NIST Security and Privacy Controls For Information Systems and Organizations P1

Machine Translated by Google
Publicação Especial NIST 800-53

Revisão 5
Controles de segurança e privacidade para

Sistemas de Informação e Organizações
FORÇA TAREFA CONJUNTA
Esta publicação está disponível gratuitamente

em: https://doi.org/10.6028/NIST.SP.800-53r5
Publicação Especial NIST 800-53

Revisão 5
Controles de segurança e privacidade para

Sistemas de Informação e Organizações
FORÇA TAREFA CONJUNTA
Esta publicação está disponível gratuitamente em:

https://doi.org/10.6028/NIST.SP.800-53r5
Setembro de 2020
INCLUI ATUALIZAÇÕES DE 10/12/2020; VER PÁGINA XVII
Departamento de Comércio dos EUA

Wilbur L. Ross, Jr., Secretário
Instituto Nacional de Padrões e Tecnologia

Walter Copan, diretor do NIST e subsecretário de Comércio para Padrões e Tecnologia
e
g
d NISTSP 800-53, REV. 5 CONTROLES DE SEGURANÇA E PRIVACIDADE PARA SISTEMAS E ORGANIZAÇÕES DE INFORMAÇÃO
_________________________________________________________________________________________________
pe
E Autoridade
Esta publicação foi desenvolvida pelo NIST para promover suas responsabilidades legais sob a Lei Federal de
Modernização da Segurança da Informação (FISMA), 44 USC § 3551 e seguintes, Lei Pública (PL) 113-283. O NIST é
responsável pelo desenvolvimento de padrões e diretrizes de segurança da informação, incluindo requisitos mínimos para
sistemas de informação federais. Tais padrões e diretrizes de segurança da informação não se aplicarão aos sistemas
de segurança nacional sem a aprovação expressa dos funcionários federais apropriados que exerçam autoridade
política sobre tais sistemas. Esta diretriz é consistente com os requisitos do Escritório de Gestão e Orçamento (OMB)
Circular A-130.
Nada nesta publicação deve ser interpretado como contradizendo os padrões e diretrizes tornados obrigatórios e
vinculativos para as agências federais pelo Secretário de Comércio sob autoridade estatutária. Estas diretrizes
também não devem ser interpretadas como alterando ou substituindo as autoridades existentes do Secretário de
Comércio, do Diretor do OMB ou de qualquer outro funcionário federal. Esta publicação pode ser usada por
organizações não-governamentais de forma voluntária e não está sujeita a direitos autorais nos Estados Unidos. A
atribuição seria, no entanto, apreciada pelo NIST.
Publicação especial 800-53 do Instituto Nacional de Padrões e Tecnologia, Revisão 5

Nacional. Inst. Ficar em pé. Tecnologia. Especificações. Publicação 800-53, Rev. 5, 492 páginas (setembro de 2020)
CÓDIGOS: NSPUE2
Esta publicação está disponível gratuitamente em:

https://doi.org/10.6028/NIST.SP.800-53r5
Certas entidades comerciais, equipamentos ou materiais podem ser identificados neste documento para descrever adequadamente
um procedimento ou conceito experimental. Tal identificação não pretende implicar recomendação ou endosso do NIST, nem
pretende implicar que as entidades, materiais ou equipamentos sejam necessariamente os melhores disponíveis para esse fim.
Pode haver referências nesta publicação a outras publicações atualmente em desenvolvimento pelo NIST de acordo com as
responsabilidades estatutárias atribuídas. As informações contidas nesta publicação, incluindo conceitos, práticas e metodologias,
podem ser usadas por agências federais mesmo antes da conclusão de tais publicações complementares. Assim, até que cada
publicação seja concluída, os requisitos, diretrizes e procedimentos atuais, onde existirem, permanecerão em vigor. Para fins de
planejamento e transição, as agências federais podem querer acompanhar de perto o desenvolvimento destas novas publicações
do NIST.
As organizações são incentivadas a revisar as versões preliminares das publicações durante os períodos designados para
comentários públicos e fornecer feedback ao NIST. Muitas publicações do NIST, além das mencionadas acima, estão disponíveis
em https://csrc.nist.gov/publications.
Comentários sobre esta publicação podem ser enviados para:
Instituto Nacional de Padrões e Tecnologia

