Escolar Documentos
Profissional Documentos
Cultura Documentos
NIST Security and Privacy Controls For Information Systems and Organizations P1
NIST Security and Privacy Controls For Information Systems and Organizations P1
Setembro de 2020
INCLUI ATUALIZAÇÕES DE 10/12/2020; VER PÁGINA XVII
_________________________________________________________________________________________________
pe
E Autoridade
Esta publicação foi desenvolvida pelo NIST para promover suas responsabilidades legais sob a Lei Federal de
Modernização da Segurança da Informação (FISMA), 44 USC § 3551 e seguintes, Lei Pública (PL) 113-283. O NIST é
responsável pelo desenvolvimento de padrões e diretrizes de segurança da informação, incluindo requisitos mínimos para
sistemas de informação federais. Tais padrões e diretrizes de segurança da informação não se aplicarão aos sistemas
de segurança nacional sem a aprovação expressa dos funcionários federais apropriados que exerçam autoridade
política sobre tais sistemas. Esta diretriz é consistente com os requisitos do Escritório de Gestão e Orçamento (OMB)
Circular A-130.
Nada nesta publicação deve ser interpretado como contradizendo os padrões e diretrizes tornados obrigatórios e
vinculativos para as agências federais pelo Secretário de Comércio sob autoridade estatutária. Estas diretrizes
também não devem ser interpretadas como alterando ou substituindo as autoridades existentes do Secretário de
Comércio, do Diretor do OMB ou de qualquer outro funcionário federal. Esta publicação pode ser usada por
organizações não-governamentais de forma voluntária e não está sujeita a direitos autorais nos Estados Unidos. A
atribuição seria, no entanto, apreciada pelo NIST.
CÓDIGOS: NSPUE2
Certas entidades comerciais, equipamentos ou materiais podem ser identificados neste documento para descrever adequadamente
um procedimento ou conceito experimental. Tal identificação não pretende implicar recomendação ou endosso do NIST, nem
pretende implicar que as entidades, materiais ou equipamentos sejam necessariamente os melhores disponíveis para esse fim.
Pode haver referências nesta publicação a outras publicações atualmente em desenvolvimento pelo NIST de acordo com as
responsabilidades estatutárias atribuídas. As informações contidas nesta publicação, incluindo conceitos, práticas e metodologias,
podem ser usadas por agências federais mesmo antes da conclusão de tais publicações complementares. Assim, até que cada
publicação seja concluída, os requisitos, diretrizes e procedimentos atuais, onde existirem, permanecerão em vigor. Para fins de
planejamento e transição, as agências federais podem querer acompanhar de perto o desenvolvimento destas novas publicações
do NIST.
As organizações são incentivadas a revisar as versões preliminares das publicações durante os períodos designados para
comentários públicos e fornecer feedback ao NIST. Muitas publicações do NIST, além das mencionadas acima, estão disponíveis
em https://csrc.nist.gov/publications.
Todos os comentários estão sujeitos a divulgação de acordo com a Lei de Liberdade de Informação (FOIA) [FOIA96].
eu
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Relatórios sobre tecnologia de sistemas de computador
O Laboratório de Tecnologia da Informação (ITL) do Instituto Nacional de Padrões e Tecnologia (NIST) promove a
economia e o bem-estar público dos EUA, fornecendo liderança técnica para a infraestrutura de medição e
padrões do país. A ITL desenvolve testes, métodos de teste, dados de referência, implementações de prova de
conceito e análises técnicas para avançar no desenvolvimento e no uso produtivo da tecnologia da informação
(TI). As responsabilidades do ITL incluem o desenvolvimento de padrões e diretrizes gerenciais, administrativas,
técnicas e físicas para a segurança econômica de informações que não sejam relacionadas à segurança nacional
em sistemas de informação federais. A publicação especial da série 800 relata as pesquisas, diretrizes e
esforços de divulgação do ITL em segurança e privacidade de sistemas de informação e suas atividades
colaborativas com organizações industriais, governamentais e acadêmicas.
Abstrato
Esta publicação fornece um catálogo de controles de segurança e privacidade para sistemas de informação e
organizações para proteger operações e ativos organizacionais, indivíduos, outras organizações e a Nação contra
um conjunto diversificado de ameaças e riscos, incluindo ataques hostis, erros humanos, desastres naturais,
estruturas falhas, entidades de inteligência estrangeiras e riscos de privacidade. Os controles são flexíveis e
personalizáveis e implementados como parte de um processo de gerenciamento de riscos em toda a
organização. Os controles atendem a diversos requisitos derivados da missão e das necessidades de negócios,
leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. Finalmente, o catálogo de controlo
consolidado aborda a segurança e a privacidade de uma perspectiva de funcionalidade (ou seja, a força das funções
e mecanismos fornecidos pelos controlos) e de uma perspectiva de garantia (ou seja, a medida de confiança na
capacidade de segurança ou privacidade fornecida pelos controlos). ). Abordar a funcionalidade e a garantia ajuda a
garantir que a tecnologia da informação
os produtos e os sistemas que dependem desses produtos são suficientemente confiáveis.
Palavras-chave
eu
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Reconhecimentos
Esta publicação foi desenvolvida pelo Grupo de Trabalho Interinstitucional da Força-Tarefa
Conjunta . O grupo inclui representantes das comunidades civil, de defesa e de inteligência.
O Instituto Nacional de Padrões e Tecnologia deseja reconhecer e agradecer aos altos líderes do
Departamento de Comércio, do Departamento de Defesa, do Gabinete do Diretor de Inteligência
Nacional, do Comitê de Sistemas de Segurança Nacional e aos membros do grupo de trabalho
interagências cujo esforços dedicados contribuíram significativamente para esta publicação.
iii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Além dos agradecimentos acima, uma nota especial de agradecimento a Jeff Brewer, Jim Foti e à equipe web do
NIST por seu excelente suporte administrativo. Os autores também desejam reconhecer Kristen Baldwin, Carol Bales,
John Bazile, Jennifer Besceglie, Sean Brooks, Ruth Cannatti, Kathleen Coupe, Keesha Crosby, Charles Cutshall,
Ja'Nelle DeVore, Jennifer Fabius, Jim Fenton, Hildy Ferraiolo, Ryan Galluzzo, Robin Gandhi, Mike Garcia, Paul Grassi,
Marc Groman, Matthew Halstead, Kevin Herms, Scott Hill, Ralph Jones, Martin Kihiko, Raquel Leone, Jason Marsico,
Kirsten Moncada, Ellen Nadeau, Elaine Newton, Michael Nieles, Michael Nussdorfer, Taylor Roberts , Jasmeet
Seehra, Joe Stuntz, Jeff Williams, a equipe profissional da Divisão de Segurança de Computadores do NIST e da
Divisão de Segurança Cibernética Aplicada, e os representantes do Conselho Federal de CIOs, Conselho Federal
de CISO, Conselho Federal de Privacidade, Grupo de Trabalho Interagências de Linha de Base de Controle,
Segurança e Privacidade Grupo de Trabalho de Colaboração e Subcomitê de Gerenciamento de Risco do
Conselho Federal de Privacidade por suas contribuições contínuas para ajudar a melhorar o conteúdo da
publicação. Finalmente, os autores agradecem as contribuições de indivíduos e organizações dos setores público e
privado, tanto a nível nacional como internacional, cujos comentários perspicazes e construtivos melhoraram
a qualidade geral, o rigor e a utilidade desta publicação.
Os autores queriam agradecer aos muitos indivíduos que contribuíram para versões anteriores
da Publicação Especial 800-53 desde o seu início em 2005. Eles incluem Marshall Abrams,
Dennis Bailey, Lee Badger, Curt Barker, Matthew Barrett, Nadya Bartol, Frank Belz, Paul
Bicknell , Deb Bodeau, Paul Brusil, Brett Burley, Bill Burr, Dawn Cappelli, Roger Caslow, Corinne
Castanza, Mike Cooper, Matt Coose, Dominic Cussatt, George Dinolt, Randy Easter, Kurt Eleam,
Denise Farrar, Dave Ferraiolo, Cita Furlani, Harriett Goldman, Peter Gouldmann, Tim Grance,
Jennifer Guild, Gary Guissanie, Sarbari Gupta, Priscilla Guthrie, Richard Hale, Peggy Himes,
Bennett Hodge, William Hunteman, Cynthia Irvine, Arnold Johnson, Roger Johnson, Donald
Jones, Lisa Kaiser, Stuart Katzke, Sharon Keller, Tom Kellermann, Cass Kelly, Eustace King,
Daniel Klemm, Steve LaFountain, Annabelle Lee, Robert Lentz, Steven Lipner, William
MacGregor, Thomas Macklin, Thomas Madden, Robert Martin, Erika McCallister, Tim McChesney,
Michael McEvilley, Rosalie McQuaid , Peter Mell, John Mildner, Pam Miller, Sandra Miravalle, Joji Montelibano, Douglas
Montgomery, George Moore, Rama Moorthy, Mark Morrison, Harvey Newstrom, Sherrill Nicely,
Robert Niemeyer, LouAnna Notargiacomo, Pat O'Reilly, Tim Polk, Karen Quigg, Steve Quinn,
Mark Riddle, Ed Roback, Cheryl Roby, George Rogers, Scott Rose, Mike Rubin, Karen Scarfone,
Roger Schell, Jackie Snouffer, Ray Snouffer, Murugiah Souppaya, Gary Stoneburner, Keith
Stouffer, Marianne Swanson, Pat Toth, Glenda Turner, Patrick Viscuso, Joe Weiss, Richard
Wilsher, Mark Wilson, John Woodward, e Carol Woody.
4
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Aviso de divulgação de patente
Na data da publicação e após a(s) chamada(s) para a identificação de reivindicações de patente cujo uso
possa ser necessário para conformidade com as orientações ou requisitos desta publicação, nenhuma dessas
reivindicações de patente foi identificada para o ITL.
Nenhuma declaração é feita ou implícita pela ITL de que licenças não são necessárias para evitar violação
de patente no uso desta publicação.
em
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E GERENCIAMENTO DE RISCOS
As organizações devem exercer a devida diligência na gestão da segurança da informação e dos riscos
de privacidade. Isto é conseguido, em parte, através do estabelecimento de um programa abrangente de
gestão de riscos que utiliza a flexibilidade inerente às publicações do NIST para categorizar sistemas,
selecionar e implementar controles de segurança e privacidade que atendam à missão e às necessidades
de negócios, avaliar a eficácia dos controles, autorizar os sistemas para operação e monitorar
continuamente os sistemas. Exercer a devida diligência e implementar programas robustos e abrangentes
de segurança da informação e gestão de riscos de privacidade pode facilitar a conformidade com leis,
regulamentos, ordens executivas e políticas governamentais aplicáveis. Os quadros de gestão de riscos
e os processos de gestão de riscos são essenciais no desenvolvimento, implementação e manutenção
das medidas de protecção necessárias para responder às necessidades das partes interessadas e às
actuais ameaças às operações e activos organizacionais, aos indivíduos, a outras organizações e à
Nação. A utilização de processos, procedimentos, métodos e tecnologias eficazes baseados no risco
garante que os sistemas e organizações de informação tenham a fiabilidade e a resiliência necessárias
para apoiar a missão essencial e as funções empresariais, a infra-estrutura crítica dos EUA e a continuidade do governo.
nós
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E FUNDAÇÕES COMUNS DE SEGURANÇA E PRIVACIDADE
Ao trabalhar com o Escritório de Gestão e Orçamento para desenvolver padrões e diretrizes exigidos
pela FISMA, o NIST consulta agências federais, governos estaduais, locais e tribais e organizações
do setor privado para melhorar a segurança e a privacidade da informação, evitar duplicação de
esforços desnecessária e dispendiosa. e ajudar a garantir que as suas publicações sejam
complementares às normas e diretrizes utilizadas para a proteção dos sistemas de segurança
nacional. Além de um processo abrangente e transparente de revisão e comentários públicos, o NIST
está envolvido em uma parceria colaborativa com o Escritório de Gestão e Orçamento, Escritório do
Diretor de Inteligência Nacional, Departamento de Defesa, Comitê de Sistemas de Segurança
Nacional, Conselho Federal de CIO, e o Conselho Federal de Privacidade para estabelecer uma
Estrutura de Gerenciamento de Risco (RMF) para segurança e privacidade da informação para o
Governo Federal. Essa base comum fornece ao Governo Federal e aos seus contratados maneiras
econômicas, flexíveis e consistentes de gerenciar riscos de segurança e privacidade para operações
e ativos organizacionais, indivíduos, outras organizações e a Nação. A estrutura fornece uma base
para a aceitação recíproca de evidências de avaliação de controle de segurança e privacidade e
decisões de autorização e facilita o compartilhamento e a colaboração de informações. O NIST
continua a trabalhar com entidades dos setores público e privado para estabelecer mapeamentos e
relações entre os padrões e diretrizes desenvolvidos pelo NIST e aqueles desenvolvidos por outras
organizações. O NIST prevê o uso desses mapeamentos e das lacunas que eles identificam para melhorar o catálogo de controle.
vii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DESENVOLVIMENTO DE SISTEMAS, COMPONENTES E SERVIÇOS DE INFORMAÇÃO
Com uma ênfase renovada na utilização de sistemas de informação seguros e confiáveis e na segurança
da cadeia de abastecimento, é essencial que as organizações expressem os seus requisitos de segurança
e privacidade com clareza e especificidade, a fim de obter os sistemas, componentes e serviços
necessários para a missão e o sucesso empresarial. . Dessa forma, esta publicação fornece controles nas
famílias Aquisição de Sistemas e Serviços (SA) e Gerenciamento de Risco da Cadeia de Suprimentos
(SR) direcionados aos desenvolvedores. O escopo dos controles nessas famílias inclui o sistema de
informação, o componente do sistema e o desenvolvimento de serviços do sistema e os desenvolvedores
associados, quer o desenvolvimento seja conduzido internamente pelas organizações ou externamente
por meio dos processos de contratação e aquisição. Os controles afetados no catálogo de controles
incluem SA-8, SA-10, SA-11, SA -15, SA-16, SA-17, SA-20, SA-21 , SR-3, SR-4, SR- 5, SR-6, SR-7, SR-8, SR-9 e SR-11.
viii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E SISTEMAS DE INFORMAÇÃO — UMA PERSPECTIVA AMPLA
À medida que levamos os computadores ao “limite”, construindo um mundo cada vez mais complexo de sistemas e
dispositivos interligados, a segurança e a privacidade continuam a dominar o diálogo nacional. Há uma necessidade
urgente de fortalecer ainda mais os sistemas, produtos e serviços subjacentes dos quais dependemos em todos os
setores da infraestrutura crítica para garantir que esses sistemas, produtos e serviços sejam suficientemente
confiáveis e forneçam a resiliência necessária para apoiar a economia e interesses de segurança nacional dos
Estados Unidos. A Publicação Especial 800-53 do NIST, Revisão 5, responde a esta necessidade embarcando em
uma abordagem proativa e sistêmica para desenvolver
e disponibilizar a uma ampla base de organizações dos setores público e privado um conjunto abrangente de medidas
de proteção de segurança e privacidade para todos os tipos de plataformas de computação, incluindo sistemas de
computação de uso geral, sistemas ciberfísicos, sistemas em nuvem, sistemas móveis, sistemas de controle industrial,
e dispositivos de Internet das Coisas (IoT). As medidas de salvaguarda incluem controlos de segurança e privacidade
para proteger as operações e ativos críticos e essenciais das organizações e a privacidade dos indivíduos. O objetivo
é tornar os sistemas dos quais dependemos mais resistentes à penetração de ataques, limitar os danos causados por
esses ataques quando eles ocorrem,
e tornar os sistemas resilientes, capazes de sobreviver e que protejam a privacidade dos indivíduos.
ix
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E LINHAS DE BASE DE CONTROLE
As linhas de base de controle que foram anteriormente incluídas na Publicação Especial NIST 800-53 foram
realocadas para a Publicação Especial NIST 800-53B. SP 800-53B contém linhas de base de controle de
segurança e privacidade para sistemas e organizações de informação federais. Ele fornece orientação para
adaptar linhas de base de controle e desenvolver sobreposições para apoiar os requisitos de segurança e
privacidade das partes interessadas e suas organizações. A Instrução 1253 do CNSS fornece linhas de base
de controle e orientação para categorização de segurança e seleção de controle de segurança para sistemas
de segurança nacional.
x
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E USO DE EXEMPLOS NESTA PUBLICAÇÃO
Ao longo desta publicação, exemplos são usados para ilustrar, esclarecer ou explicar determinados
itens nas seções dos capítulos, controles e aprimoramentos de controles. Estes exemplos são de
natureza ilustrativa e não se destinam a limitar ou restringir a aplicação de controles ou melhorias de
controle pelas organizações.
XI
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E COLABORAÇÃO DE GESTÃO DE REGISTROS FEDERAIS
Os processos de gerenciamento de registros federais têm uma ligação com certos requisitos e controles de
segurança e privacidade da informação. Por exemplo, os responsáveis pelos registros podem gerenciar a
retenção de registros, inclusive quando os registros serão excluídos. A colaboração com os responsáveis pelos
registros na seleção e implementação de controles de segurança e privacidade relacionados ao gerenciamento
de registros pode apoiar a consistência e a eficiência e, em última análise, fortalecer a postura de segurança e
privacidade da organização.
xii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Índice
xiii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Sumário executivo
À medida que levamos os computadores ao “limite”, construindo um mundo cada vez mais complexo de sistemas e
dispositivos de informação conectados, a segurança e a privacidade continuarão a dominar o diálogo nacional. No seu relatório
de 2017, Task Force on Cyber Deterrence [DSB 2017], o Defense Science Board (DSB) fornece uma avaliação preocupante
das vulnerabilidades actuais na infra-estrutura crítica dos EUA e nos sistemas de informação que apoiam operações e
activos essenciais à missão no público. e setores privados.
“…A Força-Tarefa observa que a ameaça cibernética à infraestrutura crítica dos EUA está ultrapassando
esforços para reduzir vulnerabilidades generalizadas, de modo que, pelo menos durante a próxima década, os Estados Unidos
deve apoiar-se significativamente na dissuasão para enfrentar a ameaça cibernética representada pelos mais capazes
Adversários dos EUA. É evidente que uma abordagem mais proactiva e sistemática à cibersegurança dos EUA
a dissuasão é urgentemente necessária…”
Há uma necessidade urgente de reforçar ainda mais os sistemas de informação subjacentes, produtos componentes e serviços
dos quais a Nação depende em todos os sectores da infra-estrutura crítica—
assegurar que esses sistemas, componentes e serviços sejam suficientemente fiáveis e proporcionem a resiliência necessária
para apoiar os interesses económicos e de segurança nacional dos Estados Unidos. Esta atualização da Publicação Especial
do NIST (SP) 800-53 responde ao apelo do OSC ao embarcar em uma abordagem proativa e sistêmica para desenvolver e
disponibilizar a uma ampla base de organizações do setor público e privado um conjunto abrangente de medidas de salvaguarda
para todos tipos de plataformas de computação, incluindo sistemas de computação de uso geral, sistemas ciberfísicos, sistemas
baseados em nuvem, dispositivos móveis, dispositivos de Internet das Coisas (IoT), sistemas de armas, sistemas espaciais,
sistemas de comunicações, sistemas de controle ambiental, supercomputadores e sistemas industriais sistemas de
controle. Essas medidas de salvaguarda incluem a implementação de controlos de segurança e privacidade para proteger
as operações e ativos críticos e essenciais das organizações e a privacidade dos indivíduos. Os objetivos são tornar os sistemas
de informação dos quais dependemos mais resistentes à penetração, limitar os danos causados pelos ataques quando
estes ocorrem,
A revisão 5 desta publicação fundamental do NIST representa um esforço plurianual para desenvolver a próxima geração de
controles de segurança e privacidade que serão necessários para atingir os objetivos acima. Inclui mudanças para tornar os
controles mais utilizáveis por diversos grupos de consumidores (por exemplo, empresas que realizam missões e funções de
negócios; organizações de engenharia que desenvolvem sistemas de informação, dispositivos IoT e sistemas de
sistemas; e parceiros da indústria que constroem componentes de sistemas, produtos e serviços ). As mudanças mais
significativas neste
publicação incluem:
• Tornar os controles mais baseados em resultados , removendo a entidade responsável pela satisfação do controle (isto é,
sistema de informação, organização) da declaração de controle;
• Separar os processos de seleção de controle dos controles, permitindo assim que os controles sejam usados por diferentes
comunidades de interesse, incluindo engenheiros de sistemas, arquitetos de segurança, desenvolvedores de software,
arquitetos corporativos, engenheiros de segurança e privacidade de sistemas e proprietários de missões ou negócios;
XIV
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E • Remoção das linhas de base de controle e adaptação das orientações da publicação e transferência do conteúdo
para NIST SP 800-53B, Linhas de Base de Controle para Sistemas de Informação e Organizações;
• Incorporar controles novos e de última geração (por exemplo, controles para apoiar a resiliência cibernética, apoiar
o projeto de sistemas seguros e fortalecer a governança e a responsabilização da segurança e da
privacidade) com base nos mais recentes dados de inteligência sobre ameaças e ataques cibernéticos.
Ao separar o processo de seleção de controle dos controles e remover as linhas de base de controle, uma
quantidade significativa de orientações e outros materiais informativos anteriormente contidos na SP 800-53 foram
eliminados. Esse conteúdo será movido para outras publicações do NIST, como SP
800-37 (Risk Management Framework) e SP 800-53B durante o próximo ciclo de atualização. Num futuro próximo, o
NIST também planeja oferecer o conteúdo do SP 800-53, SP 800-53A e SP 800-53B para um portal baseado na web
para fornecer aos seus clientes acesso on-line interativo a todos os controles, linha de base de controle, sobreposição
e informações de avaliação.
xv
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Prólogo
“…Através do processo de gestão de risco, os líderes devem considerar o risco para os interesses dos EUA
de adversários que utilizam o ciberespaço em seu benefício e dos nossos próprios esforços para empregar a
natureza global do ciberespaço para alcançar objetivos em operações militares, de inteligência e comerciais…
“…Os líderes em todos os níveis são responsáveis por garantir a prontidão e a segurança no mesmo grau que em
qualquer outro domínio…”
__________
“As redes e a tecnologia da informação [estão] transformando a vida no século 21, mudando a forma como as
pessoas, as empresas e o governo interagem. Grandes melhorias na computação, no armazenamento e nas
comunicações estão a criar novas oportunidades para melhorar o nosso bem-estar social; melhorar a
saúde e os cuidados de saúde; eliminação de barreiras à educação e ao emprego; e aumentar a eficiência
em muitos setores, como manufatura, transporte e agricultura.
A promessa destas novas aplicações deriva muitas vezes da sua capacidade de criar, recolher, transmitir,
processar e arquivar informações em grande escala. No entanto, o grande aumento na quantidade de informação
pessoal que está a ser recolhida e retida, combinado com a maior capacidade de a analisar e combinar com outra
informação, está a criar preocupações válidas sobre a privacidade e sobre a capacidade das entidades para gerir
estes volumes sem precedentes. de dados com responsabilidade…. Um desafio fundamental desta era é garantir
que as capacidades crescentes para criar, capturar, armazenar e processar grandes quantidades de informação
não prejudiquem os valores fundamentais do país….”
“…Quando os sistemas processam informações pessoais, seja coletando, analisando, gerando, divulgando,
retendo ou utilizando as informações de outra forma, eles podem impactar a privacidade dos indivíduos.
Os projetistas de sistemas precisam considerar os indivíduos como partes interessadas no desenvolvimento geral
da solução.…Projetar para a privacidade deve conectar os desejos de privacidade dos indivíduos com os
requisitos e controles do sistema de uma forma que efetivamente conecte as aspirações com o desenvolvimento….”
CONSELHO NACIONAL DE CIÊNCIA E TECNOLOGIA , PROGRAMA DE PESQUISA E DESENVOLVIMENTO DE REDES E TECNOLOGIA DA INFORMAÇÃO
xvi
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Errata
Esta tabela contém alterações que foram incorporadas à SP 800-53, Revisão 5. As atualizações de erratas podem
incluir correções, esclarecimentos ou outras pequenas alterações na publicação que sejam de natureza editorial ou
substantiva . Quaisquer possíveis atualizações deste documento que ainda não tenham sido publicadas em uma
atualização ou revisão de errata – incluindo problemas adicionais e possíveis correções – serão publicadas à medida
que forem identificadas; consulte os detalhes da publicação SP 800-53, Revisão 5 .
Seção 1.4: Excluir “Os controles também foram mapeados de acordo com os
12-10-2020 Editorial requisitos para sistemas de informação federais incluídos em [OMB A-130].” 5
Seção 1.4 (nota de rodapé 23): Excluir “[OMB A-130] estabelece política para
planejamento, orçamento, governança, aquisição e gestão de
12-10-2020 Editorial 5
informações federais, pessoal, equipamentos, fundos, recursos de TI e infraestrutura
e serviços de apoio.”
Seção 2.4 (primeiro parágrafo): Alterar “informações de identificação
12-10-2020 Editorial 13
pessoal (PII)” para “PII”
Controle AC-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
12-10-2020 Editorial negócios; nível de sistema” para “nível de organização; Nível de missão/ processo de 18
negócios; Nível do sistema”
Controle AC-1 Discussão: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 18
“incidentes ou violações de segurança”
Aprimoramento de controle AC-3(2) Discussão: Alterar “deveres de autorização
12-10-2020 Editorial 23
para outros indivíduos” para “deveres de autorização”
xvii
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
REVISÃO
52
53
54
“AC-20 b.”
XVIII
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
106
108
115
115
119
para “incidentes ou violações de segurança”
Título do CP-9(7) de aprimoramento de controle: Altere
12-10-2020 Editorial “AUTORIZAÇÃO DUPLA” para “AUTORIZAÇÃO DUPLA PARA EXCLUSÃO OU 127
DESTRUIÇÃO”
XIX
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
179
179
183
183
192
Referências do Controle PM-24: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 217
A-130]”
12-10-2020 Editorial Controles relacionados ao PM-25: Adicionar “, SI-12” 217
Referências do Controle PM-25: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 217
A-130]”
12-10-2020 Editorial Referências do controle PM-29: Adicionar “, [SP 800-181]” 219
12-10-2020 Editorial Referências de controle PM-30: Adicione “[CNSSD 505],” 220
12-10-2020 Editorial Discussão do Controle PM-31: Alterar “SC-18c” para “SC-18b” 220
12-10-2020 Editorial Referências do controle PM-31: Adicionar “, [SP 800-137A]” 221
xx
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
“autorizado”
A-130]”
REVISÃO
Referências do Controle PT-2: Altere “[OMB A-130, Apêndice II]” para “[OMB
230
231
231
232
234
Referências do Controle RA-8: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 247
A-130]”
12-10-2020 Editorial Controles relacionados ao RA-9: Adicione “PM-11,” 247
xxi
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Substantivo
Substantivo
Substantivo
Substantivo
REVISÃO
297
298
298
298
Referências do Controle SI-10: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 351
A-130]”
Aprimoramento de controle SI-12(1): Altere “PII” para “informações de
12-10-2020 Editorial 352
identificação pessoal”
XXII
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
363
363
364
365
365
369
Referências [ATOM54]: Alterar “Lei de Energia Atômica (PL 107)” para “Lei de
12-10-2020 Editorial 374
Energia Atômica (PL 83-703)”
Referências [ISO 15026-1]: Alteração “Organização Internacional de Padronização/
Comissão Eletrotécnica Internacional (ISO/IEC) 15026-1:2013, Engenharia
de sistemas e software —
Garantia de sistemas e software — Parte 1: Conceitos e vocabulário,
novembro de 2013.
https://www.iso.org/standard/62526.html” para “Organização Internacional de
12-10-2020 Editorial 377
Padronização/Comissão Eletrotécnica Internacional/Instituto de Engenheiros
Elétricos e Eletrônicos (ISO/IEC/IEEE) 15026-1:2019, Engenharia de
sistemas e software -
Garantia de sistemas e software — Parte 1: Conceitos e vocabulário,
março de 2019.
https://www.iso.org/standard/73567.html”
12-10-2020 Editorial Referências: Excluir “[ISO 28001]” 378
https://www.iso.org/standard/72089.html”
12-10-2020 Editorial Referências [SP 800-53B]: Altere “Draft NIST” para “NIST” 381
Referências: Adicionar “[SP 800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer
R, Rudman R, Urban S (2020) Avaliando Programas de Monitoramento
Contínuo de Segurança da Informação (ISCM): Desenvolvendo uma Avaliação de
12-10-2020 Editorial 387
Programa ISCM. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-
137A. https://doi.org/10.6028/NIST.SP.800-137A”
12-10-2020 Editorial Referências: Excluir “[SP 800-161-1]” 387
XXIII
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
TIPO
Editorial
REVISÃO
388
https://doi.org/10.6028/NIST.SP.800-181r1”
Referências [DODTERMS]: Altere “http://
www.dtic.mil/dtic/tr/fulltext/u2/a485800.pdf” para “https://www.jcs.mil/
12-10-2020 Editorial 391
Portals/36/Documents/Doctrine/pubs /dicção
e.pdf"
Apêndice A Glossário (falsificado): Altere “[SP 800-161-1]” para [SP 800-161]”
12-10-2020 Editorial 400
XXIV
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
427
428
429
429
431
434
435
xxxv
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E CAPÍTULO UM
INTRODUÇÃO
Os sistemas de informação modernos1 podem incluir uma variedade de plataformas de computação (por exemplo, plataformas industriais).
Os controlos de segurança são as salvaguardas ou contramedidas utilizadas num sistema ou numa organização para
proteger a confidencialidade, integridade e disponibilidade do sistema e das suas informações e para gerir o risco de
segurança da informação3. Os controles de privacidade são as salvaguardas administrativas, técnicas e físicas empregadas
em um sistema ou organização para gerenciar riscos de privacidade e garantir a conformidade com os requisitos de
4
privacidade aplicáveis. Segurança e
os controles de privacidade são selecionados e implementados para satisfazer os requisitos de segurança e privacidade
cobrado de um sistema ou organização. Os requisitos de segurança e privacidade derivam de leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e necessidades de missão aplicáveis para garantir a confidencialidade,
integridade e disponibilidade das informações processadas, armazenadas ou transmitidas e para gerenciar riscos à
privacidade individual.
A selecção, concepção e implementação de controlos de segurança e privacidade5 são tarefas importantes que têm
implicações significativas para as operações6 e activos das organizações, bem como para o bem-estar dos indivíduos e da
Nação. As organizações devem responder a diversas questões importantes ao abordar a segurança da informação e os
controles de privacidade:
• Quais controles de segurança e privacidade são necessários para satisfazer os requisitos de segurança e privacidade
e gerenciar adequadamente os riscos de missão/negócio ou riscos para os indivíduos?
• Qual é o nível de garantia exigido (ou seja, motivos de confiança) de que os controles selecionados, conforme
projetados e implementados, são eficazes?7
1 Um sistema de informação é um conjunto discreto de recursos de informação organizados para a coleta, processamento, manutenção, uso,
compartilhamento, disseminação ou disposição de informações [OMB A-130].
2 O termo organização descreve uma entidade de qualquer tamanho, complexidade ou posicionamento dentro de uma estrutura organizacional (por
exemplo, uma agência federal ou, conforme apropriado, qualquer um dos seus elementos operacionais).
3 Os dois termos segurança da informação e segurança são usados como sinônimos nesta publicação.
4 [OMB A-130] define controles de segurança e privacidade.
5 Os controles fornecem salvaguardas e contramedidas nos processos de segurança de sistemas e engenharia de privacidade para reduzir riscos durante o ciclo de vida de desenvolvimento
do sistema.
6 As operações organizacionais incluem missão, funções, imagem e reputação.
7 A eficácia do controle de segurança e privacidade aborda até que ponto os controles são implementados corretamente, operando conforme pretendido
e produzindo o resultado desejado no que diz respeito ao cumprimento dos requisitos de segurança e privacidade designados [SP 800-53A].
CAPÍTULO UM PÁGINA 1
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E As respostas a estas questões não são dadas isoladamente, mas sim no contexto de um processo de gestão
de riscos para a organização que identifica, avalia, responde e monitoriza continuamente os riscos de segurança
e privacidade decorrentes das suas informações e sistemas.
8O
Os controles de segurança e privacidade nesta publicação são recomendados para uso pelas organizações para
satisfazer seus requisitos de segurança e privacidade da informação. O catálogo de controle pode ser visto como
uma caixa de ferramentas contendo uma coleção de salvaguardas, contramedidas, técnicas e processos
para responder aos riscos de segurança e privacidade. Os controles são empregados como parte de um processo de
gerenciamento de risco bem definido que dá suporte a programas organizacionais de segurança e privacidade da
informação. Por sua vez, esses programas de segurança e privacidade da informação estabelecem as bases para o
sucesso da missão e das funções comerciais da organização.
É importante que os funcionários responsáveis compreendam os riscos de segurança e privacidade que podem
afetar negativamente as operações e os ativos organizacionais, os indivíduos, outras organizações e a Nação.
9
Estes funcionários também devem compreender o estado actual dos seus programas de segurança e
privacidade e os controlos planeados ou em vigor para proteger a informação, os sistemas de informação e as
organizações, a fim de fazer julgamentos e investimentos informados que respondam aos riscos identificados de
uma forma aceitável. O objetivo é gerir estes riscos através da seleção e implementação de controles de segurança
e privacidade.
8 A Estrutura de Gestão de Riscos em [SP 800-37] é um exemplo de um processo abrangente de gestão de riscos.
9 Isto inclui riscos para infraestruturas críticas e recursos-chave descritos em [HSPD-7].
10 Um sistema de informação federal é um sistema de informação usado ou operado por uma agência, um contratante de uma agência ou
outra organização em nome de uma agência.
11 Os sistemas de informação que foram designados como sistemas de segurança nacional, conforme definido em 44 USC, Seção
3542, não estão sujeitos aos requisitos da [FISMA]. Contudo, os controles estabelecidos nesta publicação podem ser selecionados para
sistemas de segurança nacional conforme exigido de outra forma (por exemplo, a Lei de Privacidade de 1974) ou com a aprovação
de autoridades federais que exerçam autoridade política sobre tais sistemas. [CNSSP 22] e [CNSSI 1253] fornecem orientações
para sistemas de segurança nacional. [DODI 8510.01] fornece orientação para o Departamento de Defesa.
12 Embora os controles estabelecidos nesta publicação sejam obrigatórios para sistemas e organizações de informação federais, outras
organizações, como governos estaduais, locais e tribais, bem como organizações do setor privado, são incentivadas a considerar o uso
dessas diretrizes, conforme apropriado. Consulte [SP 800-53B] para linhas de base de controle federal.
CAPÍTULO UM PÁGINA 2
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Finalmente, os controles são independentes do processo empregado para selecioná-los. O
processo de seleção de controle pode fazer parte de um processo de gerenciamento de riscos em toda a organização, um
processo de engenharia de sistemas [SP 800-160-1], 13
a Estrutura de Gestão de Risco [SP 800-37],
o Quadro de Segurança Cibernética [NIST CSF] ou o Quadro de Privacidade [NIST PF].
leis federais, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A combinação de um catálogo de
controles de segurança e privacidade e um processo de seleção de controles baseado em risco pode ajudar as organizações
a cumprir os requisitos declarados de segurança e privacidade, obter segurança adequada para seus sistemas de informação
e proteger a privacidade dos indivíduos.
14 O controle
Os critérios de seleção podem ser orientados e informados por muitos fatores, incluindo a missão e as necessidades do negócio,
as necessidades de proteção das partes interessadas, as ameaças, as vulnerabilidades e os requisitos para cumprir com
1.2 PÚBLICO-ALVO
• Indivíduos com responsabilidades logísticas ou relacionadas com a disposição, incluindo gestores de programas,
funcionários de aquisições, integradores de sistemas e gestores de propriedades;
Gerenciar riscos de segurança e privacidade é uma tarefa complexa e multifacetada que requer:
13 A gestão de riscos é parte integrante da engenharia de sistemas, da engenharia de segurança de sistemas e da engenharia de privacidade.
14
[OMB A-130] exige que as agências federais implementem a Estrutura de Gerenciamento de Risco do NIST para a seleção de
controles para sistemas de informação federais. [EO 13800] exige que as agências federais implementem a Estrutura NIST para Melhorar a
Segurança Cibernética de Infraestruturas Críticas para gerenciar o risco de segurança cibernética. As estruturas do NIST também estão
disponíveis para organizações não federais como recursos opcionais.
CAPÍTULO UM PÁGINA 3
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E • Rigoroso planejamento de segurança e privacidade e gerenciamento do ciclo de vida de desenvolvimento de sistemas;
• O emprego de práticas de segurança e privacidade que sejam devidamente documentadas e integradas e apoiem
os processos institucionais e operacionais das organizações; e
• Monitoramento contínuo dos sistemas de informação e das organizações para determinar a eficácia contínua dos controles,
as mudanças nos sistemas de informação e nos ambientes de operação, e o estado de segurança e privacidade em
toda a organização.
As organizações avaliam continuamente os riscos de segurança e privacidade para as operações e ativos organizacionais,
indivíduos, outras organizações e a Nação. Os riscos de segurança e privacidade surgem do planejamento e execução da
missão organizacional e das funções de negócios, da colocação em operação de sistemas de informação ou da continuidade
das operações do sistema. Avaliações realistas de risco exigem uma compreensão completa da suscetibilidade a ameaças
com base nas vulnerabilidades específicas em sistemas e organizações de informação e na probabilidade e potenciais
impactos adversos de explorações bem-sucedidas de tais vulnerabilidades por essas ameaças.15 As avaliações de risco
também exigem uma compreensão dos riscos de privacidade. .16
Para atender às preocupações da organização sobre avaliação e determinação de riscos, os requisitos de segurança e
privacidade são satisfeitos com o conhecimento e compreensão do
estratégia de gerenciamento de riscos organizacionais. 17 A estratégia de gestão de risco considera o custo,
questões de cronograma, desempenho e cadeia de suprimentos associadas ao projeto, desenvolvimento, aquisição,
implantação, operação, sustentação e descarte de sistemas organizacionais. Um processo de gerenciamento de risco é então
18
aplicado para gerenciar o risco de forma contínua.
O catálogo de controles de segurança e privacidade pode ser usado com eficácia para proteger organizações, indivíduos
e sistemas de informação contra ameaças persistentes tradicionais e avançadas e riscos à privacidade decorrentes do
processamento de informações de identificação pessoal (PII) em diversos cenários operacionais, ambientais e técnicos.
Os controles podem ser usados para demonstrar conformidade com uma variedade de requisitos de segurança e privacidade
governamentais, organizacionais ou institucionais. As organizações têm a responsabilidade de selecionar os controles de
segurança e privacidade apropriados, de implementar os controles corretamente e de demonstrar a eficácia dos
controles no cumprimento dos requisitos de segurança e privacidade.19 Os controles de segurança e privacidade também
podem ser usados no desenvolvimento de linhas de base especializadas ou sobreposições para missões ou aplicações de
negócios únicas ou especializadas, sistemas de informação, preocupações com ameaças, ambientes operacionais, tecnologias
ou comunidades de interesse.20
CAPÍTULO UM PÁGINA 4
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E As avaliações de risco organizacional são usadas, em parte, para informar o processo de seleção do controle
de segurança e privacidade. O processo de seleção resulta em um conjunto acordado de controles de
segurança e privacidade que abordam missões específicas ou necessidades de negócios consistentes
com a tolerância ao risco organizacional.21 O processo preserva, na medida do possível, a agilidade e a
flexibilidade que as organizações precisam para lidar com um ambiente cada vez mais sofisticado. e espaço
para ameaças hostis, requisitos de missão e negócios, tecnologias em rápida mudança, cadeias de suprimentos complexas e muitos
tipos de ambientes operacionais.
Esta publicação define controles para satisfazer um conjunto diversificado de requisitos de segurança e
privacidade que foram impostos aos sistemas e organizações de informação e que são consistentes e
complementares a outros padrões nacionais e internacionais reconhecidos de segurança e privacidade da
informação. Para desenvolver um conjunto de controles amplamente aplicável e tecnicamente sólido para
sistemas e organizações de informação, muitas fontes foram consideradas durante o desenvolvimento desta
publicação. Essas fontes incluíam requisitos e controles das comunidades de manufatura, defesa, finanças,
saúde, transporte, energia, inteligência, controle industrial e auditoria, bem como organizações de padronização
nacionais e internacionais. Além disso, os controles nesta publicação são usados pela comunidade de
segurança nacional em publicações como a Instrução nº 1253 do Comitê de Sistemas de Segurança Nacional
(CNSS) [CNSSI 1253] para fornecer orientações específicas para sistemas designados como sistemas de
segurança nacional. Sempre que possível, os controles foram mapeados de acordo com padrões internacionais
para ajudar a garantir a máxima usabilidade e aplicabilidade.22 A relação desta publicação com outras
publicações sobre gerenciamento de riscos, segurança, privacidade e publicações pode ser encontrada em
[FISMA IMP].
Espera-se também que os controlos de segurança e privacidade no catálogo de controlos mudem ao longo do
tempo à medida que os controlos são retirados, revistos e adicionados. Além da necessidade de mudança, a
necessidade de estabilidade é abordada exigindo que as modificações propostas aos controlos de segurança e
privacidade passem por um processo de revisão pública rigoroso e transparente para obter feedback do sector
público e privado e para construir um consenso para tal mudança. O processo de revisão fornece um conjunto
tecnicamente sólido, flexível e estável de controles de segurança e privacidade para as organizações que usam o
catálogo de controles.
21 Os responsáveis autorizados ou seus representantes designados, ao aceitarem os planos de segurança e privacidade, concordam com os controles de
segurança e privacidade propostos para atender aos requisitos de segurança e privacidade para organizações e sistemas.
22 As tabelas de mapeamento estão disponíveis em [SP 800-53 RES].
CAPÍTULO UM PÁGINA 5
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E • O Capítulo Dois descreve os conceitos fundamentais associados aos controles de segurança e
privacidade, incluindo a estrutura dos controles, como os controles são organizados no catálogo
consolidado, abordagens de implementação de controle, a relação entre controles de segurança e
privacidade, e confiabilidade e garantia.
• Referências, Glossário, Siglas e Resumos de Controle fornecem informações adicionais sobre o uso
23
de controles de segurança e privacidade.
23Salvo indicação em contrário, todas as referências às publicações do NIST referem-se à versão mais recente dessas publicações.
CAPÍTULO UM PÁGINA 6
Machine Translated by Google
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E CAPÍTULO DOIS
OS FUNDAMENTOS
ESTRUTURA, TIPO E ORGANIZAÇÃO DOS CONTROLES DE SEGURANÇA E PRIVACIDADE
Este capítulo apresenta os conceitos fundamentais associados aos controlos de segurança e privacidade, incluindo
a relação entre requisitos e controlos, a estrutura dos controlos, a forma como os controlos são organizados no
catálogo de controlo consolidado, as diferentes abordagens de implementação de controlo para sistemas de
informação e organizações, a relação entre controles de segurança e privacidade, a importância dos conceitos
de confiabilidade e garantia para controles de segurança e privacidade e os efeitos dos controles na obtenção de
sistemas confiáveis, seguros e resilientes.
24 As características do sistema que afetam a segurança e a privacidade variam e incluem o tipo e a função do sistema em
termos da sua finalidade principal; a composição do sistema em termos de elementos tecnológicos, mecânicos, físicos e
humanos; os modos e estados dentro dos quais o sistema entrega as suas funções e serviços; a criticidade ou importância
do sistema e das funções e serviços que o constituem; a sensibilidade dos dados ou informações processados,
armazenados ou transmitidos; a consequência da perda, falha ou degradação relativa à capacidade do sistema de funcionar
corretamente e de fornecer sua própria proteção (isto é, autoproteção); e valor monetário ou outro [SP 800-160-1].
_________________________________________________________________________________________________
pe
E Os controles podem ser vistos como descrições das salvaguardas e capacidades de proteção apropriadas para alcançar os
objetivos específicos de segurança e privacidade da organização e refletindo as necessidades de proteção das partes
interessadas organizacionais. Os controles são selecionados e implementados pela organização para satisfazer os requisitos
do sistema. Os controles podem incluir administrativos,
aspectos técnicos e físicos. Em alguns casos, a seleção e implementação de um controle pode exigir especificações
adicionais por parte da organização na forma de requisitos derivados
ou valores de parâmetros de controle instanciados. Os requisitos derivados e os valores dos parâmetros de controle
podem ser necessários para fornecer o nível apropriado de detalhes de implementação para controles específicos dentro do
SDLC.
Os controles de segurança e privacidade descritos nesta publicação possuem organização e estrutura bem definidas. Para
facilidade de uso no processo de seleção e especificação de controle de segurança e privacidade,
25
os controles são organizados em 20 famílias. Cada família contém controles relacionados ao
tema específico da família. Um identificador de dois caracteres identifica exclusivamente cada família de controle
(por exemplo, PS para Segurança Pessoal). Os controles de segurança e privacidade podem envolver aspectos de
política, supervisão, processos manuais e mecanismos automatizados que são implementados por sistemas ou ações de
indivíduos. A Tabela 1 lista as famílias de controle de segurança e privacidade e suas
identificadores de família associados.
EU IA FAMÍLIA EU IA FAMÍLIA
As famílias de controles contêm controles básicos e aprimoramentos de controle, que estão diretamente relacionados aos
seus controles básicos. Os aprimoramentos de controle adicionam funcionalidade ou especificidade a um controle básico
ou aumentam a força de um controle básico. Os aprimoramentos de controle são usados em sistemas e ambientes de
operação que exigem maior proteção do que a proteção fornecida pelo controle básico. A necessidade das organizações
selecionarem e implementarem melhorias de controle se deve aos potenciais impactos organizacionais ou individuais
adversos ou quando as organizações exigem acréscimos à funcionalidade de controle base ou garantia com base em
avaliações de risco. O
25 Das 20 famílias de controle no NIST SP 800-53, 17 estão alinhadas com os requisitos mínimos de segurança em [FIPS 200].
As famílias de gerenciamento de programas (PM), processamento e transparência de PII (PT) e gerenciamento de riscos da cadeia de suprimentos
(SR) abordam considerações de gerenciamento de programas, privacidade e riscos da cadeia de suprimentos em nível empresarial relativas a mandatos
federais emergentes desde [FIPS 200].
_________________________________________________________________________________________________
pe
E a seleção e implementação de melhorias de controle sempre requer a seleção e implementação do controle básico.
As famílias estão organizadas em ordem alfabética, enquanto os controles e aprimoramentos de controle dentro de cada
família estão em ordem numérica. A ordem das famílias, controles e melhorias de controle não implica qualquer
progressão lógica, nível de priorização ou importância, ou ordem na qual os controles ou melhorias de controle devem ser
implementados. Em vez disso, reflete a ordem em que foram incluídos no catálogo. As designações de controle não são
reutilizadas quando um controle é retirado.
Os controles de segurança e privacidade têm a seguinte estrutura: uma seção de controle básico , uma seção de discussão
seção, uma seção de controles relacionados , uma seção de aprimoramentos de controle e uma seção de referências .
A Figura 1 ilustra a estrutura de um controle típico.
Controle: Alocar capacidade de armazenamento de registros de auditoria para acomodar [Atribuição: requisitos de retenção
Base
de registros de auditoria definidos pela organização].
Ao controle
Controles relacionados: AU-2, AU-5, AU-6, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4.
Melhorias de controle:
Parâmetro definido pela organização
(1) CAPACIDADE DE ARMAZENAMENTO DE AUDITORIA | TRANSFERÊNCIA PARA ARMAZENAMENTO ALTERNATIVO
Ao controle Descarregar registros de auditoria [Atribuição: frequência definida pela organização] em um sistema ou mídia
Aprimoramento diferente do sistema que está sendo auditado.
Referências: Nenhuma.
Fontes de informações adicionais relacionadas ao controle
A seção de controle prescreve um recurso de segurança ou privacidade a ser implementado. As capacidades de segurança
e privacidade são alcançadas pelas atividades ou ações, automatizadas ou não automatizadas, realizadas pelos
sistemas e organizações de informação. As organizações designam a responsabilidade pelo desenvolvimento, implementação,
avaliação e monitoramento do controle. As organizações têm o
_________________________________________________________________________________________________
pe
E flexibilidade para implementar os controles selecionados de qualquer maneira que satisfaça a missão organizacional
ou as necessidades de negócios consistentes com a lei, regulamentação e política.
A seção de discussão fornece informações adicionais sobre um controle. As organizações podem utilizar as
informações conforme necessário ao desenvolver, adaptar, implementar, avaliar ou monitorar controles. As informações
fornecem considerações importantes para a implementação de controles com base em requisitos de missão ou
negócios, ambientes operacionais ou avaliações de risco. As informações adicionais também podem explicar a
finalidade dos controles e muitas vezes incluem exemplos.
Os aprimoramentos de controle também podem incluir uma seção de discussão separada quando as informações
de discussão forem aplicáveis apenas a um aprimoramento de controle específico.
A seção de controles relacionados fornece uma lista de controles do catálogo de controle que impactam ou suportam
a implementação de um controle específico ou aprimoramento de controle, abordam um recurso de segurança ou
privacidade relacionado ou são referenciados na seção de discussão. As melhorias de controle estão inerentemente
relacionadas ao seu controle básico. Assim, os controles relacionados que são referenciados no controle base não
são repetidos nas melhorias de controle. Contudo, podem existir controlos relacionados identificados para melhorias
de controlo que não são referenciados no controlo base (ou seja, o controlo relacionado está associado apenas à
melhoria de controlo específica). Os controles também podem estar relacionados a melhorias de outros controles básicos.
Quando um controle é designado como controle relacionado, uma designação correspondente é feita nesse controle
em seu local de origem no catálogo para ilustrar o relacionamento bidirecional. Além disso, cada controle em uma
determinada família está inerentemente relacionado ao controle -1 (Política e Procedimentos) na mesma família.
Portanto, o relacionamento entre o controle -1 e os outros controles da mesma família não é especificado na seção de
controles relacionados para cada controle.
A seção de aprimoramentos de controle fornece declarações de capacidade de segurança e privacidade que aumentam
um controle básico. Os aprimoramentos de controle são numerados sequencialmente dentro de cada controle para
que possam ser facilmente identificados quando selecionados para complementar o controle básico. Cada
aprimoramento de controle possui um subtítulo curto para indicar a função ou capacidade pretendida fornecida pelo
aprimoramento. No exemplo AU-4, se o aprimoramento de controle for selecionado, a designação de controle se
tornará AU-4(1). A designação numérica de uma melhoria de controle é usada apenas para identificar essa
melhoria dentro do controle. A designação não é indicativa da força do aprimoramento de controle, do nível de proteção,
da prioridade, do grau de importância ou de qualquer relacionamento hierárquico entre os aprimoramentos. Os
aprimoramentos de controle não devem ser selecionados de forma independente. Isto é, se um aprimoramento de
controle for selecionado, então o controle de base correspondente também será selecionado e implementado.
A seção de referências inclui uma lista de leis, políticas, padrões, diretrizes, sites e outras referências úteis que são
relevantes para um controle específico ou aprimoramento de controle.26 A seção de referências também inclui hiperlinks
para publicações para obter informações adicionais para desenvolvimento de controle, implementação, avaliação e
monitoramento.
Para alguns controles, é fornecida flexibilidade adicional ao permitir que as organizações definam valores específicos
para parâmetros designados associados aos controles. A flexibilidade é alcançada como parte de um processo de
adaptação usando operações de atribuição e seleção incorporadas nos controles e
_________________________________________________________________________________________________
pe
E delimitados por colchetes. As operações de atribuição e seleção oferecem às organizações a capacidade de
personalizar controles com base nos requisitos organizacionais de segurança e privacidade. Em contraste com
as operações de atribuição que permitem total flexibilidade na designação de valores de parâmetros, as
operações de seleção restringem a gama de valores potenciais, fornecendo uma lista específica de itens a
partir dos quais as organizações escolhem.
A determinação dos parâmetros definidos pela organização pode evoluir de muitas fontes, incluindo leis, ordens
executivas, diretivas, regulamentos, políticas, padrões, orientações e missão ou necessidades de
negócios. As avaliações de risco organizacional e a tolerância ao risco também são fatores importantes na
determinação dos valores dos parâmetros de controle. Uma vez especificados pela organização, os valores
das operações de atribuição e seleção passam a fazer parte do controle. Os parâmetros de controle definidos
pela organização usados nos controles básicos também se aplicam aos aprimoramentos de controle associados
a esses controles. A implementação do controle é avaliada quanto à eficácia em relação à declaração de
controle preenchida.
Além das operações de atribuição e seleção incorporadas em um controle, flexibilidade adicional é obtida por
meio de ações de iteração e refinamento . A iteração permite que as organizações utilizem um controle
diversas vezes com diferentes valores de atribuição e seleção, talvez sendo aplicadas em diferentes situações
ou ao implementar múltiplas políticas. Por exemplo, uma organização pode ter múltiplos sistemas
implementando um controle, mas com diferentes parâmetros estabelecidos para
abordar riscos diferentes para cada sistema e ambiente de operação. Refinamento é o processo de fornecer
detalhes adicionais de implementação a um controle. O refinamento também pode ser usado para
restringir o escopo de um controle em conjunto com a iteração para cobrir todos os escopos aplicáveis (por
exemplo, aplicando diferentes mecanismos de autenticação a diferentes interfaces de sistema). A combinação
de operações de atribuição e seleção e ações de iteração e refinamento quando aplicadas aos controles
fornece a flexibilidade necessária para permitir que as organizações satisfaçam uma ampla base de requisitos
de segurança e privacidade na organização, missão e processo de negócios e níveis de implementação do
sistema.
- O Relatório Ware
Força-Tarefa do Conselho Científico de Defesa sobre Segurança de Computadores, 1970
Existem três abordagens para implementar os controles no Capítulo Três: (1) uma abordagem comum
abordagem de implementação de controle (herdável), (2) uma abordagem de implementação de controle
específica do sistema e (3) uma abordagem de implementação de controle híbrido . As abordagens de
implementação de controle definem o escopo de aplicabilidade do controle, a natureza compartilhada ou
herdabilidade do controle e a responsabilidade pelo desenvolvimento, implementação, avaliação e controle do controle.
_________________________________________________________________________________________________
pe
E autorização. Cada abordagem de implementação de controle tem um objetivo e foco específicos que
ajuda as organizações a selecionar os controles apropriados, implementá-los de maneira eficaz e satisfazer os
requisitos de segurança e privacidade. Uma abordagem específica de implementação de controle pode obter
benefícios de custo, aproveitando os recursos de segurança e privacidade em vários sistemas e ambientes de
operação.27
Controles comuns são controles cuja implementação resulta em uma capacidade herdável
por vários sistemas ou programas. Um controle é considerado herdável quando o sistema ou programa recebe proteção
do controle implementado, mas o controle é desenvolvido, implementado, avaliado, autorizado e monitorado por uma
entidade interna ou externa que não seja a entidade
responsável pelo sistema ou programa. Os recursos de segurança e privacidade fornecidos por controles
comuns podem ser herdados de muitas fontes, incluindo missões ou linhas de negócios, organizações, enclaves,
ambientes de operação, locais ou outros sistemas ou programas.
A implementação de controles como controles comuns pode introduzir o risco de um ponto único de falha.
Muitos dos controlos necessários para proteger os sistemas de informação organizacionais – incluindo muitos controlos
de proteção física e ambiental, controlos de segurança de pessoal e controlos de resposta a incidentes – são
herdáveis e, portanto, são bons candidatos para o estatuto de controlo comum. Os controlos comuns também podem
incluir controlos baseados em tecnologia, tais como controlos de identificação e autenticação, controlos de proteção de
fronteiras, controlos de auditoria e responsabilização e controlos de acesso. O custo de desenvolvimento,
implementação, avaliação, autorização e monitoramento pode ser amortizado em vários sistemas, elementos
organizacionais e programas
usando a abordagem comum de implementação de controle.
Os controles não implementados como controles comuns são implementados como específicos do sistema ou híbridos
controles. Os controlos específicos do sistema são da responsabilidade principal do proprietário do sistema e do gestor
orçamental de um determinado sistema. A implementação de controles específicos do sistema pode introduzir riscos se
as implementações de controle não forem interoperáveis com controles comuns. As organizações podem implementar
um controle como híbrido se uma parte do controle for comum (herdável) e a outra
parte é específica do sistema. Por exemplo, uma organização pode implementar o controle CP-2 usando um
modelo predefinido para o plano de contingência para todos os sistemas de informação organizacionais, com
proprietários de sistemas individuais adaptando o plano para usos específicos do sistema, quando apropriado. A
divisão de um controle híbrido em partes comuns (herdáveis) e específicas do sistema pode variar de acordo com a
organização, dependendo dos tipos de tecnologias de informação empregadas, da abordagem usada pela organização
para gerenciar seus controles e da atribuição de responsabilidades. Quando um controle é implementado como controle
híbrido, o provedor de controle comum é responsável por garantir a implementação, avaliação e monitoramento da parte
comum do controle híbrido, e o proprietário do sistema é responsável por garantir a implementação, avaliação e
monitoramento de a parte específica do sistema do controle híbrido. A implementação de controlos como controlos
híbridos pode introduzir riscos se a responsabilidade pela implementação e gestão contínua das partes comuns e
específicas do sistema dos controlos não for clara.
A determinação da abordagem de implementação de controle apropriada (ou seja, comum, híbrida ou específica
do sistema) depende do contexto. A abordagem de implementação de controle não pode ser determinada como comum,
híbrida ou específica do sistema simplesmente com base na linguagem do
27
[SP 800-37] fornece orientação adicional sobre abordagens de implementação de controle (anteriormente denominadas
designações) e como as diferentes abordagens são usadas na Estrutura de Gestão de Riscos.
_________________________________________________________________________________________________
pe
E ao controle. Identificar a abordagem de implementação de controle pode resultar em economias significativas para as
organizações em custos de implementação e avaliação e em uma aplicação mais consistente dos controles em toda a
organização. Normalmente, a identificação da abordagem de implementação do controle é simples. No entanto, a
implementação requer planejamento e coordenação significativos.
Planejando a abordagem de implementação de um controle (ou seja, comum, híbrido ou específico do sistema)
é melhor realizado no início do ciclo de vida de desenvolvimento do sistema e coordenado com as entidades que fornecem
o controle [SP 800-37]. Da mesma forma, se um controlo for herdável, é necessária coordenação com a entidade
herdeira para garantir que o controlo satisfaz as suas necessidades. Isto é especialmente importante dada a natureza dos
parâmetros de controle. Uma entidade herdeira não pode assumir que os controles são os mesmos e mitigar o risco
apropriado para o sistema apenas porque os identificadores de controle (por exemplo, AC-1) são os mesmos. É essencial
examinar os parâmetros de controle (por exemplo, operações de atribuição ou seleção) ao determinar se um controle
comum é adequado para mitigar riscos específicos do sistema.
A seleção e implementação de controles de segurança e privacidade refletem os objetivos dos programas de segurança
e privacidade da informação e como esses programas gerenciam seus respectivos riscos. Dependendo das circunstâncias,
estes objectivos e riscos podem ser independentes ou sobrepostos. Os programas federais de segurança da
informação são responsáveis por proteger as informações e os sistemas de informação contra acesso, uso, divulgação,
interrupção, modificação ou destruição não autorizados (ou seja, atividades não autorizadas ou comportamento do sistema)
para fornecer confidencialidade, integridade e disponibilidade. Esses programas também são responsáveis por gerenciar
riscos de segurança e por garantir a conformidade com os requisitos de segurança aplicáveis. Os programas federais de
privacidade são responsáveis por gerenciar riscos para indivíduos associados à criação, coleta, uso, processamento,
armazenamento, manutenção, disseminação, divulgação ou descarte (coletivamente denominados “processamento”) de
28
PII e para garantir a conformidade com os requisitos de privacidade aplicáveis. Quando um sistema
processa PII, o programa de segurança da informação e o programa de privacidade têm uma responsabilidade
compartilhada pelo gerenciamento dos riscos de segurança para as PII no sistema. Devido a esta sobreposição de
responsabilidades, os controlos que as organizações selecionam para gerir estes riscos de segurança serão
geralmente os mesmos, independentemente da sua designação como controlos de segurança ou privacidade em linhas de
base de controlo ou planos de programas ou sistemas.
Também pode haver circunstâncias em que a selecção e/ou implementação do controlo ou melhoria do controlo afecte a
capacidade de um programa atingir os seus objectivos e gerir os seus respectivos riscos. A seção de discussão sobre
controle pode destacar considerações específicas de segurança e/ou privacidade para que as organizações possam levar
essas considerações em consideração ao determinar o método mais eficaz para implementar o controle. No
entanto, estas considerações não são exaustivas.
Por exemplo, uma organização pode selecionar AU-3 (Conteúdo dos Registros de Auditoria) para apoiar o
monitoramento de acesso não autorizado a um ativo de informação que não inclua PII. Desde o
28 Os programas de privacidade também podem optar por considerar os riscos para os indivíduos que possam surgir das suas interações com
sistemas de informação, onde o processamento de informações de identificação pessoal pode ter menos impacto do que o efeito que o
sistema tem no comportamento ou nas atividades dos indivíduos. Tais efeitos constituiriam riscos para a autonomia individual, e as
organizações poderão necessitar de tomar medidas para gerir esses riscos, além dos riscos de segurança da informação e de privacidade.
_________________________________________________________________________________________________
pe
E A perda potencial de confidencialidade do ativo de informação não afeta a privacidade, os objetivos de
segurança são o principal fator para a seleção do controle. No entanto, a implementação do controlo no que diz respeito
à monitorização do acesso não autorizado pode envolver o processamento de PII, o que pode resultar em riscos de
privacidade e afetar os objetivos do programa de privacidade. A seção de discussão no AU-3 inclui considerações
sobre riscos de privacidade para que as organizações possam levar essas considerações em consideração
ao determinarem a melhor maneira de implementar o controle.
Além disso, o aprimoramento de controle AU-3(3) (Limitar elementos de informações pessoalmente
identificáveis) poderia ser selecionado para apoiar o gerenciamento desses riscos de privacidade.
Devido às alterações na relação entre os objectivos dos programas de segurança e privacidade da informação e
a gestão de riscos, existe uma necessidade de colaboração estreita entre os programas para seleccionar e
implementar os controlos apropriados para os sistemas de informação que processam PII.
As organizações consideram como promover e institucionalizar a colaboração entre os dois programas para
garantir que os objectivos de ambas as disciplinas sejam alcançados e os riscos sejam geridos de forma adequada.
29
A confiabilidade dos sistemas, componentes do sistema e serviços do sistema é uma parte importante das estratégias
de gerenciamento de risco desenvolvidas pelas organizações.30 Confiabilidade, neste contexto, significa digno
de confiança para cumprir quaisquer requisitos que possam ser necessários para um componente, subsistema,
sistema , rede, aplicativo, missão, função de negócios, empresa ou outra entidade.31 Os requisitos de confiabilidade
podem incluir atributos de confiabilidade, confiabilidade, desempenho, resiliência, segurança, proteção, privacidade e
capacidade de sobrevivência sob uma série de adversidades potenciais na forma de interrupções. , perigos,
ameaças e riscos de privacidade. Medidas eficazes de confiabilidade são significativas apenas na medida em que os
requisitos são completos, bem definidos e podem ser avaliados com precisão.
Dois conceitos fundamentais que afetam a confiabilidade dos sistemas são funcionalidade e garantia. A
funcionalidade é definida em termos de recursos, funções, mecanismos, serviços, procedimentos e arquiteturas
de segurança e privacidade implementados em sistemas e programas organizacionais e nos ambientes em
que esses sistemas e programas operam.
Garantia é a medida de confiança de que a funcionalidade do sistema é implementada corretamente, operando
conforme pretendido e produzindo o resultado desejado no que diz respeito ao atendimento dos requisitos de segurança
e privacidade do sistema – possuindo assim a capacidade de mediar e aplicar com precisão as políticas de segurança
e privacidade estabelecidas. .
Em geral, a tarefa de fornecer garantias significativas de que um sistema provavelmente fará o que se espera
dele pode ser aprimorada por técnicas que simplifiquem ou restrinjam a análise, por exemplo, aumentando a
disciplina aplicada à arquitetura do sistema, ao design do software, às especificações , estilo de código e
gerenciamento de configuração. Os controles de segurança e privacidade abordam funcionalidade e garantia. Certos
controles concentram-se principalmente na funcionalidade, enquanto outros controles concentram-se
principalmente na garantia. Alguns controles podem oferecer suporte à funcionalidade e garantia.
29 Recursos para apoiar a colaboração em programas de segurança da informação e privacidade estão disponíveis em [SP 800-53 RES].
30
[SP 800-160-1] fornece orientação sobre engenharia de segurança de sistemas e aplicação de princípios de projeto de segurança para obter sistemas
confiáveis.
31 Consulte [NEUM04].
_________________________________________________________________________________________________
pe
E As organizações podem selecionar controles relacionados à garantia para definir atividades de desenvolvimento de sistema,
gerar evidências sobre a funcionalidade e o comportamento do sistema e rastrear as evidências até os elementos do sistema que
fornecem tal funcionalidade ou exibem tal comportamento. A evidência é usada para obter um grau de confiança de que o
sistema satisfaz os requisitos declarados de segurança e privacidade, ao mesmo tempo que apoia a missão e as funções de
negócios da organização. Os controles relacionados à garantia são identificados nas tabelas de resumo de controle no
Apêndice C.
_________________________________________________________________________________________________
pe
E CAPÍTULO TRÊS
OS CONTROLES
CONTROLES DE SEGURANÇA E PRIVACIDADE E MELHORIAS DE CONTROLE
Este catálogo de controles de segurança e privacidade fornece medidas de proteção para sistemas,
organizações e indivíduos. 32
Os controles são projetados para facilitar o gerenciamento de riscos e
conformidade com as leis federais aplicáveis, ordens executivas, diretivas, regulamentos, políticas e padrões. Com
poucas exceções, os controles de segurança e privacidade no catálogo são neutros em termos de política,
tecnologia e setor, o que significa que os controles se concentram nas medidas fundamentais necessárias para proteger
as informações e a privacidade dos indivíduos ao longo do ciclo de vida da informação.
Embora os controlos de segurança e privacidade sejam em grande parte neutros em termos de política, tecnologia e
sector, isso não implica que os controlos sejam inconscientes em termos de política, tecnologia e sector. Entendimento
políticas, tecnologias e setores é necessário para que os controles sejam relevantes quando forem implementados. A
utilização de um catálogo de controlo neutro em termos de políticas, tecnologias e setores tem muitos benefícios.
Ele incentiva as organizações a:
• Concentrar-se nas funções e capacidades de segurança e privacidade necessárias para o sucesso da missão
e dos negócios e para a proteção das informações e da privacidade dos indivíduos, independentemente
das tecnologias empregadas nos sistemas organizacionais;
• Analisar cada controle de segurança e privacidade quanto à sua aplicabilidade a tecnologias específicas,
ambientes de operação, missão e funções de negócios e comunidades de interesse; e
• Especifique políticas de segurança e privacidade como parte do processo de adaptação para controles que tenham
parâmetros variáveis.
Nos poucos casos em que tecnologias específicas são referenciadas em controlos, as organizações são
alertadas de que a necessidade de gerir os riscos de segurança e privacidade pode ir além dos requisitos de um único
controlo associado a uma tecnologia. As medidas de proteção adicionais necessárias são obtidas nos outros controles
do catálogo. Padrões federais de processamento de informações, publicações especiais e relatórios interagências/
internos fornecem orientação sobre a seleção de controles de segurança e privacidade que reduzem o risco para
tecnologias específicas e aplicações específicas do setor,
incluindo rede inteligente, nuvem, saúde, dispositivos móveis, sistemas de controle industrial e dispositivos de Internet
das Coisas (IoT).33 As publicações do NIST são citadas como referências aplicáveis a controles específicos em
Seções 3.1 a 3.20.
Espera-se que os controles de segurança e privacidade no catálogo mudem ao longo do tempo à medida que os
controles são retirados, revisados e adicionados. Para manter a estabilidade nos planos de segurança e privacidade,
os controles não são renumerados cada vez que um controle é retirado. Em vez disso, as anotações dos controlos
que foram retirados são mantidas no catálogo de controlos para fins históricos. Os controles podem ser retirados por
vários motivos, inclusive quando a função ou capacidade fornecida pelo controle foi incorporada a outro controle, o
controle é redundante em relação a um controle existente ou o controle não é mais considerado necessário ou
eficaz.
32 Os controles desta publicação estão disponíveis online e podem ser obtidos em diversos formatos. Consulte [NVD 800-53].
33
Por exemplo, [SP 800-82] fornece orientação sobre gerenciamento de riscos e seleção de controles para sistemas de controle
industrial.
_________________________________________________________________________________________________
pe
E Novos controles são desenvolvidos regularmente usando informações sobre ameaças e vulnerabilidades e
informações sobre as táticas, técnicas e procedimentos utilizados pelos adversários. Além disso, novos
controles são desenvolvidos com base em uma melhor compreensão de como mitigar os riscos de segurança da
informação para sistemas e organizações e os riscos para a privacidade dos indivíduos decorrentes do
processamento de informações. Finalmente, novos controles são desenvolvidos com base em requisitos novos
ou em alteração em leis, ordens executivas, regulamentos, políticas, padrões ou diretrizes. As modificações
propostas nos controles são cuidadosamente analisadas durante cada ciclo de revisão, considerando a
necessidade de estabilidade dos controles e a necessidade de responder às mudanças tecnológicas, ameaças,
vulnerabilidades, tipos de ataque e métodos de processamento. O objetivo é ajustar o nível de segurança e
privacidade da informação ao longo do tempo para atender às necessidades das organizações e dos indivíduos.
_________________________________________________________________________________________________
pe
E 3.1 CONTROLE DE ACESSO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de controle de acesso que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento, documentação
e disseminação da política e procedimentos de controle de acesso; e
Discussão: A política e os procedimentos de controle de acesso abordam os controles da família AC que são
implementadas em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto,
é importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de controle de acesso. As políticas e procedimentos do programa de segurança e privacidade no nível da
organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão
ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser representada
por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos
para programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados
ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança
e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização na
política e nos procedimentos de controle de acesso incluem resultados de avaliação ou auditoria, incidentes ou violações
de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100], [IR 7874].
_________________________________________________________________________________________________
pe
E GESTÃO DE CONTA AC-2
Ao controle:
a. Definir e documentar os tipos de contas permitidas e especificamente proibidas para uso dentro do sistema;
c. Exigir [Atribuição: pré-requisitos e critérios definidos pela organização] para grupo e função
Filiação;
d. Especificamos:
3. Autorizações de acesso (ou seja, privilégios) e [Atribuição: atributos definidos pela organização
(conforme necessário)] para cada conta;
e. Exigir aprovações de [Atribuição: pessoal ou funções definidas pela organização] para solicitações de
criar contas;
f. Criar, ativar, modificar, desativar e remover contas de acordo com [Atribuição: política, procedimentos, pré-requisitos
e critérios definidos pela organização];
h. Notificar os gerentes de contas e [Atribuição: pessoal ou funções definidas pela organização] dentro de:
1. [Atribuição: período de tempo definido pela organização] quando as contas não forem mais necessárias;
2. [Atribuição: período de tempo definido pela organização] quando os usuários são demitidos ou
transferidos; e
3. [Atribuição: período de tempo definido pela organização] quando o uso do sistema ou a necessidade de saber
mudanças para um indivíduo;
k. Estabelecer e implementar um processo para alterar autenticadores de contas compartilhadas ou de grupo (se
implantado) quando indivíduos são removidos do grupo; e
eu. Alinhe os processos de gerenciamento de contas com os processos de rescisão e transferência de pessoal.
Discussão: Exemplos de tipos de conta do sistema incluem individual, compartilhada, grupo, sistema, convidado, anônima,
emergência, desenvolvedor, temporária e serviço. A identificação de usuários autorizados do sistema e a especificação de
privilégios de acesso refletem os requisitos de outros controles do plano de segurança. Os usuários que necessitam de
privilégios administrativos em contas do sistema recebem escrutínio adicional do pessoal organizacional responsável
pela aprovação de tais contas e acesso privilegiado, incluindo proprietário do sistema, proprietário da missão ou
empresa, oficial sênior de segurança de informações da agência ou funcionário sênior da agência para privacidade. Os
tipos de contas que as organizações podem querer proibir devido ao aumento do risco incluem contas compartilhadas,
de grupo, de emergência, anônimas, temporárias e de convidados.
_________________________________________________________________________________________________
pe
E Quando o acesso envolve informações de identificação pessoal, os programas de segurança colaboram com
o funcionário sênior da agência responsável pela privacidade para estabelecer as condições específicas
para participação em grupos e funções; especifique usuários autorizados, membros de grupos e funções e
autorizações de acesso para cada conta; e criar, ajustar ou remover contas do sistema de acordo com as
políticas organizacionais. As políticas podem incluir informações como datas de vencimento da conta ou
outros fatores que desencadeiam a desativação de contas. As organizações podem optar por definir privilégios
de acesso ou outros atributos por conta, tipo de conta ou uma combinação dos dois. Exemplos de outros
atributos necessários para autorizar o acesso incluem restrições de hora do dia, dia da semana e ponto de encontro.
origem. Ao definir outros atributos de conta do sistema, as organizações consideram os requisitos
relacionados ao sistema e os requisitos de missão/negócios. A não consideração desses fatores pode afetar a
disponibilidade do sistema.
Controles relacionados: AC-3, AC-5, AC-6, AC-17, AC-18, AC-20, AC-24, AU-2, AU- 12, CM-5, IA-2, IA-4 ,
IA-5, IA-8, MA-3, MA-5, PE-2, PL-4, PS-2, PS-4, PS-5, PS-7, PT-2, PT-3, SC -7, SC-12, SC-13, SC-37.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (a) Tenham expirado;
(d) Estejam inativos por [Atribuição: período de tempo definido pela organização].
Discussão: Desabilitar contas expiradas, inativas ou de outra forma anômalas apoia os conceitos de menor privilégio e
menor funcionalidade que reduzem a superfície de ataque do sistema.
Discussão: Os registros de auditoria de gerenciamento de contas são definidos de acordo com AU-2 e
revisados, analisados e relatados de acordo com AU-6.
Exigir que os usuários efetuem logout quando [Atribuição: período de inatividade esperado definido pela
organização ou descrição de quando efetuar logout].
Discussão: O logout por inatividade é baseado em comportamento ou política e exige que os usuários tomem medidas físicas
para sair quando esperam inatividade por mais tempo do que o período definido.
A aplicação automática do logout por inatividade é abordada pelo AC-11.
Discussão: Em contraste com as abordagens de controle de acesso que empregam contas estáticas e privilégios de
usuário predefinidos, as abordagens de controle de acesso dinâmico dependem de decisões de controle de acesso
em tempo de execução facilitadas pelo gerenciamento dinâmico de privilégios, como o controle de acesso baseado em
atributos. Embora as identidades dos usuários permaneçam relativamente constantes ao longo do tempo, os privilégios
dos usuários normalmente mudam com mais frequência com base na missão contínua ou nos requisitos de negócios e nas
necessidades operacionais das organizações. Um exemplo de gerenciamento dinâmico de privilégios é a revogação imediata
de privilégios dos usuários, em vez de exigir que os usuários terminem e reiniciem suas sessões para refletir as alterações
nos privilégios. O gerenciamento dinâmico de privilégios também pode incluir mecanismos que alteram os privilégios dos
usuários com base em regras dinâmicas, em vez de editar perfis de usuários específicos. Os exemplos incluem ajustes
automáticos de privilégios de usuário se eles estiverem operando fora de seu horário normal de trabalho, se sua função ou
atribuição for alterada ou se os sistemas estiverem sob pressão ou em situações de emergência. O gerenciamento
dinâmico de privilégios inclui os efeitos das alterações de privilégios, por exemplo, quando há alterações nas chaves
de criptografia usadas para comunicações.
(a) Estabelecer e administrar contas de usuários privilegiados de acordo com [Seleção: uma função
esquema de acesso baseado; um esquema de acesso baseado em atributos];
(d) Revogar o acesso quando funções privilegiadas ou atribuições de atributos não forem mais
apropriado.
_________________________________________________________________________________________________
pe
E Discussão: Funções privilegiadas são funções definidas pela organização atribuídas a indivíduos que permitem que esses
indivíduos executem determinadas funções relevantes para a segurança que usuários comuns não estão autorizados a
executar. As funções privilegiadas incluem gerenciamento de chaves, gerenciamento de contas, administração de banco
de dados, administração de sistema e rede e administração da web. Um esquema de acesso baseado em funções
organiza o acesso permitido ao sistema e os privilégios em funções. Em contraste, um esquema de acesso baseado em
atributos especifica o acesso permitido ao sistema e os privilégios baseados em atributos.
Crie, ative, gerencie e desative [Atribuição: contas do sistema definidas pela organização] dinamicamente.
Discussão: As abordagens para criar, ativar, gerenciar e desativar dinamicamente contas do sistema dependem do
provisionamento automático de contas em tempo de execução para entidades que eram anteriormente desconhecidas. As
organizações planejam o gerenciamento dinâmico, a criação, a ativação e a desativação de contas do sistema,
estabelecendo relações de confiança, regras de negócios e mecanismos com autoridades apropriadas para validar
autorizações e privilégios relacionados.
Permita apenas o uso de contas compartilhadas e de grupo que atendam a [Atribuição: condições definidas pela
organização para estabelecer contas compartilhadas e de grupo].
Discussão: Antes de permitir o uso de contas compartilhadas ou de grupo, as organizações consideram o aumento do risco
devido à falta de responsabilização com tais contas.
Aplicar [Atribuição: circunstâncias e/ ou condições de uso definidas pela organização] para [Atribuição: contas
do sistema definidas pela organização].
Discussão: Especificar e impor condições de uso ajuda a impor o princípio do menor privilégio, aumentar a responsabilidade
do usuário e permitir o monitoramento eficaz da conta. O monitoramento da conta inclui alertas gerados se a conta for
usada em violação dos parâmetros organizacionais. As organizações podem descrever condições ou circunstâncias
específicas sob as quais as contas do sistema podem ser usadas, como restringir o uso a determinados dias da semana,
horário do dia ou períodos de tempo específicos.
(a) Monitorar contas do sistema para [Atribuição: uso atípico definido pela organização]; e
(b) Relatar o uso atípico de contas do sistema para [Atribuição: definido pela organização
pessoal ou funções].
Discussão: O uso atípico inclui o acesso a sistemas em determinados horários do dia ou em locais que não são
consistentes com os padrões normais de uso dos indivíduos. O monitoramento do uso atípico pode revelar comportamento
desonesto por parte de indivíduos ou um ataque em andamento. A monitorização de contas pode criar inadvertidamente riscos
de privacidade, uma vez que os dados recolhidos para identificar uma utilização atípica podem revelar informações
anteriormente desconhecidas sobre o comportamento dos indivíduos.
As organizações avaliam e documentam os riscos de privacidade decorrentes do monitoramento de contas para
_________________________________________________________________________________________________
pe
E uso em sua avaliação de impacto de privacidade e tomar decisões que estejam alinhadas com seu plano de
programa de privacidade.
Desabilitar contas de indivíduos dentro de [Atribuição: período de tempo definido pela organização] após
a descoberta de [Atribuição: riscos significativos definidos pela organização].
Discussão: Os usuários que representam um risco significativo de segurança e/ou privacidade incluem indivíduos
para os quais evidências confiáveis indicam a intenção de usar o acesso autorizado aos sistemas para causar danos
ou através dos quais os adversários causarão danos. Tais danos incluem impactos adversos nas operações
organizacionais, nos ativos organizacionais, nos indivíduos, em outras organizações ou na Nação. A coordenação
estreita entre administradores de sistema, pessoal jurídico, gestores de recursos humanos e responsáveis pela
autorização é essencial ao desativar contas de sistema para indivíduos de alto risco.
Controle: Aplique autorizações aprovadas para acesso lógico a informações e recursos do sistema de acordo com as
políticas de controle de acesso aplicáveis.
