de outros funcionários e funcionários de privacidade, a estratégia estratégica
metas e objetivos do programa de privacidade e os controles de gerenciamento do
programa e controles comuns em vigor ou planejados para atender aos
requisitos de privacidade aplicáveis e gerenciar riscos de privacidade.
conta privilegiada Uma conta do sistema com as autorizações de um usuário privilegiado.
comando privilegiado Um comando iniciado por humanos e executado em um sistema que envolve
o controle, monitoramento ou administração do sistema, incluindo funções de segurança
e informações relevantes para a segurança associadas.
usuário privilegiado Um usuário autorizado (e, portanto, confiável) para executar funções relevantes para a
[CNSSI 4009] segurança que usuários comuns não estão autorizados a executar.

e
g
_________________________________________________________________________________________________
pe
E sistema de distribuição
protegido
[CNSSI 4009]
proveniência
Sistema de cabo ou fibra óptica que inclui proteções e/ou contramedidas
adequadas (por exemplo, acústicas, elétricas,
eletromagnéticas e físicas) para permitir seu uso para a transmissão
de informações não criptografadas através de uma área de menor
classificação ou controle.
A cronologia da origem, desenvolvimento, propriedade, localização e alterações

em um sistema ou componente do sistema e dados associados. Também
pode incluir o pessoal e os processos usados para interagir ou fazer
modificações no sistema, componente ou dados associados.
infraestrutura de chave pública A arquitetura, organização, técnicas, práticas e procedimentos que

[CNSSI 4009] apoiam coletivamente a implementação e operação de um sistema
criptográfico de chave pública baseado em certificado.
Estrutura estabelecida para emitir, manter e revogar certificados de chave
pública.
purga Um método de sanitização que aplica técnicas físicas ou lógicas que

[SP 800-88] tornam inviável a recuperação de dados alvo usando técnicas laboratoriais
de última geração.
reciprocidade Acordo entre as organizações participantes para aceitarem as avaliações

[SP 800-37] de segurança umas das outras para reutilizar recursos do sistema e/ou
aceitarem a postura de segurança avaliada umas das outras para
compartilhar informações.
registros Todas as informações registradas, independentemente da forma ou

[OMB A-130] características, feitas ou recebidas por uma agência federal sob a lei federal
ou em conexão com a transação de negócios públicos e preservadas ou
apropriadas para preservação por essa agência ou seu sucessor legítimo
como prova da organização, funções, políticas, decisões, procedimentos,
operações ou outras atividades do
Governo dos Estados Unidos ou devido ao valor informativo
de dados neles.
exercício da equipe vermelha Um exercício que reflete as condições do mundo real e é conduzido como uma
tentativa simulada de adversário para comprometer missões organizacionais
ou processos de negócios e fornecer uma avaliação abrangente das
capacidades de segurança de uma organização e de seus sistemas.
monitor de referência Um conjunto de requisitos de design para um mecanismo de

validação de referência que, como componente chave de um sistema
operacional, impõe uma política de controle de acesso a todos os sujeitos e
objetos. Um mecanismo de validação de referência é sempre invocado (ou seja,
mediação completa), inviolável e pequeno o suficiente para ser sujeito a
análises e testes, cuja integridade pode ser garantida (ou seja, verificável).

e
g
_________________________________________________________________________________________________
pe
E regrader
[CNSSI 4009]
acesso remoto
manutenção remota
Um processo confiável explicitamente autorizado a reclassificar e renomear dados
de acordo com uma exceção de política definida. Processos não confiáveis ou não
autorizados são ações da política de segurança.
Acesso a um sistema organizacional por um usuário (ou um processo agindo em

nome de um usuário) comunicando-se através de uma rede externa.
Atividades de manutenção realizadas por indivíduos que se comunicam através de

uma rede externa.
ataque de repetição Um ataque no qual o invasor é capaz de reproduzir mensagens capturadas

[SP 800-63-3] anteriormente (entre um reclamante legítimo e um
Verificador) para se disfarçar como o Requerente do Verificador ou vice
vice-versa.
resistência à repetição Proteção contra a captura de informações de autenticação ou controle de acesso

transmitidas e sua posterior retransmissão com a intenção de produzir efeito
não autorizado ou obter acesso não autorizado.
resiliência A capacidade de um sistema de informação funcionar sob condições adversas

[OMB A-130] ou de tensão, mesmo que num estado degradado ou debilitado, mantendo ao
mesmo tempo capacidades operacionais essenciais, e recuperar para uma
postura operacional eficaz num período de tempo consistente com as
necessidades da missão.
dados restritos Todos os dados relativos a (i) projeto, fabricação ou utilização de armas
[ATOM54] atômicas; (ii) a produção de materiais nucleares especiais; ou (iii) o uso de
materiais nucleares especiais na produção de energia, mas não incluirá dados
desclassificados ou removidos da categoria de Dados Restritos de acordo com a
Seção 142 [da Lei de Energia Atômica de 1954].
risco Uma medida da medida em que uma entidade está ameaçada por uma
[OMB A-130] circunstância ou evento potencial, e normalmente é uma função de: (i) o impacto
adverso, ou magnitude do dano, que surgiria se a circunstância ou evento
ocorresse; e (ii) a probabilidade de
ocorrência.
avaliação de risco O processo de identificação de riscos para as operações organizacionais

[SP 800-39] (incluindo missão, funções, imagem, reputação), ativos organizacionais, indivíduos,
[IR 8062, adaptado] outras organizações e a Nação, resultantes da operação de um sistema.
A gestão de riscos inclui análises de ameaças e vulnerabilidades, bem como

análises de efeitos adversos sobre os indivíduos decorrentes do processamento
de informações e considera as mitigações fornecidas pelos controles de
segurança e privacidade planejados ou em vigor. Sinônimo de análise de risco.

e
g
_________________________________________________________________________________________________
pe
E executivo de risco (função)
[SP 800-37]
Um indivíduo ou grupo dentro de uma organização que ajuda a garantir que as
considerações relacionadas ao risco de segurança para sistemas individuais,
incluindo as decisões de autorização para esses sistemas, sejam vistas de
uma perspectiva de toda a organização no que diz respeito às metas e objetivos
estratégicos gerais da organização no desempenho da sua missão e funções
empresariais; e o gerenciamento de riscos de sistemas individuais é consistente em
toda a organização, reflete a tolerância ao risco organizacional e é considerado
juntamente com outros riscos organizacionais que afetam a missão ou o sucesso do
negócio.
gerenciamento de riscos O programa e os processos de apoio para gerir o risco para as operações da agência
[OMB A-130] (incluindo missão, funções, imagem, reputação), activos da agência, indivíduos,
outras organizações e a Nação, e inclui: estabelecer o contexto para actividades
relacionadas com o risco; avaliação de risco; responder ao risco uma vez determinado;
e monitorar o risco ao longo do tempo.
mitigação de risco Priorizar, avaliar e implementar os controles/contramedidas de redução de risco

[CNSSI 4009] apropriados recomendados no processo de gerenciamento de riscos.
resposta ao risco Aceitar, evitar, mitigar, compartilhar ou transferir riscos para operações de agências,
[OMB A-130] ativos de agências, indivíduos, outras organizações ou para a Nação.
tolerância de risco O nível de risco ou o grau de incerteza que é aceitável para uma organização.
[SP 800-39]
controle de acesso baseado em funções Controle de acesso baseado em funções de usuário (ou seja, uma coleção de acesso
autorizações que um usuário recebe com base em uma suposição explícita ou
implícita de uma determinada função). As permissões de função podem ser herdadas
por meio de uma hierarquia de funções e normalmente refletem as permissões
necessárias para executar funções definidas dentro de uma organização. Uma
determinada função pode ser aplicada a um único indivíduo ou a vários indivíduos.
tempo de execução O período durante o qual um programa de computador está em execução.
higienização Um processo para tornar inviável o acesso a dados alvo na mídia para um determinado
[SP 800-88] nível de esforço. Limpar, limpar e destruir são ações que podem ser tomadas para
higienizar a mídia.
considerações de escopo Uma parte da orientação de adaptação que fornece às organizações considerações
específicas sobre a aplicabilidade e implementação de controles de segurança e
privacidade nas linhas de base de controle.
As considerações incluem políticas ou regulatórias, tecnologia, infraestrutura física,
alocação de componentes do sistema, acesso público, escalabilidade, controle
comum, operacional ou ambiental e objetivo de segurança.

e
g
_________________________________________________________________________________________________
pe
E segurança
[CNSSI 4009]
atributo de segurança
Condição que resulta do estabelecimento e manutenção de medidas de
proteção que permitem a uma organização desempenhar a sua missão ou funções críticas,
apesar dos riscos colocados pelas ameaças à sua utilização de sistemas. As medidas de
proteção podem envolver uma combinação de dissuasão, prevenção, prevenção,
detecção, recuperação e correção que devem fazer parte da abordagem de gestão de
riscos da organização.
Uma abstração que representa as propriedades ou características básicas

de uma entidade no que diz respeito à proteção de informações. Normalmente
associado a estruturas de dados internas -
incluindo registros, buffers e arquivos dentro do sistema – e usados para permitir a

implementação de políticas de controle de acesso e controle de fluxo; refletir instruções
especiais de divulgação, manuseio ou distribuição; ou apoiar outros aspectos da
política de segurança da informação.
categorização de segurança O processo de determinação da categoria de segurança de informações ou de um sistema.

As metodologias de categorização de segurança são descritas na Instrução CNSS 1253
para sistemas de segurança nacional e na Publicação FIPS 199 para outros sistemas
que não de segurança nacional.
Consulte categoria de segurança.
categoria de segurança A caracterização da informação ou de um sistema de informação com base numa

[OMB A-130] avaliação do impacto potencial que uma perda de confidencialidade, integridade ou
disponibilidade de tal informação ou sistema de informação teria nas operações da
agência, nos activos da agência, nos indivíduos, em outras organizações e na Nação.
controle de segurança As salvaguardas ou contramedidas prescritas para um sistema de

[OMB A-130] informação ou uma organização para proteger a confidencialidade,
integridade e disponibilidade do sistema e de suas informações.
linha de base de controle de segurança O conjunto de controles mínimos de segurança definidos para um sistema de informação
[OMB A-130] de baixo impacto, moderado ou alto impacto.
domínio de segurança Um domínio que implementa uma política de segurança e é administrado por uma única
[CNSSI 4009] autoridade.
funcionalidade de segurança Os recursos, funções, mecanismos, serviços, procedimentos e arquiteturas relacionados

à segurança implementados nos sistemas de informação organizacionais
ou nos ambientes em que esses sistemas operam.
funções de segurança O hardware, software ou firmware do sistema responsável por aplicar a política de
segurança do sistema e apoiar o isolamento de código e dados nos quais a
proteção se baseia.
análise de impacto de segurança A análise conduzida por pessoal qualificado dentro de uma organização para determinar
[SP 800-128] até que ponto as alterações no sistema afetam a postura de segurança do sistema.

e
g
_________________________________________________________________________________________________
pe
E núcleo de segurança
[CNSSI 4009]
etiqueta de segurança
marcação de segurança
Elementos de hardware, firmware e software de uma base de computação confiável
que implementa o conceito de monitor de referência.
O kernel de segurança deve mediar todos os acessos, ser protegido contra modificações e
ser verificável como correto.
O meio usado para associar um conjunto de atributos de segurança a um objeto de informação
específico como parte da estrutura de dados desse objeto.
O meio usado para associar um conjunto de atributos de segurança a objetos em um
formato legível por humanos, a fim de permitir a aplicação organizacional e
baseada em processos de políticas de segurança da informação.
objetivo de segurança Confidencialidade, integridade ou disponibilidade.

[FIPS 199]
plano de segurança Um documento formal que fornece uma visão geral dos requisitos de segurança para um
sistema de informação ou programa de segurança da informação e descreve os controles
de segurança implementados ou planejados para atender a esses requisitos. O plano de
segurança do sistema descreve os componentes do sistema incluídos no sistema, o ambiente
no qual o sistema opera, como os requisitos de segurança são implementados e os
relacionamentos ou conexões com outros sistemas.
Consulte o plano de segurança do sistema.
política de segurança Um conjunto de critérios para a prestação de serviços de segurança.
[SP 800-160-1 adaptado] Um conjunto de regras que rege todos os aspectos do sistema relevante para a segurança e do
comportamento dos componentes do sistema.
filtro de política de segurança Um componente de hardware e/ou software que executa uma ou mais das seguintes funções:
verificação de conteúdo para garantir o tipo de dados do conteúdo enviado; inspeção de
conteúdo para analisar o conteúdo enviado e verificar se está de acordo com uma política
definida; verificador de conteúdo malicioso que avalia o conteúdo em busca de código
malicioso; verificador de atividades suspeitas que avalia ou executa o conteúdo de maneira
segura, como em uma caixa de areia ou câmara de detonação e monitora atividades

suspeitas; ou sanitização, limpeza e transformação de conteúdo, que modifica o conteúdo
enviado para cumprir uma política definida.

e
g
_________________________________________________________________________________________________
pe
E requisito de segurança
[FIPS 200, Adaptado]
Um requisito imposto a um sistema de informação ou a uma organização
derivado de leis, ordens executivas, diretivas, regulamentos, políticas, padrões,
procedimentos ou necessidades de missão/negócio aplicáveis para garantir a
confidencialidade, integridade e disponibilidade das informações que estão
sendo processadas. , armazenado ou transmitido.
Nota: Os requisitos de segurança podem ser usados em vários contextos, desde atividades
de alto nível relacionadas a políticas até atividades de baixo nível relacionadas à implementação
em desenvolvimento de sistemas e disciplinas de engenharia.
serviço de segurança Uma capacidade ou função de segurança fornecida por uma entidade que suporta
[SP 800-160-1] um ou mais objetivos de segurança.
informações relevantes Informações contidas no sistema que possam impactar potencialmente a operação das
para a segurança funções de segurança ou a prestação de serviços de segurança de uma maneira
que possa resultar na falha na aplicação do
política de segurança do sistema ou manter o isolamento de código e dados.
operação de seleção Um parâmetro de controle que permite que uma organização selecione um valor de uma lista
de valores predefinidos fornecidos como parte do controle ou aprimoramento de controle (por
exemplo, selecionando restringir uma ação ou proibir uma ação).
Consulte operação de atribuição e parâmetro de controle definido pela organização.
oficial sênior de Oficial responsável por desempenhar as responsabilidades do Diretor de Informações sob a
segurança da informação FISMA e servir como principal contato do Diretor de Informações com os
da agência gestores orçamentários da agência, proprietários de sistemas de informação e oficiais de
segurança de sistemas de informações.
Nota: As organizações subordinadas a agências federais podem usar o termo oficial sênior de
segurança da informação ou diretor de segurança da informação para denotar indivíduos
que ocupam cargos com responsabilidades semelhantes às dos oficiais seniores de
segurança da informação da agência.
funcionário sênior da agência Funcionário sênior, designado pelo chefe de cada agência, que tem responsabilidade pela
para privacidade privacidade em toda a agência, incluindo a implementação de proteções de privacidade;
[OMB A-130] conformidade com leis, regulamentos e políticas federais relacionadas à
privacidade; gestão de riscos de privacidade na agência; e um papel central na
formulação de políticas no desenvolvimento e avaliação de propostas legislativas,
regulatórias e outras propostas políticas pela agência.
oficial sênior de segurança Consulte o oficial sênior de segurança da informação da agência.

da informação
informações compartimentadas Informações classificadas relativas ou derivadas de fontes, métodos ou processos

sensíveis analíticos de inteligência, que devem ser tratadas dentro de sistemas formais de controle
[CNSSI 4009] de acesso estabelecidos pelo Diretor de Inteligência Nacional.

e
g
_________________________________________________________________________________________________
pe
E orientado a serviço
arquitetura
controle compartilhado
Programas
Um conjunto de princípios e metodologias para projetar e desenvolver software
na forma de serviços interoperáveis. Esses serviços são funções de negócios bem definidas
que são construídas como componentes de software (isto é, partes discretas de
código e/ou estruturas de dados) que podem ser reutilizadas para diferentes propósitos.
Um controle de segurança ou privacidade implementado para um sistema de

informação, em parte como um controle comum e em parte como um controle específico
do sistema. Consulte controle híbrido.
Programas de computador e dados associados que podem ser escritos ou

[CNSSI 4009] modificados dinamicamente durante a execução.
Spam O abuso de sistemas de mensagens eletrônicas para enviar indiscriminadamente

mensagens em massa não solicitadas.
programa de acesso especial Um programa estabelecido para uma classe específica de informação
[CNSSI 4009] classificada que impõe requisitos de salvaguarda e acesso que excedem aqueles
normalmente exigidos para informações do mesmo nível de classificação.
tunelamento dividido O processo de permitir que um usuário ou dispositivo remoto estabeleça uma conexão
não remota com um sistema e simultaneamente comunique-se através de alguma
outra conexão com um recurso em um
rede externa. Este método de acesso à rede permite que um usuário
acessar dispositivos remotos e, simultaneamente, acessar redes não

controladas.
spyware Software que é instalado secreta ou sub-repticiamente num sistema de informação

para recolher informações sobre indivíduos ou organizações sem o seu
conhecimento; um tipo de código malicioso.
assunto Um indivíduo, processo ou dispositivo que faz com que informações fluam entre objetos
ou alterem o estado do sistema. Veja também objeto.
subsistema Uma subdivisão ou componente principal de um sistema de informação que consiste

em informação, tecnologia da informação e pessoal que executa uma ou
mais funções específicas.
fornecedor Organização ou pessoa física que celebra contrato com o adquirente ou integrador
para fornecimento de produto ou serviço.
Isto inclui todos os fornecedores da cadeia de abastecimento, desenvolvedores ou
fabricantes de sistemas, componentes de sistemas ou serviços de sistemas;
integradores de sistemas; vendedores; revendedores de produtos; e parceiros terceiros.
cadeia de mantimentos Conjunto vinculado de recursos e processos entre vários níveis de organizações,
cada um dos quais é um adquirente, que começa com o fornecimento de produtos e
serviços e se estende ao longo de seu ciclo de vida.

e
g
_________________________________________________________________________________________________
pe
E elemento da cadeia de suprimentos
risco da cadeia de abastecimento