À atenção de: Divisão de Segurança Informática, Laboratório de Tecnologia da Informação
100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930
E-mail: sec-cert@nist.gov
Todos os comentários estão sujeitos a divulgação de acordo com a Lei de Liberdade de Informação (FOIA) [FOIA96].
eu
e
g
_________________________________________________________________________________________________
pe
E Relatórios sobre tecnologia de sistemas de computador
O Laboratório de Tecnologia da Informação (ITL) do Instituto Nacional de Padrões e Tecnologia (NIST) promove a
economia e o bem-estar público dos EUA, fornecendo liderança técnica para a infraestrutura de medição e
padrões do país. A ITL desenvolve testes, métodos de teste, dados de referência, implementações de prova de
conceito e análises técnicas para avançar no desenvolvimento e no uso produtivo da tecnologia da informação
(TI). As responsabilidades do ITL incluem o desenvolvimento de padrões e diretrizes gerenciais, administrativas,
técnicas e físicas para a segurança econômica de informações que não sejam relacionadas à segurança nacional
em sistemas de informação federais. A publicação especial da série 800 relata as pesquisas, diretrizes e
esforços de divulgação do ITL em segurança e privacidade de sistemas de informação e suas atividades
colaborativas com organizações industriais, governamentais e acadêmicas.
Abstrato
Esta publicação fornece um catálogo de controles de segurança e privacidade para sistemas de informação e
organizações para proteger operações e ativos organizacionais, indivíduos, outras organizações e a Nação contra
um conjunto diversificado de ameaças e riscos, incluindo ataques hostis, erros humanos, desastres naturais,
estruturas falhas, entidades de inteligência estrangeiras e riscos de privacidade. Os controles são flexíveis e
personalizáveis e implementados como parte de um processo de gerenciamento de riscos em toda a
organização. Os controles atendem a diversos requisitos derivados da missão e das necessidades de negócios,
leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. Finalmente, o catálogo de controlo
consolidado aborda a segurança e a privacidade de uma perspectiva de funcionalidade (ou seja, a força das funções
e mecanismos fornecidos pelos controlos) e de uma perspectiva de garantia (ou seja, a medida de confiança na
capacidade de segurança ou privacidade fornecida pelos controlos). ). Abordar a funcionalidade e a garantia ajuda a
garantir que a tecnologia da informação
os produtos e os sistemas que dependem desses produtos são suficientemente confiáveis.
Palavras-chave
Garantia; disponibilidade; segurança informática; confidencialidade; ao controle; cíber segurança; FISMA;

segurança da informação; sistema de informação; integridade; informação pessoalmente identificável; Lei de
Privacidade; controles de privacidade; funções de privacidade; requisitos de privacidade; Estrutura de Gestão de
Risco; controles de segurança; funções de segurança; requisitos de segurança; sistema; sistema de segurança.
eu
e
g
_________________________________________________________________________________________________
pe
E Reconhecimentos
Esta publicação foi desenvolvida pelo Grupo de Trabalho Interinstitucional da Força-Tarefa
Conjunta . O grupo inclui representantes das comunidades civil, de defesa e de inteligência.
O Instituto Nacional de Padrões e Tecnologia deseja reconhecer e agradecer aos altos líderes do
Departamento de Comércio, do Departamento de Defesa, do Gabinete do Diretor de Inteligência
Nacional, do Comitê de Sistemas de Segurança Nacional e aos membros do grupo de trabalho
interagências cujo esforços dedicados contribuíram significativamente para esta publicação.
Departamento de Defesa Gabinete do Diretor Nacional

Inteligência
Dana Deasy Mateus A. Kozma
Diretor de Informações Diretor de Informações
John Sherman Michael E. Waschull

Vice-CIO Principal Diretor Adjunto de Informações
Mark Hakun Clifford M. Conner

Vice-CIO de Segurança Cibernética e DoD SISO Grupo de Segurança Cibernética e IC CISO
Kevin Dulany Vago
Diretor, Política e Parcerias de Segurança Cibernética Diretor, Centro de Coordenação de Segurança
Instituto Nacional de Padrões e Comitê de Segurança Nacional