Discussão: As políticas de controle de acesso controlam o acesso entre entidades ou sujeitos ativos (isto é, usuários ou
processos agindo em nome de usuários) e entidades ou objetos passivos (isto é, dispositivos, arquivos, registros,
domínios) em sistemas organizacionais. Além de impor o acesso autorizado ao nível do sistema e reconhecer que os
sistemas podem alojar muitas aplicações e serviços em apoio à missão e às funções empresariais, os mecanismos de
imposição do acesso também podem ser empregues ao nível da aplicação e do serviço para proporcionar maior segurança
e privacidade da informação. Em contraste com os controles de acesso lógico implementados no sistema, os controles
de acesso físico são abordados pelos controles da família de Proteção Física e Ambiental (PE) .
Controles relacionados: AC-2, AC-4, AC-5, AC-6, AC-16, AC-17, AC-18, AC-19, AC-20, AC-21, AC- 22, AC-24 , AC-25,
AT-2, AT-3, AU-9, CA-9, CM-5, CM-11, IA-2, IA-5, IA-6, IA-7, IA-11, MA -3, MA-4, MA-5,
MP-4, PM-2, PS-3, PT-2, PT-3, SA-17, SC-2, SC-3, SC-4, SC-12, SC- 13, SC-28, SC- 31, SC-34, SI-4, SI-8.
Melhorias de controle:
Aplicar autorização dupla para [Atribuição: comandos privilegiados definidos pela organização e/ ou
outras ações definidas pela organização].
Discussão: A autorização dupla, também conhecida como controle de duas pessoas, reduz o risco relacionado a
ameaças internas. Os mecanismos de autorização dupla requerem a aprovação de dois indivíduos
autorizados para serem executados. Para reduzir o risco de conluio, as organizações consideram a rotação de
funções de autorização dupla. As organizações consideram o risco associado à implementação de mecanismos
de autorização dupla quando são necessárias respostas imediatas para garantir a segurança pública e ambiental.
_________________________________________________________________________________________________
pe
E Aplicar [Atribuição: política de controle de acesso obrigatória definida pela organização] sobre o conjunto de
assuntos e objetos cobertos especificados na política, e onde a política:
(a) Seja aplicado uniformemente em todos os assuntos e objetos cobertos dentro do sistema;
(b) Especifica que um sujeito ao qual foi concedido acesso à informação é restrito
de fazer qualquer um dos seguintes;
(3) Alterar um ou mais atributos de segurança (especificados pela política) nos assuntos,
objetos, o sistema ou componentes do sistema;
(4) Escolher os atributos de segurança e valores de atributos (especificados pela política) a serem
associados a objetos recém-criados ou modificados; e
(c) Especifica que [Atribuição: assuntos definidos pela organização] pode ser explicitamente concedido
[Atribuição: privilégios definidos pela organização] de modo que não sejam limitados por nenhum
subconjunto definido (ou todas) das restrições acima.
Os assuntos confiáveis descritos acima recebem privilégios consistentes com o conceito de privilégio mínimo (consulte
AC-6). Os sujeitos de confiança recebem apenas os privilégios mínimos necessários para satisfazer a missão
organizacional/necessidades de negócios relativas à política acima. O controle é mais aplicável quando existe um mandato
que estabelece uma política relativa ao acesso a informações não classificadas controladas ou informações
classificadas e alguns usuários do sistema não têm acesso autorizado a todas essas informações residentes no
sistema. O controle de acesso obrigatório pode operar em conjunto com o controle de acesso discricionário conforme
descrito em AC-3(4).
Um sujeito com sua operação restrita por políticas obrigatórias de controle de acesso ainda pode operar sob as restrições
menos rigorosas do AC-3(4), mas as políticas obrigatórias de controle de acesso têm precedência sobre as restrições
menos rigorosas do AC-3(4). Por exemplo, embora uma política de controlo de acesso obrigatória imponha uma
restrição que impede um sujeito de transmitir informações a outro sujeito que opere num nível de impacto ou classificação
diferente, o AC-3(4) permite que o sujeito passe a informação a qualquer outro sujeito com o mesmo impacto ou
classificação
nível como o assunto. Exemplos de políticas obrigatórias de controle de acesso incluem a política Bell-LaPadula para
proteger a confidencialidade das informações e a política Biba para proteger a integridade das informações.
Aplicar [Atribuição: política de controle de acesso discricionário definida pela organização] sobre o conjunto de
assuntos e objetos cobertos especificados na política, e onde a política especifica que um sujeito ao qual foi
concedido acesso às informações pode fazer um ou mais dos seguintes:
_________________________________________________________________________________________________
pe
E (b) Ceder seus privilégios a outros sujeitos; (c) Alterar
(d) Escolher os atributos de segurança a serem associados aos objetos recém-criados ou revisados;
ou
Discussão: Quando são implementadas políticas de controle de acesso discricionário, os sujeitos não ficam limitados em
relação às ações que podem tomar com informações às quais já tiveram acesso. Assim, os sujeitos aos quais foi concedido
acesso à informação
não são impedidos de passar a informação a outros sujeitos ou objetos (ou seja, os sujeitos têm o poder de transmitir). O
controle de acesso discricionário pode operar em conjunto com
controle de acesso obrigatório conforme descrito em AC-3(3) e AC-3(15). Um sujeito cuja operação é limitada por políticas
obrigatórias de controle de acesso ainda pode operar sob as restrições menos rigorosas do controle de acesso discricionário.
Portanto, enquanto o AC-3(3) impõe restrições que impedem um sujeito de passar informações para outro sujeito operando em
um nível de impacto ou classificação diferente, o AC-3(4) permite que o sujeito passe as informações para qualquer
sujeito no mesmo impacto ou nível de classificação. A política é limitada pelo sistema. Uma vez que a informação é
passada para fora do controle do sistema, podem ser necessários meios adicionais para garantir que as restrições permaneçam
em vigor. Embora as definições tradicionais de controle de acesso discricionário exijam controle de acesso baseado em
identidade, essa limitação não é necessária para este uso específico de controle de acesso discricionário.
Impedir o acesso a [Atribuição: informações relevantes para a segurança definidas pela organização], exceto durante
estados de sistema seguros e não operáveis.
Discussão: Informações relevantes para a segurança são informações dentro dos sistemas que podem impactar potencialmente
a operação das funções de segurança ou a prestação de serviços de segurança de uma maneira que poderia resultar na
falha na aplicação das políticas de segurança e privacidade do sistema ou na manutenção da separação entre código e
dados. As informações relevantes para a segurança incluem listas de controle de acesso, regras de filtragem para
roteadores ou firewalls, parâmetros de configuração para serviços de segurança e informações de gerenciamento de
chaves criptográficas. Os estados de sistema seguro e não operacional incluem os momentos em que os sistemas não estão
executando a missão ou o processamento relacionado aos negócios, como quando o sistema está off-line para manutenção,
inicialização, solução de problemas ou desligamento.
Aplique uma política de controle de acesso baseada em funções sobre assuntos e objetos definidos e controle o
acesso com base em [Atribuição: funções definidas pela organização e usuários autorizados a assumir tais
funções].
Discussão: O controle de acesso baseado em função (RBAC) é uma política de controle de acesso que impõe o acesso a
objetos e funções do sistema com base na função definida (ou seja, função de trabalho) do sujeito.
As organizações podem criar funções específicas com base nas funções de trabalho e nas autorizações (isto é, privilégios)
para executar as operações necessárias nos sistemas associados às funções definidas pela organização. Quando os
usuários são atribuídos a funções específicas, eles herdam as autorizações ou privilégios definidos para essas funções. O
RBAC simplifica a administração de privilégios para organizações porque os privilégios não são atribuídos diretamente a
cada usuário (que pode ser um grande número de indivíduos), mas são adquiridos por meio de atribuições de funções.
RBAC também pode aumentar
_________________________________________________________________________________________________
pe
E risco de privacidade e segurança se os indivíduos designados para uma função tiverem acesso a informações além do
que precisam para apoiar missões organizacionais ou funções de negócios. O RBAC pode ser implementado como uma
forma obrigatória ou discricionária de controle de acesso. Para organizações que implementam o RBAC com controles de
acesso obrigatórios, os requisitos do AC-3(3) definem o escopo dos assuntos e objetos cobertos pela política.
Aplicar a revogação de autorizações de acesso resultantes de alterações nos atributos de segurança de sujeitos
e objetos com base em [Atribuição: regras definidas pela organização que regem o momento das revogações
de autorizações de acesso].
Discussão: As regras de revogação de acesso podem diferir com base nos tipos de acesso revogados. Por exemplo, se um
sujeito (ou seja, um usuário ou processo agindo em nome de um usuário) for removido de um grupo, o acesso não
poderá ser revogado até a próxima vez que o objeto for aberto ou a próxima vez que o sujeito tentar acessar o objeto. A
revogação com base em alterações nos rótulos de segurança pode entrar em vigor imediatamente. As organizações
fornecem abordagens alternativas sobre como tornar as revogações imediatas se os sistemas não puderem fornecer tal
capacidade e a revogação imediata for necessária.
(a) A [Atribuição: sistema ou componente de sistema definido pela organização] recebe [Atribuição: controles
definidos pela organização]; e
(b) [Atribuição: controles definidos pela organização] são usados para validar a adequação das informações
designadas para divulgação.
Discussão: As organizações só podem proteger diretamente as informações quando elas residem no sistema. Podem ser
necessários controles adicionais para garantir que as informações organizacionais sejam adequadamente protegidas
quando transmitidas para fora do sistema. Nas situações em que o sistema não consegue determinar a adequação das
proteções fornecidas por entidades externas, como medida de mitigação, as organizações determinam processualmente se os
sistemas externos estão a fornecer controlos adequados. Os meios utilizados para determinar a adequação dos controles
A divulgação controlada de informações exige que os sistemas implementem meios técnicos ou processuais para validar
as informações antes de liberá-las para sistemas externos. Por exemplo, se o sistema passar informações para um sistema
controlado por outra organização, serão utilizados meios técnicos para validar se os atributos de segurança e privacidade
associados à informação exportada são apropriados para o sistema receptor. Alternativamente, se o sistema passar
informações para uma impressora em espaço controlado pela organização, meios processuais podem ser empregados para
garantir que apenas indivíduos autorizados tenham acesso à impressora.
Empregue uma substituição auditada de mecanismos automatizados de controle de acesso em [Atribuição: condições
definidas pela organização] por [Atribuição: funções definidas pela organização].
_________________________________________________________________________________________________
pe
E Discussão: Em certas situações, como quando há uma ameaça à vida humana ou um evento que ameaça a capacidade
da organização de realizar missões ou funções comerciais críticas, pode ser necessária uma capacidade de substituição
para mecanismos de controle de acesso. As condições de substituição são definidas pelas organizações e usadas somente
nessas circunstâncias limitadas. Os eventos de auditoria são definidos em AU-2. Os registros de auditoria são gerados no
AU-12.
Restringir o acesso a repositórios de dados contendo [Atribuição: tipos de informações definidos pela
organização].
Discussão: A restrição do acesso a informações específicas visa proporcionar flexibilidade em relação ao controle de
acesso de tipos específicos de informações dentro de um sistema. Por exemplo, o acesso baseado em funções poderia
ser utilizado para permitir o acesso apenas a um tipo específico de informação pessoalmente identificável dentro
de uma base de dados, em vez de permitir o acesso à base de dados na sua totalidade. Outros exemplos incluem a restrição
de acesso a chaves criptográficas, informações de autenticação e informações selecionadas do sistema.
(a) Exigir que os aplicativos afirmem, como parte do processo de instalação, o acesso necessário para
as seguintes aplicações e funções de sistema: [Atribuição: aplicações e funções de sistema definidas pela
organização];
Discussão: Afirmar e impor o acesso a aplicativos destina-se a abordar aplicativos que precisam acessar aplicativos e
funções de sistema existentes, incluindo contatos de usuários,
sistemas de posicionamento global, câmeras, teclados, microfones, redes, telefones ou outros arquivos.
Aplique uma política de controle de acesso baseada em atributos sobre assuntos e objetos definidos e controle o
acesso com base em [Atribuição: atributos definidos pela organização para assumir permissões de acesso].
Discussão: O controle de acesso baseado em atributos é uma política de controle de acesso que restringe o acesso do
sistema a usuários autorizados com base em atributos organizacionais especificados (por exemplo, função de trabalho,
identidade), atributos de ação (por exemplo, leitura, gravação, exclusão), atributos ambientais (por exemplo, hora do dia,
localização) e atributos de recursos (por exemplo, classificação de um documento). As organizações podem criar regras
baseadas em atributos e autorizações (ou seja, privilégios) para executar as operações necessárias nos sistemas associados
a atributos e regras definidos pela organização. Quando os usuários são atribuídos a atributos definidos em políticas ou
regras de controle de acesso baseadas em atributos, eles podem ser provisionados para um sistema com os privilégios
apropriados ou receber acesso dinamicamente a um recurso protegido. O controle de acesso baseado em atributos pode ser
implementado como uma forma obrigatória ou discricionária de controle de acesso. Quando implementados com controles de
acesso obrigatórios, os requisitos do AC-3(3) definem o escopo dos assuntos e objetos cobertos pela política.
_________________________________________________________________________________________________
pe
E Fornecer [Atribuição: mecanismos definidos pela organização] para permitir que os indivíduos
tenham acesso aos seguintes elementos de suas informações de identificação pessoal: [Atribuição:
elementos definidos pela organização].
Discussão: O acesso individual proporciona aos indivíduos a capacidade de revisar informações pessoalmente
identificáveis sobre eles mantidas nos registros organizacionais, independentemente do formato. O Access
ajuda os indivíduos a desenvolver uma compreensão sobre como suas informações de identificação
pessoal estão sendo processadas. Também pode ajudar os indivíduos a garantir que seus dados sejam precisos.
Os mecanismos de acesso podem incluir formulários de solicitação e interfaces de aplicativos. Para os
órgãos federais, os processos [PRIVACT] podem ser localizados em sistemas de editais de registro e nos
sites dos órgãos. O acesso a certos tipos de registros pode não ser apropriado (por exemplo, para
agências federais, os registros de aplicação da lei dentro de um sistema de registros podem estar
isentos de divulgação sob o [PRIVACT]) ou pode exigir certos níveis de garantia de autenticação.
O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade
para determinar mecanismos apropriados e direitos ou limitações de acesso.
Controles Relacionados: IA-8, PM-22, PM-20, PM-21, PT-6.
(a) Aplicar [Atribuição: política de controle de acesso obrigatório definida pela organização] sobre o
conjunto de assuntos e objetos cobertos especificados na política; e
(b) Aplicar [Atribuição: política de controle de acesso discricionário definida pela organização] sobre
o conjunto de assuntos e objetos cobertos especificados na política.
Referências: [PRIVACT], [OMB A-130], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-162], [SP 800 -178],
[IR 7874].
Controle: Aplicar autorizações aprovadas para controlar o fluxo de informações dentro do sistema e entre
sistemas conectados com base em [Atribuição: políticas de controle de fluxo de informações definidas
pela organização].
Discussão: O controlo do fluxo de informação regula onde a informação pode viajar dentro de um sistema e entre
sistemas (em contraste com quem tem permissão para aceder à informação) e independentemente dos acessos
subsequentes a essa informação. As restrições de controle de fluxo incluem o bloqueio de tráfego externo que
afirma ser de dentro da organização, impedindo que informações controladas por exportação sejam transmitidas
de forma clara para a Internet, restringindo solicitações da Web que não sejam do servidor proxy da Web interno e
limitando as transferências de informações entre organizações com base em estruturas e conteúdo de dados. A
transferência de informações entre organizações pode exigir um acordo especificando como o fluxo de informações
é aplicado (ver CA-3). A transferência de informações entre sistemas em diferentes domínios de segurança ou
privacidade com diferentes políticas de segurança ou privacidade apresenta o risco de que tais transferências
violem uma ou mais políticas de segurança ou privacidade de domínio. Nessas situações, os proprietários/
administradores da informação fornecem orientação em pontos designados de aplicação de políticas entre sistemas
conectados. As organizações consideram exigir soluções arquitetônicas específicas para impor políticas
específicas de segurança e privacidade. A aplicação inclui
proibindo transferências de informações entre sistemas conectados (ou seja, permitindo apenas acesso),
verificar as permissões de gravação antes de aceitar informações de outro domínio de segurança ou
privacidade ou sistema conectado, empregando mecanismos de hardware para impor informações unidirecionais
_________________________________________________________________________________________________
pe
E fluxos e implementação de mecanismos de reclassificação confiáveis para reatribuir atributos e rótulos de segurança ou
privacidade.
As organizações geralmente empregam políticas de controle de fluxo de informações e mecanismos de fiscalização para controlar o
fluxo de informações entre fontes e destinos designados dentro dos sistemas e entre sistemas conectados. O controle de fluxo é
baseado nas características da informação e/ou no caminho da informação. A aplicação ocorre, por exemplo, em dispositivos de
proteção de limites que empregam conjuntos de regras ou estabelecem definições de configuração que restringem os serviços do
sistema, fornecem capacidade de filtragem de pacotes com base nas informações do cabeçalho ou fornecem capacidade de
filtragem de mensagens com base no conteúdo da mensagem. As organizações também consideram a confiabilidade dos
mecanismos de filtragem e/ou inspeção (ou seja, componentes de hardware, firmware e software) que são essenciais para a
aplicação do fluxo de informações. As melhorias de controle 3 a 32 atendem principalmente às necessidades de soluções entre
domínios que se concentram em técnicas de filtragem mais avançadas, análises aprofundadas e mecanismos mais fortes de
aplicação de fluxo implementados em produtos entre domínios, como guardas de alta garantia. Tais capacidades geralmente não
estão disponíveis em produtos comerciais prontos para uso. A aplicação do fluxo de informações também se aplica ao tráfego
do plano de controle (por exemplo, roteamento e DNS).
Controles relacionados: AC-3, AC-6, AC-16, AC-17, AC-19, AC- 21, AU-10, CA-3, CA-9, CM-7, PL-9, PM-24 ,
SA-17, SC-4, SC-7, SC-16, SC-31.
Melhorias de controle:
Use [Atribuição: atributos de segurança e privacidade definidos pela organização] associado a [Atribuição:
objetos de informações, origem e destino definidos pela organização] para impor [Atribuição: políticas de controle de
fluxo de informações definidas pela organização] como base para decisões de controle de fluxo.
Use domínios de processamento protegidos para impor [Atribuição: políticas de controle de fluxo de
informações definidas pela organização] como base para decisões de controle de fluxo.
Discussão: Domínios de processamento protegidos dentro de sistemas são espaços de processamento que controlam
interações com outros espaços de processamento, permitindo o controle dos fluxos de informação entre esses espaços e de/
para objetos de informação. Um domínio de processamento protegido pode ser fornecido, por exemplo, implementando a
aplicação de domínio e tipo. Na aplicação de domínio e tipo, os processos do sistema são atribuídos a domínios, as
informações são identificadas por tipos e os fluxos de informações são controlados com base nos acessos permitidos às
informações (ou seja, determinados por domínio e tipo), na sinalização permitida entre domínios e nas transições
permitidas de processos para outros domínios. domínios.
_________________________________________________________________________________________________
pe
E Controles Relacionados: SC-39.
Impedir que informações criptografadas sejam ignoradas [Atribuição: mecanismos de controle de fluxo de
informações definidos pela organização] por [Seleção (um ou mais): descriptografar as informações;
bloquear o fluxo das informações criptografadas; encerrar sessões de comunicação que tentam transmitir informações
criptografadas; [Tarefa: procedimento ou método definido pela organização]].
Discussão: Os mecanismos de controle de fluxo incluem verificação de conteúdo, filtros de políticas de segurança e
identificadores de tipo de dados. O termo criptografia é estendido para abranger dados codificados não reconhecidos por
mecanismos de filtragem.
Aplique [Atribuição: limitações definidas pela organização] na incorporação de tipos de dados em outros tipos de
dados.
Discussão: A incorporação de tipos de dados em outros tipos de dados pode resultar na redução da eficácia do
controle de fluxo. A incorporação de tipos de dados inclui a inserção de arquivos como objetos dentro de outros arquivos e
o uso de tipos de dados compactados ou arquivados que podem incluir vários tipos de dados incorporados. As limitações na
incorporação de tipos de dados consideram os níveis de incorporação e proíbem níveis de incorporação de tipos de dados
que estão além da capacidade das ferramentas de inspeção.
Aplicar o controle do fluxo de informações com base em [Atribuição: metadados definidos pela organização].
Discussão: Metadados são informações que descrevem as características dos dados. Os metadados podem incluir metadados
estruturais que descrevem estruturas de dados ou metadados descritivos que descrevem o conteúdo dos dados. A
aplicação dos fluxos de informação permitidos com base em metadados permite um controle de fluxo mais simples e eficaz. As
organizações consideram a confiabilidade dos metadados em relação à precisão dos dados (ou seja, conhecimento de
que os valores dos metadados estão corretos em relação aos dados), integridade dos dados (ou seja, proteção contra
alterações não autorizadas nas tags de metadados) e a ligação dos metadados à carga útil dos dados ( isto é, empregando
técnicas de ligação suficientemente fortes com garantia apropriada).
Imponha fluxos de informações unidirecionais por meio de mecanismos de controle de fluxo baseados em hardware.
Discussão: Os mecanismos de fluxo unidirecional também podem ser chamados de rede unidirecional, gateway de segurança
unidirecional ou diodo de dados. Mecanismos de fluxo unidirecional podem ser usados para evitar que dados sejam
exportados de um domínio ou sistema de maior impacto ou classificado, ao mesmo tempo que permite a importação de dados
de um domínio ou sistema de menor impacto ou não classificado.
_________________________________________________________________________________________________
pe
E (8) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | FILTROS DE POLÍTICA DE SEGURANÇA E PRIVACIDADE
(a) Aplicar o controle do fluxo de informações usando [Atribuição: filtros de política de segurança ou privacidade
definidos pela organização] como base para decisões de controle de fluxo para [Atribuição:
fluxos de informações definidos pela organização]; e
(b) [Seleção (uma ou mais): Bloqueio; Faixa; Modificar; Quarentena] dados após um filtro
falha de processamento de acordo com [Atribuição: segurança definida pela organização ou política de
privacidade].
Discussão: Os filtros de segurança ou política de privacidade definidos pela organização podem abordar
estruturas e conteúdo de dados. Por exemplo, filtros de política de segurança ou privacidade para estruturas de dados podem
verificar comprimentos máximos de arquivos, tamanhos máximos de campos e tipos de dados/arquivos (para dados
estruturados e não estruturados). Os filtros de política de segurança ou privacidade para conteúdo de dados podem verificar
palavras específicas, valores enumerados ou intervalos de valores de dados e conteúdo oculto. Os dados estruturados
permitem a interpretação do conteúdo dos dados pelas aplicações. Dados não estruturados referem-se a informações
digitais sem estrutura de dados ou com uma estrutura de dados que não facilita o desenvolvimento de conjuntos de regras
para abordar o impacto ou o nível de classificação das informações transmitidas pelos dados ou pelas decisões de aplicação
do fluxo. Os dados não estruturados consistem em objetos bitmap que são inerentemente não baseados em linguagem
(ou seja, arquivos de imagem, vídeo ou áudio) e objetos textuais baseados em linguagens escritas ou impressas. As
organizações podem implementar mais de um filtro de política de segurança ou privacidade para atender aos objetivos de
controle do fluxo de informações.
Imponha o uso de revisões humanas para [Atribuição: fluxos de informações definidos pela organização] sob
as seguintes condições: [Atribuição: condições definidas pela organização].
Discussão: As organizações definem filtros de política de segurança ou privacidade para todas as situações em que são
possíveis decisões automatizadas de controle de fluxo. Quando uma decisão de controle de fluxo totalmente automatizada não
for possível, uma revisão humana poderá ser empregada no lugar ou como complemento à filtragem automatizada de
segurança ou política de privacidade. Revisões humanas também podem ser empregadas conforme considerado
necessário pelas organizações.
Forneça aos administradores privilegiados a capacidade de ativar e desativar [Atribuição: segurança definida
pela organização ou filtros de política de privacidade] sob as seguintes condições:
[Tarefa: condições definidas pela organização].
Discussão: Por exemplo, conforme permitido pela autorização do sistema, os administradores podem ativar filtros de política
de segurança ou privacidade para acomodar tipos de dados aprovados. Os administradores também têm a capacidade de
selecionar os filtros que são executados em um fluxo de dados específico com base no tipo de dados que estão sendo
transferidos, nos domínios de segurança de origem e destino e em outros recursos relevantes de segurança ou
privacidade, conforme necessário.
Discussão: A documentação contém informações detalhadas para configurar filtros de política de segurança ou privacidade.
Por exemplo, os administradores podem configurar filtros de política de segurança ou privacidade para incluir a lista de
palavras inadequadas que os mecanismos de política de segurança ou privacidade verificam de acordo com as definições
fornecidas pelas organizações.
_________________________________________________________________________________________________
pe
E (12)Aplicação do fluxo de informação | IDENTIFICADORES DE TIPO DE DADOS
Ao transferir informações entre diferentes domínios de segurança, use [Atribuição: identificadores de tipo de
dados definidos pela organização] para validar dados essenciais para decisões de fluxo de informações.
Discussão: Os identificadores de tipo de dados incluem nomes de arquivos, tipos de arquivos, assinaturas ou tokens de
arquivos e múltiplas assinaturas ou tokens de arquivos internos. Os sistemas só permitem a transferência de dados que são
compatível com especificações de formato de tipo de dados. A identificação e validação dos tipos de dados são baseadas em
especificações definidas associadas a cada formato de dados permitido. O nome e o número do arquivo sozinhos não são
usados para identificação do tipo de dados. O conteúdo é validado sintaticamente e semanticamente em relação à sua
especificação para garantir que seja o tipo de dados adequado.
Discussão: A estrutura de dados e as restrições de conteúdo reduzem a gama de conteúdo potencialmente malicioso ou não
sancionado em transações entre domínios. Os filtros de política de segurança ou privacidade que restringem estruturas de
dados incluem a restrição de tamanhos de arquivos e comprimentos de campos. Os filtros de política de conteúdo de
dados incluem formatos de codificação para conjuntos de caracteres, restringindo campos de dados de caracteres para
conterem apenas caracteres alfanuméricos, proibindo caracteres especiais e validando estruturas de esquema.
Discussão: As informações não sancionadas incluem códigos maliciosos, informações inadequadas para divulgação
na rede de origem ou códigos executáveis que podem interromper ou danificar os serviços ou sistemas na rede de destino.
_________________________________________________________________________________________________
pe
E Identifique e autentique exclusivamente pontos de origem e destino por [Seleção (um ou mais): organização;
sistema; aplicativo; serviço; indivíduo] para transferência de informações.
A atribuição também permite que as organizações mantenham melhor a linhagem do processamento de informações de
identificação pessoal à medida que elas fluem pelos sistemas e podem facilitar o rastreamento de consentimento, bem
como a correção, exclusão ou solicitações de acesso de indivíduos.
Discussão: Todas as informações (incluindo metadados e os dados aos quais os metadados se aplicam) estão sujeitas a
filtragem e inspeção. Algumas organizações distinguem entre metadados e cargas úteis de dados (ou seja, apenas os dados
aos quais os metadados estão vinculados). Outras organizações não fazem tais distinções e consideram os metadados e
os dados aos quais os metadados se aplicam como parte da carga útil.
Empregue [Atribuição: soluções definidas pela organização em configurações aprovadas] para controlar o fluxo de
[Atribuição: informações definidas pela organização] entre domínios de segurança.
Discussão: As organizações definem soluções e configurações aprovadas em políticas e orientações entre domínios de
acordo com os tipos de fluxos de informação através dos limites de classificação. O Escritório Nacional de Estratégia e
Gerenciamento de Vários Domínios da Agência de Segurança Nacional (NSA) fornece uma lista de soluções
aprovadas para vários domínios. Contate ncdsmo@nsa.gov para obter mais informações.
Separe os fluxos de informações lógica ou fisicamente usando [Atribuição: mecanismos e/ ou técnicas definidos pela
organização] para realizar [Atribuição: separações exigidas definidas pela organização por tipos de informação].
Discussão: Impor a separação dos fluxos de informação associados a tipos definidos de dados pode melhorar a protecção,
garantindo que a informação não se mistura durante o trânsito e permitindo o controlo do fluxo por caminhos de transmissão
que de outra forma não seriam alcançáveis. Os tipos de informações separáveis incluem tráfego de comunicações de entrada
e saída, solicitações e respostas de serviços e informações com diferentes níveis de classificação ou impacto na
segurança.
Forneça acesso de um único dispositivo a plataformas de computação, aplicativos ou dados residentes em vários
domínios de segurança diferentes, evitando o fluxo de informações entre os diferentes domínios de segurança.
_________________________________________________________________________________________________
pe
E Discussão: O sistema fornece aos usuários a capacidade de acessar cada domínio de segurança conectado sem fornecer
quaisquer mecanismos que permitam aos usuários transferir dados ou informações entre os diferentes domínios de
segurança. Um exemplo de solução somente de acesso é um terminal que fornece ao usuário acesso a informações com
diferentes classificações de segurança, ao mesmo tempo que mantém as informações separadas.
Ao transferir informações entre diferentes domínios de segurança, modifique as informações não liberáveis
implementando [Atribuição: ação de modificação definida pela organização].
Discussão: A modificação de informações não liberáveis pode ajudar a evitar vazamento ou ataque de dados quando as
informações são transferidas entre domínios de segurança. As ações de modificação incluem
mascaramento, permutação, alteração, remoção ou redação.
Ao transferir informações entre diferentes domínios de segurança, analise os dados recebidos em um formato
normalizado interno e regenere os dados para que sejam consistentes com a especificação pretendida.
Discussão: A conversão de dados em formatos normalizados é um dos mecanismos mais eficazes para impedir ataques
maliciosos e grandes tipos de exfiltração de dados.
Ao transferir informações entre diferentes domínios de segurança, higienize os dados para minimizar [Seleção
(um ou mais): entrega de conteúdo malicioso, comando e controle de código malicioso, aumento de código malicioso
e dados codificados por esteganografia; derramamento de informações confidenciais] de acordo com [Atribuição:
política definida pela organização]].
Ao transferir informações entre diferentes domínios de segurança, registre e audite ações e resultados de
filtragem de conteúdo para as informações que estão sendo filtradas.
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que atravessa uma solução entre
domínios e determina se as informações atendem a uma política predefinida. As ações de filtragem de conteúdo e os
resultados das ações de filtragem são registrados para mensagens individuais para garantir que as ações de filtro corretas
foram aplicadas. Os relatórios de filtro de conteúdo são usados para auxiliar nas ações de solução de problemas, por exemplo,
determinando por que o conteúdo da mensagem foi modificado e/ou por que falhou no processo de filtragem. Os eventos
de auditoria são definidos em AU-2. Os registros de auditoria são gerados no AU-12.
Ao transferir informações entre diferentes domínios de segurança, implemente soluções de filtragem de conteúdo
que forneçam mecanismos de filtragem redundantes e independentes para cada tipo de dados.
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que atravessa uma solução entre
domínios e determina se as informações atendem a uma política predefinida. Redundante
_________________________________________________________________________________________________
pe
E e a filtragem de conteúdo independente elimina um sistema de filtragem de ponto único de falha.
Independência é definida como a implementação de um filtro de conteúdo que usa uma base de código e bibliotecas de
suporte diferentes (por exemplo, dois filtros JPEG usando bibliotecas JPEG de fornecedores diferentes)
e vários processos de sistema independentes.
Ao transferir informações entre diferentes domínios de segurança, implemente um pipeline de filtro de conteúdo
linear que seja aplicado com controles de acesso discricionários e obrigatórios.
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que atravessa uma solução entre
domínios e determina se as informações atendem a uma política predefinida. O uso de pipelines de filtro de conteúdo
linear garante que os processos de filtro não sejam contornáveis e sejam sempre invocados. Em geral, o uso de arquiteturas
de filtragem paralela para filtragem de conteúdo de um único tipo de dados introduz problemas de desvio e de não invocação.
Ao transferir informações entre diferentes domínios de segurança, utilize mecanismos de orquestração de filtros de
conteúdo para garantir que:
(a) Os mecanismos de filtragem de conteúdo concluem a execução com êxito e sem erros; e
(b) As ações de filtragem de conteúdo ocorrem na ordem correta e cumprem com [Atribuição:
política definida pela organização].
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que elas atravessam uma solução
entre domínios e determinam se as informações atendem a uma política de segurança predefinida. Um mecanismo de
orquestração coordena o sequenciamento de atividades (manuais e automatizadas) em um processo de filtragem de
conteúdo. Os erros são definidos como ações anômalas ou encerramento inesperado do processo de filtro de conteúdo.
Isso não é o mesmo que falha no filtro de conteúdo devido à não conformidade com a política. Os relatórios de filtro de
conteúdo são um mecanismo comumente usado para garantir que as ações de filtragem esperadas sejam concluídas com
êxito.
Discussão: O uso de múltiplos processos para implementar mecanismos de filtragem de conteúdo reduz a
probabilidade de um único ponto de falha.
Ao transferir informações entre diferentes domínios de segurança, evite a transferência de conteúdo com falha para
o domínio receptor.
Discussão: O conteúdo que falhou nas verificações de filtragem pode corromper o sistema se for transferido para o domínio
receptor.
Ao transferir informações entre diferentes domínios de segurança, o processo que transfere informações entre
pipelines de filtro:
_________________________________________________________________________________________________
pe
E (c) Garante que o conteúdo associado aos metadados de filtragem foi concluído com êxito
filtragem; e
(d) Transfere o conteúdo para o pipeline de filtro de destino.
Discussão: Os processos que transferem informações entre pipelines de filtros possuem complexidade e
funcionalidade mínimas para garantir que os processos operem corretamente.
Controles relacionados: Nenhum.
Ao controle:
a. Identificar e documentar [Atribuição: deveres definidos pela organização de indivíduos que exigem
separação]; e
Discussão: A separação de funções aborda o potencial de abuso de privilégios autorizados e ajuda a reduzir o risco
de atividades malévolas sem conluio. A separação de funções inclui
dividir funções de missão ou negócios e funções de suporte entre diferentes indivíduos ou funções,
conduzir funções de suporte ao sistema com diferentes indivíduos e garantir que o pessoal de segurança que
administra funções de controle de acesso não administre também funções de auditoria.
Como as violações da separação de tarefas podem abranger sistemas e domínios de aplicação, as organizações
consideram a totalidade dos sistemas e componentes do sistema ao desenvolver políticas sobre separação de tarefas.
A separação de funções é aplicada através de atividades de gerenciamento de contas em AC-2, mecanismos de
controle de acesso em AC-3 e atividades de gerenciamento de identidade em IA-2, IA-4 e IA-12.
Controles relacionados: AC-2, AC-3, AC-6, AU-9, CM-5, CM-11, CP-9, IA-2, IA-4, IA-5, IA-12, MA-3 , MA-5, PS-2, SA-8,
SA-17.
Referências: Nenhuma.
Controle: Empregue o princípio do menor privilégio, permitindo apenas acessos autorizados para usuários (ou
processos agindo em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas.
Discussão: As organizações empregam privilégios mínimos para funções e sistemas específicos. O princípio do menor
privilégio também é aplicado aos processos do sistema, garantindo que os processos tenham acesso aos sistemas
e operem em níveis de privilégio não superiores ao necessário para cumprir missões organizacionais ou funções de
negócios. As organizações consideram a criação de processos, funções e contas adicionais conforme necessário para
obter o mínimo de privilégios. As organizações aplicam privilégios mínimos ao desenvolvimento, implementação e
operação de sistemas organizacionais.
Controles relacionados: AC-2, AC-3, AC-5, AC-16, CM-5, CM-11, PL-2, PM-12, SA-8, SA-15, SA-17, SC-38 .
Melhorias de controle:
(a) [Atribuição: funções de segurança definidas pela organização (implantadas em hardware, software e
firmware)]; e
_________________________________________________________________________________________________
pe
E Discussão: As funções de segurança incluem o estabelecimento de contas do sistema, a configuração de
autorizações de acesso (ou seja, permissões, privilégios), a definição de configurações para eventos a serem auditados,
e estabelecer parâmetros de detecção de intrusão. Informações relevantes para a segurança incluem
regras de filtragem para roteadores ou firewalls, parâmetros de configuração para serviços de segurança,
informações de gerenciamento de chaves criptográficas e listas de controle de acesso. O pessoal autorizado inclui
administradores de segurança, administradores de sistema, responsáveis pela segurança do sistema,
programadores de sistema e outros usuários privilegiados.
(2) MENOS PRIVILÉGIO | ACESSO NÃO PRIVILEGIADO PARA FUNÇÕES NÃO SEGURANÇAS
Exigir que os usuários de contas (ou funções) do sistema com acesso a [Atribuição: funções de segurança
definidas pela organização ou informações relevantes para a segurança] usem contas ou funções não
privilegiadas ao acessar funções não relacionadas à segurança.
Discussão: Exigir o uso de contas não privilegiadas ao acessar funções não seguras limita a exposição ao
operar em contas ou funções privilegiadas. A inclusão de funções aborda situações em que as organizações
implementam políticas de controle de acesso, como controle de acesso baseado em funções, e onde uma
mudança de função fornece o mesmo grau de garantia na mudança de autorizações de acesso para o usuário e
nos processos que atuam em nome do usuário. usuário como seria fornecido por uma mudança entre uma conta
privilegiada e não privilegiada.
Autorize o acesso à rede para [Atribuição: comandos privilegiados definidos pela organização] apenas
para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documente a
justificativa para tal acesso no plano de segurança do sistema.
Discussão: O acesso à rede é qualquer acesso através de uma conexão de rede em vez do acesso local (ou seja, o
usuário estando fisicamente presente no dispositivo).
Forneça domínios de processamento separados para permitir uma alocação mais refinada de privilégios de usuário.
Discussão: Fornecer domínios de processamento separados para alocação mais detalhada de privilégios de
usuário inclui o uso de técnicas de virtualização para permitir privilégios de usuário adicionais dentro de uma máquina
virtual, ao mesmo tempo em que restringe privilégios a outras máquinas virtuais ou à máquina física subjacente,
implementando domínios físicos separados e empregando hardware ou mecanismos de separação de domínio
de software.
Restrinja contas privilegiadas no sistema para [Atribuição: pessoal ou funções definidas pela organização].
Discussão: Contas privilegiadas, incluindo contas de superusuário, são normalmente descritas como
administradores de sistema para vários tipos de sistemas operacionais comerciais prontos para uso.
Restringir contas privilegiadas a funcionários ou funções específicas impede que usuários comuns acessem
informações ou funções privilegiadas. As organizações podem diferenciar na aplicação da restrição de contas
privilegiadas entre privilégios permitidos para contas locais e para contas de domínio, desde que mantenham
a capacidade de controlar as configurações do sistema para parâmetros-chave e conforme necessário para
mitigar suficientemente o risco.
_________________________________________________________________________________________________
pe
E (6) MENOS PRIVILÉGIO | ACESSO PRIVILEGIADO DE USUÁRIOS NÃO ORGANIZACIONAIS
(b) Reatribuir ou remover privilégios, se necessário, para refletir corretamente a missão organizacional
e necessidades de negócios.
Discussão: A necessidade de determinados privilégios de usuário atribuídos pode mudar ao longo do tempo para refletir
mudanças na missão organizacional e nas funções de negócios, nos ambientes de operação, nas tecnologias ou nas
ameaças. Uma revisão periódica dos privilégios de usuário atribuídos é necessária para determinar se a justificativa
para a atribuição de tais privilégios permanece válida. Se a necessidade não puder ser revalidada, as organizações tomam as
ações corretivas apropriadas.
Evite que o seguinte software seja executado em níveis de privilégio mais elevados do que os usuários que
executam o software: [Atribuição: software definido pela organização].
Discussão: Em certas situações, os aplicativos de software ou programas precisam ser executados com privilégios elevados
para executar as funções necessárias. No entanto, dependendo da funcionalidade e configuração do software, se os
privilégios necessários para a execução estiverem em um nível superior aos privilégios atribuídos aos usuários organizacionais
que invocam tais aplicativos ou programas, esses usuários poderão indiretamente receber privilégios maiores do que os atribuídos.
Discussão: O uso indevido de funções privilegiadas, intencionalmente ou não, por usuários autorizados ou por entidades
externas não autorizadas que comprometeram contas do sistema, é uma preocupação séria e contínua e pode ter
impactos adversos significativos nas organizações. Registrar e analisar o uso de funções privilegiadas é uma forma de
detectar esse uso indevido e, ao fazê-lo, ajudar a mitigar o risco de ameaças internas e ameaças persistentes avançadas.
(10) MENOS PRIVILÉGIO | PROIBIR USUÁRIOS NÃO PRIVILEGIADOS DE EXECUTAR FUNÇÕES PRIVILEGIADAS
Discussão: As funções privilegiadas incluem desabilitar, contornar ou alterar controles implementados de segurança ou
privacidade, estabelecer contas do sistema, realizar verificações de integridade do sistema e administrar atividades de
gerenciamento de chaves criptográficas. Usuários não privilegiados são indivíduos que não possuem autorizações apropriadas.
As funções privilegiadas que exigem proteção contra usuários não privilegiados incluem contornar a detecção de intrusões e
_________________________________________________________________________________________________
pe
E mecanismos de prevenção ou mecanismos de proteção de códigos maliciosos. Impedir que usuários não
privilegiados executem funções privilegiadas é imposto pelo AC-3.
Referências: Nenhuma.
Ao controle:
a. Aplicar um limite de [Atribuição: número definido pela organização] logon inválido consecutivo
tentativas de um usuário durante uma [Atribuição: período de tempo definido pela organização]; e
b. Automaticamente [Seleção (uma ou mais): bloquear a conta ou nó por uma [Atribuição: período de tempo definido pela
organização]; bloquear a conta ou nó até que seja liberado por um administrador; atrasar o próximo prompt
de logon de acordo com [Atribuição: algoritmo de atraso definido pela organização]; notificar o administrador do
sistema; realizar outra [Atribuição: ação definida pela organização]] quando o número máximo de tentativas
malsucedidas for excedido.
Discussão: A necessidade de limitar as tentativas de logon malsucedidas e tomar medidas subsequentes quando o número máximo
de tentativas for excedido se aplica independentemente de o logon ocorrer por meio de uma conexão local ou de rede. Devido ao
potencial de negação de serviço, os bloqueios automáticos iniciados pelos sistemas são geralmente temporários e liberados
automaticamente após um período predeterminado,
período de tempo definido pela organização. Se um algoritmo de atraso for selecionado, as organizações poderão empregar
algoritmos diferentes para diferentes componentes do sistema com base nas capacidades desses componentes. As respostas a
tentativas malsucedidas de logon podem ser implementadas no sistema operacional e nos níveis do aplicativo. As ações definidas
pela organização que podem ser tomadas quando o número permitido de tentativas consecutivas de logon inválido for excedido
incluem solicitar ao usuário que
responder a uma pergunta secreta além do nome de usuário e senha, invocando um modo de bloqueio com recursos limitados do
usuário (em vez de bloqueio total), permitindo que os usuários façam logon apenas a partir de endereços de protocolo de Internet
(IP) especificados, exigindo um CAPTCHA para evitar ataques automatizados, ou aplicação de perfis de usuário, como localização,
hora do dia, endereço IP, dispositivo ou controle de acesso à mídia (MAC)
endereço. Se o bloqueio automático do sistema ou a execução de um algoritmo de atraso não for implementado para apoiar o
objetivo de disponibilidade, as organizações consideram uma combinação de outras ações para ajudar a prevenir ataques de
força bruta. Além do acima exposto, as organizações podem solicitar que os usuários respondam a uma pergunta secreta antes
que o número permitido de tentativas de login malsucedidas seja excedido. Geralmente, não é permitido desbloquear
automaticamente uma conta após um período de tempo especificado. No entanto, podem ser necessárias exceções com base
na missão ou necessidade operacional.
Melhorias de controle:
Limpar ou apagar informações de [Atribuição: dispositivos móveis definidos pela organização] com base em
[Atribuição: requisitos e técnicas de limpeza ou limpeza definidos pela organização] após [Atribuição: número
definido pela organização] tentativas consecutivas e malsucedidas de logon no dispositivo.
Discussão: Um dispositivo móvel é um dispositivo de computação que possui um formato pequeno, de modo que pode ser
transportado por um único indivíduo; foi projetado para operar sem conexão física; possui armazenamento de dados local,
não removível ou removível; e inclui uma fonte de energia independente. A limpeza ou limpeza do dispositivo aplica-se
apenas a dispositivos móveis para os quais ocorre o número de logons malsucedidos definido pela organização. O logon
é para o celular
_________________________________________________________________________________________________
pe
E dispositivo, e não para qualquer conta no dispositivo. Logons bem-sucedidos em contas em dispositivos
móveis redefinem a contagem de logons malsucedidos para zero. A limpeza ou limpeza pode ser desnecessária
se as informações no dispositivo estiverem protegidas com mecanismos de criptografia suficientemente fortes.
Controles relacionados: AC-19, MP-5, MP-6.
Limite o número de tentativas malsucedidas de logon biométrico a [Atribuição: número definido pela
organização].
(a) Permitir o uso de [Atribuição: fatores de autenticação definidos pela organização] que sejam
diferentes dos fatores de autenticação primários após o número de tentativas consecutivas de
logon inválidas definidas pela organização ter sido excedido; e
(b) Aplicar um limite de [Atribuição: número definido pela organização] consecutivos inválidos
tentativas de logon por meio do uso de fatores alternativos por um usuário durante uma [Atribuição:
período de tempo definido pela organização].
Discussão: O uso de fatores de autenticação alternativos apoia o objetivo de disponibilidade e permite que um
usuário que tenha sido bloqueado inadvertidamente use fatores de autenticação adicionais para contornar o
bloqueio.
Controles Relacionados: IA-3.
Ao controle:
a. Exibir [Atribuição: mensagem ou banner de notificação de uso do sistema definido pela organização] aos
usuários antes de conceder acesso ao sistema que fornece avisos de privacidade e segurança
consistentes com leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis e
declara que:
b. Reter a mensagem ou banner de notificação na tela até que os usuários reconheçam as condições de uso e
tomem ações explícitas para efetuar logon ou acesso posterior ao sistema; e
1. Exibir informações de uso do sistema [Atribuição: condições definidas pela organização], antes
conceder maior acesso ao sistema acessível ao público;
2. Exibir referências, se houver, ao monitoramento, gravação ou auditoria que sejam consistentes com as
acomodações de privacidade para tais sistemas que geralmente proíbem essas atividades; e
_________________________________________________________________________________________________
pe
E 3. Inclua uma descrição dos usos autorizados do sistema.
Discussão: As notificações de uso do sistema podem ser implementadas por meio de mensagens ou banners de aviso exibidos
antes que os indivíduos façam login nos sistemas. As notificações de uso do sistema são usadas apenas para acesso por meio de
interfaces de logon com usuários humanos. As notificações não são necessárias quando não existem interfaces humanas. Com
base em uma avaliação de risco, as organizações consideram se uma notificação de uso do sistema secundário é necessária
ou não para acessar aplicativos ou outros recursos do sistema após o logon inicial na rede. As organizações consideram
mensagens de notificação de uso do sistema ou banners exibidos em vários idiomas com base nas necessidades
organizacionais e na demografia dos usuários do sistema. As organizações consultam o escritório de privacidade para obter
informações sobre mensagens de privacidade e o Escritório do Conselho Geral ou equivalente organizacional para revisão legal e
aprovação do conteúdo do banner de advertência.
Referências: Nenhuma.
Controle: Notificar o usuário, após login bem-sucedido no sistema, sobre a data e hora do último login.
Discussão: A notificação de logon prévio é aplicável ao acesso ao sistema através de interfaces de usuário humano e ao acesso a
sistemas que ocorre em outros tipos de arquiteturas. As informações sobre o último logon bem-sucedido permitem ao usuário
reconhecer se a data e a hora fornecidas não são consistentes com o último acesso do usuário.
Melhorias de controle:
Notifique o usuário, após o logon bem-sucedido, sobre o número de tentativas de logon malsucedidas desde o último
logon bem-sucedido.
Discussão: As informações sobre o número de tentativas de logon malsucedidas desde o último logon bem-sucedido
permitem que o usuário reconheça se o número de tentativas de logon malsucedidas é consistente com as tentativas de logon
reais do usuário.
Notifique o usuário, após logon bem-sucedido, sobre o número de [Seleção: logons bem-sucedidos; tentativas
de login malsucedidas; ambos] durante [Atribuição: período de tempo definido pela organização].
Discussão: As informações sobre o número de tentativas de logon bem-sucedidas e malsucedidas dentro de um período
de tempo especificado permitem que o usuário reconheça se o número e o tipo de tentativas de logon são consistentes com
as tentativas de logon reais do usuário.
Notificar o usuário, após o logon bem-sucedido, sobre alterações em [Atribuição: características ou parâmetros
relacionados à segurança definidos pela organização ou parâmetros da conta do usuário] durante [Atribuição:
período de tempo definido pela organização].
Discussão: As informações sobre alterações nas características da conta relacionadas à segurança dentro de um período
de tempo especificado permitem que os usuários reconheçam se as alterações foram feitas sem o seu
conhecimento.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Discussão: As organizações podem especificar informações adicionais a serem fornecidas aos usuários no logon, incluindo
o local do último logon. A localização do usuário é definida como informação que
pode ser determinado por sistemas, como endereços de protocolo da Internet (IP) a partir dos quais ocorreram logons de rede,
notificações de logons locais ou identificadores de dispositivos.
Referências: Nenhuma.
Controle: Limite o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ ou tipo de conta]
para [Atribuição: número definido pela organização].
Discussão: As organizações podem definir o número máximo de sessões simultâneas para contas do sistema globalmente, por
tipo de conta, por conta ou qualquer combinação destes. Por exemplo, as organizações podem limitar o número de
sessões simultâneas para administradores de sistema ou outros indivíduos que trabalham em domínios particularmente sensíveis
ou em aplicações de missão crítica. O controle de sessão simultânea aborda sessões simultâneas para contas do sistema. No
entanto, ele não aborda sessões simultâneas de usuários únicos por meio de múltiplas contas de sistema.
Referências: Nenhuma.
Ao controle:
a. Impedir acesso adicional ao sistema [Seleção (um ou mais): iniciar um bloqueio de dispositivo após [Atribuição: período de tempo
definido pela organização] de inatividade; exigir que o usuário inicie um bloqueio do dispositivo antes de deixar o sistema
sem supervisão]; e
b. Mantenha o bloqueio do dispositivo até que o usuário restabeleça o acesso usando procedimentos estabelecidos de identificação
e autenticação.
Discussão: Os bloqueios de dispositivos são ações temporárias tomadas para impedir o acesso lógico aos sistemas organizacionais
quando os usuários param de trabalhar e se afastam das imediações desses sistemas, mas não desejam se desconectar devido à
natureza temporária de suas ausências. Os bloqueios de dispositivos podem ser implementados no nível do sistema operacional
ou no nível do aplicativo. Um bloqueio de proximidade pode ser usado para iniciar o bloqueio do dispositivo (por exemplo, através
de um dispositivo ou dongle habilitado para Bluetooth). Iniciado pelo usuário
o bloqueio do dispositivo é baseado em comportamento ou política e, como tal, exige que os usuários tomem medidas físicas para
iniciar o bloqueio do dispositivo. Os bloqueios de dispositivos não são um substituto aceitável para o logout dos sistemas, como
quando as organizações exigem que os usuários façam logout no final do dia útil.
Melhorias de controle:
Ocultar, através do bloqueio do dispositivo, informações anteriormente visíveis no display com uma imagem visível
publicamente.
_________________________________________________________________________________________________
pe
E Discussão: A exibição de ocultação de padrões pode incluir imagens estáticas ou dinâmicas, como
padrões usados com protetores de tela, imagens fotográficas, cores sólidas, relógio, indicador de carga da bateria ou
uma tela em branco com a ressalva de que informações controladas não classificadas não são exibidas.
Referências: Nenhuma.
Controle: Encerre automaticamente uma sessão de usuário após [Atribuição: condições definidas pela organização ou
eventos acionadores que exigem desconexão da sessão].
Discussão: O encerramento de sessão aborda o encerramento de sessões lógicas iniciadas pelo usuário (em contraste com o
SC-10, que trata do encerramento de conexões de rede associadas a sessões de comunicação (isto é, desconexão de rede)).
Uma sessão lógica (para acesso local, de rede e remoto) é iniciada sempre que um usuário (ou processo agindo em nome de
um usuário) acessa um sistema organizacional. Essas sessões de usuário podem ser encerradas sem encerrar as sessões de
rede. O encerramento da sessão encerra todos os processos associados à sessão lógica de um usuário, exceto aqueles
processos criados especificamente pelo usuário (ou seja, o proprietário da sessão) para continuar após o término da sessão. As
condições ou eventos desencadeadores que exigem o encerramento automático da sessão incluem períodos de inatividade do usuário
definidos pela organização, respostas direcionadas a determinados tipos de incidentes ou restrições de horário no uso do sistema.
Melhorias de controle:
Forneça um recurso de logout para sessões de comunicação iniciadas pelo usuário sempre que a
autenticação for usada para obter acesso a [Atribuição: recursos de informação definidos pela organização].
Discussão: Os recursos de informação aos quais os usuários obtêm acesso por meio de autenticação incluem estações de
trabalho locais, bancos de dados e sites protegidos por senha ou serviços baseados na Web.
Exiba uma mensagem explícita de logout aos usuários indicando o término das sessões de comunicação
autenticadas.
Discussão: Mensagens de logout para acesso à web podem ser exibidas após o término das sessões autenticadas. No
entanto, para certos tipos de sessões, incluindo sessões de protocolo de transferência de arquivos (FTP), os sistemas
normalmente enviam mensagens de logout como mensagens finais antes de encerrar as sessões.
Exiba uma mensagem explícita aos usuários indicando que a sessão terminará em [Atribuição: tempo definido
pela organização até o final da sessão].
Discussão: Para aumentar a usabilidade, notifique os usuários sobre o encerramento pendente da sessão e solicite que
eles continuem a sessão. O período de encerramento da sessão pendente é baseado nos parâmetros definidos no controle
base AC-12 .
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E SUPERVISÃO E REVISÃO AC-13 — CONTROLE DE ACESSO
Ao controle:
a. Identifique [Atribuição: ações do usuário definidas pela organização] que podem ser executadas no
sistema sem identificação ou autenticação consistente com a missão organizacional e funções de negócio; e
Discussão: Ações específicas do usuário podem ser permitidas sem identificação ou autenticação se as organizações
determinarem que a identificação e a autenticação não são necessárias para as ações especificadas do usuário. As
organizações podem permitir um número limitado de ações de usuários sem identificação ou autenticação, inclusive
quando indivíduos acessam sites públicos ou outros sistemas federais acessíveis ao público, quando indivíduos
usam telefones celulares para receber chamadas ou quando faxes são recebidos. As organizações identificam
ações que normalmente requerem identificação ou autenticação, mas podem, em certas circunstâncias, permitir que os
mecanismos de identificação ou autenticação sejam contornados. Tais desvios podem ocorrer, por exemplo,
através de um comutador físico legível por software que comanda o desvio da funcionalidade de logon e é protegido
contra uso acidental ou não monitorado. Permitir ações sem identificação ou autenticação não se aplica a situações
em que a identificação e a autenticação já tenham ocorrido e não sejam repetidas, mas sim a situações em que a
identificação e a autenticação ainda não tenham ocorrido. As organizações podem decidir que não há ações de usuário
que possam ser executadas em sistemas organizacionais sem identificação e autenticação e, portanto, o valor da
operação de atribuição pode ser “nenhum”.
Referências: Nenhuma.
Ao controle:
a. Fornecer os meios para associar [Atribuição: tipos de atributos de segurança e privacidade definidos pela
organização] com [Atribuição: valores de atributos de segurança e privacidade definidos pela organização]
para informações em armazenamento, em processo e/ou em transmissão;
c. Estabeleça os seguintes atributos permitidos de segurança e privacidade a partir dos atributos definidos em AC-16a
para [Atribuição: sistemas definidos pela organização]: [Atribuição: atributos de segurança e privacidade definidos
pela organização];
_________________________________________________________________________________________________
pe
E d. Determine os seguintes valores ou intervalos de atributos permitidos para cada um dos atributos estabelecidos:
[Atribuição: valores ou intervalos de atributos definidos pela organização para atributos estabelecidos];
f. Revise [Atribuição: atributos de segurança e privacidade definidos pela organização] quanto à aplicabilidade
[Atribuição: frequência definida pela organização].
Discussão: A informação é representada internamente nos sistemas usando abstrações conhecidas como estruturas
de dados. As estruturas de dados internas podem representar diferentes tipos de entidades, tanto ativas quanto passivas.
Entidades ativas, também conhecidas como sujeitos, normalmente estão associadas a indivíduos, dispositivos ou
processos que atuam em nome de indivíduos. Entidades passivas, também conhecidas como objetos, são normalmente
associadas a estruturas de dados, como registros, buffers, tabelas, arquivos, canais entre processos e portas de
comunicação. Atributos de segurança, uma forma de metadados, são abstrações que representam as propriedades
ou características básicas de entidades ativas e passivas no que diz respeito à proteção de informações. Os atributos
de privacidade, que podem ser usados independentemente ou em conjunto com atributos de segurança, representam
as propriedades ou características básicas de entidades ativas ou passivas no que diz respeito ao gerenciamento
de informações de identificação pessoal. Os atributos podem ser associados explícita ou implicitamente às
informações contidas nos sistemas organizacionais ou nos componentes do sistema.
Os atributos podem estar associados a entidades ativas (isto é, sujeitos) que têm o potencial de enviar ou receber
informações, fazer com que informações fluam entre objetos ou alterar o estado do sistema. Esses atributos também
podem estar associados a entidades passivas (isto é, objetos) que contêm ou recebem informações. A associação
de atributos a assuntos e objetos por um sistema é chamada de ligação e inclui a definição do valor do atributo e do
tipo de atributo. Os atributos, quando vinculados a dados ou informações, permitem a aplicação de políticas de
segurança e privacidade para controle de acesso e controle de fluxo de informações, incluindo limites de retenção de
dados, usos permitidos de informações de identificação pessoal e identificação de informações pessoais
em objetos de dados. Essa aplicação ocorre através de processos organizacionais ou funções ou mecanismos
de sistema. As técnicas de ligação implementadas pelos sistemas afetam a força da ligação de atributos às
informações. A força vinculativa e a garantia associada às técnicas vinculativas desempenham um papel importante
na confiança que as organizações têm no processo de aplicação do fluxo de informações. As técnicas vinculativas
afetam o número e o grau de revisões adicionais exigidas pelas organizações. O conteúdo ou os valores atribuídos
aos atributos podem afetar diretamente a capacidade dos indivíduos de acessar informações organizacionais.
As organizações podem definir os tipos de atributos necessários para que os sistemas apoiem missões ou
funções de negócios. Existem muitos valores que podem ser atribuídos a um atributo de segurança. Ao
especificar os intervalos e valores de atributos permitidos, as organizações garantem que os valores dos atributos
sejam significativos e relevantes. A rotulagem refere-se à associação de atributos com os sujeitos e objetos
representados pelas estruturas de dados internas dos sistemas. Isto facilita a aplicação baseada no sistema de
políticas de segurança e privacidade da informação. Os rótulos incluem classificação de informações de acordo com
requisitos legais e de conformidade (por exemplo, ultrassecreto, secreto, confidencial, controlado não classificado),
nível de impacto da informação; informações de ativos de alto valor,
autorizações de acesso, nacionalidade; proteção do ciclo de vida dos dados (ou seja, criptografia e expiração de dados),
permissões de processamento de informações pessoalmente identificáveis, incluindo consentimento individual
para processamento de informações pessoalmente identificáveis e afiliação ao contratante. Um termo relacionado
à rotulagem é marcação. A marcação refere-se à associação de atributos com objetos em um formato legível e
exibido na mídia do sistema. A marcação permite a aplicação manual, processual ou baseada em processos de
políticas de segurança e privacidade da informação. Os rótulos de segurança e privacidade podem ter o mesmo valor
que as marcações de mídia (por exemplo, ultrassecreto, secreto, confidencial). Consulte MP-3 (Mídia
Marcação).
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-3, AC-4, AC-6, AC-21, AC-25, AU-2, AU-10, MP-3, PE-22, PT-2, PT-3, PT-4 ,
SC-11, SC-16, SI-12, SI-18.
Melhorias de controle:
Associe dinamicamente atributos de segurança e privacidade a [Atribuição: assuntos e objetos definidos pela
organização] de acordo com as seguintes políticas de segurança e privacidade
à medida que as informações são criadas e combinadas: [Atribuição: políticas de segurança e privacidade definidas
pela organização].
(2) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | ALTERAÇÕES DE VALOR DE ATRIBUTOS POR INDIVÍDUOS AUTORIZADOS
Fornecer a indivíduos autorizados (ou processos que atuem em nome de indivíduos) a capacidade de definir ou
alterar o valor dos atributos de segurança e privacidade associados.
Discussão: O conteúdo ou os valores atribuídos aos atributos podem afetar diretamente a capacidade dos indivíduos de
acessar informações organizacionais. Portanto, é importante que os sistemas sejam capazes de limitar a capacidade de criar
ou modificar atributos a indivíduos autorizados.
Manter a associação e integridade de [Atribuição: atributos de segurança e privacidade definidos pela organização]
a [Atribuição: assuntos e objetos definidos pela organização].
Discussão: Manter a associação e a integridade dos atributos de segurança e privacidade para assuntos e objetos com
segurança suficiente ajuda a garantir que as associações de atributos possam ser usadas como base para ações políticas
automatizadas. A integridade de itens específicos, como arquivos de configuração de segurança, pode ser mantida por meio
do uso de um mecanismo de monitoramento de integridade que detecta anomalias e alterações que se desviam das linhas
de base “conhecidamente boas”.
As ações políticas automatizadas incluem expirações de datas de retenção, decisões de controle de acesso, decisões
de controle de fluxo de informações e decisões de divulgação de informações.
Fornecer a capacidade de associar [Atribuição: atributos de segurança e privacidade definidos pela organização] a
[Atribuição: assuntos e objetos definidos pela organização] por indivíduos autorizados (ou processos que atuem
em nome de indivíduos).
Discussão: Os sistemas, em geral, fornecem aos usuários privilegiados a capacidade de atribuir atributos de segurança e
privacidade a assuntos (por exemplo, usuários) e objetos (por exemplo, diretórios, arquivos e portas) definidos pelo sistema.
Alguns sistemas fornecem capacidade adicional para usuários em geral atribuirem atributos de segurança e privacidade
a objetos adicionais (por exemplo, arquivos, e-mails). A associação de atributos por pessoas autorizadas está descrita na
documentação de projeto. O suporte fornecido pelos sistemas pode incluir solicitar aos usuários que selecionem atributos
de segurança e privacidade a serem associados aos objetos de informação, empregando mecanismos automatizados para
categorizar informações com atributos baseados em políticas definidas ou garantir que a combinação dos atributos de
segurança ou privacidade selecionados seja válida. As organizações consideram a criação, exclusão ou modificação de
atributos ao definir eventos auditáveis.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Exibir atributos de segurança e privacidade em formato legível por humanos em cada objeto que o sistema
transmite para dispositivos de saída para identificar [Atribuição: instruções especiais de disseminação, manuseio
ou distribuição definidas pela organização] usando [Atribuição: nomenclatura padrão legível por humanos
definida pela organização convenções].
Discussão: As saídas do sistema incluem páginas impressas, telas ou itens equivalentes. Os dispositivos de saída do
sistema incluem impressoras, notebooks, monitores de vídeo, smartphones e tablets. Para mitigar o risco de exposição
não autorizada de informações (por exemplo, navegação no ombro), as saídas exibem valores completos de atributos quando
desmascaradas pelo assinante.
Exigir que o pessoal associe e mantenha a associação de [Atribuição: atributos de segurança e privacidade definidos
pela organização] com [Atribuição: assuntos e objetos definidos pela organização] de acordo com [Atribuição:
políticas de segurança e privacidade definidas pela organização].
Discussão: Manter a associação de atributos exige que usuários individuais (em oposição ao sistema) mantenham
associações de atributos de segurança e privacidade definidos com assuntos e objetos.
Fornece uma interpretação consistente dos atributos de segurança e privacidade transmitidos entre componentes de
sistemas distribuídos.
Discussão: Para impor políticas de segurança e privacidade em vários componentes do sistema em sistemas distribuídos,
as organizações fornecem uma interpretação consistente dos atributos de segurança e privacidade empregados na aplicação
de acesso e nas decisões de aplicação de fluxo. As organizações podem estabelecer acordos e processos para ajudar a
garantir que os componentes do sistema distribuído implementem atributos com interpretações consistentes na aplicação
automatizada de acesso e nas ações de aplicação de fluxo.
Implementar [Atribuição: técnicas e tecnologias definidas pela organização] na associação de atributos de segurança
e privacidade às informações.
Discussão: A associação de atributos de segurança e privacidade às informações dentro dos sistemas é importante para a
condução de ações automatizadas de fiscalização de acesso e fiscalização de fluxo.
A associação de tais atributos à informação (ou seja, vinculação) pode ser realizada com tecnologias e técnicas que
proporcionem diferentes níveis de segurança. Por exemplo, os sistemas podem vincular criptograficamente atributos a
informações usando assinaturas digitais que suportam chaves criptográficas protegidas por dispositivos de hardware (às
vezes conhecidas como raízes de confiança de hardware).
Alterar atributos de segurança e privacidade associados às informações apenas por meio de mecanismos de
reclassificação validados usando [Atribuição: técnicas ou procedimentos definidos pela organização].
Discussão: Um mecanismo de reclassificação é um processo confiável autorizado a reclassificar e renomear dados de acordo
com uma exceção de política definida. Mecanismos de reclassificação validados são
_________________________________________________________________________________________________
pe
E usado pelas organizações para fornecer os níveis de garantia necessários para atividades de reatribuição de atributos. A
validação é facilitada garantindo que os mecanismos de reclassificação tenham uma finalidade única e uma função
limitada. Como as alterações nos atributos de segurança e privacidade podem afetar diretamente as ações de aplicação
de políticas, é necessária a implementação de mecanismos de reclassificação confiáveis para ajudar a garantir que
tais mecanismos funcionem em um modo de operação consistente e correto.
Fornecer aos indivíduos autorizados a capacidade de definir ou alterar o tipo e o valor dos atributos de segurança
e privacidade disponíveis para associação com assuntos e objetos.
Discussão: O conteúdo ou valores atribuídos aos atributos de segurança e privacidade podem afetar diretamente a
capacidade dos indivíduos de acessar informações organizacionais. Assim, é importante que os sistemas sejam capazes de
limitar a capacidade de criar ou modificar o tipo e o valor dos atributos disponíveis para associação com sujeitos e objetos
apenas a indivíduos autorizados.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 186-4], [SP 800-162], [SP 800-178].
a. Estabelecer e documentar restrições de uso, requisitos de configuração/conexão e orientações de implementação para cada
tipo de acesso remoto permitido; e
b. Autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões.
Discussão: O acesso remoto é o acesso a sistemas organizacionais (ou processos que actuam em nome dos utilizadores) que
comunicam através de redes externas, como a Internet. Os tipos de acesso remoto incluem dial-up, banda larga e sem fio. As
organizações usam redes privadas virtuais (VPNs) criptografadas para aumentar a confidencialidade e a integridade das conexões
remotas. O uso de VPNs criptografadas fornece garantia suficiente à organização de que ela pode efetivamente tratar essas
conexões como redes internas se os mecanismos criptográficos utilizados forem implementados de acordo com as leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. Ainda assim, as conexões VPN
atravessam redes externas e a VPN criptografada não aumenta a disponibilidade de conexões remotas. VPNs com túneis
criptografados também podem afetar a capacidade de monitorar adequadamente o tráfego de comunicações de rede em busca
de códigos maliciosos. Os controles de acesso remoto aplicam-se a sistemas que não sejam servidores web públicos ou sistemas
projetados para acesso público. A autorização de cada tipo de acesso remoto aborda a autorização antes de permitir o acesso
remoto sem especificar os formatos específicos para tal autorização. Embora as organizações possam usar acordos de troca de
informações e de segurança de conexão de sistema para gerenciar conexões de acesso remoto a outros sistemas, tais
acordos são tratados como parte do CA-3. A aplicação de restrições de acesso para acesso remoto é abordada via AC-3.
Controles relacionados: AC-2, AC-3, AC-4, AC-18, AC-19, AC-20, CA-3, CM-10, IA-2, IA-3, IA-8, MA-4 , PE-17, PL-2, PL-4, SC-10,
SC-12, SC-13, SI-4.
Melhorias de controle:
Discussão: O monitoramento e o controle de métodos de acesso remoto permitem que as organizações detectem
ataques e ajudem a garantir a conformidade com as políticas de acesso remoto, auditando as atividades de conexão
de usuários remotos em uma variedade de componentes do sistema, incluindo servidores,
_________________________________________________________________________________________________
pe
E notebooks, estações de trabalho, smartphones e tablets. O registro de auditoria para acesso remoto é imposto pelo
AU-2. Os eventos de auditoria são definidos em AU-2a.
Discussão: As redes privadas virtuais podem ser usadas para proteger a confidencialidade e a integridade das sessões
de acesso remoto. Transport Layer Security (TLS) é um exemplo de protocolo criptográfico que fornece segurança de
comunicação ponta a ponta em redes e é usado para comunicações pela Internet e transações online.
Roteie acessos remotos através de pontos de controle de acesso à rede autorizados e gerenciados.
Discussão: As organizações consideram os requisitos da iniciativa Trusted Internet Connections (TIC) [DHS TIC] para
conexões de rede externa, uma vez que limitar o número de pontos de controle de acesso para acesso remoto
reduz as superfícies de ataque.
Controles Relacionados: SC-7.
(a) Autorizar a execução de comandos privilegiados e o acesso a informações relevantes para a segurança
informações via acesso remoto apenas em um formato que forneça evidências avaliáveis e para as
seguintes necessidades: [Atribuição: necessidades definidas pela organização]; e
Discussão: O acesso remoto aos sistemas representa uma vulnerabilidade potencial significativa que pode ser
explorada por adversários. Como tal, restringir a execução de comandos privilegiados e o acesso a informações
relevantes para a segurança através de acesso remoto reduz a exposição da organização e a suscetibilidade a ameaças
de adversários à capacidade de acesso remoto.
Proteja informações sobre mecanismos de acesso remoto contra uso não autorizado e
divulgação.
Discussão: O acesso remoto a informações organizacionais por entidades não organizacionais pode aumentar o risco
de uso não autorizado e divulgação sobre mecanismos de acesso remoto. A organização considera incluir requisitos de
acesso remoto nos acordos de troca de informações com outras organizações, conforme aplicável. Os requisitos de
acesso remoto também podem ser incluídos em regras de comportamento (ver PL-4) e acordos de acesso (ver PS-6).
_________________________________________________________________________________________________
pe
E Forneça a capacidade de desconectar ou desabilitar o acesso remoto ao sistema dentro de
[Atribuição: período de tempo definido pela organização].
Discussão: A velocidade de desconexão ou desativação do sistema varia de acordo com a criticidade das missões
ou funções de negócios e a necessidade de eliminar o acesso remoto imediato ou futuro
aos sistemas.
Controles relacionados: Nenhum.
Implemente [Atribuição: mecanismos definidos pela organização] para autenticar [Atribuição: comandos
remotos definidos pela organização].
Discussão: A autenticação de comandos remotos protege contra comandos não autorizados e a repetição de
comandos autorizados. A capacidade de autenticar comandos remotos é importante para sistemas
remotos para os quais a perda, mau funcionamento, desvio de direção ou exploração teria consequências
imediatas ou graves, como ferimentos, morte, danos materiais,
perda de ativos de alto valor, falha de missão ou funções de negócios ou comprometimento de informações
classificadas ou controladas não classificadas. Mecanismos de autenticação para comandos remotos
garantir que os sistemas aceitem e executem comandos na ordem pretendida, executem apenas comandos
autorizados e rejeitem comandos não autorizados. Mecanismos criptográficos podem ser usados, por exemplo,
para autenticar comandos remotos.
Referências: [SP 800-46], [SP 800-77], [SP 800-113], [SP 800-114], [SP 800-121], [IR 7966].
b. Autorize cada tipo de acesso sem fio ao sistema antes de permitir tais conexões.
Discussão: As tecnologias sem fio incluem microondas, pacotes de rádio (frequência ultra-alta ou frequência muito
alta), 802.11x e Bluetooth. As redes sem fio usam protocolos de autenticação que
fornecer proteção de autenticador e autenticação mútua.
Controles relacionados: AC-2, AC-3, AC-17, AC-19 , CA-9, CM-7, IA -2, IA-3, IA-8, PL-4, SC-40, SC-43 , SI-4.
Melhorias de controle:
Proteja o acesso sem fio ao sistema usando autenticação de [Seleção (um ou mais): usuários;
dispositivos] e criptografia.
Discussão: Os recursos de rede sem fio representam uma vulnerabilidade potencial significativa que pode ser
explorada por adversários. Para proteger sistemas com pontos de acesso sem fio, a autenticação forte de
usuários e dispositivos, juntamente com uma criptografia forte, pode reduzir a suscetibilidade a ameaças de
adversários que envolvem tecnologias sem fio.
Desative, quando não for destinado ao uso, os recursos de rede sem fio incorporados aos
componentes do sistema antes da emissão e implantação.
_________________________________________________________________________________________________
pe
E Discussão: Os recursos de rede sem fio incorporados aos componentes do sistema representam uma vulnerabilidade potencial
significativa que pode ser explorada por adversários. Desativar recursos sem fio quando não forem necessários para missões
ou funções organizacionais essenciais pode reduzir a suscetibilidade a ameaças de adversários que envolvam tecnologias
sem fio.
Identifique e autorize explicitamente os usuários com permissão para configurar recursos de rede sem fio
de forma independente.
Discussão: As autorizações organizacionais para permitir que usuários selecionados configurem recursos de rede sem
fio são impostas, em parte, pelos mecanismos de fiscalização de acesso empregados nos sistemas organizacionais.
Selecione antenas de rádio e calibre os níveis de potência de transmissão para reduzir a probabilidade de que os
sinais dos pontos de acesso sem fio possam ser recebidos fora dos limites controlados pela organização.
Discussão: As ações que podem ser tomadas para limitar o uso não autorizado de comunicações sem fio fora dos limites
controlados pela organização incluem a redução do poder das transmissões sem fio para que as transmissões sejam
menos propensas a emitir um sinal que possa ser capturado fora dos perímetros físicos da organização , empregando
medidas como segurança de emissões para controlar as emanações sem fio e usando antenas direcionais ou de
formação de feixe que reduzem a probabilidade de receptores não intencionais serem capazes de interceptar sinais.
Antes de tomar tais ações de mitigação, as organizações podem realizar pesquisas sem fio periódicas para
compreender o perfil de radiofrequência dos sistemas organizacionais, bem como de outros sistemas que possam estar
operando na área.
Ao controle:
Discussão: Um dispositivo móvel é um dispositivo de computação que possui um formato pequeno, de modo que pode ser
facilmente transportado por um único indivíduo; foi projetado para operar sem conexão física; possui armazenamento de dados
local, não removível ou removível; e inclui uma fonte de energia independente. A funcionalidade do dispositivo móvel também pode
incluir capacidades de comunicação de voz, sensores integrados que permitem ao dispositivo capturar informações e/ou recursos
integrados para sincronizar dados locais com locais remotos. Exemplos incluem smartphones e tablets. Os dispositivos móveis
são normalmente associados a um único indivíduo. A capacidade de processamento, armazenamento e transmissão do dispositivo
móvel pode ser comparável ou meramente um subconjunto de sistemas de notebook/desktop, dependendo da natureza e da
finalidade pretendida do dispositivo. A proteção e o controle de dispositivos móveis são baseados em comportamento ou políticas
e exigem que os usuários tomem medidas físicas para proteger e controlar tais dispositivos quando estiverem fora de áreas
controladas. Áreas controladas são espaços para os quais as organizações fornecem controles físicos ou processuais para
atender aos requisitos estabelecidos para proteção de informações e sistemas.
_________________________________________________________________________________________________
pe
E Devido à grande variedade de dispositivos móveis com diferentes características e capacidades, as restrições
organizacionais podem variar para as diferentes classes ou tipos de tais dispositivos. As restrições de uso e
orientações específicas de implementação para dispositivos móveis incluem gerenciamento de configuração,
identificação e autenticação de dispositivos, implementação de software de proteção obrigatório, verificação de códigos
maliciosos em dispositivos, atualização de software de proteção contra vírus, verificação de atualizações e patches de
software críticos, condução do sistema operacional primário (e possivelmente outros softwares residentes) verificações de
integridade e desativação de hardware desnecessário.
As restrições de uso e a autorização para conexão podem variar entre os sistemas organizacionais. Por exemplo, a
organização pode autorizar a conexão de dispositivos móveis à sua rede e impor um conjunto de restrições de uso,
enquanto o proprietário do sistema pode reter a autorização para conexão de dispositivos móveis a aplicações específicas
ou impor restrições de uso adicionais antes de permitir conexões de dispositivos móveis a um sistema. . A segurança
adequada para dispositivos móveis vai além dos requisitos especificados no AC-19. Muitas salvaguardas para dispositivos
móveis são refletidas em outros controles. AC-20 aborda dispositivos móveis que não são controlados pela
organização.
Controles relacionados: AC-3, AC-4, AC-7, AC-11, AC-17, AC-18, AC-20, CA-9, CM-2, CM-6, IA-2, IA-3 , MP-2, MP-4,
MP-5, MP-7, PL-4, SC-7, SC-34, SC-43, SI-3, SI-4.
Melhorias de controle:
(1) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO GRAVÁVEIS E PORTÁTEIS
(2) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS DE PROPRIEDADE PESSOAL
(3) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS SEM
PROPRIETÁRIO IDENTIFICÁVEL
(4) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | RESTRIÇÕES PARA INFORMAÇÕES CLASSIFICADAS
(a) Proibir o uso de dispositivos móveis não classificados em instalações que contenham sistemas
processar, armazenar ou transmitir informações classificadas, a menos que especificamente permitido
pelo funcionário responsável pela autorização; e
(b) Aplicar as seguintes restrições aos indivíduos autorizados pelo funcionário responsável pela autorização
a utilizar dispositivos móveis não classificados em instalações que contenham sistemas de
processamento, armazenamento ou transmissão de informações confidenciais:
(2) A conexão de dispositivos móveis não classificados a sistemas não classificados requer
aprovação do gestor orçamentário;
(3) É proibido o uso de modems internos ou externos ou interfaces sem fio em dispositivos móveis não
classificados; e
(4) Os dispositivos móveis não classificados e as informações armazenadas nesses dispositivos são
sujeito a revisões e inspeções aleatórias por [Atribuição: funcionários de segurança definidos pela
organização], e se forem encontradas informações confidenciais, a política de tratamento de
incidentes será seguida.
(c) Restringir a conexão de dispositivos móveis classificados a sistemas classificados de acordo com
com [Atribuição: políticas de segurança definidas pela organização].
Discussão: Nenhuma.
(5) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | CRIPTOGRAFIA COMPLETA BASEADA EM DISPOSITIVO OU RECIPIENTE
_________________________________________________________________________________________________
pe
E Empregar [Seleção: criptografia completa do dispositivo; criptografia baseada em contêiner] para
proteger a confidencialidade e integridade das informações em [Atribuição: dispositivos móveis definidos
pela organização].