Organizações, entidades ou ferramentas empregadas para pesquisa e desenvolvimento,
projeto, fabricação, aquisição, entrega, integração, operações e manutenção e
descarte de sistemas e componentes de sistemas.
O potencial de dano ou comprometimento que surge como resultado de riscos de

segurança de fornecedores, suas cadeias de fornecimento e seus produtos ou
serviços. Os riscos da cadeia de abastecimento incluem exposições, ameaças
e vulnerabilidades associadas aos produtos e serviços que atravessam a cadeia de
abastecimento, bem como as exposições, ameaças e vulnerabilidades à cadeia de
abastecimento.
avaliação de risco da Um exame sistemático dos riscos da cadeia de abastecimento, probabilidades da

cadeia de abastecimento sua ocorrência e potenciais impactos.
gerenciamento de risco Um processo sistemático para gerenciar exposições, ameaças e vulnerabilidades

da cadeia de suprimentos aos riscos da cadeia de abastecimento cibernética em toda a cadeia de abastecimento
e desenvolver estratégias de resposta aos riscos apresentados pelo fornecedor,
pelos produtos e serviços fornecidos ou pela cadeia de abastecimento.
sistema Qualquer conjunto organizado de recursos e procedimentos unidos e regulados pela

[CNSSI 4009] interação ou interdependência para realizar um conjunto de funções específicas.
Nota: Os sistemas também incluem sistemas especializados, como sistemas de

controle industrial, sistemas de comutação telefônica e central telefônica privada (PBX) e
sistemas de controle ambiental.
[ISO 15288] Combinação de elementos interativos organizados para atingir um ou mais propósitos
declarados.
Nota 1: Existem muitos tipos de sistemas. Os exemplos incluem: sistemas de

informação para fins gerais e especiais; sistemas de comando, controle e comunicação;
módulos criptográficos; unidade central de processamento e placas de
processamento gráfico; sistemas de controle industrial; sistemas de controle de voo;
armas, direcionamento e sistemas de controle de fogo; dispositivos médicos e
sistemas de tratamento; sistemas de transações financeiras, bancárias e de
merchandising; e sistemas de redes sociais.
Nota 2: Os elementos de interação na definição de sistema incluem hardware, software,
dados, humanos, processos, instalações, materiais e entidades físicas que ocorrem
naturalmente.
Nota 3: Sistema de sistemas está incluído na definição de sistema.
componente do sistema Um ativo de tecnologia da informação identificável e discreto que representa

[SP 800-128] um bloco de construção de um sistema e pode incluir hardware, software e
firmware.
sistema de registros Um grupo de quaisquer registros sob o controle de qualquer agência da qual as
[USC 552] informações são recuperadas pelo nome do indivíduo ou por algum número de
identificação, símbolo ou outra identificação específica atribuída ao indivíduo.
notificação do sistema de registros O(s) aviso(s) publicado(s) por uma agência no Registro Federal mediante o
[OMB A-108] estabelecimento e/ou modificação de um sistema de registros descrevendo a
existência e o caráter do sistema.

e
g
_________________________________________________________________________________________________
pe
E proprietário do sistema
(ou gerente do programa)
sistema
oficial de segurança
[SP 800-37]
plano de segurança do sistema
serviço do sistema
Oficial responsável pela aquisição geral, desenvolvimento, integração, modificação, operação
e manutenção de um sistema.
Indivíduo com responsabilidade atribuída para manter a postura de segurança
operacional apropriada para um sistema ou
programa.
Consulte plano de segurança.
Capacidade fornecida por um sistema que facilita o processamento, armazenamento ou
transmissão de informações.
risco de segurança relacionado ao Risco que surge através da perda de confidencialidade, integridade ou disponibilidade de
sistema informações ou sistemas e que considera impactos para a organização (incluindo ativos, missão,
[SP 800-30] funções, imagem ou reputação), indivíduos, outras organizações e a Nação.
Veja risco.
controle específico do sistema Um controle de segurança ou privacidade para um sistema de informação que é
[OMB A-130] implementado no nível do sistema e não é herdado por nenhum outro sistema de
informação.
Engenharia de sistemas Uma disciplina de engenharia cuja responsabilidade é criar e executar um processo
[SP 800-160-1] interdisciplinar para garantir que as necessidades do cliente e de todas as outras
partes interessadas sejam satisfeitas de maneira confiável, de alta qualidade, econômica e em
conformidade com o cronograma durante todo o ciclo de vida do sistema.
engenharia de Um campo especializado da engenharia fortemente relacionado à engenharia de
segurança de sistemas sistemas. Aplica princípios científicos, de engenharia e de garantia de informações para
[SP 800-160-1] fornecer sistemas confiáveis que satisfaçam os requisitos das partes interessadas dentro da
tolerância ao risco estabelecida.
linha de base de controle sob medida Um conjunto de controles que resulta da aplicação de adaptação
orientação para uma linha de base de controle. Veja alfaiataria.
alfaiataria O processo pelo qual as linhas de base do controle de segurança são modificadas: identificando
e designando controles comuns, aplicando considerações de escopo sobre a aplicabilidade e
implementação dos controles de linha de base, selecionando controles de segurança
compensatórios,
atribuir valores específicos a parâmetros de controle de segurança definidos pela organização,
complementando linhas de base com controles de segurança adicionais ou melhorias de
controle e fornecendo informações de especificação adicionais para implementação de
controle.
adulteração Um ato intencional, mas não autorizado, que resulta na modificação de um sistema, de
[CNSSI 4009] componentes de sistemas, de seu comportamento pretendido ou de dados.

e
g
_________________________________________________________________________________________________
pe
E ameaça
[SP 800-30]
avaliação de ameaça
[CNSSI 4009]
modelagem de ameaças
[SP 800-154]
Qualquer circunstância ou evento com potencial para impactar
negativamente as operações organizacionais, os ativos organizacionais,
os indivíduos, outras organizações ou a Nação através de um sistema através
de acesso não autorizado, destruição, divulgação, modificação de informações e/
ou negação de serviço.
Descrição formal e avaliação de ameaças a um sistema de informação.
Uma forma de avaliação de risco que modela aspectos dos lados de ataque e
defesa de uma entidade lógica, como um dado, um aplicativo, um host,
um sistema ou um ambiente.
fonte de ameaça A intenção e o método direcionados à exploração intencional de uma

[FIPS200] vulnerabilidade ou de uma situação e método que possa
desencadear acidentalmente uma vulnerabilidade. Consulte agente de ameaça.
transmissão O estado que existe quando as informações são enviadas eletronicamente

[CNSSI 4009] de um local para um ou mais locais.
caminho confiável Um mecanismo pelo qual um usuário (através de um dispositivo de entrada)

pode comunicar-se diretamente com as funções de segurança do sistema com
a confiança necessária para apoiar a política de segurança do sistema. Este
mecanismo só pode ser ativado pelo usuário ou pelas funções de segurança
do sistema e não pode ser imitado por software não confiável.
confiabilidade O atributo de uma pessoa ou empresa que proporciona confiança a outros sobre
[CNSSI 4009] as qualificações, capacidades e confiabilidade dessa entidade para executar
tarefas específicas e cumprir as responsabilidades atribuídas.
confiabilidade
O grau em que se pode esperar que um sistema de informação (incluindo
(sistema)
os componentes de tecnologia da informação usados para construir o sistema)
preserve a confidencialidade, integridade e disponibilidade da
informação que está sendo processada, armazenada ou transmitida pelo
sistema em toda a gama de ameaças. Acredita-se que um sistema de
informação confiável opera dentro de níveis definidos de risco, apesar das
perturbações ambientais, erros humanos, falhas estruturais e
ataques intencionais que se espera que ocorram no seu ambiente de
operação.
do utilizador
Processo individual ou (de sistema) que atua em nome de um indivíduo,
autorizado a acessar um sistema.
Consulte usuário organizacional e usuário não organizacional.
rede privada virtual Link protegido do sistema de informações utilizando tunelamento, controles
[CNSSI 4009] de segurança e tradução de endereços de endpoint, dando a impressão de uma
linha dedicada.

e
g
_________________________________________________________________________________________________
pe
E vulnerabilidade
[SP 800-30]
análise de vulnerabilidade
avaliação de vulnerabilidade
[CNSSI 4009]
Fraqueza num sistema de informação, procedimentos de segurança do sistema,
controlos internos ou implementação que pode ser explorada ou desencadeada
por uma fonte de ameaça.
Consulte avaliação de vulnerabilidade.
Exame sistemático de um sistema ou produto de informação para determinar a

adequação das medidas de segurança, identificar deficiências de segurança,
fornecer dados para prever a eficácia das medidas de segurança
propostas e confirmar a adequação de tais medidas após a implementação.

e
g
_________________________________________________________________________________________________
pe
E APÊNDICE B
ACRÔNIMOS
ABREVIATURAS COMUNS
ABAC
API
APTO
Controle de acesso baseado em atributos
Interface de programação de aplicativos
Ameaça persistente avançada
BGP Protocolo de gateway de fronteira
BIOS Sistema Básico de Entrada e Saída
QUE Autoridade de Certificação/Autoridades de Certificação
CAC Cartão de Acesso Comum
CAVP Programa de validação de algoritmo criptográfico
CD Disco Compacto
CD-R Disco compacto gravável
CIPSEA Lei de Proteção de Informações Confidenciais e Eficiência Estatística
CERTO Equipe de resposta a incidentes de computador
CISA Agência de Segurança Cibernética e Infraestrutura
CMVP Programa de validação de módulo criptográfico
CNSSD Comitê da Diretiva de Sistemas de Segurança Nacional
CNSSI Comitê de Instrução de Sistemas de Segurança Nacional
CNSSP Comitê de Política de Sistemas de Segurança Nacional
Conceito de Operações CONOPS
QUAL Informações não classificadas controladas
CVE Vulnerabilidades e exposições comuns
CVSS Sistema comum de pontuação de vulnerabilidade
CWE Enumeração de fraquezas comuns
DHCP Protocolo de configuração de host dinâmico
DMZ Zona desmilitarizada
DNS Sistema de nomes de domínio
DNSSEC Extensões de segurança do sistema de nomes de domínio
Departamento de Defesa
Departamento de Defesa
DSB Conselho de Ciência de Defesa
DVD Disco Digital Versátil
APÊNDICE B PÁGINA 424

e
g
_________________________________________________________________________________________________
pe
E DVD-R
PAE
PEM
EMSEC
FASC
FCCA
FCC
Disco digital versátil gravável
Protocolo de autenticação extensível
Pulso eletromagnetico
Segurança de Emissões
Conselho de Segurança de Aquisição Federal
Autoridade Federal de Certificação de Ponte
Comissão Federal de Comunicações
FICAM Gerenciamento federal de identidade, credenciais e acesso
FIPPs Princípios de práticas de informação justa
FIPS Padrões Federais de Processamento de Informações
FISMA Lei Federal de Modernização da Segurança da Informação
FOCOS Propriedade, controle ou influência estrangeira
FOIA Lei de Liberdade de Informação
FTP Protocolo de transferência de arquivos
GMT Horário de Greenwich
GPS Sistema de Posicionamento Global
GSA Administração de Serviços Gerais
HSPD Diretiva Presidencial de Segurança Interna
HTTP Protocolo de Transferência de Hipertexto
ICS Sistema de Controle Industrial
IEEE Instituto de Engenheiros Elétricos e Eletrônicos
E/S Entrada/Saída
COI Indicadores de compromisso
IoT Internet das Coisas
PI protocolo de internet
E Relatório Interagências ou Relatório Interno
ISACA Centros de Compartilhamento e Análise de Informações
ISAO Organizações de compartilhamento e análise de informações
ISTO
Tecnologia da Informação
ITL Laboratório de Tecnologia da Informação
MAC Controle de acesso de mídia
MLS Seguro multinível
MTTF Tempo médio para falha

e
g
_________________________________________________________________________________________________
pe
E NARA
OTAN
NDA
PNIAP
LEGAL
NIST
Administração Nacional de Arquivos e Registros
Organização do Tratado do Atlântico Norte
Acordo de não divulgação
Parceria Nacional de Garantia de Informação
Iniciativa Nacional para Educação em Cibersegurança
Instituto Nacional de Padrões e Tecnologia
NOFORN não pode ser liberado para estrangeiros
NSA Agencia de Segurança Nacional
NVD Banco de dados nacional de vulnerabilidades
ODNI Gabinete do Diretor de Inteligência Nacional
OMB Escritório de Gestão e Orçamento
OPM Escritório de Gestão de Pessoal
OPSEC Segurança Operacional
OVAL Vulnerabilidade aberta e linguagem de avaliação
PDF Formato de Documento Portátil
PDS Sistema de designação de posição
Informações de identificação pessoal
Informação pessoalmente identificável
ALFINETE Número de identificação pessoal
COMPARAÇÃO
Verificação de identidade pessoal
PIV-I Verificação de identidade pessoal – interoperável
PKI Infraestrutura de chave pública
RBAC Controle de acesso baseado em função
DR Dados restritos
RFID Identificação de rádio frequencia
RFP Solicitação de Proposta
RPKI Infraestrutura de chave pública de recursos
SEIVA Programa de Acesso Especial
SCAP Protocolo de automação de conteúdo de segurança
SIC Informações Compartimentadas Sensíveis
SCIF Instalação de informações compartimentadas sensíveis
SCRM Gestão de Risco da Cadeia de Suprimentos
SDLC Ciclo de vida de desenvolvimento de sistema
SIM Informações de segurança e gerenciamento de eventos

e
g
_________________________________________________________________________________________________
pe
E Nós somos
SMTP
SOC
SP
ESTÁGIO
SWID
TCP
Especialista no assunto
Protocolo de transferência de correio simples
Centro de operações de segurança
Publicação Especial
Guia de implementação técnica de segurança
Identificação de Software
protocolo de Controle de Transmissão
TCP/IP Protocolo de controle de transmissão/protocolo de Internet
TIC Conexões de Internet confiáveis
TLS Segurança da camada de transporte
TPM Módulo de plataforma confiável
TSP Prioridade de serviço de telecomunicações
UEFI Interface de firmware extensível unificada
UPS Fonte de energia ininterrupta
USGCB Linha de base de configuração do governo dos Estados Unidos
USB barramento serial universal
UTC Tempo Universal Coordenado
VoIP Voz sobre protocolo de Internet
VPN Rede Privada Virtual
WORM Grava uma vez, lê muitas
XML Extensible Markup Language

e
g
_________________________________________________________________________________________________
pe
E APÊNDICE C
RESUMOS DE CONTROLE
DESIGNAÇÕES DE IMPLEMENTAÇÃO, RETIRADA E GARANTIA
As Tabelas C-1 a C-20 fornecem um resumo dos controles de segurança e privacidade e melhorias de controle
no Capítulo Três. Cada tabela se concentra em uma família de controle diferente.
• Um controle ou aprimoramento de controle que foi retirado do catálogo de controle é

indicado por um “W” e uma explicação do controle ou disposição do aprimoramento do controle em texto cinza
claro.
• Um controle ou aprimoramento de controle que normalmente é implementado por um sistema de informação

através de meios técnicos é indicado por um “S” na coluna implementado por .
• Um controle ou aprimoramento de controle que normalmente é implementado por uma organização (ou seja, por
um indivíduo através de meios não técnicos) é indicado por um “O” no termo implementado por
coluna.35
• Um controle ou aprimoramento de controle que pode ser implementado por uma organização, um sistema ou
uma combinação dos dois é indicada por um “O/S”.
• Um controle ou aprimoramento de controle marcado com um “ÿ” na coluna de garantia indica o

o controle ou o aprimoramento do controle contribuem para fundamentar a confiança de que uma reivindicação
36
de segurança ou privacidade foi ou será alcançada.
Cada controle e aprimoramento de controle nas Tabelas C-1 a C-20 tem um hiperlink para o texto desse controle e
aprimoramento de controle no Capítulo Três.
As famílias de controles contêm controles básicos e aprimoramentos de controle, que estão diretamente relacionados
aos seus controles básicos. Os aprimoramentos de controle adicionam funcionalidade ou especificidade a um
controle básico ou aumentam a força de um controle básico. Em ambos os casos, melhorias de controle são utilizadas
em sistemas e ambientes de operação que requerem maior proteção do que a fornecida pelo controle base. Esta
maior proteção é necessária devido aos potenciais impactos adversos organizacionais ou individuais ou quando as
organizações exigem adições à funcionalidade de controle de base ou garantia com base em avaliações
organizacionais de risco. O uso de melhorias de controle sempre
requer o uso do controle base.
As famílias são organizadas em ordem alfabética, enquanto os controles e aprimoramentos de controle dentro de
cada família são organizados em ordem numérica. A ordem alfabética ou numérica das famílias, controles e
melhorias de controle não implica qualquer tipo de priorização, nível de
importância ou ordem em que os controles ou melhorias de controle serão implementados.
35 A indicação de que um determinado controle ou aprimoramento de controle é implementado por um sistema ou por uma
organização nas Tabelas C-1 a C-20 é fictícia. As organizações têm a flexibilidade para implementar seus controles selecionados e
melhorias de controle da maneira mais econômica e eficiente, ao mesmo tempo em que cumprem a intenção dos controles ou
melhorias de controle. Em certas situações, um controle ou aprimoramento de controle pode ser implementado pelo sistema,
pela organização ou por uma combinação das duas entidades.
36 A garantia é um aspecto crítico na determinação da confiabilidade dos sistemas. Segurança é a medida da confiança
que as funções, recursos, práticas, políticas, procedimentos, mecanismos e arquitetura de segurança e privacidade dos
sistemas organizacionais medeiam e aplicam com precisão as políticas de segurança e privacidade estabelecidas.
APÊNDICE C PÁGINA 428

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-1
AC-2
AC-2(1)
AC-2(2)
Política e Procedimentos
Gerenciamento de contas
TABELA C-1: FAMÍLIA DE CONTROLE DE ACESSO
NOME DO CONTROLE
NOME DA MELHORIA DE CONTROLE
GESTÃO DE CONTAS DE SISTEMA AUTOMATIZADO
GESTÃO AUTOMATIZADA DE CONTAS TEMPORÁRIAS E DE EMERGÊNCIA