Tecnologia Sistemas
Charles H. Romine Mark G. Haku
Diretor, Laboratório de Tecnologia da Informação Cadeira
Kevin Stine Susan Dorr

Consultor interino de segurança cibernética, ITL Copresidente
Matheus Scholl Kevin Dulany

Chefe, Divisão de Segurança Informática Tri-Chair – Comunidade de Defesa
Kevin Stine Chris Johnson

Chefe, Divisão de Segurança Cibernética Aplicada Tri-Chair — Comunidade de Inteligência
Ron Ross Vicki Micheletti

Líder do Projeto de Implementação FISMA Três Presidentes – Agências Civis
Grupo de trabalho da força-tarefa conjunta
Pílula Vitória McKay Tolboe Dorian Pappas Kelly Dempsey

NIST, líder da JTF Departamento de Defesa
Comunidade de Inteligência NIST
Ehije Olumese Lydia Humphries Daniel Faigin Naomi Lefkovitz

A Corporação MITRE Booz Allen Hamilton Corporação Aeroespacial NIST
Esten Porter Julie Nethery Snyder Cristina Sames Christian Enloé

A Corporação MITRE A Corporação MITRE A Corporação MITRE NIST
David Negro Rico Graybart Pedro Duspiva Kaitlin Boeckl

A Corporação MITRE A Corporação MITRE Comunidade de Inteligência NIST
Eduardo Takamura Ned Goren André Regenscheid Jon Boyens

NIST NIST NIST NIST
iii
e
g
_________________________________________________________________________________________________
pe
E Além dos agradecimentos acima, uma nota especial de agradecimento a Jeff Brewer, Jim Foti e à equipe web do
NIST por seu excelente suporte administrativo. Os autores também desejam reconhecer Kristen Baldwin, Carol Bales,
John Bazile, Jennifer Besceglie, Sean Brooks, Ruth Cannatti, Kathleen Coupe, Keesha Crosby, Charles Cutshall,
Ja'Nelle DeVore, Jennifer Fabius, Jim Fenton, Hildy Ferraiolo, Ryan Galluzzo, Robin Gandhi, Mike Garcia, Paul Grassi,
Marc Groman, Matthew Halstead, Kevin Herms, Scott Hill, Ralph Jones, Martin Kihiko, Raquel Leone, Jason Marsico,
Kirsten Moncada, Ellen Nadeau, Elaine Newton, Michael Nieles, Michael Nussdorfer, Taylor Roberts , Jasmeet
Seehra, Joe Stuntz, Jeff Williams, a equipe profissional da Divisão de Segurança de Computadores do NIST e da
Divisão de Segurança Cibernética Aplicada, e os representantes do Conselho Federal de CIOs, Conselho Federal
de CISO, Conselho Federal de Privacidade, Grupo de Trabalho Interagências de Linha de Base de Controle,
Segurança e Privacidade Grupo de Trabalho de Colaboração e Subcomitê de Gerenciamento de Risco do
Conselho Federal de Privacidade por suas contribuições contínuas para ajudar a melhorar o conteúdo da
publicação. Finalmente, os autores agradecem as contribuições de indivíduos e organizações dos setores público e
privado, tanto a nível nacional como internacional, cujos comentários perspicazes e construtivos melhoraram
a qualidade geral, o rigor e a utilidade desta publicação.
CONTRIBUIÇÕES HISTÓRICAS PARA A PUBLICAÇÃO ESPECIAL DO NIST 800-53
Os autores queriam agradecer aos muitos indivíduos que contribuíram para versões anteriores
da Publicação Especial 800-53 desde o seu início em 2005. Eles incluem Marshall Abrams,
Dennis Bailey, Lee Badger, Curt Barker, Matthew Barrett, Nadya Bartol, Frank Belz, Paul
Bicknell , Deb Bodeau, Paul Brusil, Brett Burley, Bill Burr, Dawn Cappelli, Roger Caslow, Corinne
Castanza, Mike Cooper, Matt Coose, Dominic Cussatt, George Dinolt, Randy Easter, Kurt Eleam,
Denise Farrar, Dave Ferraiolo, Cita Furlani, Harriett Goldman, Peter Gouldmann, Tim Grance,
Jennifer Guild, Gary Guissanie, Sarbari Gupta, Priscilla Guthrie, Richard Hale, Peggy Himes,
Bennett Hodge, William Hunteman, Cynthia Irvine, Arnold Johnson, Roger Johnson, Donald
Jones, Lisa Kaiser, Stuart Katzke, Sharon Keller, Tom Kellermann, Cass Kelly, Eustace King,
Daniel Klemm, Steve LaFountain, Annabelle Lee, Robert Lentz, Steven Lipner, William
MacGregor, Thomas Macklin, Thomas Madden, Robert Martin, Erika McCallister, Tim McChesney,
Michael McEvilley, Rosalie McQuaid , Peter Mell, John Mildner, Pam Miller, Sandra Miravalle, Joji Montelibano, Douglas
Montgomery, George Moore, Rama Moorthy, Mark Morrison, Harvey Newstrom, Sherrill Nicely,
Robert Niemeyer, LouAnna Notargiacomo, Pat O'Reilly, Tim Polk, Karen Quigg, Steve Quinn,
Mark Riddle, Ed Roback, Cheryl Roby, George Rogers, Scott Rose, Mike Rubin, Karen Scarfone,
Roger Schell, Jackie Snouffer, Ray Snouffer, Murugiah Souppaya, Gary Stoneburner, Keith
Stouffer, Marianne Swanson, Pat Toth, Glenda Turner, Patrick Viscuso, Joe Weiss, Richard
Wilsher, Mark Wilson, John Woodward, e Carol Woody.
4
e
g
_________________________________________________________________________________________________
pe
E Aviso de divulgação de patente
AVISO: O Laboratório de Tecnologia da Informação (ITL) solicitou que os detentores de reivindicações de