Discussão: A criptografia baseada em contêineres fornece uma abordagem mais refinada para dados e
criptografia de informações em dispositivos móveis, incluindo criptografia de estruturas de dados selecionadas,
como arquivos, registros ou campos.
a. [Seleção (um ou mais): Estabelecer [Atribuição: termos e condições definidos pela organização];
Identificar [Atribuição: controles definidos pela organização declarados para serem implementados em sistemas
externos]], consistente com as relações de confiança estabelecidas com outras organizações que possuem,
operam e/ou mantêm sistemas externos, permitindo que indivíduos autorizados:
2. Processar, armazenar ou transmitir informações controladas pela organização usando sistemas externos;
ou
Discussão: Sistemas externos são sistemas usados, mas não fazem parte de sistemas organizacionais,
e para os quais a organização não tem controle direto sobre a implementação dos controles necessários ou a
avaliação da eficácia dos controles. Os sistemas externos incluem sistemas, componentes ou dispositivos de
propriedade pessoal; dispositivos de computação e comunicação de propriedade privada em instalações comerciais
ou públicas; sistemas pertencentes ou controlados por organizações não federais; sistemas gerenciados por
empreiteiros; e sistemas de informação federais que não pertencem, são operados ou estão sob a supervisão
direta ou autoridade da organização. Os sistemas externos também incluem sistemas pertencentes ou operados por
outros componentes dentro da mesma organização e sistemas dentro da organização com diferentes limites de
autorização. As organizações têm a opção de proibir o uso de qualquer tipo de sistema externo ou proibir o uso de tipos
específicos de sistemas externos (por exemplo, proibir o uso de qualquer sistema externo que não seja de propriedade
da organização ou proibir o uso de sistemas de propriedade pessoal) .
Para alguns sistemas externos (isto é, sistemas operados por outras organizações), as relações de confiança que foram
estabelecidas entre essas organizações e a organização de origem podem ser tais que não sejam necessários termos e
condições explícitos. Os sistemas dentro destas organizações não podem ser considerados externos. Estas situações
ocorrem quando, por exemplo, existem acordos de troca de informações pré-existentes (implícitos ou explícitos)
estabelecidos entre organizações ou componentes ou quando tais acordos são especificados por leis, ordens executivas,
diretivas, regulamentos, políticas ou normas aplicáveis. Indivíduos autorizados incluem pessoal organizacional,
prestadores de serviços ou outros indivíduos com acesso autorizado aos sistemas organizacionais e sobre os
quais as organizações têm autoridade para impor regras específicas de comportamento em relação a
acesso ao sistema. As restrições que as organizações impõem aos indivíduos autorizados não precisam ser
uniformes, pois as restrições podem variar dependendo das relações de confiança entre as organizações.
Portanto, as organizações podem optar por impor restrições de segurança diferentes aos empreiteiros e aos
governos estaduais, locais ou tribais.
Os sistemas externos usados para acessar interfaces públicas para sistemas organizacionais estão fora do escopo do
AC-20. As organizações estabelecem termos e condições específicos para o uso de sistemas externos de acordo com
as políticas e procedimentos de segurança organizacional. No mínimo, os termos e condições abordam os tipos
específicos de aplicativos que podem ser acessados em organizações
_________________________________________________________________________________________________
pe
E sistemas de sistemas externos e a mais alta categoria de segurança de informações que podem ser processadas,
armazenadas ou transmitidas em sistemas externos. Se os termos e condições com os proprietários dos sistemas externos
não puderem ser estabelecidos, as organizações poderão impor restrições ao pessoal organizacional que utiliza esses sistemas
externos.
Controles relacionados: AC-2, AC-3, AC-17, AC-19, CA-3, PL-2, PL-4, SA-9, SC-7.
Melhorias de controle:
Permitir que indivíduos autorizados usem um sistema externo para acessar o sistema ou processar, armazenar ou
transmitir informações controladas pela organização somente após:
(a) Verificação da implementação de controles no sistema externo, conforme especificado nas políticas de segurança
e privacidade e nos planos de segurança e privacidade da organização; ou
Discussão: Limitar o uso autorizado reconhece circunstâncias em que indivíduos que utilizam sistemas externos
podem precisar acessar sistemas organizacionais. As organizações precisam de garantia
que os sistemas externos contenham os controles necessários para não comprometer, danificar ou de outra forma prejudicar
os sistemas organizacionais. A verificação de que os controles necessários foram implementados pode ser alcançada por
meio de avaliações externas e independentes, atestados ou outros meios, dependendo do nível de confiança exigido pelas
organizações.
Restrinja o uso de dispositivos de armazenamento portáteis controlados pela organização por indivíduos
autorizados em sistemas externos usando [Atribuição: restrições definidas pela organização].
Discussão: Os limites ao uso de dispositivos de armazenamento portáteis controlados pela organização em sistemas externos
incluem restrições sobre como os dispositivos podem ser usados e sob quais condições os dispositivos podem ser usados.
(3) USO DE SISTEMAS EXTERNOS | SISTEMAS DE PROPRIEDADE NÃO ORGANIZACIONAL — USO RESTRITO
Restringir o uso de sistemas ou componentes de sistema de propriedade não organizacional para processar,
armazenar ou transmitir informações organizacionais usando [Atribuição: restrições definidas pela organização].
Discussão: Sistemas ou componentes de sistema de propriedade não organizacional incluem sistemas ou componentes de
sistema de propriedade de outras organizações, bem como dispositivos de propriedade pessoal.
Existem riscos potenciais no uso de sistemas ou componentes de propriedade não organizacional. Em alguns casos, o
risco é suficientemente elevado para proibir tal uso (ver AC-20 b.). Noutros casos, a utilização de tais sistemas ou componentes
de sistema pode ser permitida, mas restringida de alguma forma.
As restrições incluem exigir a implementação de controles aprovados antes de autorizar a conexão de sistemas e
componentes de propriedade não organizacional; limitar o acesso a tipos de informações, serviços ou aplicações; usar
técnicas de virtualização para limitar atividades de processamento e armazenamento a servidores ou componentes
de sistema fornecidos pela organização; e concordando com os termos e condições de uso. As organizações
consultam o Gabinete do Conselho Geral sobre questões legais associadas à utilização de dispositivos de propriedade pessoal,
incluindo requisitos para a realização de análises forenses durante investigações após um incidente.
(4) USO DE SISTEMAS EXTERNOS | DISPOSITIVOS DE ARMAZENAMENTO ACESSÍVEIS EM REDE — USO PROIBIDO
_________________________________________________________________________________________________
pe
E Proibir o uso de [Atribuição: dispositivos de armazenamento acessíveis em rede definidos pela organização] em sistemas
externos.
Discussão: Dispositivos de armazenamento acessíveis em rede em sistemas externos incluem dispositivos de armazenamento on-line
Proibir o uso de dispositivos de armazenamento portáteis controlados pela organização por indivíduos autorizados
em sistemas externos.
Discussão: Os limites ao uso de dispositivos de armazenamento portáteis controlados pela organização em sistemas externos incluem
uma proibição completa do uso de tais dispositivos. A proibição de tal uso é aplicada usando métodos técnicos e/ou métodos não
Ao controle:
a. Permitir que usuários autorizados determinem se as autorizações de acesso atribuídas a um parceiro de compartilhamento correspondem
às restrições de acesso e uso das informações para [Atribuição: circunstâncias de compartilhamento de informações definidas pela
b. Empregar [Tarefa: mecanismos automatizados ou processos manuais definidos pela organização] para
Discussão: O compartilhamento de informações se aplica a informações que podem ser restritas de alguma forma com base em alguma
determinação formal ou administrativa. Exemplos de tais informações incluem informações confidenciais contratuais, informações classificadas
relacionadas a programas ou compartimentos de acesso especial, informações privilegiadas, informações proprietárias e informações
de identificação pessoal. Avaliações de riscos de segurança e privacidade, bem como leis, regulamentos e políticas aplicáveis podem
fornecer informações úteis para essas determinações. Dependendo das circunstâncias, os parceiros de partilha podem ser definidos a nível
individual, de grupo ou organizacional. As informações podem ser definidas por conteúdo, tipo, categoria de segurança ou programa ou
As restrições de acesso podem incluir acordos de não divulgação (NDA). Técnicas de fluxo de informações e atributos de segurança podem
ser usados para fornecer assistência automatizada aos usuários que tomam decisões de compartilhamento e colaboração.
Melhorias de controle:
Empregar [Atribuição: mecanismos automatizados definidos pela organização] para fazer cumprir
decisões de compartilhamento de informações por usuários autorizados com base em autorizações de acesso de
Discussão: Mecanismos automatizados são usados para impor decisões de partilha de informações.
Discussão: Os serviços de busca e recuperação de informações identificam os recursos do sistema de informação relevantes para uma
necessidade de informação.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Ao controle:
b. Treinar indivíduos autorizados para garantir que as informações acessíveis ao público não contenham
informações não públicas;
c. Revise o conteúdo proposto das informações antes de publicá-las no sistema acessível ao público para garantir que
informações não públicas não sejam incluídas; e
Discussão: De acordo com as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes aplicáveis, o público não
está autorizado a ter acesso a informações não públicas,
incluindo informações protegidas pelo [PRIVACT] e informações proprietárias. O conteúdo acessível publicamente aborda
sistemas que são controlados pela organização e acessíveis ao público, normalmente sem identificação ou autenticação. A
publicação de informações em sistemas não organizacionais (por exemplo, sites públicos não organizacionais, fóruns e
mídias sociais) é coberta pela política organizacional. Embora as organizações possam ter indivíduos responsáveis pelo
desenvolvimento e implementação de políticas sobre as informações que podem ser disponibilizadas publicamente, o conteúdo
acessível ao público aborda a gestão dos indivíduos que tornam essas informações publicamente acessíveis.
Referências: [PRIVATO].
Controle: Empregar [Atribuição: técnicas de prevenção e detecção de mineração de dados definidas pela organização] para
[Atribuição: objetos de armazenamento de dados definidos pela organização] para detectar e proteger contra mineração de dados
não autorizada.
Discussão: A mineração de dados é um processo analítico que tenta encontrar correlações ou padrões em grandes conjuntos de
dados para fins de descoberta de dados ou conhecimento. Objetos de armazenamento de dados incluem
registros de banco de dados e campos de banco de dados. Informações confidenciais podem ser extraídas da mineração de dados
operações. Quando as informações são informações pessoalmente identificáveis, podem levar a revelações imprevistas sobre
indivíduos e dar origem a riscos de privacidade. Antes de realizar atividades de mineração de dados, as organizações
determinam se tais atividades são autorizadas. As organizações podem estar sujeitas a leis, ordens executivas, diretivas,
regulamentos ou políticas aplicáveis que atendam aos requisitos de mineração de dados. O pessoal organizacional consulta o
funcionário sênior da agência para aconselhamento jurídico e de privacidade em relação a tais requisitos.
As técnicas de prevenção e detecção de mineração de dados incluem limitar o número e a frequência de consultas ao banco de
dados para aumentar o fator de trabalho necessário para determinar o conteúdo dos bancos de dados,
limitar os tipos de respostas fornecidas às consultas ao banco de dados, aplicar técnicas de privacidade diferencial ou criptografia
homomórfica e notificar o pessoal quando ocorrerem consultas ou acessos atípicos ao banco de dados. A proteção de mineração de
dados concentra-se na proteção de informações contra mineração de dados, enquanto essas informações residem em
armazenamentos de dados organizacionais. Em contraste, o AU-13 centra-se na monitorização de informações organizacionais
que possam ter sido extraídas ou de outra forma obtidas a partir de armazenamentos de dados.
_________________________________________________________________________________________________
pe
E e está disponível como informação de código aberto residente em sites externos, como redes sociais ou sites de mídia
social.
[EO 13587] exige o estabelecimento de um programa de ameaças internas para dissuadir, detectar e mitigar ameaças
internas, incluindo a proteção de informações confidenciais contra exploração, comprometimento ou outra divulgação não
autorizada. A proteção da mineração de dados exige que as organizações identifiquem técnicas apropriadas para prevenir
e detectar a mineração de dados desnecessária ou não autorizada.
A mineração de dados pode ser usada por um insider para coletar informações organizacionais para fins de exfiltração.
Controle: [Seleção: Estabelecer procedimentos; Implementar mecanismos] para garantir que [Atribuição: decisões
de controle de acesso definidas pela organização] sejam aplicadas a cada solicitação de acesso antes da aplicação do
acesso.
Discussão: As decisões de controle de acesso (também conhecidas como decisões de autorização) ocorrem
quando as informações de autorização são aplicadas a acessos específicos. Em contraste, a imposição de acesso ocorre
quando os sistemas impõem decisões de controle de acesso. Embora seja comum ter decisões de controle de
acesso e fiscalização de acesso implementadas pela mesma entidade, isso não é obrigatório e nem sempre é uma
escolha ideal de implementação. Para algumas arquiteturas e sistemas distribuídos, diferentes entidades podem tomar
decisões de controle de acesso e impor o acesso.
Melhorias de controle:
Aplicar decisões de controle de acesso com base em [Atribuição: atributos de segurança ou privacidade
definidos pela organização] que não incluem a identidade do usuário ou processo que atua em nome do
usuário.
Discussão: Em determinadas situações, é importante que as decisões de controle de acesso possam ser tomadas
sem informações sobre a identidade dos usuários que emitem as solicitações. Geralmente são casos em que
a preservação da privacidade individual é de suma importância. Em outro
_________________________________________________________________________________________________
pe
E situações, as informações de identificação do usuário simplesmente não são necessárias para decisões de controle de acesso,
e especialmente no caso de sistemas distribuídos, a transmissão de tais informações com o grau de segurança necessário
pode ser muito cara ou difícil de realizar. MAC, RBAC, ABAC e políticas de controle baseadas em rótulos, por exemplo,
podem não incluir a identidade do usuário como um atributo.
Controle: Implemente um monitor de referência para [Atribuição: políticas de controle de acesso definidas pela organização] que
seja à prova de falsificação, sempre invocado e pequeno o suficiente para ser sujeito a análises e testes, cuja integridade possa
ser garantida.
Discussão: Um monitor de referência é um conjunto de requisitos de design para um mecanismo de validação de referência
que, como componente-chave de um sistema operacional, impõe uma política de controle de acesso a todos os sujeitos e objetos.
Um mecanismo de validação de referência é sempre invocado, à prova de falsificação,
e pequeno o suficiente para ser sujeito a análises e testes, cuja integralidade pode ser garantida (ou seja, verificável). As informações
são representadas internamente nos sistemas usando abstrações conhecidas como estruturas de dados. As estruturas de dados
internas podem representar diferentes tipos de entidades, tanto ativas quanto passivas. Entidades ativas, também conhecidas como
sujeitos, estão associadas a indivíduos, dispositivos ou processos que atuam em nome de indivíduos. Entidades passivas,
também conhecidas como objetos, estão associadas a estruturas de dados, como registros, buffers, portas de comunicação, tabelas,
arquivos e canais entre processos. Os monitores de referência impõem políticas de controle de acesso que restringem o acesso
a objetos com base na identidade dos sujeitos ou grupos aos quais os sujeitos pertencem. O sistema impõe a política de controle de
acesso com base no conjunto de regras estabelecido pela política. A propriedade inviolável do monitor de referência evita que
determinados adversários comprometam o funcionamento do mecanismo de validação de referência. A propriedade sempre
invocada evita que adversários contornem o mecanismo e violem a política de segurança. A propriedade de pequenez ajuda a
garantir a integridade da análise e dos testes do mecanismo para detectar quaisquer fraquezas ou deficiências (isto é, falhas
latentes) que impediriam a aplicação da política de segurança.
Controles Relacionados: AC-3, AC-16, SA-8, SA-17, SC-3, SC-11, SC-39, SI-13.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.2 CONSCIENTIZAÇÃO E TREINAMENTO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de sensibilização e formação que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: As políticas e procedimentos de sensibilização e formação abordam os controlos da família TA que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de
políticas e procedimentos de conscientização e treinamento. As políticas e procedimentos do programa de segurança
e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e
procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações.
Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão ou de
negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são
implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos
podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos
separados. Os eventos que podem precipitar uma atualização nas políticas e procedimentos de conscientização e
treinamento incluem resultados de avaliação ou auditoria, segurança
incidentes ou violações, ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-50], [SP 800-100].
_________________________________________________________________________________________________
pe
E AT-2 TREINAMENTO E CONSCIENTIZAÇÃO DE ALFAbetização
Ao controle:
a. Fornecer treinamento em alfabetização em segurança e privacidade para usuários do sistema (incluindo gerentes,
executivos e empreiteiros):
1. Como parte do treinamento inicial para novos usuários e [Tarefa: definido pela organização
frequência] depois disso; e
2. Quando exigido por alterações no sistema ou seguindo [Atribuição: definido pela organização
eventos];
Discussão: As organizações fornecem níveis básicos e avançados de alfabetização aos usuários do sistema,
incluindo medidas para testar o nível de conhecimento dos utilizadores. As organizações determinam o conteúdo da
formação e da sensibilização para a alfabetização com base em requisitos organizacionais específicos, nos sistemas
aos quais o pessoal tem acesso autorizado e nos ambientes de trabalho (por exemplo, teletrabalho). O conteúdo inclui
uma compreensão da necessidade de segurança e privacidade, bem como ações dos usuários para manter a
segurança e a privacidade pessoal e para responder a suspeitas de incidentes. O conteúdo aborda a necessidade
de segurança nas operações e no tratamento de informações de identificação pessoal.
As técnicas de conscientização incluem a exibição de cartazes, a oferta de suprimentos com lembretes de segurança
e privacidade, a exibição de mensagens na tela de logon, a geração de avisos por e-mail ou avisos de funcionários da
organização e a realização de eventos de conscientização. A formação de alfabetização após a formação inicial
descrita em AT-2a.1 é realizada com uma frequência mínima consistente com as leis, directivas, regulamentos e
políticas aplicáveis. O treinamento de alfabetização subsequente pode ser realizado por uma ou mais sessões ad hoc
curtas e incluir informações atuais sobre esquemas de ataques recentes, mudanças nas políticas organizacionais de
segurança e privacidade, expectativas revisadas de segurança e privacidade ou um subconjunto de tópicos do treinamento
inicial. A atualização regular do conteúdo de alfabetização e conscientização ajuda a garantir que o conteúdo permaneça
relevante. Os eventos que podem precipitar uma atualização do treinamento de alfabetização e do conteúdo de
conscientização incluem, mas não estão limitados a, resultados de avaliações ou auditorias, incidentes ou
violações de segurança ou mudanças nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes.
Controles relacionados: AC-3, AC-17, AC-22, AT-3, AT-4, CP-3, IA-4, IR-2, IR-7, IR-9, PL-4, PM-13 , PM-21,
PS-7, PT-2, SA-8, SA-16.
Melhorias de controle:
Discussão: Os exercícios práticos incluem tentativas de engenharia social sem aviso prévio para coletar
informações, obter acesso não autorizado ou simular o impacto adverso da abertura de anexos de e-mail maliciosos
ou da invocação, por meio de ataques de spear phishing, de links da web maliciosos.
Fornecer treinamento de alfabetização sobre como reconhecer e relatar possíveis indicadores de ameaças internas.
_________________________________________________________________________________________________
pe
E Discussão: Indicadores potenciais e possíveis precursores de ameaças internas podem incluir
comportamentos como insatisfação excessiva e de longo prazo no trabalho; tentativas de obter acesso a informações
não necessárias para o desempenho no trabalho; acesso inexplicável a recursos financeiros;
intimidação ou assédio de colegas de trabalho; violência no local de trabalho; e outras violações graves de políticas,
procedimentos, diretivas, regulamentos, regras ou práticas. O treinamento de alfabetização inclui
como comunicar as preocupações dos funcionários e da administração em relação a potenciais indicadores de ameaça
interna através dos canais estabelecidos pela organização e de acordo com as políticas e procedimentos
estabelecidos. As organizações podem considerar adaptar tópicos de conscientização sobre ameaças internas à função.
Por exemplo, a formação para gestores pode centrar-se em mudanças no comportamento dos membros da equipa,
enquanto a formação para empregados pode centrar-se em observações mais gerais.
Fornecer formação em alfabetização sobre o reconhecimento e relato de casos potenciais e reais de engenharia
social e mineração social.
Discussão: A engenharia social é uma tentativa de enganar um indivíduo para que revele informações ou tome uma ação que
possa ser usada para violar, comprometer ou de outra forma impactar negativamente um sistema. A engenharia social inclui
phishing, pretexto, falsificação de identidade, isca, quid pro quo, roubo de linha, exploração de mídia social e utilização
não autorizada. A mineração social é uma tentativa de coletar informações sobre a organização que podem ser usadas para
apoiar ataques futuros.
A formação de alfabetização inclui informações sobre como comunicar as preocupações dos funcionários e da gestão em
relação a casos potenciais e reais de engenharia social e mineração de dados através de canais organizacionais baseados
em políticas e procedimentos estabelecidos.
COMPORTAMENTO
Discussão: Uma força de trabalho bem treinada fornece outro controle organizacional que pode ser empregado como
parte de uma estratégia de defesa profunda para proteger contra códigos maliciosos que entram nas organizações por meio
de e-mail ou aplicativos da web. Os funcionários são treinados para procurar indicações de e-mails potencialmente
suspeitos (por exemplo, receber um e-mail inesperado, receber um e-mail com gramática estranha ou incorreta ou receber
um e-mail de um remetente desconhecido que parece ser de um patrocinador ou contratado conhecido). O pessoal também
é treinado sobre como responder a e-mails suspeitos ou comunicações na web. Para que este processo funcione de forma
eficaz, o pessoal é treinado e informado sobre o que constitui comunicações suspeitas.
Treinar pessoal sobre como reconhecer comportamentos anômalos em sistemas pode fornecer às organizações um
alerta precoce sobre a presença de código malicioso. O reconhecimento de comportamento anômalo por parte do
pessoal organizacional pode complementar as ferramentas e sistemas de detecção e proteção de códigos maliciosos
empregados pelas organizações.
Discussão: Uma forma eficaz de detectar ameaças persistentes avançadas (APT) e de impedir ataques bem sucedidos é
fornecer formação específica de alfabetização aos indivíduos. O treinamento em alfabetização sobre ameaças inclui
educar os indivíduos sobre as diversas maneiras pelas quais as APTs podem se infiltrar na organização (por exemplo,
por meio de sites, e-mails, pop-ups de anúncios, artigos e redes sociais).
_________________________________________________________________________________________________
pe
E Engenharia). O treinamento eficaz inclui técnicas para reconhecer e-mails suspeitos, uso de sistemas removíveis em ambientes
não seguros e o possível direcionamento de indivíduos em casa.
(b) Refletir as informações atuais sobre ameaças cibernéticas nas operações do sistema.
Discussão: Como as ameaças continuam a mudar ao longo do tempo, o treinamento em alfabetização sobre ameaças
realizado pela organização é dinâmico. Além disso, a formação em literacia sobre ameaças não é realizada isoladamente das
operações do sistema que apoiam a missão organizacional e as funções empresariais.
Referências: [OMB A-130], [SP 800-50], [SP 800-160-2], [SP 800-181], [ODNI CTF].
Ao controle:
a. Fornecer treinamento de segurança e privacidade baseado em funções para funcionários com as seguintes funções e
responsabilidades: [Atribuição: funções e responsabilidades definidas pela organização]:
1. Antes de autorizar o acesso ao sistema, às informações ou ao desempenho das funções atribuídas, e [Atribuição:
frequência definida pela organização] posteriormente; e
b. Atualizar o conteúdo do treinamento baseado em função [Atribuição: frequência definida pela organização] e
seguinte [Atribuição: eventos definidos pela organização]; e
c. Incorpore lições aprendidas com incidentes ou violações de segurança internas ou externas no treinamento baseado em
funções.
Discussão: As organizações determinam o conteúdo da formação com base nas funções e responsabilidades atribuídas aos
indivíduos, bem como nos requisitos de segurança e privacidade das organizações e nos sistemas aos quais o pessoal tem
acesso autorizado, incluindo formação técnica especificamente adaptada às funções atribuídas. As funções que podem
exigir treinamento baseado em funções incluem líderes seniores ou funcionários de gestão (por exemplo, chefe de agência/diretor
executivo, diretor de informações, oficial sênior responsável pela gestão de riscos, oficial sênior de segurança da informação da
agência, oficial sênior da agência para privacidade), sistema os Proprietários; funcionários autorizadores; oficiais de segurança
do sistema; oficiais de privacidade; funcionários de aquisições e aquisições; arquitetos empresariais; engenheiros de sistemas;
desenvolvedores de software; engenheiros de segurança de sistemas; engenheiros de privacidade; administradores de sistema,
rede e banco de dados; auditores; pessoal conduzindo atividades de gerenciamento de configuração; pessoal que realiza atividades
de verificação e validação; pessoal com acesso a software de nível de sistema; avaliadores de controle; pessoal com
tarefas de planejamento de contingência e resposta a incidentes; pessoal com responsabilidades de gestão de privacidade; e
pessoal com acesso a informações de identificação pessoal.
O treinamento abrangente baseado em funções aborda funções e responsabilidades gerenciais, operacionais e técnicas, abrangendo
controles físicos, de pessoal e técnicos. O treinamento baseado em funções também inclui políticas, procedimentos,
ferramentas, métodos e artefatos para as funções de segurança e privacidade definidas. As organizações fornecem a formação
necessária para que os indivíduos cumpram as suas responsabilidades relacionadas com as operações e a gestão de riscos da
cadeia de abastecimento no contexto dos programas de segurança e privacidade organizacional. O treinamento baseado em
funções também se aplica a prestadores de serviços que fornecem
serviços a órgãos federais. Os tipos de treinamento incluem treinamento baseado na web e em computador,
treinamento em sala de aula e treinamento prático (incluindo microtreinamento). Atualizando com base em função
_________________________________________________________________________________________________
pe
E o treinamento regular ajuda a garantir que o conteúdo permaneça relevante e eficaz.
Os eventos que podem precipitar uma atualização do conteúdo de treinamento baseado em funções incluem, mas não estão
limitados a, resultados de avaliação ou auditoria, incidentes ou violações de segurança ou alterações nas leis aplicáveis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
Controles relacionados: AC-3, AC-17, AC-22, AT-2, AT-4, CP-3, IR-2, IR-4, IR-7, IR-9, PL-4, PM-13 , PM-23, PS-7, PS-9, SA-3, SA-8,
SA -11, SA-16, SR-5, SR-6, SR-11.
Melhorias de controle:
Fornecer [Atribuição: pessoal ou funções definidas pela organização] treinamento inicial e [Atribuição:
frequência definida pela organização] no emprego e operação de controles ambientais.
Discussão: Os controles ambientais incluem dispositivos ou sistemas de supressão e detecção de incêndio, sistemas
de sprinklers, extintores de incêndio portáteis, mangueiras fixas de incêndio, detectores de fumaça, temperatura ou
umidade, aquecimento, ventilação, ar condicionado e energia dentro da instalação.
Fornecer [Atribuição: pessoal ou funções definidas pela organização] treinamento inicial e [Atribuição:
frequência definida pela organização] no emprego e operação de controles de segurança física.
Discussão: Os controles de segurança física incluem dispositivos de controle de acesso físico, intrusão física e
alarmes de detecção, procedimentos operacionais para guardas de segurança das instalações e equipamentos de
monitoramento ou vigilância.
Discussão: Os exercícios práticos de segurança incluem treinamento para desenvolvedores de software que abordam
ataques simulados que exploram vulnerabilidades comuns de software ou ataques de spear phishing direcionados a líderes
seniores ou executivos. Exercícios práticos para privacidade
incluem módulos com questionários sobre identificação e processamento de informações de identificação
pessoal em vários cenários ou cenários de condução de avaliações de impacto na privacidade.
Fornecer [Atribuição: pessoal ou funções definidas pela organização] treinamento inicial e [Atribuição:
frequência definida pela organização] no emprego e operação de processamento de informações pessoalmente
identificáveis e controles de transparência.
_________________________________________________________________________________________________
pe
E avisos, avaliações de impacto na privacidade, declarações [PRIVACT] , contratos, acordos de compartilhamento de
informações, memorandos de entendimento e/ou outra documentação.
Ao controle:
b. Guarde registros de treinamento individuais para [Atribuição: período de tempo definido pela organização].
Discussão: A documentação para treinamento especializado pode ser mantida por supervisores individuais, a critério da organização.
A Administração Nacional de Arquivos e Registros fornece orientação sobre retenção de registros para agências federais.
Controle: Fornecer feedback sobre os resultados do treinamento organizacional ao seguinte pessoal [Atribuição:
frequência definida pela organização]: [Atribuição: pessoal definido pela organização].
Discussão: O feedback do treinamento inclui resultados do treinamento de conscientização e resultados do treinamento baseado em funções.
Os resultados da formação, especialmente as falhas do pessoal em funções críticas, podem ser indicativos de um problema
potencialmente grave. Portanto, é importante que os gestores seniores estejam cientes de tais situações para que possam
tomar as medidas de resposta adequadas. O feedback do treinamento apoia a avaliação e atualização do treinamento
organizacional descrito em AT-2b e AT-3b.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.3 AUDITORIA E RESPONSABILIDADE
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de auditoria e responsabilização que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
_________________________________________________________________________________________________
pe
E REGISTRO DE EVENTOS AU-2
Ao controle:
a. Identifique os tipos de eventos que o sistema é capaz de registrar em log em apoio à função de auditoria: [Atribuição:
tipos de eventos definidos pela organização que o sistema é capaz de registrar em log];
b. Coordenar a função de registro de eventos com outras entidades organizacionais que necessitam de informações
relacionadas à auditoria para orientar e informar os critérios de seleção dos eventos a serem registrados;
d. Forneça uma justificativa para o motivo pelo qual os tipos de eventos selecionados para registro são considerados adequados
apoiar investigações posteriores de incidentes; e
e. Revise e atualize os tipos de eventos selecionados para registro [Atribuição: definido pela organização
frequência].
Discussão: Um evento é uma ocorrência observável em um sistema. Os tipos de eventos que exigem registro são aqueles
que são significativos e relevantes para a segurança dos sistemas e para a privacidade dos indivíduos. O registro de
eventos também oferece suporte a necessidades específicas de monitoramento e auditoria. Os tipos de eventos incluem
alterações de senha, logons com falha ou acessos com falha relacionados a sistemas, alterações de atributos de segurança
ou privacidade, uso de privilégios administrativos, uso de credenciais PIV, alterações de ações de dados, parâmetros de
consulta ou uso de credenciais externas. Ao determinar o conjunto de tipos de eventos
que exigem registro, as organizações consideram o monitoramento e a auditoria adequados para cada um dos controles a
serem implementados. Para completar, o log de eventos inclui todos os protocolos operacionais e suportados pelo sistema.
Para equilibrar os requisitos de monitoramento e auditoria com outras necessidades do sistema, o log de eventos requer
a identificação do subconjunto de tipos de eventos registrados em um determinado momento. Por exemplo, as
organizações podem determinar que os sistemas precisam da capacidade de registrar todos os acessos a arquivos bem-
sucedidos e malsucedidos, mas não ativar essa capacidade, exceto em circunstâncias específicas devido à carga potencial no
desempenho do sistema. Os tipos de eventos que as organizações desejam
ser logado pode mudar. A revisão e a atualização do conjunto de eventos registrados são necessárias para ajudar a
garantir que os eventos permaneçam relevantes e continuem a apoiar as necessidades da organização.
As organizações consideram como os tipos de eventos de registro podem revelar informações sobre indivíduos que podem dar
origem a riscos de privacidade e a melhor forma de mitigar tais riscos. Por exemplo, existe a possibilidade de revelar
informações de identificação pessoal na trilha de auditoria, especialmente se o evento de registro for baseado em padrões ou
tempo de uso.
Os requisitos de registro de eventos, incluindo a necessidade de registrar tipos de eventos específicos, podem ser referenciados
em outros controles e aprimoramentos de controle. Estes incluem AC-2(4), AC-3(10), AC-6(9), AC-17(1), CM-3f, CM-5(1),
IA-3(3.b), MA-4(1), MP-4(2), PE-3, PM-21, PT-7, RA-8, SC-7(9), SC-7(15), SI-3(8) , SI-4(22), SI-7(8) e SI-10(1). As organizações
incluem tipos de eventos exigidos pelas leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis. Os registros de auditoria podem ser gerados em vários níveis, inclusive no nível do pacote, à medida que as
informações atravessam a rede. A seleção do nível apropriado de registro de eventos é uma parte importante da capacidade
de monitoramento e auditoria e pode identificar as causas principais dos problemas. Ao definir tipos de eventos,
as organizações consideram o registro necessário para cobrir tipos de eventos relacionados, como as etapas em processos
distribuídos baseados em transações e as ações que ocorrem em arquiteturas orientadas a serviços.
Controles relacionados: AC-2, AC-3, AC-6, AC-7, AC-8, AC-16 , AC-17, AU-3, AU-4, AU-5, AU-6, AU-7 , AU-11, AU-12, CM-3,
CM-5, CM-6 , CM-13, IA-3, MA-4, MP-4, PE - 3, PM-21, PT-2, PT -7, RA-8, SA-8, SC -7, SC-18, SI-3, SI-4, SI-7, SI-10, SI-11.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
Controle: Certifique-se de que os registros de auditoria contenham informações que estabeleçam o seguinte:
d. Fonte do evento;
e. Resultado do evento; e
Discussão: O conteúdo do registro de auditoria que pode ser necessário para apoiar a função de auditoria
inclui descrições de eventos (item a), carimbos de data e hora (item b), endereços de origem e destino (item c),
identificadores de usuário ou processo (itens d e f), sucesso ou indicações de falha (item e) e nomes de
arquivos envolvidos (itens a, c, e e f). Os resultados do evento incluem indicadores de sucesso ou falha do evento
e resultados específicos do evento, como a segurança do sistema e a postura de privacidade após a ocorrência do
evento. As organizações consideram como os registros de auditoria podem revelar informações sobre indivíduos que
podem dar origem a riscos de privacidade e a melhor forma de mitigar tais riscos. Por exemplo, existe a
possibilidade de revelar informações pessoalmente identificáveis na pista de auditoria, especialmente se a
pista registar entradas ou se basear em padrões ou tempo de utilização.
Controles Relacionados: AU-2, AU-8, AU-12, AU-14, MA-4, PL-9, SA-8, SI-7, SI-11.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (2) CONTEÚDO DOS REGISTROS DE AUDITORIA | GESTÃO CENTRALIZADA DO CONTEÚDO DE REGISTROS DE AUDITORIA PLANEJADOS
(3) CONTEÚDO DOS REGISTROS DE AUDITORIA | LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS
Limite as informações de identificação pessoal contidas nos registros de auditoria aos seguintes elementos
identificados na avaliação de risco de privacidade: [Atribuição: elementos definidos pela organização].
Discussão: Limitar as informações pessoalmente identificáveis nos registos de auditoria quando essas informações
não são necessárias para fins operacionais ajuda a reduzir o nível de risco de privacidade criado por um sistema.
Controle: Alocar capacidade de armazenamento de log de auditoria para acomodar [Atribuição: requisitos de retenção de log de
auditoria definidos pela organização].
Discussão: As organizações consideram os tipos de log de auditoria a serem executados e os requisitos de processamento do log
de auditoria ao alocar capacidade de armazenamento de log de auditoria. A atribuição de capacidade suficiente de armazenamento
de registos de auditoria reduz a probabilidade de essa capacidade ser excedida e resultar na potencial perda ou redução da
capacidade de registo de auditoria.
Controles relacionados: AU-2, AU-5, AU-6, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4.
Melhorias de controle:
Transferir logs de auditoria [Atribuição: frequência definida pela organização] para um sistema, componente do
sistema ou mídia diferente do sistema ou componente do sistema que conduz o registro.
Discussão: A transferência de logs de auditoria, também conhecida como descarregamento, é um processo comum em
sistemas com capacidade limitada de armazenamento de logs de auditoria e, portanto, oferece suporte à disponibilidade
dos logs de auditoria. O armazenamento de log de auditoria inicial é usado apenas de forma transitória até que o sistema possa
se comunicar com o sistema secundário ou alternativo alocado para armazenamento de log de auditoria, momento em
que os logs de auditoria são transferidos. A transferência de logs de auditoria para armazenamento alternativo é semelhante
ao AU-9(2) , pois os logs de auditoria são transferidos para uma entidade diferente. Contudo, o objectivo da selecção do
AU-9(2) é proteger a confidencialidade e integridade dos registos de auditoria. As organizações podem selecionar qualquer
aprimoramento de controle para obter o benefício de maior capacidade de armazenamento de logs de auditoria e preservar a
confidencialidade, integridade e disponibilidade de registros e logs de auditoria.
Referências: Nenhuma.
Ao controle:
b. Execute as seguintes ações adicionais: [Atribuição: ações adicionais definidas pela organização].
Discussão: As falhas no processo de registro de auditoria incluem erros de software e hardware, falhas nos mecanismos de captura
de log de auditoria e alcance ou excesso da capacidade de armazenamento de log de auditoria. As ações definidas pela
organização incluem a substituição dos registros de auditoria mais antigos, o encerramento do sistema e a interrupção
_________________________________________________________________________________________________
pe
E a geração de registros de auditoria. As organizações podem optar por definir ações adicionais para auditoria
registrar falhas de processo com base no tipo de falha, no local da falha, na gravidade da falha ou em uma combinação de tais
fatores. Quando a falha do processo de registro de auditoria está relacionada ao armazenamento, a resposta é executada para o
repositório de armazenamento de log de auditoria (ou seja, o componente distinto do sistema onde os logs de auditoria são
armazenados), o sistema no qual os logs de auditoria residem, o log de auditoria total capacidade de armazenamento da organização
(ou seja, todos os repositórios de armazenamento de log de auditoria combinados) ou todos os três. As organizações podem decidir
não tomar nenhuma ação adicional após alertar as funções ou o pessoal designado.
Controles relacionados: AU-2, AU-4, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4, SI-12.
Melhorias de controle:
Fornecer um aviso para [Atribuição: pessoal, funções e/ ou locais definidos pela organização] dentro de [Atribuição:
período de tempo definido pela organização] quando o volume de armazenamento de log de auditoria alocado
atingir [Atribuição: porcentagem definida pela organização] do armazenamento máximo de log de auditoria do
repositório capacidade.
Discussão: As organizações podem ter vários repositórios de armazenamento de logs de auditoria distribuídos em
vários componentes do sistema, com cada repositório tendo diferentes capacidades de volume de armazenamento.
Forneça um alerta em [Atribuição: período de tempo real definido pela organização] para [Atribuição:
pessoal, funções e/ ou locais definidos pela organização] quando ocorrerem os seguintes eventos de falha de
auditoria: [Atribuição: eventos de falha de registro de auditoria definidos pela organização que exigem alertas em
tempo real].
Discussão: Os alertas fornecem às organizações mensagens urgentes. Alertas em tempo real fornecem essas
mensagens na velocidade da tecnologia da informação (ou seja, o tempo desde a detecção do evento até o alerta ocorre em
segundos ou menos).
(3) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | LIMITES DE VOLUME DE TRÁFEGO CONFIGURÁVEIS
Aplicar limites de volume de tráfego de comunicações de rede configuráveis, refletindo limites na capacidade de
armazenamento de log de auditoria e [Seleção: rejeitar; atraso] tráfego de rede acima desses limites.
Discussão: As organizações têm a capacidade de rejeitar ou atrasar o processamento do tráfego de comunicações de rede
se for determinado que as informações de registro de auditoria sobre esse tráfego excedem a capacidade de
armazenamento da função de registro de auditoria do sistema. A resposta de rejeição ou atraso é acionada pelos limites
de volume de tráfego organizacional estabelecidos que podem ser ajustados com base em alterações na capacidade de
armazenamento de logs de auditoria.
Invoque uma [Seleção: desligamento completo do sistema; desligamento parcial do sistema; modo operacional
degradado com missão limitada ou funcionalidade de negócios disponível] no caso de [Atribuição: falhas de registro
de auditoria definidas pela organização], a menos que exista um recurso alternativo de registro de auditoria.
Discussão: As organizações determinam os tipos de falhas de registro de auditoria que podem desencadear
desligamentos automáticos do sistema ou operações degradadas. Devido à importância de garantir a missão e a
continuidade dos negócios, as organizações podem determinar que a natureza da falha no registro de auditoria não é tão
grave a ponto de justificar um desligamento completo do sistema
_________________________________________________________________________________________________
pe
E apoiando a missão organizacional central e as funções de negócios. Nesses casos, o desligamento parcial do sistema
ou a operação em modo degradado com capacidade reduzida podem ser alternativas viáveis.
(5) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | CAPACIDADE ALTERNATIVA DE REGISTRO DE AUDITORIA
Forneça um recurso de log de auditoria alternativo no caso de uma falha no recurso de log de auditoria
primário que implemente [Atribuição: funcionalidade de log de auditoria alternativa definida pela
organização].
Discussão: Como um recurso alternativo de registro de auditoria pode ser uma proteção de curto prazo
solução empregada até que a falha no recurso de log de auditoria primário seja corrigida, as organizações
podem determinar que o recurso de log de auditoria alternativo precisa apenas fornecer um subconjunto da
funcionalidade de log de auditoria primário que é impactada pela falha.
Controles Relacionados: AU-9.
Referências: Nenhuma.
a. Revise e analise os registros de auditoria do sistema [Atribuição: frequência definida pela organização] para indicações
de [Atribuição: atividade inadequada ou incomum definida pela organização] e o impacto potencial da atividade
inadequada ou incomum;
c. Ajustar o nível de revisão, análise e relatórios de registros de auditoria dentro do sistema quando houver uma mudança no
risco com base em informações de aplicação da lei, informações de inteligência ou outras fontes confiáveis de
informações.
Discussão: A revisão, análise e relatórios de registros de auditoria abrangem o registro relacionado à segurança da
informação e à privacidade realizado pelas organizações, incluindo o registro que resulta do monitoramento do uso da conta,
acesso remoto, conectividade sem fio, conexão de dispositivos móveis, definições de configuração, inventário de
componentes do sistema , uso de ferramentas de manutenção e manutenção não local, acesso físico, temperatura e
umidade, entrega e remoção de equipamentos, comunicações nas interfaces do sistema e uso de código móvel ou Voice
over Internet Protocol (VoIP). As descobertas podem ser relatadas a entidades organizacionais que incluem a equipe de
resposta a incidentes, suporte técnico e escritórios de segurança ou privacidade. Se as organizações estiverem
proibidas de revisar e analisar registros de auditoria ou incapazes de realizar tais atividades, a revisão ou análise poderá
ser realizada por outras organizações com tal autoridade. A frequência, o escopo e/ou a profundidade da revisão, análise
e relatório dos registros de auditoria podem ser ajustados para atender às necessidades organizacionais com base nas
novas informações recebidas.
Controles relacionados: AC-2, AC-3, AC-5, AC-6, AC-7, AC-17, AU-7, AU-16, CA-2, CA-7, CM-2, CM-5 , CM-6, CM-10,
CM-11, IA-2, IA- 3 , IA-5, IA-8, IR-5, MA-4, MP-4, PE-3, PE-6, RA -5, SA-8, SC-7, SI-3, SI-4, SI-7.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Controles Relacionados: PM-7.
(3) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | REPOSITÓRIOS DE REGISTROS DE AUDITORIA CORRELATOS
Analise e correlacione registros de auditoria em diferentes repositórios para obter consciência situacional em toda a
organização.
Discussão: A consciência situacional em toda a organização inclui a consciência em todos os três níveis de gerenciamento
de riscos (isto é, nível organizacional, nível de missão/processo de negócios e nível de sistema de informação) e apoia
a conscientização entre organizações.
Fornecer e implementar a capacidade de revisar e analisar centralmente registros de auditoria de vários componentes
do sistema.
Discussão: Mecanismos automatizados para revisões e análises centralizadas incluem produtos de gerenciamento de
eventos e informações de segurança.
(5) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | ANÁLISE INTEGRADA DE REGISTROS DE AUDITORIA
Integrar a análise dos registros de auditoria com a análise de [Seleção (um ou mais): informações de verificação de
vulnerabilidades; dados de desempenho; informações de monitoramento do sistema; [Tarefa: dados/ informações
definidos pela organização coletados de outras fontes]] para melhorar ainda mais a capacidade de identificar
atividades inadequadas ou incomuns.
Discussão: A análise integrada de registros de auditoria não requer verificação de vulnerabilidades, geração de dados de
desempenho ou monitoramento do sistema. Em vez disso, a análise integrada exige que a análise da informação gerada pela
digitalização, monitorização ou outras actividades de recolha de dados seja integrada com a análise da informação dos
registos de auditoria. As ferramentas de gerenciamento de eventos e informações de segurança podem facilitar a
agregação ou consolidação de registros de auditoria de vários componentes do sistema, bem como a correlação e análise
de registros de auditoria. O uso de scripts padronizados de análise de registros de auditoria desenvolvidos pelas
organizações (com ajustes de script localizados, conforme necessário) fornece abordagens mais econômicas para analisar
as informações coletadas de registros de auditoria. A correlação das informações do registro de auditoria com as
informações da verificação de vulnerabilidades é importante para determinar a veracidade das verificações de vulnerabilidades
do sistema e para correlacionar os eventos de detecção de ataques com os resultados da verificação. A correlação com
dados de desempenho pode revelar ataques de negação de serviço ou outros tipos de ataques que resultam no uso não
autorizado de recursos. A correlação com informações de monitoramento do sistema pode ajudar a descobrir ataques e a
relacionar melhor as informações de auditoria com situações operacionais.
(6) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | CORRELAÇÃO COM MONITORAMENTO FÍSICO
Discussão: A correlação entre as informações dos registros de auditoria física e os registros de auditoria dos sistemas pode
ajudar as organizações a identificar comportamentos suspeitos ou apoiar evidências de tal comportamento. Por exemplo, a
correlação da identidade de um indivíduo para acesso lógico a determinados sistemas com as informações adicionais de
segurança física de que o indivíduo estava presente na instalação quando ocorreu o acesso lógico pode ser útil em
investigações.
_________________________________________________________________________________________________
pe
E (7) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | AÇÕES PERMITIDAS
Especifique as ações permitidas para cada [Seleção (uma ou mais): processo do sistema; papel; usuário] associado
à revisão, análise e relatório de informações de registros de auditoria.
Discussão: As organizações especificam ações permitidas para processos, funções e usuários do sistema associados à
revisão, análise e relatório de registros de auditoria por meio de atividades de gerenciamento de contas do sistema. Especificar
ações permitidas nas informações do registro de auditoria é uma forma de impor o princípio do menor privilégio. As ações
permitidas são impostas pelo sistema e incluem leitura, gravação, execução, acréscimo e exclusão.
(8) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | ANÁLISE DE TEXTO COMPLETO DE PRIVILEGIADOS
COMANDOS
Discussão: A análise de texto completo de comandos privilegiados requer um ambiente distinto para a análise de informações
de registros de auditoria relacionadas a usuários privilegiados, sem comprometer tais informações no sistema onde os
usuários têm privilégios elevados, incluindo a capacidade de executar comandos privilegiados. A análise de texto completo
refere-se à análise que considera o texto completo dos comandos privilegiados (ou seja, comandos e parâmetros) em
oposição à análise que considera apenas o nome do comando. A análise de texto completo inclui o uso de correspondência
de padrões e heurística.
Correlacione informações de fontes não técnicas com informações de registros de auditoria para aprimorar a
Discussão: Fontes não técnicas incluem registros que documentam violações de políticas organizacionais relacionadas
a incidentes de assédio e ao uso indevido de ativos de informação. Essas informações podem levar a um esforço analítico
direcionado para detectar possíveis atividades internas maliciosas. As organizações limitam o acesso a informações
disponíveis em fontes não técnicas
devido à sua natureza sensível. O acesso limitado minimiza o potencial de divulgação inadvertida de informações relacionadas
à privacidade para indivíduos que não precisam saber. A correlação de informações de fontes não técnicas com informações
de registros de auditoria geralmente ocorre apenas quando há suspeita de envolvimento de indivíduos em um incidente.
As organizações obtêm aconselhamento jurídico antes de iniciar tais ações.
Controle: Fornecer e implementar um recurso de redução de registros de auditoria e geração de relatórios que:
a. Suporta revisão, análise e requisitos de relatórios de registros de auditoria sob demanda e investigações pós-fato de incidentes;
e
Discussão: A redução dos registros de auditoria é um processo que manipula as informações coletadas do registro de auditoria e
as organiza em um formato de resumo que seja mais significativo para os analistas. Registro de auditoria
_________________________________________________________________________________________________
pe
E os recursos de redução e geração de relatórios nem sempre emanam do mesmo sistema ou das mesmas entidades
organizacionais que conduzem atividades de registro de auditoria. A capacidade de redução de registros de auditoria inclui
técnicas modernas de mineração de dados com filtros de dados avançados para identificar comportamentos anômalos em
registros de auditoria. A capacidade de geração de relatórios fornecida pelo sistema pode gerar relatórios personalizáveis. A
ordenação temporal dos registros de auditoria pode ser um problema se a granularidade do carimbo de data/hora no registro for
insuficiente.
Controles relacionados: AC-2, AU-2, AU-3, AU-4, AU-5, AU-6, AU-12, AU-16, CM-5, IA-5, IR-4, PM-12 , SI- 4.
Melhorias de controle:
Fornecer e implementar a capacidade de processar, classificar e pesquisar registros de auditoria para eventos de
interesse com base no seguinte conteúdo: [Atribuição: campos definidos pela organização nos registros de auditoria].
Discussão: Eventos de interesse podem ser identificados pelo conteúdo dos registros de auditoria, incluindo
recursos do sistema envolvidos, objetos de informação acessados, identidades de indivíduos, tipos de eventos, locais de
eventos, datas e horas de eventos, endereços de protocolo da Internet envolvidos ou sucesso ou falha de eventos. As
organizações podem definir critérios de eventos com qualquer grau de granularidade necessário, como locais
selecionáveis por um local de rede geral ou por um componente específico do sistema.
Referências: Nenhuma.
Ao controle:
a. Utilize relógios internos do sistema para gerar carimbos de data/hora para registros de auditoria; e
b. Registre carimbos de data/hora para registros de auditoria que atendam [Atribuição: definido pela organização
granularidade da medição de tempo] e que usam o Tempo Universal Coordenado, têm um deslocamento de horário local
fixo em relação ao Tempo Universal Coordenado ou que incluem o deslocamento de horário local como parte do carimbo
de data/hora.
Discussão: Os carimbos de data/hora gerados pelo sistema incluem data e hora. O tempo é comumente expresso em Tempo
Universal Coordenado (UTC), uma continuação moderna do Horário de Greenwich (GMT), ou hora local com um deslocamento do
UTC. A granularidade das medições de tempo refere-se ao grau de sincronização entre os relógios do sistema e os relógios de
referência (por exemplo, relógios sincronizados em centenas de milissegundos ou dezenas de milissegundos). As organizações
podem definir diferentes granularidades de tempo para diferentes componentes do sistema. O serviço de tempo pode ser crítico para
outras capacidades de segurança, tais como controlo de acesso, identificação e autenticação, dependendo da natureza dos
mecanismos utilizados para apoiar essas capacidades.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E [Retirado: Movido para SC-45(2).]
Referências: Nenhuma.
Ao controle:
a. Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso não autorizado, modificação,
e exclusão; e
Discussão: As informações de auditoria incluem todas as informações necessárias para auditar com êxito a atividade do
sistema, como registros de auditoria, configurações de log de auditoria, relatórios de auditoria e informações de
identificação pessoal. Ferramentas de registro de auditoria são aqueles programas e dispositivos usados para realizar auditoria
do sistema e atividades de registro. A proteção das informações de auditoria concentra-se na proteção técnica e limita a
capacidade de acessar e executar ferramentas de registro de auditoria a indivíduos autorizados. A proteção física das informações
de auditoria é abordada tanto pelos controles de proteção da mídia quanto pelos controles de proteção física e
ambiental.
Controles relacionados: AC-3, AC-6, AU-6, AU-11, AU-14, AU-15, MP-2, MP-4, PE-2, PE-3, PE-6, SA-8 ,
SC-8, SI-4.
Melhorias de controle:
Discussão: Escrever trilhas de auditoria em mídia de gravação única aplicada por hardware aplica-se à geração inicial de
trilhas de auditoria (ou seja, à coleção de registros de auditoria que representa as informações a serem usadas para fins de
detecção, análise e geração de relatórios) e ao backup dessas trilhas de auditoria. A gravação de trilhas de auditoria em
mídia de gravação única imposta por hardware não se aplica à geração inicial de registros de auditoria antes de serem
gravados em uma trilha de auditoria. A mídia de gravação única e leitura múltipla (WORM) inclui disco compacto gravável
(CD-R), disco Blu-Ray gravável (BD-R) e disco digital versátil gravável (DVD-R). Em contraste, o uso de mídias
comutáveis de proteção contra gravação, como cartuchos de fita, unidades Universal Serial Bus (USB), Compact
Disc Regravável (CD-RW) e Digital Versatile Disc-Read Write (DVD-RW) resulta em mídia protegida contra gravação, mas
não com gravação única.
Armazene registros de auditoria [Atribuição: frequência definida pela organização] em um repositório que faça
parte de um sistema ou componente de sistema fisicamente diferente do sistema ou componente que está sendo
auditado.
Discussão: Armazenar registros de auditoria em um repositório separado do sistema ou componente do sistema auditado
ajuda a garantir que um comprometimento do sistema que está sendo auditado não resulte também em um
comprometimento dos registros de auditoria. O armazenamento de registros de auditoria em sistemas ou
componentes físicos separados também preserva a confidencialidade e a integridade dos registros de auditoria e facilita o
gerenciamento dos registros de auditoria como uma atividade que abrange toda a organização. O armazenamento de
registros de auditoria em sistemas ou componentes separados aplica-se à geração inicial, bem como ao backup ou
armazenamento de longo prazo de registros de auditoria.
_________________________________________________________________________________________________
pe
E Implementar mecanismos criptográficos para proteger a integridade das informações e ferramentas de auditoria.
Discussão: Os mecanismos criptográficos usados para proteger a integridade das informações de auditoria incluem funções
hash assinadas usando criptografia assimétrica. Isto permite a distribuição da chave pública para verificar as informações de
hash, mantendo a confidencialidade da chave secreta usada para gerar o hash.
Discussão: Indivíduos ou funções com acesso privilegiado a um sistema e que também são objeto de uma auditoria por
esse sistema podem afetar a fiabilidade das informações de auditoria, inibindo atividades de auditoria ou modificando
registos de auditoria. Exigir que o acesso privilegiado seja definido com mais detalhes entre privilégios relacionados
à auditoria e outros privilégios limita o número de usuários ou funções com privilégios relacionados à auditoria.
Aplicar autorização dupla para [Seleção (uma ou mais): movimentação; exclusão] de [Atribuição:
informações de auditoria definidas pela organização].
Discussão: As organizações podem escolher diferentes opções de seleção para diferentes tipos de informações de auditoria.
Os mecanismos de autorização dupla (também conhecidos como controle de duas pessoas) exigem a aprovação de dois
indivíduos autorizados para executar funções de auditoria. Para reduzir o risco de conluio, as organizações consideram
alternar as funções de autorização dupla para outros indivíduos.
As organizações não exigem mecanismos de autorização dupla quando são necessárias respostas imediatas para garantir a
segurança pública e ambiental.
Autorize o acesso somente leitura às informações de auditoria para [Atribuição: subconjunto de usuários ou
funções privilegiadas definido pela organização].
Discussão: Restringir autorizações de usuários ou funções privilegiadas para somente leitura ajuda a limitar os possíveis
danos às organizações que poderiam ser iniciados por tais usuários ou funções, como a exclusão de registros de
auditoria para encobrir atividades maliciosas.
Armazene informações de auditoria em um componente que executa um sistema operacional diferente do sistema
ou componente que está sendo auditado.
Discussão: Armazenar informações de auditoria em um componente do sistema que executa um sistema operacional
diferente reduz o risco de uma vulnerabilidade específica do sistema, resultando no comprometimento dos registros de
auditoria.
_________________________________________________________________________________________________
pe
E NÃO REPÚDIO AU-10
Controle: Fornecer evidências irrefutáveis de que um indivíduo (ou processo agindo em nome de um
indivíduo) executou [Tarefa: ações definidas pela organização a serem cobertas pelo não repúdio].
Discussão: Os tipos de ações individuais abrangidas pelo não repúdio incluem a criação de informações, o envio e
recebimento de mensagens e a aprovação de informações. O não repúdio protege contra alegações de autores de
não terem sido os autores de determinados documentos, de remetentes de não terem transmitido mensagens, de
destinatários de não terem recebido mensagens e de signatários de não terem assinado documentos. Os
serviços de não repúdio podem ser usados para determinar se as informações foram originadas de um indivíduo ou se
um indivíduo realizou ações específicas (por exemplo, enviar um e-mail, assinar um contrato, aprovar uma
solicitação de aquisição ou receber informações específicas). As organizações obtêm serviços de não repúdio
empregando diversas técnicas ou mecanismos, incluindo assinaturas digitais e recebimentos de mensagens digitais.
Controles relacionados: AU-9, PM-12, SA-8, SC-8, SC-12, SC-13, SC-16, SC-17, SC-23.
Melhorias de controle:
(b) Executar [Atribuição: ações definidas pela organização] no caso de um erro de validação.
Discussão: A cadeia de custódia é um processo que rastreia a movimentação de provas ao longo do seu ciclo
de vida de recolha, salvaguarda e análise, documentando cada indivíduo que manuseou as provas, a data e
hora em que as provas foram recolhidas ou transferidas e a finalidade da transferência. . Se o revisor for humano
ou se a função de revisão for automatizada, mas
separado da função de liberação ou transferência, o sistema associa a identidade do revisor da informação
a ser divulgada à informação e ao rótulo da informação.
No caso de revisões humanas, manter as credenciais dos revisores ou liberadores proporciona
_________________________________________________________________________________________________
pe
E a organização com os meios para identificar quem revisou e divulgou as informações. No caso de revisões automatizadas,
garante que apenas funções de revisão aprovadas sejam utilizadas.
(a) Validar a vinculação da identidade do revisor de informações às informações nos pontos de transferência ou
liberação antes da liberação ou transferência entre [Atribuição: domínios de segurança definidos
pela organização]; e
(b) Executar [Atribuição: ações definidas pela organização] no caso de um erro de validação.
Discussão: A validação da ligação da identidade do revisor de informações às informações nos pontos de transferência ou
liberação evita a modificação não autorizada de informações entre a revisão e a transferência ou liberação. A validação de
ligações pode ser alcançada usando
somas de verificação criptográficas. As organizações determinam se as validações são em resposta às solicitações dos
usuários ou geradas automaticamente.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-177].
Controle: Reter registros de auditoria por [Atribuição: período de tempo definido pela organização consistente com a política de
retenção de registros] para fornecer suporte para investigações de incidentes após o fato e para atender aos requisitos regulatórios
e organizacionais de retenção de informações.
Discussão: As organizações retêm registros de auditoria até que seja determinado que os registros não são mais necessários
para fins administrativos, jurídicos, de auditoria ou outros fins operacionais. Isto inclui o
retenção e disponibilidade de registros de auditoria relativos a solicitações, intimações e ações de aplicação da lei da Lei de Liberdade
de Informação (FOIA). As organizações desenvolvem categorias padrão de registros de auditoria relativos a esses tipos de
ações e processos de resposta padrão para cada tipo de ação.
As Programações Gerais de Registros da Administração Nacional de Arquivos e Registros (NARA) fornecem políticas federais
sobre retenção de registros.
Controles relacionados: AU-2, AU-4, AU-5, AU-6, AU-9, AU-14, MP-6, RA-5, SI-12.
Melhorias de controle:
Empregar [Tarefa: medidas definidas pela organização] para garantir que os registros de auditoria de longo
prazo gerados pelo sistema possam ser recuperados.
Discussão: As organizações precisam acessar e ler registros de auditoria que exigem armazenamento de longo prazo (da
ordem de anos). As medidas empregadas para ajudar a facilitar a recuperação dos registros de auditoria incluem a
conversão dos registros para formatos mais recentes, a retenção de equipamentos capazes de ler os registros e a retenção
da documentação necessária para ajudar o pessoal a compreender como interpretar os registros.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Fornece capacidade de geração de registros de auditoria para os tipos de eventos que o sistema é capaz de realizar
auditoria conforme definido em AU-2a em [Tarefa: componentes do sistema definidos pela organização];
b. Permitir que [Atribuição: pessoal ou funções definidas pela organização] selecione os tipos de eventos que
devem ser registrados por componentes específicos do sistema; e
c. Gere registros de auditoria para os tipos de eventos definidos em AU-2c que incluem o registro de auditoria
conteúdo definido em AU-3.
Discussão: Os registros de auditoria podem ser gerados a partir de muitos componentes diferentes do sistema. Os tipos de eventos
especificados em AU-2d são os tipos de eventos para os quais os logs de auditoria serão gerados e são um subconjunto de todos os tipos
de eventos para os quais o sistema pode gerar registros de auditoria.
Controles relacionados: AC-6, AC-17, AU-2, AU-3 , AU-4, AU-5 , AU-6, AU-7, AU-14, CM-5, MA-4, MP-4 , PM-12, SA-8, SC-18, SI-3, SI-4,
SI-7, SI-10.
Melhorias de controle:
(1) GERAÇÃO DE REGISTROS DE AUDITORIA | TRILHAS DE AUDITORIA EM TODO O SISTEMA E CORRELACIONADAS COM O TEMPO
Compilar registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria
de todo o sistema (lógico ou físico) correlacionada com o tempo dentro de [Atribuição: nível de tolerância definido pela
organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria].
Discussão: As trilhas de auditoria são correlacionadas com o tempo se os carimbos de data e hora nos registros de auditoria individuais
puderem ser relacionados de forma confiável com os carimbos de data e hora em outros registros de auditoria para alcançar uma
ordenação temporal dos registros dentro das tolerâncias organizacionais.
Produza uma trilha de auditoria (lógica ou física) para todo o sistema, composta por registros de auditoria em um
formato padronizado.
Discussão: Os registros de auditoria que seguem padrões comuns promovem a interoperabilidade e a troca de informações
entre dispositivos e sistemas. A promoção da interoperabilidade e da troca de informações facilita a produção de informações
sobre eventos que podem ser prontamente analisadas e correlacionadas. Se os mecanismos de registro não estiverem em
conformidade com formatos padronizados, os sistemas poderão converter registros de auditoria individuais em formatos
padronizados ao compilar trilhas de auditoria para todo o sistema.
Fornecer e implementar a capacidade para [Atribuição: indivíduos ou funções definidas pela organização] alterar o registro a
ser executado em [Atribuição: componentes do sistema definidos pela organização] com base em [Atribuição: critérios de
evento selecionáveis definidos pela organização] dentro de [Atribuição: organização -limites de tempo definidos].
Discussão: Permitir que indivíduos autorizados façam alterações no log do sistema permite que as organizações estendam ou
limitem o log conforme necessário para atender aos requisitos organizacionais.
O registro limitado para conservar os recursos do sistema pode ser estendido (temporária ou permanentemente) para resolver
determinadas situações de ameaça. Além disso, o registro em log pode ser limitado a um conjunto específico de tipos de eventos
para facilitar a redução, análise e relatórios de auditoria. As organizações podem estabelecer limites de tempo nos quais as ações de
registro são alteradas (por exemplo, quase em tempo real, em minutos ou em horas).
_________________________________________________________________________________________________
pe
E (4) GERAÇÃO DE REGISTROS DE AUDITORIA | AUDITORIAS DE PARÂMETROS DE CONSULTA DE IDENTIFICÁVEIS PESSOALMENTE
INFORMAÇÃO
Fornecer e implementar a capacidade de auditar os parâmetros de eventos de consulta do usuário para conjuntos de
dados contendo informações de identificação pessoal.
Discussão: Parâmetros de consulta são critérios explícitos que um sistema individual ou automatizado envia a um sistema
para recuperar dados. A auditoria de parâmetros de consulta para conjuntos de dados que contêm informações de identificação
pessoal aumenta a capacidade de uma organização rastrear e compreender o acesso, uso ou compartilhamento de
informações de identificação pessoal por pessoal autorizado.
Referências: Nenhuma.
Ao controle:
2. Execute as seguintes ações adicionais: [Atribuição: trabalho adicional definido pela organização
ações].
Discussão: A divulgação não autorizada de informações é uma forma de vazamento de dados. As informações de código
aberto incluem sites de redes sociais e plataformas e repositórios de compartilhamento de código.
Exemplos de informações organizacionais incluem informações de identificação pessoal retidas pela organização ou informações
proprietárias geradas pela organização.
Melhorias de controle:
Monitore informações de código aberto e sites de informações usando [Tarefa: mecanismos automatizados
definidos pela organização].
Discussão: Os mecanismos automatizados incluem serviços comerciais que fornecem notificações e alertas às organizações
e scripts automatizados para monitorizar novas publicações em websites.
Revise a lista de sites de informações de código aberto que estão sendo monitorados [Atribuição:
frequência definida pela organização].
Discussão: A revisão regular da lista atual de sites de informações de código aberto monitorados ajuda a garantir que os sites
selecionados permaneçam relevantes. A revisão também oferece a oportunidade de adicionar novos sites de
informações de código aberto com potencial para fornecer evidências de divulgação não autorizada de informações
organizacionais. A lista de sites monitorados pode ser orientada e informada pela inteligência de ameaças de outras fontes
confiáveis de informação.
_________________________________________________________________________________________________
pe
E Empregue técnicas, processos e ferramentas de descoberta para determinar se entidades externas estão
replicando informações organizacionais de maneira não autorizada.
Discussão: O uso ou replicação não autorizada de informações organizacionais por entidades externas pode causar
impactos adversos nas operações e ativos organizacionais, incluindo danos à reputação. Essa atividade pode incluir
a replicação de um site organizacional por um adversário ou ator de ameaça hostil que tenta se passar pela organização de
hospedagem na web. As ferramentas, técnicas e processos de descoberta usados para determinar se entidades
externas estão replicando informações organizacionais de maneira não autorizada incluem a verificação
de sites externos, o monitoramento de mídias sociais e o treinamento de funcionários para reconhecer o uso não
autorizado de informações organizacionais.
Referências: Nenhuma.
Ao controle:
a. Fornecer e implementar o recurso para [Atribuição: usuários ou funções definidas pela organização] para [Seleção (um ou mais):
registro; visualizar; ouvir; log] o conteúdo de uma sessão de usuário em [Atribuição: circunstâncias definidas pela
organização]; e
b. Desenvolver, integrar e usar atividades de auditoria de sessão em consulta com o consultor jurídico e de acordo com as leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Discussão: As auditorias de sessão podem incluir o monitoramento das teclas digitadas, o rastreamento dos sites visitados e
o registro de informações e/ou transferências de arquivos. A capacidade de auditoria de sessão é implementada além do registro de
eventos e pode envolver a implementação de tecnologia especializada de captura de sessão.
As organizações consideram como a auditoria de sessões pode revelar informações sobre indivíduos que podem dar origem a
riscos de privacidade, bem como como mitigar esses riscos. Como a auditoria de sessão pode impactar o desempenho do
sistema e da rede, as organizações ativam a capacidade em situações bem definidas (por exemplo, a organização suspeita
de um indivíduo específico). As organizações consultam consultores jurídicos, autoridades de liberdades civis e autoridades
de privacidade para garantir que quaisquer questões legais, de privacidade, de direitos civis ou de liberdades civis, incluindo o
uso de informações de identificação pessoal, sejam abordadas de forma adequada.
Controles relacionados: AC-3, AC-8, AU-2, AU-3, AU-4, AU -5, AU-8, AU-9, AU-11, AU-12.
Melhorias de controle:
Discussão: O início automático de auditorias de sessão na inicialização ajuda a garantir que as informações capturadas
sobre indivíduos selecionados estejam completas e não sujeitas a comprometimento por meio de adulteração
por agentes de ameaças mal-intencionados.
Fornecer e implementar a capacidade para que usuários autorizados visualizem e ouçam remotamente conteúdo
relacionado a uma sessão de usuário estabelecida em tempo real.
Discussão: Nenhuma.
_________________________________________________________________________________________________
pe
E Controles Relacionados: AC-17.
Referências: Nenhuma.
Controle: Empregar [Atribuição: métodos definidos pela organização] para coordenar [Atribuição: informações de
auditoria definidas pela organização] entre organizações externas quando as informações de auditoria são transmitidas
através dos limites organizacionais.
Discussão: Quando as organizações utilizam sistemas ou serviços de organizações externas, a capacidade de registo
de auditoria necessita de uma abordagem coordenada e interorganizacional. Por exemplo, manter a identidade
de indivíduos que solicitam serviços específicos através das fronteiras organizacionais pode muitas vezes ser
difícil, e isso pode ter implicações significativas no desempenho e na privacidade. Portanto, muitas vezes acontece que o
registro de auditoria entre organizações simplesmente captura a identidade dos indivíduos que emitem solicitações no sistema
inicial e os sistemas subsequentes registram que as solicitações foram originadas de indivíduos autorizados. As
organizações consideram incluir processos para coordenar os requisitos de informações de auditoria e proteção de
informações de auditoria em acordos de troca de informações.
Melhorias de controle:
Discussão: A preservação da identidade é aplicada quando há necessidade de rastrear ações que são executadas
através das fronteiras organizacionais até um indivíduo específico.
Implementar [Atribuição: medidas definidas pela organização] para desassociar os indivíduos das informações
de auditoria transmitidas através dos limites organizacionais.
Discussão: Preservar identidades em trilhas de auditoria pode ter ramificações de privacidade, como permitir o
rastreamento e a criação de perfis de indivíduos, mas pode não ser operacionalmente necessário.
Estes riscos poderiam ser ainda mais amplificados ao transmitir informações através das fronteiras organizacionais.
A implementação de técnicas criptográficas que melhoram a privacidade pode desassociar os indivíduos das
informações de auditoria e reduzir o risco de privacidade, ao mesmo tempo que mantém a responsabilidade.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.4 AVALIAÇÃO, AUTORIZAÇÃO E MONITORAMENTO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de
avaliação, autorização e monitoramento em nível de sistema que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
_________________________________________________________________________________________________
pe
E Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-100] , [SP
800-137], [SP 800-137A], [IR 8062].
Ao controle:
c. Garantir que o plano de avaliação de controle seja revisado e aprovado pelo gestor orçamentário ou
representante designado antes de realizar a avaliação;
As organizações avaliam os controles nos sistemas e nos ambientes em que esses sistemas operam como parte de
autorizações iniciais e contínuas, monitoramento contínuo, avaliações anuais da FISMA,
design e desenvolvimento de sistemas, engenharia de segurança de sistemas, engenharia de privacidade e ciclo
de vida de desenvolvimento de sistemas. As avaliações ajudam a garantir que as organizações atendam aos requisitos
de segurança e privacidade da informação, identificam pontos fracos e deficiências no design do sistema e
processo de desenvolvimento, fornecer informações essenciais necessárias para tomar decisões baseadas em riscos
como parte dos processos de autorização e cumprir os procedimentos de mitigação de vulnerabilidades. As
organizações realizam avaliações sobre os controles implementados, conforme documentado nos planos de segurança e privacidade.
As avaliações também podem ser realizadas durante todo o ciclo de vida de desenvolvimento do sistema, como
parte dos processos de engenharia de sistemas e de engenharia de segurança de sistemas. O design dos controles
pode ser avaliado à medida que as RFPs são desenvolvidas, as respostas são avaliadas e as revisões do design são
conduzidas. Se um projeto para implementar controles e subsequente implementação de acordo com o projeto for
avaliado durante o desenvolvimento, o teste de controle final pode ser uma simples confirmação utilizando a
avaliação de controle previamente concluída e agregando os resultados.
As organizações podem desenvolver um plano único e consolidado de avaliação de segurança e privacidade para o
sistema ou manter planos separados. Um plano de avaliação consolidado delineia claramente as funções e
responsabilidades da avaliação do controlo. Se várias organizações participarem na avaliação de um sistema, uma
abordagem coordenada pode reduzir as redundâncias e os custos associados.
As organizações podem usar outros tipos de atividades de avaliação, como verificação de vulnerabilidades e
monitoramento de sistema, para manter a postura de segurança e privacidade dos sistemas durante a operação do sistema.
_________________________________________________________________________________________________
pe
E vida útil. Os relatórios de avaliação documentam os resultados da avaliação com detalhes suficientes,
conforme considerado necessário pelas organizações, para determinar a precisão e integridade dos relatórios
e se os controles estão implementados corretamente, operando conforme pretendido e produzindo o resultado
desejado no que diz respeito ao cumprimento dos requisitos. Os resultados da avaliação são fornecidos aos
indivíduos ou funções apropriadas para os tipos de avaliações que estão sendo conduzidas. Por exemplo, as
avaliações realizadas em apoio às decisões de autorização são fornecidas a funcionários responsáveis pela
autorização, funcionários seniores de agências de privacidade, funcionários seniores de segurança da informação de agências e
autorizando representantes oficiais designados.
Para satisfazer os requisitos de avaliação anual, as organizações podem usar os resultados da avaliação das
seguintes fontes: autorizações de sistema iniciais ou contínuas, monitoramento contínuo, processos de
engenharia de sistemas ou atividades do ciclo de vida de desenvolvimento de sistemas. As organizações
garantem que os resultados da avaliação sejam atuais, relevantes para a determinação da eficácia do controle
e obtidos com o nível apropriado de independência do avaliador. Os resultados da avaliação de controle
existentes podem ser reutilizados na medida em que os resultados ainda sejam válidos e também podem ser
complementados com avaliações adicionais, conforme necessário. Após as autorizações iniciais, as organizações
avaliam os controles durante o monitoramento contínuo. As organizações também estabelecem a frequência das
avaliações contínuas de acordo com as estratégias organizacionais de monitoramento contínuo. Auditorias externas,
incluindo auditorias realizadas por entidades externas, como agências reguladoras, estão fora do escopo do CA-2.
Controles relacionados: AC-20, CA-5, CA-6, CA-7, PM-9 , RA-5, RA-10, SA-11, SC-38, SI-3, SI-12, SR-2 , SR-
3.
Melhorias de controle:
Discussão: Avaliadores independentes ou equipas de avaliação são indivíduos ou grupos que realizam
avaliações imparciais de sistemas. Imparcialidade significa que os avaliadores estão livres de quaisquer
conflitos de interesses percebidos ou reais em relação ao desenvolvimento, operação, sustentação
ou gestão dos sistemas sob avaliação ou à determinação da eficácia do controle. Para alcançar a
imparcialidade, os avaliadores não criam interesses mútuos ou conflituantes com as organizações onde as
avaliações estão a ser realizadas, não avaliam o seu próprio trabalho, não agem como gestores ou
funcionários das organizações que servem, nem se colocam em posições de defesa das organizações. adquirir
seus serviços.
Avaliações independentes podem ser obtidas de elementos dentro das organizações ou ser
contratados com entidades do setor público ou privado fora das organizações. Os responsáveis pela
autorização determinam o nível de independência exigido com base nas categorias de segurança dos sistemas
e/ou no risco para as operações organizacionais, ativos organizacionais ou indivíduos. Os gestores orçamentais
também determinam se o nível de independência do avaliador proporciona garantia suficiente de que os
resultados são sólidos e podem ser utilizados para tomar decisões credíveis e baseadas no risco. A
determinação da independência do avaliador inclui se os serviços de avaliação contratados têm
independência suficiente, como quando os proprietários do sistema não estão diretamente
envolvidos nos processos de contratação ou não podem influenciar a imparcialidade dos avaliadores que conduzem a avaliação.
avaliações. Durante a fase de concepção e desenvolvimento do sistema, ter avaliadores independentes
é análogo a ter PME independentes envolvidas nas revisões de concepção.
Quando as organizações proprietárias dos sistemas são pequenas ou as estruturas das organizações
exigir que as avaliações sejam conduzidas por indivíduos que estão na cadeia de desenvolvimento,
operacional ou de gestão dos proprietários do sistema, a independência nos processos de avaliação pode
ser alcançada garantindo que os resultados da avaliação sejam cuidadosamente revistos e analisados por
equipes independentes de especialistas para validar a integralidade, precisão, integridade e confiabilidade dos
resultados. Avaliações realizadas para outros fins que não o apoio
_________________________________________________________________________________________________
pe
E as decisões de autorização são mais susceptíveis de serem utilizadas para tais decisões quando executadas por avaliadores
com independência suficiente, reduzindo assim a necessidade de repetir avaliações.
Incluir como parte das avaliações de controle, [Atribuição: frequência definida pela organização], [Seleção:
anunciada; sem aviso prévio], [Seleção (um ou mais): monitoramento aprofundado; instrumentação de
segurança; casos de teste de segurança automatizados; verificação de vulnerabilidades; testes de usuários mal-
intencionados; avaliação de ameaças internas; testes de desempenho e carga; avaliação de vazamento ou perda
de dados; [Tarefa: outras formas de avaliação definidas pela organização]].
Discussão: As organizações podem realizar avaliações especializadas, incluindo verificação e validação, monitoramento
de sistemas, avaliações de ameaças internas, testes de usuários mal-intencionados e outras formas de testes. Estas
avaliações podem melhorar a prontidão, exercitando as capacidades organizacionais e indicando os níveis actuais de
desempenho como forma de concentrar acções para melhorar a segurança e a privacidade. As organizações realizam
avaliações especializadas de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis. Os responsáveis pela autorização aprovam os métodos de avaliação em coordenação com a função
executiva de risco organizacional. As organizações podem incluir vulnerabilidades descobertas durante as avaliações nos
processos de correção de vulnerabilidades. Avaliações especializadas também podem ser realizadas no início do ciclo de
vida de desenvolvimento do sistema (por exemplo, durante o projeto inicial, desenvolvimento e testes unitários).
Aproveite os resultados das avaliações de controle realizadas por [Tarefa: organização externa definida pela
organização] em [Tarefa: sistema definido pela organização] quando a avaliação atender a [Tarefa: requisitos
definidos pela organização].
Discussão: As organizações podem contar com avaliações de controle de sistemas organizacionais realizadas por outras
organizações (externas). A utilização de tais avaliações e a reutilização de evidências de avaliação existentes podem
diminuir o tempo e os recursos necessários para as avaliações, limitando as atividades de avaliação independente que
as organizações precisam realizar. Os fatores que as organizações consideram ao determinar se devem aceitar os
resultados da avaliação de organizações externas podem variar. Tais fatores incluem a experiência passada da organização
com a organização que conduziu a avaliação, a reputação da organização avaliadora,
o nível de detalhe das evidências de avaliação de apoio fornecidas e os mandatos impostos pelas leis, ordens executivas,
diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Laboratórios de testes credenciados que apoiam o Programa de Critérios Comuns [ISO 15408-1], o Programa de Validação
de Módulo Criptográfico do NIST (CMVP) ou o Programa de Validação de Algoritmo Criptográfico do NIST (CAVP)
podem fornecer resultados de avaliação independentes que as organizações podem aproveitar.
Referências: [OMB A-130], [FIPS 199], [SP 800-18], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115], [ SP 800-137], [IR
8011-1], [IR 8062].
Ao controle:
a. Aprovar e gerenciar a troca de informações entre o sistema e outros sistemas utilizando [Seleção (um ou mais): acordos de
segurança de interconexão; acordos de segurança para troca de informações; memorandos de entendimento ou acordo;
Acordos de Nível de Serviço;
_________________________________________________________________________________________________
pe
E acordos de usuário; acordos de não divulgação; [Atribuição: tipo de acordo definido pela organização]];
Os responsáveis pela autorização determinam o risco associado à troca de informações do sistema e os controles
necessários para a mitigação adequada do risco. Os tipos de acordos seleccionados baseiam-se em factores como
o nível de impacto da informação trocada, a relação entre as organizações que trocam informações (por exemplo,
governo para governo, governo para
empresa, empresa para empresa, governo ou empresa para prestador de serviços, governo ou empresa para
indivíduo) ou o nível de acesso ao sistema organizacional pelos usuários do outro sistema. Se os sistemas que
trocam informações tiverem o mesmo gestor autorizado, as organizações
não precisa desenvolver acordos. Em vez disso, as características da interface entre os sistemas (por exemplo,
como a informação está a ser trocada, como a informação é protegida) são descritas nos respectivos planos de
segurança e privacidade. Se os sistemas que trocam informações tiverem diferentes gestores orçamentários
dentro da mesma organização, as organizações podem desenvolver acordos ou
fornecer as mesmas informações que seriam fornecidas no tipo de contrato apropriado do CA-3a nos respectivos
planos de segurança e privacidade dos sistemas. As organizações podem incorporar informações de acordos em
contratos formais, especialmente para trocas de informações estabelecidas entre agências federais e organizações
não federais (incluindo prestadores de serviços, empreiteiros, desenvolvedores de sistemas e integradores de
sistemas). As considerações de risco incluem sistemas que compartilham as mesmas redes.