IMPLEMENTADO
POR
S
GARANTIA
AC-2(3) DESATIVAR CONTAS S
AC-2(4) AÇÕES DE AUDITORIA AUTOMATIZADA S
AC-2(5) SAIR DE INATIVIDADE EIXO
AC-2(6) GESTÃO DINÂMICA DE PRIVILÉGIOS S
AC-2(7) CONTAS DE USUÁRIOS PRIVILEGIADOS O
AC-2(8) GESTÃO DINÂMICA DE CONTAS S
AC-2(9) RESTRIÇÕES AO USO DE CONTAS COMPARTILHADAS E DE GRUPO O
AC-2(10) MUDANÇA DE CREDENCIAL DE CONTA COMPARTILHADA E DE GRUPO W: Incorporado no AC-2k.
AC-2(11) CONDIÇÕES DE USO S
AC-2(12) MONITORAMENTO DE CONTA PARA USO ATÍPICO EIXO
AC-2(13) DESATIVAR CONTAS PARA INDIVÍDUOS DE ALTO RISCO O
AC-3 Aplicação de acesso S
AC-3(1) ACESSO RESTRITO A FUNÇÕES PRIVILEGIADAS W: Incorporado no AC-6.
AC-3(2) AUTORIZAÇÃO DUPLA S
AC-3(3) CONTROLE DE ACESSO OBRIGATÓRIO S
AC-3(4) CONTROLE DE ACESSO DISCRECIONÁRIO S
AC-3(5) INFORMAÇÕES RELEVANTES PARA A SEGURANÇA S
AC-3(6) PROTEÇÃO DE INFORMAÇÕES DO USUÁRIO E DO SISTEMA W: Incorporado em MP-4 e SC-28.
AC-3(7) CONTROLE DE ACESSO BASEADO EM FUNÇÃO EIXO
AC-3(8) REVOGAÇÃO DE AUTORIZAÇÕES DE ACESSO EIXO
AC-3(9) LANÇAMENTO CONTROLADO EIXO
AC-3(10) SUBSTITUIÇÃO AUDITADA DE MECANISMOS DE CONTROLE DE ACESSO O
AC-3(11) ACESSO RESTRITO A TIPOS DE INFORMAÇÕES ESPECÍFICAS S
AC-3(12) DECLARA E IMPLICA ACESSO AO APLICATIVO S
AC-3(13) CONTROLE DE ACESSO BASEADO EM ATRIBUTOS S
AC-3(14) ACESSO INDIVIDUAL S
AC-3(15) CONTROLE DE ACESSO DISCRICIONÁRIO E OBRIGATÓRIO S
AC-4 Aplicação do fluxo de informações S
AC-4(1) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE DO OBJETO S
AC-4(2) PROCESSANDO DOMÍNIOS S
AC-4(3) CONTROLE DINÂMICO DO FLUXO DE INFORMAÇÕES S
AC-4(4) CONTROLE DE FLUXO DE INFORMAÇÕES CRIPTOGRAFADAS S
AC-4(5) TIPOS DE DADOS INCORPORADOS S
AC-4(6) METADADOS S
AC-4(7) MECANISMOS DE FLUXO ÚNICO S
AC-4(8) FILTROS DE POLÍTICA DE SEGURANÇA E PRIVACIDADE S
AC-4(9) AVALIAÇÕES HUMANAS EIXO
AC-4(10) ATIVAR E DESATIVAR FILTROS DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE S

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-4(11)
AC-4(12)
AC-4(13)
AC-4(14)
AC-4(15)
IDENTIFICADORES DE TIPO DE DADOS
NOME DO CONTROLE
CONFIGURAÇÃO DE FILTROS DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE
DECOMPOSIÇÃO EM SUBCOMPONENTES RELEVANTES PARA A POLÍTICA
RESTRIÇÕES DE FILTRO DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE
DETECÇÃO DE INFORMAÇÕES NÃO SANCIONADAS

IMPLEMENTADO
POR
S
GARANTIA
AC-4(16) TRANSFERÊNCIAS DE INFORMAÇÕES EM SISTEMAS INTERLIGADOS W: Incorporado no AC-4.
AC-4(17) AUTENTICAÇÃO DE DOMÍNIO S
AC-4(18) VINCULAÇÃO DE ATRIBUTOS DE SEGURANÇA W: Incorporado no AC-16.
AC-4(19) VALIDAÇÃO DE METADADOS S
AC-4(20) SOLUÇÕES APROVADAS O
AC-4(21) SEPARAÇÃO FÍSICA OU LÓGICA DOS FLUXOS DE INFORMAÇÃO EIXO
AC-4(22) ACESSO SOMENTE S
AC-4(23) MODIFICAR INFORMAÇÕES NÃO LIBERÁVEIS EIXO
AC-4(24) FORMATO NORMALIZADO INTERNO S
AC-4(25) SANITIZAÇÃO DE DADOS S
AC-4(26) AÇÕES DE FILTRAGEM DE AUDITORIA EIXO
AC-4(27) MECANISMOS DE FILTRAGEM REDUNDANTES/INDEPENDENTES S
AC-4(28) TUBOS DE FILTRO LINEAR S
AC-4(29) MOTORES DE ORQUESTRAÇÃO DE FILTROS EIXO
AC-4(30) MECANISMOS DE FILTRO USANDO MÚLTIPLOS PROCESSOS S
AC-4(31) FALHA NA PREVENÇÃO DE TRANSFERÊNCIA DE CONTEÚDO S
AC-4(32) REQUISITOS DE PROCESSO PARA TRANSFERÊNCIA DE INFORMAÇÕES S
AC-5 Separação de deveres O
AC-6 Ultimo privilégio O
AC-6(1) AUTORIZAR ACESSO ÀS FUNÇÕES DE SEGURANÇA O
AC-6(2) ACESSO NÃO PRIVILEGIADO PARA FUNÇÕES NÃO SEGURANÇAS O
AC-6(3) ACESSO À REDE A COMANDOS PRIVILEGIADOS O
AC-6(4) DOMÍNIOS DE PROCESSAMENTO SEPARADOS EIXO
AC-6(5) CONTAS PRIVILEGIADAS O
AC-6(6) ACESSO PRIVILEGIADO DE USUÁRIOS NÃO ORGANIZACIONAIS O
AC-6(7) REVISÃO DOS PRIVILÉGIOS DO USUÁRIO O
AC-6(8) NÍVEIS DE PRIVILÉGIO PARA EXECUÇÃO DE CÓDIGO S
AC-6(9) LOG USO DE FUNÇÕES PRIVILEGIADAS S
AC-6(10) PROIBIR USUÁRIOS NÃO PRIVILEGIADOS DE EXECUTAR S
FUNÇÕES
AC-7 Tentativas de logon malsucedidas S
AC-7(1) BLOQUEIO AUTOMÁTICO DE CONTA W: Incorporado no AC-7.
AC-7(2) PURGUE OU LIMPE O DISPOSITIVO MÓVEL S
AC-7(3) LIMITAÇÃO DE TENTATIVA BIOMÉTRICA O
AC-7(4) USO DE FATOR DE AUTENTICAÇÃO ALTERNATIVO EIXO
AC-8 Notificação de uso do sistema EIXO
AC-9 Notificação de logon anterior S
AC-9(1) LOGONS SEM SUCESSO S

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-9(2)
AC-9(3)
AC-9(4)
AC-10
AC-11
NOME DO CONTROLE
LOGONS BEM SUCEDIDO E MAL SUCEDIDO
NOTIFICAÇÃO DE ALTERAÇÕES DE CONTA
INFORMAÇÕES ADICIONAIS DE LOGON
Controle de Sessão Simultânea
Bloqueio de dispositivo
IMPLEMENTADO
POR
S
GARANTIA
AC-11(1) DISPLAYS PARA OCULTAR PADRÕES S
AC-12 Encerramento da Sessão S
AC-12(1) LOGOUTS INICIADOS PELO USUÁRIO EIXO
AC-12(2) MENSAGEM DE RESCISÃO S
AC-12(3) MENSAGEM DE AVISO DE TEMPO LIMITE S
AC-13 Supervisão e Revisão-Controle de Acesso W: Incorporado em AC-2 e AU-6.
AC-14 Ações permitidas sem identificação ou O
Autenticação
AC-14(1) USOS NECESSÁRIOS W: Incorporado no AC-14.
AC-15 Marcação Automatizada W: Incorporado ao MP-3.
AC-16 Atributos de segurança e privacidade O
AC-16(1) ASSOCIAÇÃO DINÂMICA DE ATRIBUTOS S
AC-16(2) ALTERAÇÕES DE VALOR DE ATRIBUTOS POR INDIVÍDUOS AUTORIZADOS S
AC-16(3) MANUTENÇÃO DE ASSOCIAÇÕES DE ATRIBUTOS POR SISTEMA S
AC-16(4) ASSOCIAÇÃO DE ATRIBUTOS POR PESSOAS AUTORIZADAS S
AC-16(5) EXIBIÇÕES DE ATRIBUTOS EM OBJETOS A SEREM SAÍDAS S
AC-16(6) MANUTENÇÃO DA ASSOCIAÇÃO DE ATRIBUTOS O
AC-16(7) INTERPRETAÇÃO CONSISTENTE DE ATRIBUTOS O
AC-16(8) TÉCNICAS E TECNOLOGIAS DE ASSOCIAÇÃO S
AC-16(9) REMODELAÇÃO DE ATRIBUTOS – MECANISMOS DE REGRADAÇÃO O
AC-16(10) CONFIGURAÇÃO DE ATRIBUTOS POR INDIVÍDUOS AUTORIZADOS O
AC-17 Acesso remoto O
AC-17(1) MONITORAMENTO E CONTROLE EIXO
AC-17(2) PROTEÇÃO DE CONFIDENCIALIDADE E INTEGRIDADE USANDO CRIPTOGRAFIA S
AC-17(3) PONTOS DE CONTROLE DE ACESSO GERENCIADOS S
AC-17(4) COMANDOS E ACESSO PRIVILEGIADOS O
AC-17(5) MONITORAMENTO DE CONEXÕES NÃO AUTORIZADAS W: Incorporado no SI-4.
AC-17(6) PROTEÇÃO DE INFORMAÇÕES DO MECANISMO O
AC-17(7) PROTEÇÃO ADICIONAL PARA ACESSO ÀS FUNÇÕES DE SEGURANÇA W: Incorporado no AC-3(10).
AC-17(8) DESATIVAR PROTOCOLOS DE REDE NÃO SEGUROS W: Incorporado no CM-7.
AC-17(9) DESCONECTAR OU DESATIVAR O ACESSO O
AC-17(10) AUTENTICAR COMANDOS REMOTOS S
AC-18 Acesso sem fio O
AC-18(1) AUTENTICAÇÃO E CRIPTOGRAFIA S
AC-18(2) MONITORAMENTO DE CONEXÕES NÃO AUTORIZADAS W: Incorporado no SI-4.
AC-18(3) DESATIVAR REDE SEM FIO EIXO
AC-18(4) RESTRITAR CONFIGURAÇÕES POR USUÁRIOS O
AC-18(5) ANTENAS E NÍVEIS DE POTÊNCIA DE TRANSMISSÃO O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AC-19
AC-19(1)
AC-19(2)
AC-19(3)
AC-19(4)
NOME DO CONTROLE
Controle de acesso para dispositivos móveis
USO DE DISPOSITIVOS DE ARMAZENAMENTO GRAVÁVEIS E PORTÁTEIS
USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS DE PROPRIEDADE PESSOAL
USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS SEM PROPRIETÁRIO IDENTIFICÁVEL
RESTRIÇÕES PARA INFORMAÇÕES CLASSIFICADAS

IMPLEMENTADO
POR
W: Incorporado ao MP-7.
O
GARANTIA
AC-19(5) CRIPTOGRAFIA COMPLETA BASEADA EM DISPOSITIVO OU RECIPIENTE O
AC-20 Uso de Sistemas Externos O
AC-20(1) LIMITES DE USO AUTORIZADO O
AC-20(2) DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS — USO RESTRITO O
AC-20(3) SISTEMAS DE PROPRIEDADE NÃO ORGANIZACIONAL — USO RESTRITO O
AC-20(4) DISPOSITIVOS DE ARMAZENAMENTO ACESSÍVEIS EM REDE — USO PROIBIDO O
AC-20(5) DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS — USO PROIBIDO O
AC-21 Compartilhamento de informações O
AC-21(1) SUPORTE AUTOMATIZADO À DECISÃO S
AC-21(2) BUSCA E RECUPERAÇÃO DE INFORMAÇÕES S
AC-22 Conteúdo publicamente acessível O
AC-23 Proteção de mineração de dados O
AC-24 Decisões de controle de acesso O
AC-24(1) TRANSMITIR INFORMAÇÕES DE AUTORIZAÇÃO DE ACESSO S
AC-24(2) SEM IDENTIDADE DE USUÁRIO OU PROCESSO S
AC-25 Monitor de referência S ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
EM 1
AT-2
AT-2(1)
AT-2(2)
TABELA C-2: CONSCIENTIZAÇÃO E FORMAÇÃO DA FAMÍLIA
NOME DO CONTROLE
Treinamento e Conscientização sobre Alfabetização
EXERCÍCIOS PRÁTICOS
AMEAÇA INTERNA
IMPLEMENTADO
POR
O
GARANTIA
AT-2(3) ENGENHARIA SOCIAL E MINERAÇÃO O ÿ
AT-2(4) COMUNICAÇÕES SUSPEITAS E COMPORTAMENTO ANÓMALO DO SISTEMA O ÿ
AT-2(5) AMEAÇA PERSISTENTE AVANÇADA O ÿ
AT-2(6) AMBIENTE DE AMEAÇA CIBERNÉTICA O ÿ
ÀS 3 Treinamento baseado em funções O ÿ
AT-3(1) CONTROLES AMBIENTAIS O ÿ
AT-3(2) CONTROLES DE SEGURANÇA FÍSICA O ÿ
AT-3(3) EXERCÍCIOS PRÁTICOS O ÿ
AT-3(4) COMUNICAÇÕES SUSPEITAS E COMPORTAMENTO ANÓMALO DO SISTEMA W: Incorporado no AT-2(4).
AT-3(5) PROCESSAMENTO DE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL O ÿ
AT-4 Registros de treinamento O ÿ
ÀS 5 Contatos com grupos e associações de segurança W: Incorporado ao PM-15.

ÀS 6 Feedback do treinamento O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AU-1
AU-2
AU-2(1)
AU-2(2)
Registro de eventos
TABELA C-3: FAMÍLIA DE AUDITORIA E RESPONSABILIDADE
NOME DO CONTROLE
COMPILAÇÃO DE REGISTROS DE AUDITORIA DE MÚLTIPLAS FONTES
SELEÇÃO DE EVENTOS DE AUDITORIA POR COMPONENTE

IMPLEMENTADO
POR
W: Incorporado no AU-12.
W: Incorporado no AU-12.
GARANTIA
AU-2(3) AVALIAÇÕES E ATUALIZAÇÕES W: Incorporado no AU-2.
AU-2(4) FUNÇÕES PRIVILEGIADAS W: Incorporado no AC-6(9).
AU-3 Conteúdo dos registros de auditoria S
AU-3(1) INFORMAÇÕES ADICIONAIS DE AUDITORIA S
AU-3(2) GESTÃO CENTRALIZADA DO CONTEÚDO DE REGISTROS DE AUDITORIA PLANEJADOS W: Incorporado ao PL-9.
AU-3(3) LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS O
AU-4 Capacidade de armazenamento de log de auditoria EIXO
AU-4(1) TRANSFERÊNCIA PARA ARMAZENAMENTO ALTERNATIVO EIXO
AU-5 Resposta a falhas no processo de registro de auditoria S
AU-5(1) AVISO DE CAPACIDADE DE ARMAZENAMENTO S
AU-5(2) ALERTAS EM TEMPO REAL S
AU-5(3) LIMITES DE VOLUME DE TRÁFEGO CONFIGURÁVEIS S
AU-5(4) DESLIGAMENTO EM CASO DE FALHA S
AU-5(5) CAPACIDADE ALTERNATIVA DE REGISTRO DE AUDITORIA O
AU-6 Revisão, análise e relatórios de registros de auditoria O ÿ
AU-6(1) INTEGRAÇÃO AUTOMATIZADA DE PROCESSOS O ÿ
AU-6(2) ALERTAS DE SEGURANÇA AUTOMATIZADOS W: Incorporado no SI-4.
AU-6(3) REPOSITÓRIOS DE REGISTROS DE AUDITORIA CORRELATOS O ÿ
AU-6(4) REVISÃO E ANÁLISE CENTRAL S ÿ
AU-6(5) ANÁLISE INTEGRADA DE REGISTROS DE AUDITORIA O ÿ
AU-6(6) CORRELAÇÃO COM MONITORAMENTO FÍSICO O ÿ
AU-6(7) AÇÕES PERMITIDAS O ÿ
AU-6(8) ANÁLISE DE TEXTO COMPLETO DE COMANDOS PRIVILEGIADOS O ÿ
AU-6(9) CORRELAÇÃO COM INFORMAÇÕES DE FONTES NÃO TÉCNICAS O ÿ
AU-6(10) AJUSTE DO NÍVEL DE AUDITORIA W: Incorporado no AU-6.
AU-7 Redução de registros de auditoria e geração de relatórios S ÿ
AU-7(1) PROCESSAMENTO AUTOMÁTICO S ÿ
AU-7(2) CLASSIFICAÇÃO E PESQUISA AUTOMÁTICA W: Incorporado em AU-7(1).
AU-8 Carimbos de data e hora S
AU-8(1) SINCRONIZAÇÃO COM FONTE DE TEMPO AUTORITIVA W: Movido para SC-45(1).
AU-8(2) FONTE DE TEMPO AUTORITATIVA SECUNDÁRIA W: Movido para SC-45(2).
AU-9 Proteção de informações de auditoria S
AU-9(1) MÍDIA DE ESCRITA ÚNICA DE HARDWARE S
AU-9(2) ARMAZENAR EM SISTEMAS OU COMPONENTES FÍSICOS SEPARADOS S
AU-9(3) PROTEÇÃO CRIPTOGRÁFICA S
AU-9(4) ACESSO POR SUBCONJUNTO DE USUÁRIOS PRIVILEGIADOS O
AU-9(5) AUTORIZAÇÃO DUPLA EIXO
AU-9(6) ACESSO SOMENTE LEITURA EIXO

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
AU-9(7)
AU-10
AU-10(1)
AU-10(2)
AU-10(3)
Não repúdio
ASSOCIAÇÃO DE IDENTIDADES
NOME DO CONTROLE
ARMAZENAR EM COMPONENTE COM SISTEMA OPERACIONAL DIFERENTE
VALIDAR VINCULAÇÃO DA IDENTIDADE DO PRODUTOR DA INFORMAÇÃO
CADEIA DE CUSTÓDIA
IMPLEMENTADO
POR
EIXO
GARANTIA
AU-10(4) VALIDAR VINCULAÇÃO DA IDENTIDADE DO REVISOR DE INFORMAÇÕES S ÿ
AU-10(5) ASSINATURAS DIGITAIS W: Incorporado no SI-7.