patente cujo uso possa ser necessário para conformidade com as orientações ou requisitos desta publicação
divulguem tais reivindicações de patente ao ITL. No entanto, os detentores de patentes não são obrigados a
responder às solicitações de patentes do ITL e o ITL não realizou uma pesquisa de patentes para identificar
quais patentes, se houver, podem ser aplicadas a esta publicação.
Na data da publicação e após a(s) chamada(s) para a identificação de reivindicações de patente cujo uso
possa ser necessário para conformidade com as orientações ou requisitos desta publicação, nenhuma dessas
reivindicações de patente foi identificada para o ITL.
Nenhuma declaração é feita ou implícita pela ITL de que licenças não são necessárias para evitar violação
de patente no uso desta publicação.
em
e
g
_________________________________________________________________________________________________
pe
E GERENCIAMENTO DE RISCOS
As organizações devem exercer a devida diligência na gestão da segurança da informação e dos riscos
de privacidade. Isto é conseguido, em parte, através do estabelecimento de um programa abrangente de
gestão de riscos que utiliza a flexibilidade inerente às publicações do NIST para categorizar sistemas,
selecionar e implementar controles de segurança e privacidade que atendam à missão e às necessidades
de negócios, avaliar a eficácia dos controles, autorizar os sistemas para operação e monitorar
continuamente os sistemas. Exercer a devida diligência e implementar programas robustos e abrangentes
de segurança da informação e gestão de riscos de privacidade pode facilitar a conformidade com leis,
regulamentos, ordens executivas e políticas governamentais aplicáveis. Os quadros de gestão de riscos
e os processos de gestão de riscos são essenciais no desenvolvimento, implementação e manutenção
das medidas de protecção necessárias para responder às necessidades das partes interessadas e às
actuais ameaças às operações e activos organizacionais, aos indivíduos, a outras organizações e à
Nação. A utilização de processos, procedimentos, métodos e tecnologias eficazes baseados no risco
garante que os sistemas e organizações de informação tenham a fiabilidade e a resiliência necessárias
para apoiar a missão essencial e as funções empresariais, a infra-estrutura crítica dos EUA e a continuidade do governo.
nós
e
g
_________________________________________________________________________________________________
pe
E FUNDAÇÕES COMUNS DE SEGURANÇA E PRIVACIDADE
Ao trabalhar com o Escritório de Gestão e Orçamento para desenvolver padrões e diretrizes exigidos
pela FISMA, o NIST consulta agências federais, governos estaduais, locais e tribais e organizações
do setor privado para melhorar a segurança e a privacidade da informação, evitar duplicação de
esforços desnecessária e dispendiosa. e ajudar a garantir que as suas publicações sejam
complementares às normas e diretrizes utilizadas para a proteção dos sistemas de segurança
nacional. Além de um processo abrangente e transparente de revisão e comentários públicos, o NIST
está envolvido em uma parceria colaborativa com o Escritório de Gestão e Orçamento, Escritório do
Diretor de Inteligência Nacional, Departamento de Defesa, Comitê de Sistemas de Segurança