Controles relacionados: AC-4, AC-20, AU-16, CA-6, IA-3, IR-4, PL-2, PT-7, RA-3, SA-9, SC-7, SI-12 .
Melhorias de controle:
(3) CONEXÕES DO SISTEMA | CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS
_________________________________________________________________________________________________
pe
E [Retirado: Movido para SC-7(5).]
Verifique se os indivíduos ou sistemas que transferem dados entre sistemas interconectados possuem as
autorizações necessárias (ou seja, permissões ou privilégios de gravação) antes de aceitar tais dados.
Discussão: Para evitar que indivíduos e sistemas não autorizados façam transferências de informações para
sistemas protegidos, o sistema protegido verifica — por meios independentes —
se o indivíduo ou sistema que tenta transferir informações está autorizado a fazê-lo.
A verificação da autorização para transferir informações também se aplica ao tráfego do plano de controle (por exemplo,
roteamento e DNS) e serviços (por exemplo, retransmissões SMTP autenticadas).
(a) Identificar trocas de informações transitivas (a jusante) com outros sistemas através dos sistemas
identificados no CA-3a; e
(b) Tomar medidas para garantir que as trocas de informações transitivas (a jusante) cessem
quando os controles em sistemas transitivos (a jusante) identificados não puderem ser verificados ou
validados.
Discussão: As trocas de informações transitivas ou “a jusante” são trocas de informações entre o sistema ou sistemas
com os quais o sistema organizacional troca informações e outros sistemas. Para sistemas, serviços e aplicações
essenciais à missão, incluindo alta
ativos de valor, é necessário identificar essas trocas de informações. A transparência dos controlos ou medidas de
proteção em vigor nesses sistemas a jusante ligados direta ou indiretamente aos sistemas organizacionais é essencial
para compreender os riscos de segurança e privacidade resultantes dessas trocas de informações. Os sistemas
organizacionais podem herdar riscos de sistemas a jusante através de conexões transitivas e trocas de informações,
o que pode tornar os sistemas organizacionais mais suscetíveis a ameaças, perigos e impactos adversos.
Ao controle:
sistema; e
b. Atualizar o plano de ação e os marcos existentes [Atribuição: frequência definida pela organização]
com base nas conclusões de avaliações de controle, auditorias ou revisões independentes e atividades de
monitoramento contínuo.
Discussão: Planos de ação e marcos são úteis para qualquer tipo de organização acompanhar as ações corretivas
planejadas. Planos de ação e marcos são exigidos em pacotes de autorização e estão sujeitos aos requisitos de relatórios
federais estabelecidos pelo OMB.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
AUTORIZAÇÃO CA-6
Ao controle:
b. Designar um funcionário superior como gestor orçamental para controlos comuns disponíveis para
herança por sistemas organizacionais;
d. Garantir que o gestor orçamentário dos controles comuns autorize o uso desses controles para herança por
sistemas organizacionais;
Discussão: Autorizações são decisões oficiais de gestão tomadas por altos funcionários para autorizar a
operação de sistemas, autorizar o uso de controles comuns para herança por sistemas organizacionais e
aceitar explicitamente o risco para operações e ativos organizacionais, indivíduos, outras organizações e a
Nação com base no implementação de controles acordados. Os gestores orçamentais fornecem supervisão
orçamental para sistemas organizacionais e controlos comuns ou assumem a responsabilidade pela missão e
funções empresariais apoiadas por esses sistemas ou controlos comuns. O processo de autorização é de
responsabilidade federal e, portanto, os responsáveis pela autorização devem ser funcionários federais. Os
gestores orçamentários são responsáveis pelos riscos de segurança e privacidade associados à
operação e uso de sistemas organizacionais.
As organizações não federais podem ter processos semelhantes para autorizar sistemas e funcionários
seniores que assumem a função de autorização e responsabilidades associadas.
Os responsáveis pela autorização emitem autorizações contínuas de sistemas com base em evidências
produzidas a partir de programas de monitoramento contínuo implementados. Programas robustos de
monitoramento contínuo reduzem a necessidade de processos separados de reautorização. Através do
emprego de processos abrangentes de monitoramento contínuo, as informações contidas nos pacotes de autorização (ou seja,
planos de segurança e privacidade, relatórios de avaliação e planos de ação e marcos) é atualizado
continuamente. Isso fornece aos responsáveis pela autorização, aos provedores de controle comuns e
aos proprietários de sistemas um status atualizado da postura de segurança e privacidade de seus sistemas,
controles e ambientes operacionais. Para reduzir o custo da reautorização, os responsáveis pela
autorização podem aproveitar ao máximo os resultados dos processos de monitorização contínua como base
para a tomada de decisões de reautorização.
_________________________________________________________________________________________________
pe
E Controles Relacionados: CA-2, CA-3, CA-7, PM-9, PM-10, RA-3, SA-10, SI-12.
Melhorias de controle:
Discussão: A designação de vários gestores orçamentais da mesma organização para servirem como gestores co-
autorizadores do sistema aumenta o nível de independência no processo de tomada de decisões baseado no risco.
Também implementa os conceitos de separação de funções e autorização dupla aplicados ao processo de autorização
do sistema. O processo de autorização conjunta intraorganizacional é mais relevante para sistemas conectados,
sistemas compartilhados e sistemas com múltiplos proprietários de informações.
Discussão: A designação de vários gestores orçamentais, pelo menos um dos quais proveniente de uma organização
externa, para servirem como gestores co-autorizadores do sistema aumenta o nível de independência no processo de tomada
de decisões baseado no risco. Implementa os conceitos de separação de funções e autorização dupla aplicados ao
processo de autorização do sistema.
Empregar funcionários autorizadores de organizações externas para complementar o processo de autorização
Um funcionário da organização que possui ou hospeda o sistema pode ser necessário quando as organizações
externas têm interesse ou ações no resultado da decisão de autorização. O processo de autorização conjunta entre
organizações é relevante e apropriado para sistemas conectados, sistemas ou serviços compartilhados e sistemas com
múltiplos proprietários de informações. Os gestores orçamentais das organizações externas são os principais
intervenientes no sistema sujeito a autorização.
Controle: Desenvolver uma estratégia de monitoramento contínuo em nível de sistema e implementar monitoramento
contínuo de acordo com a estratégia de monitoramento contínuo em nível de organização que inclui:
d. Monitoramento contínuo das métricas definidas pelo sistema e pela organização de acordo com o
estratégia de monitoramento contínuo;
_________________________________________________________________________________________________
pe
E g. Relatar o status de segurança e privacidade do sistema para [Atribuição: pessoal ou funções definidas
pela organização] [Atribuição: frequência definida pela organização].
A automação oferece suporte a atualizações mais frequentes de inventários de hardware, software e firmware,
pacotes de autorização e outras informações do sistema. A eficácia é ainda melhorada quando os resultados
da monitorização contínua são formatados para fornecer informações específicas, mensuráveis, acionáveis,
relevantes e oportunas. As atividades de monitoramento contínuo são dimensionadas de acordo com as
categorias de segurança dos sistemas. Os requisitos de monitoramento, incluindo a necessidade de
monitoramento específico, podem ser referenciados em outros controles e melhorias de controle, como AC-2g,
AC-2(7), AC-2(12)(a), AC-2(7)( b), AC-2(7)(c), AC-17(1), AT-4a, AU-13, AU-13(1), AU-13(2), CM-3f, CM-6d,
CM-11c, IR-5, MA-2b, MA-3a, MA-4a, PE-3d, PE-6, PE-14b, PE- 16, PE-20, PM-6, PM-23, PM- 31, PS-7e,
SA-9c, SR-4, SC-5(3)(b), SC-7a, SC-7(24)(b), SC-18b, SC-43b e SI-4 .
Controles relacionados: AC-2, AC-6, AC-17, AT-4, AU-6, AU-13, CA-2, CA-5, CA-6, CM-3, CM-4, CM-6 ,
CM-11, IA-5, IR-5, MA-2, MA -3, MA-4, PE-3, PE-6, PE-14, PE-16, PE -20, PL-2, PM -4, PM-6, PM-9, PM-10,
PM-12 , PM-14, PM-23, PM- 28, PM-31, PS-7, PT- 7, RA-3, RA-5 , RA-7, RA-10, SA-8, SA-9, SA -11 , SC-5,
SC-7, SC-18, SC-38, SC-43 , SI-3, SI-4, SI -12, SR-6.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Discussão: As análises de tendências incluem o exame de informações recentes sobre ameaças que abordam os tipos de
eventos de ameaça que ocorreram na organização ou no Governo Federal,
taxas de sucesso de certos tipos de ataques, vulnerabilidades emergentes em tecnologias, evolução das técnicas de
engenharia social, eficácia das definições de configuração, resultados de múltiplas avaliações de controle e
descobertas de Inspetores Gerais ou auditores.
Garantir que o monitoramento de riscos seja parte integrante da estratégia de monitoramento contínuo que
inclui o seguinte:
Empregue as seguintes ações para validar se as políticas foram estabelecidas e se os controles implementados
estão operando de maneira consistente: [Atribuição: ações definidas pela organização].
Discussão: Os controles de segurança e privacidade são frequentemente adicionados de forma incremental a um sistema.
Como resultado, as políticas de selecção e implementação de controlos podem ser inconsistentes e os controlos podem não
funcionar em conjunto de uma forma consistente ou coordenada. No mínimo, a falta de consistência e coordenação pode
significar que existem lacunas inaceitáveis de segurança e privacidade no sistema. Na pior das hipóteses, isso poderia
significar que alguns dos controles implementados em um local ou por um componente estão na verdade impedindo a
funcionalidade de outros controles (por exemplo, a criptografia do tráfego da rede interna pode impedir o monitoramento). Em
outras situações, deixar de monitorar consistentemente todos os protocolos de rede implementados (por exemplo, uma
pilha dupla de IPv4 e IPv6) pode criar vulnerabilidades não intencionais no sistema que poderiam ser exploradas por
adversários.
É importante validar – através de testes, monitorização e análise – que os controlos implementados estão a funcionar de forma
consistente, coordenada e sem interferências.
Garanta a precisão, atualidade e disponibilidade dos resultados de monitoramento do sistema usando [Atribuição:
mecanismos automatizados definidos pela organização].
Discussão: O uso de ferramentas automatizadas para monitoramento ajuda a manter a precisão, a atualidade e a
disponibilidade das informações de monitoramento, o que, por sua vez, ajuda a aumentar o nível de conscientização
contínua da segurança do sistema e da postura de privacidade em apoio às decisões de gerenciamento de riscos
organizacionais.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115],[SP 800-137], [IR 8011-1] , [IR 8062].
_________________________________________________________________________________________________
pe
E TESTE DE PENETRAÇÃO CA-8
Controle: Realize testes de penetração [Atribuição: frequência definida pela organização] em [Atribuição: sistemas
ou componentes de sistema definidos pela organização].
As organizações podem usar os resultados das análises de vulnerabilidade para apoiar atividades de testes de
penetração. Os testes de penetração podem ser conduzidos interna ou externamente nos componentes de
hardware, software ou firmware de um sistema e podem exercer controles físicos e técnicos. Um método padrão para
testes de penetração inclui uma análise pré-teste baseada no conhecimento completo do sistema, identificação pré-teste
de vulnerabilidades potenciais com base na análise pré-teste e testes projetados para determinar a explorabilidade das
vulnerabilidades. Todas as partes concordam com as regras de engajamento antes de iniciar cenários de testes de
penetração. As organizações correlacionam as regras de engajamento para os testes de penetração com as ferramentas,
técnicas e procedimentos que deverão ser empregados pelos adversários. Os testes de penetração podem resultar na
exposição de informações protegidas por leis ou regulamentos aos indivíduos que realizam os testes. Regras de engajamento,
contratos ou outros mecanismos apropriados podem ser usados para
comunicar expectativas sobre como proteger essas informações. As avaliações de risco orientam as decisões sobre o
nível de independência exigido para o pessoal que realiza testes de penetração.
Melhorias de controle:
Empregue um agente ou equipe de teste de penetração independente para realizar testes de penetração no
sistema ou nos componentes do sistema.
Discussão: Agentes ou equipes independentes de testes de penetração são indivíduos ou grupos que realizam testes
de penetração imparciais de sistemas organizacionais. A imparcialidade implica que os agentes ou equipes de
testes de penetração estão livres de conflitos de interesse percebidos ou reais com relação ao desenvolvimento,
operação ou gerenciamento dos sistemas que são alvo dos testes de penetração. CA-2(1) fornece informações
adicionais sobre avaliações independentes que podem ser aplicadas a testes de penetração.
Discussão: Os exercícios da equipe vermelha ampliam os objetivos dos testes de penetração, examinando a postura
de segurança e privacidade das organizações e a capacidade de implementar defesas cibernéticas eficazes. Os
exercícios da equipe vermelha simulam tentativas dos adversários de comprometer a missão e as funções de
negócios e fornecem uma avaliação abrangente da segurança e
_________________________________________________________________________________________________
pe
E postura de privacidade de sistemas e organizações. Tais tentativas podem incluir ataques baseados em
tecnologia e ataques baseados em engenharia social. Os ataques baseados em tecnologia incluem
interações com componentes de hardware, software ou firmware e/ou missão e processos de negócios.
Os ataques baseados em engenharia social incluem interações via e-mail, telefone, navegação no ombro ou
conversas pessoais. Os exercícios da equipe vermelha são mais eficazes quando conduzidos por
agentes e equipes de testes de penetração com conhecimento e experiência com táticas, técnicas,
procedimentos e ferramentas adversárias atuais. Embora os testes de penetração possam ser
principalmente testes baseados em laboratório, as organizações podem usar exercícios da equipe vermelha
para fornecer avaliações mais abrangentes que reflitam as condições do mundo real. Os resultados dos
exercícios da equipe vermelha podem ser usados pelas organizações para melhorar a conscientização
e o treinamento em segurança e privacidade e para avaliar a eficácia do controle.
Controles relacionados: Nenhum.
Referências: Nenhuma.
Ao controle:
c. Encerre as conexões do sistema interno após [Atribuição: condições definidas pela organização];
e
Discussão: As conexões internas do sistema são conexões entre sistemas organizacionais e componentes
constituintes separados do sistema (ou seja, conexões entre componentes que fazem parte do mesmo
sistema), incluindo componentes usados para o desenvolvimento do sistema. As conexões intra-sistema
incluem conexões com dispositivos móveis, notebooks e desktops, tablets, impressoras, copiadoras,
máquinas de fax, scanners, sensores e servidores. Em vez de autorizar cada conexão interna do sistema
individualmente, as organizações podem autorizar conexões internas para uma classe de componentes
do sistema com características e/ou configurações comuns, incluindo impressoras, scanners e
copiadoras com capacidade específica de processamento, transmissão e armazenamento ou smartphones
e tablets. com uma configuração de linha de base específica. A necessidade contínua de uma conexão
interna do sistema é analisada sob a perspectiva de fornecer suporte para missões organizacionais
ou funções de negócios.
Controles relacionados: AC-3, AC-4, AC-18, AC-19, CM-2, IA-3, SC-7, SI-12.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) CONEXÕES DO SISTEMA INTERNO | VERIFICAÇÕES DE CONFORMIDADE
_________________________________________________________________________________________________
pe
E 3.5 GERENCIAMENTO DE CONFIGURAÇÃO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de gerenciamento de configuração que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].
_________________________________________________________________________________________________
pe
E CONFIGURAÇÃO DE BASE DO CM-2
Ao controle:
a. Desenvolver, documentar e manter sob controle de configuração uma configuração de linha de base atual do
sistema; e
Discussão: As configurações básicas para sistemas e componentes de sistema incluem aspectos de conectividade, operacionais
e de comunicação dos sistemas. As configurações de linha de base são especificações documentadas, revisadas formalmente e
acordadas para sistemas ou itens de configuração dentro desses sistemas. As configurações de linha de base servem como
base para futuras compilações, lançamentos ou alterações nos sistemas e incluem implementações de controle de segurança e
privacidade, procedimentos operacionais, informações sobre componentes do sistema, topologia de rede e posicionamento
lógico de componentes na arquitetura do sistema. Manter as configurações de linha de base requer a criação de novas linhas de
base à medida que os sistemas organizacionais mudam ao longo do tempo. As configurações básicas dos sistemas refletem a
arquitetura empresarial atual.
Controles relacionados: AC-19, AU-6, CA-9, CM-1, CM-3, CM-5, CM-6, CM-8, CM-9, CP-9, CP-10, CP-12 , MA-2, PL-8, PM-5, SA-8,
SA-10, SA-15, SC-18.
Melhorias de controle:
Discussão: Mecanismos automatizados que ajudam as organizações a manter configurações básicas consistentes para
sistemas incluem ferramentas de gerenciamento de configuração, hardware, software, ferramentas de inventário de
firmware e ferramentas de gerenciamento de rede. Ferramentas automatizadas podem ser usadas no nível da organização,
no nível da missão e do processo de negócios ou no nível do sistema em estações de trabalho, servidores, notebooks,
componentes de rede ou dispositivos móveis. As ferramentas podem ser usadas para rastrear números de versão em sistemas
operacionais, aplicativos, tipos de software instalados e níveis de patch atuais. O suporte de automação para precisão e
atualidade pode ser satisfeito pela implementação do CM-8(2) para organizações que combinam inventário de componentes
de sistema e atividades de configuração de linha de base.
Retenha [Atribuição: número definido pela organização] de versões anteriores de configurações de linha de
base do sistema para dar suporte à reversão.
Discussão: A manutenção de versões anteriores de configurações de linha de base para suportar a reversão inclui
hardware, software, firmware, arquivos de configuração, registros de configuração e documentação associada.
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao CM-7(4).]
Mantenha uma configuração de linha de base para ambientes de teste e desenvolvimento de sistema
que seja gerenciada separadamente da configuração de linha de base operacional.
(7) CONFIGURAÇÃO DE BASE | CONFIGURAR SISTEMAS E COMPONENTES PARA ÁREAS DE ALTO RISCO
(a) Emitir [Atribuição: sistemas ou componentes de sistema definidos pela organização] com
[Atribuição: configurações definidas pela organização] para indivíduos que viajam para locais que
a organização considera de risco significativo; e
(b) Aplicar os seguintes controles aos sistemas ou componentes quando os indivíduos retornarem
da viagem: [Atribuição: controles definidos pela organização].
Discussão: Quando se sabe que sistemas ou componentes de sistemas estarão em áreas de alto risco
externos à organização, controles adicionais podem ser implementados para combater o aumento da
ameaça nessas áreas. Por exemplo, as organizações podem tomar medidas relativamente aos
computadores portáteis utilizados por indivíduos que partem e regressam de viagens. As ações incluem
determinar os locais que são preocupantes, definir as configurações necessárias para os componentes,
garantir que os componentes sejam configurados conforme pretendido antes do início da viagem e aplicar
controles aos componentes após a conclusão da viagem. Notebooks especialmente configurados incluem
computadores com discos rígidos higienizados, aplicativos limitados e definições de configuração mais
rigorosas. Os controles aplicados aos dispositivos móveis no retorno da viagem incluem examinar o dispositivo
móvel em busca de sinais de adulteração física e limpar e recriar imagens das unidades de disco. A proteção
de informações que residem em dispositivos móveis é abordada na família MP (Media Protection).
Ao controle:
b. Analisar as alterações propostas no sistema controladas pela configuração e aprovar ou desaprovar tais alterações,
considerando explicitamente as análises de impacto na segurança e na privacidade;
_________________________________________________________________________________________________
pe
E e. Reter registros de alterações controladas pela configuração no sistema por [Atribuição: período de
tempo definido pela organização];
g. Coordenar e fornecer supervisão para atividades de controle de alterações de configuração por meio de
[Atribuição: elemento de controle de alterações de configuração definido pela organização] que convoca
[Seleção (um ou mais): [Atribuição: frequência definida pela organização]; quando [Atribuição: condições de
alteração de configuração definidas pela organização]].
Controles relacionados: CA-7, CM-2, CM-4, CM-5, CM-6, CM-9, CM-11, IA-3, MA-2, PE-16, PT-6, RA-8 , SA-8,
SA-10, SC-28, SC-34, SC-37, SI-2, SI-3, SI-4, SI-7, SI-10, SR-11.
Melhorias de controle:
(b) Notificar [Atribuição: autoridades de aprovação definidas pela organização] sobre alterações propostas
ao sistema e solicitar aprovação de alteração;
(c) Destacar alterações propostas ao sistema que não foram aprovadas ou reprovadas
dentro de [Atribuição: período de tempo definido pela organização];
(d) Proibir alterações no sistema até que as aprovações designadas sejam recebidas;
(f) Notificar [Atribuição: pessoal definido pela organização] quando as alterações aprovadas no
sistema forem concluídas.
Discussão: Nenhuma.
Teste, valide e documente alterações no sistema antes de finalizar a implementação das alterações.
Discussão: As alterações nos sistemas incluem modificações nos componentes de hardware, software ou
firmware e nas definições de configuração definidas no CM-6. As organizações garantem que os testes não
interfiram nas operações do sistema que apoiam a missão organizacional e as funções de negócios. Indivíduos
ou grupos que realizam testes compreendem as políticas e procedimentos de segurança e privacidade, as
políticas e procedimentos de segurança e privacidade do sistema e os riscos de saúde, segurança e ambientais
associados a instalações ou processos específicos. Sistemas operacionais
_________________________________________________________________________________________________
pe
E pode precisar ser colocado off-line ou replicado na medida do possível antes que o teste possa ser realizado. Se os
sistemas precisarem ser colocados off-line para testes, os testes serão programados para ocorrer durante interrupções
planejadas do sistema, sempre que possível. Se os testes não puderem ser realizados em sistemas operacionais, as
organizações empregam controles compensatórios.
Implemente alterações na linha de base atual do sistema e implante a linha de base atualizada em toda a base instalada
usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Ferramentas automatizadas podem melhorar a precisão, a consistência e a disponibilidade das informações
básicas de configuração. A automação também pode fornecer recursos de agregação e correlação de dados, mecanismos de
alerta e painéis para apoiar a tomada de decisões baseada em riscos dentro da organização.
Exigir que [Atribuição: representantes de segurança e privacidade definidos pela organização ] sejam membros
da [Atribuição: elemento de controle de alterações de configuração definido pela organização].
Discussão: As respostas automatizadas de segurança incluem a interrupção de funções selecionadas do sistema, a interrupção
do processamento do sistema e a emissão de alertas ou notificações ao pessoal da organização quando há uma modificação
não autorizada de um item de configuração.
Certifique-se de que os mecanismos criptográficos usados para fornecer os seguintes controles estejam sob
gerenciamento de configuração: [Atribuição: controles definidos pela organização].
_________________________________________________________________________________________________
pe
E Revise as alterações no sistema [Atribuição: frequência definida pela organização] ou quando
[Tarefa: circunstâncias definidas pela organização] para determinar se ocorreram alterações não autorizadas.
Discussão: As indicações que justificam uma revisão das alterações no sistema e as circunstâncias específicas que
justificam tais revisões podem ser obtidas a partir de atividades realizadas pelas organizações durante o processo
de mudança de configuração ou processo de monitoramento contínuo.
Discussão: As alterações na configuração do sistema podem afetar negativamente a segurança crítica do sistema e a
funcionalidade de privacidade. As restrições de alteração podem ser aplicadas através de mecanismos automatizados.
Controle: Analise as alterações no sistema para determinar possíveis impactos de segurança e privacidade antes da
implementação das alterações.
Discussão: O pessoal organizacional com responsabilidades de segurança ou privacidade conduz análises de impacto. Os
indivíduos que realizam análises de impacto possuem as competências e conhecimentos técnicos necessários para analisar
as alterações nos sistemas, bem como as ramificações de segurança ou privacidade.
As análises de impacto incluem a revisão de planos, políticas e procedimentos de segurança e privacidade para
compreender os requisitos de controle; revisar a documentação do projeto do sistema e os procedimentos operacionais para
compreender a implementação dos controles e como mudanças específicas no sistema podem afetar os controles; rever o impacto
das mudanças nos parceiros organizacionais da cadeia de abastecimento com as partes interessadas; e determinar como
possíveis alterações em um sistema criam novos riscos à privacidade dos indivíduos e à capacidade dos controles implementados
para mitigar esses riscos. Análises de impacto
também incluem avaliações de risco para compreender o impacto das mudanças e determinar se são necessários
controles adicionais.
Controles relacionados: CA-7, CM-3, CM-8, CM-9, MA-2, RA-3, RA-5, RA-8, SA-5, SA-8, SA-10, SI-2 .
Melhorias de controle:
Discussão: Um ambiente de teste separado requer um ambiente que seja física ou logicamente separado e distinto
do ambiente operacional. A separação é suficiente para garantir que as atividades no ambiente de teste não impactem as
atividades no ambiente operacional e que as informações no ambiente operacional não sejam transmitidas inadvertidamente
ao ambiente de teste. Ambientes separados podem ser alcançados por meios físicos ou lógicos. Se ambientes de
teste fisicamente separados não forem implementados, as organizações determinarão a força do mecanismo necessário ao
implementar a separação lógica.
_________________________________________________________________________________________________
pe
E Após as alterações no sistema, verifique se os controles afetados estão implementados
corretamente, operando conforme o esperado e produzindo o resultado desejado no que diz respeito
ao cumprimento dos requisitos de segurança e privacidade do sistema.
Controle: Defina, documente, aprove e aplique restrições de acesso físico e lógico associadas a alterações
no sistema.
Controles relacionados: AC-3, AC-5, AC-6, CM-9, PE-3, SC-28, SC-34, SC-37, SI-2, SI-10.
Melhorias de controle:
(1) RESTRIÇÕES DE ACESSO PARA MUDANÇA | EXECUÇÃO DE ACESSO AUTOMATIZADO E REGISTROS DE AUDITORIA
(a) Aplicar restrições de acesso usando [Atribuição: mecanismos automatizados definidos pela
organização]; e (b)
Discussão: As organizações empregam autorização dupla para ajudar a garantir que quaisquer alterações
nos componentes e informações do sistema selecionados não possam ocorrer, a menos que dois indivíduos
qualificados aprovem e implementem tais alterações. Os dois indivíduos possuem as habilidades e conhecimentos
necessários para determinar se as alterações propostas são implementações corretas das alterações aprovadas.
Os indivíduos também são responsáveis pelas mudanças. A autorização dupla também pode ser conhecida
como controle de duas pessoas. Para reduzir o risco de conluio, as organizações consideram alternar as
funções de autorização dupla para outros indivíduos. As informações em nível de sistema incluem
procedimentos operacionais.
_________________________________________________________________________________________________
pe
E (5) RESTRIÇÕES DE ACESSO PARA MUDANÇA | LIMITAÇÃO DE PRIVILÉGIO PARA PRODUÇÃO E OPERAÇÃO
(a) Limitar privilégios para alterar componentes do sistema e informações relacionadas ao sistema dentro
um ambiente de produção ou operacional; e
CONFIGURAÇÕES DO CM-6
Ao controle:
a. Estabelecer e documentar definições de configuração para componentes empregados no sistema que reflitam o modo mais
restritivo consistente com os requisitos operacionais usando [Atribuição: configurações seguras comuns definidas
pela organização];
c. Identificar, documentar e aprovar quaisquer desvios das definições de configuração estabelecidas para [Atribuição:
componentes do sistema definidos pela organização] com base em [Atribuição: requisitos operacionais definidos pela
organização]; e
Discussão: As definições de configuração são os parâmetros que podem ser alterados nos componentes de hardware,
software ou firmware do sistema que afetam a postura ou funcionalidade de segurança e privacidade do sistema. Os produtos
de tecnologia da informação para os quais as definições de configuração podem ser definidas incluem computadores mainframe,
servidores, estações de trabalho, sistemas operacionais, dispositivos móveis, dispositivos de entrada/saída, protocolos
e aplicativos. Os parâmetros que impactam a postura de segurança dos sistemas incluem configurações de registro;
configurações de permissão de conta, arquivo ou diretório; e configurações para funções, protocolos, portas, serviços e
conexões remotas. Parâmetros de privacidade são parâmetros que impactam a postura de privacidade dos sistemas, incluindo
os parâmetros necessários para satisfazer outros controles de privacidade. Os parâmetros de privacidade incluem
configurações para controles de acesso, preferências de processamento de dados e permissões de processamento e
retenção. As organizações estabelecem definições de configuração para toda a organização e subsequentemente
derivam definições de configuração específicas para sistemas. As configurações estabelecidas tornam-se parte da linha de
base de configuração do sistema.
Configurações seguras comuns (também conhecidas como listas de verificação de configuração de segurança, guias de
bloqueio e proteção e guias de referência de segurança) fornecem benchmarks reconhecidos, padronizados e
estabelecidos que estipulam configurações seguras para tecnologia da informação
_________________________________________________________________________________________________
pe
E produtos e plataformas, bem como instruções para configurar esses produtos ou plataformas para atender aos requisitos
operacionais. Configurações seguras comuns podem ser desenvolvidas por diversas organizações, incluindo desenvolvedores
de produtos de tecnologia da informação, fabricantes, fornecedores, agências federais, consórcios, academia, indústria e
outras organizações públicas e privadas.
setores.
A implementação de uma configuração segura comum pode ser obrigatória no nível da organização,
nível de missão e processo de negócios, nível de sistema ou em nível superior, inclusive por uma agência reguladora. As
configurações seguras comuns incluem a Linha de Base de Configuração do Governo dos Estados Unidos [USGCB] e
os guias de implementação técnica de segurança (STIGs), que afetam a implementação do CM-6 e outros
controles, como AC-19 e CM-7. O Security Content Automation Protocol (SCAP) e os padrões definidos no protocolo
fornecem um método eficaz para identificar, rastrear e controlar exclusivamente as definições de configuração.
Controles relacionados: AC-3, AC-19, AU-2, AU-6, CA-9, CM-2, CM-3, CM-5, CM-7, CM-11, CP-7, CP-9 , CP-10, IA-3, IA-5,
PL-8, PL-9, RA-5, SA-4, SA-5, SA-8, SA-9, SC -18, SC-28, SC -43, SI-2, SI-4, SI-6.
Melhorias de controle:
Discussão: Ferramentas automatizadas (por exemplo, ferramentas de proteção, ferramentas de configuração de linha de base) podem
Discussão: As respostas a alterações não autorizadas nas definições de configuração incluem alertar o pessoal
organizacional designado, restaurar as definições de configuração estabelecidas ou, em casos extremos,
interromper o processamento do sistema afetado.
Referências: [SP 800-70], [SP 800-126], [SP 800-128], [USGCB], [NCPR], [DOD STIG].
a. Configure o sistema para fornecer apenas [Atribuição: missão essencial definida pela organização
capacidades]; e
b. Proibir ou restringir o uso das seguintes funções, portas, protocolos, software e/ou
serviços: [Atribuição: funções proibidas ou restritas definidas pela organização, portas do sistema, protocolos, software
e/ ou serviços].
_________________________________________________________________________________________________
pe
E Discussão: Os sistemas fornecem uma ampla variedade de funções e serviços. Algumas das funções e serviços fornecidos
rotineiramente por padrão podem não ser necessários para apoiar missões, funções ou operações organizacionais
essenciais. Além disso, às vezes é conveniente fornecer vários serviços a partir de um único componente do sistema,
mas isso aumenta o risco de limitar os serviços fornecidos por esse único componente. Sempre que possível, as
organizações limitam a funcionalidade dos componentes a uma única função por componente. As organizações consideram
a remoção de software não utilizado ou desnecessário e a desativação de portas e protocolos físicos e lógicos não
utilizados ou desnecessários para evitar conexões não autorizadas de componentes, transferência de informações e
tunelamento. As organizações empregam ferramentas de varredura de rede, sistemas de detecção e prevenção de
intrusões e tecnologias de proteção de endpoint, como firewalls e sistemas de detecção de intrusões baseados em
host, para identificar e impedir o uso de funções, protocolos, portas e serviços proibidos. O mínimo de funcionalidade também
pode ser alcançado como parte do projeto e desenvolvimento fundamentais do sistema (ver SA- 8, SC-2 e SC-3).
Controles relacionados: AC-3, AC-4, CM-2, CM-5, CM-6, CM-11, RA-5, SA-4, SA-5, SA-8, SA -9, SA-15 , SC- 2, SC-3, SC-7,
SC-37, SI-4.
Melhorias de controle:
(a) Revise o sistema [Atribuição: frequência definida pela organização] para identificar
funções, portas, protocolos, software e serviços desnecessários e/ou não seguros; e
(b) Desabilitar ou remover [Atribuição: funções, portas, protocolos, software e serviços definidos pela
organização dentro do sistema considerados desnecessários e/ ou não seguros].
Discussão: As organizações analisam funções, portas, protocolos e serviços fornecidos por sistemas ou
componentes de sistema para determinar as funções e serviços que são candidatos à eliminação. Tais revisões são
especialmente importantes durante os períodos de transição de tecnologias mais antigas para tecnologias mais
novas (por exemplo, transição de IPv4 para IPv6). Estas transições tecnológicas podem exigir a implementação
simultânea de tecnologias mais antigas e mais recentes
durante o período de transição e retornando às funções, portos, protocolos e serviços essenciais mínimos na primeira
oportunidade. As organizações podem decidir a segurança relativa da função, porta, protocolo e/ou serviço ou basear
a decisão de segurança na avaliação de outras entidades. Protocolos inseguros incluem Bluetooth, FTP
e redes ponto a ponto.
Impedir a execução do programa de acordo com [Seleção (uma ou mais): [Atribuição: políticas definidas
pela organização, regras de comportamento e/ ou acordos de acesso relativos ao uso e restrições do
programa de software]; regras que autorizam os termos e condições de uso do programa de software].
Garantir a conformidade com [Atribuição: requisitos de registro definidos pela organização para funções,
portas, protocolos e serviços].
_________________________________________________________________________________________________
pe
E Discussão: As organizações usam o processo de registro para gerenciar, rastrear e fornecer supervisão
para sistemas e funções, portas, protocolos e serviços implementados.
Controles relacionados: Nenhum.
(a) Identificar [Atribuição: programas de software definidos pela organização não autorizados a
serem executados no sistema];
(b) Empregar uma política de permissão total e negação por exceção para proibir a execução de
programas de software não autorizados no sistema; e
(c) Revisar e atualizar a lista de programas de software não autorizados [Atribuição: frequência
definida pela organização].
Discussão: Os programas de software não autorizados podem ser limitados a versões específicas ou de uma
fonte específica. O conceito de proibição da execução de software não autorizado também pode ser aplicado a
ações do usuário, portas e protocolos do sistema, endereços/intervalos IP, sites e endereços MAC.
(a) Identificar [Atribuição: programas de software definidos pela organização autorizados a executar
no sistema];
(b) Empregar uma política de negação total e permissão por exceção para permitir a execução de
programas de software autorizados no sistema; e
Discussão: Os programas de software autorizados podem ser limitados a versões específicas ou de uma
fonte específica. Para facilitar um processo abrangente de software autorizado e aumentar a força da proteção
contra ataques que contornam o software autorizado no nível do aplicativo, os programas de software podem ser
decompostos e monitorados em diferentes níveis de detalhe. Esses níveis incluem aplicativos, interfaces de
programação de aplicativos, módulos de aplicativos, scripts, processos do sistema, serviços do sistema,
funções do kernel, registros, drivers e bibliotecas de links dinâmicos. O conceito de permitir a execução de
software autorizado também pode ser
aplicado a ações do usuário, portas e protocolos do sistema, endereços/intervalos IP, sites e MAC
endereços. As organizações consideram verificar a integridade dos programas de software autorizados usando
assinaturas digitais, somas de verificação criptográficas ou funções hash. A verificação do software
autorizado pode ocorrer antes da execução ou na inicialização do sistema. A identificação de URLs
autorizados para sites é abordada em CA-3(5) e SC-7.
Controles relacionados: CM-2, CM-6, CM-8, CM-10, PL-9, PM-5, SA-10, SC-34, SI-7.
Exija que o seguinte software instalado pelo usuário seja executado em um ambiente confinado de
máquina física ou virtual com privilégios limitados: [Atribuição: software instalado pelo usuário
definido pela organização].
Discussão: As organizações identificam software que pode ser motivo de preocupação quanto à sua origem
ou potencial para conter código malicioso. Para este tipo de software, as instalações dos usuários ocorrem em
ambientes confinados de operação para limitar ou conter danos causados por códigos maliciosos que possam
ser executados.
_________________________________________________________________________________________________
pe
E Permitir a execução de código binário ou executável por máquina somente em ambientes confinados de
máquinas físicas ou virtuais e com a aprovação explícita de [Atribuição: pessoal ou funções definidas
pela organização] quando tal código for:
Discussão: A execução de código em ambientes protegidos aplica-se a todas as fontes de código binário ou
executável por máquina, incluindo software e firmware comercial e software de código aberto.
(a) Proibir o uso de código binário ou executável por máquina de fontes com garantia limitada ou nenhuma
garantia ou sem o fornecimento de código-fonte; e
(b) Permitir exceções apenas para requisitos de missão ou operacionais obrigatórios e com a aprovação
do funcionário responsável pela autorização.
Discussão: Código binário ou executável por máquina se aplica a todas as fontes de código binário ou executável
por máquina, incluindo software e firmware comercial e software de código aberto.
As organizações avaliam produtos de software sem acompanhamento de código-fonte ou de fontes com garantia
limitada ou nenhuma garantia quanto a possíveis impactos de segurança. As avaliações abordam o facto de que os
produtos de software sem o fornecimento de código fonte podem ser difíceis de rever, reparar ou ampliar. Além
disso, pode não haver proprietários para fazer tais reparos em nome das organizações. Se for usado software de
código aberto, as avaliações abordam o fato de que não há garantia, o software de código aberto pode conter
backdoors ou malware e pode não haver suporte disponível.
(a) Identificar [Atribuição: componentes de hardware definidos pela organização autorizados para
uso do sistema];
Discussão: Os componentes de hardware fornecem a base para sistemas organizacionais e a plataforma para a
execução de programas de software autorizados. Gerenciar o inventário de componentes de hardware e controlar
quais componentes de hardware podem ser instalados ou conectados aos sistemas organizacionais é essencial
para fornecer segurança adequada.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-167].
Ao controle:
_________________________________________________________________________________________________
pe
E 4. Está no nível de granularidade considerado necessário para rastreamento e relatórios; e
Discussão: Os componentes do sistema são ativos de tecnologia da informação discretos e identificáveis que incluem
hardware, software e firmware. As organizações podem optar por implementar inventários centralizados de componentes
do sistema que incluam componentes de todos os sistemas organizacionais. Nessas situações, as organizações garantem
que os inventários incluam informações específicas do sistema necessárias para a responsabilização dos componentes.
As informações necessárias para a responsabilidade efetiva dos componentes do sistema incluem o nome do sistema,
proprietários do software, números de versão do software, especificações de inventário de hardware, informações de
licença de software e, para componentes em rede, os nomes das máquinas e endereços de rede em todos os
protocolos implementados (por exemplo, IPv4, IPv6 ).
As especificações de estoque incluem data de recebimento, custo, modelo, número de série, fabricante,
informações do fornecedor, tipo de componente e localização física.
A prevenção da contabilização duplicada de componentes do sistema resolve a falta de responsabilização que ocorre
quando a propriedade dos componentes e a associação do sistema não são conhecidas, especialmente em sistemas
conectados grandes ou complexos. A prevenção eficaz da contabilização duplicada de componentes do sistema exige o
uso de um identificador exclusivo para cada componente. Para o inventário de software, o software gerenciado
centralmente que é acessado por meio de outros sistemas é tratado como um componente do sistema no qual é instalado
e gerenciado. O software instalado em vários sistemas organizacionais e gerenciado no nível do sistema é endereçado
para cada sistema individual e pode aparecer mais de uma vez em um inventário centralizado de componentes,
necessitando de uma associação de sistema para cada instância de software no inventário centralizado para evitar
contabilidade duplicada de componentes. A varredura de sistemas que implementam vários protocolos de rede (por
exemplo, IPv4 e IPv6) pode resultar na identificação de componentes duplicados em diferentes espaços de endereço.
A implementação do CM-8(7) pode ajudar a eliminar a contabilização duplicada de componentes.
Controles relacionados: CM-2, CM-7, CM-9, CM-10, CM-11, CM-13, CP-2, CP-9, MA-2, MA-6, PE-20, PL - 9 , PM-5,
SA-4, SA-5, SI-2, SR-4.
Melhorias de controle:
Discussão: As organizações mantêm inventários de sistemas na medida do possível. Por exemplo, as máquinas
virtuais podem ser difíceis de monitorar porque não ficam visíveis para a rede quando não estão em uso. Nesses
casos, as organizações mantêm informações atualizadas, completas e
_________________________________________________________________________________________________
pe
E um inventário preciso conforme considerado razoável. A manutenção automatizada pode ser alcançada através da
implementação do CM-2(2) para organizações que combinam inventário de componentes do sistema e atividades de
configuração de linha de base.
Controles relacionados: Nenhum.
(a) Detectar a presença de componentes não autorizados de hardware, software e firmware no sistema usando
[Tarefa: mecanismos automatizados definidos pela organização]
[Atribuição: frequência definida pela organização]; e
(b) Tomar as seguintes ações quando componentes não autorizados forem detectados: [Seleção (um ou
mais): desabilitar o acesso à rede por tais componentes; isolar os componentes; notificar [Atribuição:
pessoal ou funções definidas pela organização]].
Controles Relacionados: AC-19, CA-7, RA-5, SC-3, SC-39, SC-44, SI-3, SI-4, SI-7.
Discussão: A identificação dos indivíduos que são responsáveis pela administração dos componentes do sistema
garante que os componentes atribuídos sejam administrados adequadamente e que as organizações possam entrar
em contato com esses indivíduos se alguma ação for necessária (por exemplo, quando o componente for determinado
como a fonte de uma violação, precisar a ser recolhido ou substituído, ou precisa ser realocado).
_________________________________________________________________________________________________
pe
E Discussão: As organizações podem implementar inventários centralizados de componentes de sistemas que incluam
componentes de todos os sistemas organizacionais. Repositórios centralizados de inventários de componentes oferecem
oportunidades de eficiência na contabilização de ativos organizacionais de hardware, software e firmware. Esses repositórios
também podem ajudar as organizações a identificar rapidamente a localização e os indivíduos responsáveis pelos componentes
que foram comprometidos, violados ou que necessitam de ações de mitigação. As organizações garantem que os
inventários centralizados resultantes incluam informações específicas do sistema necessárias para a responsabilização
adequada dos componentes.
Apoie o rastreamento de componentes do sistema por localização geográfica usando [Atribuição: mecanismos
automatizados definidos pela organização].
Discussão: O uso de mecanismos automatizados para rastrear a localização dos componentes do sistema pode aumentar a
precisão dos inventários de componentes. Essa capacidade pode ajudar as organizações a identificar rapidamente a
localização e os indivíduos responsáveis pelos componentes do sistema que foram comprometidos, violados ou que
necessitam de ações de mitigação. A utilização de mecanismos de rastreamento pode ser coordenada com altos
funcionários da agência para a privacidade, se houver implicações que afetem a privacidade individual.
(b) Receber um reconhecimento de [Atribuição: pessoal ou funções definidas pela organização] desta atribuição.
Discussão: Os componentes do sistema que não são atribuídos a um sistema podem não ser gerenciados, não ter a proteção
necessária e tornar-se uma vulnerabilidade organizacional.
Referências: [OMB A-130], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-128], [IR 8011-2], [IR 8011-3].
Controle: Desenvolva, documente e implemente um plano de gerenciamento de configuração para o sistema que:
Discussão: As atividades de gerenciamento de configuração ocorrem durante toda a vida de desenvolvimento do sistema
ciclo. Como tal, existem atividades de gerenciamento de configuração de desenvolvimento (por exemplo, o controle de bibliotecas de
código e software) e atividades de gerenciamento de configuração operacional (por exemplo, controle de componentes instalados
e como os componentes são configurados). Os planos de gerenciamento de configuração satisfazem os requisitos das políticas
de gerenciamento de configuração e são adaptados para
_________________________________________________________________________________________________
pe
E sistemas individuais. Os planos de gerenciamento de configuração definem processos e procedimentos sobre como o
gerenciamento de configuração é usado para apoiar as atividades do ciclo de vida de desenvolvimento do sistema.
Os planos de gerenciamento de configuração são gerados durante o estágio de desenvolvimento e aquisição do ciclo de vida de
desenvolvimento do sistema. Os planos descrevem como avançar nas mudanças através de processos de gestão de mudanças;
atualizar definições de configuração e linhas de base; manter estoques de componentes; controlar ambientes de
desenvolvimento, teste e operacionais; e desenvolver, liberar e atualizar documentos importantes.
As organizações podem empregar modelos para ajudar a garantir o desenvolvimento e implementação consistente e oportuno de
planos de gerenciamento de configuração. Os modelos podem representar um plano de gerenciamento de configuração para a
organização com subconjuntos do plano implementados sistema por sistema. Os processos de aprovação do gerenciamento
de configuração incluem a designação das principais partes interessadas responsáveis pela revisão e aprovação de alterações
propostas nos sistemas e pessoal que conduz análises de impacto na segurança e na privacidade antes da implementação
de alterações nos sistemas. Os itens de configuração são os componentes do sistema, como hardware, software, firmware e
documentação a serem gerenciados pela configuração. À medida que os sistemas continuam através do ciclo de vida de
desenvolvimento do sistema, novos itens de configuração podem ser identificados e alguns itens de configuração existentes
podem não precisar mais estar sob controle de configuração.
Controles relacionados: CM-2, CM-3, CM-4, CM-5, CM-8, PL-2, RA-8, SA-10, SI-12.
Melhorias de controle:
Discussão: Na ausência de equipes dedicadas de gerenciamento de configuração designadas dentro das organizações, os
desenvolvedores de sistemas podem ser encarregados de desenvolver processos de gerenciamento de configuração usando
pessoal que não esteja diretamente envolvido no desenvolvimento ou integração de sistemas. Esta separação de funções
garante que as organizações estabeleçam e mantenham um grau suficiente de independência entre os processos de
desenvolvimento e integração de sistemas e os processos de gestão de configuração para facilitar o controlo de
qualidade e uma supervisão mais eficaz.
Ao controle:
b. Rastrear o uso de software e documentação associada protegidos por licenças de quantidade para controlar cópia e distribuição;
e
c. Controlar e documentar o uso da tecnologia de compartilhamento de arquivos ponto a ponto para garantir que esse recurso
não seja usado para distribuição, exibição, desempenho ou reprodução não autorizada de trabalho protegido
por direitos autorais.
Discussão: O rastreamento de licenças de software pode ser realizado por métodos manuais ou automatizados,
dependendo das necessidades organizacionais. Exemplos de acordos contratuais incluem acordos de licença de software e
acordos de não divulgação.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
Estabeleça as seguintes restrições ao uso de software de código aberto: [Tarefa: restrições definidas pela
organização].
Discussão: Software de código aberto refere-se a software que está disponível na forma de código-fonte.
Certos direitos de software normalmente reservados aos detentores de direitos autorais são normalmente fornecidos sob
contratos de licença de software que permitem que indivíduos estudem, alterem e melhorem o software. Do ponto
de vista da segurança, a principal vantagem do software de código aberto é que ele fornece às organizações a
capacidade de examinar o código-fonte. Em alguns casos, existe uma comunidade online associada ao software que
inspeciona, testa, atualiza e relata problemas encontrados no software continuamente. No entanto, corrigir vulnerabilidades
em software de código aberto pode ser problemático. Também poderá haver problemas de licenciamento associados
ao software de código aberto, incluindo as restrições ao uso derivado de tal software.
O software de código aberto disponível apenas em formato binário pode aumentar o nível de risco no uso desse
software.
Controles Relacionados: SI-7.
Referências: Nenhuma.
Ao controle:
a. Estabelecer [Atribuição: políticas definidas pela organização] que regem a instalação de software
pelos usuários;
b. Aplicar políticas de instalação de software através dos seguintes métodos: [Atribuição: métodos definidos pela
organização]; e
Discussão: Se forem fornecidos os privilégios necessários, os usuários podem instalar software em sistemas
organizacionais. Para manter o controle sobre o software instalado, as organizações identificam ações permitidas e proibidas
em relação à instalação do software. As instalações de software permitidas incluem
atualizações e patches de segurança para software existente e download de novos aplicativos de “lojas de aplicativos”
aprovadas pela organização. As instalações de software proibidas incluem software com pedigree desconhecido ou
suspeito ou software que as organizações consideram potencialmente malicioso.
As políticas selecionadas para reger o software instalado pelo usuário são desenvolvidas pela organização ou fornecidas por
alguma entidade externa. Os métodos de aplicação de políticas podem incluir métodos processuais e métodos
automatizados.
Controles relacionados: AC-3, AU-6, CM-2, CM-3, CM-5, CM-6, CM-7, CM-8, PL-4, SI-4, SI-7.
Melhorias de controle:
(1) SOFTWARE INSTALADO PELO USUÁRIO | ALERTAS PARA INSTALAÇÕES NÃO AUTORIZADAS
(2) SOFTWARE INSTALADO PELO USUÁRIO | INSTALAÇÃO DE SOFTWARE COM STATUS PRIVILEGIADO
Permitir a instalação de software pelo usuário apenas com status privilegiado explícito.
Discussão: O status privilegiado pode ser obtido, por exemplo, atuando na função de administrador do sistema.
_________________________________________________________________________________________________
pe
E Aplicar e monitorar a conformidade com políticas de instalação de software usando [Atribuição: mecanismos
automatizados definidos pela organização].
Referências: Nenhuma.
Ao controle:
a. Identificar e documentar a localização de [Atribuição: informações definidas pela organização] e os componentes específicos
do sistema nos quais as informações são processadas e armazenadas;
b. Identifique e documente os usuários que têm acesso ao sistema e aos componentes do sistema
onde as informações são processadas e armazenadas; e
c. Documente as alterações no local (isto é, sistema ou componentes do sistema) onde as informações são
processadas e armazenadas.
Discussão: A localização da informação aborda a necessidade de compreender onde a informação está a ser processada e
armazenada. A localização de informações inclui a identificação de onde tipos específicos de informações e informações residem
nos componentes do sistema e como as informações estão sendo processadas para que o fluxo de informações possa ser
compreendido e a proteção adequada e o gerenciamento de políticas sejam fornecidos para essas informações e componentes do
sistema. A categoria de segurança das informações também é um fator na determinação dos controles necessários para proteger
as informações e o componente do sistema onde as informações residem (ver FIPS 199). A localização das informações
e dos componentes do sistema também é um fator na arquitetura e no design do sistema (ver SA-4, SA-8, SA-17).
Controles relacionados: AC-2, AC-3, AC-4, AC-6, AC-23, CM-8, PM-5, RA-2, SA-4, SA-8, SA-17, SC-4 , SC-16, SC-28, SI-4, SI-7.
Melhorias de controle:
Use ferramentas automatizadas para identificar [Atribuição: informações definidas pela organização por tipo
de informação] em [Atribuição: componentes do sistema definidos pela organização] para garantir que os
controles estejam em vigor para proteger as informações organizacionais e a privacidade individual.
Discussão: A utilização de ferramentas automatizadas ajuda a aumentar a eficácia e eficiência da capacidade de localização
da informação implementada no sistema. A automação também ajuda as organizações a gerenciar os dados produzidos
durante as atividades de localização de informações e a compartilhar essas informações em toda a organização. O
resultado das ferramentas automatizadas de localização de informações pode ser usado para orientar e informar a
arquitetura do sistema e as decisões de design.
Discussão: As ações de dados são operações do sistema que processam informações de identificação pessoal.
O processamento dessas informações abrange todo o ciclo de vida da informação, que inclui coleta, geração, transformação, uso,
divulgação, retenção e descarte. Um mapa do sistema
_________________________________________________________________________________________________
pe
E as ações de dados incluem ações de dados discretas, elementos de informações pessoalmente identificáveis sendo
processados nas ações de dados, componentes do sistema envolvidos nas ações de dados e os proprietários ou
operadores dos componentes do sistema. Compreender quais informações pessoalmente identificáveis estão sendo
processadas (por exemplo, a sensibilidade das informações pessoalmente identificáveis), como as informações
pessoalmente identificáveis estão sendo processadas (por exemplo, se a ação dos dados é visível para o indivíduo
ou é processada em outra parte do sistema), e por quem (por exemplo, os indivíduos podem ter diferentes
percepções de privacidade com base na entidade que está processando as informações de identificação pessoal)
fornece uma série de fatores contextuais que são importantes para avaliar o grau de risco de privacidade criado
pelo sistema. Os mapas de dados podem ser ilustrados de diferentes maneiras e o nível de detalhe pode variar de
acordo com a missão e as necessidades de negócios da organização. O mapa de dados pode ser uma sobreposição
de qualquer artefato de design de sistema que a organização esteja usando. O desenvolvimento deste mapa pode
exigir coordenação entre os programas de privacidade e segurança no que diz respeito às ações de dados
abrangidas e aos componentes que são identificados como parte do sistema.
Controles relacionados: AC-3, CM-4, CM-12, PM-5, PM-27, PT-2, PT-3, RA-3, RA-8.
Controle: Impedir a instalação de [Atribuição: componentes de software e firmware definidos pela organização]
sem verificação de que o componente foi assinado digitalmente usando um certificado reconhecido e aprovado pela
organização.
Discussão: Os componentes de software e firmware cuja instalação é impedida, a menos que sejam assinados
com certificados reconhecidos e aprovados, incluem atualizações de versão de software e firmware, patches,
service packs, drivers de dispositivos e atualizações básicas do sistema de entrada/saída. As organizações podem
identificar componentes de software e firmware aplicáveis por tipo, por itens específicos ou por uma combinação
de ambos. Assinaturas digitais e verificação organizacional de tais assinaturas são um método de autenticação
de código.
_________________________________________________________________________________________________
pe
E 3.6 PLANEJAMENTO DE CONTINGÊNCIA
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de
planejamento de contingência ] em nível de sistema que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Referências: [SP 800-12], [SP 800-30], [SP 800-34], [SP 800-39], [SP 800-50], [SP 800-100].
_________________________________________________________________________________________________
pe
E PLANO DE CONTINGÊNCIA CP-2
Ao controle:
4. Aborda a manutenção da missão essencial e das funções de negócios, apesar de uma interrupção,
comprometimento ou falha do sistema;
b. Distribuir cópias do plano de contingência para [Atribuição: chave definida pela organização
pessoal de contingência (identificado por nome e/ ou função) e elementos organizacionais];
f. Comunicar alterações no plano de contingência para [Atribuição: chave definida pela organização
pessoal de contingência (identificado por nome e/ ou função) e elementos organizacionais];
g. Incorporar lições aprendidas com testes de planos de contingência, treinamento ou ações de contingência reais
atividades em testes de contingência e treinamento; e
Discussão: O planeamento de contingência para sistemas faz parte de um programa global para alcançar a
continuidade das operações para a missão organizacional e funções empresariais. O planejamento de contingência aborda
a restauração do sistema e a implementação de missões ou processos de negócios alternativos quando os sistemas são
comprometidos ou violados. O planejamento de contingência é considerado durante todo o ciclo de vida de desenvolvimento
do sistema e é uma parte fundamental do projeto do sistema. Os sistemas podem ser projetados para redundância, para
fornecer recursos de backup e para resiliência. Os planos de contingência reflectem o grau de restauração necessário
para os sistemas organizacionais, uma vez que nem todos os sistemas necessitam de recuperar totalmente para atingir
o nível de continuidade das operações desejado. Os objetivos de recuperação do sistema refletem as leis
aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes, tolerância ao risco organizacional e
nível de impacto do sistema.
As ações abordadas nos planos de contingência incluem degradação ordenada do sistema, desligamento do sistema,
retorno ao modo manual, fluxos alternativos de informações e operação em modos reservados para quando os
sistemas estão sob ataque. Ao coordenar o planeamento de contingência com as atividades de tratamento de
incidentes, as organizações garantem que as atividades de planeamento necessárias estão implementadas e ativadas em
caso de incidente. As organizações consideram se a continuidade das operações durante um incidente entra em
conflito com a capacidade de desabilitar automaticamente o sistema, conforme especificado em IR-4(5).
O planejamento de resposta a incidentes faz parte do planejamento de contingência para organizações e é abordado na
família IR (Resposta a Incidentes).
_________________________________________________________________________________________________
pe
E Controles relacionados: CP-3, CP-4, CP-6, CP - 7, CP-8, CP-9, CP-10, CP-11, CP-13, IR-4, IR-6, IR-8 , IR-9, MA-6, MP-2, MP-4,
MP-5, PL-2, PM-8, PM-11, SA-15, SA-20, SC-7, SC-23, SI -12.
Melhorias de controle:
Discussão: Os planos relacionados aos planos de contingência incluem Planos de Continuidade de Negócios, Planos de
Recuperação de Desastres, Planos de Infraestrutura Crítica, Planos de Continuidade de Operações, Planos de Crise
Planos de comunicação, planos de implementação de ameaças internas, planos de resposta a violações de dados, planos
de resposta a incidentes cibernéticos, planos de resposta a violações e planos de emergência para ocupantes.
Conduzir o planejamento da capacidade para que exista a capacidade necessária para processamento de
informações, telecomunicações e suporte ambiental durante as operações de contingência.
Discussão: O planeamento da capacidade é necessário porque diferentes ameaças podem resultar numa redução dos
serviços de processamento, telecomunicações e suporte disponíveis destinados a apoiar
missão essencial e funções empresariais. As organizações antecipam operações degradadas durante operações de
contingência e consideram a degradação no planeamento da capacidade. Para o planeamento da capacidade, o
apoio ambiental refere-se a qualquer factor ambiental para o qual a organização determina que necessita de fornecer apoio
numa situação de contingência, mesmo que em estado degradado. Tais determinações são baseadas em uma avaliação
organizacional de risco, categorização do sistema (nível de impacto) e tolerância ao risco organizacional.
Plano para a retomada de [Seleção: todos; essencial] missão e funções de negócios dentro de [Atribuição: período
de tempo definido pela organização] da ativação do plano de contingência.
Discussão: As organizações podem optar por realizar atividades de planejamento de contingência para retomar funções de
missão e negócios como parte do planejamento de continuidade de negócios ou como parte de análises de impacto nos
negócios. As organizações priorizam a retomada da missão e das funções de negócio.
O período de tempo para a retoma da missão e das funções empresariais pode depender da gravidade e da extensão
das perturbações no sistema e na sua infra-estrutura de apoio.
Planeje a continuação de [Seleção: todos; essencial] missão e funções de negócios com perda mínima ou nenhuma
perda de continuidade operacional e sustenta essa continuidade até a restauração completa do sistema em locais
primários de processamento e/ou armazenamento.
Discussão: As organizações podem optar por conduzir as atividades de planejamento de contingência para continuar a
missão e as funções de negócios como parte do planejamento de continuidade de negócios ou de análises de impacto nos
negócios. Os locais primários de processamento e/ou armazenamento definidos pelas organizações como parte do
planejamento de contingência podem mudar dependendo das circunstâncias associadas à contingência.
_________________________________________________________________________________________________
pe
E Plano para a transferência de [Seleção: todos; essencial] missão e funções de negócios para alternar locais de
processamento e/ou armazenamento com perda mínima ou nenhuma perda de continuidade operacional e sustentar essa
continuidade por meio da restauração do sistema para locais primários de processamento e/ou armazenamento.
Discussão: As organizações podem optar por realizar atividades de planejamento de contingência para locais alternativos de
processamento e armazenamento como parte do planejamento de continuidade de negócios ou de análises de impacto nos negócios.
Os locais primários de processamento e/ou armazenamento definidos pelas organizações como parte do planejamento de contingência
Coordenar o plano de contingência com os planos de contingência dos prestadores de serviços externos para garantir que os
Discussão: Quando a capacidade de uma organização para cumprir a sua missão e funções empresariais depende de prestadores
de serviços externos, o desenvolvimento de um plano de contingência abrangente e oportuno pode tornar-se mais desafiador.
Quando as funções de missão e de negócio dependem de prestadores de serviços externos, as organizações coordenam as
atividades de planeamento de contingência com as entidades externas para garantir que os planos individuais refletem as necessidades
Identifique os ativos críticos do sistema que suportam [Seleção: todos; essencial] missão e funções de negócios.
Discussão: As organizações podem optar por identificar ativos críticos como parte da análise de criticidade, do planejamento de
continuidade de negócios ou de análises de impacto nos negócios. As organizações identificam ativos críticos do sistema para que
controles adicionais possam ser empregados (além dos controles implementados rotineiramente) para ajudar a garantir que a missão
continuam a ser realizadas durante operações de contingência. A identificação de ativos de informação críticos também facilita
a priorização de recursos organizacionais. Os ativos críticos do sistema incluem aspectos técnicos e operacionais. Os aspectos
técnicos incluem componentes do sistema, serviços de tecnologia da informação, produtos e mecanismos de tecnologia da informação.
Os aspectos operacionais incluem procedimentos (ou seja, operações executadas manualmente) e pessoal (ou seja, indivíduos
que operam controles técnicos e/ou executam procedimentos manuais). Os planos de proteção do programa organizacional podem
Se os ativos críticos residirem ou forem apoiados por prestadores de serviços externos, as organizações consideram a implementação do
Ao controle:
a. Forneça treinamento de contingência aos usuários do sistema consistente com as funções e responsabilidades atribuídas:
1. Dentro de [Atribuição: período de tempo definido pela organização] após assumir uma função de contingência
ou responsabilidade;
_________________________________________________________________________________________________
pe
E 3. [Atribuição: frequência definida pela organização] posteriormente; e
b. Revisar e atualizar o conteúdo do treinamento de contingência [Tarefa: frequência definida pela organização] e seguir
[Tarefa: eventos definidos pela organização].
Discussão: A formação de contingência fornecida pelas organizações está ligada às funções e responsabilidades atribuídas ao
pessoal organizacional para garantir que o conteúdo e o nível de detalhe apropriados sejam incluídos nessa formação. Por
exemplo, alguns indivíduos podem apenas necessitar de saber quando e onde se apresentar para serviço durante operações de
contingência e se os deveres normais são afectados; os administradores de sistemas podem necessitar de treinamento adicional
sobre como estabelecer sistemas em locais alternativos de processamento e armazenamento; e os funcionários organizacionais
podem receber formação mais específica sobre como realizar funções essenciais à missão em locais designados fora do local e
como estabelecer comunicações com outras entidades governamentais para fins de coordenação em actividades relacionadas com
contingências. A formação para funções ou responsabilidades de contingência reflecte os requisitos específicos de continuidade
do plano de contingência. Os eventos que podem precipitar uma atualização do conteúdo do treinamento de contingência incluem,
mas não estão limitados a, testes de planos de contingência ou uma contingência real (lições aprendidas), resultados de
avaliação ou auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes. A critério da organização, a participação em um teste ou exercício de plano de contingência,
incluindo sessões de lições aprendidas subsequentes ao teste ou exercício, pode satisfazer os requisitos de treinamento
do plano de contingência.
Controles relacionados: AT-2, AT-3, AT-4, CP-2, CP-4, CP-8, IR-2, IR-4, IR-9.
Melhorias de controle:
Incorporar eventos simulados no treinamento de contingência para facilitar uma resposta eficaz do pessoal em
situações de crise.
Discussão: O uso de eventos simulados cria um ambiente para que o pessoal experimente eventos de ameaças reais, incluindo
ataques cibernéticos que desativam sites, ataques de ransomware que criptografam dados organizacionais em servidores,
furacões que danificam ou destroem instalações organizacionais ou falhas de hardware ou software.
Discussão: Mecanismos operacionais referem-se a processos que foram estabelecidos para atingir uma meta
organizacional ou um sistema que apoia uma missão organizacional ou objetivo comercial específico. Os processos,
sistemas e/ou instalações reais da missão e do negócio podem ser usados para gerar eventos simulados e aumentar
o realismo dos eventos simulados durante o treinamento de contingência.
Ao controle:
a. Teste o plano de contingência para o sistema [Atribuição: frequência definida pela organização] usando os seguintes testes para
determinar a eficácia do plano e a prontidão para executar o plano: [Atribuição: testes definidos pela organização].
_________________________________________________________________________________________________
pe
E c. Iniciar ações corretivas, se necessário.
Discussão: Os métodos para testar planos de contingência para determinar a eficácia dos planos e identificar potenciais pontos
fracos incluem listas de verificação, exercícios de acompanhamento e de mesa, simulações (interrupção paralela ou total) e
exercícios abrangentes. As organizações realizam testes com base nos requisitos dos planos de contingência e incluem uma
determinação dos efeitos nas operações organizacionais, nos ativos e nos indivíduos devido às operações de contingência.
As organizações têm flexibilidade e discrição na amplitude, profundidade e cronogramas das ações corretivas.
Controles relacionados: AT-3, CP-2, CP-3, CP-8, CP-9, IR-3, IR-4, PL-2, PM-14, SR-2.
Melhorias de controle:
Coordenar os testes do plano de contingência com os elementos organizacionais responsáveis pelos planos
relacionados.
(b) Avaliar as capacidades do local de processamento alternativo para apoiar operações de contingência
operações.
Discussão: As condições no local de processamento alternativo podem ser significativamente diferentes das condições no
local primário. Ter a oportunidade de visitar o site alternativo e experimentar os recursos reais disponíveis no site pode
fornecer informações valiosas sobre vulnerabilidades potenciais que podem afetar a missão organizacional essencial e as
funções comerciais. A visita ao local também pode proporcionar uma oportunidade para refinar o plano de contingência
para resolver as vulnerabilidades descobertas durante os testes.
Discussão: Mecanismos automatizados facilitam testes completos e eficazes de planos de contingência, fornecendo uma
cobertura mais completa de questões de contingência, selecionando cenários e ambientes de teste mais realistas e
sobrecarregando efetivamente o sistema e as funções de missão e de negócios apoiadas.
Incluir uma recuperação completa e reconstituição do sistema para um estado conhecido como parte dos
testes do plano de contingência.
Discussão: A recuperação consiste na execução de atividades de planos de contingência para restaurar a missão
organizacional e as funções empresariais. A reconstituição ocorre após a recuperação e inclui
_________________________________________________________________________________________________
pe
E atividades para retornar os sistemas a estados totalmente operacionais. As organizações estabelecem um estado conhecido para
sistemas que inclui informações de estado do sistema para hardware, programas de software e dados. A preservação das
informações do estado do sistema facilita a reinicialização do sistema e o retorno ao modo operacional das organizações com
menos interrupções na missão e nos processos de negócios.
Empregar [Atribuição: mecanismos definidos pela organização] para [Atribuição: sistema ou componente de sistema
definido pela organização] para interromper e afetar adversamente o sistema ou componente do sistema.
Discussão: Muitas vezes, o melhor método para avaliar a resiliência do sistema é perturbar o sistema de alguma forma. Os
mecanismos usados pela organização podem interromper funções ou serviços do sistema de várias maneiras, incluindo encerrar
ou desabilitar componentes críticos do sistema, alterar a configuração dos componentes do sistema, degradar funcionalidades críticas
(por exemplo, restringir a largura de banda da rede) ou alterar privilégios. Ataques cibernéticos e interrupções de serviços
automatizados, contínuos e simulados podem revelar dependências funcionais inesperadas e ajudar a organização a determinar
sua capacidade de garantir resiliência diante de um ataque cibernético real.
Ao controle:
a. Estabelecer um local de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento
e recuperação de informações de backup do sistema; e
b. Certifique-se de que o local de armazenamento alternativo forneça controles equivalentes aos do local de armazenamento primário
site.
Discussão: Os locais de armazenamento alternativo são geograficamente distintos dos locais de armazenamento primário e mantêm
cópias duplicadas de informações e dados se o local de armazenamento primário não estiver disponível.
Da mesma forma, locais de processamento alternativos fornecem capacidade de processamento se o local de processamento primário
não estiver disponível. Arquiteturas distribuídas geograficamente que suportam requisitos de contingência podem ser consideradas
locais de armazenamento alternativos. Os itens cobertos pelos acordos de locais de armazenamento alternativos incluem condições
ambientais nos locais alternativos, regras de acesso para sistemas e instalações, requisitos de proteção física e ambiental e
coordenação de entrega e recuperação de mídia de backup. Locais de armazenamento alternativos refletem os requisitos dos planos de
contingência para que as organizações possam manter a missão essencial e as funções de negócios, apesar de comprometimentos,
falhas,
ou interrupção nos sistemas organizacionais.
Controles Relacionados: CP-2, CP-7, CP-8, CP-9, CP-10, MP-4, MP-5, PE-3, SC-36, SI-13.
Melhorias de controle:
Identifique um local de armazenamento alternativo que esteja suficientemente separado do local de armazenamento
primário para reduzir a suscetibilidade às mesmas ameaças.
Discussão: As ameaças que afetam locais de armazenamento alternativos são definidas em avaliações de riscos
organizacionais e incluem desastres naturais, falhas estruturais, ataques hostis e erros de
_________________________________________________________________________________________________
pe
E omissão ou comissão. As organizações determinam o que é considerado um grau suficiente de separação entre locais de
armazenamento primário e alternativo com base nos tipos de ameaças que são motivo de preocupação. Para ameaças
como ataques hostis, o grau de separação entre sites é menos relevante.
Configure o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com o tempo
de recuperação e os objetivos do ponto de recuperação.
Discussão: As organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de
contingência. A configuração do local de armazenamento alternativo inclui instalações físicas e sistemas que suportam
operações de recuperação que garantem acessibilidade e execução correta.
Discussão: As perturbações em toda a área referem-se aos tipos de perturbações que são de âmbito geográfico
amplo, com tais determinações feitas pelas organizações com base em avaliações organizacionais de risco. As ações de
mitigação explícitas incluem a duplicação de informações de backup em outros locais de armazenamento alternativos se
ocorrerem problemas de acesso em locais alternativos originalmente designados ou o planejamento de acesso físico para
recuperar informações de backup se a acessibilidade eletrônica ao local alternativo for interrompida.
Ao controle:
a. Estabelecer um local de processamento alternativo, incluindo os acordos necessários para permitir a transferência e a retomada
de [Atribuição: operações do sistema definidas pela organização] para missão essencial e funções de negócios dentro
de [Atribuição: período de tempo definido pela organização consistente com o tempo de recuperação e os objetivos
do ponto de recuperação] quando as capacidades primárias de processamento não estão disponíveis;
b. Disponibilizar no local de processamento alternativo os equipamentos e suprimentos necessários para transferir e retomar
as operações ou estabelecer contratos para apoiar a entrega no local dentro do período de tempo definido pela
organização para transferência e retomada; e
c. Fornecer controles no local de processamento alternativo que sejam equivalentes aos do local de processamento primário
site.
Discussão: Os locais de processamento alternativos são geograficamente distintos dos locais de processamento primário
e fornecer capacidade de processamento se o local de processamento primário não estiver disponível. A capacidade de
processamento alternativa pode ser abordada usando um local de processamento físico ou outras alternativas,
como failover para um provedor de serviços baseado em nuvem ou outro serviço de processamento fornecido interna ou
externamente. Arquiteturas distribuídas geograficamente que suportam requisitos de contingência também podem
ser consideradas locais de processamento alternativos. Os controles cobertos por acordos de locais de processamento
alternativos incluem as condições ambientais em locais alternativos,
regras de acesso, requisitos de proteção física e ambiental e coordenação para transferência e alocação de pessoal. Os requisitos
são alocados para locais de processamento alternativos
_________________________________________________________________________________________________
pe
E que reflitam os requisitos dos planos de contingência para manter a missão essencial e as funções de negócios, apesar da
interrupção, comprometimento ou falha nos sistemas organizacionais.
Controles Relacionados: CP-2, CP-6, CP-8, CP-9, CP-10, MA-6, PE-3, PE-11, PE-12, PE-17, SC-36, SI-13 .
Melhorias de controle:
Discussão: As ameaças que afectam locais de processamento alternativos são definidas em avaliações organizacionais
de risco e incluem desastres naturais, falhas estruturais, ataques hostis e erros de omissão ou comissão. As organizações
determinam o que é considerado um grau suficiente de separação entre locais de processamento primários e alternativos
com base nos tipos de ameaças que são motivo de preocupação. Para ameaças como ataques hostis, o grau de separação
entre sites é menos relevante.
Identifique possíveis problemas de acessibilidade para locais de processamento alternativos no caso de uma
interrupção ou desastre em toda a área e descreva ações de mitigação explícitas.
Discussão: As perturbações em toda a área referem-se aos tipos de perturbações que são de âmbito geográfico
amplo, com tais determinações feitas pelas organizações com base em avaliações organizacionais de risco.
Desenvolva acordos de locais de processamento alternativos que contenham disposições de prioridade de serviço
de acordo com os requisitos de disponibilidade (incluindo objetivos de tempo de recuperação).
Discussão: Os acordos de prioridade de serviço referem-se a acordos negociados com prestadores de serviços que
garantem que as organizações recebam tratamento prioritário consistente com os seus requisitos de disponibilidade e a
disponibilidade de recursos de informação para processamento alternativo lógico e/ou no local de processamento alternativo
físico. As organizações estabelecem objetivos de tempo de recuperação como parte do planejamento de contingência.
Prepare o local de processamento alternativo para que possa servir como local operacional, apoiando a missão
essencial e as funções comerciais.
Discussão: A preparação do local inclui o estabelecimento de definições de configuração para sistemas no local de
processamento alternativo consistentes com os requisitos para tais configurações no local primário e a garantia de que os
suprimentos essenciais e as considerações logísticas estejam em vigor.
Planeje e prepare-se para circunstâncias que impeçam o retorno ao local de processamento primário.
Discussão: Pode haver situações que impeçam uma organização de retornar ao local de processamento primário, como
se um desastre natural (por exemplo, inundação ou furacão) danificasse ou
_________________________________________________________________________________________________
pe
E destruiu uma instalação e foi determinado que a reconstrução no mesmo local não era prudente.
Controle: Estabelecer serviços alternativos de telecomunicações, incluindo os acordos necessários para permitir a retomada de
[Atribuição: operações de sistema definidas pela organização] para missão essencial e funções de negócios dentro de
[Atribuição: período de tempo definido pela organização] quando os recursos primários de telecomunicações estiverem indisponíveis
no locais de processamento ou armazenamento primários ou alternativos.
Discussão: Os serviços de telecomunicações (para dados e voz) para locais de processamento e armazenamento
primários e alternativos estão no âmbito do CP-8. Os serviços alternativos de telecomunicações reflectem os requisitos de
continuidade nos planos de contingência para manter a missão essencial e as funções empresariais, apesar da perda dos
serviços primários de telecomunicações. As organizações podem especificar diferentes períodos de tempo para sites primários
ou alternativos. Os serviços alternativos de telecomunicações incluem circuitos ou linhas terrestres organizacionais ou
comerciais adicionais, abordagens de telecomunicações baseadas em rede ou o uso de satélites. As organizações consideram
fatores como disponibilidade, qualidade de serviço e acesso ao celebrar acordos alternativos de telecomunicações.
Melhorias de controle:
(a) Desenvolver acordos de serviços de telecomunicações primários e alternativos que contenham disposições de
prioridade de serviço de acordo com os requisitos de disponibilidade (incluindo objetivos de tempo de
recuperação); e
(b) Solicitar prioridade de serviço de telecomunicações para todos os serviços de telecomunicações utilizados
para a preparação para emergências de segurança nacional se os serviços de telecomunicações
primários e/ou alternativos forem fornecidos por uma operadora comum.
Discussão: As organizações consideram a missão potencial ou o impacto nos negócios em situações em que os
provedores de serviços de telecomunicações atendem outras organizações com prioridade semelhante de prestação de
serviços. Prioridade de Serviço de Telecomunicações (TSP) é um programa da Comissão Federal de Comunicações
(FCC) que orienta os provedores de serviços de telecomunicações (por exemplo, empresas de telefonia fixa e sem
fio) a darem tratamento preferencial aos usuários inscritos no programa quando eles precisarem adicionar novas linhas
ou ter suas linhas restaurado após uma interrupção do serviço, independentemente da causa. A FCC define as regras e
políticas para o programa TSP, e o Departamento de Segurança Interna administra o programa TSP.
O programa TSP está sempre em vigor e não depende da ocorrência de um grande desastre ou ataque. O patrocínio federal
é necessário para se inscrever no programa TSP.
Obter serviços de telecomunicações alternativos para reduzir a probabilidade de partilhar um único ponto de falha
com os serviços primários de telecomunicações.
Discussão: Em certas circunstâncias, os prestadores de serviços ou serviços de telecomunicações podem partilhar as mesmas
linhas físicas, o que aumenta a vulnerabilidade de um único ponto de falha. É importante que o fornecedor tenha transparência
relativamente à capacidade real de transmissão física dos serviços de telecomunicações.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Discussão: As ameaças que afectam os serviços de telecomunicações são definidas nas avaliações de risco organizacionais
e incluem desastres naturais, falhas estruturais, ataques cibernéticos ou físicos e erros de omissão ou comissão. As
organizações podem reduzir as susceptibilidades comuns minimizando a infra-estrutura partilhada entre os
prestadores de serviços de telecomunicações e conseguindo uma separação geográfica suficiente entre os serviços.
As organizações podem considerar o uso de um único provedor de serviços em situações em que o provedor de serviços
possa fornecer serviços de telecomunicações alternativos que atendam às necessidades de separação abordadas na
avaliação de risco.
(b) Rever os planos de contingência do fornecedor para garantir que os planos cumprem os requisitos de
contingência organizacionais; e
(c) Obter evidências de testes de contingência e treinamento por parte dos prestadores [Atribuição:
frequência definida pela organização].
Discussão: As revisões dos planos de contingência dos provedores consideram a natureza proprietária de tais planos. Em
algumas situações, um resumo dos planos de contingência do fornecedor pode ser evidência suficiente para que as
organizações satisfaçam o requisito de revisão. Os prestadores de serviços de telecomunicações também podem participar
em exercícios contínuos de recuperação de desastres, em coordenação com o Departamento de Segurança Interna e os
governos estaduais e locais. As organizações podem utilizar estes tipos de atividades para satisfazer requisitos probatórios
relacionados com revisões, testes e formação de planos de contingência de prestadores de serviços.
Discussão: Os testes de serviços alternativos de telecomunicações são organizados através de acordos contratuais com
prestadores de serviços. Os testes podem ocorrer em paralelo com as operações normais para garantir que não haja
degradação nas missões ou funções organizacionais.
a. Realizar backups de informações de nível de usuário contidas em [Atribuição: componentes do sistema definidos pela
organização] [Atribuição: frequência definida pela organização consistente com o tempo de recuperação e os objetivos do
ponto de recuperação];
_________________________________________________________________________________________________
pe
E c. Realize backups da documentação do sistema, incluindo informações relacionadas à segurança e à privacidade.
documentação [Atribuição: frequência definida pela organização consistente com o tempo de recuperação e os objetivos do
ponto de recuperação]; e
Discussão: As informações no nível do sistema incluem informações sobre o estado do sistema, software do sistema
operacional, middleware, software aplicativo e licenças. As informações no nível do usuário incluem outras informações
além das informações no nível do sistema. Os mecanismos empregados para proteger a integridade dos backups do sistema incluem
assinaturas digitais e hashes criptográficos. A proteção das informações de backup do sistema durante o trânsito é abordada
pelo MP-5 e SC-8. Os backups do sistema refletem os requisitos dos planos de contingência, bem como outros requisitos
organizacionais para backup de informações. As organizações podem estar sujeitas a leis, ordens executivas, diretivas,
regulamentos ou políticas com requisitos relativos a categorias específicas de informações (por exemplo, informações pessoais de
saúde). O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade em
relação a tais requisitos.
Controles relacionados: CP-2, CP-6, CP-10, MP-4, MP-5, SC-8, SC-12, SC-13, SI-4, SI-13.
Melhorias de controle:
Teste as informações de backup [Atribuição: frequência definida pela organização] para verificar a confiabilidade
da mídia e a integridade das informações.
Discussão: As organizações precisam de garantia de que as informações de backup podem ser recuperadas de forma confiável.
A confiabilidade diz respeito aos sistemas e componentes do sistema onde as informações de backup são armazenadas, às
operações usadas para recuperar as informações e à integridade das informações que estão sendo recuperadas. Testes
independentes e especializados podem ser utilizados para cada um dos aspectos de confiabilidade. Por exemplo,
descriptografar e transportar (ou transmitir) uma amostra aleatória de arquivos de backup do local alternativo de
armazenamento ou backup e comparar as informações com as mesmas informações no local de processamento primário pode
fornecer essa garantia.