AU-11 Retenção de registros de auditoria O
AU-11(1) CAPACIDADE DE RECUPERAÇÃO A LONGO PRAZO O ÿ
AU-12 Geração de registros de auditoria S
AU-12(1) TRILHAS DE AUDITORIA EM TODO O SISTEMA E CORRELACIONADAS COM O TEMPO S
AU-12(2) FORMATOS PADRONIZADOS S
AU-12(3) ALTERAÇÕES POR INDIVÍDUOS AUTORIZADOS S
AU-12(4) AUDITORIAS DE PARÂMETROS DE CONSULTA DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS S
AU-13 Monitoramento para Divulgação de Informações O ÿ
AU-13(1) USO DE FERRAMENTAS AUTOMATIZADAS EIXO ÿ
AU-13(2) REVISÃO DE SITES MONITORADOS O ÿ
AU-13(3) REPLICAÇÃO NÃO AUTORIZADA DE INFORMAÇÕES EIXO ÿ
AU-14 Auditoria de Sessão S ÿ
AU-14(1) INICIALIZAÇÃO DO SISTEMA S ÿ
AU-14(2) CAPTURAR E GRAVAR CONTEÚDO W: Incorporado no AU-14.
AU-14(3) VISUALIZAÇÃO E ESCUTA REMOTAS S ÿ
AU-15 Capacidade alternativa de registro de auditoria W: Movido para AU-5(5).

AU-16 Registro de auditoria interorganizacional O
AU-16(1) PRESERVAÇÃO DE IDENTIDADE O
AU-16(2) COMPARTILHAMENTO DE INFORMAÇÕES DE AUDITORIA O
AU-16(3) DESASSOCIABILIDADE O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CA-1
CA-2
CA-2(1)
CA-2(2)
TABELA C-4: AVALIAÇÃO, AUTORIZAÇÃO E MONITORAMENTO FAMÍLIA
Avaliações de controle
AVALIADORES INDEPENDENTES
AVALIAÇÕES ESPECIALIZADAS
NOME DO CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
CA-2(3) APROVEITANDO RESULTADOS DE ORGANIZAÇÕES EXTERNAS O ÿ
CA-3 Intercâmbio de informações O ÿ
CA-3(1) CONEXÕES NÃO CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL W: Mudou-se para SC-7(25).
CA-3(2) CONEXÕES CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL W: Mudou-se para SC-7(26).
CA-3(3) CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS W: Mudou-se para SC-7(27).
CA-3(4) CONEXÕES COM REDES PÚBLICAS W: Mudou-se para SC-7(28).
CA-3(5) RESTRIÇÕES ÀS CONEXÕES DE SISTEMA EXTERNO W: Incorporado em SC-7(5).
CA-3(6) AUTORIZAÇÕES DE TRANSFERÊNCIA EIXO ÿ
CA-3(7) TROCAS DE INFORMAÇÕES TRANSITIVAS EIXO ÿ
CA-4 Certificação de Segurança W: Incorporado no CA-2.
CA-5 Plano de Ação e Marcos O ÿ
CA-5(1) SUPORTE DE AUTOMAÇÃO PARA PRECISÃO E MOEDA O ÿ
CA-6 Autorização O ÿ
CA-6(1) AUTORIZAÇÃO CONJUNTA — INTRA-ORGANIZAÇÃO O ÿ
CA-6(2) AUTORIZAÇÃO CONJUNTA — INTER-ORGANIZAÇÃO O ÿ
CA-7 Monitoramento Contínuo O ÿ
CA-7(1) AVALIAÇÃO INDEPENDENTE O ÿ
CA-7(2) TIPOS DE AVALIAÇÕES W: Incorporado no CA-2.
CA-7(3) ANÁLISES DE TENDÊNCIAS O ÿ
CA-7(4) MONITORAMENTO DE RISCOS EIXO ÿ
CA-7(5) ANÁLISE DE CONSISTÊNCIA O ÿ
CA-7(6) SUPORTE DE AUTOMAÇÃO PARA MONITORAMENTO EIXO ÿ
CA-8 Teste de penetração O ÿ
CA-8(1) AGENTE OU EQUIPE DE TESTE DE PENETRAÇÃO INDEPENDENTE O ÿ
CA-8(2) EXERCÍCIOS DA EQUIPE VERMELHA O ÿ
CA-8(3) TESTE DE PENETRAÇÃO NAS INSTALAÇÕES O ÿ
CA-9 Conexões internas do sistema O ÿ
CA-9(1) VERIFICAÇÕES DE CONFORMIDADE EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CM-1
CM-2
CM-2(1)
CM-2(2)
TABELA C-5: FAMÍLIA DE GERENCIAMENTO DE CONFIGURAÇÃO
Configuração de linha de base

AVALIAÇÕES E ATUALIZAÇÕES
NOME DO CONTROLE
SUPORTE DE AUTOMAÇÃO PARA PRECISÃO E MOEDA

IMPLEMENTADO
POR
W: Incorporado no CM-2.
O
GARANTIA
CM-2(3) RETENÇÃO DE CONFIGURAÇÕES ANTERIORES O ÿ
CM-2(4) SOFTWARE NÃO AUTORIZADO W: Incorporado no CM-7.
CM-2(5) SOFTWARE AUTORIZADO W: Incorporado no CM-7.
CM-2(6) AMBIENTES DE DESENVOLVIMENTO E TESTE O ÿ
CM-2(7) CONFIGURAR SISTEMAS E COMPONENTES PARA ÁREAS DE ALTO RISCO O ÿ
CM-3 Controle de alterações de configuração O ÿ
CM-3(1) DOCUMENTAÇÃO AUTOMATIZADA, NOTIFICAÇÃO E PROIBIÇÃO DE O ÿ

MUDANÇAS
CM-3(2) TESTE, VALIDAÇÃO E DOCUMENTAÇÃO DE MUDANÇAS O ÿ
CM-3(3) IMPLEMENTAÇÃO AUTOMATIZADA DE MUDANÇAS O
CM-3(4) REPRESENTANTES DE SEGURANÇA E PRIVACIDADE O
CM-3(5) RESPOSTA DE SEGURANÇA AUTOMATIZADA S
CM-3(6) GESTÃO DE CRIPTOGRAFIA O
CM-3(7) REVER ALTERAÇÕES NO SISTEMA O
CM-3(8) EVITAR OU RESTRINGIR ALTERAÇÕES DE CONFIGURAÇÃO S
CM-4 Análises de Impacto O ÿ
CM-4(1) AMBIENTES DE TESTE SEPARADOS O ÿ
CM-4(2) VERIFICAÇÃO DE CONTROLES O ÿ
CM-5 Restrições de acesso para mudança O
CM-5(1) EXECUÇÃO DE ACESSO AUTOMATIZADO E REGISTROS DE AUDITORIA S
CM-5(2) REVER ALTERAÇÕES NO SISTEMA W: Incorporado no CM-3(7).
W: Mudou-se para CM-14.

CM-5(3) COMPONENTES ASSINADOS
CM-5(4) AUTORIZAÇÃO DUPLA EIXO
CM-5(5) LIMITAÇÃO DE PRIVILÉGIO PARA PRODUÇÃO E OPERAÇÃO O
CM-5(6) LIMITE PRIVILÉGIOS DA BIBLIOTECA EIXO
CM-5(7) IMPLEMENTAÇÃO AUTOMÁTICA DE SALVAGUARDAS DE SEGURANÇA W: Incorporado no SI-7.
CM-6 Definições de configuração EIXO
CM-6(1) GESTÃO, APLICAÇÃO E VERIFICAÇÃO AUTOMATIZADAS O
CM-6(2) RESPONDER A MUDANÇAS NÃO AUTORIZADAS O
CM-6(3) DETECÇÃO DE ALTERAÇÕES NÃO AUTORIZADAS W: Incorporado no SI-7.
CM-6(4) DEMONSTRAÇÃO DE CONFORMIDADE W: Incorporado no CM-4.
CM-7 Menos funcionalidade EIXO
CM-7(1) REVISÃO PERIÓDICA EIXO
CM-7(2) EVITAR A EXECUÇÃO DO PROGRAMA S
CM-7(3) CONFORMIDADE DE REGISTRO O
CM-7(4) SOFTWARE NÃO AUTORIZADO — NEGAÇÃO POR EXCEÇÃO EIXO
CM-7(5) SOFTWARE AUTORIZADO — PERMITIDO POR EXCEÇÃO EIXO
CM-7(6) AMBIENTES CONFINADOS COM PRIVILÉGIOS LIMITADOS O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CM-7(7)
CM-7(8)
CM-7(9)
CM-8
CM-8(1)
NOME DO CONTROLE
EXECUÇÃO DE CÓDIGO EM AMBIENTES PROTEGIDOS
CÓDIGO BINÁRIO OU EXECUTÁVEL POR MÁQUINA
PROIBINDO O USO DE HARDWARE NÃO AUTORIZADO
Inventário de componentes do sistema

ATUALIZAÇÕES DURANTE A INSTALAÇÃO E REMOÇÃO
IMPLEMENTADO
POR
EIXO
EIXO
EIXO
O
GARANTIA
CM-8(2) MANUTENÇÃO AUTOMATIZADA O ÿ
CM-8(3) DETECÇÃO AUTOMATIZADA DE COMPONENTES NÃO AUTORIZADOS O ÿ
CM-8(4) INFORMAÇÕES DE RESPONSABILIDADE O ÿ
CM-8(5) SEM CONTABILIDADE DUPLICADA DE COMPONENTES W: Incorporado no CM-8.
CM-8(6) CONFIGURAÇÕES AVALIADAS E DESVIOS APROVADOS O ÿ
CM-8(7) REPOSITÓRIO CENTRALIZADO O ÿ
CM-8(8) RASTREAMENTO AUTOMATIZADO DE LOCALIZAÇÃO O ÿ
CM-8(9) ATRIBUIÇÃO DE COMPONENTES A SISTEMAS O ÿ
CM-9 Plano de gerenciamento de configuração O
CM-9(1) ATRIBUIÇÃO DE RESPONSABILIDADE O
CM-10 Restrições de uso de software O
CM-10(1) SOFTWARE LIVRE O
CM-11 Software instalado pelo usuário O
CM-11(1) ALERTAS PARA INSTALAÇÕES NÃO AUTORIZADAS W: Incorporado no CM-8(3).
CM-11(2) INSTALAÇÃO DE SOFTWARE COM STATUS PRIVILEGIADO S
CM-11(3) APLICAÇÃO E MONITORAMENTO AUTOMATIZADOS S ÿ
CM-12 Localização da informação O ÿ
CM-12(1) FERRAMENTAS AUTOMATIZADAS PARA APOIAR A LOCALIZAÇÃO DE INFORMAÇÕES O ÿ
CM-13 Mapeamento de ações de dados O
CM-14 Componentes assinados EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CP-1
CP-2
CP-2(1)
CP-2(2)
Plano de contingência
TABELA C-6: FAMÍLIA DE PLANEJAMENTO DE CONTINGÊNCIA
COORDENAR COM PLANOS RELACIONADOS
PLANEJAMENTO DE CAPACIDADE
NOME DO CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
CP-2(3) RETOMAR MISSÃO E FUNÇÕES DE NEGÓCIO O
CP-2(4) RETOMAR TODAS AS FUNÇÕES DE MISSÃO E NEGÓCIOS W: Incorporado ao CP-2(3).
CP-2(5) CONTINUAR A MISSÃO E AS FUNÇÕES DE NEGÓCIO O
CP-2(6) LOCAIS ALTERNATIVOS DE PROCESSAMENTO E ARMAZENAMENTO O
CP-2(7) COORDENAR COM PRESTADORES DE SERVIÇOS EXTERNOS O
CP-2(8) IDENTIFICAR ATIVOS CRÍTICOS O
CP-3 Treinamento de Contingência O ÿ
CP-3(1) EVENTOS SIMULADOS O ÿ
CP-3(2) MECANISMOS UTILIZADOS EM AMBIENTES DE TREINAMENTO O ÿ
CP-4 Teste do Plano de Contingência O ÿ
CP-4(1) COORDENAR COM PLANOS RELACIONADOS O ÿ
CP-4(2) LOCAL DE PROCESSAMENTO ALTERNATIVO O ÿ
CP-4(3) TESTE AUTOMATIZADO O ÿ
CP-4(4) RECUPERAÇÃO E RECONSTITUIÇÃO COMPLETA O ÿ
CP-4(5) AUTO-DESAFIO EIXO ÿ
CP-5 Atualização do Plano de Contingência W: Incorporado ao CP-2.
CP-6 Local de armazenamento alternativo O
CP-6(1) SEPARAÇÃO DO LOCAL PRIMÁRIO O
CP-6(2) OBJETIVOS DO TEMPO DE RECUPERAÇÃO E DO PONTO DE RECUPERAÇÃO O
CP-6(3) ACESSIBILIDADE O
CP-7 Local de processamento alternativo O
CP-7(1) SEPARAÇÃO DO LOCAL PRIMÁRIO O
CP-7(2) ACESSIBILIDADE O
CP-7(3) PRIORIDADE DO SERVIÇO O
CP-7(4) PREPARAÇÃO PARA USO O
CP-7(5) SALVAGUARDAS DE SEGURANÇA DA INFORMAÇÃO EQUIVALENTES W: Incorporado ao CP-7.
CP-7(6) INCAPACIDADE DE VOLTAR AO LOCAL PRIMÁRIO O
CP-8 Serviços de Telecomunicações O
CP-8(1) PRIORIDADE DAS PRESTAÇÕES DE SERVIÇO O
CP-8(2) PONTOS ÚNICOS DE FALHA O
CP-8(3) SEPARAÇÃO DE FORNECEDORES PRIMÁRIOS E ALTERNATIVOS O
CP-8(4) PLANO DE CONTINGÊNCIA DO PROVEDOR O
CP-8(5) TESTE DE SERVIÇO ALTERNATIVO DE TELECOMUNICAÇÕES O
CP-9 Backup do sistema O
CP-9(1) TESTE DE CONFIABILIDADE E INTEGRIDADE O
CP-9(2) TESTE DE RESTAURAÇÃO USANDO AMOSTRAGEM O
CP-9(3) ARMAZENAMENTO SEPARADO PARA INFORMAÇÕES CRÍTICAS O
CP-9(4) PROTEÇÃO CONTRA MODIFICAÇÃO NÃO AUTORIZADA W: Incorporado ao CP-9.

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
CP-9(5)
CP-9(6)
CP-9(7)
CP-9(8)
CP-10
SISTEMA SECUNDÁRIO REDUNDANTE
NOME DO CONTROLE
TRANSFERÊNCIA PARA LOCAL DE ARMAZENAMENTO ALTERNATIVO
AUTORIZAÇÃO DUPLA PARA EXCLUSÃO OU DESTRUIÇÃO
PROTEÇÃO CRIPTOGRÁFICA
Recuperação e reconstituição do sistema

IMPLEMENTADO
POR
O
GARANTIA
CP-10(1) TESTE DO PLANO DE CONTINGÊNCIA W: Incorporado ao CP-4.
CP-10(2) RECUPERAÇÃO DE TRANSAÇÃO O
CP-10(3) COMPENSANDO OS CONTROLES DE SEGURANÇA W: Abordado através da alfaiataria.
CP-10(4) RESTAURAR DENTRO DO PERÍODO DE TEMPO O
CP-10(5) CAPACIDADE DE FALHA W: Incorporado no SI-13.
CP-10(6) PROTEÇÃO DE COMPONENTES O
CP-11 Protocolos de comunicação alternativos O
CP-12 Modo de segurança S ÿ
CP-13 Mecanismos alternativos de segurança EIXO

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IA-1
IA-2
IA-2(1)
IA-2(2)
TABELA C-7: FAMÍLIA DE IDENTIFICAÇÃO E AUTENTICAÇÃO
NOME DO CONTROLE
Identificação e Autenticação (Usuários Organizacionais)

AUTENTICAÇÃO MULTIFATOR PARA CONTAS PRIVILEGIADAS
AUTENTICAÇÃO MULTIFATOR PARA CONTAS NÃO PRIVILEGIADAS

IMPLEMENTADO
POR
EIXO
S
GARANTIA
IA-2(3) ACESSO LOCAL A CONTAS PRIVILEGIADAS W: Incorporado em IA-2(1).
IA-2(4) ACESSO LOCAL A CONTAS NÃO PRIVILEGIADAS W: Incorporado em IA-2(2).
IA-2(5) AUTENTICAÇÃO INDIVIDUAL COM AUTENTICAÇÃO DE GRUPO EIXO
IA-2(6) ACESSO ÀS CONTAS — DISPOSITIVO SEPARADO S
IA-2(7) ACESSO À REDE PARA CONTAS NÃO PRIVILEGIADAS — DISPOSITIVO SEPARADO W: Incorporado em IA-2(6).
IA-2(8) ACESSO ÀS CONTAS — RESISTENTE A REPLAY S
IA-2(9) ACESSO À REDE A CONTAS NÃO PRIVILEGIADAS — RESISTENTE A REPLAY W: Incorporado em IA-2(8).
IA-2(10) LOGIN ÚNICO S
IA-2(11) ACESSO REMOTO — DISPOSITIVO SEPARADO W: Incorporado em IA-2(6).
IA-2(12) ACEITAÇÃO DE CREDENCIAIS PIV S
IA-2(13) AUTENTICAÇÃO FORA DE BANDA S
IA-3 Identificação e autenticação do dispositivo S
IA-3(1) AUTENTICAÇÃO BIDIRECIONAL CRIPTOGRÁFICA S
IA-3(2) AUTENTICAÇÃO DE REDE BIDIRECIONAL CRIPTOGRÁFICA W: Incorporado em IA-3(1).
IA-3(3) ALOCAÇÃO DINÂMICA DE ENDEREÇOS O
IA-3(4) ATESTADO DO DISPOSITIVO O
IA-4 Gerenciamento de identificadores O
IA-4(1) PROIBIR IDENTIFICADORES DE CONTA COMO IDENTIFICADORES PÚBLICOS O
IA-4(2) AUTORIZAÇÃO DO SUPERVISOR W: Incorporado em IA-12(1).
IA-4(3) MÚLTIPLAS FORMAS DE CERTIFICAÇÃO W: Incorporado em IA-12(2).
IA-4(4) IDENTIFICAR O STATUS DO USUÁRIO O
IA-4(5) GESTÃO DINÂMICA S
IA-4(6) GESTÃO TRANSVERSAL DE ORGANIZAÇÕES O
IA-4(7) INSCRIÇÃO PRESENCIAL W: Incorporado em IA-12(4).
IA-4(8) IDENTIFICADORES PSEUDÔNIMOS DE PARES O
IA-4(9) MANUTENÇÃO E PROTEÇÃO DE ATRIBUTOS EIXO
IA-5 Gerenciamento de autenticador EIXO
IA-5(1) AUTENTICAÇÃO BASEADA EM SENHA EIXO
IA-5(2) AUTENTICAÇÃO BASEADA EM CHAVE PÚBLICA S
IA-5(3) REGISTRO PRESENCIAL OU DE PARTE EXTERNA DE CONFIANÇA W: Incorporado em IA-12(4).
IA-5(4) SUPORTE AUTOMATIZADO PARA DETERMINAÇÃO DE FORÇA DE SENHA W: Incorporado em IA-5(1).
IA-5(5) TROCAR AUTENTICADORES ANTES DA ENTREGA O
IA-5(6) PROTEÇÃO DE AUTENTICADORES O
IA-5(7) SEM AUTENTICADORES ESTÁTICOS NÃO CRIPTOGRAFADOS INCORPORADOS O
IA-5(8) MÚLTIPLAS CONTAS DE SISTEMA O
IA-5(9) GESTÃO DE CREDENCIAIS FEDERADA O
IA-5(10) VINCULAÇÃO DE CREDENCIAIS DINÂMICA S
IA-5(11) AUTENTICAÇÃO BASEADA EM TOKEN DE HARDWARE W: Incorporado em IA-2(1) e IA-2(2).

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IA-5(12)
IA-5(13)
IA-5(14)
IA-5(15)
IA-5(16)
NOME DO CONTROLE
DESEMPENHO DE AUTENTICAÇÃO BIOMÉTRICA
EXPIRAÇÃO DE AUTENTICADORES EM CACHORRO
GERENCIAMENTO DE CONTEÚDO DE PKI TRUST STORES
PRODUTOS E SERVIÇOS APROVADOS PELA GSA
EMISSÃO DE AUTENTICADOR DE PARTE EXTERNA PRESENCIAL OU CONFIÁVEL

IMPLEMENTADO
POR
O
GARANTIA
IA-5(17) APRESENTAÇÃO DETECÇÃO DE ATAQUE PARA AUTENTICADORES BIOMÉTRICOS S
IA-5(18) GERENTES DE SENHAS S
IA-6 Comentários sobre autenticação S
IA-7 Autenticação de módulo criptográfico S
IA-8 Identificação e Autenticação (Não Organizacional S
Usuários)
IA-8(1) ACEITAÇÃO DE CREDENCIAIS PIV DE OUTRAS AGÊNCIAS S
IA-8(2) ACEITAÇÃO DE AUTENTICADORES EXTERNOS S
IA-8(3) USO DE PRODUTOS APROVADOS FICAM W: Incorporado em IA-8(2).
IA-8(4) UTILIZAÇÃO DE PERFIS DEFINIDOS S
IA-8(5) ACEITAÇÃO DE CREDENCIAIS PIV-I S
IA-8(6) DESASSOCIABILIDADE O
IA-9 Identificação e autenticação de serviço EIXO
IA-9(1) INTERCÂMBIO DE INFORMAÇÕES W: Incorporado no IA-9.
IA-9(2) TRANSMISSÃO DE DECISÕES W: Incorporado no IA-9.
IA-10 Autenticação Adaptativa O
IA-11 Reautenticação EIXO
IA-12 Prova de identidade O
IA-12(1) AUTORIZAÇÃO DO SUPERVISOR O
IA-12(2) EVIDÊNCIA DE IDENTIDADE O
IA-12(3) VALIDAÇÃO E VERIFICAÇÃO DE EVIDÊNCIAS DE IDENTIDADE O
IA-12(4) VALIDAÇÃO E VERIFICAÇÃO PRESENCIAL O
IA-12(5) CONFIRMAÇÃO DE ENDEREÇO O
IA-12(6) ACEITE IDENTIDADES PROVADAS EXTERNAMENTE O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IR-1
IR-2
IR-2(1)
IR-2(2)
Treinamento de resposta a incidentes

EVENTOS SIMULADOS
TABELA C-8: FAMÍLIA DE RESPOSTA A INCIDENTES
NOME DO CONTROLE
AMBIENTES DE TREINAMENTO AUTOMATIZADOS

IMPLEMENTADO
POR
O
GARANTIA
IR-2(3) VIOLAÇÃO O ÿ
IR-3 Teste de resposta a incidentes O ÿ
IR-3(1) TESTE AUTOMATIZADO O ÿ
IR-3(2) COORDENAÇÃO COM PLANOS RELACIONADOS O ÿ
IR-3(3) MELHORIA CONTINUA O ÿ
IR-4 Tratamento de Incidentes O
PROCESSOS AUTOMATIZADOS DE TRATAMENTO DE INCIDENTES O

IR-4(1)
RECONFIGURAÇÃO DINÂMICA O
IR-4(2)
CONTINUIDADE DAS OPERAÇÕES O
IR-4(3)
CORRELAÇÃO DE INFORMAÇÕES O
IR-4(4)
DESATIVAÇÃO AUTOMÁTICA DO SISTEMA
IR-4(5) EIXO
AMEAÇAS INTERNAS O
IR-4(6)
AMEAÇAS INTERNAS — COORDENAÇÃO INTRA-ORGANIZAÇÃO O
IR-4(7)
CORRELAÇÃO COM ORGANIZAÇÕES EXTERNAS O
IR-4(8)
CAPACIDADE DE RESPOSTA DINÂMICA O
IR-4(9)
COORDENAÇÃO DA CADEIA DE FORNECIMENTO O
IR-4(10)
EQUIPE INTEGRADA DE RESPOSTA A INCIDENTES O
IR-4(11)
CÓDIGO MALICIOSO E ANÁLISE FORENSE O
IR-4(12)
ANÁLISE DE COMPORTAMENTO O
IR-4(13)
CENTRO DE OPERAÇÕES DE SEGURANÇA
IR-4(14) EIXO
RELAÇÕES PÚBLICAS E REPARAÇÃO DA REPUTAÇÃO O

IR-4(15)
IR-5 Monitoramento de Incidentes O ÿ
IR-5(1) RASTREAMENTO AUTOMATIZADO, COLETA DE DADOS E ANÁLISE O ÿ
IR-6 Relatórios de incidentes O
RELATÓRIOS AUTOMATIZADOS O
IR-6(1)
VULNERABILIDADES RELACIONADAS A INCIDENTES O
IR-6(2)
COORDENAÇÃO DA CADEIA DE FORNECIMENTO O
IR-6(3)
IR-7 Assistência de resposta a incidentes O
SUPORTE DE AUTOMAÇÃO PARA DISPONIBILIDADE DE INFORMAÇÕES E SUPORTE O

IR-7(1)
COORDENAÇÃO COM FORNECEDORES EXTERNOS O
IR-7(2)
IR-8 Plano de Resposta a Incidentes O
VIOLAÇÕES O
IR-8(1)
IR-9 Resposta a derramamento de informações O
IR-9(1) PESSOAL RESPONSÁVEL W: Incorporado ao IR-9.
TREINAMENTO O
IR-9(2)
OPERAÇÕES PÓS-DERRAMAMENTO O
IR-9(3)
EXPOSIÇÃO A PESSOAL NÃO AUTORIZADO O
IR-9(4)

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
IR-10
NOME DO CONTROLE
Equipe Integrada de Análise de Segurança da Informação

IMPLEMENTADO
POR
W: Movido para IR-4(11).

GARANTIA

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
MA-1
MA-2
MA-2(1)
MA-2(2)
Manutenção Controlada
GRAVAR CONTEÚDO
ATIVIDADES DE MANUTENÇÃO AUTOMATIZADA

TABELA C-9: FAMÍLIA DE MANUTENÇÃO
NOME DO CONTROLE
IMPLEMENTADO
POR
W: Incorporado no MA-2.
O
GARANTIA
MA-3 Ferramentas de manutenção O
INSPECIONAR FERRAMENTAS O
MA-3(1)
INSPECIONAR MÍDIA O
MA-3(2)
EVITE A REMOÇÃO NÃO AUTORIZADA O
MA-3(3)
USO RESTRITO DA FERRAMENTA
MA-3(4) EIXO
EXECUÇÃO COM PRIVILÉGIO

MA-3(5) EIXO
ATUALIZAÇÕES E PATCHES DE SOFTWARE

MA-3(6) EIXO
MA-4 Manutenção não local O
REGISTRO E REVISÃO O
MA-4(1)
MA-4(2) MANUTENÇÃO NÃO LOCAL DO DOCUMENTO W: Incorporado em MA-1 e MA-4.

SEGURANÇA E SANITIZAÇÃO COMPARÁVEIS O
MA-4(3)
AUTENTICAÇÃO E SEPARAÇÃO DE SESSÕES DE MANUTENÇÃO O
MA-4(4)
APROVAÇÕES E NOTIFICAÇÕES O
MA-4(5)
MA-4(6) EIXO
VERIFICAÇÃO DE DESCONEXÃO S
MA-4(7)
MA-5 Pessoal da manutenção O
INDIVÍDUOS SEM ACESSO ADEQUADO O

MA-5(1)
LIBERAÇÕES DE SEGURANÇA PARA SISTEMAS CLASSIFICADOS O
MA-5(2)
REQUISITOS DE CIDADANIA PARA SISTEMAS CLASSIFICADOS O
MA-5(3)
CIDADÃOS ESTRANGEIROS O
MA-5(4)
MANUTENÇÃO NÃO SISTEMA O
MA-5(5)
MA-6 Manutenção oportuna O
MANUTENÇÃO PREVENTIVA O
MA-6(1)
MANUTENÇÃO PREDITIVA O
MA-6(2)
SUPORTE AUTOMATIZADO PARA MANUTENÇÃO PREDITIVA O
MA-6(3)
MA-7 Manutenção de campo O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
MP-1
MP-2
MP-2(1)
MP-2(2)
Acesso à mídia
ACESSO RESTRITO AUTOMATIZADO
TABELA C-10: FAMÍLIA DE PROTEÇÃO DE MÍDIA
NOME DO CONTROLE
IMPLEMENTADO
POR
W: Incorporado ao MP-4(2).
W: Incorporado em SC-28(1).
GARANTIA
MP-3 Marcação de mídia O
MP-4 Armazenamento de mídia O
MP-4(1) PROTEÇÃO CRIPTOGRÁFICA W: Incorporado em SC-28(1).
MP-4(2) ACESSO RESTRITO AUTOMATIZADO O
MP-5 Transporte de mídia O
MP-5(1) PROTEÇÃO FORA DAS ÁREAS CONTROLADAS W: Incorporado ao MP-5.
MP-5(2) DOCUMENTAÇÃO DE ATIVIDADES W: Incorporado ao MP-5.
MP-5(3) CUSTODIANTES O
MP-5(4) PROTEÇÃO CRIPTOGRÁFICA W: Incorporado em SC-28(1).
MP-6 Sanitização de mídia O
MP-6(1) REVER, APROVAR, RASTREAR, DOCUMENTAR E VERIFICAR O
MP-6(2) TESTE DE EQUIPAMENTO O
MP-6(3) TÉCNICAS NÃO DESTRUTIVAS O
MP-6(4) INFORMAÇÕES NÃO CLASSIFICADAS CONTROLADAS W: Incorporado ao MP-6.
MP-6(5) INFORMAÇÃO CLASSIFICADA W: Incorporado ao MP-6.
MP-6(6) DESTRUIÇÃO DA MÍDIA W: Incorporado ao MP-6.
MP-6(7) AUTORIZAÇÃO DUPLA O
MP-6(8) PURGA OU LIMPEZA REMOTA DE INFORMAÇÕES O
MP-7 Uso de mídia O
MP-7(1) PROIBIR USO SEM PROPRIETÁRIO W: Incorporado ao MP-7.
MP-7(2) PROIBIR O USO DE MÍDIA RESISTENTE À SANITIZAÇÃO O
MP-8 Downgrade de mídia O
MP-8(1) DOCUMENTAÇÃO DO PROCESSO O
MP-8(2) TESTE DE EQUIPAMENTO O
MP-8(3) INFORMAÇÕES NÃO CLASSIFICADAS CONTROLADAS O
MP-8(4) INFORMAÇÃO CLASSIFICADA O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
EM 1
Em-2
PE-2(1)
PE-2(2)
TABELA C-11: FAMÍLIA DE PROTEÇÃO FÍSICA E AMBIENTAL
Autorizações de acesso físico
ACESSO POR POSIÇÃO E FUNÇÃO
DUAS FORMAS DE IDENTIFICAÇÃO

NOME DO CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
PE-2(3) RESTRITO ACESSO NÃO CERTIFICADO O
PE-3 Controle de acesso físico O
PE-3(1) ACESSO AO SISTEMA O
PE-3(2) INSTALAÇÕES E SISTEMAS O
PE-3(3) GUARDAS CONTÍNUOS O
PE-3(4) CARCAÇAS FECHÁVEIS O
PE-3(5) PROTEÇÃO CONTRA VIOLAÇÃO O
PE-3(6) TESTE DE PENETRAÇÃO NAS INSTALAÇÕES W: Incorporado no CA-8.
PE-3(7) BARREIRAS FÍSICAS O
PE-3(8) VESTÍBULOS DE CONTROLE DE ACESSO O
PE-4 Controle de acesso para transmissão O
PE-5 Controle de acesso para dispositivos de saída O
PE-5(1) ACESSO À PRODUÇÃO POR INDIVÍDUOS AUTORIZADOS W: Incorporado ao PE-5.
PE-5(2) LINK PARA IDENTIDADE INDIVIDUAL S
PE-5(3) MARCANDO DISPOSITIVOS DE SAÍDA W: Incorporado ao PE-22.

PE-6 Monitorando o acesso físico O ÿ
PE-6(1) ALARMES DE INTRUSÃO E EQUIPAMENTOS DE VIGILÂNCIA O ÿ
PE-6(2) RECONHECIMENTO E RESPOSTAS AUTOMATIZADAS À INTRUSÃO O ÿ
PE-6(3) VIDEO VIGILÂNCIA O ÿ
PE-6(4) MONITORAMENTO DO ACESSO FÍSICO AOS SISTEMAS O ÿ
PE-7 Controle de visitantes W: Incorporado em PE-2 e PE-3.

PE-8 Registros de acesso de visitantes O ÿ
PE-8(1) MANUTENÇÃO E REVISÃO AUTOMATIZADA DE REGISTROS O
PE-8(2) REGISTROS DE ACESSO FÍSICO W: Incorporado ao PE-2.
PE-8(3) LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS O
PE-9 Equipamentos de energia e cabeamento O
PE-9(1) CABEAMENTO REDUNDANTE O
PE-9(2) CONTROLES AUTOMÁTICOS DE TENSÃO O
PE-10 Desligamento de Emergência O
PE-10(1) ATIVAÇÃO ACIDENTAL E NÃO AUTORIZADA W: Incorporado ao PE-10.

PE-11 Energia de emergência O
PE-11(1) FONTE DE ALIMENTAÇÃO ALTERNATIVA — CAPACIDADE OPERACIONAL MÍNIMA O
PE-11(2) FONTE DE ALIMENTAÇÃO ALTERNATIVA - AUTÔNOMA O
PE-12 Luz de emergência O
PE-12(1) MISSÃO ESSENCIAL E FUNÇÕES DE NEGÓCIO O
PE-13 Proteção contra fogo O
PE-13(1) SISTEMAS DE DETECÇÃO — ATIVAÇÃO E NOTIFICAÇÃO AUTOMÁTICAS O
PE-13(2) SISTEMAS DE SUPRESSÃO — ATIVAÇÃO E NOTIFICAÇÃO AUTOMÁTICA O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PE-13(3)
PE-13(4)
PE-14
PE-14(1)
PE-14(2)
INSPEÇÕES
Controles Ambientais
CONTROLES AUTOMÁTICOS
NOME DO CONTROLE
SUPRESSÃO AUTOMÁTICA DE INCÊNDIO
MONITORAMENTO COM ALARMES E NOTIFICAÇÕES

IMPLEMENTADO
POR
W: Incorporado ao PE-13(2).
O
GARANTIA
NO 15 Proteção contra danos causados pela água O
PE-15(1) SUPORTE À AUTOMAÇÃO O
PE-16 Entrega e Remoção O
PE-17 Local de Trabalho Alternativo O
PE-18 Localização dos componentes do sistema O
PE-18(1) LOCAL DA INSTALAÇÃO

W: Mudou-se para PE-23.
PE-19 Vazamento de informação O
PE-19(1) POLÍTICAS E PROCEDIMENTOS NACIONAIS DE EMISSÕES O
PE-20 Monitoramento e rastreamento de ativos O
PE-21 Proteção de pulso eletromagnético O
PE-22 Marcação de componentes O
PE-23 Localização facilitada O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PL-1
PL-2
PL-2(1)
PL-2(2)
TABELA C-12: PLANEJAMENTO FAMÍLIA
NOME DO CONTROLE
Planos de segurança e privacidade do sistema
CONCEITO DE OPERAÇÕES
ARQUITETURA FUNCIONAL
IMPLEMENTADO
POR
W: Incorporado ao PL-7.
GARANTIA
PL-2(3) PLANEJAR E COORDENAR COM OUTRAS ENTIDADES ORGANIZACIONAIS W: Incorporado ao PL-2.