Use uma amostra de informações de backup na restauração de funções selecionadas do sistema como parte do teste
do plano de contingência.
Discussão: As organizações precisam de garantia de que as funções do sistema podem ser restauradas corretamente e
podem apoiar as missões organizacionais estabelecidas. Para garantir que as funções do sistema selecionadas sejam
exercidas minuciosamente durante os testes do plano de contingência, uma amostra de informações de backup é
recuperada para determinar se as funções estão operando conforme pretendido.
As organizações podem determinar o tamanho da amostra para as funções e informações de backup
com base no nível de garantia necessário.
Armazene cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras
informações relacionadas à segurança] em uma instalação separada ou em um contêiner resistente a incêndio que
não esteja localizado com o sistema operacional.
Discussão: O armazenamento separado para informações críticas aplica-se a todas as informações críticas,
independentemente do tipo de mídia de armazenamento de backup. O software de sistema crítico inclui sistemas operacionais,
middleware, sistemas de gerenciamento de chaves criptográficas e detecção de intrusão
sistemas. As informações relacionadas à segurança incluem inventários de componentes de hardware, software e firmware
do sistema. Locais de armazenamento alternativos, incluindo arquiteturas distribuídas geograficamente, servem como
instalações de armazenamento separadas para as organizações. As organizações podem
_________________________________________________________________________________________________
pe
E fornecer armazenamento separado implementando processos de backup automatizados em locais de
armazenamento alternativos (por exemplo, data centers). A Administração de Serviços Gerais (GSA) estabelece
padrões e especificações para contêineres com classificação de segurança e incêndio.
Discussão: As informações de backup do sistema podem ser transferidas para locais de armazenamento alternativos
eletronicamente ou por remessa física de mídia de armazenamento.
Conduza o backup do sistema mantendo um sistema secundário redundante que não esteja colocado
no sistema primário e que possa ser ativado sem perda de informações ou interrupção das operações.
Discussão: O efeito do backup do sistema pode ser alcançado mantendo um sistema secundário redundante
que espelhe o sistema primário, incluindo a replicação de informações.
Se este tipo de redundância estiver em vigor e houver separação geográfica suficiente entre
entre os dois sistemas, o sistema secundário também pode servir como local de processamento alternativo.
Controles Relacionados: CP-7.
Aplicar autorização dupla para exclusão ou destruição de [Atribuição: informações de backup definidas pela
organização].
Discussão: A autorização dupla garante que a exclusão ou destruição das informações de backup não poderá ocorrer,
a menos que dois indivíduos qualificados executem a tarefa. Indivíduos que excluem ou destroem informações
de backup possuem as habilidades ou conhecimentos necessários para determinar se a exclusão ou destruição
proposta de informações reflete as políticas e procedimentos organizacionais. A autorização dupla também pode ser
conhecida como controle de duas pessoas. Para reduzir o risco de conluio, as organizações consideram alternar
as funções de autorização dupla para outros indivíduos.
Referências: [FIPS 140-3], [FIPS 186-4], [SP 800-34], [SP 800-130], [SP 800-152].
_________________________________________________________________________________________________
pe
E RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA CP-10
Controle: Fornecer a recuperação e reconstituição do sistema para um estado conhecido dentro de [Atribuição: período de
tempo definido pela organização consistente com o tempo de recuperação e os objetivos do ponto de recuperação] após uma
interrupção, comprometimento ou falha.
Discussão: A recuperação consiste na execução de atividades de planos de contingência para restaurar a missão organizacional
e as funções empresariais. A reconstituição ocorre após a recuperação e inclui atividades para devolver os sistemas a estados
totalmente operacionais. As operações de recuperação e reconstituição reflectem a missão e as prioridades empresariais;
ponto de recuperação, tempo de recuperação e objetivos de reconstituição; e métricas organizacionais consistentes com os requisitos
do plano de contingência. A reconstituição inclui a desativação de capacidades provisórias do sistema que possam ter sido
necessárias durante as operações de recuperação. A reconstituição também inclui avaliações das capacidades do sistema
totalmente restauradas, restabelecimento de atividades de monitoramento contínuo, reautorização do sistema (se
necessário) e atividades para preparar o sistema e a organização para futuras interrupções, violações, comprometimentos ou
falhas. As capacidades de recuperação e reconstituição podem incluir mecanismos automatizados e procedimentos manuais. As
organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de contingência.
Controles Relacionados: CP-2, CP-4, CP-6, CP-7, CP-9, IR-4, SA-8, SC-24, SI-13.
Melhorias de controle:
Discussão: A restauração de componentes do sistema inclui a recriação de imagens, que restaura os componentes
para estados operacionais conhecidos.
Discussão: A proteção dos componentes de recuperação e reconstituição do sistema (isto é, hardware, firmware e software)
inclui controles físicos e técnicos. Os componentes de backup e restauração usados para recuperação e reconstituição
incluem tabelas de roteadores, compiladores e outros softwares de sistema.
_________________________________________________________________________________________________
pe
E Referências: [SP 800-34].
Controle: Fornecer a capacidade de empregar [Tarefa: protocolos de comunicação alternativos definidos pela
organização] para apoiar a manutenção da continuidade das operações.
Referências: Nenhuma.
Controle: Quando [Atribuição: condições definidas pela organização] for detectada, insira um modo de operação seguro
com [Atribuição: restrições de modo de operação seguro definidas pela organização].
Discussão: Para sistemas que apoiam missões críticas e funções de negócios – incluindo operações militares,
operações espaciais civis, operações de usinas nucleares e operações de controle de tráfego aéreo (especialmente
ambientes operacionais em tempo real) – as organizações podem identificar certas condições sob as quais esses
sistemas revertem para um modo de operação seguro predefinido. O modo seguro de operação, que pode ser ativado
automática ou manualmente, restringe as operações que os sistemas podem executar quando essas condições
são encontradas. A restrição inclui permitir a execução apenas de funções selecionadas que podem ser
executadas com energia limitada ou com largura de banda de comunicação reduzida.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E Aprimoramentos de controle: Nenhum
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.7 IDENTIFICAÇÃO E AUTENTICAÇÃO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de identificação e autenticação que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: As políticas e procedimentos de identificação e autenticação abordam os controles da família IA que são
implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de
políticas e procedimentos de identificação e autenticação. As políticas e procedimentos do programa de
segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas
e procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das
organizações. Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de
missão ou de negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou
controles são implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os
procedimentos podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais
documentos separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de
identificação e autenticação incluem resultados de avaliação ou auditoria, incidentes ou violações de segurança
ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A
simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [FIPS 201-2], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-63-3], [SP 800- 73-4], [SP
800-76-2], [SP 800-78-4], [SP 800-100], [IR 7874].
_________________________________________________________________________________________________
pe
E IA-2 IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS)
As organizações empregam senhas, autenticadores físicos ou biometria para autenticar identidades de usuários
ou, no caso de autenticação multifatorial, alguma combinação deles. O acesso aos sistemas organizacionais é
definido como acesso local ou acesso à rede. Acesso local é qualquer acesso a sistemas organizacionais por
usuários ou processos agindo em nome de usuários, onde o acesso é obtido através de conexões diretas sem o uso
de redes. O acesso à rede é o acesso a sistemas organizacionais por usuários (ou processos que atuam em nome
dos usuários) onde o acesso é obtido através de conexões de rede (isto é, acessos não locais). O acesso remoto é um
tipo de acesso à rede que envolve comunicação através de redes externas. As redes internas incluem redes locais e
redes de área ampla.
O uso de redes privadas virtuais criptografadas para conexões de rede entre terminais controlados pela organização
e terminais não controlados pela organização pode ser tratado como redes internas no que diz respeito à
proteção da confidencialidade e integridade das informações que atravessam a rede. Os requisitos de identificação
e autenticação para usuários não organizacionais são descritos em IA-8.
Controles relacionados: AC-2, AC-3, AC-4, AC-14, AC-17, AC-18, AU-1, AU-6, IA-4, IA - 5, IA-8, MA-4 , MA- 5, PE-2,
PL-4, SA-4, SA-8.
Melhorias de controle:
Discussão: A autenticação multifator requer o uso de dois ou mais fatores diferentes para obter a autenticação.
Os fatores de autenticação são definidos da seguinte forma: algo que você conhece (por exemplo, um número
de identificação pessoal [PIN]), algo que você possui (por exemplo, um autenticador físico, como uma chave
criptográfica privada) ou algo que você é (por exemplo, um biométrico). .
As soluções de autenticação multifatorial que apresentam autenticadores físicos incluem autenticadores de
hardware que fornecem saídas baseadas em tempo ou de resposta a desafios e cartões inteligentes, como o
cartão de verificação de identidade pessoal (PIV) do governo dos EUA ou o cartão de acesso comum
(CAC) do Departamento de Defesa (DoD). ). Além de autenticar usuários no nível do sistema (ou seja, no logon),
as organizações podem empregar mecanismos de autenticação no nível do aplicativo, a seu critério, para fornecer
maior segurança. Independentemente do tipo de acesso (ou seja, local, rede, remoto), as contas privilegiadas
são autenticadas usando opções multifatoriais apropriadas ao nível de risco. As organizações podem
adicionar medidas de segurança adicionais, tais como mecanismos de autenticação adicionais ou mais rigorosos,
para tipos específicos de acesso.
_________________________________________________________________________________________________
pe
E Implemente a autenticação multifator para acesso a contas não privilegiadas.
Discussão: A autenticação multifator requer o uso de dois ou mais fatores diferentes para obter a
autenticação. Os fatores de autenticação são definidos da seguinte forma: algo que você conhece
(por exemplo, um número de identificação pessoal [PIN]), algo que você possui (por exemplo, um
autenticador físico, como uma chave criptográfica privada) ou algo que você é (por exemplo, um biométrico). .
As soluções de autenticação multifatorial que apresentam autenticadores físicos incluem autenticadores
de hardware que fornecem saídas baseadas em tempo ou de resposta a desafios e cartões inteligentes,
como o cartão de verificação de identidade pessoal do governo dos EUA ou o cartão de acesso comum do DoD.
Além de autenticar usuários no nível do sistema, as organizações também podem empregar
mecanismos de autenticação no nível da aplicação, a seu critério, para fornecer maior segurança da
informação. Independentemente do tipo de acesso (ou seja, local, rede, remoto), as contas não
privilegiadas são autenticadas usando opções multifatoriais apropriadas ao nível de risco. As
organizações podem fornecer medidas de segurança adicionais, tais como mecanismos de
autenticação adicionais ou mais rigorosos, para tipos específicos de acesso.
Controles relacionados: AC-5.
Implementar autenticação multifator para [Seleção (um ou mais): local; rede; remoto]
acesso a [Seleção (uma ou mais): contas privilegiadas; contas não privilegiadas] tais que:
(a) Um dos fatores é fornecido por um dispositivo separado do sistema que obtém acesso;
e
_________________________________________________________________________________________________
pe
E (7) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO À REDE PARA NÃO
CONTAS PRIVILEGIADAS — DISPOSITIVO SEPARADO
Forneça um recurso de logon único para [Atribuição: contas e serviços do sistema definidos pela
organização].
Discussão: O logon único permite que os usuários façam login uma vez e obtenham acesso a vários
recursos do sistema. As organizações consideram as eficiências operacionais fornecidas pelos recursos
de logon único com o risco introduzido ao permitir o acesso a vários sistemas por meio de um único
evento de autenticação. O logon único pode apresentar oportunidades para melhorar a segurança do
sistema, por exemplo, fornecendo a capacidade de adicionar autenticação multifator para aplicativos e
sistemas (existentes e novos) que podem não ser capazes de suportar nativamente a
autenticação multifator.
_________________________________________________________________________________________________
pe
E Discussão: A autenticação fora de banda refere-se ao uso de dois caminhos de comunicação separados
para identificar e autenticar usuários ou dispositivos em um sistema de informação. O primeiro caminho (ou
seja, o caminho dentro da banda) é usado para identificar e autenticar usuários ou dispositivos e geralmente é
o caminho pelo qual as informações fluem. O segundo caminho (ou seja, o caminho fora de banda) é usado
para verificar independentemente a autenticação e/ou ação solicitada. Por exemplo, um usuário se autentica
através de um notebook em um servidor remoto ao qual o usuário deseja acessar e solicita alguma ação do
servidor através desse caminho de comunicação. Posteriormente, o servidor entra em contato com o usuário
através do celular do usuário para verificar se a ação solicitada foi originada pelo usuário. O usuário pode
confirmar a ação pretendida a um indivíduo por telefone ou fornecer um código de autenticação por telefone.
A autenticação fora de banda pode ser usada para mitigar ataques “man-in-the-middle” reais ou suspeitos. As
condições ou critérios de ativação incluem atividades suspeitas, novos indicadores de ameaça, níveis elevados
de ameaça ou o impacto ou nível de classificação das informações nas transações solicitadas.
References: [FIPS 140-3], [FIPS 201-2], [FIPS 202], [SP 800-63-3], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4], [SP
800-79-2], [SP 800-156], [SP 800-166], [IR 7539], [IR 7676], [IR 7817], [IR 7849], [IR 7870], [IR 7874], [IR 7966].
Controle: Identificar e autenticar exclusivamente [Atribuição: dispositivos e/ ou tipos de dispositivos definidos pela
organização] antes de estabelecer uma [Seleção (um ou mais): local; controlo remoto; conexão de rede .
Discussão: Os dispositivos que exigem identificação e autenticação exclusivas entre dispositivos são definidos por
tipo, dispositivo ou uma combinação de tipo e dispositivo. Os tipos de dispositivos definidos pela organização incluem
dispositivos que não pertencem à organização. Os sistemas usam informações conhecidas compartilhadas (por
exemplo, controle de acesso à mídia [MAC], endereços de protocolo de controle de transmissão/protocolo de
Internet [TCP/IP]) para identificação de dispositivos ou soluções de autenticação organizacional (por exemplo,
Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) 802.1x e Extensible Authentication Protocol [EAP], servidor
RADIUS com autenticação EAP-Transport Layer Security [TLS], Kerberos) para identificar e autenticar dispositivos
em redes locais e de longa distância. As organizações determinam a força necessária dos mecanismos de
autenticação com base nas categorias de segurança dos sistemas e na missão
ou requisitos de negócios. Devido aos desafios de implementar a autenticação de dispositivos em grande escala, as
organizações podem restringir a aplicação do controle a um número/tipo limitado de dispositivos com base na
missão ou nas necessidades comerciais.
Controles Relacionados: AC-17, AC-18, AC-19, AU-6, CA-3, CA-9, IA-4, IA-5, IA-9, IA-11, SI-4.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado em IA-3(1).]
(a) Quando os endereços são alocados dinamicamente, padronizar as informações de locação de alocação
dinâmica de endereços e a duração da locação atribuída aos dispositivos de acordo com
[Atribuição: informações de arrendamento definidas pela organização e duração do arrendamento]; e
Discussão: O Dynamic Host Configuration Protocol (DHCP) é um exemplo de meio pelo qual os clientes podem
receber atribuições de endereços de rede dinamicamente.
Controles Relacionados: AU-2.
Lidar com a identificação e autenticação do dispositivo com base no atestado de [Atribuição: processo de
gerenciamento de configuração definido pela organização].
Discussão: O atestado de dispositivo refere-se à identificação e autenticação de um dispositivo com base em sua
configuração e estado operacional conhecido. O atestado do dispositivo pode ser determinado através de um hash
criptográfico do dispositivo. Se o atestado do dispositivo for o meio de identificação e autenticação, então é importante
que os patches e atualizações do dispositivo sejam tratados por meio de um processo de gerenciamento de configuração,
de modo que os patches e atualizações sejam feitos de forma segura e não interrompam a identificação e a
autenticação de outros dispositivos.
Referências: Nenhuma.
a. Receber autorização de [Atribuição: pessoal ou funções definidas pela organização] para atribuir
um identificador de indivíduo, grupo, função, serviço ou dispositivo;
d. Impedir a reutilização de identificadores para [Atribuição: período de tempo definido pela organização].
Discussão: Os identificadores de dispositivos comuns incluem endereços de Controle de Acesso à Mídia (MAC), endereços
de Protocolo de Internet (IP) ou identificadores de token exclusivos do dispositivo. A gestão de identificadores
individuais não é aplicável a contas de sistemas partilhados. Normalmente, os identificadores individuais são os nomes de
usuário das contas do sistema atribuídas a esses indivíduos. Nesses casos, as atividades de gerenciamento de contas do
AC-2 utilizam nomes de contas fornecidos pelo IA-4. O gerenciamento de identificadores também aborda identificadores
individuais não necessariamente associados às contas do sistema. Impedir a reutilização de identificadores implica impedir a
atribuição de identificadores de indivíduo, grupo, função, serviço ou dispositivo usados anteriormente a diferentes indivíduos,
grupos, funções, serviços ou dispositivos.
Controles relacionados: AC-5, IA-2, IA-3, IA-5, IA-8, IA-9, IA-12, MA-4, PE-2, PE-3, PE-4, PL-4 , PM-12, PS -3, PS-4, PS-5,
SC-37.
Melhorias de controle:
Proibir o uso de identificadores de conta do sistema que sejam iguais aos identificadores públicos de contas
individuais.
_________________________________________________________________________________________________
pe
E Mensagens. Proibir o uso de identificadores de conta de sistema que sejam iguais a algum identificador público,
como a seção de identificador individual de um endereço de correio eletrônico, torna mais difícil para os adversários
adivinharem os identificadores de usuário. Proibir identificadores de contas como identificadores públicos sem a
implementação de outros controles de apoio apenas complica a adivinhação dos identificadores. Proteções adicionais
são necessárias para autenticadores e credenciais
para proteger a conta.
Discussão: As características que identificam o estatuto dos indivíduos incluem prestadores de serviços, cidadãos
estrangeiros e utilizadores não organizacionais. A identificação do status dos indivíduos por meio dessas
características fornece informações adicionais sobre as pessoas com quem o pessoal da organização está se
comunicando. Por exemplo, pode ser útil para um funcionário público saber que um dos indivíduos em uma
mensagem de e-mail é um prestador de serviços.
Controles relacionados: Nenhum.
Discussão: Em contraste com abordagens convencionais de identificação que presumem contas estáticas para
usuários pré-registrados, muitos sistemas distribuídos estabelecem identificadores em tempo de execução para
entidades que eram anteriormente desconhecidas. Quando os identificadores são estabelecidos em tempo de
execução para entidades anteriormente desconhecidas, as organizações podem antecipar e prever o
estabelecimento dinâmico de identificadores. São essenciais relações de confiança pré-estabelecidas e
mecanismos com autoridades apropriadas para validar credenciais e identificadores relacionados.
Controles Relacionados: AC-16.
_________________________________________________________________________________________________
pe
E requisitos estabelecidos por uma organização. Os identificadores pseudônimos de pares são exclusivos para cada parte
confiável, exceto em situações em que as partes confiantes possam mostrar um relacionamento demonstrável
que justifique uma necessidade operacional de correlação, ou todas as partes consintam em serem correlacionadas
dessa maneira.
Discussão: Para cada uma das entidades cobertas em IA-2, IA-3, IA-8 e IA-9, é importante manter os atributos de cada
entidade autenticada continuamente em um armazenamento central (protegido).
Referências: [FIPS 201-2], [SP 800-63-3], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4].
b. Estabelecer o conteúdo inicial do autenticador para quaisquer autenticadores emitidos pela organização;
f. Alterar ou atualizar autenticadores [Atribuição: período de tempo definido pela organização por tipo de autenticador] ou
quando [Atribuição: eventos definidos pela organização] ocorrer;
h. Exigir que os indivíduos assumam, e que os dispositivos implementem, controles específicos para proteger os autenticadores;
e
eu. Alterar autenticadores para contas de grupo ou de função ao ser membro dessas contas
mudanças.
Discussão: Os autenticadores incluem senhas, dispositivos criptográficos, biometria, certificados, dispositivos de senha de uso
único e crachás de identificação. Os autenticadores de dispositivos incluem certificados e senhas. O conteúdo inicial do
autenticador é o conteúdo real do autenticador (por exemplo, a senha inicial). Em contrapartida, os requisitos para o conteúdo do
autenticador contêm critérios ou características específicas (por exemplo, comprimento mínimo da senha). Os desenvolvedores
podem fornecer componentes do sistema com credenciais de autenticação padrão de fábrica (ou seja, senhas) para permitir a
instalação e configuração iniciais. As credenciais de autenticação padrão costumam ser bem conhecidas, facilmente detectáveis
e apresentam um risco significativo. O requisito de proteção de autenticadores individuais pode ser implementado através do
controle PL-4 ou PS-6 para autenticadores em posse de indivíduos e pelos controles AC-3, AC-6 e SC-28 para autenticadores
armazenados em sistemas organizacionais, incluindo
senhas armazenadas em formatos criptografados ou com hash ou arquivos contendo senhas criptografadas ou com hash
acessíveis com privilégios de administrador.
Os sistemas suportam o gerenciamento do autenticador por meio de configurações e restrições definidas pela organização para
diversas características do autenticador (por exemplo, comprimento mínimo da senha, janela de tempo de validação para
_________________________________________________________________________________________________
pe
E tokens únicos síncronos no tempo e número de rejeições permitidas durante o estágio de verificação da autenticação
biométrica). Ações podem ser tomadas para proteger autenticadores individuais,
incluindo manter a posse de autenticadores, não compartilhar autenticadores com outras pessoas e relatar imediatamente
autenticadores perdidos, roubados ou comprometidos. O gerenciamento de autenticadores inclui a emissão e revogação de
autenticadores para acesso temporário quando não forem mais necessários.
Controles relacionados: AC-3, AC-6, CM-6, IA-2, IA-4, IA-7, IA-8, IA-9, MA-4, PE-2, PL-4, SC-12 , SC-13.
Melhorias de controle:
(a) Manter uma lista de senhas comumente usadas, esperadas ou comprometidas e atualizar a lista [Atribuição:
frequência definida pela organização] e quando houver suspeita de que as senhas organizacionais
tenham sido comprometidas direta ou indiretamente;
(b) Verificar, quando os usuários criam ou atualizam senhas, se as senhas não são encontradas na lista de
senhas comumente usadas, esperadas ou comprometidas em IA-5(1)(a);
(d) Armazene senhas usando uma função aprovada de derivação de chave salgada, preferencialmente usando um
hash com chave;
(e) Exigir a seleção imediata de uma nova senha após a recuperação da conta;
(f) Permitir ao usuário a seleção de senhas e frases secretas longas, incluindo espaços e todos os
caracteres imprimíveis;
Discussão: A autenticação baseada em senha se aplica a senhas independentemente de serem usadas na autenticação
de fator único ou multifator. Senhas longas ou senhas são preferíveis a senhas mais curtas. As regras de composição
impostas proporcionam benefícios marginais de segurança, ao mesmo tempo que diminuem a usabilidade. Contudo,
as organizações podem optar por estabelecer certas regras para geração de senhas (por exemplo, comprimento
mínimo de caracteres para senhas longas) sob certas circunstâncias e podem impor este requisito na IA-5(1)(h). A
recuperação de conta pode ocorrer, por exemplo, em situações de esquecimento de uma senha. As senhas protegidas
criptograficamente incluem hashes criptográficos de senhas unidirecionais com sal. A lista de comumente
senhas usadas, comprometidas ou esperadas incluem senhas obtidas de corpus de violações anteriores, palavras
de dicionário e caracteres repetitivos ou sequenciais. A lista inclui
palavras específicas do contexto, como o nome do serviço, nome de usuário e seus derivados.
Controles Relacionados: IA-6.
(1) Validar certificados construindo e verificando um caminho de certificação para uma âncora de
confiança aceita, incluindo a verificação de informações sobre o status do certificado; e
(2) Implementar um cache local de dados de revogação para apoiar a descoberta de caminhos e
validação.
_________________________________________________________________________________________________
pe
E Discussão: A criptografia de chave pública é um mecanismo de autenticação válido para indivíduos, máquinas e
dispositivos. Para soluções PKI, as informações de status dos caminhos de certificação incluem
listas de revogação de certificados ou respostas de protocolo de status de certificado. Para cartões PIV, a validação do
certificado envolve a construção e verificação de um caminho de certificação para a âncora de confiança Common Policy
Root, que inclui o processamento da política de certificados. A implementação de um cache local de dados de revogação
para dar suporte à descoberta e validação de caminhos também oferece suporte à disponibilidade do sistema em
situações em que as organizações não conseguem acessar informações de revogação através da rede.
Incorporado em IA-12(4).]
Discussão: A alteração dos autenticadores antes da entrega e instalação dos componentes do sistema amplia o
requisito para as organizações alterarem os autenticadores padrão na instalação do sistema, exigindo que os
desenvolvedores e/ou instaladores forneçam autenticadores exclusivos ou alterem os autenticadores padrão para
componentes do sistema antes da entrega e/ou instalação . No entanto, normalmente não se aplica a desenvolvedores
de produtos comerciais de tecnologia da informação prontos para uso. Os requisitos para autenticadores exclusivos podem
ser incluídos em documentos de aquisição preparados pelas organizações ao adquirir sistemas ou componentes de
sistema.
Proteja os autenticadores de acordo com a categoria de segurança das informações às quais o uso do
autenticador permite acesso.
Discussão: Para sistemas que contêm múltiplas categorias de segurança de informações sem separação física ou lógica
confiável entre categorias, os autenticadores usados para conceder acesso aos sistemas são protegidos
proporcionalmente à mais alta categoria de segurança de informações nos sistemas. As categorias de segurança das
informações são determinadas como parte do processo de categorização de segurança.
Certifique-se de que autenticadores estáticos não criptografados não estejam incorporados em aplicativos ou outras
formas de armazenamento estático.
Discussão: Além dos aplicativos, outras formas de armazenamento estático incluem scripts de acesso e teclas de função.
As organizações têm cautela ao determinar se os autenticadores incorporados ou armazenados estão em formato criptografado
ou não criptografado. Se os autenticadores forem usados da maneira armazenada, essas representações serão
consideradas autenticadores não criptografados.
Implemente [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de
comprometimento devido a indivíduos terem contas em vários sistemas.
_________________________________________________________________________________________________
pe
E Discussão: Quando indivíduos têm contas em vários sistemas e usam os mesmos autenticadores, como
senhas, existe o risco de que o comprometimento de uma conta possa levar ao comprometimento de outras contas.
Abordagens alternativas incluem ter diferentes autenticadores (senhas) em todos os sistemas, empregar um logon
único ou mecanismo de federação, ou usar alguma forma de senhas de uso único em todos os sistemas. As
organizações também podem usar regras de comportamento (ver PL-4) e acordos de acesso (ver PS-6) para mitigar
o risco de múltiplas contas de sistema.
Discussão: A autenticação requer alguma forma de ligação entre uma identidade e o autenticador que é usado
para confirmar a identidade. Nas abordagens convencionais, a ligação é estabelecida pelo pré-provisionamento da
identidade e do autenticador ao sistema. Por exemplo, a ligação entre um nome de usuário (isto é, identidade) e uma
senha (isto é, autenticador) é realizada fornecendo a identidade e o autenticador como um par no sistema. Novas técnicas
de autenticação permitem que a ligação entre a identidade e o autenticador seja implementada externamente a um
sistema. Por exemplo, com credenciais de cartão inteligente, a identidade e o autenticador estão vinculados no cartão
inteligente. Usando essas credenciais, os sistemas podem autenticar identidades que não foram pré-provisionadas,
provisionando dinamicamente a identidade após a autenticação. Nessas situações, as organizações podem antecipar
o provisionamento dinâmico de identidades. São essenciais relações de confiança pré-estabelecidas e mecanismos com
autoridades apropriadas para validar identidades e credenciais relacionadas.
Discussão: Ao contrário da autenticação baseada em senha, que fornece correspondências exatas de senhas
inseridas pelo usuário com senhas armazenadas, a autenticação biométrica não fornece correspondências
exatas. Dependendo do tipo de biometria e do tipo de mecanismo de coleta, é provável que haja alguma divergência
entre a biometria apresentada e a biométrica armazenada que
serve de base para comparação. O desempenho de correspondência é a taxa na qual um algoritmo biométrico resulta
corretamente em uma correspondência para um usuário genuíno e rejeita outros usuários. Os requisitos de
desempenho biométrico incluem a taxa de correspondência, que reflete a precisão do algoritmo de
correspondência biométrica usado por um sistema.
Controles Relacionados: AC-7.
_________________________________________________________________________________________________
pe
E (13) GESTÃO DE AUTENTICADOR | EXPIRAÇÃO DE AUTENTICADORES EM CACHORRO
Proibir o uso de autenticadores em cache após [Atribuição: horário definido pela organização
período].
Discussão: Autenticadores armazenados em cache são usados para autenticar na máquina local quando a rede não está
disponível. Se as informações de autenticação armazenadas em cache estiverem desatualizadas, a validade das informações
de autenticação poderá ser questionável.
Para autenticação baseada em PKI, empregue uma metodologia em toda a organização para gerenciar o conteúdo de
armazenamentos confiáveis de PKI instalados em todas as plataformas, incluindo redes, sistemas operacionais,
navegadores e aplicativos.
Discussão: Uma metodologia em toda a organização para gerenciar o conteúdo de armazenamentos confiáveis de PKI ajuda
a melhorar a precisão e a atualidade das credenciais de autenticação baseadas em PKI em toda a organização.
Use apenas produtos e serviços aprovados pela Administração de Serviços Gerais para gerenciamento de
identidade, credenciais e acesso.
Discussão: Os produtos e serviços aprovados pela Administração de Serviços Gerais (GSA) são
produtos e serviços que foram aprovados através do programa de conformidade GSA, quando aplicável, e publicados na
Lista de Produtos Aprovados pela GSA. A GSA fornece orientação para que as equipes projetem e construam sistemas
funcionais e seguros que cumpram as políticas, tecnologias e padrões de implementação do Federal Identity, Credential, and
Access Management (FICAM).
Exigir que a emissão de [Atribuição: tipos de autenticadores específicos e/ ou definidos pela organização] seja
realizada [Seleção: pessoalmente; por uma parte externa confiável] antes de [Atribuição: autoridade de registro
definida pela organização] com autorização de [Atribuição: pessoal ou funções definidas pela
organização].
Discussão: A emissão de autenticadores pessoalmente ou por uma parte externa confiável aumenta e reforça a
confiabilidade do processo de prova de identidade.
Discussão: As características biométricas não constituem segredos. Tais características podem ser
obtida por meio de acessos on-line à web, tirar foto de alguém com uma câmera de celular para obter imagens faciais
com ou sem o seu conhecimento, levantar objetos que alguém tocou (por exemplo, uma impressão digital latente) ou capturar
uma imagem de alta resolução (por exemplo, um padrão de íris). Tecnologias de detecção de ataques de
apresentação, incluindo detecção de vivacidade, podem mitigar o risco desses tipos de ataques, dificultando a
produção de artefatos destinados a anular o sensor biométrico.
_________________________________________________________________________________________________
pe
E (a) Empregar [Tarefa: gerenciadores de senhas definidos pela organização] para gerar e gerenciar senhas; e
Discussão: Para sistemas onde são empregadas senhas estáticas, muitas vezes é um desafio garantir que as senhas
sejam adequadamente complexas e que as mesmas senhas não sejam empregadas em vários sistemas. Um
gerenciador de senhas é uma solução para esse problema, pois gera e armazena automaticamente senhas fortes e
diferentes para diversas contas. Um risco potencial do uso de gerenciadores de senhas é que os adversários podem ter
como alvo a coleção de senhas geradas pelo gerenciador de senhas. Portanto, a coleta de senhas requer proteção,
incluindo a criptografia das senhas (ver IA-5(1)(d)) e o armazenamento da coleta off-line em um token.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 201-2], [FIPS 202], [SP 800-63-3], [SP 800-73-4], [SP 800- 76-2], [SP 800-78-4], [IR
7539], [IR 7817], [IR 7849], [IR 7870], [IR 8040].
Controle: Feedback obscuro das informações de autenticação durante o processo de autenticação para proteger as informações
de uma possível exploração e uso por indivíduos não autorizados.
Discussão: O feedback de autenticação dos sistemas não fornece informações que permitam que indivíduos não autorizados
comprometam os mecanismos de autenticação. Para alguns tipos de sistemas, como desktops ou notebooks com monitores
relativamente grandes, a ameaça (conhecida como navegação no ombro) pode ser significativa. Para outros tipos de sistemas,
como dispositivos móveis com telas pequenas, a ameaça pode ser menos significativa e é equilibrada com a maior
probabilidade de erros de entrada tipográfica devido a teclados pequenos. Assim, os meios para obscurecer a autenticação
o feedback é selecionado de acordo. Ocultar o feedback de autenticação inclui a exibição de asteriscos quando os usuários digitam
senhas em dispositivos de entrada ou a exibição de feedback por um tempo muito limitado antes de ocultá-lo.
Referências: Nenhuma.
Controle: Implementar mecanismos de autenticação para um módulo criptográfico que atendam aos requisitos das leis, ordens
executivas, diretivas, políticas, regulamentos, padrões e diretrizes aplicáveis para tal autenticação.
Discussão: Mecanismos de autenticação podem ser necessários dentro de um módulo criptográfico para autenticar um
operador que acessa o módulo e para verificar se o operador está autorizado a assumir a função solicitada e executar serviços
dentro dessa função.
Controle: identifique e autentique exclusivamente usuários ou processos não organizacionais que atuem em nome de usuários
não organizacionais.
_________________________________________________________________________________________________
pe
E Discussão: Os utilizadores não organizacionais incluem utilizadores do sistema que não sejam utilizadores organizacionais
explicitamente abrangidos pela IA-2. Os usuários não organizacionais são identificados e autenticados exclusivamente para acessos
diferentes daqueles explicitamente identificados e documentados no AC-14. A identificação e autenticação de usuários não
organizacionais que acessam sistemas federais podem ser necessárias para proteger informações federais, proprietárias ou
relacionadas à privacidade (com exceções observadas para sistemas de segurança nacional). As organizações consideram muitos
fatores – incluindo segurança, privacidade, escalabilidade e praticidade – ao equilibrar a necessidade de garantir facilidade
de uso para acesso a informações e sistemas federais com a necessidade de proteger e mitigar adequadamente os riscos.
Controles relacionados: AC-2, AC-6, AC-14, AC-17, AC-18, AU-6, IA-2, IA -4, IA-5, IA - 10, IA-11, MA-4 , RA- 3, SA-4, SC-8.
Melhorias de controle:
Aceite e verifique eletronicamente as credenciais compatíveis com a Verificação de Identidade Pessoal de outras
agências federais.
Discussão: A aceitação de credenciais de Verificação de Identidade Pessoal (PIV) de outras agências federais aplica-se a
sistemas de controle de acesso lógico e físico. Credenciais PIV são aquelas emitidas por agências federais que estão
em conformidade com a publicação FIPS 201 e com as diretrizes de apoio. A adequação e confiabilidade dos
emissores de cartões PIV são abordadas e autorizadas usando [SP 800-79-2].
Discussão: A aceitação apenas de autenticadores externos compatíveis com o NIST aplica-se a sistemas
organizacionais que são acessíveis ao público (por exemplo, sites voltados ao público).
Os autenticadores externos são emitidos por entidades governamentais não federais e estão em conformidade com [SP
800-63B]. Os autenticadores externos aprovados atendem ou excedem os requisitos técnicos, de segurança, de privacidade
e de maturidade organizacional mínimos do Governo Federal.
Atender ou exceder os requisitos federais permite que as partes confiáveis do Governo Federal confiem em autenticadores
externos em conexão com uma transação de autenticação em um nível de garantia de autenticador especificado.
Esteja em conformidade com os seguintes perfis para gerenciamento de identidade [Atribuição: perfis de
gerenciamento de identidade definidos pela organização].
Discussão: As organizações definem perfis para gerenciamento de identidade com base em padrões abertos de
gerenciamento de identidade. Para garantir que os padrões abertos de gerenciamento de identidade sejam viáveis,
robustos, confiáveis, sustentáveis e interoperáveis conforme documentado, o Governo Federal avalia e avalia os padrões
e implementações de tecnologia em relação às leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis.
_________________________________________________________________________________________________
pe
E (5) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | ACEITAÇÃO DO PIV-I
CREDENCIAIS
Aceite e verifique credenciais federadas ou PKI que atendam a [Atribuição: política definida pela organização].
Discussão: A aceitação de credenciais PIV-I pode ser implementada por PIV, PIV-I e outros provedores de identidade
comerciais ou externos. A aceitação e verificação de credenciais compatíveis com PIV-I aplicam-se a sistemas de controle de
acesso lógico e físico. A aceitação e verificação de credenciais PIV-I dirigem-se a emissores não federais de carteiras de
identidade que desejam interoperar com sistemas PIV do governo dos Estados Unidos e nos quais o governo federal pode
confiar.
Partes dependentes do governo. A política de certificados X.509 da Federal Bridge Certification Authority (FBCA) atende aos
requisitos do PIV-I. O cartão PIV-I é compatível com as credenciais PIV conforme definido nas referências citadas. Credenciais
PIV-I são as credenciais emitidas por um provedor PIV-I cuja política de certificado PIV-I mapeia para a Política de
Certificado PIV-I da Federal Bridge. Um provedor PIV-I tem certificação cruzada com o FBCA (diretamente ou por meio
de outra ponte PKI) com políticas que foram mapeadas e aprovadas como atendendo aos requisitos das políticas PIV-
I definidas na política de certificados do FBCA.
Discussão: As soluções de identidade federada podem criar maiores riscos de privacidade devido ao rastreamento e
à criação de perfis de indivíduos. O uso de tabelas de mapeamento de identificadores ou técnicas criptográficas
para ocultar os provedores de serviços de credenciais e as partes confiáveis uns dos outros ou para tornar os atributos de
identidade menos visíveis para as partes transmissoras pode reduzir esses riscos de privacidade.
Referências: [OMB A-130], [FED PKI], [FIPS 201-2], [SP 800-63-3], [SP 800-79-2], [SP 800-116], [IR 8062] .
Controle: Identifique e autentique exclusivamente [Atribuição: serviços e aplicativos de sistema definidos pela organização] antes
de estabelecer comunicações com dispositivos, usuários ou outros serviços ou aplicativos.
Discussão: Os serviços que podem exigir identificação e autenticação incluem aplicações web que utilizam certificados digitais ou
serviços ou aplicações que consultam um banco de dados. Os métodos de identificação e autenticação para serviços e
aplicações do sistema incluem assinatura de informações ou códigos, gráficos de proveniência e assinaturas eletrônicas que indicam
as fontes dos serviços. As decisões relativas à validade das reivindicações de identificação e autenticação podem ser tomadas
por serviços separados dos serviços que atuam nessas decisões. Isso pode ocorrer em arquiteturas de sistemas
distribuídos. Nessas situações, as decisões de identificação e autenticação (em vez de identificadores e dados de
autenticação reais) são fornecidas aos serviços que precisam agir de acordo com essas decisões.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (2) IDENTIFICAÇÃO E AUTENTICAÇÃO DO SERVIÇO | TRANSMISSÃO DE DECISÕES
Referências: Nenhuma.
Controle: Exigir que os indivíduos que acessam o sistema empreguem [Atribuição: técnicas ou mecanismos de
autenticação suplementares definidos pela organização] sob [Atribuição: circunstâncias ou situações
definidas pela organização] específicas.
autenticação multifator.
REAUTENTICAÇÃO IA-11
Discussão: Além dos requisitos de reautenticação associados aos bloqueios de dispositivos, as organizações
podem exigir a reautenticação de indivíduos em determinadas situações, inclusive quando as funções, autenticadores
ou credenciais mudam, quando as categorias de segurança dos sistemas mudam, quando ocorre a execução de
funções privilegiadas , após um período de tempo fixo ou periodicamente.
Referências: Nenhuma.
Ao controle:
a. Usuários com prova de identidade que necessitam de contas para acesso lógico a sistemas com base em requisitos
de nível de garantia de identidade apropriados, conforme especificado em padrões e diretrizes aplicáveis;
Discussão: A prova de identidade é o processo de coleta, validação e verificação das informações de identidade
de um usuário com o propósito de estabelecer credenciais para acessar um sistema. A prova de identidade destina-se
a mitigar ameaças ao registo de utilizadores e ao estabelecimento de
_________________________________________________________________________________________________
pe
E suas contas. Os padrões e diretrizes que especificam os níveis de garantia de identidade para comprovação de identidade incluem
[SP 800-63-3] e [SP 800-63A]. As organizações podem estar sujeitas a leis, ordens executivas, diretivas, regulamentos ou políticas
que tratam da recolha de provas de identidade. O pessoal organizacional consulta o funcionário sênior da agência para
aconselhamento jurídico e de privacidade em relação a tais requisitos.
Controles Relacionados: AC-5, IA-1, IA-2, IA-3, IA-4, IA-5, IA-6, IA-8.
Melhorias de controle:
Exigir que o processo de registro para receber uma conta para acesso lógico inclua autorização do supervisor
ou patrocinador.
Discussão: Incluir autorização de supervisor ou patrocinador como parte do processo de registro fornece um nível adicional
de escrutínio para garantir que a cadeia de gerenciamento do usuário esteja ciente da conta, que a conta seja essencial para
realizar missões e funções organizacionais e que os privilégios do usuário sejam apropriados para as responsabilidades e
autoridades previstas dentro da organização.
Discussão: As provas de identidade, tais como provas documentais ou uma combinação de documentos e dados
biométricos, reduzem a probabilidade de os indivíduos utilizarem identificação fraudulenta para estabelecer
uma identidade ou pelo menos aumentam o factor de trabalho de potenciais adversários. As formas de evidência
aceitáveis são consistentes com os riscos para os sistemas, funções e privilégios associados à conta do usuário.
Exigir que as evidências de identidade apresentadas sejam validadas e verificadas através de [Tarefa:
métodos de validação e verificação definidos pela organização].
Discussão: A validação e verificação de evidências de identidade aumentam a garantia de que contas e identificadores
estão sendo estabelecidos para o usuário correto e que os autenticadores estão vinculados a esse usuário. Validação
refere-se ao processo de confirmação de que a evidência é genuína e autêntica e que os dados contidos na evidência são
corretos, atuais e relacionados a um indivíduo. A verificação confirma e estabelece uma ligação entre a identidade
reivindicada e a existência real do utilizador que apresenta a prova. Os métodos aceitáveis para validar e verificar evidências
de identidade são consistentes com os riscos para os sistemas, funções e privilégios associados à conta do usuário.
Exigir que a validação e verificação das provas de identidade sejam realizadas pessoalmente perante uma
autoridade de registo designada.
Discussão: A prova presencial reduz a probabilidade de emissão de credenciais fraudulentas porque exige a presença física
de indivíduos, a apresentação de documentos de identidade físicos e interações reais e presenciais com autoridades de registo
designadas.
_________________________________________________________________________________________________
pe
E Exigir que [Seleção: código de registro; aviso de prova] ser entregue através de um canal fora de banda
para verificar o endereço de registro do usuário (físico ou digital).
Discussão: Para dificultar que os adversários se façam passar por utilizadores legítimos durante o processo de
prova de identidade, as organizações podem utilizar métodos fora de banda para garantir que o indivíduo
associado a um endereço de registo é o mesmo indivíduo que participou no registo. A confirmação pode assumir a
forma de um código de inscrição temporário ou de um aviso de revisão. O endereço de entrega desses artefatos é
obtido a partir de registros e não autoafirmado pelo usuário. O endereço pode incluir um endereço físico ou
digital. Um endereço residencial é um exemplo de endereço físico. Endereços de e-mail e números de telefone são
exemplos de endereços digitais.
Discussão: Para limitar a revisão desnecessária de identidades, especialmente de usuários não PIV, as
organizações aceitam a verificação realizada com um nível de garantia proporcional por outras agências ou
organizações. A prova é consistente com a política de segurança organizacional e com o nível de garantia de
identidade apropriado para o sistema, aplicativo ou informação acessada.
Aceitar identidades comprovadas externamente é um componente fundamental do gerenciamento de identidades
federadas entre agências e organizações.
_________________________________________________________________________________________________
pe
E 3.8 RESPOSTA A INCIDENTES
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de resposta
a incidentes em nível de sistema] que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: A política e os procedimentos de resposta a incidentes abordam os controles da família de RI que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de
políticas e procedimentos de resposta a incidentes. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos
específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e
privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser
estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios
e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados
e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os
eventos que podem precipitar uma atualização na política e nos procedimentos de resposta a incidentes incluem
resultados de avaliação ou auditoria, incidentes de segurança
ou violações ou alterações em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples
reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-50], [SP 800-61], [SP 800-83] , [SP
800-100].
_________________________________________________________________________________________________
pe
E TREINAMENTO DE RESPOSTA A INCIDENTES IR-2
Ao controle:
a. Fornecer treinamento de resposta a incidentes aos usuários do sistema consistente com as funções atribuídas e
responsabilidades:
1. Dentro de [Atribuição: período de tempo definido pela organização] após assumir uma resposta a incidente
função ou responsabilidade ou aquisição de acesso ao sistema;
b. Revise e atualize o conteúdo do treinamento de resposta a incidentes [Tarefa: definida pela organização
frequência] e seguinte [Atribuição: eventos definidos pela organização].
Discussão: O treinamento de resposta a incidentes está associado às funções e responsabilidades atribuídas ao pessoal
organizacional para garantir que o conteúdo e o nível de detalhe apropriados sejam
incluídos em tal treinamento. Por exemplo, os usuários podem precisar apenas saber para quem ligar ou como reconhecer
um incidente; os administradores de sistema podem necessitar de treinamento adicional sobre como lidar com incidentes; e os
responsáveis pela resposta a incidentes podem receber treinamento mais específico em análise forense, técnicas de
coleta de dados, relatórios, recuperação e restauração de sistemas. O treinamento de resposta a incidentes inclui treinamento
de usuários na identificação e relato de atividades suspeitas de fontes externas e internas. O treinamento de resposta a incidentes
para usuários pode ser fornecido como parte do AT-2 ou AT-3.
Os eventos que podem precipitar uma atualização do conteúdo do treinamento de resposta a incidentes incluem, mas não estão
limitados a, testes do plano de resposta a incidentes ou resposta a um incidente real (lições aprendidas), resultados de
avaliação ou auditoria ou mudanças nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e
diretrizes.
Controles relacionados: AT-2, AT-3, AT-4, CP-3, IR-3, IR-4, IR-8, IR-9.
Melhorias de controle:
Discussão: As organizações estabelecem requisitos para responder a incidentes nos planos de resposta a incidentes. A
incorporação de eventos simulados no treinamento de resposta a incidentes ajuda a garantir que o pessoal entenda
suas responsabilidades individuais e quais ações específicas tomar em situações de crise.
Discussão: Mecanismos automatizados podem proporcionar um ambiente de treinamento de resposta a incidentes mais
completo e realista. Isto pode ser conseguido, por exemplo, fornecendo uma cobertura mais completa das questões de
resposta a incidentes, selecionando cenários e ambientes de treinamento mais realistas e enfatizando a capacidade de
resposta.
Fornecer treinamento de resposta a incidentes sobre como identificar e responder a uma violação, incluindo o
processo da organização para relatar uma violação.
_________________________________________________________________________________________________
pe
E Discussão: Para agências federais, um incidente que envolva informações de identificação pessoal é
considerado uma violação. Uma violação resulta na perda de controle, comprometimento, divulgação não autorizada,
aquisição não autorizada ou uma ocorrência semelhante quando uma pessoa que não seja um usuário autorizado acessa
ou potencialmente acessa informações pessoalmente identificáveis ou um usuário autorizado acessa ou
potencialmente acessa tais informações para outros fins que não os autorizados. propósitos. O treinamento de resposta
a incidentes enfatiza a obrigação dos indivíduos de relatar violações confirmadas e suspeitas envolvendo informações em
qualquer meio ou formato, incluindo papel, oral e eletrônico. O treinamento de resposta a incidentes inclui exercícios
práticos que simulam uma violação. Consulte IR-2(1).
Controle: Teste a eficácia da capacidade de resposta a incidentes do sistema [Atribuição: frequência definida pela organização]
usando os seguintes testes: [Atribuição: testes definidos pela organização].
Discussão: As organizações testam as capacidades de resposta a incidentes para determinar a sua eficácia
e identificar potenciais fraquezas ou deficiências. O teste de resposta a incidentes inclui o uso de listas de verificação, exercícios
passo a passo ou de mesa e simulações (interrupção paralela ou total). Os testes de resposta a incidentes podem incluir uma
determinação dos efeitos nas operações e ativos organizacionais e nos indivíduos devido à resposta a incidentes. O uso de
dados qualitativos e quantitativos auxilia na determinação da eficácia dos processos de resposta a incidentes.
Melhorias de controle:
Teste a capacidade de resposta a incidentes usando [Atribuição: mecanismos automatizados definidos pela
organização].
Discussão: As organizações utilizam mecanismos automatizados para testar de forma mais completa e eficaz as capacidades
de resposta a incidentes. Isto pode ser conseguido fornecendo uma cobertura mais completa dos problemas de resposta a
incidentes, selecionando cenários e ambientes de teste realistas e enfatizando a capacidade de resposta.
Coordenar os testes de resposta a incidentes com os elementos organizacionais responsáveis pelos planos
relacionados.
Discussão: Os planos organizacionais relacionados aos testes de resposta a incidentes incluem planos de continuidade
de negócios, planos de recuperação de desastres, planos de continuidade de operações, planos de contingência, planos de
comunicação de crise, planos de infraestrutura crítica e planos de emergência para ocupantes.
(c) Fornecer medidas e métricas de resposta a incidentes que sejam precisas, consistentes e em um
formato reproduzível.
_________________________________________________________________________________________________
pe
E Discussão: Para ajudar as atividades de resposta a incidentes a funcionarem conforme pretendido, as organizações podem usar
métricas e critérios de avaliação para avaliar programas de resposta a incidentes como parte de um esforço para melhorar
continuamente o desempenho da resposta. Estes esforços facilitam a melhoria da eficácia da resposta a incidentes e diminuem
o impacto dos incidentes.
Ao controle:
a. Implementar uma capacidade de tratamento de incidentes que seja consistente com o plano de resposta a incidentes e inclua
preparação, detecção e análise, contenção, erradicação e recuperação;
c. Incorporar as lições aprendidas das atividades contínuas de tratamento de incidentes nos procedimentos de resposta a incidentes,
treinamento e testes, e implementar as mudanças resultantes de acordo; e
d. Garanta que o rigor, a intensidade, o escopo e os resultados das atividades de tratamento de incidentes sejam comparáveis e
previsíveis em toda a organização.
Discussão: As organizações reconhecem que as capacidades de resposta a incidentes dependem das capacidades dos sistemas
organizacionais e da missão e dos processos de negócios apoiados por esses sistemas. As organizações consideram a resposta a
incidentes como parte da definição, design e desenvolvimento da missão e dos processos e sistemas de negócios. As informações
relacionadas a incidentes podem ser obtidas de diversas fontes, incluindo monitoramento de auditoria, monitoramento de acesso
físico e monitoramento de rede; relatórios de usuários ou administradores; e eventos relatados na cadeia de suprimentos. Uma
capacidade eficaz de tratamento de incidentes inclui coordenação entre muitas entidades organizacionais
(por exemplo, proprietários de missões ou negócios, proprietários de sistemas, gestores orçamentários, escritórios de recursos
humanos, escritórios de segurança física, escritórios de segurança de pessoal, departamentos jurídicos, [função] executiva de risco,
pessoal de operações, escritórios de compras). Os incidentes de segurança suspeitos incluem o recebimento de comunicações por
e-mail suspeitas que podem conter código malicioso. Os incidentes suspeitos na cadeia de abastecimento incluem a inserção
de hardware falsificado ou código malicioso em sistemas organizacionais ou componentes de sistema. Para agências federais,
um incidente que envolva informações de identificação pessoal é considerado uma violação. Uma violação resulta em
divulgação não autorizada, perda de controle, aquisição não autorizada, comprometimento ou ocorrência semelhante quando uma
pessoa que não seja um usuário autorizado acessa ou potencialmente acessa informações pessoalmente identificáveis ou um
usuário autorizado acessa ou potencialmente acessa tais informações para outros fins que não os autorizados.
propósitos.
Controles relacionados: AC-19, AU-6, AU-7, CM-6, CP-2, CP-3, CP-4, IR-2, IR -3, IR-5, IR-6, IR-8 , PE-6, PL - 2, PM-12, SA-8, SC-5,
SC-7, SI-3, SI-4, SI-7.
Melhorias de controle:
Apoiar o processo de tratamento de incidentes usando [Atribuição: mecanismos automatizados definidos pela
organização].
Discussão: Os mecanismos automatizados que apoiam os processos de tratamento de incidentes incluem sistemas e ferramentas
de gestão de incidentes online que apoiam a recolha de dados de resposta em tempo real, a captura completa de pacotes
de rede e a análise forense.
_________________________________________________________________________________________________
pe
E Inclua os seguintes tipos de reconfiguração dinâmica para [Atribuição: componentes do sistema definidos pela
organização] como parte da capacidade de resposta a incidentes: [Atribuição: tipos de reconfiguração dinâmica
definidos pela organização].
Discussão: A reconfiguração dinâmica inclui alterações nas regras do roteador, listas de controle de acesso, detecção de
intrusão ou parâmetros do sistema de prevenção e regras de filtro para guardas ou firewalls.
As organizações podem realizar a reconfiguração dinâmica dos sistemas para impedir ataques, direcionar mal os invasores
e isolar componentes dos sistemas, limitando assim a extensão dos danos causados por violações ou comprometimentos.
As organizações incluem prazos específicos para alcançar a reconfiguração dos sistemas na definição da capacidade
de reconfiguração, considerando a potencial necessidade de uma resposta rápida para enfrentar eficazmente as ameaças
cibernéticas.
Identifique [Atribuição: classes de incidentes definidas pela organização] e tome as seguintes ações em resposta
a esses incidentes para garantir a continuação da missão organizacional e das funções de negócios: [Atribuição: ações
definidas pela organização a serem tomadas em resposta a classes de incidentes].
Discussão: As classes de incidentes incluem mau funcionamento devido a erros e omissões de projeto ou
implementação, ataques maliciosos direcionados e ataques maliciosos não direcionados. As ações de resposta a incidentes
incluem a degradação ordenada do sistema, o encerramento do sistema, o regresso ao modo manual ou a ativação de
tecnologia alternativa em que o sistema funciona de forma diferente, empregando medidas enganosas, fluxos de
informação alternativos ou operando num modo reservado para quando os sistemas estão sob ataque. As organizações
consideram se os requisitos de continuidade das operações durante um incidente entram em conflito com a capacidade de
desabilitar automaticamente o sistema, conforme especificado como parte do IR-4(5).
Correlacione informações sobre incidentes e respostas individuais a incidentes para obter uma
perspectiva de toda a organização sobre conscientização e resposta a incidentes.
Discussão: Às vezes, um evento de ameaça, como um ataque cibernético hostil, só pode ser observado reunindo informações
de diferentes fontes, incluindo vários relatórios e procedimentos de relatório estabelecidos pelas organizações.
Discussão: O foco explícito no tratamento de incidentes que envolvem ameaças internas dá ênfase adicional a este tipo de
ameaça e à necessidade de capacidades específicas de tratamento de incidentes para fornecer respostas adequadas e
oportunas.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Coordenar uma capacidade de tratamento de incidentes para ameaças internas que inclua as seguintes entidades
organizacionais [Atribuição: entidades definidas pela organização].
Discussão: O tratamento de incidentes de ameaças internas (por exemplo, preparação, detecção e análise, contenção,
erradicação e recuperação) requer coordenação entre muitas entidades organizacionais, incluindo proprietários de
missões ou negócios, proprietários de sistemas, escritórios de recursos humanos, escritórios de compras, escritórios
de pessoal, escritórios de segurança física, oficial sênior de segurança da informação da agência, pessoal de operações,
executivo de risco (função), oficial sênior da agência para privacidade e consultor jurídico. Além disso, as organizações
podem exigir apoio externo de agências policiais federais, estaduais e locais.
Coordenar com [Atribuição: organizações externas definidas pela organização] para correlacionar e compartilhar
[Atribuição: informações sobre incidentes definidas pela organização] para obter uma perspectiva
interorganizacional sobre conscientização de incidentes e respostas mais eficazes a incidentes.
Empregar [Tarefa: capacidades de resposta dinâmica definidas pela organização] para responder a incidentes.
Discussão: A capacidade de resposta dinâmica aborda a implantação oportuna de capacidades organizacionais novas ou
de substituição em resposta a incidentes. Isto inclui capacidades implementadas no nível da missão e do processo de
negócios e no nível do sistema.
Discussão: As organizações envolvidas nas atividades da cadeia de abastecimento incluem desenvolvedores de produtos,
integradores de sistemas, fabricantes, embaladores, montadores, distribuidores, vendedores e revendedores. Os
incidentes na cadeia de abastecimento podem ocorrer em qualquer lugar através ou para a cadeia de abastecimento e
incluem comprometimentos ou violações que envolvam fornecedores primários ou secundários, produtos de tecnologia
da informação, componentes de sistema, processos ou pessoal de desenvolvimento e processos de distribuição ou
instalações de armazenamento. As organizações consideram incluir processos para proteger e compartilhar informações
sobre incidentes em acordos de troca de informações e suas obrigações para relatar incidentes a órgãos de supervisão
governamental (por exemplo, Conselho Federal de Segurança de Aquisições).
Estabelecer e manter uma equipe integrada de resposta a incidentes que possa ser implantada em qualquer local
identificado pela organização em [Atribuição: período de tempo definido pela organização].
_________________________________________________________________________________________________
pe
E Discussão: Uma equipe integrada de resposta a incidentes é uma equipe de especialistas que avalia, documenta e
responde a incidentes para que os sistemas e redes organizacionais possam se recuperar rapidamente e implementar
os controles necessários para evitar incidentes futuros. O pessoal da equipe de resposta a incidentes inclui analistas de
códigos forenses e maliciosos, desenvolvedores de ferramentas, engenheiros de segurança e privacidade de sistemas
e pessoal de operações em tempo real. A capacidade de tratamento de incidentes inclui a rápida preservação forense de
evidências e a análise e resposta a invasões. Para algumas organizações, a equipe de resposta a incidentes pode ser uma
entidade interorganizacional.
Uma equipe integrada de resposta a incidentes facilita o compartilhamento de informações e permite que o
pessoal organizacional (por exemplo, desenvolvedores, implementadores e operadores) aproveite o conhecimento da equipe
sobre a ameaça e implemente medidas defensivas que permitem às organizações impedir intrusões de forma mais eficaz.
Além disso, as equipas integradas promovem a rápida detecção de intrusões, o desenvolvimento de mitigações adequadas e
a implementação de medidas defensivas eficazes. Por exemplo, quando uma intrusão é detectada, a equipe integrada pode
desenvolver rapidamente uma resposta apropriada para implementação pelos operadores, correlacionar o novo incidente
com informações sobre invasões anteriores e aumentar o desenvolvimento contínuo de inteligência cibernética. As
equipes integradas de resposta a incidentes são mais capazes de identificar táticas, técnicas e procedimentos do
adversário que estão vinculados ao ritmo das operações ou à missão específica e às funções de negócios e definir
ações responsivas de uma forma que não interrompa essas missões e funções de negócios. As equipes de resposta a
incidentes podem ser distribuídas dentro das organizações para tornar a capacidade resiliente.
Analise códigos maliciosos e/ou outros artefatos residuais remanescentes no sistema após o incidente.
Discussão: Quando conduzida cuidadosamente em um ambiente isolado, a análise de códigos maliciosos e outros artefatos
residuais de um incidente ou violação de segurança pode fornecer à organização informações sobre táticas, técnicas e
procedimentos do adversário. Também pode indicar a identidade ou algumas características definidoras do adversário. Além
disso, a análise de códigos maliciosos pode ajudar a organização a desenvolver respostas para incidentes futuros.
Discussão: Se a organização mantém um ambiente de fraude, uma análise dos comportamentos nesse ambiente, incluindo
os recursos visados pelo adversário e o momento do incidente ou evento, pode fornecer informações sobre táticas,
técnicas e procedimentos adversários.
Externamente a um ambiente de fraude, a análise de comportamento adversário anômalo (por exemplo, mudanças no
desempenho do sistema ou nos padrões de uso) ou de comportamento suspeito (por exemplo, mudanças nas buscas pela
localização de recursos específicos) pode fornecer à organização essa percepção.
Discussão: Um centro de operações de segurança (SOC) é o ponto focal para operações de segurança e defesa da rede de
computadores de uma organização. O objetivo do SOC é defender e monitorar os sistemas e redes de uma organização
(ou seja, a infraestrutura cibernética) de forma contínua. O SOC também é responsável por detectar, analisar e responder
a incidentes de segurança cibernética em tempo hábil. A organização fornece ao SOC pessoal técnico e
_________________________________________________________________________________________________
pe
E pessoal operacional (por exemplo, analistas de segurança, pessoal de resposta a incidentes, engenheiros de segurança de
sistemas) e implementa uma combinação de controles técnicos, de gerenciamento e operacionais (incluindo
ferramentas de monitoramento, varredura e análise forense) para monitorar, fundir, correlacionar, analisar e responder a
dados de eventos relevantes para ameaças e segurança de diversas fontes.
Essas fontes incluem defesas de perímetro, dispositivos de rede (por exemplo, roteadores, switches) e feeds de dados
de agentes de endpoint. O SOC fornece um recurso holístico de reconhecimento situacional para ajudar as organizações a
determinar a postura de segurança do sistema e da organização. Uma capacidade SOC pode ser obtida de diversas
maneiras. Organizações maiores podem implementar um SOC dedicado, enquanto organizações menores podem
empregar organizações terceirizadas para fornecer tal capacidade.
Discussão: É importante para uma organização ter uma estratégia para lidar com incidentes que foram trazidos à
atenção do público em geral, que lançaram a organização sob uma luz negativa ou que afetaram os constituintes da
organização (por exemplo, parceiros, clientes ). Tal publicidade pode ser extremamente prejudicial para a organização
e afetar
sua capacidade de cumprir sua missão e funções comerciais. Tomar medidas proactivas para reparar a reputação da
organização é um aspecto essencial para restabelecer a confiança dos seus constituintes.
Referências: [FASC18], [41 CFR 201], [OMB M-17-12], [SP 800-61], [SP 800-86], [SP 800-101], [SP 800-150], [ SP 800-160-2], [SP
800-184], [IR 7559].
Discussão: Documentar incidentes inclui manter registros sobre cada incidente, o status do incidente e outras informações
pertinentes necessárias para a análise forense, bem como avaliar detalhes, tendências e tratamento do incidente. As
informações sobre incidentes podem ser obtidas de diversas fontes, incluindo monitoramento de rede, relatórios de incidentes,
equipes de resposta a incidentes, reclamações de usuários, parceiros da cadeia de suprimentos, monitoramento de
auditoria, monitoramento de acesso físico e relatórios de usuários e administradores. IR-4 fornece informações sobre os tipos de
incidentes apropriados
para monitorar.
Controles relacionados: AU-6, AU-7, IR-4, IR-6, IR-8, PE-6, PM-5, SC-5, SC-7, SI-3, SI- 4, SI-7 .
Melhorias de controle:
Rastreie incidentes e colete e analise informações sobre incidentes usando [Atribuição: mecanismos
automatizados definidos pela organização].
Discussão: Mecanismos automatizados para rastrear incidentes e coletar e analisar informações sobre incidentes
incluem Centros de Resposta a Incidentes Informáticos ou outros bancos de dados eletrônicos de incidentes e
dispositivos de monitoramento de rede.
_________________________________________________________________________________________________
pe
E RELATÓRIO DE INCIDENTES IR-6
Ao controle:
b. Reportar informações sobre incidentes para [Atribuição: autoridades definidas pela organização].
Discussão: Os tipos de incidentes relatados, o conteúdo e a oportunidade dos relatórios, e as autoridades relatoras designadas
refletem as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. As informações sobre incidentes
podem informar avaliações de risco, avaliações de eficácia de controle, requisitos de segurança para aquisições e critérios de
seleção para produtos tecnológicos.
Melhorias de controle:
Discussão: Os destinatários dos relatórios de incidentes são especificados no IR-6b. Os mecanismos de relatórios
automatizados incluem e-mail, postagem em sites (com atualizações automáticas) e ferramentas e programas automatizados
de resposta a incidentes.
Discussão: Os incidentes relatados que revelam vulnerabilidades do sistema são analisados pelo pessoal
organizacional, incluindo proprietários de sistemas, proprietários de missões e negócios, oficiais seniores de segurança
da informação de agências, funcionários seniores de agências para privacidade, funcionários autorizadores,
e o executivo de risco (função). A análise pode servir para priorizar e iniciar ações de mitigação para resolver a vulnerabilidade
do sistema descoberta.
Discussão: As organizações envolvidas nas atividades da cadeia de abastecimento incluem desenvolvedores de produtos,
integradores de sistemas, fabricantes, embaladores, montadores, distribuidores, vendedores e revendedores. As
entidades que fornecem governança da cadeia de suprimentos incluem o Conselho Federal de Segurança de
Aquisições (FASC). Incidentes na cadeia de suprimentos incluem comprometimentos ou violações que envolvem
produtos de tecnologia da informação, componentes de sistema, processos de desenvolvimento ou pessoal, processos de
distribuição ou instalações de armazenamento. As organizações determinam as informações apropriadas para compartilhar
e consideram o valor obtido ao informar organizações externas sobre incidentes na cadeia de abastecimento, incluindo a
capacidade de melhorar processos ou de identificar a causa raiz de um incidente.
_________________________________________________________________________________________________
pe
E ASSISTÊNCIA DE RESPOSTA A INCIDENTES IR-7
Controle: Fornecer um recurso de suporte à resposta a incidentes, parte integrante da capacidade organizacional de
resposta a incidentes, que ofereça aconselhamento e assistência aos usuários do sistema para o tratamento e relato
de incidentes.
Discussão: Os recursos de apoio à resposta a incidentes fornecidos pelas organizações incluem help desks, grupos
de assistência, sistemas automatizados de tickets para abrir e rastrear tickets de resposta a incidentes e acesso a
serviços forenses ou serviços de reparação ao consumidor, quando necessário.
Controles relacionados: AT-2, AT-3, IR-4, IR-6, IR-8, PM-22, PM-26, SA-9, SI-18.
Melhorias de controle:
Discussão: Mecanismos automatizados podem fornecer uma capacidade push ou pull para que os usuários
obtenham assistência na resposta a incidentes. Por exemplo, os indivíduos podem ter acesso a um website para
consultar a capacidade de assistência, ou a capacidade de assistência pode enviar proativamente informações
de resposta a incidentes aos utilizadores (distribuição geral ou direcionada) como parte do aumento da
compreensão das atuais capacidades de resposta e apoio.
Controles relacionados: Nenhum.
(a) Estabelecer uma relação direta e cooperativa entre sua capacidade de resposta a incidentes
e fornecedores externos de capacidade de proteção do sistema; e
(b) Identificar os membros da equipe de resposta a incidentes organizacionais para os fornecedores externos.
Ao controle:
3. Fornece uma abordagem de alto nível sobre como a capacidade de resposta a incidentes se encaixa no
organização geral;
_________________________________________________________________________________________________
pe
E 6. Fornece métricas para medir a capacidade de resposta a incidentes dentro da organização;
7. Define os recursos e o apoio de gestão necessários para manter e amadurecer eficazmente uma capacidade
de resposta a incidentes;
10. Designa explicitamente a responsabilidade pela resposta a incidentes para [Atribuição: entidades, pessoal ou
funções definidas pela organização].
b. Distribuir cópias do plano de resposta a incidentes para [Atribuição: incidente definido pela organização
pessoal de resposta (identificado por nome e/ ou função) e elementos organizacionais];
c. Atualizar o plano de resposta a incidentes para abordar alterações ou problemas do sistema e da organização
encontrados durante a implementação, execução ou teste do plano;
d. Comunicar alterações no plano de resposta a incidentes para [Atribuição: pessoal de resposta a incidentes definido pela
organização (identificado por nome e/ ou função) e elementos organizacionais]; e
Discussão: É importante que as organizações desenvolvam e implementem uma abordagem coordenada para resposta a
incidentes. A missão organizacional e as funções de negócios determinam a estrutura das capacidades de resposta
a incidentes. Como parte das capacidades de resposta a incidentes, as organizações consideram a coordenação
e partilha de informações com organizações externas, incluindo
prestadores de serviços externos e outras organizações envolvidas na cadeia de abastecimento. Para incidentes que
envolvam informações de identificação pessoal (ou seja, violações), inclua um processo para determinar se a
notificação às organizações de supervisão ou aos indivíduos afetados é apropriada e forneça essa notificação
adequadamente.
Controles relacionados: AC-2, CP-2, CP-4, IR-4, IR-7, IR-9, PE-6, PL-2, SA-15, SI-12, SR-8.
Melhorias de controle:
Discussão: As organizações podem ser obrigadas por lei, regulamento ou política a seguir procedimentos
específicos relativos a violações, incluindo notificação a indivíduos, organizações afetadas e órgãos de supervisão;
padrões de dano; e mitigação ou outros requisitos específicos.
a. Atribuir [Atribuição: pessoal ou funções definidas pela organização] com responsabilidade por
responder a vazamentos de informações;
_________________________________________________________________________________________________
pe
E b. Identificar as informações específicas envolvidas na contaminação do sistema;
c. Alertar [Atribuição: pessoal ou funções definidas pela organização] sobre o vazamento de informações usando um
método de comunicação não associado ao derramamento;
f. Identificar outros sistemas ou componentes de sistema que possam ter sido posteriormente
contaminado; e
Discussão: O derramamento de informações refere-se a casos em que as informações são colocadas em sistemas
que não estão autorizados a processar tais informações. Os vazamentos de informações ocorrem quando informações
que se acredita terem uma determinada classificação ou nível de impacto são transmitidas a um sistema e
subsequentemente são determinadas como sendo de uma classificação ou nível de impacto mais elevado. Nesse
ponto, ações corretivas são necessárias. A natureza da resposta baseia-se na classificação ou nível de impacto da
informação derramada, nas capacidades de segurança do sistema, na natureza específica dos meios de
armazenamento contaminados e nas autorizações de acesso de indivíduos com acesso autorizado ao
sistema contaminado. Os métodos utilizados para comunicar informações sobre o derrame após o facto não
envolvem métodos directamente associados ao derrame real para minimizar o risco de propagação adicional
da contaminação antes que tal contaminação seja isolada e erradicada.
Controles Relacionados: CP-2, IR-6, PM-26, PM-27, PT-2, PT-3, PT-7, RA-7.
Melhorias de controle:
Implemente os seguintes procedimentos para garantir que o pessoal organizacional afetado por
vazamentos de informações possa continuar a realizar as tarefas atribuídas enquanto os sistemas
contaminados estão passando por ações corretivas: [Atribuição: procedimentos definidos pela organização].
Discussão: As ações corretivas para sistemas contaminados devido a vazamentos de informações podem
ser demoradas. O pessoal pode não ter acesso aos sistemas contaminados enquanto as ações corretivas
estão sendo tomadas, o que pode afetar potencialmente a sua capacidade de conduzir os negócios
organizacionais.
Controles relacionados: Nenhum.
Empregue os seguintes controles para o pessoal exposto a informações que não estejam dentro das
autorizações de acesso atribuídas: [Atribuição: controles definidos pela organização].
Discussão: Os controles incluem garantir que o pessoal exposto a informações vazadas seja informado sobre
as leis, ordens executivas, diretivas, regulamentos, políticas, padrões,
_________________________________________________________________________________________________
pe
E e orientações sobre as informações e as restrições impostas com base na exposição a tais informações.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.9 MANUTENÇÃO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de manutenção que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: A política e os procedimentos de manutenção abordam os controles da família MA que são implementados
nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais
políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é
importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de manutenção. As políticas e procedimentos do programa de segurança e privacidade no nível da organização
são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão ou do
sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser representada por
múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos para
programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser
direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos
planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Eventos que podem precipitar
uma atualização na avaliação de políticas e procedimentos de manutenção ou resultados de auditoria, incidentes ou
violações de segurança ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis.
A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].
_________________________________________________________________________________________________
pe
E MANUTENÇÃO CONTROLADA MA-2
Ao controle:
b. Aprovar e monitorar todas as atividades de manutenção, sejam realizadas no local ou remotamente e se o sistema ou
componentes do sistema são reparados no local ou removidos para outro local;
c. Exigir que [Atribuição: pessoal ou funções definidas pela organização] aprove explicitamente a remoção do sistema
ou componentes do sistema das instalações organizacionais para manutenção, reparo ou substituição fora
do local;
d. Higienize o equipamento para remover as seguintes informações da mídia associada antes de removê-lo das
instalações organizacionais para manutenção, reparo ou substituição fora do local: [Atribuição: informações
definidas pela organização];
e. Verifique todos os controles potencialmente impactados para verificar se eles ainda estão funcionando
corretamente após ações de manutenção, reparo ou substituição; e
Controles relacionados: CM-2, CM-3, CM-4, CM-5, CM-8, MA -4, MP-6, PE-16, SI-2, SR-3, SR-4, SR-11 .
Melhorias de controle:
(a) Programar, conduzir e documentar ações de manutenção, reparo e substituição do sistema usando
[Atribuição: mecanismos automatizados definidos pela organização]; e
(b) Produzir registros atualizados, precisos e completos de todas as ações de manutenção, reparo e
substituição solicitadas, programadas, em andamento e concluídas.
Discussão: O uso de mecanismos automatizados para gerenciar e controlar programas e atividades de manutenção
de sistemas ajuda a garantir a geração de registros de manutenção oportunos, precisos, completos e consistentes.
Ao controle:
_________________________________________________________________________________________________
pe
E b. Revise as ferramentas de manutenção do sistema previamente aprovadas [Atribuição: definida pela organização
frequência].
Discussão: Aprovar, controlar, monitorar e revisar ferramentas de manutenção abordam questões relacionadas à
segurança associadas a ferramentas de manutenção que não estão dentro dos limites de autorização do
sistema e são usadas especificamente para ações de diagnóstico e reparo em sistemas organizacionais. As
organizações têm flexibilidade na determinação de funções para a aprovação de ferramentas de manutenção e na forma
como essa aprovação é documentada. Uma revisão periódica das ferramentas de manutenção facilita a retirada da
aprovação de ferramentas desatualizadas, sem suporte, irrelevantes ou que não são mais utilizadas. As ferramentas de
manutenção podem incluir itens de hardware, software e firmware e podem ser
pré-instalado, trazido pela equipe de manutenção em mídia, baseado em nuvem ou baixado de um site. Essas ferramentas
podem ser veículos para transportar códigos maliciosos, intencionalmente ou não, para uma instalação e subsequentemente
para sistemas. As ferramentas de manutenção podem incluir
equipamentos de teste de diagnóstico de hardware e software e farejadores de pacotes. O hardware e
componentes de software que suportam manutenção e fazem parte do sistema (incluindo o software que implementa
utilitários como “ping”, “ls”, “ipconfig” ou o hardware e software que implementam a porta de monitoramento de um switch
Ethernet) não são endereçados por ferramentas de manutenção.
Melhorias de controle:
Discussão: As ferramentas de manutenção podem ser trazidas diretamente para uma instalação pelo pessoal
de manutenção ou baixadas do site de um fornecedor. Se, após a inspeção das ferramentas de manutenção, as
organizações determinarem que as ferramentas foram modificadas de maneira inadequada ou que contêm código
malicioso, o incidente será tratado de acordo com as políticas e procedimentos organizacionais para tratamento
de incidentes.
Controles Relacionados: SI-7.
Verifique a mídia que contém programas de diagnóstico e teste em busca de códigos maliciosos antes que a
mídia seja usada no sistema.
Discussão: Se, após a inspeção da mídia que contém programas de manutenção, diagnóstico e teste, as
organizações determinarem que a mídia contém código malicioso, o incidente será tratado de acordo com as políticas
e procedimentos organizacionais de tratamento de incidentes.
Controles Relacionados: SI-3.
(d) Obter uma isenção de [Atribuição: pessoal ou funções definidas pela organização] que autoriza
explicitamente a remoção do equipamento da instalação.
Discussão: As informações organizacionais incluem todas as informações de propriedade das organizações e quaisquer
informações fornecidas às organizações para as quais as organizações atuam como administradores de informações.
_________________________________________________________________________________________________
pe
E (4) FERRAMENTAS DE MANUTENÇÃO | USO RESTRITO DA FERRAMENTA
Discussão: Restringir o uso de ferramentas de manutenção apenas a pessoal autorizado aplica-se a sistemas
usados para realizar funções de manutenção.
Discussão: Ferramentas de manutenção executadas com privilégios de sistema aumentados podem resultar em
acesso não autorizado a informações organizacionais e ativos que de outra forma seriam inacessíveis.
Inspecione as ferramentas de manutenção para garantir que as atualizações e patches de software mais recentes estejam instalados.
Discussão: Ferramentas de manutenção que usam software desatualizado e/ou sem patch podem fornecer um
vetor de ameaça para adversários e resultar em uma vulnerabilidade significativa para as organizações.
Ao controle:
b. Permitir o uso de ferramentas de diagnóstico e manutenção não locais apenas conforme consistente com
a política organizacional e documentado no plano de segurança do sistema;
e. Encerre as conexões de sessão e de rede quando a manutenção não local for concluída.
Discussão: As atividades de manutenção e diagnóstico não locais são conduzidas por indivíduos que se comunicam
através de uma rede externa ou interna. As atividades locais de manutenção e diagnóstico são realizadas por indivíduos
que estão fisicamente presentes no local do sistema e não se comunicam através de uma conexão de rede. Técnicas de
autenticação usadas para estabelecer
sessões de manutenção e diagnóstico não locais refletem os requisitos de acesso à rede em IA-2.
A autenticação forte requer autenticadores resistentes a ataques de repetição e que empregam autenticação
multifatorial. Autenticadores fortes incluem PKI, onde os certificados são armazenados em um token protegido por senha,
frase secreta ou biometria. A aplicação dos requisitos do MA-4 é realizada, em parte, por outros controles. [SP
800-63B] fornece orientação adicional sobre autenticação forte e autenticadores.
Controles relacionados: AC-2, AC-3, AC-6, AC-17, AU-2, AU-3, IA-2, IA-4, IA-5, IA-8, MA-2, MA-5 , PL-2, SC-7, SC-10.
Melhorias de controle:
(a) Registrar [Atribuição: eventos de auditoria definidos pela organização] para manutenção não local e
sessões de diagnóstico; e
_________________________________________________________________________________________________
pe
E (b) Revise os registros de auditoria das sessões de manutenção e diagnóstico para detectar
comportamento anômalo.
Discussão: O registro de auditoria para manutenção não local é imposto pelo AU-2. Os eventos de auditoria
são definidos em AU-2a.
(a) Exigir que serviços não locais de manutenção e diagnóstico sejam realizados a partir de um
sistema que implemente uma capacidade de segurança comparável à capacidade
implementada no sistema em manutenção; ou
(b) Remover do sistema o componente a ser reparado antes da manutenção não local ou serviços de
diagnóstico; higienizar o componente (para informações organizacionais); e após a execução do
serviço, inspecione e higienize o componente (em busca de software potencialmente malicioso)
antes de reconectar o componente ao sistema.
(a) Empregar [Atribuição: autenticadores definidos pela organização que são reproduzidos
resistente]; e
(b) Separar as sessões de manutenção de outras sessões de rede com o sistema por
qualquer:
(a) Exigir a aprovação de cada sessão de manutenção não local por [Atribuição:
pessoal ou funções definidas pela organização]; e
(b) Notificar o seguinte pessoal ou funções sobre a data e hora da manutenção não local planejada:
[Atribuição: pessoal ou funções definidas pela organização].
Discussão: A notificação pode ser realizada pelo pessoal de manutenção. A aprovação da manutenção não local é
realizada por pessoal com suficiente segurança da informação e conhecimento do sistema para determinar a
adequação da manutenção proposta.
Controles relacionados: Nenhum.
Discussão: A falha em proteger a manutenção não local e as comunicações de diagnóstico pode resultar no
acesso de indivíduos não autorizados às informações organizacionais. Não autorizado
_________________________________________________________________________________________________
pe
E o acesso durante sessões de manutenção remota pode resultar em uma variedade de ações hostis,
incluindo inserção de código malicioso, alterações não autorizadas nos parâmetros do sistema e exfiltração
de informações organizacionais. Tais ações podem resultar na perda ou degradação da missão ou das capacidades
empresariais.
Discussão: Verificar o encerramento de uma conexão após a conclusão da manutenção garante que as
conexões estabelecidas durante sessões de manutenção e diagnóstico não locais foram encerradas e não estão
mais disponíveis para uso.
Controles relacionados: AC-12.
Referências: [FIPS 140-3], [FIPS 197], [FIPS 201-2], [SP 800-63-3], [SP 800-88].
Ao controle:
a. Estabelecer um processo para autorização do pessoal de manutenção e manter uma lista de organizações
ou pessoal de manutenção autorizado;
b. Verifique se o pessoal não escoltado que realiza a manutenção do sistema possui as autorizações de acesso
necessárias; e
Discussão: Pessoal de manutenção refere-se a indivíduos que realizam manutenção de hardware ou software em
sistemas organizacionais, enquanto PE-2 aborda o acesso físico para indivíduos cujas tarefas de manutenção os
colocam dentro do perímetro de proteção física dos sistemas.
A competência técnica dos supervisores refere-se à manutenção realizada nos sistemas, enquanto a necessidade de
autorizações de acesso refere-se à manutenção nos sistemas e próximo a eles. Indivíduos não identificados
anteriormente como pessoal de manutenção autorizado – como fabricantes de tecnologia da informação,
fornecedores, integradores de sistemas e consultores – podem exigir acesso privilegiado a sistemas organizacionais,
como quando são obrigados a realizar atividades de manutenção com pouco ou nenhum aviso prévio. Com base em
avaliações organizacionais de risco, as organizações podem emitir credenciais temporárias para esses indivíduos.
As credenciais temporárias podem ser para uso único ou por períodos muito limitados.
Controles relacionados: AC-2, AC-3, AC-5, AC-6, IA-2, IA-8, MA-4, MP-2, PE-2, PE-3, PS-7, RA-3 .
Melhorias de controle:
(a) Implementar procedimentos para a utilização de pessoal de manutenção que não possua habilitações
de segurança adequadas ou que não sejam cidadãos dos EUA, que incluam os seguintes requisitos:
(2) Antes de iniciar atividades de manutenção ou diagnóstico por pessoal que não tenha as
necessárias autorizações de acesso, liberações ou aprovações formais de acesso, todos
_________________________________________________________________________________________________
pe
E os componentes voláteis de armazenamento de informações dentro do sistema são higienizados
e todas as mídias de armazenamento não voláteis são removidas ou fisicamente
desconectadas do sistema e protegidas; e
(b) Desenvolver e implementar [Atribuição: controles alternativos definidos pela organização] no caso de um
componente do sistema não poder ser higienizado, removido ou desconectado do sistema.
Discussão: Os procedimentos para indivíduos que não possuem autorizações de segurança adequadas ou que não
são cidadãos dos EUA têm como objetivo negar o acesso visual e eletrónico a informações classificadas ou não
classificadas controladas contidas em sistemas organizacionais. Os procedimentos para a utilização do pessoal
de manutenção podem ser documentados nos planos de segurança dos sistemas.
Discussão: O pessoal que realiza manutenção em sistemas organizacionais pode ser exposto a informações
confidenciais durante o curso de suas atividades de manutenção. Para mitigar o risco inerente a tal exposição, as
organizações utilizam pessoal de manutenção que está habilitado (ou seja, possui credenciamento de segurança)
ao nível de classificação das informações armazenadas no sistema.
Discussão: O pessoal que realiza manutenção em sistemas organizacionais pode ser exposto a informações
confidenciais durante o curso de suas atividades de manutenção. Se o acesso a informações confidenciais
sobre sistemas organizacionais for restrito a cidadãos dos EUA, a mesma restrição será aplicada ao pessoal
que realiza manutenção nesses sistemas.
Controles relacionados: PS-3.
Garanta que:
(a) Cidadãos estrangeiros com habilitações de segurança adequadas são utilizados para realizar
atividades de manutenção e diagnóstico em sistemas classificados somente quando os sistemas forem
de propriedade conjunta e operados pelos Estados Unidos e governos aliados estrangeiros, ou de
propriedade e operados exclusivamente por governos aliados estrangeiros; e
Discussão: O pessoal que realiza atividades de manutenção e diagnóstico em sistemas organizacionais pode estar
exposto a informações confidenciais. Se os cidadãos não americanos tiverem permissão para realizar
atividades de manutenção e diagnóstico em sistemas classificados, será necessária uma verificação adicional para
garantir que os acordos e restrições não sejam violados.
Controles relacionados: PS-3.
_________________________________________________________________________________________________
pe
E Certifique-se de que o pessoal não escoltado que realiza atividades de manutenção não diretamente
associadas ao sistema, mas na proximidade física do sistema, tenha as autorizações de acesso necessárias.
Discussão: O pessoal que realiza atividades de manutenção em outras capacidades não diretamente relacionadas ao
sistema inclui o pessoal da planta física e o pessoal de custódia.
Referências: Nenhuma.
Controle: Obtenha suporte de manutenção e/ou peças sobressalentes para [Atribuição: componentes do sistema definidos pela
organização] dentro de [Atribuição: período de tempo definido pela organização] após a falha.
Discussão: As organizações especificam os componentes do sistema que resultam em maior risco para as operações e
ativos organizacionais, para os indivíduos, para outras organizações ou para a Nação quando a funcionalidade fornecida por
esses componentes não está operacional. As ações organizacionais para obter suporte de manutenção incluem a existência de
contratos apropriados.
Controles relacionados: CM-8, CP-2, CP-7, RA-7, SA-15, SI-13, SR-2, SR-3, SR-4.
Melhorias de controle:
registros estatísticos de falhas; opinião de um 'expert; manutenção já realizada em equipamentos similares; requisitos de
códigos, leis ou regulamentos dentro de uma jurisdição; ou valores medidos e indicações de desempenho.
Discussão: A manutenção preditiva avalia a condição do equipamento realizando monitoramento periódico ou contínuo
(online) da condição do equipamento. O objetivo da manutenção preditiva é realizar a manutenção em um horário
programado, quando a atividade de manutenção for mais econômica e antes que o equipamento perca desempenho dentro
de um limite. A componente preditiva da manutenção preditiva decorre do objetivo de prever a tendência futura do estado
dos equipamentos. A abordagem de manutenção preditiva emprega
princípios de controle estatístico de processos para determinar em que ponto das futuras atividades de manutenção serão
apropriadas. A maioria das inspeções de manutenção preditiva são realizadas enquanto o equipamento está em serviço,
minimizando assim a interrupção das operações normais do sistema. A manutenção preditiva pode resultar em economias
substanciais de custos e maior confiabilidade do sistema.
_________________________________________________________________________________________________
pe
E (3) MANUTENÇÃO OPORTUNA | SUPORTE AUTOMATIZADO PARA MANUTENÇÃO PREDITIVA
Referências: Nenhuma.
Controle: Restringir ou proibir a manutenção de campo em [Atribuição: sistemas ou componentes de sistema definidos pela
organização] para [Atribuição: instalações de manutenção confiáveis definidas pela organização].
Discussão: Manutenção em campo é o tipo de manutenção realizada em um sistema ou componente de sistema após o
sistema ou componente ter sido implantado em um local específico (ou seja, ambiente operacional). Em certos casos, a manutenção
em campo (isto é, manutenção local no local) pode não ser executada com o mesmo grau de rigor ou com as mesmas verificações
de controle de qualidade que a manutenção em depósito. Para sistemas críticos designados como tal pela organização, pode
ser necessário restringir ou proibir a manutenção de campo no local e exigir que tal manutenção seja realizada em instalações
confiáveis com controles adicionais.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.10 PROTEÇÃO DE MÍDIA
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de proteção
de mídia em nível de sistema] que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
2. Procedimentos para facilitar a implementação da política de protecção dos meios de comunicação social e dos controlos
associados à protecção dos meios de comunicação social;
Discussão: A política e os procedimentos de proteção da mídia abordam os controles da família MP que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de
políticas e procedimentos de proteção da mídia. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos
específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e
privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser
estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios
e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados
e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os
eventos que podem precipitar uma atualização da política e dos procedimentos de proteção da mídia incluem
resultados de avaliações ou auditorias, incidentes de segurança
ou violações ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis. A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].
_________________________________________________________________________________________________
pe
E ACESSO À MÍDIA MP-2
Controle: Restringir o acesso a [Atribuição: tipos de mídia digital e/ ou não digital definidos pela organização] a [Atribuição:
pessoal ou funções definidos pela organização].
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui unidades flash, disquetes, fitas
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido, magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme. Negar o acesso aos registos médicos
dos pacientes num hospital comunitário, a menos que os indivíduos que procuram acesso a esses registos sejam
prestadores de cuidados de saúde autorizados, é um exemplo de restrição do acesso a meios não digitais. Limitar o acesso
às especificações de design armazenadas em CDs na biblioteca de mídia a indivíduos da equipe de desenvolvimento do
sistema é um exemplo de restrição de acesso à mídia digital.
Controles relacionados: AC-19, AU-9, CP-2, CP-9, CP-10, MA-5, MP-4, MP-6, PE-2, PE-3, SC-12, SC-13 , SC-34, SI-12.
Melhorias de controle:
Ao controle:
a. Marque a mídia do sistema indicando as limitações de distribuição, as advertências de tratamento e as restrições aplicáveis.
marcações de segurança (se houver) das informações; e
b. Isento [Atribuição: tipos de mídia do sistema definidos pela organização] da marcação se a mídia
permanecer dentro de [Atribuição: áreas controladas definidas pela organização].
Discussão: A marcação de segurança refere-se à aplicação ou uso de atributos de segurança legíveis por humanos.
A mídia digital inclui disquetes, fitas magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado
sólido, magnético), unidades flash, discos compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme.
As informações não classificadas controladas são definidas pela Administração Nacional de Arquivos e Registros juntamente
com os requisitos apropriados de salvaguarda e disseminação para tais informações e são codificadas em [32 CFR
2002]. Geralmente, as marcações de segurança não são exigidas para mídias que contenham informações determinadas
pelas organizações como sendo de domínio público ou divulgáveis publicamente. Algumas organizações podem
exigir marcações para informações públicas indicando que as informações podem ser divulgadas publicamente.
A marcação da mídia do sistema reflete as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Controlar fisicamente e armazenar com segurança [Atribuição: tipos de dados digitais definidos pela organização
e/ ou mídia não digital] dentro de [Atribuição: áreas controladas definidas pela organização]; e
b. Proteja os tipos de mídia do sistema definidos na MP-4a até que a mídia seja destruída ou higienizada usando
equipamentos, técnicas e procedimentos aprovados.
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui unidades flash, disquetes, fitas
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido, magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme. O controle físico da mídia
armazenada inclui a realização de inventários, a garantia de que os procedimentos estejam em vigor para
permitir que os indivíduos retirem e devolvam a mídia à biblioteca e a manutenção da responsabilidade pela mídia
armazenada. O armazenamento seguro inclui uma gaveta, mesa ou armário trancado ou uma biblioteca de mídia
controlada. O tipo de armazenamento de mídia é compatível com a categoria de segurança ou classificação das
informações na mídia. Áreas controladas são espaços
que fornecem controles físicos e processuais para atender aos requisitos estabelecidos para proteção de
informações e sistemas. Menos controles podem ser necessários para mídias que contenham
informações determinadas como sendo de domínio público, divulgáveis publicamente ou que tenham impactos adversos
limitados em organizações, operações ou indivíduos, se acessadas por pessoas que não sejam pessoas
autorizadas. Nessas situações, os controles de acesso físico proporcionam proteção adequada.
Controles relacionados: AC-19, CP-2, CP-6, CP-9, CP-10, MP-2, MP-7, PE-3, PL-2, SC- 12, SC-13, SC-28 , SC-34,
SI-12.
Melhorias de controle:
Restrinja o acesso a áreas de armazenamento de mídia e registre tentativas de acesso e acesso concedido
usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Os mecanismos automatizados incluem teclados, leitores biométricos ou leitores de cartões nas
entradas externas das áreas de armazenamento de mídia.
Referências: [FIPS 199], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-2], [SP 800- 57-3], [SP
800-111].
Ao controle:
a. Proteger e controlar [Atribuição: tipos de mídia do sistema definidos pela organização] durante
transporte fora das áreas controladas usando [Atribuição: controles definidos pela organização];
b. Manter a responsabilidade pela mídia do sistema durante o transporte fora das áreas controladas;
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui unidades flash, disquetes, fitas
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido e magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui microfilme e papel. Áreas controladas são espaços
para os quais as organizações fornecem controles físicos ou processuais para atender aos requisitos
estabelecidos para proteção de informações e sistemas. Os controles para proteger a mídia durante o transporte
incluem criptografia e contêineres trancados. Criptográfico
_________________________________________________________________________________________________
pe
E mecanismos podem fornecer proteções de confidencialidade e integridade dependendo dos mecanismos implementados.
As atividades associadas ao transporte de mídia incluem a liberação de mídia para transporte, garantindo que a mídia
entre nos processos de transporte apropriados e no próprio transporte.
O pessoal autorizado de transporte e entrega pode incluir indivíduos externos à organização.
Manter a responsabilidade da mídia durante o transporte inclui restringir as atividades de transporte a pessoal
autorizado e rastrear e/ou obter registros das atividades de transporte à medida que a mídia se move através do
sistema de transporte para prevenir e detectar perda, destruição ou adulteração.
As organizações estabelecem requisitos de documentação para atividades associadas ao transporte de mídia do
sistema de acordo com avaliações organizacionais de risco. As organizações mantêm a flexibilidade para definir
métodos de manutenção de registos para os diferentes tipos de transporte de meios de comunicação social como parte
de um sistema de registos relacionados com o transporte.
Controles relacionados: AC-7, AC-19, CP-2, CP-9, MP-3, MP-4, PE-16, PL-2, SC-12, SC-13, SC-28, SC-34 .
Melhorias de controle:
Ao controle:
a. Sanitizar [Tarefa: mídia do sistema definida pela organização] antes do descarte, liberação fora do controle
organizacional ou liberação para reutilização usando [Tarefa: técnicas e procedimentos de sanitização
definidos pela organização]; e
Discussão: A sanitização de mídia se aplica a todas as mídias de sistemas digitais e não digitais sujeitas a
descarte ou reutilização, independentemente de a mídia ser considerada removível ou não. Os exemplos incluem
mídia digital em scanners, copiadoras, impressoras, notebooks, estações de trabalho, componentes de rede,
dispositivos móveis e mídias não digitais (por exemplo, papel e microfilme). O processo de sanitização remove
informações da mídia do sistema de forma que as informações não possam ser recuperadas ou reconstruídas.
Técnicas de higienização – incluindo limpeza, eliminação, apagamento criptográfico, desidentificação de
informações pessoalmente identificáveis e destruição – evitam a divulgação de informações a indivíduos não
autorizados quando tais mídias são reutilizadas ou liberadas para descarte.
As organizações determinam os métodos de higienização apropriados, reconhecendo que a destruição é por vezes
necessária quando outros métodos não podem ser aplicados aos meios que necessitam de higienização.
_________________________________________________________________________________________________
pe
E As organizações usam discrição no emprego de técnicas e procedimentos de higienização aprovados para mídias que
contenham informações consideradas de domínio público ou divulgáveis publicamente ou informações consideradas como não
tendo impacto adverso sobre organizações ou indivíduos se liberadas para reutilização ou descarte. A higienização de mídia não
digital inclui a destruição, a remoção de um apêndice classificado de um documento que de outra forma não seria classificado ou a
supressão de seções ou palavras selecionadas de um documento, obscurecendo as seções ou palavras redigidas de maneira
equivalente em eficácia à sua remoção do documento. Os padrões e políticas da NSA controlam o processo de higienização de
mídias que contêm informações confidenciais. As políticas da NARA controlam o processo de higienização de informações
não classificadas controladas.
Controles relacionados: AC-3, AC-7, AU-11, MA-2, MA-3, MA -4, MA-5, PM-22, SI-12 , SI-18, SI - 19, SR-11 .
Melhorias de controle:
Discussão: As organizações analisam e aprovam a mídia a ser higienizada para garantir a conformidade com as políticas de
retenção de registros. As ações de rastreamento e documentação incluem listar o pessoal que revisou e aprovou as ações
de sanitização e descarte, tipos de mídia higienizada, arquivos armazenados na mídia, métodos de sanitização usados, data e
hora das ações de sanitização,
pessoal que realizou a higienização, ações de verificação tomadas e pessoal que realizou a verificação e as ações de
descarte tomadas. As organizações verificam se a higienização dos meios de comunicação foi eficaz antes do descarte.
Discussão: Os testes de equipamentos e procedimentos de sanitização podem ser conduzidos por entidades
externas qualificadas e autorizadas, incluindo agências federais ou prestadores de serviços externos.
Discussão: Os dispositivos de armazenamento portáteis incluem unidades de disco rígido externas ou removíveis (por
exemplo, estado sólido, magnético), discos ópticos, fitas magnéticas ou ópticas, dispositivos de memória flash, cartões de
memória flash e outros discos externos ou removíveis. Dispositivos de armazenamento portáteis podem ser
obtidos de fontes não confiáveis e contêm código malicioso que pode ser inserido ou transferido para sistemas organizacionais
através de portas USB ou outros portais de entrada. Embora a verificação de dispositivos de armazenamento seja
recomendada, a higienização fornece garantia adicional de que tais dispositivos estão livres de códigos maliciosos. As
organizações consideram a higienização não destrutiva de dispositivos de armazenamento portáteis quando os dispositivos
são adquiridos de fabricantes ou fornecedores antes do uso inicial ou quando as organizações não conseguem manter uma
cadeia de custódia positiva para os dispositivos.
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao MP-6.]
Aplicar autorização dupla para a higienização de [Atribuição: mídia do sistema definida pela
organização].
Discussão: As organizações empregam autorização dupla para ajudar a garantir que a higienização da
mídia do sistema não possa ocorrer a menos que dois indivíduos tecnicamente qualificados conduzam a tarefa
designada. Os indivíduos que higienizam a mídia do sistema possuem habilidades e conhecimentos
suficientes para determinar se a higienização proposta reflete os padrões, políticas e procedimentos
federais e organizacionais aplicáveis. A dupla autorização também ajuda a garantir que a higienização ocorra
conforme pretendido, protegendo contra erros e falsas alegações de ter realizado as ações de higienização.
A autorização dupla também pode ser conhecida como controle de duas pessoas. Para reduzir o risco de conluio,
as organizações consideram alternar as funções de autorização dupla para outros indivíduos.
Referências: [32 CFR 2002], [OMB A-130], [NARA CUI], [FIPS 199], [SP 800-60-1], [SP 800-60-2],
[SP 800-88], [SP 800-124], [IR 8023], [NSA MEDIA].
Ao controle:
a. [Seleção: Restringir; Proibir] o uso de [Atribuição: tipos de sistema definidos pela organização
mídia] em [Tarefa: sistemas ou componentes de sistema definidos pela organização] usando
[Tarefa: controles definidos pela organização]; e
b. Proibir o uso de dispositivos de armazenamento portáteis em sistemas organizacionais quando tais dispositivos
não têm proprietário identificável.
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui
disquetes, fitas magnéticas, unidades flash, discos compactos, discos versáteis digitais e unidades de disco rígido
removíveis. A mídia não digital inclui papel e microfilme. As proteções de uso de mídia também se aplicam a dispositivos
móveis com capacidade de armazenamento de informações. Em contraste com o MP-2, que restringe o acesso do
usuário à mídia, o MP-7 restringe o uso de certos tipos de mídia nos sistemas, por exemplo, restringindo ou
proibindo o uso de unidades flash ou unidades de disco rígido externas. As organizações usam
controles técnicos e não técnicos para restringir o uso da mídia do sistema. As organizações podem restringir o
uso de dispositivos de armazenamento portáteis, por exemplo, usando gaiolas físicas em estações de trabalho para
proibir o acesso a determinadas portas externas ou desabilitando ou removendo a capacidade de inserir, ler ou
_________________________________________________________________________________________________
pe
E escreva para esses dispositivos. As organizações também podem limitar o uso de dispositivos de armazenamento
portáteis apenas a dispositivos aprovados, incluindo dispositivos fornecidos pela organização, dispositivos fornecidos
por outras organizações aprovadas e dispositivos que não sejam de propriedade pessoal. Finalmente, as organizações
podem restringir o uso de dispositivos de armazenamento portáteis com base no tipo de dispositivo, proibindo o uso
de dispositivos de armazenamento portáteis graváveis e implementando essa restrição desabilitando ou removendo a
capacidade de gravar em tais dispositivos. Exigir proprietários identificáveis para dispositivos de armazenamento
reduz o risco de uso de tais dispositivos, permitindo que as organizações atribuam responsabilidades para lidar com
vulnerabilidades conhecidas nos dispositivos.
Melhorias de controle:
Ao controle:
a. Estabeleça [Tarefa: processo de downgrade de mídia do sistema definido pela organização] que
inclui o emprego de mecanismos de rebaixamento com força e integridade proporcionais à categoria de
segurança ou classificação das informações;
b. Verifique se o processo de downgrade da mídia do sistema é compatível com a categoria de segurança e/ou
nível de classificação das informações a serem removidas e as autorizações de acesso dos potenciais
destinatários das informações rebaixadas;
c. Identificar [Atribuição: mídia de sistema definida pela organização que requer downgrade]; e
Discussão: O downgrade de mídia se aplica a mídias digitais e não digitais sujeitas a divulgação fora da
organização, independentemente de a mídia ser considerada removível ou não. Quando aplicado à mídia do sistema, o
processo de downgrade remove informações da mídia, normalmente por categoria de segurança ou nível de
classificação, de modo que as informações não possam ser recuperadas ou reconstruídas. O downgrade da
mídia inclui a redação de informações para permitir uma divulgação e distribuição mais amplas. O downgrade garante
que o espaço vazio na mídia fique desprovido de informações.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Discussão: As organizações podem documentar o processo de rebaixamento de mídia fornecendo informações, como
a técnica de rebaixamento empregada, o número de identificação da mídia rebaixada e a identidade do indivíduo que autorizou
e/ou executou a ação de rebaixamento.
Discussão: Nenhuma.
Faça o downgrade da mídia do sistema contendo informações não classificadas controladas antes da divulgação
pública.
Faça o downgrade da mídia do sistema contendo informações confidenciais antes de liberá-las para indivíduos sem
as autorizações de acesso necessárias.
_________________________________________________________________________________________________
pe
E 3.11 PROTEÇÃO FÍSICA E AMBIENTAL
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de proteção física e ambiental que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: As políticas e procedimentos de proteção física e ambiental abordam os controles da família PE que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de
segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de políticas e procedimentos de proteção física e ambiental. As políticas e procedimentos do programa
de segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas
e procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das
organizações. Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de
missão ou de negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles
são implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos
podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos
separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de proteção física e
ambiental incluem resultados de avaliações ou auditorias, incidentes ou violações de segurança ou alterações nas leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. A simples reafirmação dos
controles não constitui uma política ou procedimento organizacional.
_________________________________________________________________________________________________
pe
E AUTORIZAÇÕES DE ACESSO FÍSICO PE-2
Ao controle:
a. Desenvolver, aprovar e manter uma lista de indivíduos com acesso autorizado às instalações onde o sistema
reside;
c. Revise a lista de acesso detalhando o acesso autorizado às instalações por indivíduos [Atribuição: frequência
definida pela organização]; e
d. Remover indivíduos da lista de acesso à instalação quando o acesso não for mais necessário.
Discussão: As autorizações de acesso físico aplicam-se a funcionários e visitantes. Indivíduos com credenciais
permanentes de autorização de acesso físico não são considerados visitantes. As credenciais de autorização incluem
crachás de identificação, cartões de identificação e cartões inteligentes. As organizações determinam a força das
credenciais de autorização necessárias de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. Autorizações de acesso físico podem não ser necessárias para acessar determinadas
áreas dentro de instalações designadas como acessíveis ao público.
Controles relacionados: AT-3, AU-9, IA-4, MA-5, MP-2, PE-3, PE-4, PE-5, PE-8, PM-12, PS-3, PS-4 , PS-5, PS-6.
Melhorias de controle:
Autorize o acesso físico à instalação onde o sistema reside com base na posição ou função.
Discussão: O acesso às instalações com base na função inclui o acesso de pessoal autorizado de
manutenção permanente e regular/rotina, oficiais de serviço e equipe médica de emergência.
Exigir duas formas de identificação das seguintes formas de identificação para acesso de visitantes à
instalação onde o sistema reside: [Atribuição: lista de formas de identificação aceitáveis definida pela
organização].
Discussão: As formas aceitáveis de identificação incluem passaportes, carteiras de motorista compatíveis com
REAL ID e cartões de verificação de identidade pessoal (PIV). Para obter acesso às instalações usando
mecanismos automatizados, as organizações podem usar cartões PIV, cartões-chave, PINs e biometria.
Restringir o acesso não escoltado às instalações onde o sistema reside ao pessoal com [Seleção
(uma ou mais): autorizações de segurança para todas as informações contidas no sistema;
autorizações formais de acesso a todas as informações contidas no sistema; necessidade de acesso a todas
as informações contidas no sistema; [Atribuição: autorizações de acesso físico definidas pela
organização]].
_________________________________________________________________________________________________
pe
E CONTROLE DE ACESSO FÍSICO PE-3
Ao controle:
a. Aplicar autorizações de acesso físico em [Atribuição: entrada e saída definidas pela organização
aponta para a instalação onde o sistema reside] por:
2. Controlar a entrada e a saída da instalação usando [Seleção (um ou mais): [Atribuição: sistemas ou dispositivos de controle
de acesso físico definidos pela organização]; guardas];
b. Manter registros de auditoria de acesso físico para [Atribuição: entrada ou saída definida pela organização
pontos];
c. Controlar o acesso às áreas dentro da instalação designadas como acessíveis ao público, implementando os seguintes controles:
[Atribuição: controles de acesso físico definidos pela organização];
d. Acompanhar visitantes e controlar a atividade dos visitantes [Atribuição: circunstâncias definidas pela organização
exigir escolta de visitantes e controle das atividades dos visitantes];
f. Inventário [Atribuição: dispositivos de acesso físico definidos pela organização] a cada [Atribuição: frequência definida pela
organização]; e
g. Alterar combinações e chaves [Atribuição: frequência definida pela organização] e/ou quando as chaves são perdidas, as
combinações são comprometidas ou quando os indivíduos que possuem as chaves ou combinações são transferidos ou
rescindidos.
Discussão: O controle de acesso físico se aplica a funcionários e visitantes. Indivíduos com autorizações permanentes de acesso
físico não são considerados visitantes. Os controles de acesso físico para áreas acessíveis ao público podem incluir registros/
registros de controle de acesso físico, guardas ou dispositivos e barreiras de acesso físico para impedir o movimento de áreas
acessíveis ao público para áreas não públicas.
As organizações determinam os tipos de guardas necessários, incluindo pessoal de segurança profissional, usuários do sistema ou
pessoal administrativo. Os dispositivos de acesso físico incluem chaves, fechaduras, combinações, leitores biométricos e leitores de
cartões. Os sistemas de controle de acesso físico cumprem as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e
diretrizes aplicáveis. As organizações têm flexibilidade nos tipos de registros de auditoria empregados. Os logs de auditoria podem
ser procedimentais, automatizados ou alguma combinação destes. Os pontos de acesso físico podem incluir pontos de acesso a
instalações, pontos de acesso internos a sistemas que exigem controles de acesso suplementares, ou ambos. Os componentes dos
sistemas podem estar em áreas designadas como acessíveis ao público, com organizações controlando o acesso aos
componentes.
Controles relacionados: AT-3, AU-2, AU-6, AU-9, AU-13, CP-10, IA-3, IA-8, MA-5, MP-2, MP-4, PE-2 , PE- 4, PE-5, PE-8, PS-2,
PS-3, PS-6, PS-7, RA-3, SC-28, SI-4, SR-3.
Melhorias de controle:
Aplicar autorizações de acesso físico ao sistema, além dos controles de acesso físico para a instalação em
[Atribuição: espaços físicos definidos pela organização contendo um ou mais componentes do sistema].
Discussão: O controle do acesso físico ao sistema proporciona segurança física adicional para as áreas das instalações onde
há concentração de componentes do sistema.
_________________________________________________________________________________________________
pe
E Realize verificações de segurança [Atribuição: frequência definida pela organização] no perímetro físico da
instalação ou sistema para exfiltração de informações ou remoção de componentes do sistema.
Discussão: As organizações determinam a extensão, frequência e/ou aleatoriedade das verificações de segurança para
mitigar adequadamente o risco associado à exfiltração.
Empregue guardas para controlar [Atribuição: pontos de acesso físico definidos pela organização] nas instalações
onde o sistema reside 24 horas por dia, 7 dias por semana.
Discussão: A contratação de guardas em pontos de acesso físico selecionados às instalações proporciona uma
capacidade de resposta mais rápida para as organizações. Os guardas também oferecem a oportunidade de vigilância
humana em áreas das instalações não cobertas pela videovigilância.
Use invólucros físicos bloqueáveis para proteger [Atribuição: componentes do sistema definidos pela
organização] contra acesso físico não autorizado.
Discussão: O maior risco do uso de dispositivos portáteis – como smartphones, tablets e notebooks – é o roubo. As
organizações podem empregar invólucros físicos com trava para reduzir ou eliminar o risco de roubo de equipamentos.
Esses gabinetes vêm em vários tamanhos, desde unidades que protegem um único notebook até gabinetes completos que
podem proteger vários servidores, computadores e periféricos. Invólucros físicos traváveis podem ser usados em conjunto
com travas de cabo ou placas de bloqueio para evitar o roubo do invólucro trancado que contém o equipamento de
informática.
Empregar [Atribuição: tecnologias anti-adulteração definidas pela organização] para [Seleção (uma ou mais): detectar;
prevenir] adulteração física ou alteração de [Atribuição: componentes de hardware definidos pela organização]
dentro do sistema.
Discussão: As barreiras físicas incluem cabeços de amarração, lajes de concreto, paredes de jersey e barreiras
hidráulicas ativas para veículos.
Empregue vestíbulos de controle de acesso em [Atribuição: locais definidos pela organização dentro da instalação].
_________________________________________________________________________________________________
pe
E Discussão: Um vestíbulo de controle de acesso faz parte de um sistema de controle de acesso físico que normalmente
fornece um espaço entre dois conjuntos de portas interligadas. Os vestíbulos são projetados para evitar que indivíduos não
autorizados sigam indivíduos autorizados até instalações com acesso controlado. Esta atividade, também conhecida como
piggybacking ou utilização não autorizada, resulta em acesso não autorizado às instalações. Controladores de
portas interligadas podem ser usados para limitar o número de indivíduos que entram em pontos de acesso controlados
e para fornecer áreas de contenção enquanto a autorização para acesso físico é verificada. Os controladores de portas
interligadas podem ser totalmente automatizados (ou seja, controlando a abertura e o fechamento das portas) ou parcialmente
automatizados (ou seja, usando guardas de segurança para controlar o número de indivíduos que entram na área de
contenção).
Referências: [FIPS 201-2], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4], [SP 800-116].
Controle: Controlar o acesso físico a [Atribuição: linhas de distribuição e transmissão do sistema definidas pela organização]
dentro das instalações organizacionais usando [Atribuição: controles de segurança definidos pela organização].
Discussão: Os controles de segurança aplicados às linhas de distribuição e transmissão do sistema evitam danos acidentais,
interrupções e adulterações físicas. Tais controles também podem ser necessários para evitar espionagem ou modificação de
transmissões não criptografadas. Os controles de segurança usados para controlar o acesso físico às linhas de distribuição e
transmissão do sistema incluem tomadas sobressalentes desconectadas ou bloqueadas, armários de fiação trancados,
proteção de cabeamento por conduíte ou bandejas de cabos e sensores de escuta telefônica.
Controles relacionados: AT-3, IA-4, MP-2, MP-4, PE-2, PE-3, PE-5, PE-9, SC-7, SC-8.
Referências: Nenhuma.
Controle: Controlar o acesso físico à saída de [Atribuição: dispositivos de saída definidos pela organização] para evitar que
indivíduos não autorizados obtenham a saída.
Discussão: Controlar o acesso físico aos dispositivos de saída inclui colocar os dispositivos de saída em salas trancadas ou
outras áreas seguras com controles de acesso por teclado ou leitor de cartão e permitir o acesso apenas a indivíduos
autorizados, colocar os dispositivos de saída em locais que possam ser monitorados pelo pessoal, instalar um monitor ou tela
filtros e usando fones de ouvido. Exemplos de dispositivos de saída incluem monitores, impressoras, scanners, dispositivos de
áudio, máquinas de fax e copiadoras.
Melhorias de controle:
(1) CONTROLE DE ACESSO PARA DISPOSITIVOS DE SAÍDA | ACESSO À PRODUÇÃO POR INDIVÍDUOS AUTORIZADOS
(2) CONTROLE DE ACESSO PARA DISPOSITIVOS DE SAÍDA | LINK PARA IDENTIDADE INDIVIDUAL
Discussão: Os métodos para vincular a identidade individual ao recebimento de resultados de dispositivos de saída
incluem a instalação de funcionalidade de segurança em máquinas de fax, copiadoras e impressoras.
Essa funcionalidade permite que as organizações implementem autenticação em dispositivos de saída antes da liberação da
saída para indivíduos.
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Ao controle:
a. Monitorar o acesso físico à instalação onde o sistema reside para detectar e responder a incidentes de segurança física;
b. Revise os registros de acesso físico [Atribuição: frequência definida pela organização] e após
ocorrência de [Atribuição: eventos definidos pela organização ou possíveis indícios de eventos]; e
Discussão: O monitoramento do acesso físico inclui áreas acessíveis ao público dentro das instalações organizacionais. Exemplos
de monitoramento de acesso físico incluem o emprego de guardas, equipamentos de videovigilância (isto é, câmeras) e
dispositivos sensores. A revisão dos logs de acesso físico pode ajudar a identificar atividades suspeitas, eventos anômalos ou
ameaças potenciais. As revisões podem ser apoiadas por controles de registro de auditoria, como AU-2, se os registros de
acesso fizerem parte de um sistema automatizado. Os recursos organizacionais de resposta a incidentes incluem investigações
de incidentes de segurança física e respostas aos incidentes. Os incidentes incluem violações de segurança ou atividades
suspeitas de acesso físico. Atividades de acesso físico suspeitas incluem acessos fora do horário normal de trabalho,
acessos repetidos a áreas normalmente não acessadas, acessos por períodos de tempo incomuns e acessos fora de sequência.
Controles relacionados: AU-2, AU-6, AU-9, AU-12, CA-7, CP-10, IR-4, IR-8.
Melhorias de controle:
Monitore o acesso físico à instalação onde o sistema reside usando alarmes de intrusão física e equipamentos de
vigilância.
Discussão: Alarmes de intrusão física podem ser empregados para alertar o pessoal de segurança quando há tentativa
de acesso não autorizado às instalações. Os sistemas de alarme funcionam em conjunto com barreiras físicas, sistemas
de controlo de acesso físico e guardas de segurança, desencadeando uma resposta quando estas outras formas
de segurança foram comprometidas ou violadas. Os alarmes de intrusão física podem incluir diferentes tipos de dispositivos
sensores, como sensores de movimento, sensores de contato e sensores de vidro quebrado. O equipamento de
vigilância inclui câmeras de vídeo instaladas em locais estratégicos da instalação.
Reconheça [Atribuição: classes ou tipos de intrusões definidos pela organização] e inicie [Atribuição: ações de
resposta definidas pela organização] usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: As ações de resposta podem incluir a notificação de pessoal organizacional selecionado ou pessoal responsável
pela aplicação da lei. Os mecanismos automatizados implementados para iniciar ações de resposta incluem notificações de
alerta do sistema, mensagens de e-mail e de texto e ativação de mecanismos de travamento de portas. O monitoramento
de acesso físico pode ser coordenado com detecção de intrusão
_________________________________________________________________________________________________
pe
E sistemas e recursos de monitoramento de sistema para fornecer cobertura integrada de ameaças para a organização.
(a) Empregar vigilância por vídeo de [Atribuição: áreas operacionais definidas pela organização];
(c) Reter gravações de vídeo por [Tarefa: período de tempo definido pela organização].
Discussão: A videovigilância centra-se na gravação da actividade em áreas específicas para efeitos de revisão
posterior, se as circunstâncias assim o justificarem. As gravações de vídeo são normalmente revisadas para detectar eventos
ou incidentes anômalos. Não é necessário monitorar o vídeo de vigilância, embora as organizações possam optar por fazê-
lo. Pode haver considerações legais ao realizar e manter a vigilância por vídeo, especialmente se essa vigilância for
realizada em local público.
Monitorar o acesso físico ao sistema, além do monitoramento do acesso físico da instalação em [Atribuição: espaços
físicos definidos pela organização contendo um ou mais componentes do sistema].
Discussão: O monitoramento do acesso físico aos sistemas fornece monitoramento adicional para as áreas dentro das
instalações onde há concentração de componentes do sistema, incluindo salas de servidores, áreas de armazenamento de
mídia e centros de comunicações. O monitoramento do acesso físico pode ser coordenado com sistemas de detecção de
intrusões e recursos de monitoramento do sistema para fornecer cobertura abrangente e integrada de ameaças para a
organização.
Referências: Nenhuma.
Ao controle:
a. Manter registros de acesso de visitantes à instalação onde o sistema reside por [Atribuição: período de tempo definido pela
organização];
c. Relate anomalias nos registros de acesso de visitantes para [Atribuição: pessoal definido pela organização].
Discussão: Os registros de acesso de visitantes incluem os nomes e organizações dos indivíduos que visitam,
assinaturas dos visitantes, formas de identificação, datas de acesso, horários de entrada e saída, finalidade das visitas e nomes e
organizações dos indivíduos visitados. As revisões dos registros de acesso determinam se as autorizações de acesso são atuais e
ainda são necessárias para apoiar a missão organizacional e as funções de negócios. Os registros de acesso não são
necessários para áreas acessíveis ao público.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Manter e revisar registros de acesso de visitantes usando [Atribuição: mecanismos automatizados definidos
pela organização].
Discussão: Os registros de acesso de visitantes podem ser armazenados e mantidos em um sistema de gerenciamento de
banco de dados acessível ao pessoal da organização. O acesso automatizado a esses registros facilita a revisão regular
dos registros para determinar se as autorizações de acesso estão atuais e ainda são necessárias para apoiar a missão
organizacional e as funções de negócios.
Limite as informações de identificação pessoal contidas nos registros de acesso de visitantes aos
seguintes elementos identificados na avaliação de risco de privacidade: [Atribuição: elementos definidos pela
organização].
Discussão: As organizações podem ter requisitos que especifiquem o conteúdo dos registros de acesso de visitantes. Limitar
informações pessoalmente identificáveis nos registros de acesso de visitantes quando tais informações não são
necessárias para fins operacionais ajuda a reduzir o nível de risco de privacidade criado por um sistema.
Referências: Nenhuma.
Discussão: As organizações determinam os tipos de proteção necessários para os equipamentos de energia e cabeamento
empregados em diferentes locais que são internos e externos às instalações organizacionais e aos ambientes de operação. Os
tipos de equipamentos e cabeamento de energia incluem cabeamento interno e fontes de energia ininterruptas em escritórios ou
data centers, geradores e cabeamento de energia fora dos edifícios e fontes de energia para componentes independentes,
como satélites, veículos e outros sistemas implantáveis.
Melhorias de controle:
Empregue caminhos de cabeamento de energia redundantes fisicamente separados por [Atribuição: distância
definida pela organização].
Discussão: Cabos de alimentação fisicamente separados e redundantes garantem que a energia continue a fluir no caso de
um dos cabos ser cortado ou danificado de outra forma.
Empregue controles automáticos de tensão para [Tarefa: componentes críticos do sistema definidos pela
organização].
Discussão: Os controles automáticos de tensão podem monitorar e controlar a tensão. Esses controles incluem
reguladores de tensão, condicionadores de tensão e estabilizadores de tensão.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E DESLIGAMENTO DE EMERGÊNCIA PE-10
Ao controle:
a. Fornecer a capacidade de desligar a energia para [Atribuição: sistema definido pela organização ou
componentes individuais do sistema] em situações de emergência;
b. Coloque interruptores ou dispositivos de desligamento de emergência em [Atribuição: local definido pela organização por
sistema ou componente do sistema] para facilitar o acesso do pessoal autorizado; e
Discussão: O corte de energia de emergência aplica-se principalmente a instalações organizacionais que contêm concentrações
de recursos de sistema, incluindo centros de dados, salas de computadores mainframe, salas de servidores e áreas com maquinaria
controlada por computador.
Melhorias de controle:
Referências: Nenhuma.
Controle: Fornecer uma fonte de alimentação ininterrupta para facilitar [Seleção (um ou mais): um desligamento ordenado
do sistema; transição do sistema para energia alternativa de longo prazo] no caso de perda da fonte de energia primária.
Discussão: Uma fonte de alimentação ininterrupta (UPS) é um sistema ou mecanismo elétrico que fornece energia de
emergência quando há uma falha na fonte de alimentação principal. Um UPS é normalmente usado para proteger computadores,
data centers, equipamentos de telecomunicações ou outros equipamentos elétricos onde uma interrupção inesperada de
energia pode causar ferimentos, fatalidades, interrupção grave da missão ou dos negócios, ou perda de dados ou
informações. Um UPS difere de um sistema de energia de emergência ou gerador de backup porque fornece proteção quase
instantânea contra interrupções imprevistas de energia da fonte de energia principal, fornecendo energia armazenada em baterias,
supercapacitores ou volantes. A duração da bateria de um UPS é relativamente curta, mas fornece tempo suficiente para iniciar
uma fonte de energia de reserva, como um gerador de reserva, ou desligar o sistema adequadamente.
Melhorias de controle:
Fornecer uma fonte de alimentação alternativa para o sistema que estiver ativado [Seleção: manualmente;
automaticamente] e que pode manter a capacidade operacional mínima necessária no caso de uma perda
prolongada da fonte de energia primária.
Discussão: O fornecimento de uma fonte de alimentação alternativa com capacidade operacional mínima pode ser satisfeito
acessando uma fonte de alimentação comercial secundária ou outra fonte de alimentação externa.
Fornecer uma fonte de alimentação alternativa para o sistema que estiver ativado [Seleção: manualmente;
automaticamente] e isso é:
(a) Autônomo;
_________________________________________________________________________________________________
pe
E (b) Não depende de geração externa de energia; e
Discussão: O fornecimento de uma fonte de alimentação independente e de longo prazo pode ser satisfeito usando um ou
mais geradores com capacidade suficiente para atender às necessidades da organização.
Referências: Nenhuma.
Controle: Empregar e manter iluminação de emergência automática para o sistema que é ativado em caso de queda ou interrupção
de energia e que cobre saídas de emergência e rotas de evacuação dentro da instalação.
Discussão: O fornecimento de iluminação de emergência aplica-se principalmente a instalações organizacionais que contêm
concentrações de recursos de sistema, incluindo centros de dados, salas de servidores e salas de computadores de
mainframe. As disposições de iluminação de emergência para o sistema estão descritas no plano de contingência da organização.
Se a iluminação de emergência do sistema falhar ou não puder ser fornecida, as organizações consideram locais de
processamento alternativos para contingências relacionadas com a energia.
Melhorias de controle:
Fornece iluminação de emergência para todas as áreas da instalação, apoiando missões essenciais e funções
comerciais.
Referências: Nenhuma.
Controle: Empregar e manter sistemas de detecção e supressão de incêndio apoiados por uma fonte de energia independente.
Melhorias de controle:
Empregue sistemas de detecção de incêndio que sejam ativados automaticamente e notifiquem [Atribuição:
pessoal ou funções definidas pela organização] e [Atribuição: equipes de emergência definidas pela
organização] em caso de incêndio.
_________________________________________________________________________________________________
pe
E informações dentro da instalação). Os mecanismos de notificação podem exigir fontes de energia independentes para
garantir que a capacidade de notificação não seja afetada negativamente pelo incêndio.
(a) Empregar sistemas de supressão de incêndio que sejam ativados automaticamente e notifiquem [Atribuição:
pessoal ou funções definidas pela organização] e [Atribuição: atendentes de emergência definidos pela
organização]; e
(b) Empregar uma capacidade automática de supressão de incêndio quando a instalação não tiver pessoal
permanente.
Discussão: As organizações podem identificar pessoal, funções e equipes de emergência específicas se os indivíduos na
lista de notificação precisarem ter autorizações e/ou autorizações de acesso apropriadas (por exemplo, para entrar em
instalações onde o acesso é restrito devido ao nível de impacto ou classificação de informações dentro a facilidade). Os
mecanismos de notificação podem exigir fontes de energia independentes para garantir que a capacidade de
notificação não seja afetada negativamente pelo incêndio.
Certifique-se de que a instalação seja submetida a [Atribuição: frequência definida pela organização] inspeções
de proteção contra incêndio por inspetores autorizados e qualificados e que as deficiências identificadas sejam
resolvidas dentro de [Atribuição: período de tempo definido pela organização].
Referências: Nenhuma.
a. Manter [Seleção (uma ou mais): temperatura; umidade; pressão; radiação; [Atribuição: controle ambiental definido pela
organização]] níveis dentro da instalação onde o sistema reside em [Atribuição: níveis aceitáveis definidos pela
organização]; e
Discussão: A provisão de controles ambientais aplica-se principalmente a instalações organizacionais que contêm concentrações
de recursos de sistema (por exemplo, centros de dados, salas de computadores mainframe e salas de servidores). Controlos
ambientais insuficientes, especialmente em ambientes muito adversos, podem ter um impacto adverso significativo na
disponibilidade de sistemas e componentes de sistemas necessários para apoiar a missão organizacional e as funções empresariais.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E Empregue os seguintes controles ambientais automáticos na instalação para evitar flutuações
potencialmente prejudiciais ao sistema: [Tarefa: controles ambientais automáticos definidos pela
organização].
Discussão: A implementação de controles ambientais automáticos fornece uma resposta imediata às condições
ambientais que podem danificar, degradar ou destruir sistemas organizacionais ou componentes de sistemas.
Discussão: O alarme ou notificação pode ser um alarme sonoro ou uma mensagem visual em tempo real para o pessoal
ou funções definidas pela organização. Esses alarmes e notificações podem ajudar a minimizar os danos aos indivíduos
e aos ativos organizacionais, facilitando uma resposta oportuna a incidentes.
Referências: Nenhuma.
Controle: Proteja o sistema contra danos resultantes de vazamento de água, fornecendo válvulas principais de corte ou
isolamento que sejam acessíveis, funcionem corretamente e sejam conhecidas pelo pessoal-chave.
Discussão: A provisão de proteção contra danos causados pela água aplica-se principalmente a instalações organizacionais
que contêm concentrações de recursos de sistema, incluindo centros de dados, salas de servidores e salas de computadores de
mainframe. As válvulas de isolamento podem ser empregadas além ou no lugar das válvulas mestres de corte para desligar o
abastecimento de água em áreas específicas de preocupação sem afetar organizações inteiras.
Melhorias de controle:
Detecte a presença de água perto do sistema e alerte [Atribuição: pessoal ou funções definidas pela organização]
usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Mecanismos automatizados incluem sistemas de notificação, sensores de detecção de água e alarmes.
Referências: Nenhuma.
Ao controle:
a. Autorizar e controlar [Atribuição: tipos de componentes do sistema definidos pela organização] a entrada e saída da
instalação; e
Discussão: A aplicação de autorizações para entrada e saída de componentes do sistema pode exigir a restrição do acesso
às áreas de entrega e o isolamento das áreas do sistema e das bibliotecas de mídia.
Controles relacionados: CM-3, CM-8, MA-2, MA-3, MP-5, PE-20, SR-2, SR-3, SR-4, SR-6.
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
Referências: Nenhuma.
Ao controle:
b. Empregue os seguintes controles em locais de trabalho alternativos: [Atribuição: definido pela organização
controles];
Controle: Posicione os componentes do sistema dentro da instalação para minimizar danos potenciais de
[Atribuição: riscos físicos e ambientais definidos pela organização] e para minimizar a oportunidade de acesso não
autorizado.
Discussão: Os riscos físicos e ambientais incluem inundações, incêndios, tornados, terremotos, furacões, terrorismo,
vandalismo, pulso eletromagnético, interferência elétrica e outras formas de radiação eletromagnética recebida. As
organizações consideram a localização dos pontos de entrada onde indivíduos não autorizados, embora não tenham
acesso concedido, possam estar próximos
sistemas. Essa proximidade pode aumentar o risco de acesso não autorizado às comunicações
organizacionais usando detectores de pacotes sem fio ou microfones, ou de divulgação não autorizada de
informações.
Referências: Nenhuma.
Discussão: O vazamento de informações é a liberação intencional ou não intencional de dados ou informações para um
ambiente não confiável a partir de emanações de sinais eletromagnéticos. As categorias de segurança
_________________________________________________________________________________________________
pe
E ou classificações de sistemas (com relação à confidencialidade), políticas de segurança organizacional e tolerância a riscos orientam
a seleção de controles empregados para proteger sistemas contra vazamento de informações devido a emanações de sinais
eletromagnéticos.
Melhorias de controle:
Proteja os componentes do sistema, as comunicações de dados associadas e as redes de acordo com as políticas e
procedimentos nacionais de segurança de emissões com base na categoria de segurança ou classificação das
informações.
Controle: Empregar [Atribuição: tecnologias de localização de ativos definidas pela organização] para rastrear e monitorar a
localização e movimentação de [Atribuição: ativos definidos pela organização] dentro de [Atribuição: áreas controladas
definidas pela organização].
Discussão: As tecnologias de localização de ativos podem ajudar a garantir que ativos críticos – incluindo veículos, equipamentos
e componentes de sistema – permaneçam em locais autorizados. As organizações consultam o Gabinete do Conselho Geral e o
funcionário sênior da agência para privacidade em relação à implantação e uso de tecnologias de localização de ativos para abordar
possíveis preocupações de privacidade.
Referências: Nenhuma.
Controle: Empregar [Tarefa: medidas de proteção definidas pela organização] contra danos por pulso
eletromagnético para [Tarefa: sistemas e componentes de sistema definidos pela organização].
Discussão: Um pulso eletromagnético (EMP) é uma pequena explosão de energia eletromagnética que se espalha por uma
faixa de frequências. Essas explosões de energia podem ser naturais ou provocadas pelo homem. A interferência EMP pode
perturbar ou danificar equipamentos eletrônicos. As medidas de proteção usadas para mitigar o risco de EMP incluem blindagem,
supressores de surto, transformadores ferro-ressonantes e aterramento. A protecção EMP pode ser especialmente significativa para
sistemas e aplicações que fazem parte da infra-estrutura crítica dos EUA.
Referências: Nenhuma.
Controle: Marca [Atribuição: componentes de hardware do sistema definidos pela organização] indicando o nível de impacto ou
nível de classificação das informações que podem ser processadas, armazenadas ou transmitidas pelo componente de
hardware.
_________________________________________________________________________________________________
pe
E Discussão: Os componentes de hardware que podem exigir marcação incluem dispositivos de entrada e saída.
Os dispositivos de entrada incluem computadores desktop e notebook, teclados, tablets e smartphones.
Os dispositivos de saída incluem impressoras, monitores/telas de vídeo, máquinas de fax, scanners, copiadoras e
dispositivos de áudio. As permissões que controlam a saída para os dispositivos de saída são endereçadas em AC-3 ou
AC-4. Os componentes são marcados para indicar o nível de impacto ou nível de classificação do sistema ao qual os
dispositivos estão conectados, ou o nível de impacto ou nível de classificação das informações permitidas para serem
emitidas. A marcação de segurança refere-se ao uso de atributos de segurança legíveis por humanos.
A rotulagem de segurança refere-se ao uso de atributos de segurança para estruturas de dados do sistema interno.
A marcação de segurança geralmente não é exigida para componentes de hardware que processam, armazenam
ou transmitem informações determinadas pelas organizações como sendo de domínio público ou divulgáveis
publicamente. No entanto, as organizações podem exigir marcações para componentes de hardware que
processam, armazenam ou transmitem informações públicas, a fim de indicar que tais informações podem ser
divulgadas publicamente. A marcação dos componentes de hardware do sistema reflete as leis, ordens executivas,
diretivas, políticas, regulamentos e padrões aplicáveis.
Ao controle:
a. Planeje o local ou local da instalação onde o sistema reside, considerando aspectos físicos e
perigos ambientais; e
b. Para instalações existentes, considere os perigos físicos e ambientais na estratégia de gestão de riscos organizacionais.
Discussão: Os riscos físicos e ambientais incluem inundações, incêndios, tornados, terremotos, furacões, terrorismo,
vandalismo, pulso eletromagnético, interferência elétrica e outras formas de radiação eletromagnética recebida. A
localização dos componentes do sistema dentro da instalação é abordada na PE-18.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E 3.12 PLANEJAMENTO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de planejamento que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
2. Procedimentos para facilitar a implementação da política de planeamento e dos controlos de planeamento associados;
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos definidos
pela organização]; e
Discussão: Política de planejamento e procedimentos para os controles da família PL implementados em sistemas e organizações.
A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas e procedimentos. Políticas e
procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é importante que os programas de
segurança e privacidade colaborem no seu desenvolvimento. As políticas e procedimentos do programa de segurança e
privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos no
nível da missão ou específicos do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade
ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão/negócios e para sistemas, se necessário.
Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo
ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança e privacidade
do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização da política e
dos procedimentos de planejamento incluem, mas não estão limitados a, resultados de avaliação ou auditoria, incidentes ou
violações de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples
reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-18], [SP 800-30], [SP 800-39], [SP 800-100].
_________________________________________________________________________________________________
pe
E PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA PL-2
Ao controle:
7. Descreva quaisquer ameaças específicas ao sistema que sejam motivo de preocupação para a organização;
8. Fornecer os resultados de uma avaliação de risco de privacidade para sistemas que processam informações
de identificação pessoal;
9. Descrever o ambiente operacional do sistema e quaisquer dependências ou conexões com outros sistemas
ou componentes do sistema;
10. Fornecer uma visão geral dos requisitos de segurança e privacidade do sistema;
12. Descrever os controles implementados ou planejados para atender aos requisitos de segurança e
privacidade, incluindo uma justificativa para quaisquer decisões de adaptação;
13. Incluir determinações de risco para decisões de arquitetura e design de segurança e privacidade;
14. Incluir atividades relacionadas à segurança e privacidade que afetem o sistema e que exijam planejamento e
coordenação com [Atribuição: indivíduos ou grupos definidos pela organização]; e
b. Distribuir cópias dos planos e comunicar alterações subsequentes aos planos para [Atribuição: pessoal ou
funções definidas pela organização];
d. Atualizar os planos para abordar alterações no sistema e ambiente de operação ou problemas identificados
durante a implementação do plano ou avaliações de controle; e
Discussão: Os planos de segurança e privacidade do sistema têm como escopo o sistema e os componentes do sistema
dentro do limite de autorização definido e contêm uma visão geral dos requisitos de segurança e privacidade do sistema
e dos controles selecionados para satisfazer os requisitos. Os planos descrevem a aplicação pretendida de cada
controlo selecionado no contexto do sistema com um nível de detalhe suficiente para implementar corretamente o
controlo e avaliar posteriormente a eficácia do controlo. A documentação de controle descreve como os controles
híbridos e específicos do sistema são implementados e os planos e expectativas em relação à funcionalidade do
sistema. Os planos de segurança e privacidade do sistema também podem ser usados na concepção e desenvolvimento
de sistemas em apoio aos processos de engenharia de segurança e privacidade baseados no ciclo de vida. Os planos de
segurança e privacidade do sistema são documentos vivos que são atualizados e adaptados durante todo o ciclo de vida de
desenvolvimento do sistema (por exemplo, durante a determinação de capacidade, análise de alternativas, solicitações
de propostas e revisões de projeto). A Seção 2.1 descreve os diferentes tipos de requisitos que são
_________________________________________________________________________________________________
pe
E relevantes para as organizações durante o ciclo de vida de desenvolvimento do sistema e a relação entre requisitos e
controles.
As organizações podem desenvolver um plano único e integrado de segurança e privacidade ou manter planos
separados. Os planos de segurança e privacidade relacionam os requisitos de segurança e privacidade a um conjunto
de controles e melhorias de controle. Os planos descrevem como os controles e melhorias de controle atendem aos
requisitos de segurança e privacidade, mas não fornecem descrições técnicas detalhadas do projeto ou
implementação dos controles e melhorias de controle. Os planos de segurança e privacidade contêm informações
suficientes (incluindo especificações de valores de parâmetros de controle para operações de seleção e atribuição
explicitamente ou por referência) para permitir um design e implementação que sejam inequivocamente
compatíveis com a intenção dos planos e subsequentes determinações de risco para operações e ativos
organizacionais , indivíduos, outras organizações e a Nação se o plano for implementado.
Os planos de segurança e privacidade não precisam ser documentos únicos. Os planos podem ser uma coleção de
vários documentos, inclusive documentos já existentes. Planos eficazes de segurança e privacidade fazem uso
extensivo de referências a políticas, procedimentos e documentos adicionais, incluindo especificações de design e
implementação onde informações mais detalhadas podem ser obtidas. O uso de referências ajuda a reduzir a
documentação associada a programas de segurança e privacidade e mantém as informações relacionadas à
segurança e à privacidade em outras áreas operacionais e de gerenciamento estabelecidas, incluindo arquitetura
empresarial, ciclo de vida de desenvolvimento de sistemas, engenharia de sistemas e aquisição. Os planos de
segurança e privacidade não precisam conter informações detalhadas sobre planos de contingência ou planos de
resposta a incidentes, mas podem, em vez disso, fornecer - explicitamente ou por referência -
informações suficientes para definir o que precisa ser realizado por esses planos.
As atividades relacionadas à segurança e à privacidade que podem exigir coordenação e planejamento com outros
indivíduos ou grupos dentro da organização incluem avaliações, auditorias, inspeções, manutenção de hardware e
software, gerenciamento de riscos de aquisição e cadeia de suprimentos, gerenciamento de patches,
e testes de planos de contingência. O planejamento e a coordenação incluem situações de emergência e não
emergenciais (isto é, planejadas ou não urgentes e não planejadas). O processo definido pelas organizações para
planear e coordenar atividades relacionadas com segurança e privacidade também pode ser incluído noutros
documentos, conforme apropriado.
Controles relacionados: AC-2, AC-6, AC-14, AC-17 , AC-20 , CA-2, CA- 3, CA-7, CM-9, CM - 13, CP-2, CP-4 , IR-4,
IR-8, MA-4, MA-5, MP-4, MP- 5, PL-7, PL-8, PL-10, PL- 11, PM-1, PM-7, PM -8, PM-9, PM-10, PM- 11, RA-3, RA-8,
RA-9, SA-5, SA-17, SA-22, SI-12, SR-2, SR-4 .
Melhorias de controle:
(3) PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA | PLANEJAR E COORDENAR COM OUTRAS ORGANIZAÇÕES
ENTIDADES
Referências: [OMB A-130], [SP 800-18], [SP 800-37], [SP 800-160-1], [SP 800-160-2].
_________________________________________________________________________________________________
pe
E PL-4 REGRAS DE COMPORTAMENTO
Ao controle:
a. Estabelecer e fornecer aos indivíduos que necessitam de acesso ao sistema, as regras que descrevem
suas responsabilidades e comportamento esperado em relação ao uso, segurança e privacidade de informações e
sistemas;
d. Exigir que indivíduos que tenham reconhecido uma versão anterior das regras de comportamento leiam e
reconheçam novamente [Seleção (uma ou mais): [Atribuição: frequência definida pela organização]; quando
as regras forem revisadas ou atualizadas].
Discussão: As regras de comportamento representam um tipo de acordo de acesso para usuários organizacionais.
Outros tipos de acordos de acesso incluem acordos de confidencialidade, acordos de conflito de interesses e
acordos de uso aceitável (ver PS-6). As organizações consideram regras de comportamento baseadas nas funções e
responsabilidades individuais dos usuários e diferenciam entre regras que se aplicam a usuários privilegiados e regras
que se aplicam a usuários em geral. Estabelecer regras de comportamento para alguns tipos de usuários não
organizacionais, incluindo indivíduos que recebem informações de sistemas federais, muitas vezes não é viável,
dado o grande número desses usuários e a natureza limitada de suas interações com os sistemas. Regras de
comportamento para usuários organizacionais e não organizacionais
também pode ser estabelecido em AC-8. A seção de controles relacionados fornece uma lista de controles que são
relevantes para as regras de comportamento organizacionais. PL-4b, a parte de reconhecimento documentado do
controle, pode ser satisfeita pelo treinamento de alfabetização e programas de conscientização e treinamento
baseado em funções conduzidos pelas organizações se tal treinamento incluir regras de comportamento. Os
reconhecimentos documentados de regras de comportamento incluem assinaturas eletrônicas ou físicas e caixas de
seleção de acordos eletrônicos ou botões de opção.
Controles relacionados: AC-2, AC-6, AC-8, AC-9, AC-17, AC- 18 , AC-19 , AC-20, AT-2, AT-3, CM-11, IA-2 , IA-4, IA-5,
MP-7, PS-6, PS-8, SA-5, SI-12.
Melhorias de controle:
(1) REGRAS DE COMPORTAMENTO | RESTRIÇÕES DE USO DE MÍDIAS SOCIAIS E SITE EXTERNO /APLICATIVO
(c) Uso de identificadores fornecidos pela organização (por exemplo, endereços de e-mail) e segredos
de autenticação (por exemplo, senhas) para criar contas em sites/aplicativos externos.
Discussão: As restrições de uso de mídias sociais, redes sociais e sites/aplicativos externos abordam regras de
comportamento relacionadas ao uso de mídias sociais, redes sociais e redes externas.
sites quando o pessoal organizacional os utiliza para tarefas oficiais ou na condução de negócios oficiais, quando
informações organizacionais estão envolvidas em mídias sociais e transações de redes sociais, e quando o
pessoal acessa mídias sociais e sites de redes a partir de sistemas organizacionais. As organizações também
abordam regras específicas que impedem entidades não autorizadas de obter informações organizacionais não
públicas de mídias sociais e sites de redes, diretamente ou por meio de inferência. Informações não
públicas incluem
informações de identificação pessoal e informações da conta do sistema.
_________________________________________________________________________________________________
pe
E AVALIAÇÃO DE IMPACTO NA PRIVACIDADE PL-5
Ao controle:
a. Desenvolver um Conceito de Operações (CONOPS) para o sistema descrevendo como a organização pretende
operar o sistema na perspectiva da segurança e privacidade da informação; e
Discussão: O CONOPS pode ser incluído nos planos de segurança ou privacidade do sistema ou em outros
documentos do ciclo de vida de desenvolvimento do sistema. O CONOPS é um documento vivo que requer atualização
durante todo o ciclo de vida de desenvolvimento do sistema. Por exemplo, durante as revisões da concepção do
sistema, o conceito de operações é verificado para garantir que permanece consistente com a concepção dos
controlos, a arquitectura do sistema e os procedimentos operacionais. As alterações no CONOPS refletem-se em
atualizações contínuas dos planos de segurança e privacidade, arquiteturas de segurança e privacidade e outros
documentos organizacionais, como especificações de aquisição, documentos do ciclo de vida de desenvolvimento de
sistemas e documentos de engenharia de sistemas.
Ao controle:
b. Revise e atualize as arquiteturas [Atribuição: frequência definida pela organização] para refletir
mudanças na arquitetura empresarial; e
c. Refletir as mudanças planejadas na arquitetura nos planos de segurança e privacidade, Conceito de Operações
(CONOPS), análise de criticidade, procedimentos organizacionais e compras e aquisições.
Discussão: As arquiteturas de segurança e privacidade no nível do sistema são consistentes com as arquiteturas
de segurança e privacidade de toda a organização descritas no PM-7, que são parte integrante e desenvolvidas como
parte da arquitetura corporativa. As arquiteturas incluem uma descrição arquitetônica, a alocação de
funcionalidades de segurança e privacidade (incluindo controles), informações relacionadas à segurança e à privacidade
para interfaces externas, informações trocadas entre as interfaces e os mecanismos de proteção associados a
cada interface. As arquiteturas podem
_________________________________________________________________________________________________
pe
E inclua também outras informações, como funções de usuário e privilégios de acesso atribuídos a cada função;
requisitos de segurança e privacidade; tipos de informações processadas, armazenadas e transmitidas pelo sistema;
requisitos de gestão de riscos da cadeia de abastecimento; prioridades de restauração de serviços de informação e
sistema; e outras necessidades de proteção.
[SP 800-160-1] fornece orientação sobre o uso de arquiteturas de segurança como parte do processo do ciclo de
vida de desenvolvimento de sistemas. [OMB M-19-03] exige o uso dos conceitos de engenharia de segurança
de sistemas descritos em [SP 800-160-1] para ativos de alto valor. As arquiteturas de segurança e privacidade são
revisadas e atualizadas ao longo do ciclo de vida de desenvolvimento do sistema, desde a análise de alternativas,
passando pela revisão da arquitetura proposta nas respostas da RFP até as revisões de projeto antes e durante a
implementação (por exemplo, durante revisões preliminares de projeto e revisões críticas de projeto).
Nas arquiteturas de computação modernas de hoje, está se tornando menos comum que as organizações controlem
todos os recursos de informação. Pode haver dependências importantes de serviços de informação e prestadores
de serviços externos. A descrição de tais dependências nas arquiteturas de segurança e privacidade é
necessária para o desenvolvimento de uma missão abrangente e de uma estratégia de proteção empresarial.
Estabelecer, desenvolver, documentar e manter sob controle de configuração uma configuração básica para sistemas
organizacionais é fundamental para implementar e manter arquiteturas eficazes. O desenvolvimento das arquiteturas
é coordenado com o oficial sênior de segurança da informação da agência e o oficial sênior da agência para
privacidade, para garantir que os controles necessários para apoiar os requisitos de segurança e privacidade sejam
identificados e efetivamente implementados. Em muitas circunstâncias, pode não haver distinção entre a arquitetura
de segurança e privacidade de um sistema. Noutras circunstâncias, os objectivos de segurança podem ser
adequadamente satisfeitos, mas os objectivos de privacidade podem ser apenas parcialmente satisfeitos pelos requisitos
de segurança. Nestes casos, a consideração dos requisitos de privacidade necessários para alcançar a satisfação
resultará numa arquitetura de privacidade distinta. A documentação, entretanto, pode simplesmente refletir as arquiteturas
combinadas.
O PL-8 é direcionado principalmente às organizações para garantir que as arquiteturas sejam desenvolvidas para o
sistema e, além disso, que as arquiteturas sejam integradas ou fortemente acopladas à arquitetura corporativa.
Em contraste, o SA-17 é direcionado principalmente aos desenvolvedores e integradores externos de produtos e
sistemas de tecnologia da informação. O SA-17, que é complementar ao PL-8, é selecionado quando as organizações
terceirizam o desenvolvimento de sistemas ou componentes para entidades externas e quando há necessidade de
demonstrar consistência com os objetivos da organização.
arquitetura corporativa e arquiteturas de segurança e privacidade.
Controles relacionados: CM-2, CM-6, PL-2, PL-7, PL-9, PM-5, PM-7, RA-9, SA-3, SA-5, SA-8, SA-17 , SC-7.
Melhorias de controle:
(a) Aloca [Atribuição: controles definidos pela organização] para [Atribuição: controles definidos pela organização]
locais definidos e camadas arquitetônicas]; e
(b) Garante que os controles alocados operem de forma coordenada e que se reforce mutuamente
maneiras.
_________________________________________________________________________________________________
pe
E alarmes em cascata. A colocação de controles em sistemas e organizações é uma atividade importante que
requer uma análise cuidadosa. O valor dos ativos organizacionais é uma consideração importante no fornecimento
de camadas adicionais. As abordagens arquitetônicas de defesa profunda incluem modularidade e camadas (ver
SA-8(3)), separação da funcionalidade do sistema e do usuário (ver SC-2) e isolamento da função de segurança
(ver SC-3).
Exigir que [Atribuição: controles definidos pela organização] alocados para [Atribuição: locais
definidos pela organização e camadas arquitetônicas] sejam obtidos de fornecedores diferentes.
Controle: Gerenciar centralmente [Atribuição: controles definidos pela organização e processos relacionados].
Discussão: A gestão central refere-se à gestão e implementação de controlos e processos seleccionados em toda a
organização. Isso inclui planejar, implementar, avaliar, autorizar e monitorar os controles e processos definidos pela
organização e gerenciados centralmente. Dado que a gestão central dos controlos está geralmente associada ao
conceito de gestão comum (herdada)
controles, tal gerenciamento promove e facilita a padronização das implementações e gerenciamento de controles e o uso
criterioso dos recursos organizacionais. Os controles e processos gerenciados centralmente também podem atender aos
requisitos de independência para avaliações em apoio às autorizações iniciais e contínuas de operação e como parte
do monitoramento organizacional contínuo.
Como parte dos processos de seleção de controles, as organizações determinam os controles que podem ser
adequados para o gerenciamento central com base em recursos e capacidades. Nem sempre é possível gerenciar
centralmente todos os aspectos de um controle. Nesses casos, o controle pode ser tratado como um híbrido
controle com o controle gerenciado e implementado centralmente ou no nível do sistema. Os controles e melhorias de
controle que são candidatos ao gerenciamento central total ou parcial incluem, mas não estão limitados a: AC-2(1), AC-2(2),
AC-2(3), AC-2(4), AC -4 (todos), AC-17 (1), AC-17 (2), AC-17 (3), AC-17 (9), AC-18 (1), AC-18 (3), AC- 18(4), AC-18(5),
AC-19(4), AC-22, AC-23, AT-2(1), AT-2(2), AT-3(1), AT- 3(2), AT-3(3), AT-4, AU-3, AU-6(1), AU-6(3), AU-6(5), AU-6(6),
AU- 6(9), AU-7(1), AU-7(2), AU-11, AU-13, AU-16, CA-2(1), CA-2(2), CA-2(3 ), CA-3(1), CA-3(2), CA-3(3), CA-7(1),
CA-9, CM-2(2),
CM-3(1), CM-3(4), CM-4, CM-6, CM-6(1), CM-7(2), CM-7(4), CM-7(5), CM-8(todos), CM-9(1), CM-10,
CM-11, CP-7(todos), CP-8(todos), SC-43, SI-2, SI-3, SI-4(todos), SI-7, SI-8.
_________________________________________________________________________________________________
pe
E Controles Relacionados: PL-8, PM-9.
Discussão: As linhas de base de controle são conjuntos predefinidos de controles montados especificamente para atender às
necessidades de proteção de um grupo, organização ou comunidade de interesse. Os controles são escolhidos para as linhas de
base para satisfazer mandatos impostos por leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes ou
para abordar ameaças comuns a todos os usuários da linha de base sob as suposições específicas da linha de base. As linhas
de base representam um ponto de partida para a proteção da privacidade, das informações e dos sistemas de informação dos
indivíduos, com subsequentes ações de adaptação para gerenciar riscos de acordo com a missão, o negócio ou outras restrições
(ver PL-11). As linhas de base de controle federal são fornecidas em [SP 800-53B]. A seleção de uma linha de base de
controle é determinada pelas necessidades das partes interessadas. As necessidades das partes interessadas consideram a
missão e os requisitos de negócios, bem como os mandatos impostos pelas leis, ordens executivas, diretivas, políticas,
regulamentos, padrões e diretrizes aplicáveis. Por exemplo, as linhas de base de controle em [SP 800-53B] baseiam-se nos
requisitos de [FISMA] e [PRIVACT]. Os requisitos, juntamente com os padrões e diretrizes do NIST que implementam a
legislação, orientam as organizações a selecionar uma das linhas de base de controle após a revisão dos tipos de informação e
das informações que são processadas, armazenadas e transmitidas no sistema; analisar o potencial impacto adverso
da perda ou comprometimento da informação ou sistema nas operações e ativos da organização, indivíduos, outras
organizações ou a Nação; e considerar os resultados das avaliações de riscos do sistema e da organização. [CNSSI 1253]
fornece orientação sobre linhas de base de controle para sistemas de segurança nacional.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53B], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [CNSSI 1253].
_________________________________________________________________________________________________
pe
E Controles relacionados: PL-10, RA-2, RA-3, RA-9, SA-8.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53B], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [CNSSI 1253].
_________________________________________________________________________________________________
pe
E 3.13 GESTÃO DO PROGRAMA
[FISMA], [PRIVACT] e [OMB A-130] exigem que as agências federais desenvolvam, implementem e forneçam
supervisão para programas de segurança e privacidade da informação em toda a organização para ajudar a
garantir a confidencialidade, integridade e disponibilidade das informações federais processadas, armazenados
e transmitidos por sistemas de informação federais e para proteger a privacidade individual. Os controles de
gerenciamento de programas (GP) descritos nesta seção são implementados no nível da organização e não
direcionados a sistemas de informação individuais. Os controles PM foram projetados para facilitar a
conformidade organizacional com as leis federais, ordens executivas, diretivas, políticas, regulamentos e
padrões aplicáveis. Os controles são independentes dos níveis de impacto [FIPS 200] e, portanto, não estão
associados às linhas de base de controle descritas em [SP 800-53B].
Ao controle:
a. Desenvolva e divulgue um plano de programa de segurança da informação para toda a organização que:
1. Fornece uma visão geral dos requisitos do programa de segurança e uma descrição dos controles de
gerenciamento do programa de segurança e controles comuns em vigor ou planejados para atender
a esses requisitos;
4. É aprovado por um funcionário sênior com responsabilidade e responsabilização pelo risco que está sendo
incorridos em operações organizacionais (incluindo missão, funções, imagem e reputação),
ativos organizacionais, indivíduos, outras organizações e a Nação;
Discussão: Um plano de programa de segurança da informação é um documento formal que fornece uma
visão geral dos requisitos de segurança para um programa de segurança da informação em toda a organização.
_________________________________________________________________________________________________
pe
E e descreve os controles de gestão do programa e os controles comuns implementados ou planejados para atender a esses
requisitos. Um plano de programa de segurança da informação pode ser representado em um único documento ou em
compilações de documentos. Os planos do programa de privacidade e os planos de gestão de riscos da cadeia de
abastecimento são abordados separadamente no PM-18 e no SR-2, respectivamente.
Os controles de gerenciamento do programa podem ser implementados no nível da organização ou no nível da missão ou do
processo de negócios e são essenciais para o gerenciamento do programa de segurança da informação da organização. Os
controles de gerenciamento de programas são distintos dos controles comuns, específicos do sistema e híbridos porque os controles
de gerenciamento de programas são independentes de qualquer sistema específico.
Juntos, os planos de segurança do sistema individual e o plano do programa de segurança da informação para toda a organização
fornecem cobertura completa para os controles de segurança empregados na organização.
Os controles comuns disponíveis para herança pelos sistemas organizacionais são documentados em um apêndice do plano
do programa de segurança da informação da organização, a menos que os controles sejam incluídos em um plano de
segurança separado para um sistema. O plano do programa de segurança da informação para toda a organização indica quais
planos de segurança separados contêm descrições de controles comuns.
Os eventos que podem precipitar uma atualização do plano do programa de segurança da informação incluem, entre outros,
avaliações de toda a organização ou resultados de auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
Controle: Nomear um oficial sênior de segurança da informação da agência com a missão e os recursos para coordenar,
desenvolver, implementar e manter uma segurança da informação em toda a organização
programa.
Discussão: O oficial sênior de segurança da informação da agência é um funcionário organizacional. Para agências federais
(conforme definido pelas leis, ordens executivas, regulamentos, diretivas, políticas e padrões aplicáveis), esse funcionário é o oficial
sênior de segurança da informação da agência. As organizações também podem referir-se a esse funcionário como diretor sênior
de segurança da informação ou diretor de segurança da informação.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Incluir os recursos necessários para implementar os programas de segurança e privacidade da informação no
planejamento de capital e nas solicitações de investimento e documentar todas as exceções a este
requisito;
b. Preparar a documentação necessária para abordar programas de segurança e privacidade da informação em planejamento
de capital e solicitações de investimento de acordo com as leis, ordens executivas, diretivas, políticas, regulamentos
e padrões aplicáveis; e
Discussão: As organizações consideram estabelecer defensores da segurança e privacidade da informação e, como parte
da inclusão dos recursos necessários, atribuem conhecimentos especializados e recursos conforme necessário. As
organizações podem designar e capacitar um Conselho de Revisão de Investimentos ou grupo similar para gerenciar
e supervisionar os aspectos de segurança da informação e privacidade do processo de planejamento de capital e controle
de investimentos.
Ao controle:
a. Implementar um processo para garantir que os planos de ação e os marcos para as informações
programas de gerenciamento de riscos de segurança, privacidade e cadeia de suprimentos e sistemas organizacionais
associados:
b. Revise os planos de ação e os marcos para garantir a consistência com a estratégia de gerenciamento de
riscos organizacionais e as prioridades de toda a organização para ações de resposta a riscos.
Discussão: O plano de acção e os marcos é um documento organizacional fundamental e está sujeito aos requisitos de
relatórios estabelecidos pelo Gabinete de Gestão e Orçamento. As organizações desenvolvem planos de ação e marcos
com uma perspectiva de toda a organização, priorizando ações de resposta a riscos e garantindo consistência com as
metas e objetivos da organização. As atualizações do plano de ação e dos marcos baseiam-se nas conclusões das avaliações
de controlo e nas atividades de monitorização contínua. Pode haver vários planos de ação e marcos correspondentes ao nível
do sistema de informação, ao nível da missão/processo de negócios e ao nível organizacional/de governança.
Embora planos de ação e marcos sejam necessários para organizações federais, outros tipos de organizações podem
ajudar a reduzir o risco documentando e rastreando as remediações planejadas. Orientações específicas sobre planos de
ação e marcos no nível do sistema são fornecidas no CA-5.
_________________________________________________________________________________________________
pe
E INVENTÁRIO DO SISTEMA PM-5
Controle: Desenvolver e atualizar [Atribuição: frequência definida pela organização] um inventário de sistemas organizacionais.
Discussão: [OMB A-130] fornece orientação sobre o desenvolvimento de inventários de sistemas e requisitos de relatórios
associados. O inventário do sistema refere-se a um inventário de sistemas em toda a organização, não aos componentes do
sistema, conforme descrito no CM-8.
Melhorias de controle:
Estabelecer, manter e atualizar [Atribuição: frequência definida pela organização] um inventário de todos
os sistemas, aplicativos e projetos que processam informações de identificação pessoal.
Discussão: Um inventário de sistemas, aplicações e projetos que processam informações de identificação pessoal
apoia o mapeamento de ações de dados, fornecendo avisos de privacidade aos indivíduos, mantendo informações de
identificação pessoal precisas e limitando o processamento de informações de identificação pessoal quando tais
informações não são necessárias para fins operacionais. As organizações podem usar este inventário para garantir que os
sistemas processem apenas as informações de identificação pessoal apenas para fins autorizados e que esse
processamento ainda seja relevante e necessário para o propósito nele especificado.
Controles relacionados: AC-3, CM-8, CM-12, CM-13, PL-8, PM-22, PT-3, PT-5, SI-12, SI-18.
Controle: Desenvolver, monitorar e relatar os resultados das medidas de desempenho de segurança da informação e
privacidade.
Discussão: As medidas de desempenho são métricas baseadas em resultados usadas por uma organização para medir a
eficácia ou eficiência dos programas de segurança e privacidade da informação e dos controles empregados em apoio ao programa.
Para facilitar o gerenciamento de riscos de segurança e privacidade, as organizações consideram alinhar as medidas de desempenho
com a tolerância ao risco organizacional
conforme definido na estratégia de gestão de risco.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-55], [SP 800-137].
Controle: Desenvolver e manter uma arquitetura empresarial levando em consideração a segurança da informação, a privacidade
e o risco resultante para as operações e ativos organizacionais, indivíduos, outras organizações e a Nação.