PL-3 Atualização do plano de segurança do sistema W: Incorporado ao PL-2.
PL-4 Regras de comportamento O ÿ
PL-4(1) RESTRIÇÕES DE USO DE MÍDIAS SOCIAIS E SITE EXTERNO /APLICATIVO O ÿ
PL-5 Avaliação de impacto na privacidade W: Incorporado no RA-8.

PL-6 Planejamento de atividades relacionadas à segurança W: Incorporado ao PL-2.
PL-7 Conceito de Operações O
PL-8 Arquiteturas de segurança e privacidade O ÿ
PL-8(1) DEFESA EM PROFUNDIDADE O ÿ
PL-8(2) DIVERSIDADE DE FORNECEDORES O ÿ
PL-9 Gestão Central O ÿ
PL-10 Seleção de linha de base O
PL-11 Adaptação de linha de base O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PM-1
PM-2
PM-3
PM-4
TABELA C-13: FAMÍLIA DE GESTÃO DE PROGRAMAS
NOME DO CONTROLE
Plano do Programa de Segurança da Informação
Papel de liderança do programa de segurança da informação
Recursos de segurança e privacidade da informação

Plano de Ação e Processo de Marcos
IMPLEMENTADO
POR
O
GARANTIA
PM-5 Inventário do Sistema O
PM-5(1) INVENTÁRIO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS O
PM-6 Medidas de Desempenho O ÿ
PM-7 Arquitetura Corporativa O
PM-7(1) DESCARREGANDO O
PM-8 Plano de infraestrutura crítica O
PM-9 Estratégia de Gestão de Risco O ÿ
PM-10 Processo de autorização O ÿ
PM-11 Definição de missão e processo de negócios O
PM-12 Programa de ameaças internas O ÿ
PM-13 Força de trabalho de segurança e privacidade O
PM-14 Teste, treinamento e monitoramento O ÿ
PM-15 Grupos e associações de segurança e privacidade O
PM-16 Programa de conscientização sobre ameaças O ÿ
PM-16(1) MEIOS AUTOMATIZADOS PARA COMPARTILHAR INTELIGÊNCIA DE AMEAÇAS O ÿ
PM-17 Protegendo Informações Não Classificadas Controladas Externas O ÿ

Sistemas
PM-18 Plano do Programa de Privacidade O
PM-19 Função de liderança do programa de privacidade O
PM-20 Divulgação de informações do programa de privacidade O
PM-20(1) POLÍTICAS DE PRIVACIDADE EM SITES, APLICATIVOS E SERVIÇOS DIGITAIS O ÿ
PM-21 Contabilização de Divulgações O
PM-22 Gestão da qualidade da informação pessoalmente identificável O ÿ
PM-23 Órgão de Governança de Dados O ÿ
PM-24 Conselho de Integridade de Dados O ÿ
PM-25 Minimização de informações de identificação pessoal usadas em O
testes, treinamento e pesquisa

PM-26 Gerenciamento de reclamacoes O
PM-27 Relatórios de privacidade O
PM-28 Enquadramento de Risco O ÿ
PM-29 Funções de liderança do programa de gerenciamento de riscos O
PM-30 Estratégia de gestão de risco da cadeia de suprimentos O ÿ
PM-30(1) FORNECEDORES DE ITENS CRÍTICOS OU ESSENCIAIS PARA A MISSÃO O ÿ
PM-31 Estratégia de Monitoramento Contínuo O
PM-32 Propósito O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
PS-1
PS-2
PS-3
PS-3(1)
Designação de risco de posição
Triagem de Pessoal
INFORMAÇÃO CLASSIFICADA
TABELA C-14: FAMÍLIA DE SEGURANÇA DE PESSOAL
NOME DO CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
PS-3(2) INDOUTRINAÇÃO FORMAL O
PS-3(3) INFORMAÇÕES QUE REQUEREM MEDIDAS ESPECIAIS DE PROTEÇÃO O
PS-3(4) REQUISITOS DE CIDADANIA O
PS-4 Rescisão de Pessoal O
PS-4(1) REQUISITOS PÓS-EMPREGO O
PS-4(2) AÇÕES AUTOMATIZADAS O
PS-5 Transferência de Pessoal O
PS-6 Acordos de acesso O ÿ
PS-6(1) INFORMAÇÕES QUE REQUEREM PROTEÇÃO ESPECIAL W: Incorporado ao PS-3.
PS-6(2) INFORMAÇÕES CLASSIFICADAS QUE REQUEREM PROTEÇÃO ESPECIAL O ÿ
PS-6(3) REQUISITOS PÓS-EMPREGO O ÿ
PS-7 Segurança de Pessoal Externo O ÿ
PS-8 Sanções de Pessoal O
PS-9 Descrições de posição O

e
g
_________________________________________________________________________________________________
pe
E NÚMERO
PT-1
PT-2
PT-2(1)
PT-2(2)
TABELA C-15: PROCESSAMENTO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS E TRANSPARÊNCIA FAMÍLIA
AO CONTROLE
NOME DO CONTROLE
Autoridade para processar informações de identificação pessoal

MARCAÇÃO DE DADOS
AUTOMAÇÃO
IMPLEMENTADO
POR
O
GARANTIA
PT-3 Finalidades de processamento de informações pessoalmente identificáveis O
PT-3(1) MARCAÇÃO DE DADOS S ÿ
PT-3(2) AUTOMAÇÃO O ÿ
PT-4 Consentimento O
O
PT-4(1) CONSENTIMENTO PERSONALIZADO
CONSENTIMENTO JUST-IN-TIME O
PT-4(2)
PT-4(3) REVOGAÇÃO O
PT-5 Aviso de privacidade O
AVISO JUST IN TIME O

PT-5(1)
DECLARAÇÕES DA LEI DE PRIVACIDADE O
PT-5(2)
PT-6 Aviso do Sistema de Registros O
USOS DE ROTINA O
PT-6(1)
PT-6(2) REGRAS DE ISENÇÃO O
PT-7 Categorias específicas de informações de identificação pessoal O
PT-7(1) NÚMEROS DE SEGURANÇA SOCIAL O
PT-7(2) INFORMAÇÕES DA PRIMEIRA ALTERAÇÃO O
PT-8 Requisitos de correspondência de computador O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
DIA 1
DIA 2
RA-2(1)
DIA 3
Categorização de segurança
PRIORIZAÇÃO A NÍVEL DE IMPACTO
Avaliação de risco
TABELA C-16: FAMÍLIA DE AVALIAÇÃO DE RISCO
NOME DO CONTROLE
IMPLEMENTADO
POR
O
GARANTIA
RA-3(1) AVALIAÇÃO DE RISCO DA CADEIA DE FORNECIMENTO O ÿ
RA-3(2) USO DE INTELIGÊNCIA DE TODAS AS FONTES O ÿ
DA-3(3) CONSCIENTIZAÇÃO DINÂMICA DE AMEAÇAS O ÿ
DA-3(4) ANÁLISE CIBERNÉTICA PREDITIVA O ÿ
DIA-4 Atualização de avaliação de risco W: Incorporado no RA-3.
DIA-5 Monitoramento e verificação de vulnerabilidades O ÿ
DA-5(1) ATUALIZAR CAPACIDADE DA FERRAMENTA W: Incorporado no RA-5.
DA-5(2) ATUALIZAR VULNERABILIDADES A SEREM VERIFICADAS O ÿ
DA-5(3) AMPLITUDE E PROFUNDIDADE DE COBERTURA O ÿ
DA-5(4) INFORMAÇÕES DESCOBERTÍVEIS O ÿ
DA-5(5) ACESSO PRIVILEGIADO O ÿ
DA-5(6) ANÁLISES DE TENDÊNCIAS AUTOMATIZADAS O ÿ
DA-5(7) DETECÇÃO AUTOMATIZADA E NOTIFICAÇÃO DE NÃO AUTORIZADOS W: Incorporado no CM-8.

COMPONENTES
DA-5(8) REVER REGISTROS DE AUDITORIA HISTÓRICOS O ÿ
DA-5(9) TESTE E ANÁLISE DE PENETRAÇÃO W: Incorporado no CA-8.
DA-5(10) INFORMAÇÕES DE VERIFICAÇÃO CORRELACIONADA O ÿ
DA-5(11) PROGRAMA DE DIVULGAÇÃO PÚBLICA O ÿ
DIA-6 Pesquisa de Contramedidas de Vigilância Técnica O ÿ
DIA-7 Resposta ao Risco O ÿ
DIA-8 Avaliações de impacto na privacidade O ÿ
DIA-9 Análise de criticidade O
DIA-10 Caça a ameaças EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E 2
3
AO CONTROLE
Em 1
NÚMERO
SA-3(1)
Alocação de recursos
TABELA C-17: FAMÍLIA DE AQUISIÇÃO DE SISTEMAS E SERVIÇOS
NOME DO CONTROLE
Ciclo de vida de desenvolvimento de sistema

GERENCIAR O AMBIENTE DE PRÉ-PRODUÇÃO
IMPLEMENTADO
POR
O
GARANTIA
SA-3(2) USO DE DADOS AO VIVO OU OPERACIONAIS O ÿ
SA-3(3) ATUALIZAÇÃO DE TECNOLOGIA O ÿ
4 Processo de Aquisição O ÿ
SA-4(1) PROPRIEDADES FUNCIONAIS DOS CONTROLES O ÿ
SA-4(2) INFORMAÇÕES DE PROJETO E IMPLEMENTAÇÃO PARA CONTROLES O ÿ
SA-4(3) MÉTODOS, TÉCNICAS E PRÁTICAS DE DESENVOLVIMENTO O ÿ
SA-4(4) ATRIBUIÇÃO DE COMPONENTES A SISTEMAS W: Incorporado no CM-8(9).
SA-4(5) CONFIGURAÇÕES DE SISTEMA, COMPONENTES E SERVIÇOS O ÿ
SA-4(6) USO DE PRODUTOS DE GARANTIA DE INFORMAÇÃO O ÿ
SA-4(7) PERFIS DE PROTEÇÃO APROVADOS PELO NIAP O ÿ
SA-4(8) PLANO DE MONITORAMENTO CONTÍNUO PARA CONTROLES O ÿ
SA-4(9) FUNÇÕES, PORTAS, PROTOCOLOS E SERVIÇOS EM USO O ÿ
SA-4(10) USO DE PRODUTOS PIV APROVADOS O ÿ
SA-4(11) SISTEMA DE REGISTROS O ÿ
SA-4(12) PROPRIEDADE DE DADOS O ÿ
5 Documentação do sistema O ÿ
SA-5(1) PROPRIEDADES FUNCIONAIS DOS CONTROLES DE SEGURANÇA W: Incorporado em SA-4(1).
SA-5(2) INTERFACES DE SISTEMA EXTERNO RELEVANTES PARA A SEGURANÇA W: Incorporado em SA-4(2).
SA-5(3) PROJETO DE ALTO NÍVEL W: Incorporado em SA-4(2).
SA-5(4) PROJETO DE BAIXO NÍVEL W: Incorporado em SA-4(2).
SA-5(5) CÓDIGO FONTE W: Incorporado em SA-4(2).
6 Restrições de uso de software W: Incorporado no CM-10 e SI-7.
7 Software instalado pelo usuário W: Incorporado no CM-11 e SI-7.
8 Princípios de engenharia de segurança e privacidade O ÿ
SA-8(1) ABSTRAÇÕES CLARAS EIXO ÿ
SA-8(2) MECANISMO MENOS COMUM EIXO ÿ
SA-8(3) MODULARIDADE E CAMADAS EIXO ÿ
SA-8(4) DEPENDÊNCIAS PARCIALMENTE ORDENADAS EIXO ÿ
SA-8(5) ACESSO MEDIADO EFICIENTEMENTE EIXO ÿ
SA-8(6) COMPARTILHAMENTO MINIMIZADO EIXO ÿ
SA-8(7) COMPLEXIDADE REDUZIDA EIXO ÿ
SA-8(8) EVOLVABILIDADE SEGURA EIXO ÿ
SA-8(9) COMPONENTES CONFIÁVEIS EIXO ÿ
SA-8(10) CONFIANÇA HIERÁRQUICA EIXO ÿ
SA-8(11) LIMITE DE MODIFICAÇÃO INVERSA EIXO ÿ
SA-8(12) PROTEÇÃO HIERÁRQUICA EIXO ÿ
SA-8(13) ELEMENTOS DE SEGURANÇA MINIMIZADOS EIXO ÿ
SA-8(14) ULTIMO PRIVILÉGIO EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-8(15)
SA-8(16)
SA-8(17)
SA-8(18)
SA-8(19)
PERMISSÃO PREDICADA
CONFIANÇA AUTOSSUFICIENTE
COMPOSIÇÃO DISTRIBUÍDA SEGURA
CANAIS DE COMUNICAÇÃO CONFIÁVEIS
PROTEÇÃO CONTÍNUA
NOME DO CONTROLE
IMPLEMENTADO
POR
EIXO
EIXO
EIXO
EIXO
EIXO
GARANTIA
SA-8(20) GERENCIAMENTO SEGURO DE METADADOS EIXO ÿ
SA-8(21) AUTO-ANÁLISE EIXO ÿ
SA-8(22) RESPONSABILIDADE E RASTREABILIDADE EIXO ÿ
SA-8(23) PADRÕES SEGUROS EIXO ÿ
SA-8(24) FALHA E RECUPERAÇÃO SEGURA EIXO ÿ
SA-8(25) SEGURANÇA ECONÔMICA EIXO ÿ
SA-8(26) PERFORMANCE DE SEGURANÇA EIXO ÿ
SA-8(27) SEGURANÇA FATORADA HUMANA EIXO ÿ
SA-8(28) SEGURANÇA ACEITÁVEL EIXO ÿ
SA-8(29) PROCEDIMENTOS REPETÍVEIS E DOCUMENTADOS EIXO ÿ
SA-8(30) RIGOR PROCESSUAL EIXO ÿ
SA-8(31) MODIFICAÇÃO SEGURA DO SISTEMA EIXO ÿ
SA-8(32) DOCUMENTAÇÃO SUFICIENTE EIXO ÿ
SA-8(33) MINIMIZAÇÃO EIXO ÿ
9 Serviços de sistema externo O ÿ
SA-9(1) AVALIAÇÕES DE RISCO E APROVAÇÕES ORGANIZACIONAIS O ÿ
SA-9(2) IDENTIFICAÇÃO DE FUNÇÕES, PORTAS, PROTOCOLOS E SERVIÇOS O ÿ
SA-9(3) ESTABELECER E MANTER RELACIONAMENTO DE CONFIANÇA COM OS FORNECEDORES O ÿ
SA-9(4) INTERESSES CONSISTENTES DE CONSUMIDORES E FORNECEDORES O ÿ
SA-9(5) LOCALIZAÇÃO DE PROCESSAMENTO, ARMAZENAMENTO E SERVIÇO O ÿ
SA-9(6) CHAVES CRIPTOGRÁFICAS CONTROLADAS PELA ORGANIZAÇÃO O ÿ
SA-9(7) VERIFICAÇÃO DE INTEGRIDADE CONTROLADA PELA ORGANIZAÇÃO O ÿ
SA-9(8) LOCAL DE PROCESSAMENTO E ARMAZENAMENTO - JURISDIÇÃO DOS EUA O ÿ
10 Gerenciamento de configuração do desenvolvedor O ÿ
SA-10(1) VERIFICAÇÃO DE INTEGRIDADE DE SOFTWARE E FIRMWARE O ÿ
SA-10(2) PROCESSOS ALTERNATIVOS DE GERENCIAMENTO DE CONFIGURAÇÃO O ÿ
SA-10(3) VERIFICAÇÃO DE INTEGRIDADE DE HARDWARE O ÿ
SA-10(4) GERAÇÃO CONFIÁVEL O ÿ
SA-10(5) MAPEANDO INTEGRIDADE PARA CONTROLE DE VERSÃO O ÿ
SA-10(6) DISTRIBUIÇÃO CONFIÁVEL O ÿ
SA-10(7) REPRESENTANTES DE SEGURANÇA E PRIVACIDADE O ÿ
SA-11 Teste e avaliação do desenvolvedor O ÿ
SA-11(1) ANÁLISE DE CÓDIGO ESTÁTICO O ÿ
SA-11(2) MODELAGEM DE AMEAÇAS E ANÁLISES DE VULNERABILIDADE O ÿ
SA-11(3) VERIFICAÇÃO INDEPENDENTE DE PLANOS DE AVALIAÇÃO E EVIDÊNCIAS O ÿ
SA-11(4) REVISÕES DE CÓDIGO MANUAIS O ÿ
SA-11(5) TESTE DE PENETRAÇÃO O ÿ
SA-11(6) AVALIAÇÕES DE SUPERFÍCIE DE ATAQUE O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-11(7)
SA-11(8)
SA-11(9)
12
SA-12(1)
ANÁLISE DINÂMICA DE CÓDIGO
NOME DO CONTROLE
VERIFIQUE O ESCOPO DO TESTE E AVALIAÇÃO
TESTE DE SEGURANÇA DE APLICATIVOS INTERATIVOS
Proteção da cadeia de suprimentos
ESTRATÉGIAS, FERRAMENTAS E MÉTODOS DE AQUISIÇÃO

IMPLEMENTADO
POR
W: Mudou-se para a família SR.
W: Movido para SR-5.

GARANTIA
SA-12(2) AVALIAÇÕES DE FORNECEDORES W: Movido para SR-6.
SA-12(3) ENVIO E ARMAZENAGEM CONFIÁVEIS W: Incorporado no SR-3.
SA-12(4) DIVERSIDADE DE FORNECEDORES W: Movido para SR-3(1).
SA-12(5) LIMITAÇÃO DE DANOS W: Movido para SR-3(2).
SA-12(6) MINIMIZANDO O TEMPO DE AQUISIÇÃO W: Incorporado no SR-5(1).
SA-12(7) AVALIAÇÕES ANTES DA SELEÇÃO / ACEITAÇÃO / ATUALIZAÇÃO W: Movido para SR-5(2).
SA-12(8) USO DE INTELIGÊNCIA DE TODAS AS FONTES W: Incorporado no RA-3(2).
SA-12(9) OPERAÇÕES DE SEGURANÇA W: Mudou-se para SR-7.
SA-12(10) VALIDAR COMO GENUÍNO E NÃO ALTERADO W: Movido para SR-4(3).
SA-12(11) TESTE DE PENETRAÇÃO / ANÁLISE DE ELEMENTOS, PROCESSOS E W: Movido para SR-6(1).