Discussão: A integração de requisitos e controles de segurança e privacidade na arquitetura corporativa ajuda a garantir que as
considerações de segurança e privacidade sejam abordadas durante todo o ciclo de vida de desenvolvimento do sistema e estejam
explicitamente relacionadas à missão e aos processos de negócios da organização. O processo de integração dos requisitos
de segurança e privacidade também se integra à arquitetura empresarial e às arquiteturas de segurança e privacidade da
organização, consistentes com a estratégia de gerenciamento de riscos organizacionais. Para o PM-7, as arquiteturas de
segurança e privacidade são desenvolvidas no nível de sistema de sistemas, representando todos os aspectos organizacionais.
_________________________________________________________________________________________________
pe
E sistemas. Para o PL-8, as arquiteturas de segurança e privacidade são desenvolvidas em um nível que representa
um sistema individual. As arquiteturas em nível de sistema são consistentes com as arquiteturas de segurança e privacidade
definidas para a organização. Os requisitos de segurança e privacidade e a integração de controle são alcançados
de maneira mais eficaz por meio da aplicação rigorosa da Estrutura de Gerenciamento de Riscos [SP 800-37] e dos
padrões e diretrizes de segurança de apoio.
Controles Relacionados: AU-6, PL-2, PL-8, PM-11, RA-2, SA-3, SA-8, SA-17.
Melhorias de controle:
Descarregar [Atribuição: funções ou serviços não essenciais definidos pela organização] para outros
sistemas, componentes do sistema ou um provedor externo.
Discussão: Nem toda função ou serviço fornecido por um sistema é essencial para a missão
organizacional ou funções de negócios. Imprimir ou copiar é um exemplo de serviço não essencial, mas de apoio
para uma organização. Sempre que possível, essas funções ou serviços de apoio, mas não essenciais, não são co-
localizados com as funções ou serviços que apoiam a missão essencial ou funções empresariais. Manter tais
funções no mesmo sistema ou componente de sistema aumenta a superfície de ataque das funções ou serviços
essenciais à missão da organização. Mover funções de apoio, mas não essenciais, para um sistema não crítico,
componente de sistema ou fornecedor externo também pode aumentar a eficiência, colocando essas funções ou
serviços sob o controlo de indivíduos ou fornecedores que sejam especialistas nas funções ou serviços.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-160-1], [SP 800-160-2].
Controles Relacionados: CP-2, CP-4, PE-18, PL-2, PM-9, PM-11, PM-18, RA-3, SI-12.
Ao controle:
1. Risco de segurança para operações e ativos organizacionais, indivíduos, outras organizações e a Nação associado
à operação e uso de sistemas organizacionais; e
_________________________________________________________________________________________________
pe
E Discussão: Uma estratégia de gerenciamento de riscos em toda a organização inclui uma expressão da tolerância
ao risco de segurança e privacidade para a organização, estratégias de mitigação de riscos de segurança e
privacidade, metodologias aceitáveis de avaliação de risco, um processo para avaliar o risco de segurança e
privacidade em toda a organização com relação ao tolerância ao risco da organização e abordagens para
monitorar o risco ao longo do tempo. O responsável superior pela gestão de riscos (chefe da agência ou funcionário
designado) alinha os processos de gestão da segurança da informação com os processos de planeamento estratégico,
operacional e orçamental. A função executiva de risco, liderada pelo responsável superior pela gestão de riscos, pode
facilitar a aplicação consistente da estratégia de gestão de riscos em toda a organização. A estratégia de gestão de riscos
pode ser informada por informações relacionadas aos riscos de segurança e privacidade de outras fontes, tanto
internas quanto externas à organização, para garantir que a estratégia seja ampla e abrangente. A estratégia de gestão
de riscos da cadeia de abastecimento descrita no PM-30 também pode fornecer informações úteis para a estratégia de
gestão de riscos em toda a organização.
Controles relacionados: AC-1, AU-1, AT-1, CA-1, CA-2, CA-5, CA-6, CA-7, CM-1, CP-1, IA-1, IR-1 , MA-1, MP-1, PE-1,
PL-1, PL-2, PM-2, PM -8, PM-18, PM-28, PM-30, PS-1, PT-1, PT -2, PT-3, RA-1, RA-3, RA-9, SA-1, SA-4, SC-1, SC-38,
SI-1, SI-12, SR-1, SR-2 .
Referências: [OMB A-130], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-161], [IR 8023].
Ao controle:
b. Designar indivíduos para cumprir funções e responsabilidades específicas no processo de gestão de riscos organizacionais;
e
Discussão: Os processos de autorização para sistemas organizacionais e ambientes de operação exigem a implementação
de um processo de gestão de risco em toda a organização e padrões e diretrizes de segurança e privacidade associados.
As funções específicas para os processos de gestão de riscos incluem um executivo (função) de risco e responsáveis
autorizadores designados para cada sistema organizacional e provedor de controle comum. Os processos de
autorização da organização são integrados com processos de monitoramento contínuo para facilitar a compreensão
e aceitação contínuas dos riscos de segurança e privacidade para as operações organizacionais, ativos
organizacionais, indivíduos, outras organizações e a Nação.
Ao controle:
_________________________________________________________________________________________________
pe
E c. Revisar e revisar a missão e os processos de negócios [Atribuição: definido pela organização
frequência].
Discussão: As necessidades de protecção são capacidades independentes da tecnologia que são necessárias para
combater ameaças às organizações, indivíduos, sistemas e à Nação através do comprometimento de informações (ou seja, perda
de confidencialidade, integridade, disponibilidade ou privacidade). As necessidades de proteção de informações e de
processamento de informações pessoalmente identificáveis são derivadas da missão e das necessidades de negócios definidas
pelas partes interessadas organizacionais, da missão e dos processos de negócios projetados para atender a essas necessidades
e da estratégia de gerenciamento de riscos organizacionais. A proteção da informação e as necessidades de processamento de
informações pessoalmente identificáveis determinam os controles necessários para a organização e os sistemas. Inerente à
definição das necessidades de proteção e de processamento de informações pessoalmente identificáveis está a compreensão
do impacto adverso que poderia resultar se ocorrer um comprometimento ou violação de informações. O processo de
categorização é usado para fazer tais determinações de impacto potencial. Os riscos de privacidade para os indivíduos podem
surgir do comprometimento de informações de identificação pessoal, mas também podem surgir como consequências não
intencionais ou como um subproduto do processamento de informações de identificação pessoal em qualquer fase do
ciclo de vida da informação. As avaliações de risco de privacidade são usadas para priorizar os riscos criados para os
indivíduos pelo processamento do sistema de informações de identificação pessoal. Estas avaliações de risco permitem a
seleção dos controles de privacidade necessários para a organização e os sistemas. As definições de missão e processos de
negócios e os requisitos de proteção associados são documentados de acordo com as políticas e procedimentos organizacionais.
Controles relacionados: CP-2, PL-2, PM-7, PM-8, RA-2, RA-3, RA-9, SA-2.
Referências: [OMB A-130], [FIPS 199],[SP 800-39], [SP 800-60-1], [SP 800-60-2], [SP 800-160-1].
Controle: Implemente um programa de ameaças internas que inclua uma equipe multidisciplinar de tratamento de incidentes
de ameaças internas.
Discussão: As organizações que lidam com informações classificadas são obrigadas, de acordo com a Ordem Executiva 13587 [EO
13587] e a Política Nacional de Ameaças Internas [ODNI NITP], a estabelecer programas de ameaças internas. Os mesmos
padrões e diretrizes que se aplicam a programas de ameaças internas em ambientes classificados também podem ser empregados
de forma eficaz para melhorar a segurança de informações não confidenciais controladas e outras informações em sistemas de
segurança não nacionais. Os programas de ameaças internas incluem controles para detectar e prevenir atividades internas
maliciosas por meio da integração centralizada e da análise de informações técnicas e não técnicas para identificar possíveis
preocupações com ameaças internas. Um funcionário sênior é designado pelo chefe do departamento ou agência como o
indivíduo responsável pela implementação e supervisão do programa. Além da capacidade centralizada de integração e análise,
os programas de ameaças internas exigem que as organizações preparem políticas e planos de implementação contra ameaças
internas de departamentos ou agências, conduzam o monitoramento de usuários baseado em host das atividades individuais
dos funcionários em computadores classificados de propriedade do governo, forneçam treinamento de conscientização sobre
ameaças internas para funcionários, receber acesso a informações de escritórios do departamento ou agência para análise de
ameaças internas e realizar autoavaliações da postura de ameaças internas do departamento ou agência.
Os programas de ameaças internas podem aproveitar a existência de equipes de tratamento de incidentes que as organizações já
podem ter, como equipes de resposta a incidentes de segurança de computadores. Os registos de recursos humanos são
especialmente importantes neste esforço, uma vez que existem provas convincentes que mostram que alguns tipos de crimes
internos são frequentemente precedidos por comportamentos não técnicos no local de trabalho, incluindo
padrões contínuos de comportamento descontente e conflitos com colegas de trabalho e outros colegas.
Estes precursores podem orientar os responsáveis organizacionais em esforços de monitorização mais focados e direcionados.
Contudo, a utilização de registos de recursos humanos pode suscitar preocupações significativas em matéria de privacidade. O
_________________________________________________________________________________________________
pe
E a participação de uma equipe jurídica, incluindo a consulta ao funcionário sênior da agência para privacidade, garante
que as atividades de monitoramento sejam realizadas de acordo com as leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes aplicáveis.
Controles relacionados: AC-6, AT-2, AU-6, AU-7, AU-10, AU-12, AU-13, CA-7, IA-4, IR-4, MP-7, PE-2 , PM-16, PS-3,
PS-4, PS-5, PS-7, PS-8, SC-7, SC-38, SI-4, PM-14.
Ao controle:
a. Implementar um processo para garantir que os planos organizacionais para conduzir segurança e
atividades de testes, treinamento e monitoramento de privacidade associadas a sistemas organizacionais:
b. Revise os planos de teste, treinamento e monitoramento para obter consistência com a estratégia de gerenciamento
de riscos organizacionais e as prioridades de toda a organização para ações de resposta a riscos.
Discussão: Um processo para testes, treinamento e monitoramento de segurança e privacidade em toda a organização
ajuda a garantir que as organizações forneçam supervisão para atividades de teste, treinamento e monitoramento e
que essas atividades sejam coordenadas. Com a crescente importância dos programas de monitorização contínua, a
implementação da segurança e privacidade da informação nos três níveis da hierarquia de gestão de risco e o uso
generalizado de controlos comuns, as organizações coordenam e consolidam as atividades de teste e
monitorização que são conduzidas rotineiramente como parte de processos contínuos. avaliações que apoiam uma
variedade de controles. As atividades de treinamento em segurança e privacidade, embora focadas em sistemas
individuais e funções específicas, exigem coordenação entre todos os elementos organizacionais. Os planos e
atividades de teste, treinamento e monitoramento são informados pelas avaliações atuais de ameaças e
vulnerabilidades.
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115], [SP 800-137].
Controle: Estabelecer e institucionalizar contato com grupos e associações selecionados dentro das comunidades de
segurança e privacidade:
b. Para manter a moeda com práticas, técnicas e práticas recomendadas de segurança e privacidade
tecnologias; e
Discussão: O contacto contínuo com grupos e associações de segurança e privacidade é importante num ambiente de
tecnologias e ameaças em rápida mudança. Grupos e associações incluem
grupos de interesses especiais, associações profissionais, fóruns, grupos de notícias, grupos de usuários e grupos de
pares de profissionais de segurança e privacidade em organizações similares. As organizações selecionam grupos e
associações de segurança e privacidade com base na missão e nas funções de negócios. As organizações
compartilham informações sobre ameaças, vulnerabilidades e incidentes, bem como insights contextuais, técnicas de
conformidade e problemas de privacidade consistentes com leis, ordens executivas, diretivas, políticas, regulamentos,
padrões e diretrizes aplicáveis.
Controle: Implemente um programa de conscientização sobre ameaças que inclua um recurso de compartilhamento de informações
entre organizações para inteligência sobre ameaças.
Discussão: Devido à constante mudança e crescente sofisticação dos adversários, especialmente a ameaça
persistente avançada (APT), pode ser mais provável que os adversários consigam violar ou comprometer com
sucesso os sistemas organizacionais. Uma das melhores técnicas para abordar esta preocupação é as
organizações compartilharem informações sobre ameaças, incluindo eventos de ameaças (ou seja, táticas, técnicas e
procedimentos) que as organizações experimentaram, mitigações que as organizações consideram eficazes
contra certos tipos de ameaças e ameaças. inteligência (ou seja, indicações e avisos sobre ameaças). O
compartilhamento de informações sobre ameaças pode ser bilateral ou multilateral. A partilha bilateral de ameaças
inclui cooperativas entre governos e entre governos. A partilha multilateral de ameaças inclui organizações que
participam em consórcios de partilha de ameaças. As informações sobre ameaças podem exigir acordos e proteção
especiais ou podem ser compartilhadas livremente.
Melhorias de controle:
(1) PROGRAMA DE CONSCIENTIZAÇÃO DE AMEAÇAS | MEIOS AUTOMATIZADOS PARA COMPARTILHAR INTELIGÊNCIA DE AMEAÇAS
Discussão: Para maximizar a eficácia do monitoramento, é importante saber quais ameaças observáveis e
indicadores os sensores precisam procurar. Usando bem
_________________________________________________________________________________________________
pe
E Com estruturas, serviços e ferramentas automatizadas estabelecidas, as organizações melhoram sua capacidade de
compartilhar e alimentar rapidamente as assinaturas relevantes de detecção de ameaças em ferramentas de monitoramento.
Referências: Nenhuma.
Ao controle:
a. Estabelecer políticas e procedimentos para garantir que os requisitos para a proteção de informações não classificadas controladas
que são processadas, armazenadas ou transmitidas em sistemas externos sejam implementados de acordo com as leis,
ordens executivas, diretivas, políticas, regulamentos e padrões aplicáveis; e
Discussão: As informações não classificadas controladas são definidas pela Administração Nacional de Arquivos e Registros
juntamente com os requisitos de salvaguarda e disseminação para tais informações e são codificadas em [32 CFR 2002] e,
especificamente para sistemas externos à organização federal, 32 CFR 2002.14h. A política prescreve o uso e as condições
específicas a serem implementadas de acordo com os procedimentos organizacionais, inclusive por meio de seus processos
de contratação.
Referências: [32 CFR 2002], [SP 800-171], [SP 800-172], [NARA CUI].
Ao controle:
a. Desenvolver e disseminar um plano de programa de privacidade para toda a organização que forneça um
visão geral do programa de privacidade da agência e:
1. Inclui uma descrição da estrutura do programa de privacidade e dos recursos dedicados ao programa de
privacidade;
2. Fornece uma visão geral dos requisitos do programa de privacidade e uma descrição de
os controlos de gestão do programa de privacidade e os controlos comuns em vigor ou planeados para cumprir esses
requisitos;
3. Inclui o papel do funcionário sênior da agência para privacidade e a identificação e atribuição de funções de outros
funcionários e funcionários de privacidade e suas responsabilidades;
6. Seja aprovado por um funcionário sênior com responsabilidade pelo risco de privacidade incorrido nas operações
organizacionais (incluindo missão, funções, imagem e reputação), ativos organizacionais, indivíduos, outras
organizações e a Nação; e
b. Atualizar o plano [Atribuição: frequência definida pela organização] e abordar mudanças nas leis e políticas federais de
privacidade e mudanças organizacionais e problemas identificados durante a implementação do plano ou avaliações de
controle de privacidade.
_________________________________________________________________________________________________
pe
E Discussão: Um plano de programa de privacidade é um documento formal que fornece uma visão geral do programa
de privacidade de uma organização, incluindo uma descrição da estrutura do programa de privacidade,
os recursos dedicados ao programa de privacidade, o papel do funcionário sênior da agência para privacidade e outros
funcionários e funcionários de privacidade, as metas e objetivos estratégicos do programa de privacidade,
e os controlos de gestão do programa e controlos comuns em vigor ou planeados para cumprir os requisitos de privacidade
aplicáveis e gerir os riscos de privacidade. Os planos do programa de privacidade podem ser representados em
documentos únicos ou compilações de documentos.
O funcionário sênior da agência para privacidade é responsável por designar quais controles de privacidade a organização
tratará como controles de gerenciamento de programa, comuns, específicos do sistema e híbridos.
Os planos do programa de privacidade fornecem informações suficientes sobre o gerenciamento do programa de
privacidade e controles comuns (incluindo a especificação de parâmetros e operações de atribuição e seleção
explicitamente ou por referência) para permitir implementações de controle que sejam inequivocamente compatíveis com a
intenção dos planos e uma determinação do risco incorridos se os planos forem implementados conforme pretendido.
Os controles de gerenciamento do programa são geralmente implementados no nível da organização e são essenciais
para o gerenciamento do programa de privacidade da organização. Os controles de gerenciamento do programa são
distinto dos controles comuns, específicos do sistema e híbridos porque os controles de gerenciamento do programa
são independentes de qualquer sistema de informação específico. Juntos, os planos de privacidade para sistemas
individuais e o plano do programa de privacidade para toda a organização fornecem cobertura completa para os controles
de privacidade empregados na organização.
Controle: Nomear um funcionário sênior da agência para privacidade com autoridade, missão, responsabilidade e recursos
para coordenar, desenvolver e implementar requisitos de privacidade aplicáveis e gerenciar riscos de privacidade por
meio do programa de privacidade em toda a organização.
Discussão: O responsável pela privacidade é um responsável organizacional. Para agências federais — conforme definido
pelas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes — esse funcionário é designado
como o funcionário sênior da agência para privacidade. As organizações também podem referir-se a este funcionário como
diretor de privacidade. O funcionário sênior da agência responsável pela privacidade também desempenha funções no
conselho de gerenciamento de dados (ver PM-23) e no conselho de integridade de dados (ver PM-24).
Controle: Manter uma página central de recursos no principal site público da organização que sirva como fonte central de
informações sobre o programa de privacidade da organização e que:
a. Garante que o público tenha acesso a informações sobre as atividades de privacidade organizacional e possa se
comunicar com o funcionário sênior da agência para questões de privacidade;
_________________________________________________________________________________________________
pe
E b. Garante que as práticas e relatórios de privacidade organizacional estejam disponíveis publicamente; e
c. Emprega endereços de e-mail e/ou linhas telefônicas voltados publicamente para permitir que o público forneça feedback
e/ou direcione perguntas aos escritórios de privacidade sobre práticas de privacidade.
Discussão: Para agências federais, a página da web está localizada em www.[agency].gov/privacy. As agências federais
incluem avaliações de impacto na privacidade pública, avisos de sistema de registros, avisos e acordos de
correspondência de computadores, regras de isenção e implementação [PRIVACT] , relatórios de privacidade,
políticas de privacidade, instruções para indivíduos que fazem uma solicitação de acesso ou alteração, endereços de e-
mail para perguntas/reclamações, blogs e publicações periódicas.
Melhorias de controle:
Desenvolva e publique políticas de privacidade em todos os sites externos, aplicativos móveis e outros
serviços digitais, que:
(a) São escritos em linguagem simples e organizados de uma forma que seja fácil de entender e
navegar;
(b) Fornecer informações necessárias ao público para tomar uma decisão informada sobre
se e como interagir com a organização; e
(c) São atualizados sempre que a organização faz uma alteração substancial nas práticas que descreve e inclui
um carimbo de hora/data para informar o público sobre a data das alterações mais recentes.
Ao controle:
a. Desenvolver e manter uma contabilidade precisa das divulgações de pessoas pessoalmente identificáveis
informações, incluindo:
b. Manter a contabilização das divulgações durante o período em que o indivíduo pessoalmente identificável
as informações são mantidas ou cinco anos após a divulgação ser feita, o que for mais longo; e
_________________________________________________________________________________________________
pe
E Discussão: O objetivo da contabilização das divulgações é permitir que os indivíduos saibam a quem suas informações
de identificação pessoal foram divulgadas, fornecer uma base para avisar posteriormente os destinatários sobre qualquer
informação de identificação pessoal corrigida ou contestada e fornecer uma trilha de auditoria para revisões
subsequentes. da conformidade organizacional com as condições de divulgação. Para agências federais, manter um
registro das divulgações é exigido pelo [PRIVACT]; as agências devem consultar seu funcionário sênior para
obter aconselhamento jurídico e de privacidade sobre esse requisito e estar cientes das exceções legais e das orientações
do OMB relacionadas à disposição.
As organizações podem usar qualquer sistema para manter anotações de divulgações, se puderem construir a partir de
tal sistema, um documento listando todas as divulgações juntamente com as informações necessárias.
Mecanismos automatizados podem ser usados pelas organizações para determinar quando são pessoalmente identificáveis
informações são divulgadas, incluindo serviços comerciais que fornecem notificações e alertas.
A contabilização de divulgações também pode ser usada para ajudar as organizações a verificar a conformidade
com os estatutos e políticas de privacidade aplicáveis que regem a divulgação ou disseminação de informações e restrições
de disseminação.
Discussão: A gestão da qualidade da informação pessoalmente identificável inclui etapas que as organizações
tomam para confirmar a precisão e a relevância das informações pessoalmente identificáveis ao longo do ciclo de vida da
informação. O ciclo de vida da informação inclui a criação, coleta, uso, processamento, armazenamento, manutenção,
disseminação, divulgação e disposição de informações de identificação pessoal. As políticas e procedimentos
organizacionais para a gestão da qualidade das informações de identificação pessoal são importantes porque
informações de identificação pessoal imprecisas ou desatualizadas mantidas pelas organizações podem causar
problemas aos indivíduos.
As organizações consideram a qualidade das informações de identificação pessoal envolvidas em funções empresariais,
onde informações imprecisas podem resultar em decisões adversas ou na negação de benefícios e serviços, ou a
divulgação das informações pode causar estigmatização. Informações corretas, em certas circunstâncias, podem causar
problemas para os indivíduos que superam os benefícios das organizações que mantêm as informações. As
organizações consideram a criação de políticas e procedimentos para a remoção de tais informações.
O funcionário sênior da agência para privacidade garante que existam meios e mecanismos práticos e que sejam acessíveis
para que os indivíduos ou seus representantes autorizados busquem a correção ou exclusão de informações de identificação
pessoal. Os processos para correção ou exclusão de dados estão claramente definidos e disponíveis publicamente. As
organizações usam o critério para determinar se os dados devem ser excluídos ou corrigidos com base no escopo das
solicitações, nas alterações desejadas e no impacto das alterações.
Além disso, os processos incluem o fornecimento de respostas aos indivíduos sobre decisões de negar pedidos de
correção ou exclusão. As respostas incluem as razões para as decisões, um meio
_________________________________________________________________________________________________
pe
E registrar objeções individuais às decisões e um meio de solicitar revisões das determinações iniciais.
Controle: Estabeleça um Órgão de Governança de Dados composto por [Atribuição: funções definidas pela
organização] com [Atribuição: responsabilidades definidas pela organização].
Discussão: Um Órgão de Governança de Dados pode ajudar a garantir que a organização tenha políticas coerentes e
a capacidade de equilibrar a utilidade dos dados com os requisitos de segurança e privacidade. O Órgão de
Governança de Dados estabelece políticas, procedimentos e padrões que facilitam a governança de dados para que
os dados, incluindo informações de identificação pessoal, sejam efetivamente gerenciados e mantidos de acordo com
as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e orientações aplicáveis. As responsabilidades
podem incluir o desenvolvimento e implementação de diretrizes que apoiem a modelagem de dados, a qualidade, a
integridade e as necessidades de desidentificação de informações pessoalmente identificáveis ao longo do
ciclo de vida da informação, bem como a revisão e aprovação de aplicativos para liberar dados fora da organização,
arquivando os aplicativos e os dados divulgados e realizar o monitoramento pós-divulgação para garantir que as
suposições feitas como parte da divulgação dos dados continuem válidas. Os membros incluem o diretor de
informações, o diretor sênior de segurança da informação da agência e o funcionário sênior da agência para
privacidade. As agências federais são obrigadas a estabelecer um Órgão de Governança de Dados com funções e
responsabilidades específicas de acordo com o [EVIDACT] e as políticas estabelecidas em [OMB M-19-23].
Controles relacionados: AT-2, AT-3, PM-19, PM-22, PM-24, PT-7, SI-4, SI-19.
b. Realizar uma revisão anual de todos os programas correspondentes em que a agência participou.
Discussão: Um Conselho de Integridade de Dados é o conselho de altos funcionários designado pelo chefe de
uma agência federal e é responsável por, entre outras coisas, revisar as propostas da agência para conduzir ou
participar de um programa de correspondência e realizar uma revisão anual de todos os programas de
correspondência. em que a agência participou. De modo geral, um programa de correspondência é uma
comparação computadorizada de registros de dois ou mais sistemas automatizados de registros [PRIVACT] ou um
sistema automatizado de registros e registros automatizados mantidos por uma agência não federal (ou seu agente).
Um programa de correspondência pertence a programas de benefícios federais ou a funcionários federais ou
registros de folha de pagamento. No mínimo, o Conselho de Integridade de Dados inclui o Inspetor Geral da
agência, se houver, e o funcionário sênior da agência para privacidade.
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
Ao controle:
b. Limitar ou minimizar a quantidade de informações de identificação pessoal usadas para testes internos,
fins de treinamento e pesquisa;
c. Autorizar o uso de informações de identificação pessoal quando tais informações forem necessárias
para testes internos, treinamento e pesquisa; e
Controle: Implemente um processo para receber e responder a reclamações, preocupações ou perguntas de indivíduos
sobre as práticas organizacionais de segurança e privacidade que inclua:
c. Mecanismos de rastreamento para garantir que todas as reclamações recebidas sejam analisadas e tratadas dentro
[Atribuição: período de tempo definido pela organização];
Discussão: Reclamações, preocupações e perguntas de indivíduos podem servir como fontes valiosas
de entrada para as organizações e, em última análise, melhorar os modelos operacionais, os usos da tecnologia, as
práticas de coleta de dados e os controles. Os mecanismos que podem ser usados pelo público incluem linha telefônica
direta, e-mail ou formulários baseados na web. As informações necessárias para registrar reclamações com sucesso
incluem informações de contato do funcionário sênior da agência de privacidade ou outro funcionário designado para
receber reclamações. Reclamações de privacidade também podem incluir informações de identificação pessoal
que é tratado de acordo com políticas e processos relevantes.
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
Ao controle:
1. [Atribuição: órgãos de supervisão definidos pela organização] para demonstrar responsabilidade com mandatos
estatutários, regulatórios e políticos de privacidade; e
Discussão: Através de relatórios internos e externos, as organizações promovem a responsabilização e a transparência nas
operações de privacidade organizacional. Os relatórios também podem ajudar as organizações a determinar o progresso
no cumprimento dos requisitos de conformidade e controles de privacidade, comparar o desempenho em todo o governo
federal, descobrir vulnerabilidades, identificar lacunas nas políticas e na implementação e identificar modelos para o sucesso.
Para agências federais, os relatórios de privacidade incluem
funcionário sênior anual da agência para relatórios de privacidade ao OMB, relatórios ao Congresso exigidos pelos
Regulamentos de Implementação da Lei da Comissão do 11 de Setembro e outros relatórios públicos exigidos por lei,
regulamento ou política, incluindo políticas internas de organizações. O funcionário sênior da agência para privacidade
consulta o consultor jurídico, quando apropriado, para garantir que as organizações atendam a todos os requisitos
aplicáveis de relatórios de privacidade.
Ao controle:
a. Identifique e documente:
2. Restrições que afectam as avaliações de riscos, as respostas aos riscos e a monitorização dos riscos;
b. Distribuir os resultados das atividades de enquadramento de risco para [Atribuição: definido pela organização
pessoal]; e
Discussão: A estruturação de riscos é mais eficaz quando conduzida no nível da organização e em consulta com as
partes interessadas em toda a organização, incluindo os proprietários da missão, do negócio e do sistema. Os
pressupostos, restrições, tolerância ao risco, prioridades e compromissos identificados como parte do processo de
enquadramento do risco informam a estratégia de gestão do risco, que por sua vez informa a condução das atividades de
avaliação do risco, resposta ao risco e monitorização do risco. Os resultados da estrutura de risco são compartilhados com o
pessoal organizacional, incluindo a missão e os proprietários do negócio, as informações
_________________________________________________________________________________________________
pe
E proprietários ou administradores, proprietários de sistemas, funcionários responsáveis pela autorização, oficial sênior de segurança
da informação da agência, funcionário sênior da agência para privacidade e funcionário sênior responsável pela gestão de riscos.
Ao controle:
b. Estabeleça um Executivo de Risco (função) para visualizar e analisar o risco de uma perspectiva de toda a
organização e garantir que o gerenciamento do risco seja consistente em toda a organização.
Discussão: O responsável sênior pela gestão de riscos lidera o executivo (função) de riscos nas atividades de
gestão de riscos em toda a organização.
Ao controle:
a. Desenvolver uma estratégia em toda a organização para gerenciar os riscos da cadeia de suprimentos associados
ao desenvolvimento, aquisição, manutenção e descarte de sistemas, componentes de sistema e serviços de
sistema;
b. Implementar a estratégia de gestão de riscos da cadeia de abastecimento de forma consistente em toda a organização;
e
Discussão: Uma estratégia de gestão de risco da cadeia de abastecimento em toda a organização inclui
uma expressão inequívoca do apetite e tolerância ao risco da cadeia de abastecimento para a organização,
estratégias ou controles aceitáveis de mitigação de risco da cadeia de abastecimento, um processo para
avaliar e monitorar consistentemente o risco da cadeia de abastecimento, abordagens para implementação e comunicar
a estratégia de gestão de riscos da cadeia de abastecimento e as funções e responsabilidades associadas. A gestão de
riscos da cadeia de fornecimento inclui considerações sobre os riscos de segurança e privacidade associados ao
desenvolvimento, aquisição, manutenção e descarte de sistemas, componentes de sistema e serviços de sistema. A
estratégia de gestão de riscos da cadeia de abastecimento pode ser incorporada na estratégia global de gestão
de riscos da organização e pode orientar e informar as políticas da cadeia de abastecimento e os planos de gestão
de riscos da cadeia de abastecimento a nível do sistema. Além disso, a utilização de uma função executiva de
risco pode facilitar uma aplicação consistente, em toda a organização, da estratégia de gestão de riscos da cadeia de
abastecimento. A estratégia de gestão de riscos da cadeia de abastecimento é implementada nos níveis da
organização e da missão/negócio, enquanto o plano de gestão de riscos da cadeia de abastecimento (ver SR-2) é
implementado no nível do sistema.
Controles relacionados: CM-10, PM-9, SR-1, SR-2, SR-3, SR-4, SR-5, SR-6, SR-7, SR-8, SR-9, SR-11 .
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) ESTRATÉGIA DE GESTÃO DE RISCOS DA CADEIA DE FORNECIMENTO | FORNECEDORES DE ITENS CRÍTICOS OU ESSENCIAIS PARA A MISSÃO
Referências: [PRIVACT], [FASC18], [EO 13873], [41 CFR 201], [OMB A-130], [OMB M-17-06]
[CNSSD 505], [ISO 27036], [ISO 20243], [SP 800-161], [IR 8272].
c. Monitorização contínua das métricas definidas organizacionalmente de acordo com a estratégia de monitorização
contínua;
Discussão: O monitoramento contínuo no nível da organização facilita a conscientização contínua da postura de segurança
e privacidade em toda a organização para apoiar decisões de gerenciamento de riscos organizacionais. Os termos
“contínuo” e “contínuo” implicam que as organizações avaliem e monitorizem os seus controlos e riscos com uma
frequência suficiente para apoiar decisões baseadas no risco. Diferentes tipos de controles podem exigir diferentes
frequências de monitoramento. Os resultados do monitoramento contínuo orientam e informam as ações de resposta
aos riscos por parte das organizações. Programas de monitoramento contínuo permitem que as organizações mantenham
as autorizações de sistemas e controles comuns em ambientes de operação altamente dinâmicos com mudanças na
missão e nas necessidades de negócios, ameaças, vulnerabilidades e tecnologias. Ter acesso contínuo a informações
relacionadas à segurança e à privacidade por meio de relatórios e painéis dá aos funcionários da organização a
capacidade de tomar decisões de gerenciamento de riscos eficazes, oportunas e informadas, incluindo decisões
de autorização contínuas. Para facilitar ainda mais o gerenciamento de riscos de segurança e privacidade, as
organizações consideram alinhar as métricas de monitoramento definidas pela organização com a tolerância ao risco
organizacional, conforme definido na estratégia de gerenciamento de riscos. Os requisitos de monitoramento, incluindo a
necessidade de monitoramento, podem ser referenciados em outros controles e melhorias de controle, como AC-2g,
AC-2(7), AC-2(12)(a),
AC-2(7)(b), AC-2(7)(c), AC-17(1), AT-4a, AU-13, AU-13(1), AU-13(2), CA -7, CM-3f, CM-6d, CM-11c, IR-5, MA-2b, MA-3a,
MA-4a, PE-3d, PE-6, PE-14b, PE- 16, PE-20 , PM-6, PM-23, PS-7e, SA-9c, SC-5(3)(b), SC-7a, SC-7(24)(b), SC-18b,
SC-43b, SI -4.
Controles relacionados: AC-2, AC-6, AC-17, AT-4, AU-6, AU-13, CA-2, CA-5, CA-6, CA-7, CM-3, CM-4 ,
CM-6, CM-11, IA-5, IR- 5, MA-2 , MA-3, MA-4, PE-3, PE-6, PE- 14, PE-16, PE-20, PL- 2, PM-4, PM-6,
_________________________________________________________________________________________________
pe
E PM-9, PM-10, PM-12, PM - 14 , PM-23, PM -28, PS-7, PT-7, RA-3, RA-5 , RA-7, SA-9, SA- 11, SC-5, SC -7, SC-18,
SC-38, SC-43, SI-3, SI-4, SI-12, SR-2, SR-4.
OBJETIVO PM-32
Controle: Analisar [Atribuição: sistemas ou componentes de sistemas definidos pela organização] que apoiam
serviços ou funções essenciais à missão para garantir que os recursos de informação estejam sendo usados de
forma consistente com a finalidade pretendida.
Discussão: Os sistemas são projetados para apoiar uma missão ou função empresarial específica. No entanto, ao
longo do tempo, os sistemas e componentes do sistema podem ser utilizados para apoiar serviços e funções que
estão fora do âmbito da missão ou funções empresariais pretendidas. Isso pode resultar na exposição de
recursos de informação a ambientes e usos não intencionais que podem aumentar significativamente a
exposição a ameaças. Ao fazer isso, os sistemas ficam mais vulneráveis a comprometimentos, o que
podem, em última análise, impactar os serviços e funções para os quais foram destinados. Isto é especialmente
impactante para serviços e funções essenciais à missão. Ao analisar o uso de recursos, as organizações
pode identificar tais exposições potenciais.
_________________________________________________________________________________________________
pe
E 3.14 SEGURANÇA DE PESSOAL
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de segurança
pessoal em nível de sistema] que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: Política e procedimentos de segurança pessoal para os controles da família PS que são implementados
em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas
e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é importante
que os programas de segurança e privacidade colaborem no seu desenvolvimento. As políticas e procedimentos do
programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade
de políticas e procedimentos no nível da missão ou específicos do sistema. A política pode ser incluída como parte da
política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa
das organizações.
Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão/negócios,
e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados e
podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados.
Os eventos que podem precipitar uma atualização da política e dos procedimentos de segurança do pessoal incluem,
mas não estão limitados a, resultados de avaliação ou auditoria, incidentes ou violações de segurança ou alterações
nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
_________________________________________________________________________________________________
pe
E DESIGNAÇÃO DE RISCO DE POSIÇÃO PS-2
Ao controle:
c. Revise e atualize as designações de risco de posição [Atribuição: frequência definida pela organização].
Discussão: As designações de risco de posição refletem a política e orientação do Escritório de Gestão de Pessoal
(OPM). A designação adequada da posição é a base de uma adequação eficaz e consistente
e programa de segurança de pessoal. O Sistema de Designação de Cargos (PDS) avalia os deveres e responsabilidades
de um cargo para determinar o grau de dano potencial à eficiência ou integridade do serviço devido à má conduta
de um ocupante de um cargo e estabelece o nível de risco desse cargo. A avaliação do PDS também determina se os
deveres e responsabilidades do cargo apresentam potencial para que os titulares do cargo provoquem um efeito
adverso material na segurança nacional e o grau desse efeito potencial, o que estabelece o nível de sensibilidade
de um cargo. Os resultados da avaliação determinam qual nível de investigação é conduzido para uma
posição. As designações de risco podem orientar e informar os tipos de autorizações que os indivíduos recebem ao
acessar informações organizacionais e sistemas de informação.
Os critérios de seleção de cargos incluem requisitos explícitos de nomeação para cargos de segurança da informação.
As Partes 1400 e 731 do Título 5, Código de Regulamentações Federais, estabelecem os requisitos para que
as organizações avaliem posições cobertas relevantes para uma sensibilidade de posição e designação de risco de
posição proporcionais aos deveres e responsabilidades dessas posições.
Controles relacionados: AC-5, AT-3, PE-2, PE-3, PL-2, PS-3, PS-6, SA-5, SA-21, SI-12.
Ao controle:
Discussão: As atividades de triagem e reavaliação de pessoal refletem leis aplicáveis, ordens executivas, diretivas,
regulamentos, políticas, padrões, diretrizes e critérios específicos estabelecidos para as designações de risco dos cargos
atribuídos. Exemplos de triagem de pessoal incluem investigações de antecedentes e verificações de agências. As
organizações podem definir diferentes condições e frequências de nova triagem para o pessoal que acessa os sistemas
com base nos tipos de informações processadas, armazenadas ou transmitidas pelos sistemas.
Controles Relacionados: AC-2, IA-4, MA-5, PE-2, PM-12, PS-2, PS-6, PS-7, SA-21.
Melhorias de controle:
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite informações
classificadas são liberados e doutrinados no mais alto nível de classificação das informações às
quais têm acesso no sistema.
Discussão: Informações classificadas são as informações mais confidenciais que o Governo Federal
processa, armazena ou transmite. É imperativo que os indivíduos tenham as autorizações de segurança
e de acesso ao sistema necessárias antes de obter acesso a tais
_________________________________________________________________________________________________
pe
E Informação. As autorizações de acesso são impostas por controles de acesso ao sistema (consulte AC-3) e controles de
fluxo (consulte AC-4).
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite tipos de informações
confidenciais que exigem doutrinação formal são formalmente doutrinados para todos
os tipos relevantes de informações aos quais eles têm acesso no sistema.
Discussão: Os tipos de informações classificadas que requerem doutrinação formal incluem Programa de Acesso Especial
(SAP), Dados Restritos (RD) e Informações Compartimentadas Sensíveis (SCI).
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite informações que requerem
proteção especial:
(a) Ter autorizações de acesso válidas que sejam demonstradas pelo funcionário designado
deveres governamentais; e
(b) Satisfazer [Atribuição: critérios adicionais de triagem de pessoal definidos pela organização].
Discussão: As informações organizacionais que requerem proteção especial incluem informações controladas e não
classificadas. Os critérios de segurança do pessoal incluem requisitos de triagem de histórico de sensibilidade ao cargo.
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite [Atribuição: tipos de
informações definidos pela organização] atendem a [Atribuição: requisitos de cidadania definidos pela
organização].
Discussão: Nenhuma.
Referências: [EO 13526], [EO 13587], [FIPS 199], [FIPS 201-2], [SP 800-60-1], [SP 800-60-2], [SP 800-73-4] , [SP 800-76-2], [SP
800-78-4].
a. Desative o acesso ao sistema dentro de [Atribuição: período de tempo definido pela organização];
c. Conduza entrevistas de saída que incluam uma discussão sobre [Tarefa: definida pela organização
temas de segurança da informação];
Discussão: A propriedade do sistema inclui tokens de autenticação de hardware, manuais técnicos de administração do sistema,
chaves, cartões de identificação e passes de construção. As entrevistas de desligamento garantem que os indivíduos demitidos
entendam as restrições de segurança impostas por serem ex-funcionários e que a responsabilização adequada seja alcançada pela
propriedade relacionada ao sistema. Os tópicos de segurança nas entrevistas de desligamento incluem lembrar os indivíduos
sobre acordos de confidencialidade e possíveis limitações em empregos futuros. As entrevistas de saída nem sempre são
possíveis para alguns indivíduos, incluindo
_________________________________________________________________________________________________
pe
E em casos relacionados à indisponibilidade de supervisores, doenças ou abandono do emprego. As entrevistas de saída
são importantes para indivíduos com autorizações de segurança. A execução tempestiva das ações de rescisão é essencial
para indivíduos que foram demitidos por justa causa. Em certos
situações, as organizações consideram desabilitar as contas do sistema de indivíduos que estão sendo encerrados antes de os
indivíduos serem notificados.
Melhorias de controle:
(b) Exigir que os indivíduos demitidos assinem um reconhecimento dos requisitos pós-emprego como parte do
processo de demissão organizacional.
Discussão: As organizações consultam o Gabinete do Conselho Geral sobre questões de requisitos pós-emprego para
indivíduos demitidos.
Discussão: Em organizações com muitos funcionários, nem todo o pessoal que precisa de saber sobre as ações de
rescisão recebe as notificações apropriadas ou, se tais notificações forem recebidas, podem não ocorrer em tempo hábil.
Mecanismos automatizados podem ser usados para enviar alertas ou notificações automáticas ao pessoal ou funções
organizacionais quando indivíduos são demitidos. Esses alertas ou notificações automáticos podem ser transmitidos de
diversas maneiras, inclusive por telefone, correio eletrônico, mensagem de texto ou sites. Mecanismos automatizados também
podem ser empregados para desabilitar rápida e completamente o acesso aos recursos do sistema após a demissão de um
funcionário.
Referências: Nenhuma.
Ao controle:
c. Modifique a autorização de acesso conforme necessário para corresponder a quaisquer alterações nas necessidades operacionais
devido a reatribuição ou transferência; e
d. Notificar [Atribuição: pessoal ou funções definidas pela organização] dentro de [Atribuição: período de tempo
definido pela organização].
Discussão: A transferência de pessoal aplica-se quando as reafectações ou transferências de indivíduos são permanentes
ou de duração tão prolongada que tornam as acções justificadas. As organizações definem ações adequadas aos tipos de
remanejamentos ou transferências, sejam permanentes ou prorrogadas.
Ações que podem ser necessárias para transferências de pessoal ou reatribuições para outros cargos dentro
_________________________________________________________________________________________________
pe
E as organizações incluem a devolução de chaves antigas e a emissão de novas chaves, cartões de
identificação e passes de construção; encerramento de contas do sistema e abertura de novas contas;
alterar autorizações de acesso ao sistema (ou seja, privilégios); e fornecer acesso a registros oficiais aos quais
os indivíduos tiveram acesso em locais de trabalho anteriores e em contas anteriores do sistema.
Referências: Nenhuma.
2. Assinar novamente os acordos de acesso para manter o acesso aos sistemas organizacionais quando
os acordos de acesso forem atualizados ou [Atribuição: frequência definida pela organização].
Discussão: Os acordos de acesso incluem acordos de confidencialidade, acordos de uso aceitável, regras de
comportamento e acordos de conflito de interesses. Os acordos de acesso assinados incluem um
reconhecimento de que os indivíduos leram, compreenderam e concordaram em cumprir as restrições associadas
aos sistemas organizacionais aos quais o acesso é autorizado. As organizações podem usar assinaturas
eletrônicas para reconhecer acordos de acesso, a menos que seja especificamente proibido pela política
organizacional.
Controles relacionados: AC-17, PE-2, PL-4, PS-2, PS-3, PS-6, PS-7, PS-8, SA-21, SI-12.
Melhorias de controle:
(a) Ter uma autorização de acesso válida que seja demonstrada pelas funções
governamentais oficiais atribuídas;
(b) Satisfazer os critérios de segurança de pessoal associados; e
(c) Ter lido, compreendido e assinado um acordo de confidencialidade.
Discussão: As informações classificadas que requerem proteção especial incluem informações
colaterais, informações do Programa de Acesso Especial (SAP) e Informações Compartimentadas
Sensíveis (SCI). Os critérios de segurança do pessoal refletem as leis, ordens executivas, diretivas,
regulamentos, políticas, padrões e diretrizes aplicáveis.
Controles relacionados: Nenhum.
(a) Notificar os indivíduos sobre os requisitos pós-emprego aplicáveis e juridicamente vinculativos para
proteção de informações organizacionais; e
_________________________________________________________________________________________________
pe
E (b) Exigir que os indivíduos assinem um reconhecimento desses requisitos, se aplicável, como parte da
concessão de acesso inicial às informações cobertas.
Discussão: As organizações consultam o Gabinete do Conselho Geral sobre questões de requisitos pós-emprego
para indivíduos demitidos.
Controles relacionados: PS-4.
Referências: Nenhuma.
Ao controle:
d. Exigir que fornecedores externos notifiquem [Atribuição: pessoal ou funções definidas pela organização] sobre quaisquer
transferências de pessoal ou demissões de pessoal externo que possua credenciais e/ou crachás organizacionais,
ou que tenham privilégios de sistema dentro de [Atribuição: período de tempo definido pela organização]; e
Discussão: Provedor externo refere-se a organizações que não sejam a organização que opera ou adquire o sistema.
Provedores externos incluem agências de serviços, prestadores de serviços e outras organizações que fornecem
desenvolvimento de sistemas, serviços de tecnologia da informação, serviços de teste ou avaliação, aplicativos
terceirizados e gerenciamento de rede/segurança. As organizações incluem explicitamente requisitos de segurança de
pessoal em documentos relacionados à aquisição. Os provedores externos podem ter pessoal trabalhando em
instalações organizacionais com credenciais, crachás ou privilégios de sistema emitidos pelas organizações. Notificações
de mudanças de pessoal externo garantem o encerramento apropriado de privilégios e credenciais. As organizações definem
as transferências e rescisões consideradas reportáveis por características relacionadas à segurança que incluem
funções, funções e a natureza das credenciais ou privilégios associados a indivíduos transferidos ou demitidos.
Controles relacionados: AT-2, AT-3, MA-5, PE-3, PS-2, PS-3, PS-4, PS-5, PS-6, SA-5, SA-9, SA-21 .
Ao controle:
a. Empregar um processo formal de sanções para indivíduos que não cumpram as políticas e procedimentos
estabelecidos de segurança da informação e privacidade; e
Discussão: As sanções organizacionais refletem as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. Os processos de sanções são descritos em acordos de acesso e podem ser incluídos
como parte das políticas gerais de pessoal das organizações e/ou especificados nas políticas de segurança e privacidade.
As organizações consultam o Gabinete do Conselho Geral sobre questões de sanções a funcionários.
_________________________________________________________________________________________________
pe
E Controles relacionados: Todos os controles XX-1, PL-4, PM-12, PS-6, PT-1.
Referências: Nenhuma.
Controle: incorpore funções e responsabilidades de segurança e privacidade nas descrições de cargos organizacionais.
Discussão: A especificação de funções de segurança e privacidade nas descrições de cargos organizacionais individuais
facilita a clareza na compreensão das responsabilidades de segurança ou privacidade associadas às funções e dos requisitos de
treinamento de segurança e privacidade baseados em funções para as funções.
_________________________________________________________________________________________________
pe
E 3.15 PROCESSAMENTO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS E
TRANSPARÊNCIA
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Nível de sistema]
política de transparência e processamento de informações pessoalmente identificáveis que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
Ao controle:
a. Determinar e documentar a [Atribuição: autoridade definida pela organização] que permite a [Atribuição: processamento definido
pela organização] de informações de identificação pessoal; e
Discussão: O processamento de informações pessoalmente identificáveis é uma operação ou conjunto de operações que
o sistema de informação ou organização executa com relação às informações pessoalmente identificáveis ao longo do ciclo
de vida da informação. O processamento inclui, mas não está limitado a criação, coleta, uso, processamento, armazenamento,
manutenção, disseminação, divulgação e descarte. As operações de processamento também incluem registro, geração e
transformação, bem como técnicas de análise, como mineração de dados.
As organizações podem estar sujeitas a leis, ordens executivas, diretivas, regulamentos ou políticas que estabeleçam a autoridade
da organização e, assim, limitem certos tipos de processamento de informações de identificação pessoal ou estabeleçam outros
requisitos relacionados ao processamento. O pessoal da organização consulta o funcionário sênior da agência para aconselhamento
jurídico e de privacidade em relação a tal autoridade, especialmente se a organização estiver sujeita a múltiplas jurisdições ou
fontes de autoridade. Para organizações cujo processamento não é determinado pelas autoridades legais,
as políticas e determinações da organização regem a forma como processam informações de identificação pessoal. Embora o
processamento de informações de identificação pessoal possa ser legalmente permitido, ainda podem surgir riscos de privacidade.
As avaliações de risco de privacidade podem identificar os riscos de privacidade associados ao processamento autorizado de
informações de identificação pessoal e apoiar soluções para gerenciar tais riscos.
As organizações consideram os requisitos e políticas organizacionais aplicáveis para determinar como documentar esta autoridade.
Para agências federais, a autoridade para processar informações de identificação pessoal está documentada em políticas e
avisos de privacidade, avisos de sistema de registros, avaliações de impacto na privacidade, declarações [PRIVACT] , acordos
e avisos de correspondência de computadores, contratos, acordos de compartilhamento de informações, memorandos de
entendimento e outra documentação.
As organizações tomam medidas para garantir que as informações de identificação pessoal sejam processadas apenas para fins
autorizados, incluindo o treinamento do pessoal organizacional sobre o processamento autorizado de informações de identificação
pessoal e o monitoramento e auditoria do uso organizacional de informações de identificação pessoal.
Controles relacionados: AC-2, AC-3, CM-13, IR-9, PM-9, PM-24, PT-1, PT-3, PT-5, PT-6, RA-3, RA-8 , SI-12, SI-18.
Melhorias de controle:
Anexe tags de dados contendo [Atribuição: processamento autorizado definido pela organização] a [Atribuição:
elementos de informações de identificação pessoal definidos pela organização].
Discussão: As tags de dados apoiam o rastreamento e a aplicação do processamento autorizado, transmitindo os tipos
de processamento autorizados, juntamente com os elementos relevantes do
_________________________________________________________________________________________________
pe
E informações pessoalmente identificáveis em todo o sistema. As tags de dados também podem suportar o uso
de ferramentas automatizadas.
Controles Relacionados: AC-16, CA-6, CM-12, PM-5, PM-22, PT-4, SC-16, SC-43, SI-10, SI-15, SI-19.
Discussão: Mecanismos automatizados aumentam a verificação de que apenas o processamento autorizado está
ocorrendo.
Controles Relacionados: CA-6, CM-12, PM-5, PM-22, PT-4, SC-16, SC-43, SI-10, SI-15, SI-19.
Ao controle:
Discussão: Identificar e documentar a finalidade do processamento fornece às organizações uma base para
compreender por que as informações pessoalmente identificáveis podem ser processadas. O termo “processo” inclui
todas as etapas do ciclo de vida da informação, incluindo criação, coleta, uso, processamento, armazenamento,
manutenção, disseminação, divulgação e descarte. Identificar e documentar a finalidade do processamento é
um pré-requisito para permitir que os proprietários e operadores do sistema e os indivíduos cujas informações são
processadas pelo sistema compreendam como as informações serão processadas. Isto permite que os indivíduos
tomem decisões informadas sobre o seu envolvimento com sistemas e organizações de informação e gerenciem os
seus interesses de privacidade.
Uma vez identificada a finalidade específica do processamento, a finalidade é descrita nos avisos de
privacidade, nas políticas e em qualquer documentação de conformidade de privacidade relacionada da
organização, incluindo avaliações de impacto na privacidade, avisos do sistema de registros, declarações
[PRIVACT] , avisos de correspondência por computador e outros avisos aplicáveis. Avisos do Registro Federal.
As organizações tomam medidas para ajudar a garantir que as informações de identificação pessoal sejam processadas
apenas para fins identificados, incluindo treinamento de pessoal organizacional e monitoramento e auditoria do
processamento organizacional de informações de identificação pessoal.
Controles relacionados: AC-2, AC-3, AT-3, CM-13, IR-9, PM-9, PM-25, PT-2, PT-5, PT-6, PT-7, RA-8 , SC-43, SI-12,
SI-18.
_________________________________________________________________________________________________
pe
E Melhorias de controle:
Controles Relacionados: CA-6, CM-12, PM-5, PM-22, SC-16, SC-43, SI-10, SI-15, SI-19.
CONSENTIMENTO PT-4
Controle: Implementar [Atribuição: ferramentas ou mecanismos definidos pela organização] para que os indivíduos
consintam com o processamento de suas informações de identificação pessoal antes de sua coleta que
facilitar a tomada de decisão informada dos indivíduos.
Discussão: O consentimento permite que os indivíduos participem na tomada de decisões sobre o processamento das
suas informações e transfere alguns dos riscos que surgem do processamento de informações pessoalmente
identificáveis da organização para um indivíduo. O consentimento pode ser exigido por leis, ordens executivas,
diretivas, regulamentos, políticas, padrões ou diretrizes aplicáveis.
Caso contrário, ao selecionar o consentimento como controlo, as organizações consideram se é razoável esperar
que os indivíduos compreendam e aceitem os riscos de privacidade que surgem da sua autorização. As
organizações consideram se outros controles podem mitigar de forma mais eficaz o risco de privacidade,
isoladamente ou em conjunto com o consentimento. As organizações também consideram quaisquer fatores
demográficos ou contextuais que possam influenciar a compreensão ou o comportamento dos indivíduos
em relação ao processamento realizado pelo sistema ou organização. Ao solicitar o consentimento de
indivíduos, as organizações consideram o mecanismo apropriado para obter consentimento, incluindo o tipo
de consentimento (por exemplo, opt-in, opt-out), como autenticar adequadamente e comprovar a identidade
dos indivíduos e como obter consentimento através de meios eletrônicos.
Além disso, as organizações consideram fornecer um mecanismo para que os indivíduos revoguem o consentimento
uma vez fornecido, conforme apropriado. Finalmente, as organizações consideram factores de usabilidade para
ajudar os indivíduos a compreender os riscos que são aceites ao fornecer consentimento, incluindo o uso de
linguagem simples e evitando jargões técnicos.
Melhorias de controle:
Fornecer [Atribuição: mecanismos definidos pela organização] para permitir que indivíduos adaptem
as permissões de processamento a elementos selecionados de informações de identificação pessoal.
_________________________________________________________________________________________________
pe
E Discussão: Embora algum processamento possa ser necessário para a funcionalidade básica do produto ou
serviço, outro processamento pode não ser. Nestas circunstâncias, as organizações permitem que os indivíduos
selecionem como os elementos específicos de informação pessoalmente identificável podem ser processados.
Um consentimento mais personalizado pode ajudar a reduzir o risco de privacidade, aumentar a satisfação
individual e evitar comportamentos adversos, como o abandono do produto ou serviço.
Controles Relacionados: PT-2.
Discussão: O consentimento just-in-time permite que os indivíduos participem na forma como as suas informações
pessoalmente identificáveis estão a ser processadas no momento ou em conjunto com tipos específicos de
processamento de dados, quando tal participação possa ser mais útil para o indivíduo. As suposições individuais sobre
como as informações de identificação pessoal estão sendo processadas podem não ser precisas ou confiáveis se tiver
passado algum tempo desde a última vez que o indivíduo deu consentimento ou se o tipo de processamento criar um
risco significativo à privacidade. As organizações usam o critério para determinar quando usar o consentimento just-in-
time e podem usar informações de apoio sobre dados demográficos, grupos focais ou pesquisas para saber mais
sobre os interesses e preocupações de privacidade dos indivíduos.
Controles Relacionados: PT-2.
Implementar [Atribuição: ferramentas ou mecanismos definidos pela organização] para que indivíduos
revoguem o consentimento para o processamento de suas informações de identificação pessoal.
Discussão: A revogação do consentimento permite que os indivíduos exerçam controlo sobre a sua decisão inicial
de consentimento quando as circunstâncias mudam. As organizações consideram fatores de usabilidade ao permitir
recursos de revogação fáceis de usar.
Controles Relacionados: PT-2.
Controle: Fornecer aviso aos indivíduos sobre o processamento de informações de identificação pessoal que:
a. Está disponível para indivíduos na primeira interação com uma organização e, posteriormente, em
[Atribuição: frequência definida pela organização];
Discussão: Os avisos de privacidade ajudam a informar os indivíduos sobre como suas informações de identificação
pessoal estão sendo processadas pelo sistema ou organização. As organizações utilizam avisos de privacidade para informar
os indivíduos sobre como, sob que autoridade e com que finalidade as suas informações pessoalmente identificáveis são
processadas, bem como outras informações, como as escolhas que os indivíduos podem ter em relação a esse
processamento e a outras partes com quem as informações são partilhadas.
Leis, ordens executivas, diretivas, regulamentos ou políticas podem exigir que os avisos de privacidade incluam
elementos específicos ou sejam fornecidos em formatos específicos. O pessoal da agência federal consulta o funcionário
sênior da agência para aconselhamento jurídico e de privacidade sobre quando e onde fornecer
_________________________________________________________________________________________________
pe
E avisos de privacidade, bem como elementos a serem incluídos nos avisos de privacidade e formatos exigidos. Em
circunstâncias em que as leis ou políticas governamentais não exigem avisos de privacidade, as políticas e
determinações organizacionais podem exigir avisos de privacidade e podem servir como fonte dos elementos a serem incluídos
nos avisos de privacidade.
Controles Relacionados: PM-20, PM-22, PT-2, PT-3, PT-4, PT-7, RA-3, SC-42, SI-18.
Melhorias de controle:
Discussão: Os avisos just-in-time informam os indivíduos sobre como as organizações processam suas
informações de identificação pessoal no momento em que tais avisos podem ser mais úteis para os indivíduos. As
suposições individuais sobre como as informações de identificação pessoal serão processadas podem não ser
precisas ou confiáveis se o tempo tiver passado desde a última notificação apresentada pela organização ou se as
circunstâncias sob as quais o indivíduo recebeu a última notificação tiverem mudado. Um aviso just-in-time pode
explicar as ações de dados que as organizações identificaram como potencialmente dando origem a maiores
riscos de privacidade para os indivíduos. As organizações podem usar um aviso just-in-time para atualizar ou lembrar
os indivíduos sobre ações específicas de dados à medida que ocorrem ou destacar alterações específicas que
ocorreram desde a última apresentação do aviso. Um aviso just-in-time pode ser usado em conjunto com o
consentimento just-in-time para explicar o que acontecerá se o consentimento for recusado. As organizações usam
o critério para determinar quando usar um aviso just-in-time e podem usar informações de apoio sobre dados
demográficos dos usuários, grupos focais ou pesquisas para aprender sobre os interesses e preocupações de
privacidade dos usuários.
Controles Relacionados: PM-21.
Inclua declarações da Lei de Privacidade em formulários que coletam informações que serão mantidas em um
sistema de registros da Lei de Privacidade ou forneça declarações da Lei de Privacidade em formulários
separados que possam ser retidos por indivíduos.
Discussão: Se uma agência federal solicitar que indivíduos forneçam informações que se tornarão parte de um sistema
de registros, a agência será obrigada a fornecer uma declaração [PRIVACT] no formulário usado para coletar as
informações ou em um formulário separado que possa ser retido por o indivíduo.
A agência fornece uma declaração [PRIVACT] em tais circunstâncias, independentemente de as informações serem
coletadas em papel ou em formato eletrônico, em um site, em um aplicativo móvel, por telefone ou por algum
outro meio. Este requisito garante que o indivíduo receba informações suficientes sobre o pedido de informações para
tomar uma decisão informada sobre responder ou não.
As declarações [PRIVACT] fornecem notificação formal aos indivíduos da autoridade que autoriza a solicitação das
informações; se o fornecimento das informações é obrigatório ou voluntário; a(s) principal(is) finalidade(s) para
a(s) qual(is) a informação será utilizada; os usos rotineiros publicados aos quais a informação está sujeita; os efeitos
sobre o indivíduo, se houver, de não fornecer toda ou parte das informações solicitadas; e uma citação apropriada e
link para o aviso do sistema de registros relevante. O pessoal da agência federal consulta o funcionário sênior da
agência para aconselhamento jurídico e de privacidade em relação às disposições de notificação do [PRIVACT].
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
Controle: Para sistemas que processam informações que serão mantidas em um sistema de registros da Lei de Privacidade:
a. Elaborar notificações do sistema de registros de acordo com as orientações do OMB e enviar novos e
sistema significativamente modificado de notificações de registros ao OMB e aos comitês congressionais apropriados para
revisão antecipada;
c. Mantenha os avisos do sistema de registros precisos, atualizados e com escopo definido de acordo com a política.
Discussão: O [PRIVACT] exige que as agências federais publiquem um aviso de sistema de registros no Registro Federal após
o estabelecimento e/ou modificação de um sistema de registros [PRIVACT] . De modo geral, um sistema de notificação de
registros é necessário quando uma agência mantém um grupo de quaisquer registros sob o controle da agência, dos quais as
informações são recuperadas pelo nome de um indivíduo ou por algum número de identificação, símbolo ou outro identificador. A
notificação descreve a existência e o caráter do sistema e identifica o sistema de registros, a(s) finalidade(s) do sistema, a
autoridade para manutenção dos registros, as categorias de registros mantidos no sistema, as categorias de indivíduos sobre
os quais os registros são mantidos, os usos rotineiros aos quais os registros estão sujeitos e detalhes adicionais sobre o sistema
conforme descrito em [OMB A-108].
Melhorias de controle:
Revise todos os usos rotineiros publicados no aviso do sistema de registros em [Atribuição: frequência
definida pela organização] para garantir a precisão contínua e para garantir que os usos rotineiros continuem a ser
compatíveis com a finalidade para a qual as informações foram coletadas.
Discussão: Um uso rotineiro [PRIVACT] é um tipo específico de divulgação de um registro fora da agência federal que
mantém o sistema de registros. Um uso rotineiro é uma exceção à proibição [PRIVACT] de divulgação de um registro em
um sistema de registros sem o consentimento prévio por escrito do indivíduo a quem o registro pertence. Para ser qualificada
como uso rotineiro, a divulgação deve ser feita para uma finalidade compatível com a finalidade para a qual a informação
foi originalmente coletada. O [PRIVACT] exige que as agências descrevam cada uso rotineiro dos registros mantidos
no sistema de registros, incluindo as categorias de usuários dos registros e a finalidade do uso. As agências só podem
estabelecer usos rotineiros publicando-os explicitamente no aviso do sistema de registros relevante.
Revise todas as isenções da Lei de Privacidade reivindicadas para o sistema de registros em [Atribuição:
frequência definida pela organização] para garantir que permaneçam apropriadas e necessárias de acordo
com a lei, que tenham sido promulgadas como regulamentos e que estejam descritas com precisão no sistema de
aviso de registros.
Discussão: O [PRIVACT] inclui dois conjuntos de disposições que permitem às agências federais reivindicar isenções de
certos requisitos do estatuto. Em certas circunstâncias, estas disposições permitem que as agências promulguem
regulamentos para isentar um sistema de registos de disposições específicas do [PRIVACT]. No mínimo, a isenção
[PRIVACT] das organizações
_________________________________________________________________________________________________
pe
E os regulamentos incluem o(s) nome(s) específico(s) de qualquer(s) sistema(s) de registros que serão isentos, as disposições
específicas do [PRIVACT] dos quais o(s) sistema(s) de registros serão isentos, as razões para a isenção, e uma explicação
da razão pela qual a isenção é necessária e apropriada.
Controle: Aplicar [Atribuição: condições de processamento definidas pela organização] para categorias específicas de informações
de identificação pessoal.
Discussão: As organizações aplicam quaisquer condições ou proteções que possam ser necessárias para categorias específicas de
informações de identificação pessoal. Estas condições podem ser exigidas por leis, ordens executivas, diretivas, regulamentos,
políticas, padrões ou diretrizes. Os requisitos também podem provir dos resultados de avaliações de risco de privacidade que levam
em consideração mudanças contextuais que podem resultar em uma determinação organizacional de que uma determinada categoria
de informações pessoalmente identificáveis é particularmente sensível ou levanta riscos específicos de privacidade. As
organizações consultam o funcionário sênior da agência para aconselhamento jurídico e de privacidade sobre quaisquer proteções
que possam ser
necessário.
Melhorias de controle:
(a) Eliminar a recolha, manutenção e utilização desnecessárias de números de Segurança Social e explorar
alternativas à sua utilização como identificador pessoal;
(b) Não negar a qualquer indivíduo qualquer direito, benefício ou privilégio previsto em lei devido à recusa desse
indivíduo em divulgar seu número de Seguro Social; e
(c) Informar qualquer indivíduo a quem seja solicitada a divulgação do seu número de Segurança Social se
essa divulgação é obrigatória ou voluntária, por que autoridade legal ou outra autoridade esse número
é solicitado e que utilizações serão feitas dele.
Discussão: A lei e a política federais estabelecem requisitos específicos para o processamento de números de
Segurança Social pelas organizações. As organizações tomam medidas para eliminar usos desnecessários de números
de Seguro Social e outras informações confidenciais e observam quaisquer requisitos específicos aplicáveis.
Proibir o processamento de informações que descrevam como qualquer indivíduo exerce direitos garantidos
pela Primeira Emenda, a menos que expressamente autorizado por lei ou pelo indivíduo ou a menos que seja
pertinente e esteja dentro do escopo de uma atividade autorizada de aplicação da lei.
Discussão: O [PRIVACT] limita a capacidade das agências de processar informações que descrevem como os indivíduos
exercem os direitos garantidos pela Primeira Emenda. As organizações consultam o funcionário sênior da agência para
aconselhamento jurídico e de privacidade em relação a esses requisitos.
_________________________________________________________________________________________________
pe
E REQUISITOS DE CORRESPONDÊNCIA DE COMPUTADOR PT-8
Controle: Quando um sistema ou organização processa informações com a finalidade de conduzir um programa de
correspondência:
d. Verifique de forma independente as informações produzidas pelo programa de correspondência antes de tomar
ação adversa contra um indivíduo, se necessário; e
e. Fornecer aos indivíduos um aviso e uma oportunidade de contestar as conclusões antes de tomar medidas adversas
contra um indivíduo.
Discussão: O [PRIVACT] estabelece requisitos para agências federais e não federais caso elas se envolvam em um
programa de correspondência. Em geral, um programa de correspondência é uma comparação computadorizada de registros
de dois ou mais sistemas automatizados de registros [PRIVACT] ou de um sistema automatizado de registros e registros
automatizados mantidos por uma agência não federal (ou seu agente). Um programa de correspondência refere-se
a programas de benefícios federais ou a funcionários federais ou registros de folha de pagamento. Uma correspondência
de benefícios federais é realizada para determinar ou verificar a elegibilidade para pagamentos de programas de
benefícios federais ou para recuperar pagamentos ou dívidas inadimplentes de programas de benefícios federais. Um
programa de correspondência envolve não apenas a atividade de correspondência em si, mas também o
acompanhamento investigativo e a ação final, se houver.
_________________________________________________________________________________________________
pe
E 3.16 AVALIAÇÃO DE RISCO
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de avaliação
de risco em nível de sistema] que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: A política e os procedimentos de avaliação de riscos abordam os controles da família AR que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade.
Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e
procedimentos de avaliação de riscos. As políticas e procedimentos do programa de segurança e privacidade no
nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos
da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser
representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios e para
sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem
ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos
planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem
precipitar uma atualização da política e dos procedimentos de avaliação de riscos incluem resultados de avaliação ou
auditoria, incidentes ou violações de segurança ou alterações em leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes.
A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].
_________________________________________________________________________________________________
pe
E CATEGORIZAÇÃO DE SEGURANÇA RA-2
Ao controle:
Discussão: As categorias de segurança descrevem os potenciais impactos adversos ou consequências negativas para as
operações organizacionais, os ativos organizacionais e os indivíduos se as informações e os sistemas organizacionais
forem comprometidos através de uma perda de confidencialidade, integridade ou disponibilidade. A categorização de
segurança também é um tipo de caracterização de perda de ativos em processos de engenharia de segurança de
sistemas que é realizada durante todo o ciclo de vida de desenvolvimento do sistema. As organizações podem utilizar
avaliações de risco de privacidade ou avaliações de impacto na privacidade para compreender melhor os potenciais
efeitos adversos sobre os indivíduos. [CNSSI 1253] fornece orientações adicionais sobre a categorização dos sistemas
de segurança nacional.
As organizações conduzem o processo de categorização de segurança como uma atividade que abrange toda a
organização, com o envolvimento direto de diretores de informação, diretores seniores de segurança da informação de
agências, funcionários seniores de agências de privacidade, proprietários de sistemas, proprietários de missões e negócios
e proprietários ou administradores de informações. As organizações consideram os potenciais impactos adversos para
outras organizações e, de acordo com as Diretivas Presidenciais [USA PATRIOT] e de Segurança Interna, os potenciais
impactos adversos a nível nacional.
Controles relacionados: CM-8, MP-4, PL-2, PL-10, PL-11, PM-7, RA-3, RA-5, RA-7, RA-8, SA-8, SC-7 , SC-38, SI-12.
Melhorias de controle:
Conduza uma priorização do nível de impacto dos sistemas organizacionais para obter granularidade
adicional nos níveis de impacto do sistema.
Discussão: As organizações aplicam o conceito de “limite máximo” a cada sistema categorizado de acordo com
[FIPS 199], resultando em sistemas designados como de baixo impacto, impacto moderado ou alto impacto. As
organizações que desejam granularidade adicional nas designações de impacto do sistema para a tomada de
decisões baseadas em riscos podem particionar ainda mais os sistemas em subcategorias da categorização
inicial do sistema. Por exemplo, uma priorização ao nível do impacto num sistema de impacto moderado pode produzir
três novas subcategorias: sistemas baixo-moderados, sistemas moderados-moderados e sistemas altamente
moderados. A priorização ao nível do impacto e as subcategorias resultantes do sistema dão às organizações
uma oportunidade de concentrar os seus investimentos relacionados com a selecção do controlo de segurança e a
adaptação das linhas de base de controlo na resposta aos riscos identificados. A priorização em nível de impacto
também pode ser usada para determinar os sistemas que podem ser de maior interesse ou valor para os
adversários ou representar uma perda crítica para a empresa federal, às vezes descritos como ativos de alto
valor. Para esses ativos de alto valor, as organizações podem estar mais focadas na complexidade, agregação
e troca de informações. Os sistemas com ativos de alto valor podem ser priorizados dividindo-se os sistemas
de alto impacto em sistemas de baixo-alto, sistemas moderado-alto e sistemas de alto-alto.
_________________________________________________________________________________________________
pe
E Alternativamente, as organizações podem aplicar as orientações da [CNSSI 1253] para categorização relacionada aos
objetivos de segurança.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-60-1], [SP 800-
60-2], [SP 800-160-1], [CNSSI 1253], [NARA CUI].
Ao controle:
2. Determinar a probabilidade e a magnitude dos danos decorrentes do acesso, uso, divulgação, interrupção,
modificação ou destruição não autorizados do sistema, das informações que ele processa, armazena ou transmite
e de quaisquer informações relacionadas; e
b. Integrar os resultados da avaliação de risco e as decisões de gerenciamento de risco da organização e das perspectivas da
missão ou do processo de negócios com avaliações de risco em nível de sistema;
c. Documente os resultados da avaliação de risco em [Seleção: planos de segurança e privacidade; avaliação de risco
relatório; [Tarefa: documento definido pela organização]];
e. Divulgar os resultados da avaliação de risco para [Atribuição: pessoal definido pela organização ou
papéis]; e
f. Atualizar a avaliação de risco [Atribuição: frequência definida pela organização] ou quando houver alterações significativas no
sistema, em seu ambiente de operação ou em outras condições que possam impactar o estado de segurança ou privacidade
do sistema.
Discussão: As avaliações de risco consideram ameaças, vulnerabilidades, probabilidade e impacto nas operações e
ativos organizacionais, nos indivíduos, em outras organizações e na Nação. As avaliações de risco também consideram o
risco de partes externas, incluindo prestadores de serviços que operam sistemas em nome da organização, indivíduos que acessam
sistemas organizacionais, prestadores de serviços,
e entidades terceirizadas.
As organizações podem realizar avaliações de risco em todos os três níveis da hierarquia de gerenciamento de riscos (ou seja,
nível de organização, nível de missão/processo de negócios ou nível de sistema de informação) e em qualquer estágio do ciclo de
vida de desenvolvimento do sistema. As avaliações de riscos também podem ser realizadas em várias etapas da Estrutura de
Gestão de Riscos, incluindo preparação, categorização, seleção de controles, implementação de controles, avaliação de
controles, autorização e monitoramento de controles.
A avaliação de riscos é uma atividade contínua realizada durante todo o ciclo de vida de desenvolvimento do sistema.
As avaliações de risco também podem abordar informações relacionadas ao sistema, incluindo o design do sistema, o uso
pretendido do sistema, resultados de testes e informações ou artefatos relacionados à cadeia de suprimentos.
As avaliações de risco podem desempenhar um papel importante nos processos de seleção de controles, especialmente durante
a aplicação de orientações de adaptação e nas fases iniciais de determinação de capacidade.
Controles Relacionados: CA-3, CA-6, CM-4, CM-13, CP-6, CP-7, IA-8, MA-5, PE-3, PE-8, PE-18, PL-2 , PL-10, PL-11, PM-8,
PM-9, PM-28, PT-2, PT-7, RA-2, RA-5, RA-7, SA-8, SA-9, SC -38, SI-12.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (a) Avaliar os riscos da cadeia de abastecimento associados a [Atribuição: sistemas definidos pela organização,
componentes do sistema e serviços do sistema]; e
(b) Atualizar a avaliação de risco da cadeia de suprimentos [Atribuição: definida pela organização
frequência], quando há mudanças significativas na cadeia de abastecimento relevante, ou quando mudanças
no sistema, ambientes de operação ou outras condições podem exigir uma mudança na cadeia de
abastecimento.
Discussão: Os eventos relacionados com a cadeia de abastecimento incluem perturbações, utilização de componentes
defeituosos, inserção de falsificações, roubo, práticas de desenvolvimento maliciosas, práticas de entrega
inadequadas e inserção de código malicioso. Esses eventos podem ter um impacto significativo na confidencialidade,
integridade ou disponibilidade de um sistema e suas informações e, portanto, também podem impactar negativamente as
operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais, indivíduos, outras
organizações. , e a Nação. Os eventos relacionados com a cadeia de abastecimento podem ser não intencionais ou
maliciosos e podem ocorrer em qualquer ponto durante o ciclo de vida do sistema. Uma análise do risco da cadeia de
abastecimento pode ajudar uma organização a identificar sistemas ou componentes para os quais são necessárias mitigações
adicionais de riscos na cadeia de abastecimento.
Discussão: As organizações empregam inteligência de todas as fontes para informar decisões de engenharia, aquisição e
gerenciamento de risco. A inteligência de todas as fontes consiste em informações derivadas de todas as fontes disponíveis,
incluindo informações publicamente disponíveis ou de código aberto, inteligência de medição e assinatura, inteligência
humana, inteligência de sinais e inteligência de imagens.
A inteligência de todas as fontes é usada para analisar o risco de vulnerabilidades (intencionais e não intencionais) dos
processos de desenvolvimento, fabricação e entrega, das pessoas e do meio ambiente. A análise de risco pode ser realizada
em fornecedores em vários níveis da cadeia de abastecimento, o que é suficiente para gerir os riscos. As organizações podem
desenvolver acordos para compartilhar informações de inteligência de todas as fontes ou decisões resultantes com outras
organizações, conforme apropriado.
Determine o ambiente atual de ameaças cibernéticas de forma contínua usando [Atribuição: meios definidos pela
organização].
Discussão: As informações de conscientização sobre ameaças coletadas alimentam as operações de segurança da informação
da organização para garantir que os procedimentos sejam atualizados em resposta às mudanças no ambiente de ameaças.
Por exemplo, em níveis de ameaça mais elevados, as organizações podem alterar os limites de privilégio ou
autenticação necessários para realizar determinadas operações.
Discussão: Um Centro de Operações de Segurança (SOC) ou uma Equipe de Resposta a Incidentes Informáticos (CIRT)
com recursos adequados pode ficar sobrecarregado pelo volume de informações geradas pela proliferação de ferramentas e
dispositivos de segurança, a menos que empregue automação e análise avançadas para analisar os dados. Os recursos
avançados de automação e análise são normalmente apoiados por conceitos de inteligência artificial, incluindo aprendizado
de máquina. Os exemplos incluem descoberta e resposta automatizadas a ameaças (que inclui coleta ampla, análise
baseada em contexto e recursos de resposta adaptativa), operações automatizadas de fluxo de trabalho e ferramentas de
decisão assistidas por máquina. Observe, no entanto, que adversários sofisticados podem ser capazes
_________________________________________________________________________________________________
pe
E extrair informações relacionadas aos parâmetros analíticos e treinar novamente o aprendizado de máquina para classificar
atividades maliciosas como benignas. Consequentemente, a aprendizagem automática é aumentada pela monitorização
humana para garantir que adversários sofisticados não sejam capazes de ocultar as suas atividades.
Referências: [OMB A-130], [SP 800-30], [SP 800-39], [SP 800-161], [IR 8023], [IR 8062], [IR 8272].
Ao controle:
b. Empregue ferramentas e técnicas de monitoramento de vulnerabilidades que facilitem a interoperabilidade entre ferramentas e
automatizem partes do processo de gerenciamento de vulnerabilidades usando padrões para:
Discussão: A categorização de segurança das informações e dos sistemas orienta a frequência e a abrangência do
monitoramento de vulnerabilidades (incluindo verificações). As organizações determinam o monitoramento de vulnerabilidades
necessário para componentes do sistema, garantindo que as fontes potenciais de vulnerabilidades – como componentes de
infraestrutura (por exemplo, switches, roteadores, guardas, sensores), impressoras, scanners e copiadoras em rede – não
sejam negligenciadas. A capacidade de atualizar prontamente
ferramentas de monitoramento de vulnerabilidades à medida que novas vulnerabilidades são descobertas e anunciadas e à medida
que novos métodos de varredura são desenvolvidos ajudam a garantir que novas vulnerabilidades não sejam ignoradas pelas
ferramentas de monitoramento de vulnerabilidades empregadas. O processo de atualização da ferramenta de monitoramento de
vulnerabilidades ajuda a garantir que possíveis vulnerabilidades no sistema sejam identificadas e resolvidas o mais rápido
possível. O monitoramento e a análise de vulnerabilidades para software personalizado podem exigir abordagens adicionais,
como análise estática, análise dinâmica, análise binária ou um híbrido das três abordagens. As organizações podem usar essas
abordagens de análise em revisões de código-fonte e em diversas ferramentas, incluindo scanners de aplicativos baseados na
Web, ferramentas de análise estática e analisadores binários.
O monitoramento de vulnerabilidades inclui a verificação de níveis de patch; verificação de funções, portas, protocolos e
serviços que não deveriam estar acessíveis a usuários ou dispositivos; e verificação de mecanismos de controle de fluxo
configurados incorretamente ou operando incorretamente. Vulnerabilidade
_________________________________________________________________________________________________
pe
E o monitoramento também pode incluir ferramentas de monitoramento contínuo de vulnerabilidades que usam instrumentação
para analisar componentes continuamente. Ferramentas baseadas em instrumentação podem melhorar a precisão e podem
ser executadas em toda a organização sem verificação. As ferramentas de monitoramento de vulnerabilidades que facilitam
a interoperabilidade incluem ferramentas que são Security Content Automated Protocol (SCAP)-
validado. Assim, as organizações consideram o uso de ferramentas de varredura que expressam vulnerabilidades na
convenção de nomenclatura Common Vulnerabilities and Exposures (CVE) e que empregam a Open Vulnerability
Assessment Language (OVAL) para determinar a presença de vulnerabilidades. As fontes de informações sobre vulnerabilidade
incluem a listagem Common Weakness Enumeration (CWE) e o National Vulnerability Database (NVD). Avaliações de controle,
como exercícios da equipe vermelha, fornecem fontes adicionais de vulnerabilidades potenciais para verificação. As organizações
também consideram o uso de ferramentas de verificação que expressam o impacto da vulnerabilidade pelo Common Vulnerability
Scoring System (CVSS).
As organizações também podem empregar o uso de incentivos financeiros (também conhecidos como “recompensas de bugs”)
para incentivar ainda mais os pesquisadores de segurança externos a relatar vulnerabilidades descobertas. Os programas de
recompensa por bugs podem ser adaptados às necessidades da organização. As recompensas podem ser operadas
indefinidamente ou durante um período de tempo definido e podem ser oferecidas ao público em geral ou a um grupo selecionado.
As organizações podem realizar recompensas públicas e privadas simultaneamente e podem optar por oferecer acesso
parcialmente credenciado a determinados participantes, a fim de avaliar vulnerabilidades de segurança a partir de pontos de
vista privilegiados.
Controles relacionados: CA-2, CA-7, CA-8, CM-2, CM-4, CM-6, CM-8, RA-2, RA-3, SA-11 , SA-15, SC-38 , SI-2, SI-3, SI-4,
SI-7, SR-11.
Melhorias de controle:
Atualizar as vulnerabilidades do sistema a serem verificadas [Seleção (uma ou mais): [Atribuição: frequência
definida pela organização]; antes de uma nova varredura; quando novas vulnerabilidades são
identificadas e relatadas].
Discussão: Devido à complexidade dos softwares e sistemas modernos e de outros fatores, novas vulnerabilidades
são descobertas regularmente. É importante que as vulnerabilidades recentemente descobertas sejam
adicionadas à lista de vulnerabilidades a serem verificadas para garantir que o
a organização pode tomar medidas para mitigar essas vulnerabilidades em tempo hábil.
Controles Relacionados: SI-5.
Discussão: A amplitude da cobertura da verificação de vulnerabilidades pode ser expressa como uma
percentagem de componentes dentro do sistema, pelos tipos específicos de sistemas, pela criticidade dos sistemas
ou pelo número de vulnerabilidades a serem verificadas. Por outro lado, a profundidade da cobertura da verificação
de vulnerabilidades pode ser expressa como o nível de design do sistema que a organização pretende monitorar (por
exemplo, componente, módulo, subsistema, elemento).
_________________________________________________________________________________________________
pe
E As organizações podem determinar a suficiência da cobertura da verificação de vulnerabilidades em relação à sua tolerância
ao risco e outros fatores. As ferramentas de digitalização e a forma como as ferramentas são configuradas podem afetar a
profundidade e a cobertura. Podem ser necessárias múltiplas ferramentas de digitalização para atingir a profundidade
e cobertura desejadas. [SP 800-53A] fornece informações adicionais sobre a amplitude
e profundidade de cobertura.
Determine informações sobre o sistema que podem ser descobertas e execute [Atribuição: ações corretivas
definidas pela organização].
Discussão: As informações detectáveis incluem informações que os adversários poderiam obter sem comprometer ou
violar o sistema, como coletando informações que o sistema está expondo ou realizando extensas pesquisas na web. As
ações corretivas incluem
notificar o pessoal organizacional apropriado, remover informações designadas ou alterar o sistema para tornar as
informações designadas menos relevantes ou atraentes para os adversários. Esse aprimoramento exclui informações
intencionalmente detectáveis que possam fazer parte de um recurso de engodo (por exemplo, honeypots, honeynets ou redes
enganosas) implantado pela organização.
Implementar autorização de acesso privilegiado para [Atribuição: componentes do sistema definidos pela
organização] para [Atribuição: atividades de verificação de vulnerabilidades definidas pela organização].
Discussão: Em certas situações, a natureza da verificação de vulnerabilidades pode ser mais intrusiva, ou o
componente do sistema que é objeto da verificação pode conter informações classificadas ou não classificadas controladas,
como informações de identificação pessoal. A autorização de acesso privilegiado a componentes selecionados do sistema
facilita uma verificação mais completa de vulnerabilidades e protege a natureza sensível dessa verificação.
Discussão: O uso de mecanismos automatizados para analisar múltiplas verificações de vulnerabilidades ao longo do tempo
pode ajudar a determinar tendências nas vulnerabilidades do sistema e identificar padrões de ataque.
Revise os registros históricos de auditoria para determinar se uma vulnerabilidade identificada em uma
[Atribuição: sistema definido pela organização] foi explorada anteriormente dentro de uma [Atribuição:
período de tempo definido pela organização].
Discussão: A revisão dos registros históricos de auditoria para determinar se uma vulnerabilidade recentemente detectada
em um sistema foi anteriormente explorada por um adversário pode fornecer informações importantes para análises forenses.
Tais análises podem ajudar a identificar, por exemplo, a extensão de uma intrusão anterior, a técnica comercial utilizada
durante o ataque, as informações organizacionais exfiltradas ou modificadas, a missão ou as capacidades empresariais
afetadas e a duração do ataque.
_________________________________________________________________________________________________
pe
E (9) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | TESTE E ANÁLISE DE PENETRAÇÃO
Correlacione a saída das ferramentas de verificação de vulnerabilidades para determinar a presença de vetores de
multivulnerabilidade e de ataque multi-hop.
Discussão: Um vetor de ataque é um caminho ou meio pelo qual um adversário pode obter acesso a um sistema para
entregar código malicioso ou exfiltrar informações. As organizações podem usar árvores de ataque para mostrar como as
atividades hostis dos adversários interagem e se combinam para produzir impactos adversos ou consequências negativas
para sistemas e organizações. Essas informações, juntamente com dados correlacionados de ferramentas de verificação de
vulnerabilidades, podem fornecer maior clareza em relação aos vetores de multivulnerabilidade e de ataque multi-hop. A
correlação das informações de verificação de vulnerabilidades é especialmente importante quando as organizações estão
fazendo a transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, transição de protocolos de rede
IPv4 para IPv6).
Durante essas transições, alguns componentes do sistema podem inadvertidamente não ser gerenciados e criar
oportunidades para exploração por adversários.
Discussão: O canal de denúncia pode ser descoberto publicamente e contém linguagem clara que autoriza pesquisas
de boa-fé e a divulgação de vulnerabilidades à organização. A organização não condiciona a sua autorização à expectativa de
não divulgação ao público por tempo indeterminado por parte da entidade relatora, mas pode solicitar um período
de tempo específico para remediar adequadamente a vulnerabilidade.
References: [ISO 29147], [SP 800-40], [SP 800-53A], [SP 800-70], [SP 800-115], [SP 800-126], [IR 7788], [IR 8011-4], [IR 8023].
Controle: Empregar uma pesquisa de contramedidas de vigilância técnica em [Atribuição: locais definidos pela organização]
[Seleção (um ou mais): [Atribuição: frequência definida pela organização]; quando
ocorrem os seguintes eventos ou indicadores: [Atribuição: eventos ou indicadores definidos pela organização]].
Discussão: Uma pesquisa de contramedidas de vigilância técnica é um serviço prestado por pessoal qualificado para detectar a
presença de dispositivos técnicos de vigilância e perigos e para identificar fraquezas técnicas de segurança que poderiam ser
utilizadas na condução de uma penetração técnica na instalação pesquisada. As pesquisas de contramedidas de vigilância técnica
também fornecem avaliações da postura de segurança técnica de organizações e instalações e incluem exames visuais, eletrônicos
e físicos das instalações pesquisadas, interna e externamente. As pesquisas também fornecem informações úteis para
avaliações de riscos e informações sobre a exposição organizacional a potenciais adversários.
Referências: Nenhuma.
_________________________________________________________________________________________________
pe
E RESPOSTA A RISCO RA-7
Discussão: As organizações têm muitas opções para responder ao risco, incluindo a mitigação do risco através da
implementação de novos controlos ou do reforço dos controlos existentes, aceitando o risco com justificação ou
fundamentação apropriada, partilhando ou transferindo o risco, ou evitando o risco. A tolerância ao risco da organização
influencia as decisões e ações de resposta ao risco. A resposta ao risco aborda a necessidade de determinar uma resposta
apropriada ao risco antes de gerar um plano de ação e entrada de marcos. Por exemplo, a resposta pode ser aceitar
ou rejeitar o risco, ou pode ser possível mitigar o risco imediatamente, de modo que não seja necessário um plano de
acção e a introdução de marcos.
No entanto, se a resposta ao risco for mitigar o risco e a mitigação não puder ser concluída imediatamente, será
gerado um plano de ação e uma entrada de marcos.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-160-1].
Controle: Conduza avaliações de impacto na privacidade de sistemas, programas ou outras atividades antes de:
2. Inclui informações de identificação pessoal que permitem a utilização física ou virtual (on-line)
contatar um indivíduo específico, se perguntas idênticas tiverem sido feitas ou requisitos de relatórios idênticos
impostos a dez ou mais indivíduos, que não sejam agências, órgãos ou funcionários do governo federal.
Discussão: Uma avaliação de impacto na privacidade é uma análise de como as informações pessoalmente identificáveis
são tratadas para garantir que o tratamento esteja em conformidade com os requisitos de privacidade aplicáveis,
determinar os riscos de privacidade associados a um sistema ou atividade de informação e avaliar formas de mitigar
os riscos de privacidade. Uma avaliação de impacto na privacidade é tanto uma análise quanto um documento formal que detalha
o processo e o resultado da análise.
As organizações conduzem e desenvolvem uma avaliação de impacto na privacidade com clareza e especificidade
suficientes para demonstrar que a organização considerou totalmente a privacidade e incorporou proteções de
privacidade adequadas desde os estágios iniciais da atividade da organização e durante todo o ciclo de vida da
informação. Para realizar uma avaliação significativa do impacto na privacidade, o funcionário sênior da
agência de privacidade da organização trabalha em estreita colaboração com gerentes de programas, proprietários
de sistemas, especialistas em tecnologia da informação, funcionários de segurança, advogados e outro pessoal relevante
da organização. Além disso, uma avaliação do impacto na privacidade não é uma atividade com restrição de tempo,
limitada a um marco ou estágio específico do sistema de informação ou aos ciclos de vida de informações pessoalmente
identificáveis. Em vez disso, a análise de privacidade continua ao longo do sistema e dos ciclos de vida das informações
pessoalmente identificáveis. Assim, uma avaliação de impacto na privacidade é um documento vivo que as organizações
atualizam sempre que alterações na tecnologia da informação, alterações nas práticas da organização ou outros
fatores alteram os riscos de privacidade associados ao uso de tal tecnologia da informação.
Para conduzir a avaliação do impacto na privacidade, as organizações podem utilizar avaliações de riscos de
segurança e privacidade. As organizações também podem usar outros processos relacionados que podem ter nomes diferentes,
_________________________________________________________________________________________________
pe
E incluindo análises de limites de privacidade. Uma avaliação do impacto na privacidade também pode servir como
aviso ao público sobre as práticas da organização com relação à privacidade. Embora a realização e
publicação de avaliações de impacto na privacidade possam ser exigidas por lei, as organizações podem
desenvolver tais políticas na ausência de leis aplicáveis. Para agências federais, avaliações de impacto na
privacidade podem ser exigidas pelo [EGOV]; as agências devem consultar seu funcionário sênior para obter
aconselhamento jurídico e de privacidade sobre esse requisito e estar cientes das exceções legais e das
orientações do OMB relacionadas à disposição.
Controles relacionados: CM-4, CM-9, CM-13, PT-2, PT-3, PT-5, RA-1, RA-2, RA-3, RA-7.
Controle: Identifique componentes e funções críticas do sistema realizando uma análise de criticidade para
[Atribuição: sistemas definidos pela organização, componentes do sistema ou serviços do sistema]
em [Atribuição: pontos de decisão definidos pela organização no ciclo de vida de desenvolvimento do sistema].
Discussão: Nem todos os componentes, funções ou serviços do sistema exigem necessariamente proteções
significativas. Por exemplo, a análise da criticidade é um princípio fundamental da gestão de riscos da cadeia
de abastecimento e informa a priorização das atividades de proteção. A identificação de componentes e funções
críticas do sistema considera leis aplicáveis, ordens executivas, regulamentos, diretivas, políticas,
padrões, requisitos de funcionalidade do sistema, interfaces de sistema e componentes e dependências de
sistema e componentes. Os engenheiros de sistemas conduzem uma decomposição funcional de um sistema
para identificar funções e componentes de missão crítica. A decomposição funcional inclui a identificação das
missões organizacionais suportadas pelo sistema, a decomposição nas funções específicas para executar
essas missões e a rastreabilidade aos componentes de hardware, software e firmware que implementam
essas funções, inclusive quando as funções são compartilhadas por muitos componentes dentro e externo ao
sistema.
A análise de criticidade é realizada quando uma arquitetura ou projeto está sendo desenvolvido, modificado ou
atualizado. Se tal análise for realizada no início do ciclo de vida de desenvolvimento do sistema, as organizações
poderão modificar o design do sistema para reduzir a natureza crítica desses componentes e funções, como,
por exemplo, adicionando redundância ou caminhos alternativos ao design do sistema. A análise da
criticidade também pode influenciar as medidas de proteção exigidas pelos empreiteiros de desenvolvimento.
Além da análise da criticidade dos sistemas, componentes do sistema e serviços do sistema, a análise da
criticidade das informações é uma consideração importante. Essa análise é conduzida como parte da
categorização de segurança no RA-2.
Controles Relacionados: CP-2, PL-2, PL-8, PL-11, PM-1, PM-11, RA-2, SA-8, SA-15, SA-20, SR-5.
Ao controle:
_________________________________________________________________________________________________
pe
E a. Estabelecer e manter uma capacidade de caça a ameaças cibernéticas para:
Discussão: A caça a ameaças é um meio ativo de defesa cibernética em contraste com as medidas de
proteção tradicionais, como firewalls, sistemas de detecção e prevenção de intrusões, quarentena de códigos maliciosos
em sandboxes e tecnologias e sistemas de gerenciamento de informações e eventos de segurança. A caça às ameaças
cibernéticas envolve a busca proativa em sistemas organizacionais, redes e infraestrutura em busca de ameaças
avançadas. O objetivo é rastrear e interromper os adversários cibernéticos o mais cedo possível na sequência do ataque
e melhorar de forma mensurável a velocidade e a precisão das respostas organizacionais. As indicações de
comprometimento incluem tráfego de rede incomum, alterações incomuns de arquivos e presença de código malicioso.
As equipes de caça a ameaças aproveitam a inteligência de ameaças existente e podem criar nova inteligência de
ameaças, que é compartilhada com organizações pares, Organizações de Análise e Compartilhamento de
Informações (ISAO), Centros de Análise e Compartilhamento de Informações (ISAC) e departamentos e agências
governamentais relevantes.
_________________________________________________________________________________________________
pe
E 3.17 AQUISIÇÃO DE SISTEMAS E SERVIÇOS
Ao controle:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de aquisição de sistemas e serviços que:
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
Discussão: As políticas e procedimentos de aquisição de sistemas e serviços abordam os controles da família SA que
são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de
segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de políticas e procedimentos de aquisição de sistemas e serviços. As políticas e
procedimentos do programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem
evitar a necessidade de políticas e procedimentos específicos da missão ou do sistema. A política pode ser incluída
como parte da política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a
natureza complexa das organizações. Podem ser estabelecidos procedimentos para programas de segurança e
privacidade, para processos de missão ou de negócios e para sistemas, se necessário. Os procedimentos
descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo ou função que
é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança e privacidade
do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização na política e
nos procedimentos de aquisição de sistemas e serviços incluem
resultados de avaliação ou auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens executivas,
diretivas, regulamentos, políticas, padrões e diretrizes. A simples reafirmação dos controles não constitui uma
política ou procedimento organizacional.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100], [SP 800-160-1].
_________________________________________________________________________________________________
pe
E SA-2 ALOCAÇÃO DE RECURSOS
Ao controle:
a. Determinar os requisitos de privacidade e segurança da informação de alto nível para o sistema ou serviço do sistema no
planejamento da missão e do processo de negócios;
b. Determinar, documentar e alocar os recursos necessários para proteger o sistema ou serviço do sistema como parte do
planejamento de capital organizacional e do processo de controle de investimentos; e
Discussão: A alocação de recursos para segurança e privacidade da informação inclui financiamento para aquisição de sistemas
e serviços, sustentação e riscos relacionados à cadeia de abastecimento ao longo do ciclo de vida de desenvolvimento do
sistema.
Ao controle:
a. Adquirir, desenvolver e gerenciar o sistema usando [Atribuição: ciclo de vida de desenvolvimento de sistema definido pela
organização] que incorpora considerações de segurança e privacidade da informação;
d. Integrar o processo organizacional de gerenciamento de riscos de segurança e privacidade da informação nas atividades do
ciclo de vida de desenvolvimento do sistema.
Discussão: Um processo de ciclo de vida de desenvolvimento de sistema fornece a base para o desenvolvimento, implementação
e operação bem-sucedidos de sistemas organizacionais. A integração de considerações de segurança e privacidade no
início do ciclo de vida de desenvolvimento do sistema é um princípio fundamental da engenharia de segurança de sistemas e da
engenharia de privacidade. Aplicar os controles necessários dentro do ciclo de vida de desenvolvimento do sistema requer uma
compreensão básica da segurança e privacidade da informação, ameaças, vulnerabilidades, impactos adversos e riscos para
missões críticas e funções de negócios. Os princípios de engenharia de segurança do SA-8 ajudam os indivíduos a projetar,
codificar e testar sistemas e componentes de sistema de maneira adequada. As organizações incluem pessoal qualificado (por
exemplo, funcionários seniores de segurança da informação de agências, funcionários seniores de agências de privacidade,
arquitetos de segurança e privacidade e engenheiros de segurança e privacidade) nos processos do ciclo de vida de
desenvolvimento de sistemas para garantir que os requisitos de segurança e privacidade estabelecidos sejam incorporados
aos sistemas organizacionais. Os programas de treinamento em segurança e privacidade baseados em funções podem garantir
que os indivíduos com funções e responsabilidades importantes em segurança e privacidade tenham a experiência, as habilidades
e o conhecimento necessários para conduzir as atividades atribuídas do ciclo de vida de desenvolvimento do sistema.
A integração eficaz dos requisitos de segurança e privacidade na arquitetura empresarial também ajuda a garantir que
considerações importantes de segurança e privacidade sejam abordadas ao longo do ciclo de vida do sistema e que essas
considerações estejam diretamente relacionadas à missão organizacional e aos processos de negócios. Este processo também
facilita a integração das arquiteturas de segurança e privacidade da informação na arquitetura empresarial, consistente com a
estratégia de gestão de risco da organização. Como o ciclo de vida de desenvolvimento do sistema envolve múltiplas
organizações (por exemplo, fornecedores externos, desenvolvedores, integradores, prestadores de serviços), aquisição
_________________________________________________________________________________________________
pe
E e as funções e controlos de gestão de riscos da cadeia de abastecimento desempenham papéis significativos na gestão
eficaz do sistema durante o ciclo de vida.
Controles relacionados: AT-3, PL-8, PM-7, SA-4, SA-5 , SA-8, SA-11, SA-15, SA-17, SA-22, SR-3, SR-4 , SR- 5, SR-9.
Melhorias de controle:
Proteja os ambientes de pré-produção do sistema proporcionais ao risco durante todo o ciclo de vida
de desenvolvimento do sistema, componente do sistema ou serviço do sistema.
Discussão: Os dados em tempo real também são chamados de dados operacionais. O uso de dados ativos ou
operacionais em ambientes de pré-produção (ou seja, desenvolvimento, teste e integração) pode resultar em riscos
significativos para as organizações. Além disso, o uso de informações pessoalmente identificáveis em testes,
pesquisas e treinamentos aumenta o risco de divulgação não autorizada ou uso indevido de tais informações. Portanto,
é importante que a organização gerencie quaisquer riscos adicionais que possam resultar do uso de dados ativos
ou operacionais. As organizações podem minimizar esses riscos usando dados de teste ou fictícios durante o
projeto, desenvolvimento e teste de sistemas, componentes de sistema e serviços de sistema. Técnicas de
avaliação de risco podem ser usadas para
determinar se o risco de usar dados ativos ou operacionais é aceitável.
Planeje e implemente um cronograma de atualização tecnológica para o sistema durante todo o ciclo
de vida de desenvolvimento do sistema.
Discussão: O planejamento da atualização tecnológica pode abranger hardware, software, firmware, processos,
conjuntos de habilidades de pessoal, fornecedores, prestadores de serviços e instalações. O uso de tecnologia
obsoleta ou quase obsoleta pode aumentar os riscos de segurança e privacidade associados a
componentes não suportados, componentes falsificados ou reaproveitados, componentes incapazes de implementar
requisitos de segurança ou privacidade, componentes lentos ou inoperantes, componentes de fontes não confiáveis,
erro pessoal inadvertido ou complexidade aumentada. Tecnologia
as atualizações normalmente ocorrem durante o estágio de operações e manutenção do ciclo de vida de
desenvolvimento do sistema.
Controles Relacionados: MA-6.
Referências: [OMB A-130], [SP 800-30], [SP 800-37], [SP 800-160-1], [SP 800-171], [SP 800-172].
_________________________________________________________________________________________________
pe
E PROCESSO DE AQUISIÇÃO SA-4
Controle: Incluir os seguintes requisitos, descrições e critérios, explicitamente ou por referência, usando [Seleção (um ou
mais): linguagem contratual padronizada; [Atribuição: linguagem contratual definida pela organização]] no contrato
de aquisição do sistema, componente do sistema ou serviço do sistema:
Discussão: Os requisitos funcionais de segurança e privacidade são normalmente derivados dos requisitos de
segurança e privacidade de alto nível descritos no SA-2. Os requisitos derivados incluem capacidades, funções e
mecanismos de segurança e privacidade. Os requisitos de força associados a tais capacidades, funções e mecanismos
incluem grau de correção, integridade, resistência à adulteração ou desvio e resistência ao ataque direto. Os requisitos de
garantia incluem processos, procedimentos e metodologias de desenvolvimento, bem como as evidências das
atividades de desenvolvimento e avaliação que fornecem bases para a confiança de que a funcionalidade necessária é
implementada e possui a força de mecanismo necessária. [SP 800-160-1] descreve o processo de engenharia de
requisitos como parte do ciclo de vida de desenvolvimento de sistemas.
Os controles podem ser vistos como descrições das salvaguardas e capacidades de proteção apropriadas para alcançar os
objetivos específicos de segurança e privacidade da organização e para refletir os requisitos de segurança e privacidade
das partes interessadas. Os controles são selecionados e implementados para satisfazer os requisitos do sistema e incluir
responsabilidades organizacionais e do desenvolvedor.
Os controles podem incluir aspectos técnicos, administrativos e físicos. Em alguns casos, a seleção e implementação de
um controle pode exigir especificações adicionais por parte da organização na forma de requisitos derivados ou valores de
parâmetros de controle instanciados. Os requisitos derivados e os valores dos parâmetros de controle podem
ser necessários para fornecer o nível apropriado de detalhes de implementação para controles dentro do ciclo de vida de
desenvolvimento do sistema.
Os requisitos de documentação de segurança e privacidade abordam todos os estágios do ciclo de vida de desenvolvimento
do sistema. A documentação fornece orientação ao usuário e ao administrador para a implementação e operação de
controles. O nível de detalhe exigido em tal documentação baseia-se na categorização de segurança ou no nível de
classificação do sistema e no grau em que as organizações dependem das capacidades, funções ou mecanismos para
atender às expectativas de resposta a riscos. Os requisitos podem incluir definições de configuração obrigatórias que
especificam funções, portas, protocolos e serviços permitidos. Os critérios de aceitação para sistemas, componentes de
sistema e serviços de sistema são definidos da mesma maneira que os critérios para qualquer aquisição ou aquisição
organizacional.
Controles relacionados: CM-6, CM-8, PS-7, SA-3, SA -5, SA -8, SA -11, SA-15, SA-16, SA-17 , SA -21, SR-3 ,
SR-5.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (1) PROCESSO DE AQUISIÇÃO | PROPRIEDADES FUNCIONAIS DOS CONTROLES
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça uma descrição das
propriedades funcionais dos controles a serem implementados.
Discussão: As propriedades funcionais dos controles de segurança e privacidade descrevem a funcionalidade (isto é,
capacidade, funções ou mecanismos de segurança ou privacidade) visíveis nas interfaces dos controles e excluem
especificamente funcionalidades e estruturas de dados internas à operação dos controles.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça informações de
design e implementação para os controles que incluam: [Seleção (uma ou mais): interfaces de sistema externas
relevantes para a segurança; design de alto nível; design de baixo nível; código-fonte ou esquemas de hardware;
[Tarefa: projeto definido pela organização e informações de implementação]] em [Tarefa: nível de detalhe
definido pela organização].
Discussão: As organizações podem exigir diferentes níveis de detalhe na documentação para a concepção e implementação
de controlos em sistemas organizacionais, componentes de sistema ou serviços de sistema com base em requisitos de
missão e de negócio, requisitos de resiliência e fiabilidade, e requisitos para análise e testes. Os sistemas podem ser
particionados em vários subsistemas. Cada subsistema do sistema pode conter um ou mais módulos. O design de alto nível
do sistema é expresso em termos de subsistemas e interfaces entre subsistemas que fornecem funcionalidades
relevantes para a segurança. O design de baixo nível do sistema é expresso em termos de módulos e interfaces entre
módulos que fornecem funcionalidades relevantes para a segurança. A documentação de projeto e implementação
pode incluir fabricante, versão, número de série, assinatura hash de verificação, bibliotecas de software usadas, data de
compra ou download e o fornecedor ou fonte de download. O código-fonte e os esquemas de hardware são chamados de
representação de implementação do sistema.
(b) [Atribuição: definida pela organização [Seleção (uma ou mais): segurança de sistemas; privacidade]
métodos de engenharia]; e
Discussão: Seguir um ciclo de vida de desenvolvimento de sistema que inclua métodos de desenvolvimento de software
de última geração, métodos de engenharia de sistemas, métodos de engenharia de segurança e privacidade de sistemas e
processos de controle de qualidade ajuda a reduzir o número e a gravidade de erros latentes dentro de sistemas, sistemas
componentes e serviços do sistema. A redução do número e da gravidade de tais erros reduz o número de
vulnerabilidades nesses sistemas, componentes e serviços. A transparência nos métodos e técnicas que os desenvolvedores
selecionam e implementam para engenharia de sistemas, segurança de sistemas e engenharia de privacidade,
desenvolvimento de software, avaliações de componentes e sistemas e processos de controle de qualidade fornecem um
maior nível de garantia na confiabilidade do sistema, componente do sistema ou serviço do sistema sendo adquirido.
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao CM-8(9).]
(a) Entregar o sistema, componente ou serviço com [Atribuição: definido pela organização
configurações de segurança] implementadas; e
(b) Usar as configurações como padrão para qualquer reinstalação ou atualização subsequente de sistema,
componente ou serviço.
Discussão: Exemplos de configurações de segurança incluem a Linha de Base de Configuração do Governo dos EUA
(USGCB), Guias de Implementação Técnica de Segurança (STIGs) e quaisquer limitações em funções, portas, protocolos e
serviços. As características de segurança podem incluir a exigência de que as senhas padrão sejam alteradas.
(a) Empregar apenas informações governamentais prontas para uso ou comerciais prontas para uso
produtos de tecnologia da informação baseados em garantia e garantia de informações que compõem uma
solução aprovada pela NSA para proteger informações classificadas quando as redes usadas para
transmitir as informações estão em um nível de classificação inferior ao da informação sendo transmitida; e
(b) Garantir que esses produtos foram avaliados e/ou validados pela NSA ou em
de acordo com os procedimentos aprovados pela NSA.
Discussão: Produtos comerciais de IA ou de tecnologia da informação habilitados para IA usados para proteger informações
classificadas por meios criptográficos podem ser obrigados a usar gerenciamento de chaves aprovado pela NSA.
Consulte [NSA CSFC].
(b) Exigir, se não existir nenhum perfil de proteção aprovado pelo NIAP para um tipo de tecnologia específico
mas um produto de tecnologia da informação fornecido comercialmente depende da funcionalidade
criptográfica para impor sua política de segurança, que o módulo criptográfico seja validado pelo FIPS
ou aprovado pela NSA.
Discussão: Consulte [NIAP CCEVS] para obter informações adicionais sobre o NIAP. Consulte [NIST CMVP] para
obter informações adicionais sobre módulos criptográficos validados por FIPS.
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema produza um plano para
monitoramento contínuo da eficácia do controle que seja consistente com o
programa de monitoramento contínuo da organização.
Discussão: O objetivo dos planos de monitoramento contínuo é determinar se os controles planejados, necessários e
implantados no sistema, componente do sistema ou serviço do sistema continuam a ser eficazes ao longo do tempo com
base nas mudanças inevitáveis que ocorrem. Os planos de monitoramento contínuo do desenvolvedor incluem um nível
de detalhe suficiente para que as informações possam ser incorporadas em programas de monitoramento contínuo
implementados pelas organizações.
Os planos de monitoramento contínuo podem incluir os tipos de avaliação de controle e monitoramento
_________________________________________________________________________________________________
pe
E atividades planejadas, frequência do monitoramento dos controles e ações a serem tomadas quando os controles falharem
ou se tornarem ineficazes.
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema identifique as funções, portas,
protocolos e serviços destinados ao uso organizacional.
Discussão: A identificação de funções, portas, protocolos e serviços no início do ciclo de vida de desenvolvimento do sistema
(por exemplo, durante a definição inicial de requisitos e estágios de design)
permite que as organizações influenciem o design do sistema, componente do sistema ou serviço do sistema. Esse
envolvimento precoce no ciclo de vida de desenvolvimento do sistema ajuda as organizações a evitar ou minimizar o
uso de funções, portas, protocolos ou serviços que representam riscos desnecessariamente altos e a compreender as
compensações envolvidas no bloqueio de portas, protocolos ou serviços específicos ou na necessidade de serviço do
sistema fornecedores para fazê-lo. A identificação precoce de funções, portas, protocolos e serviços evita a dispendiosa
adaptação de controles após a implementação do sistema, componente ou serviço do sistema. SA-9 descreve os
requisitos para serviços de sistema externo. As organizações identificam quais funções, portas, protocolos e serviços são
fornecidos por fontes externas.
Empregue apenas produtos de tecnologia da informação na lista de produtos aprovados pelo FIPS 201 para
capacidade de verificação de identidade pessoal (PIV) implementada em sistemas organizacionais.
Discussão: Os produtos na lista de produtos aprovados pelo FIPS 201 atendem aos requisitos do NIST para verificação
de identidade pessoal (PIV) de funcionários federais e contratados. Os cartões PIV são usados para autenticação multifator em
sistemas e organizações.
Incluir [Atribuição: requisitos da Lei de Privacidade definidos pela organização] no contrato de aquisição para a
operação de um sistema de registros em nome de uma organização para cumprir uma missão ou função
organizacional.
Discussão: Quando, por contrato, uma organização prevê a operação de um sistema de registros para cumprir uma
missão ou função organizacional, a organização, consistente com sua autoridade, faz com que os requisitos do [PRIVACT]
sejam aplicados ao sistema de registros .
(b) Exigir que todos os dados sejam removidos do sistema do contratante e devolvidos à organização dentro
de [Atribuição: prazo definido pela organização].
Discussão: Os empreiteiros que operam um sistema que contém dados pertencentes a uma organização que inicia o contrato
têm políticas e procedimentos em vigor para remover os dados dos seus sistemas e/ou devolver os dados num prazo
definido pelo contrato.
Referências: [PRIVADO], [OMB A-130], [ISO 15408-1], [ISO 15408-2], [ISO 15408-3], [ISO 29148], [FIPS 140-3], [FIPS 201- 201];
2], [SP 800-35], [SP 800-37], [SP 800-70], [SP 800-73-4], [SP 800-137], [SP 800-160-1 ] , SP 800-161], [IR 7539], [IR 7622], [IR
7676], [IR 7870], [IR 8062], [NIAP CCEVS], [NSA CSFC].
_________________________________________________________________________________________________
pe
E DOCUMENTAÇÃO DO SISTEMA SA-5
Ao controle:
b. Obter ou desenvolver documentação do usuário para o sistema, componente do sistema ou serviço do sistema
que descreve:
2. Métodos de interação do usuário, que permitem que os indivíduos utilizem o sistema, componente ou serviço
de maneira mais segura e protejam a privacidade individual; e
c. Documentar tentativas de obter documentação do sistema, componente do sistema ou serviço do sistema quando
tal documentação estiver indisponível ou inexistente e executar [Atribuição: ações definidas pela
organização] em resposta; e
Controles relacionados: CM-4, CM-6, CM-7, CM-8, PL-2, PL-4, PL-8, PS-2, SA-3, SA-4, SA-8, SA-9 , SA-10, SA-11,
SA-15, SA-16, SA-17, SI-12, SR-3.
Melhorias de controle:
_________________________________________________________________________________________________
pe
E (4) DOCUMENTAÇÃO DO SISTEMA | PROJETO DE BAIXO NÍVEL
As organizações que aplicam conceitos e princípios de engenharia de segurança e privacidade de sistemas podem
facilitar o desenvolvimento de sistemas, componentes de sistema e serviços de sistema confiáveis e seguros; reduzir
o risco para níveis aceitáveis; e tomar decisões informadas sobre gerenciamento de riscos. Os princípios de engenharia de
segurança do sistema também podem ser usados para proteger contra certos riscos da cadeia de abastecimento,
incluindo a incorporação de hardware resistente a violações em um design.
Controles relacionados: PL-8, PM-7, RA-2, RA-3, RA-9, SA-3, SA-4, SA-15, SA-17, SA-20, SC-2, SC-3 , SC-32, SC-39,
SR-2, SR-3, SR-4, SR-5.
Melhorias de controle:
Discussão: O princípio das abstrações claras afirma que um sistema possui interfaces e funções simples e bem
definidas que fornecem uma visão consistente e intuitiva dos dados e de como os dados são gerenciados. A clareza,
simplicidade, necessidade e suficiência das interfaces do sistema—
_________________________________________________________________________________________________
pe
E combinado com uma definição precisa de seu comportamento funcional – promove facilidade de análise, inspeção e testes,
bem como o uso correto e seguro do sistema. A clareza de uma abstração é subjetiva. Exemplos que refletem a aplicação
deste princípio incluem evitar interfaces redundantes e não utilizadas; ocultação de informações; e evitar sobrecarga
semântica de interfaces ou de seus parâmetros. Ocultação de informações (ou seja, programação independente de
representação), é uma disciplina de design usada para garantir que a representação interna de informações em um
componente do sistema não seja visível para outro componente do sistema que invoca ou chama o primeiro
componente, de modo que a abstração publicada não seja influenciada pela forma como os dados podem ser gerenciados
internamente.
Discussão: O princípio do mecanismo menos comum afirma que a quantidade de mecanismo comum a mais de um usuário e
do qual todos os usuários dependem é minimizada [POPEK74].
A minimização do mecanismo implica que diferentes componentes de um sistema evitem usar o mesmo mecanismo para
acessar um recurso do sistema. Todo mecanismo compartilhado (especialmente um mecanismo que envolve variáveis
compartilhadas) representa um caminho potencial de informação entre usuários e é projetado com cuidado para garantir
que não comprometa involuntariamente a segurança [SALTZER75]. A implementação do princípio do mecanismo
menos comum ajuda a reduzir as consequências adversas da partilha do estado do sistema entre diferentes programas.
Um único programa que corrompe um estado compartilhado (incluindo variáveis compartilhadas) tem o potencial de corromper
outros programas que dependem do estado. O princípio do mecanismo menos comum também apoia o princípio da
simplicidade de design e aborda a questão dos canais de armazenamento secretos [LAMPSON73].
A decomposição modular informada sobre segurança inclui a alocação de políticas para sistemas em uma rede, separação
de aplicativos de sistema em processos com espaços de endereço distintos,
alocação de políticas de sistema para camadas e separação de processos em assuntos com privilégios distintos com base em
domínios de privilégios suportados por hardware.
Discussão: O princípio das dependências parcialmente ordenadas afirma que a sincronização, a chamada e outras
dependências no sistema são parcialmente ordenadas. Um conceito fundamental no projeto de sistemas é a estratificação,
em que o sistema é organizado em camadas bem definidas e funcionalmente.
_________________________________________________________________________________________________
pe
E módulos ou componentes relacionados. As camadas são ordenadas linearmente em relação às dependências entre
camadas, de modo que as camadas superiores dependem das camadas inferiores. Embora forneçam funcionalidade
às camadas superiores, algumas camadas podem ser independentes e não depender das camadas inferiores. Embora uma
ordenação parcial de todas as funções num determinado sistema possa não ser possível, se as dependências circulares
forem forçadas a ocorrer dentro de camadas, os problemas inerentes à circularidade podem ser geridos mais facilmente.
Dependências parcialmente ordenadas e camadas do sistema contribuem significativamente para a simplicidade e coerência
do design do sistema. Dependências parcialmente ordenadas também facilitam o teste e a análise do sistema.
Discussão: O princípio do acesso mediado eficientemente afirma que os mecanismos de aplicação de políticas utilizam
o mecanismo menos comum disponível, ao mesmo tempo que satisfazem os requisitos das partes interessadas dentro
das restrições expressas. A mediação do acesso aos recursos do sistema (isto é, CPU, memória, dispositivos, portas de
comunicação, serviços, infra-estrutura, dados e informações) é frequentemente a função de segurança predominante
de sistemas seguros. Também permite a realização de proteções para a capacidade fornecida às partes interessadas pelo
sistema.
A mediação do acesso a recursos pode resultar em gargalos de desempenho se o sistema não for projetado
corretamente. Por exemplo, utilizando mecanismos de hardware, pode ser alcançado um acesso mediado de forma eficiente.
Uma vez obtido o acesso a um recurso de baixo nível, como a memória, os mecanismos de proteção de hardware podem
garantir que não ocorra acesso fora dos limites.
Discussão: O princípio do compartilhamento minimizado afirma que nenhum recurso do computador é compartilhado entre
os componentes do sistema (por exemplo, assuntos, processos, funções), a menos que seja absolutamente necessário
fazê-lo. O compartilhamento minimizado ajuda a simplificar o design e a implementação do sistema.
Para proteger os recursos do domínio do usuário contra entidades ativas arbitrárias, nenhum recurso é compartilhado,
a menos que esse compartilhamento tenha sido explicitamente solicitado e concedido. A necessidade de partilha de recursos
pode ser motivada pelo princípio de concepção do mecanismo menos comum no caso de entidades internas ou impulsionada
pelos requisitos das partes interessadas. No entanto, o compartilhamento interno é cuidadosamente projetado para
evitar problemas de desempenho, armazenamento oculto e canais de temporização.
O compartilhamento por meio de mecanismo comum pode aumentar a suscetibilidade de dados e informações ao acesso,
divulgação, uso ou modificação não autorizados e pode afetar adversamente a capacidade inerente fornecida pelo sistema.
Para minimizar o compartilhamento induzido por mecanismos comuns, tais mecanismos podem ser projetados para serem
reentrantes ou virtualizados para preservar a separação.
Além disso, a utilização de dados globais para partilhar informações é cuidadosamente examinada. A falta de
encapsulamento pode ofuscar as relações entre as entidades de partilha.
Discussão: O princípio da complexidade reduzida afirma que o design do sistema é o mais simples e pequeno possível.
Um design pequeno e simples é mais compreensível, mais analisável e menos sujeito a erros. O princípio da complexidade
reduzida aplica-se a qualquer aspecto de um sistema, mas tem particular importância para a segurança devido às diversas
análises realizadas para obter evidências sobre a propriedade de segurança emergente do sistema. Para que tais análises
sejam
_________________________________________________________________________________________________
pe
E bem-sucedido, um design pequeno e simples é essencial. A aplicação do princípio da complexidade reduzida contribui
para a capacidade dos desenvolvedores de sistemas de compreender a exatidão e integridade das funções de segurança
do sistema. Também facilita a identificação de vulnerabilidades potenciais. O corolário da complexidade reduzida
afirma que a simplicidade do sistema está diretamente relacionada com o número de vulnerabilidades que irá conter; isto é,
sistemas mais simples contêm menos vulnerabilidades. Um benefício da complexidade reduzida é que é mais fácil
entender se a política de segurança pretendida foi capturada no projeto do sistema e que é provável que menos
vulnerabilidades sejam introduzidas durante o desenvolvimento de engenharia.
Um benefício adicional é que qualquer conclusão sobre a exatidão, a integridade e a existência de vulnerabilidades pode ser
alcançada com um maior grau de segurança, em contraste com as conclusões alcançadas em situações em que o projeto
do sistema é inerentemente mais complexo.
A transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, a transição de IPv4 para IPv6) pode exigir
a implementação simultânea de tecnologias mais antigas e mais recentes durante o período de transição. Isto pode resultar
num aumento temporário na complexidade do sistema durante a transição.
Discussão: O princípio da evolução segura afirma que um sistema é desenvolvido para facilitar a manutenção de suas
propriedades de segurança quando há alterações na estrutura, interfaces, interconexões (ou seja, arquitetura do sistema),
funcionalidade ou configuração do sistema (ou seja, aplicação da política de segurança). ). As alterações incluem uma
capacidade de sistema nova, aprimorada ou atualizada; atividades de manutenção e sustentação; e reconfiguração.
Embora não seja possível planejar todos os aspectos da evolução do sistema, as atualizações e alterações do sistema
podem ser antecipadas por meio de análises da missão ou da direção estratégica do negócio, das mudanças previstas no
ambiente de ameaças e das necessidades previstas de manutenção e sustentação. Não é realista esperar que sistemas
complexos permaneçam seguros em contextos não previstos durante o desenvolvimento, quer tais contextos estejam
relacionados com o ambiente operacional ou com a utilização. Um sistema pode ser seguro em alguns novos contextos, mas
não há garantia de que o seu comportamento emergente será sempre seguro. É mais fácil incorporar a confiabilidade de
um sistema desde o início, e segue-se que a sustentação da confiabilidade do sistema requer planejamento para mudanças
em vez de adaptação de maneira ad hoc ou não metódica. Os benefícios deste princípio incluem redução dos custos do ciclo
de vida do fornecedor, redução do custo de propriedade, melhoria da segurança do sistema, gestão mais eficaz dos riscos
de segurança e menos incerteza dos riscos.
Discussão: O princípio dos componentes confiáveis afirma que um componente é confiável pelo menos em um nível
proporcional às dependências de segurança que ele suporta (ou seja, até que ponto outros componentes confiam nele para
executar suas funções de segurança). Este princípio permite a composição de componentes de forma que a confiabilidade
não seja inadvertidamente diminuída e a confiança não seja, consequentemente, perdida. Em última análise, este princípio
exige alguma métrica pela qual a confiança num componente e a fiabilidade de um componente possam ser medidas na
mesma escala abstrata. O princípio dos componentes confiáveis é particularmente relevante quando se consideram
sistemas e componentes nos quais existem cadeias complexas de dependências de confiança. Uma dependência de
confiança também é chamada de relação de confiança e pode haver cadeias de relações de confiança.
_________________________________________________________________________________________________
pe
E O princípio dos componentes confiáveis também se aplica a um componente composto que consiste em subcomponentes (por
exemplo, um subsistema), que pode ter níveis variados de confiabilidade. A suposição conservadora é que a confiabilidade
de um componente composto é a do seu subcomponente menos confiável. Pode ser possível fornecer uma justificativa de
engenharia de segurança de que a confiabilidade de um componente composto específico é maior do que a suposição
conservadora. No entanto, qualquer fundamentação deste tipo reflecte um raciocínio lógico baseado numa declaração clara
dos objectivos de fiabilidade, bem como em provas relevantes e credíveis.
A confiabilidade de um componente composto não é o mesmo que uma maior aplicação de camadas de defesa profunda
dentro do componente ou uma replicação de componentes. As técnicas de defesa profunda não aumentam a confiabilidade
do todo acima da do componente menos confiável.
Discussão: O princípio da confiança hierárquica para componentes baseia-se no princípio dos componentes confiáveis
e afirma que as dependências de segurança em um sistema formarão uma ordem parcial se preservarem o princípio dos
componentes confiáveis. A ordenação parcial fornece a base para o raciocínio de confiabilidade ou um caso de garantia
(argumento de garantia) ao compor um sistema seguro a partir de componentes heterogeneamente confiáveis. Para
analisar um sistema composto por componentes heterogeneamente confiáveis quanto à sua confiabilidade, é essencial
eliminar dependências circulares no que diz respeito à confiabilidade. Se um componente mais confiável localizado em uma
camada inferior do sistema dependesse de um componente menos confiável em uma camada superior, isso colocaria, na
verdade, os componentes na mesma classe de equivalência “menos confiável”, de acordo com o princípio dos
componentes confiáveis. . As relações de confiança, ou cadeias de confiança, podem ter diversas manifestações. Por
exemplo, o certificado raiz de uma hierarquia de certificados é o nó mais confiável da hierarquia, enquanto as folhas da
hierarquia podem ser os nós menos confiáveis. Outro exemplo ocorre em um sistema em camadas de alta segurança,
onde o kernel de segurança (incluindo a base de hardware), localizado na camada mais baixa do sistema, é o componente
mais confiável. O princípio da confiança hierárquica, contudo, não proíbe o uso de componentes excessivamente
confiáveis. Pode haver casos num sistema de baixa confiabilidade em que seja razoável empregar um componente
altamente confiável em vez de um que seja menos confiável (por exemplo, devido à disponibilidade ou outro fator custo-
benefício). Nesse caso, qualquer dependência do componente altamente confiável de um componente menos confiável
não degrada a confiabilidade do sistema de baixa confiança resultante.
Implemente o princípio de design de segurança do limite de modificação inversa em [Tarefa: sistemas ou componentes
de sistema definidos pela organização].
Discussão: O princípio do limite de modificação inversa baseia-se no princípio dos componentes confiáveis e no princípio da
confiança hierárquica e afirma que o grau de proteção fornecido a um componente é proporcional à sua confiabilidade. À
medida que a confiança depositada num componente aumenta, a proteção contra modificações não autorizadas do
componente também aumenta no mesmo grau. A proteção contra modificação não autorizada pode vir na forma de
autoproteção e confiabilidade inata do próprio componente, ou pode vir das proteções concedidas ao componente por outros
elementos ou atributos da arquitetura de segurança (para incluir proteções no ambiente de operação) .
_________________________________________________________________________________________________
pe
E (12) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PROTEÇÃO HIERÁRQUICA
Discussão: O princípio da proteção hierárquica afirma que um componente não precisa ser protegido de componentes
mais confiáveis. No caso degenerado do componente mais confiável, ele se protege de todos os outros componentes. Por
exemplo, se o kernel de um sistema operacional for considerado o componente mais confiável de um sistema, ele se protegerá
de todos os aplicativos não confiáveis que suporta, mas os aplicativos, por outro lado, não precisarão se proteger do kernel.
A fiabilidade dos utilizadores é um fator a considerar na aplicação do princípio da proteção hierárquica. Um sistema
confiável não precisa se proteger de um usuário igualmente confiável, refletindo o uso de sistemas não confiáveis em
ambientes de “alto nível de sistema”, onde os usuários são altamente confiáveis e onde outras proteções são
implementadas para vincular e proteger o ambiente de execução de “alto sistema”.
Discussão: O princípio dos elementos de segurança minimizados afirma que o sistema não possui componentes confiáveis
estranhos. O princípio dos elementos de segurança minimizados tem dois aspectos: o custo global da análise de segurança e
a complexidade da análise de segurança. Componentes confiáveis são geralmente mais caros de construir e implementar,
devido ao maior rigor dos processos de desenvolvimento. Componentes confiáveis exigem maior análise de segurança para
qualificar sua confiabilidade. Assim, para reduzir o custo e diminuir a complexidade da análise de segurança, um sistema
contém o mínimo possível de componentes confiáveis. A análise da interação de componentes confiáveis com outros
componentes do sistema é um dos aspectos mais importantes da verificação da segurança do sistema. Se as interações
entre os componentes
são desnecessariamente complexos, a segurança do sistema também será mais difícil de determinar do que aquele cujas
relações de confiança internas sejam simples e elegantemente construídas. Em geral, menos componentes confiáveis resultam
em menos relações de confiança internas e em um sistema mais simples.
Discussão: O princípio do menor privilégio afirma que cada componente do sistema recebe privilégios suficientes para
realizar suas funções especificadas, mas não mais. A aplicação do princípio do menor privilégio limita o escopo das ações do
componente, o que tem dois efeitos desejáveis: o impacto na segurança de uma falha, corrupção ou uso indevido do
componente terá um impacto de segurança minimizado e a análise de segurança do componente será simplificado.
O privilégio mínimo é um princípio difundido que se reflete em todos os aspectos do design do sistema seguro. As
interfaces usadas para invocar a capacidade do componente estão disponíveis apenas para determinados subconjuntos da
população de usuários, e o design do componente suporta uma granularidade suficientemente fina de decomposição de
privilégios. Por exemplo, no caso de um mecanismo de auditoria, pode haver uma interface para o gestor de auditoria, que
define as configurações de auditoria; uma interface para o operador de auditoria, que garante que os dados de auditoria sejam
coletados e armazenados com segurança; e, finalmente, mais uma interface para o revisor de auditoria, que só precisa visualizar
os dados de auditoria que foram coletados, mas não precisa realizar operações nesses dados.
Além de suas manifestações na interface do sistema, o privilégio mínimo pode ser usado como princípio orientador para
a estrutura interna do próprio sistema. Um aspecto do menor privilégio interno é construir módulos de modo que apenas os
elementos encapsulados pelo módulo sejam
_________________________________________________________________________________________________
pe
E operado diretamente pelas funções dentro do módulo. Elementos externos a um módulo que podem ser afetados pela operação
do módulo são acessados indiretamente através da interação (por exemplo, através de uma chamada de função) com o
módulo que contém esses elementos. Outro aspecto do menor privilégio interno é que o escopo de um determinado módulo
ou componente inclui apenas os elementos do sistema que são necessários para sua funcionalidade e que os modos de
acesso para os elementos (por exemplo, leitura, gravação) são mínimos.
Discussão: O princípio da permissão predicada afirma que os projetistas de sistemas consideram exigir que múltiplas
entidades autorizadas forneçam consentimento antes que uma operação altamente crítica ou acesso a dados, informações ou
recursos altamente confidenciais possa prosseguir. [SALTZER75] originalmente nomeou permissão de predicado como
separação de privilégios. Também é equivalente à separação de funções. A divisão de privilégios entre múltiplas partes
diminui a probabilidade de abuso e proporciona a salvaguarda de que nenhum acidente, engano ou quebra de confiança é
suficiente para permitir uma acção irrecuperável que pode levar a efeitos significativamente prejudiciais.
As opções de projeto para tal mecanismo podem exigir ação simultânea (por exemplo, o disparo de uma arma nuclear requer
que dois indivíduos autorizados diferentes dêem o comando correto dentro de uma pequena janela de tempo) ou uma
sequência de operações onde cada ação sucessiva é habilitada por alguma ação prévia. ação, mas nenhum indivíduo é
capaz de permitir mais de uma ação.
Discussão: O princípio da confiabilidade autossuficiente afirma que os sistemas minimizam a sua dependência de outros
sistemas para a sua própria confiabilidade. Um sistema é confiável por padrão,
e qualquer ligação a uma entidade externa é utilizada para complementar a sua função. Se um sistema fosse obrigado a manter
uma ligação com outra entidade externa para manter a sua fiabilidade, então esse sistema seria vulnerável a ameaças
maliciosas e não maliciosas que poderiam resultar na perda ou degradação dessa ligação. O benefício do princípio da
confiabilidade autossuficiente é que o isolamento de um sistema o tornará menos vulnerável a ataques. Um corolário
deste princípio está relacionado à capacidade do sistema (ou componente do sistema) de operar isoladamente e depois
ressincronizar com outros componentes quando for reunido a eles.
Discussão: O princípio da composição distribuída segura afirma que a composição de componentes distribuídos que impõem
a mesma política de segurança do sistema resulta em um sistema que aplica essa política pelo menos tão bem quanto os
componentes individuais. Muitos dos princípios de design para sistemas seguros tratam de como os componentes podem
ou devem interagir. A necessidade de criar ou habilitar uma capacidade a partir da composição de componentes distribuídos
pode ampliar a relevância destes princípios. Em particular, a tradução da política de segurança de um sistema autónomo
para um sistema distribuído ou sistema de sistemas pode ter resultados inesperados ou emergentes. Os protocolos de
comunicação e os mecanismos de consistência de dados distribuídos ajudam a garantir a aplicação consistente de
políticas em um sistema distribuído. Para garantir um
_________________________________________________________________________________________________
pe
E nível de garantia de aplicação correta da política em todo o sistema, a arquitetura de segurança de um sistema composto
distribuído é minuciosamente analisada.
Discussão: O princípio dos canais de comunicação confiáveis afirma que ao compor um sistema onde existe uma ameaça
potencial às comunicações entre componentes (ou seja, as interconexões entre componentes), cada canal de comunicação
é confiável a um nível proporcional às dependências de segurança que suporta (ou seja, , o quanto outros componentes
confiam nele para executar suas funções de segurança). Canais de comunicação confiáveis são alcançados por uma
combinação de restrição de acesso ao canal de comunicação (para garantir uma correspondência aceitável na confiabilidade
dos terminais envolvidos na comunicação) e emprego de proteções ponta a ponta para os dados transmitidos através do canal
de comunicação (para proteger contra interceptação e modificação e aumentar ainda mais a garantia de comunicação adequada
de ponta a ponta).
Discussão: O princípio da proteção contínua afirma que os componentes e dados utilizados para aplicar a política de segurança
têm proteção ininterrupta que é consistente com a política de segurança e os pressupostos da arquitetura de segurança.
Nenhuma garantia de que o sistema pode fornecer as proteções de confidencialidade, integridade, disponibilidade e privacidade
para sua capacidade de design pode ser feita se houver lacunas na proteção. Quaisquer garantias sobre a capacidade de
garantir uma capacidade entregue exigem que os dados e as informações sejam continuamente protegidos. Ou seja,
não há períodos durante os quais os dados e informações ficam desprotegidos enquanto estão sob controle do sistema (ou
seja, durante a criação, armazenamento, processamento ou comunicação dos dados e informações, bem como durante a
inicialização, execução, falha do sistema). , interrupção e desligamento). A proteção contínua requer adesão aos preceitos do
conceito de monitor de referência (ou seja, cada solicitação é validada pelo monitor de referência; o monitor de referência é
capaz de se proteger contra adulteração; e garantia suficiente da exatidão e integridade do mecanismo pode ser verificada a
partir de análise e testes) e o princípio da falha e recuperação seguras (isto é, preservação de um estado seguro durante
erro, falha, falha e ataque bem-sucedido; preservação de um estado seguro durante a recuperação para modos operacionais
normais, degradados ou alternativos).
A proteção contínua também se aplica a sistemas projetados para operar em configurações variadas,
incluindo aqueles que oferecem capacidade operacional total e configurações de modo degradado que oferecem
capacidade operacional parcial. O princípio da proteção contínua exige que as alterações nas políticas de segurança do
sistema sejam rastreáveis até a necessidade operacional que orienta a configuração e sejam verificáveis (ou seja, é possível
verificar se as alterações propostas não colocarão o sistema em um estado inseguro). Rastreabilidade e verificação insuficientes
podem levar a estados inconsistentes ou descontinuidades de proteção devido à natureza complexa ou indecidível do
problema. O uso de definições de configuração pré-verificadas que refletem a nova política de segurança permite que a análise
determine que uma transição das políticas antigas para as novas é essencialmente atômica e que quaisquer efeitos residuais
da política antiga certamente não entrarão em conflito com a nova política. A capacidade de demonstrar proteção contínua
está enraizada na articulação clara das necessidades de proteção do ciclo de vida como requisitos de segurança das partes
interessadas.
_________________________________________________________________________________________________
pe
E (20) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | GERENCIAMENTO SEGURO DE METADADOS
Discussão: O princípio da gestão segura de metadados afirma que os metadados são objectos de “primeira classe” no que
diz respeito à política de segurança quando a política exige protecção completa da informação ou que o subsistema
de segurança seja auto-protegido. O princípio do gerenciamento seguro de metadados é impulsionado pelo reconhecimento
de que um sistema, subsistema ou componente não pode alcançar autoproteção a menos que proteja os dados dos
quais depende para uma execução correta. Os dados geralmente não são interpretados pelo sistema que os armazena. Pode
ter valor semântico (ou seja, compreende informações) para usuários e programas que processam os dados.
Por outro lado, metadados são informações sobre dados, como o nome do arquivo ou a data em que o arquivo foi criado.
Os metadados estão vinculados aos dados de destino que descrevem de uma forma que o sistema pode interpretar, mas
não precisam ser armazenados dentro ou próximos a seus dados de destino.
Pode haver metadados cujo alvo seja ele próprio metadado (por exemplo, o nível de classificação ou nível de impacto
de um nome de arquivo), incluindo metadados auto-referenciais.
A aparente natureza secundária dos metadados pode levar à negligência da sua necessidade legítima de protecção,
resultando numa violação da política de segurança que inclui a exfiltração de informação. Uma preocupação particular
associada a proteções insuficientes para metadados está associada a sistemas seguros multinível (MLS). Os sistemas
MLS medeiam o acesso de um sujeito a um objeto com base em níveis de sensibilidade relativa. Segue-se que todos os
assuntos e objetos no escopo de controle do sistema MLS são diretamente rotulados ou indiretamente atribuídos a níveis
de sensibilidade. O corolário dos metadados rotulados para sistemas MLS afirma que os objetos que contêm metadados
são rotulados. Tal como acontece com as avaliações de necessidades de proteção para dados, é dada atenção para
garantir que as proteções de confidencialidade e integridade sejam avaliadas individualmente, especificadas e alocadas aos
metadados, como seria feito para dados de missão, negócios e sistema.
Discussão: O princípio da auto-análise afirma que um componente do sistema é capaz de avaliar o seu estado interno e
funcionalidade de forma limitada em vários estágios de execução, e que esta capacidade de auto-análise é proporcional ao
nível de confiabilidade investido no sistema . Ao nível do sistema, a autoanálise pode ser alcançada através de avaliações
hierárquicas de fiabilidade estabelecidas de baixo para cima. Nesta abordagem, os componentes de nível inferior verificam a
integridade dos dados e a funcionalidade correta (até certo ponto) dos componentes de nível superior. Por exemplo,
sequências de inicialização confiáveis envolvem um componente confiável de nível inferior que atesta a confiabilidade dos
próximos componentes de nível superior, para que uma cadeia transitiva de confiança possa ser estabelecida. Na
raiz, um componente atesta a si mesmo, o que geralmente envolve uma suposição axiomática ou ambientalmente imposta
sobre sua integridade.
Os resultados das autoanálises podem ser usados para proteção contra erros induzidos externamente, mau funcionamento
interno ou erros transitórios. Seguindo este princípio, alguns defeitos ou erros simples podem ser detectados sem permitir
que os efeitos do erro ou mau funcionamento se propaguem para fora do componente. Além disso, o autoteste pode ser usado
para atestar a configuração do componente, detectando quaisquer conflitos potenciais na configuração em relação à
configuração esperada.
_________________________________________________________________________________________________
pe
E Implementar o princípio de design de segurança de responsabilidade e rastreabilidade em [Tarefa:
sistemas ou componentes de sistema definidos pela organização].
Controles relacionados: AC-6, AU-2, AU-3, AU-6, AU-9, AU-10, AU-12, IA-2, IR-4.
Discussão: O princípio dos padrões seguros afirma que a configuração padrão de um sistema (incluindo seus
subsistemas, componentes e mecanismos constituintes) reflete uma aplicação restritiva e conservadora da
política de segurança. O princípio dos padrões seguros aplica-se à configuração inicial (ou seja, padrão) de
um sistema, bem como à engenharia de segurança e ao projeto de controle de acesso e outras funções de
segurança que seguem uma estratégia de “negar, a menos que explicitamente autorizado”. O aspecto de
configuração inicial deste princípio exige que qualquer configuração “conforme enviado” de um sistema,
subsistema ou componente do sistema não ajude na violação da política de segurança e possa impedir
que o sistema opere na configuração padrão para aqueles casos em que o a própria política de segurança
requer configuração pelo usuário operacional.
Padrões restritivos significam que o sistema operará “conforme enviado” com autoproteção adequada e
será capaz de evitar violações de segurança antes que a política de segurança pretendida e a configuração
do sistema sejam estabelecidas. Nos casos em que a proteção fornecida pelo produto “conforme
enviado” é inadequada, as partes interessadas avaliam o risco de utilizá-lo antes de estabelecer um estado
inicial seguro. A adesão ao princípio de padrões seguros garante que um sistema seja estabelecido em um
estado seguro após a conclusão bem-sucedida da inicialização. Em situações em que o sistema não consegue
concluir a inicialização, ele executará uma operação solicitada usando padrões seguros ou não executará a
operação. Consulte os princípios de proteção contínua e falhas e recuperação seguras que se assemelham
a esse princípio para fornecer a capacidade de detectar e recuperar-se de falhas.
A abordagem da engenharia de segurança para este princípio afirma que os mecanismos de segurança
negam solicitações, a menos que a solicitação seja bem formada e consistente com a política de
segurança. A alternativa insegura é permitir uma solicitação, a menos que se mostre inconsistente com a
política. Em um sistema grande, as condições que são satisfeitas para conceder uma solicitação negada por
padrão são muitas vezes muito mais compactas e completas do que aquelas que precisariam ser verificadas
para negar uma solicitação que é concedida por padrão.
Controles Relacionados: CM-2, CM-6, SA-4.
_________________________________________________________________________________________________
pe
E (24) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | FALHA E RECUPERAÇÃO SEGURA
Discussão: O princípio da falha e recuperação segura afirma que nem uma falha numa função ou mecanismo do sistema,
nem qualquer acção de recuperação em resposta à falha conduz a uma violação da política de segurança. O princípio
da falha e recuperação seguras é paralelo ao princípio da proteção contínua para garantir que um sistema seja capaz de detectar
(dentro dos limites) falhas reais e iminentes em qualquer estágio de sua operação (ou seja, inicialização, operação normal,
desligamento e manutenção) e tomar medidas apropriadas para garantir que as políticas de segurança não sejam
violadas. Além disso, quando especificado, o sistema é capaz de se recuperar de falhas reais ou iminentes para retomar
operações seguras normais, degradadas ou alternativas.
garantindo ao mesmo tempo que um estado seguro seja mantido, de modo que as políticas de segurança não sejam violadas.
Falha é uma condição na qual o comportamento de um componente se desvia de seu comportamento especificado ou
esperado para uma entrada explicitamente documentada. Uma vez detectada uma função de segurança com falha, o
sistema pode se reconfigurar para contornar o componente com falha, mantendo a segurança e fornecendo toda ou
parte da funcionalidade do sistema original, ou pode desligar-se completamente para evitar qualquer violação adicional das
políticas de segurança. Para que isso ocorra, as funções de reconfiguração do sistema são projetadas para garantir a aplicação
contínua da política de segurança durante as diversas fases de reconfiguração.
Outra técnica que pode ser usada para recuperação de falhas é executar uma reversão para um estado seguro (que pode
ser o estado inicial) e, em seguida, encerrar ou substituir o serviço ou componente que falhou, de modo que as operações
seguras possam ser retomadas. A falha de um componente pode ou não ser detectável pelos componentes que o utilizam. O
princípio da falha segura indica que os componentes falham num estado que nega, em vez de conceder, acesso. Por
exemplo, uma operação nominalmente “atômica” interrompida antes da conclusão não viola a política de segurança e é
projetada para lidar com eventos de interrupção empregando atomicidade de nível superior e mecanismos de reversão
(por exemplo, transações). Se um serviço estiver sendo utilizado, suas propriedades de atomicidade serão bem documentadas
e caracterizadas para que o componente que utiliza esse serviço possa detectar e tratar adequadamente os eventos de
interrupção. Por exemplo, um sistema é projetado para responder normalmente à desconexão e suportar ressincronização e
consistência de dados após a desconexão.
As estratégias de protecção contra falhas que empregam a replicação de mecanismos de aplicação de políticas, por
vezes denominadas defesa em profundidade, podem permitir que o sistema continue num estado seguro mesmo quando um
mecanismo falhou na protecção do sistema. Se os mecanismos forem semelhantes, porém, a proteção adicional pode
ser ilusória, pois o adversário pode simplesmente atacar em série. Da mesma forma, num sistema em rede, quebrar a
segurança de um sistema ou serviço pode permitir que um invasor faça o mesmo em outros sistemas e serviços replicados
semelhantes. Ao empregar múltiplos mecanismos de proteção cujas características são significativamente diferentes,
a possibilidade de replicação ou repetição de ataques pode ser reduzida. As análises são conduzidas para pesar os custos
e benefícios de tais técnicas de redundância em relação ao aumento do uso de recursos e aos efeitos adversos no
desempenho geral do sistema. Análises adicionais são conduzidas à medida que a complexidade destes mecanismos
aumenta, como poderia ser o caso de comportamentos dinâmicos. O aumento da complexidade geralmente reduz a
confiabilidade. Quando um recurso não pode ser protegido continuamente, é fundamental detectar e reparar quaisquer
violações de segurança antes que o recurso seja novamente utilizado num contexto seguro.
_________________________________________________________________________________________________
pe
E Discussão: O princípio da segurança económica afirma que os mecanismos de segurança não são mais
dispendiosos do que os danos potenciais que podem ocorrer devido a uma violação da segurança. Esta é a
forma relevante para a segurança das análises de custo-benefício utilizadas na gestão de riscos. As suposições
de custo da análise de custo-benefício impedem o projetista do sistema de incorporar mecanismos de
segurança de maior resistência do que o necessário, onde a resistência do mecanismo é proporcional ao custo. O
princípio da segurança económica também exige a análise dos benefícios da garantia relativamente ao custo dessa
garantia em termos do esforço despendido para obter provas relevantes e credíveis, bem como as análises necessárias
para avaliar e extrair conclusões de fiabilidade e de risco das provas.
Discussão: O princípio da segurança do desempenho afirma que os mecanismos de segurança são construídos
de forma a não degradarem desnecessariamente o desempenho do sistema. Os requisitos de design do sistema e
das partes interessadas para desempenho e segurança são articulados e priorizados com precisão. Para que a
implementação do sistema atenda aos requisitos de projeto e seja considerada aceitável pelas partes interessadas
(ou seja, validação em relação aos requisitos das partes interessadas), os projetistas aderem às restrições especificadas
que as necessidades de desempenho de capacidade impõem às necessidades de proteção. O impacto global dos
serviços de segurança computacionalmente intensivos (por exemplo, criptografia) é avaliado e demonstrado que não
representa impacto significativo nas considerações de desempenho de maior prioridade ou é considerado como
proporcionando uma compensação aceitável de desempenho por proteção confiável. As considerações de
compensação incluem serviços de segurança menos intensivos em termos computacionais, a menos que estejam
indisponíveis ou sejam insuficientes. A insuficiência de um serviço de segurança é determinada pela capacidade
funcional e pela força do mecanismo. A força do mecanismo é selecionada com relação aos requisitos de segurança,
questões de sobrecarga críticas de desempenho (por exemplo, gerenciamento de chaves criptográficas) e uma avaliação
da capacidade da ameaça.
O princípio da segurança de desempenho leva à incorporação de recursos que ajudam na aplicação da política de
segurança, mas que incorrem em sobrecarga mínima, como mecanismos de hardware de baixo nível sobre os
quais serviços de nível superior podem ser construídos. Esses mecanismos de baixo nível são geralmente muito
específicos, têm funcionalidade muito limitada e são otimizados para desempenho. Por exemplo, uma vez concedidos
direitos de acesso a uma parte da memória, muitos sistemas utilizam mecanismos de hardware para garantir que todos
os acessos adicionais envolvam o endereço de memória e o modo de acesso corretos. A aplicação deste princípio
reforça a necessidade de conceber a segurança no sistema desde o início e de incorporar mecanismos simples
nas camadas inferiores que possam ser usados como blocos de construção para mecanismos de nível superior.
Discussão: O princípio da segurança fatorada pelo homem afirma que a interface do usuário para funções de
segurança e serviços de suporte é intuitiva, fácil de usar e fornece feedback para ações do usuário que afetam tal
política e sua aplicação. Os mecanismos que impõem a política de segurança não são intrusivos para o usuário e
são projetados para não degradar a eficiência do usuário.
Os mecanismos de aplicação da política de segurança também fornecem ao usuário feedback e avisos significativos,
claros e relevantes quando escolhas inseguras estão sendo feitas. É dada especial atenção às interfaces através das
quais o pessoal responsável pela administração e operação do sistema configura e define as políticas de segurança.
Idealmente, esse pessoal é capaz de
_________________________________________________________________________________________________
pe
E compreender o impacto de suas escolhas. O pessoal com responsabilidades administrativas e operacionais do
sistema é capaz de configurar os sistemas antes da inicialização e administrá-los durante o tempo de execução com a
confiança de que sua intenção está corretamente mapeada para os mecanismos do sistema. Os serviços, funções e
mecanismos de segurança não impedem ou complicam desnecessariamente o uso pretendido do sistema. Existe um
compromisso entre a usabilidade do sistema e o rigor necessário para a aplicação da política de segurança. Se os
mecanismos de segurança forem frustrantes ou difíceis de usar, os usuários poderão desativá-los, evitá-los ou usá-los
de maneira inconsistente com os requisitos de segurança e as necessidades de proteção que os mecanismos foram projetados
para satisfazer.
Discussão: O princípio da segurança aceitável exige que o nível de privacidade e desempenho que o sistema
proporciona seja consistente com as expectativas dos utilizadores. A percepção da privacidade pessoal pode afetar
o comportamento, o moral e a eficácia do usuário. Com base na política de privacidade organizacional e no design do
sistema, os utilizadores devem ser capazes de restringir as suas ações para proteger a sua privacidade. Quando os sistemas
não fornecem interfaces intuitivas ou não atendem às expectativas de privacidade e desempenho, os usuários podem
optar por evitar completamente o sistema ou usá-lo de maneiras que podem ser ineficientes ou até mesmo inseguras.
Discussão: O princípio dos procedimentos repetíveis e documentados afirma que as técnicas e métodos
empregados para construir um componente do sistema permitem que o mesmo componente seja reconstruído completa
e corretamente posteriormente. Procedimentos repetíveis e documentados apoiam o desenvolvimento de um componente
idêntico ao componente criado anteriormente, que pode ser amplamente utilizado. No caso de outros artefatos do sistema
(por exemplo, documentação e resultados de testes), a repetibilidade apoia a consistência e a capacidade de inspecionar
os artefatos. Procedimentos repetíveis e documentados podem ser introduzidos em vários estágios do ciclo de vida de
desenvolvimento do sistema e contribuem para a capacidade de avaliar reivindicações de garantia para o sistema. Os exemplos
incluem procedimentos sistemáticos para desenvolvimento e revisão de código, procedimentos para gerenciamento de
configuração de ferramentas de desenvolvimento e artefatos de sistema e procedimentos para entrega de sistema.
Controles Relacionados: CM-1, SA-1, SA-10, SA-11, SA-15, SA-17, SC-1, SI-1.
Discussão: O princípio do rigor processual afirma que o rigor de um processo do ciclo de vida do sistema é proporcional
à confiabilidade pretendida. O rigor processual define o escopo, a profundidade e os detalhes dos procedimentos do ciclo
de vida do sistema. Procedimentos rigorosos do ciclo de vida do sistema contribuem para garantir que o sistema
esteja correto e livre de funcionalidades não intencionais de diversas maneiras. Primeiro, os procedimentos impõem
verificações e equilíbrios no processo do ciclo de vida, de modo que a introdução de funcionalidades não especificadas
seja evitada.
Em segundo lugar, procedimentos rigorosos aplicados às atividades de engenharia de segurança de sistemas que produzem
especificações e outros documentos de projeto de sistemas contribuem para a capacidade de compreender
_________________________________________________________________________________________________
pe
E o sistema tal como foi construído, em vez de confiar que o componente, tal como implementado, é a especificação oficial (e
potencialmente enganosa).
Finalmente, modificações em um componente de sistema existente são mais fáceis quando existem especificações
detalhadas que descrevem seu design atual, em vez de estudar código-fonte ou esquemas para tentar entender como ele
funciona. O rigor processual ajuda a garantir que os requisitos funcionais e de garantia de segurança foram satisfeitos e
contribui para uma base mais informada para a determinação da confiabilidade e da postura de risco. O rigor processual é
proporcional ao grau de segurança desejado para o sistema. Se a fiabilidade exigida do sistema for baixa, um elevado nível de
rigor processual pode acrescentar custos desnecessários, ao passo que quando uma fiabilidade elevada é crítica, o custo
de um elevado rigor processual é merecido.
Discussão: O princípio da modificação segura do sistema afirma que a modificação do sistema mantém a segurança do
sistema no que diz respeito aos requisitos de segurança e à tolerância ao risco das partes interessadas. Atualizações ou
modificações em sistemas podem transformar sistemas seguros em sistemas que não são seguros. Os procedimentos
para modificação do sistema garantem que, para que o sistema mantenha sua confiabilidade, o mesmo rigor que foi
aplicado ao seu desenvolvimento inicial seja aplicado a quaisquer alterações no sistema. Como as modificações
podem afetar a capacidade do sistema de manter seu estado seguro, é necessária uma análise cuidadosa de segurança da
modificação antes de sua implementação e implantação. Este princípio é paralelo ao princípio da capacidade de evolução
segura.
Discussão: O princípio da documentação suficiente afirma que o pessoal organizacional com responsabilidades de interagir
com o sistema recebe documentação adequada e outras informações, de modo que o pessoal contribua, em vez de prejudicar,
a segurança do sistema. Apesar das tentativas de cumprir princípios como segurança humana e segurança aceitável,
os sistemas são inerentemente complexos, e a intenção do design para o uso de mecanismos de segurança e as ramificações
do uso indevido ou da configuração incorreta de mecanismos de segurança nem sempre são intuitivamente óbvias. Usuários
desinformados e insuficientemente treinados
podem introduzir vulnerabilidades devido a erros de omissão e comissão. A disponibilidade de documentação e formação
pode ajudar a garantir um quadro de pessoal bem informado, todos com um papel fundamental na concretização de
princípios como a protecção contínua.
A documentação é escrita de forma clara e apoiada por treinamento que fornece conscientização sobre segurança e
compreensão das responsabilidades relevantes para a segurança.
Implemente o princípio de minimização da privacidade usando [Atribuição: processos definidos pela organização].
Discussão: O princípio da minimização afirma que as organizações só devem processar informações de identificação
pessoal que sejam diretamente relevantes e necessárias para cumprir uma finalidade autorizada e só devem manter
informações de identificação pessoal durante o tempo necessário para cumprir a finalidade. As organizações possuem
processos em vigor, consistentes com as leis e políticas aplicáveis, para implementar o princípio da minimização.
_________________________________________________________________________________________________
pe
E Controles Relacionados: PE-8, PM-25, SC-42, SI-12.
Referências: [PRIVACT], [OMB A-130], [FIPS 199], [FIPS 200], [SP 800-37], [SP 800-53A], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [IR 8062].
Ao controle:
a. Exigir que os provedores de serviços de sistemas externos cumpram as normas de segurança organizacional e
requisitos de privacidade e empregam os seguintes controles: [Atribuição: controles definidos pela organização];
c. Empregue os seguintes processos, métodos e técnicas para monitorar continuamente a conformidade dos controles por
parte dos prestadores de serviços externos: [Atribuição: processos, métodos e técnicas definidos pela organização].
Discussão: Os serviços do sistema externo são fornecidos por um fornecedor externo e a organização não tem controlo
direto sobre a implementação dos controlos necessários ou a avaliação da eficácia do controlo. As organizações
estabelecem relacionamentos com prestadores de serviços externos de diversas maneiras, inclusive por meio de parcerias
comerciais, contratos, acordos interagências, acordos de linhas de negócios, acordos de licenciamento, joint ventures e
intercâmbios na cadeia de suprimentos. A responsabilidade pela gestão dos riscos decorrentes da utilização de
serviços de sistemas externos permanece com os responsáveis pela autorização. Para serviços externos às
organizações, uma cadeia de confiança exige que as organizações estabeleçam e mantenham um certo nível de confiança
de que cada fornecedor na relação consumidor-provedor fornece proteção adequada para os serviços prestados. A
extensão e a natureza desta cadeia de confiança variam com base nas relações entre as organizações e os fornecedores
externos. As organizações documentam a base para as relações de confiança para que as relações possam ser
monitoradas. A documentação de serviços de sistema externo inclui governo, provedores de serviços, funções e
responsabilidades de segurança do usuário final e acordos de nível de serviço.
Controles relacionados: AC-20, CA-3, CP-2, IR-4, IR-7, PL-10, PL-11, PS-7, SA-2, SA- 4, SR -3, SR-5 .
Melhorias de controle:
(a) Realizar uma avaliação organizacional de risco antes da aquisição ou terceirização de serviços de segurança
da informação; e
Discussão: Os serviços de segurança da informação incluem a operação de dispositivos de segurança, como firewalls
ou serviços de gerenciamento de chaves, bem como monitoramento, análise e resposta a incidentes.
Os riscos avaliados podem incluir sistema, missão ou negócio, segurança, privacidade ou cadeia de fornecimento
riscos.
Exigir que os provedores dos seguintes serviços de sistema externo identifiquem as funções, portas, protocolos
e outros serviços necessários para o uso de tais serviços: [Atribuição: serviços de sistema externo
definidos pela organização].
_________________________________________________________________________________________________
pe
E Discussão: As informações de prestadores de serviços externos sobre as funções, portas, protocolos e serviços
específicos utilizados na prestação de tais serviços podem ser úteis quando surge a necessidade de compreender as
compensações envolvidas na restrição de certas funções e serviços ou no bloqueio de certas portas e protocolos.
(3) SERVIÇOS DE SISTEMA EXTERNO | ESTABELECER E MANTER RELACIONAMENTO DE CONFIANÇA COM OS FORNECEDORES
Estabelecer, documentar e manter relações de confiança com provedores de serviços externos com base nos
seguintes requisitos, propriedades, fatores ou condições: [Atribuição: requisitos de segurança e privacidade
definidos pela organização, propriedades, fatores ou condições que definem relações de confiança aceitáveis].
Discussão: As relações de confiança entre organizações e prestadores de serviços externos reflectem o grau de confiança de
que o risco da utilização de serviços externos se encontra num nível aceitável.
As relações de confiança podem ajudar as organizações a obter maiores níveis de confiança de que os prestadores de
serviços estão a fornecer proteção adequada para os serviços prestados e também podem ser úteis ao conduzir a resposta a
incidentes ou ao planear atualizações ou obsolescência. As relações de confiança podem ser complicadas devido ao
número potencialmente grande de entidades que participam nas interações consumidor-fornecedor, às relações subordinadas
e aos níveis de confiança, e aos tipos de interações entre as partes. Em alguns casos, o grau de confiança baseia-se no
nível de controle que as organizações podem exercer sobre os prestadores de serviços externos em relação aos controles
necessários para a proteção do serviço, da informação ou da privacidade individual e nas evidências apresentadas
quanto à eficácia do serviço. controles implementados. O nível de controle é estabelecido pelos termos e condições dos
contratos ou acordos de nível de serviço.
Execute as seguintes ações para verificar se os interesses de [Atribuição: prestadores de serviços externos
definidos pela organização] são consistentes e refletem os interesses organizacionais: [Atribuição: ações definidas
pela organização].
Discussão: À medida que as organizações recorrem cada vez mais a prestadores de serviços externos, é possível que os
interesses dos prestadores de serviços possam divergir dos interesses organizacionais. Em tais situações, a simples
implementação dos controlos técnicos, de gestão ou operacionais necessários pode não ser suficiente se os fornecedores
que implementam e gerem esses controlos não estiverem a operar de uma forma consistente com os interesses das
organizações consumidoras.
As ações que as organizações tomam para abordar tais preocupações incluem a exigência de verificações de
antecedentes para o pessoal selecionado dos prestadores de serviços; examinar registros de propriedade; empregar
apenas prestadores de serviços confiáveis, tais como prestadores com os quais as organizações tenham tido relações
de confiança bem-sucedidas; e realização de visitas de rotina, periódicas e não programadas às instalações dos prestadores
de serviços.