ATORES
SA-12(12) ACORDOS INTERORGANIZACIONAIS W: Movido para SR-8.
SA-12(13) COMPONENTES DO SISTEMA DE INFORMAÇÃO CRÍTICA W: Incorporado em MA-6 e RA-9.
SA-12(14) IDENTIDADE E RASTREABILIDADE W: Movido para SR-4(1) e SR-4(2).
SA-12(15) PROCESSOS PARA LIDAR COM DEFICIÊNCIAS OU DEFICIÊNCIAS W: Incorporado no SR-3.
SA-13 Confiabilidade W: Incorporado no SA-8.
SA-14 Análise de criticidade W: Incorporado no RA-9.
SA-14(1) COMPONENTES CRÍTICOS SEM FORNECIMENTO ALTERNATIVO VIÁVEL W: Incorporado no SA-20.
SA-15 Processo de desenvolvimento, padrões e ferramentas O ÿ
SA-15(1) MÉTRICAS DE QUALIDADE O ÿ
SA-15(2) FERRAMENTAS DE RASTREAMENTO DE SEGURANÇA E PRIVACIDADE O ÿ
SA-15(3) ANÁLISE DE CRITICALIDADE O ÿ
SA-15(4) MODELAGEM DE AMEAÇAS E ANÁLISE DE VULNERABILIDADE W: Incorporado em SA-11(2).
SA-15(5) REDUÇÃO DA SUPERFÍCIE DE ATAQUE O ÿ
SA-15(6) MELHORIA CONTINUA O ÿ
SA-15(7) ANÁLISE AUTOMATIZADA DE VULNERABILIDADE O ÿ
SA-15(8) REUTILIZAÇÃO DE INFORMAÇÕES SOBRE AMEAÇAS E VULNERABILIDADE O ÿ
SA-15(9) USO DE DADOS AO VIVO W: Incorporado em SA-3(2).
SA-15(10) PLANO DE RESPOSTA A INCIDENTES O ÿ
SA-15(11) SISTEMA OU COMPONENTE DE ARQUIVO O ÿ
SA-15(12) MINIMIZE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL O ÿ
16 Treinamento fornecido pelo desenvolvedor O ÿ
SA-17 Arquitetura e Design de Segurança e Privacidade para Desenvolvedores O ÿ
SA-17(1) MODELO DE POLÍTICA FORMAL O ÿ
SA-17(2) COMPONENTES RELEVANTES PARA A SEGURANÇA O ÿ
SA-17(3) CORRESPONDÊNCIA FORMAL O ÿ
SA-17(4) CORRESPONDÊNCIA INFORMAL O ÿ
SA-17(5) PROJETO CONCEITUALMENTE SIMPLES O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SA-17(6)
SA-17(7)
SA-17(8)
SA-17(9)
18
ESTRUTURA PARA TESTE
ESTRUTURA PARA MENOS PRIVILÉGIO
ORQUESTRAÇÃO
DIVERSIDADE DE DESIGN
NOME DO CONTROLE
Resistência e Detecção de Adulteração

IMPLEMENTADO
POR

GARANTIA
SA-18(1) MÚLTIPLAS FASES DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA W: Movido para SR-9(1).

SA-18(2) INSPEÇÃO DE SISTEMAS OU COMPONENTES
19 W: Mudou-se para SR-11.

Autenticidade do Componente
SA-19(1) TREINAMENTO ANTI-FALSIFICAÇÃO W: Movido para SR-11(1).
SA-19(2) CONTROLE DE CONFIGURAÇÃO PARA SERVIÇO E REPARO DE COMPONENTES W: Movido para SR-11(2).
W: Mudou-se para SR-12.

SA-19(3) ELIMINAÇÃO DE COMPONENTES
SA-19(4) DIGITALIZAÇÃO ANTI-FALSA W: Movido para SR-11(3).
20 Desenvolvimento Personalizado de Componentes Críticos O ÿ
21 Triagem do desenvolvedor O ÿ
SA-21(1) VALIDAÇÃO DA TRIAGEM W: Incorporado no SA-21.
22 Componentes do sistema não suportados O ÿ
SA-22(1) FONTES ALTERNATIVAS PARA APOIO CONTÍNUO W: Incorporado no SA-22.
SA-23 Especialização O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-1
SC-2
SC-2(1)
SC-2(2)
TABELA C-18: FAMÍLIA DE PROTEÇÃO DE SISTEMA E COMUNICAÇÕES
NOME DO CONTROLE
Separação de funcionalidade do sistema e do usuário

INTERFACES PARA USUÁRIOS NÃO PRIVILEGIADOS
DESASSOCIABILIDADE
IMPLEMENTADO
POR
S
GARANTIA
SC-3 Isolamento da função de segurança S ÿ
SC-3(1) SEPARAÇÃO DE HARDWARE S ÿ
SC-3(2) FUNÇÕES DE ACESSO E CONTROLE DE FLUXO S ÿ
SC-3(3) MINIMIZAR A FUNCIONALIDADE DE NÃO SEGURANÇA EIXO ÿ
SC-3(4) ACOPLAMENTO E COESIVIDADE DO MÓDULO EIXO ÿ
SC-3(5) ESTRUTURAS EM CAMADAS EIXO ÿ
SC-4 Informações em recursos compartilhados do sistema S
SC-4(1) NÍVEIS DE SEGURANÇA W: Incorporado no SC-4.
SC-4(2) PROCESSAMENTO MULTILÍVEL OU PERÍODOS S
SC-5 Proteção contra negação de serviço S
SC-5(1) CAPACIDADE RESTRITA DE ATACAR OUTROS SISTEMAS S
SC-5(2) CAPACIDADE, LARGURA DE BANDA E REDUNDÂNCIA S
SC-5(3) DETECÇÃO E MONITORAMENTO S
SC-6 Disponibilidade de recursos S ÿ
SC-7 Proteção de limite S
SC-7(1) SUB-REDES FISICAMENTE SEPARADAS W: Incorporado no SC-7.
SC-7(2) ACESSO PÚBLICO W: Incorporado no SC-7.
SC-7(3) PONTOS DE ACESSO S
SC-7(4) SERVIÇOS DE TELECOMUNICAÇÕES EXTERNAS O
SC-7(5) NEGAR POR PADRÃO – PERMITIR POR EXCEÇÃO S
SC-7(6) RESPOSTA ÀS FALHAS RECONHECIDAS W: Incorporado ao SC-7(18).
SC-7(7) TÚNEL DIVIDIDO PARA DISPOSITIVOS REMOTOS S
SC-7(8) ROTEIE TRÁFEGO PARA SERVIDORES PROXY AUTENTICADOS S
SC-7(9) RESTRITAR TRÁFEGO DE COMUNICAÇÕES DE SAÍDA AMEAÇADO S
SC-7(10) EVITE A EXFILTRAÇÃO S
SC-7(11) RESTRINGIR TRÁFEGO DE COMUNICAÇÕES DE ENTRADA S
SC-7(12) PROTEÇÃO BASEADA EM HOST S
SC-7(13) ISOLAMENTO DE FERRAMENTAS, MECANISMOS E SUPORTE DE SEGURANÇA S
COMPONENTES
SC-7(14) PROTEJA CONTRA CONEXÕES FÍSICAS NÃO AUTORIZADAS S
SC-7(15) ACESSOS PRIVILEGIADOS EM REDE S
SC-7(16) EVITAR A DESCOBERTA DE COMPONENTES DO SISTEMA S
SC-7(17) APLICAÇÃO AUTOMATIZADA DE FORMATOS DE PROTOCOLO S
SC-7(18) FALHA SEGURA S ÿ
SC-7(19) BLOQUEAR COMUNICAÇÃO DE CONFIGURADOS NÃO ORGANIZACIONALMENTE S
ANFITRIÕES
SC-7(20) ISOLAMENTO DINÂMICO E SEGREGAÇÃO S
SC-7(21) ISOLAMENTO DE COMPONENTES DO SISTEMA EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-7(22)
SC-7(23)
SC-7(24)
SC-7(25)
SC-7(26)
NOME DO CONTROLE
SUB-REDES SEPARADAS PARA CONECÇÃO A DIFERENTES DOMÍNIOS DE SEGURANÇA
DESATIVAR FEEDBACK DO REMETENTE SOBRE FALHA NA VALIDAÇÃO DO PROTOCOLO
INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEL
CONEXÕES NÃO CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL
CONEXÕES CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL

IMPLEMENTADO
POR
EIXO
O
GARANTIA
SC-7(27) CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS O
SC-7(28) CONEXÕES COM REDES PÚBLICAS O
SC-7(29) SUB-REDES SEPARADAS PARA ISOLAR FUNÇÕES S
SC-8 Confidencialidade e Integridade da Transmissão S
SC-8(1) PROTEÇÃO CRIPTOGRÁFICA S
SC-8(2) MANUSEIO PRÉ E PÓS-TRANSMISSÃO S
SC-8(3) PROTEÇÃO CRIPTOGRÁFICA PARA MENSAGENS EXTERNAS S
SC-8(4) OCULTAR OU RANDOMIZAR COMUNICAÇÕES S
SC-8(5) SISTEMA DE DISTRIBUIÇÃO PROTEGIDO S
SC-9 Confidencialidade de Transmissão W: Incorporado no SC-8.
SC-10 Desconexão de rede S
SC-11 Caminho confiável S ÿ
SC-11(1) CAMINHO DE COMUNICAÇÃO IRREFUGÁVEL S ÿ
SC-12 Estabelecimento e gerenciamento de chave criptográfica EIXO
SC-12(1) DISPONIBILIDADE EIXO
SC-12(2) CHAVES SIMÉTRICAS EIXO
SC-12(3) CHAVES ASSIMÉTRICAS EIXO
SC-12(4) CERTIFICADOS PKI W: Incorporado em SC-12(3).
SC-12(5) CERTIFICADOS PKI / TOKENS DE HARDWARE W: Incorporado em SC-12(3).
SC-12(6) CONTROLE FÍSICO DAS CHAVES EIXO
SC-13 Proteção criptográfica S
SC-13(1) CRIPTOGRAFIA VALIDADA POR FIPS W: Incorporado ao SC-13.
SC-13(2) CRIPTOGRAFIA APROVADA pela NSA W: Incorporado ao SC-13.
SC-13(3) INDIVÍDUOS SEM APROVAÇÕES FORMAIS DE ACESSO W: Incorporado ao SC-13.
SC-13(4) ASSINATURAS DIGITAIS W: Incorporado ao SC-13.
SC-14 Proteções de acesso público W: Incorporado em AC-2, AC-3, AC-5, SI-3,

SI-4, SI-5, SI-7 e SI-10.
SC-15 Dispositivos e aplicativos de computação colaborativa S
SC-15(1) DESCONEXÃO FÍSICA OU LÓGICA S
SC-15(2) BLOQUEIO DE TRÁFEGO DE COMUNICAÇÕES DE ENTRADA E SAÍDA W: Incorporado no SC-7.
SC-15(3) DESATIVAÇÃO E REMOÇÃO EM ÁREAS DE TRABALHO SEGURAS O
SC-15(4) INDIQUE EXPLICITAMENTE OS PARTICIPANTES ATUAIS S
SC-16 Transmissão de atributos de segurança e privacidade S
SC-16(1) VERIFICAÇÃO DE INTEGRIDADE S
SC-16(2) MECANISMOS ANTI-SPOOFING S
SC-16(3) LIGAÇÃO CRIPTOGRÁFICA S
SC-17 Certificados de infraestrutura de chave pública EIXO
SC-18 Código móvel O
SC-18(1) IDENTIFIQUE CÓDIGO INACEITÁVEL E TOME AÇÕES CORRETIVAS S

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-18(2)
SC-18(3)
SC-18(4)
SC-18(5)
SC-19
EVITAR DOWNLOAD E EXECUÇÃO
EVITE A EXECUÇÃO AUTOMÁTICA

NOME DO CONTROLE
AQUISIÇÃO, DESENVOLVIMENTO E USO
PERMITIR A EXECUÇÃO SOMENTE EM AMBIENTES CONFINADOS
Voz sobre protocolo de Internet

IMPLEMENTADO
POR
S
GARANTIA
W: Específico da tecnologia; abordado como qualquer

outra tecnologia ou protocolo.
SC-20 Serviço seguro de resolução de nomes/endereços S
(Fonte autorizada)
SC-20(1) SUBESPAÇOS INFANTIS W: Incorporado no SC-20.
SC-20(2) ORIGEM E INTEGRIDADE DOS DADOS S
SC-21 Serviço seguro de resolução de nomes/endereços S
(Resolvedor recursivo ou de cache)
SC-21(1) ORIGEM E INTEGRIDADE DOS DADOS W: Incorporado no SC-21.
SC-22 Arquitetura e provisionamento para S
Serviço de resolução de nome/endereço

SC-23 Autenticidade da sessão S
SC-23(1) INVALIDAR IDENTIFICADORES DE SESSÃO NO LOGOUT S
SC-23(2) LOGOUTS INICIADOS PELO USUÁRIO E EXIBIÇÕES DE MENSAGENS W: Incorporado no AC-12(1).
SC-23(3) IDENTIFICADORES DE SESSÃO GERADOS PELO SISTEMA ÚNICOS S
SC-23(4) IDENTIFICADORES DE SESSÃO ÚNICOS COM RANDOMIZAÇÃO W: Incorporado em SC-23(3).
SC-23(5) AUTORIDADES DE CERTIFICAÇÃO PERMITIDAS S
SC-24 Falha no estado conhecido S ÿ
SC-25 Nós finos S
SC-26 Iscas S
SC-26(1) DETECÇÃO DE CÓDIGO MALICIOSO W: Incorporado no SC-35.
SC-27 Aplicativos independentes de plataforma S
SC-28 Proteção de informações em repouso S
SC-28(1) PROTEÇÃO CRIPTOGRÁFICA S
SC-28(2) ARMAZENAMENTO OFF-LINE O
SC-28(3) CHAVES CRIPTOGRÁFICAS EIXO
SC-29 Heterogeneidade O ÿ
SC-29(1) TÉCNICAS DE VIRTUALIZAÇÃO O ÿ
SC-30 Ocultação e Desorientação O ÿ
SC-30(1) TÉCNICAS DE VIRTUALIZAÇÃO W: Incorporado em SC-29(1).
SC-30(2) ALEATORIEDADE O ÿ
SC-30(3) ALTERAR LOCAIS DE PROCESSAMENTO E ARMAZENAMENTO O ÿ
SC-30(4) INFORMAÇÃO ENGANOSA O ÿ
SC-30(5) OCULTAÇÃO DE COMPONENTES DO SISTEMA O ÿ
SC-31 Análise de canal secreto O ÿ
SC-31(1) TESTE CANAIS COBERTOS PARA EXPLORAÇÃO O ÿ
SC-31(2) LARGURA DE BANDA MÁXIMA O ÿ
SC-31(3) MEDIR A LARGURA DE BANDA EM AMBIENTES OPERACIONAIS O ÿ
SC-32 Particionamento do sistema EIXO ÿ
SC-32(1) DOMÍNIOS FÍSICOS SEPARADOS PARA FUNÇÕES PRIVILEGIADAS EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SC-33
SC-34
SC-34(1)
SC-34(2)
SC-34(3)
NOME DO CONTROLE
Integridade da Preparação da Transmissão
Programas executáveis não modificáveis
SEM ARMAZENAMENTO GRAVÁVEL
PROTEÇÃO DE INTEGRIDADE E MÍDIA SOMENTE LEITURA
PROTEÇÃO BASEADA EM HARDWARE

IMPLEMENTADO
POR
W: Incorporado no SC-8.
W: Mudou-se para SC-51.

GARANTIA
SC-35 Identificação de código malicioso externo S
SC-36 Processamento e armazenamento distribuído O ÿ
SC-36(1) TÉCNICAS DE PESQUISA O ÿ
SC-36(2) SINCRONIZAÇÃO O ÿ
SC-37 Canais fora de banda O ÿ
SC-37(1) GARANTIR ENTREGA E TRANSMISSÃO O ÿ
SC-38 Operações de Segurança O ÿ
SC-39 Isolamento de Processo S ÿ
SC-39(1) SEPARAÇÃO DE HARDWARE S ÿ
SC-39(2) DOMÍNIO DE EXECUÇÃO SEPARADO POR THREAD S ÿ
SC-40 Proteção de link sem fio S
SC-40(1) INTERFERÊNCIA ELETROMAGNÉTICA S
SC-40(2) REDUZIR O POTENCIAL DE DETECÇÃO S
SC-40(3) ENGANO DE COMUNICAÇÕES IMITATIVAS OU MANIPULATIVAS S
SC-40(4) IDENTIFICAÇÃO DO PARÂMETRO DE SINAL S
SC-41 Acesso a portas e dispositivos de E/S EIXO
SC-42 Capacidade e dados do sensor S
SC-42(1) RELATÓRIOS A INDIVÍDUOS OU FUNÇÕES AUTORIZADOS O
SC-42(2) USO AUTORIZADO O
SC-42(3) PROIBIR O USO DE DISPOSITIVOS W: Incorporado no SC-42.
SC-42(4) AVISO DE COLETA O
SC-42(5) MINIMIZAÇÃO DA COLETA O
SC-43 Restrições de uso EIXO
SC-44 Câmaras de Detonação S
SC-45 Sincronização de hora do sistema S
SC-45(1) SINCRONIZAÇÃO COM FONTE DE TEMPO AUTORITIVA S
SC-45(2) FONTE DE TEMPO AUTORITATIVA SECUNDÁRIA S
SC-46 Aplicação de políticas entre domínios S
SC-47 Caminhos de comunicação alternativos EIXO
SC-48 Realocação do Sensor EIXO
SC-48(1) REALOCAÇÃO DINÂMICA DE SENSORES OU CAPACIDADES DE MONITORAMENTO EIXO
SC-49 Separação imposta por hardware e aplicação de políticas EIXO ÿ
SC-50 Separação imposta por software e aplicação de políticas EIXO ÿ
SC-51 Proteção Baseada em Hardware EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
E um
E2
SI-2(1)
SI-2(2)
TABELA C-19: FAMÍLIA DE INTEGRIDADE DE SISTEMA E INFORMAÇÃO
Correção de Falhas
GESTÃO CENTRAL
NOME DO CONTROLE
STATUS DE REMEDIAÇÃO AUTOMATIZADA DE FALHAS

IMPLEMENTADO
POR
O
GARANTIA
SI-2(3) TEMPO PARA REMEDIAR FALHAS E BENCHMARKS PARA CORRETIVO O
AÇÕES
SI-2(4) FERRAMENTAS AUTOMATIZADAS DE GERENCIAMENTO DE PATCH EIXO
SI-2(5) ATUALIZAÇÕES AUTOMÁTICAS DE SOFTWARE E FIRMWARE EIXO
SI-2(6) REMOÇÃO DE VERSÕES ANTERIORES DE SOFTWARE E FIRMWARE EIXO
e-3 Proteção contra códigos maliciosos EIXO
SI-3(1) GESTÃO CENTRAL W: Incorporado ao PL-9.
SI-3(2) ATUALIZAÇÕES AUTOMÁTICAS W: Incorporado no SI-3.
SI-3(3) USUÁRIOS NÃO PRIVILEGIADOS W: Incorporado no AC-6(10).
SI-3(4) ATUALIZAÇÕES SOMENTE PARA USUÁRIOS PRIVILEGIADOS EIXO
SI-3(5) DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS W: Incorporado ao MP-7.
SI-3(6) TESTE E VERIFICAÇÃO O
SI-3(7) DETECÇÃO NÃO BASEADA EM ASSINATURA W: Incorporado no SI-3.
SI-3(8) DETECTAR COMANDOS NÃO AUTORIZADOS S
SI-3(9) AUTENTICAR COMANDOS REMOTOS W: Movido para AC-17(10).
SI-3(10) ANÁLISE DE CÓDIGOS MALICIOSOS O
SI-4 Monitoramento do sistema EIXO ÿ
SI-4(1) SISTEMA DE DETECÇÃO DE INTRUSÃO EM TODO O SISTEMA EIXO ÿ
SI-4(2) FERRAMENTAS E MECANISMOS AUTOMATIZADOS PARA ANÁLISE EM TEMPO REAL S ÿ
SI-4(3) INTEGRAÇÃO AUTOMATIZADA DE FERRAMENTAS E MECANISMOS S ÿ
SI-4(4) TRÁFEGO DE COMUNICAÇÕES DE ENTRADA E SAÍDA S ÿ
SI-4(5) ALERTAS GERADOS PELO SISTEMA S ÿ
SI-4(6) RESTRITAR USUÁRIOS NÃO PRIVILEGIADOS W: Incorporado no AC-6(10).
SI-4(7) RESPOSTA AUTOMATIZADA A EVENTOS SUSPEITOS S ÿ
SI-4(8) PROTEÇÃO DE INFORMAÇÕES DE MONITORAMENTO W: Incorporado no SI-4.
SI-4(9) TESTE DE FERRAMENTAS E MECANISMOS DE MONITORAMENTO O ÿ
SI-4(10) VISIBILIDADE DE COMUNICAÇÕES CRIPTOGRAFADAS O ÿ
SI-4(11) ANALISAR ANOMALIAS DE TRÁFEGO DE COMUNICAÇÕES EIXO ÿ
SI-4(12) ALERTAS AUTOMATIZADOS GERADOS PELA ORGANIZAÇÃO EIXO ÿ
SI-4(13) ANALISE PADRÕES DE TRÁFEGO E EVENTOS EIXO ÿ
SI-4(14) DETECÇÃO DE INTRUSÃO SEM FIO S ÿ
SI-4(15) COMUNICAÇÕES SEM FIO PARA FIO S ÿ
SI-4(16) INFORMAÇÕES DE MONITORAMENTO CORRELACIONADAS EIXO ÿ
SI-4(17) CONSCIÊNCIA SITUACIONAL INTEGRADA O ÿ
SI-4(18) ANALISAR TRÁFEGO E EXFILTRAÇÃO COBERTA EIXO ÿ
SI-4(19) RISCO PARA INDIVÍDUOS O ÿ
SI-4(20) USUÁRIOS PRIVILEGIADOS S ÿ
SI-4(21) PERÍODOS PROBATÓRIOS O ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SI-4(22)
SI-4(23)
SI-4(24)
SI-4(25)
SI-5
SERVIÇOS DE REDE NÃO AUTORIZADOS
DISPOSITIVOS BASEADOS EM HOST
INDICADORES DE COMPROMISSO
OTIMIZAR A ANÁLISE DE TRÁFEGO DE REDE

NOME DO CONTROLE
Alertas, recomendações e diretivas de segurança

IMPLEMENTADO
POR
O
S
S
GARANTIA
SI-5(1) ALERTAS E AVISOS AUTOMATIZADOS O ÿ
SI-6 Verificação da função de segurança e privacidade S ÿ
SI-6(1) NOTIFICAÇÃO DE TESTES DE SEGURANÇA FALHADOS W: Incorporado no SI-6.
SI-6(2) SUPORTE DE AUTOMAÇÃO PARA TESTES DISTRIBUÍDOS S
SI-6(3) RELATÓRIO DE RESULTADOS DE VERIFICAÇÃO O
E7 Integridade de software, firmware e informações EIXO ÿ
SI-7(1) VERIFICAÇÕES DE INTEGRIDADE S ÿ
SI-7(2) NOTIFICAÇÕES AUTOMATIZADAS DE VIOLAÇÕES DE INTEGRIDADE S ÿ
SI-7(3) FERRAMENTAS DE INTEGRIDADE GERENCIADA CENTRALMENTE O ÿ
SI-7(4) EMBALAGEM INFLAMÁVEL W: Incorporado no SR-9.
SI-7(5) RESPOSTA AUTOMATIZADA ÀS VIOLAÇÕES DE INTEGRIDADE S ÿ
SI-7(6) PROTEÇÃO CRIPTOGRÁFICA S ÿ
SI-7(7) INTEGRAÇÃO DE DETECÇÃO E RESPOSTA O ÿ
SI-7(8) CAPACIDADE DE AUDITORIA PARA EVENTOS SIGNIFICATIVOS S ÿ
SI-7(9) VERIFIQUE O PROCESSO DE INICIALIZAÇÃO S ÿ
SI-7(10) PROTEÇÃO DE FIRMWARE DE INICIALIZAÇÃO S ÿ
SI-7(11) AMBIENTES CONFINADOS COM PRIVILÉGIOS LIMITADOS W: Movido para CM-7(6).
SI-7(12) VERIFICAÇÃO DE INTEGRIDADE EIXO ÿ
SI-7(13) EXECUÇÃO DE CÓDIGO EM AMBIENTES PROTEGIDOS W: Movido para CM-7(7).
SI-7(14) CÓDIGO BINÁRIO OU EXECUTÁVEL POR MÁQUINA W: Movido para CM-7(8).
SI-7(15) AUTENTICAÇÃO DE CÓDIGO S ÿ
SI-7(16) LIMITE DE TEMPO PARA EXECUÇÃO DO PROCESSO SEM SUPERVISÃO O ÿ
SI-7(17) AUTOPROTEÇÃO DE APLICATIVO EM TEMPO DE EXECUÇÃO EIXO ÿ
SI-8 Proteção contra SPAM O
SI-8(1) GESTÃO CENTRAL W: Incorporado ao PL-9.
SI-8(2) ATUALIZAÇÕES AUTOMÁTICAS S
SI-8(3) CAPACIDADE DE APRENDIZAGEM CONTÍNUA S
SI-9 Restrições de entrada de informações W: Incorporado em AC-2, AC-3, AC-5 e AC-6.
SI-10 Validação de entrada de informações S ÿ
SI-10(1) CAPACIDADE DE SUBSTITUIÇÃO MANUAL EIXO ÿ
SI-10(2) REVER E RESOLVER ERROS O ÿ
SI-10(3) COMPORTAMENTO PREVISÍVEL EIXO ÿ
SI-10(4) INTERAÇÕES DE TEMPO S ÿ
SI-10(5) RESTRINGIR AS ENTRADAS A FONTES CONFIÁVEIS E FORMATOS APROVADOS S ÿ
SI-10(6) PREVENÇÃO DE INJEÇÃO S ÿ
SI-11 Manipulação de erros S
SI-12 Gestão e retenção de informações O
SI-12(1) LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS O

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SI-12(2)
SI-12(3)
SI-13
SI-13(1)
ELIMINAÇÃO DE INFORMAÇÕES
NOME DO CONTROLE
MINIMIZAR INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL NOS TESTE,
TREINAMENTO E PESQUISA
Prevenção de falhas previsível
TRANSFERINDO RESPONSABILIDADES DOS COMPONENTES
LIMITE DE TEMPO PARA EXECUÇÃO DO PROCESSO SEM SUPERVISÃO

IMPLEMENTADO
POR
W: Incorporado no SI-7(16).
GARANTIA
SI-13(2)
SI-13(3) TRANSFERÊNCIA MANUAL ENTRE COMPONENTES O ÿ
SI-13(4) INSTALAÇÃO E NOTIFICAÇÃO DE COMPONENTES EM ESPERA

EIXO ÿ
SI-13(5) CAPACIDADE DE FALHA O ÿ
SI-14 Não Persistência O ÿ
SI-14(1) ATUALIZAR DE FONTES CONFIÁVEIS O ÿ
SI-14(2) INFORMAÇÕES NÃO PERSISTENTES O ÿ
SI-14(3) CONECTIVIDADE NÃO PERSISTENTE O ÿ
SI-15 Filtragem de saída de informações S ÿ
SI-16 Proteção de memória S ÿ
SI-17 Procedimentos à prova de falhas S ÿ
SI-18 Operações de qualidade de informações pessoalmente identificáveis EIXO
SUPORTE À AUTOMAÇÃO
SI-18(1) EIXO
ETIQUETAS DE DADOS
SI-18(2) EIXO
COLEÇÃO
SI-18(3) EIXO
SI-18(4) PEDIDOS INDIVIDUAIS EIXO
AVISO DE CORREÇÃO OU EXCLUSÃO

SI-18(5) EIXO
SI-19 Desidentificação EIXO
COLEÇÃO
SI-19(1) EIXO
ARQUIVAMENTO
SI-19(2) EIXO
LIBERAR
SI-19(3) EIXO
S
SI-19(4) REMOÇÃO, MASCARAMENTO, CRIPTOGRAFIA, HASH OU SUBSTITUIÇÃO DE
IDENTIFICADORES DIRETOS
CONTROLE DE DIVULGAÇÃO ESTATÍSTICA

SI-19(5) EIXO
PRIVACIDADE DIFERENCIAL
SI-19(6) EIXO
ALGORITMOS E SOFTWARE VALIDADOS O

SI-19(7)
INTRUSO MOTIVADO
SI-19(8) EIXO
SI-20 Contaminação EIXO ÿ
SI-21 Atualização de informações EIXO ÿ
SI-22 Diversidade de Informação EIXO ÿ
SI-23 Fragmentação de Informação EIXO ÿ

e
g
_________________________________________________________________________________________________
pe
E AO CONTROLE
NÚMERO
SR-1
SR-2
SR-2(1)
SR-3
TABELA C-20: FAMÍLIA DE GERENCIAMENTO DE RISCO DA CADEIA DE FORNECIMENTO
NOME DO CONTROLE
Plano de gerenciamento de risco da cadeia de suprimentos
ESTABELECER EQUIPE SCRM
Controles e processos da cadeia de suprimentos

IMPLEMENTADO
POR
EIXO
GARANTIA
SR-3(1) BASE DE FORNECIMENTO DIVERSIFICADA O ÿ
SR-3(2) LIMITAÇÃO DE DANOS O ÿ
SR-3(3) FLUXO DE SUB-NÍVEL PARA BAIXO O ÿ
SR-4 Proveniência O ÿ
SR-4(1) IDENTIDADE O ÿ
SR-4(2) SEGUIR E RASTREAR O ÿ
SR-4(3) VALIDAR COMO GENUÍNO E NÃO ALTERADO O ÿ
SR-4(4) INTEGRIDADE DA CADEIA DE FORNECIMENTO — PEDIGREE O ÿ
SR-5 Estratégias, ferramentas e métodos de aquisição O ÿ
SR-5(1) FORNECIMENTO ADEQUADO O ÿ
SR-5(2) AVALIAÇÕES ANTES DA SELEÇÃO, ACEITAÇÃO, MODIFICAÇÃO OU O ÿ

ATUALIZAR
SR-6 Avaliações e análises de fornecedores O ÿ
SR-6(1) TESTE E ANÁLISE O ÿ
SR-7 Segurança de Operações da Cadeia de Suprimentos O ÿ
SR-8 Acordos de Notificação O ÿ
SR-9 Resistência e Detecção de Adulteração O ÿ
SR-9(1) MÚLTIPLOS ESTÁGIOS DO CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA O ÿ
SR-10 Inspeção de Sistemas ou Componentes O ÿ
SR-11 Autenticidade do Componente O ÿ
SR-11(1) TREINAMENTO ANTI-FALSIFICAÇÃO O ÿ
SR-11(2) CONTROLE DE CONFIGURAÇÃO PARA SERVIÇO E REPARO DE COMPONENTES O ÿ
SR-11(3) DIGITALIZAÇÃO ANTI-FALSA O ÿ
SR-12 Descarte de Componentes O ÿ

NIST Security and Privacy Controls For Information Systems and Organizations P2

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NIST Security and Privacy Controls For Information Systems and Organizations P2

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Controles relacionados: CM-6, CM-7.

Controles Relacionados: SR-2.

(4) SERVIÇOS DE SISTEMA EXTERNO | INTERESSES CONSISTENTES DE CONSUMIDORES E FORNECEDORES

Controles relacionados: Nenhum.

(5) SERVIÇOS DE SISTEMA EXTERNO | LOCALIZAÇÃO DE PROCESSAMENTO, ARMAZENAMENTO E SERVIÇO

Restringir a localização de [Seleção (uma ou mais): processamento de informações; informações ou dados;

Discussão: A localização do processamento de informações, do armazenamento de informações e dados ou dos serviços do

CAPÍTULO TRÊS PÁGINA 272

Controles Relacionados: SA-5, SR-4.

(6) SERVIÇOS DE SISTEMA EXTERNO | CHAVES CRIPTOGRÁFICAS CONTROLADAS PELA ORGANIZAÇÃO

Manter controle exclusivo de chaves criptográficas para material criptografado armazenado ou

Controles Relacionados: SC-12, SC-13, SI-4.

(7) SERVIÇOS DE SISTEMA EXTERNO | VERIFICAÇÃO DE INTEGRIDADE CONTROLADA PELA ORGANIZAÇÃO

Controles Relacionados: SI-7.

Restrinja a localização geográfica do processamento de informações e armazenamento de dados a instalações

Controles Relacionados: SA-5, SR-4.

GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR SA-10

Controle: Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema:

c. Implementar apenas alterações aprovadas pela organização no sistema, componente ou serviço;

CAPÍTULO TRÊS PÁGINA 273

e. Rastreie falhas de segurança e resolução de falhas no sistema, componente ou serviço e relate

(1) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO DE INTEGRIDADE DE SOFTWARE E FIRMWARE

Controles Relacionados: SI-7, SR-11.

(2) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | GESTÃO DE CONFIGURAÇÃO ALTERNATIVA

Forneça um processo alternativo de gerenciamento de configuração usando pessoal organizacional na ausência de

Discussão: Processos alternativos de gerenciamento de configuração podem ser necessários quando as

Controles relacionados: Nenhum.

(3) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO DE INTEGRIDADE DE HARDWARE

CAPÍTULO TRÊS PÁGINA 274

Controles Relacionados: SI-7.

(4) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | GERAÇÃO CONFIÁVEL

Controles relacionados: Nenhum.

(5) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | MAPEANDO INTEGRIDADE PARA CONTROLE DE VERSÃO

Controles relacionados: Nenhum.

(6) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | DISTRIBUIÇÃO CONFIÁVEL

Controles relacionados: Nenhum.

(7) GERENCIAMENTO DE CONFIGURAÇÃO DO DESENVOLVEDOR | REPRESENTANTES DE SEGURANÇA E PRIVACIDADE

CAPÍTULO TRÊS PÁGINA 275

TESTE E AVALIAÇÃO DO DESENVOLVEDOR SA-11

a. Desenvolver e implementar um plano para avaliações contínuas de segurança e controle de privacidade;

c. Produzir evidências da execução do plano de avaliação e dos resultados dos testes e

d. Implementar um processo verificável de correção de falhas; e

e. Corrigir falhas identificadas durante testes e avaliação.

Discussão: Os testes e avaliações de desenvolvimento confirmam que os controles necessários são

CAPÍTULO TRÊS PÁGINA 276

Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema empregue

Controles relacionados: Nenhum.

(2) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | MODELAGEM DE AMEAÇAS E ANÁLISES DE VULNERABILIDADE

Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute

seguintes informações contextuais: [ Atribuição: informações definidas pela organização sobre

Controles relacionados: PM-15, RA-3, RA-5.

(3) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | VERIFICAÇÃO INDEPENDENTE DE PLANOS DE AVALIAÇÃO E

CAPÍTULO TRÊS PÁGINA 277

Discussão: Os agentes independentes têm as qualificações – incluindo conhecimento, habilidades,

(4) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | REVISÕES DE CÓDIGO MANUAIS

Controles relacionados: Nenhum.

(5) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | TESTE DE PENETRAÇÃO

(b) Sob as seguintes restrições: [Atribuição: restrições definidas pela organização].

Controles Relacionados: CA-8, PM-14, PM-25, PT-2, SA-3, SI-2, SI-6.

(6) TESTE E AVALIAÇÃO DO DESENVOLVEDOR | AVALIAÇÕES DE SUPERFÍCIE DE ATAQUE

Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema execute