Nacional, Conselho Federal de CIO, e o Conselho Federal de Privacidade para estabelecer uma
Estrutura de Gerenciamento de Risco (RMF) para segurança e privacidade da informação para o
Governo Federal. Essa base comum fornece ao Governo Federal e aos seus contratados maneiras
econômicas, flexíveis e consistentes de gerenciar riscos de segurança e privacidade para operações
e ativos organizacionais, indivíduos, outras organizações e a Nação. A estrutura fornece uma base
para a aceitação recíproca de evidências de avaliação de controle de segurança e privacidade e
decisões de autorização e facilita o compartilhamento e a colaboração de informações. O NIST
continua a trabalhar com entidades dos setores público e privado para estabelecer mapeamentos e
relações entre os padrões e diretrizes desenvolvidos pelo NIST e aqueles desenvolvidos por outras
organizações. O NIST prevê o uso desses mapeamentos e das lacunas que eles identificam para melhorar o catálogo de controle.
vii
e
g
_________________________________________________________________________________________________
pe
E DESENVOLVIMENTO DE SISTEMAS, COMPONENTES E SERVIÇOS DE INFORMAÇÃO
Com uma ênfase renovada na utilização de sistemas de informação seguros e confiáveis e na segurança
da cadeia de abastecimento, é essencial que as organizações expressem os seus requisitos de segurança
e privacidade com clareza e especificidade, a fim de obter os sistemas, componentes e serviços
necessários para a missão e o sucesso empresarial. . Dessa forma, esta publicação fornece controles nas
famílias Aquisição de Sistemas e Serviços (SA) e Gerenciamento de Risco da Cadeia de Suprimentos
(SR) direcionados aos desenvolvedores. O escopo dos controles nessas famílias inclui o sistema de
informação, o componente do sistema e o desenvolvimento de serviços do sistema e os desenvolvedores
associados, quer o desenvolvimento seja conduzido internamente pelas organizações ou externamente
por meio dos processos de contratação e aquisição. Os controles afetados no catálogo de controles
incluem SA-8, SA-10, SA-11, SA -15, SA-16, SA-17, SA-20, SA-21 , SR-3, SR-4, SR- 5, SR-6, SR-7, SR-8, SR-9 e SR-11.
viii
e
g
_________________________________________________________________________________________________
pe
E SISTEMAS DE INFORMAÇÃO — UMA PERSPECTIVA AMPLA
À medida que levamos os computadores ao “limite”, construindo um mundo cada vez mais complexo de sistemas e
dispositivos interligados, a segurança e a privacidade continuam a dominar o diálogo nacional. Há uma necessidade
urgente de fortalecer ainda mais os sistemas, produtos e serviços subjacentes dos quais dependemos em todos os
setores da infraestrutura crítica para garantir que esses sistemas, produtos e serviços sejam suficientemente
confiáveis e forneçam a resiliência necessária para apoiar a economia e interesses de segurança nacional dos
Estados Unidos. A Publicação Especial 800-53 do NIST, Revisão 5, responde a esta necessidade embarcando em
uma abordagem proativa e sistêmica para desenvolver
e disponibilizar a uma ampla base de organizações dos setores público e privado um conjunto abrangente de medidas
de proteção de segurança e privacidade para todos os tipos de plataformas de computação, incluindo sistemas de
computação de uso geral, sistemas ciberfísicos, sistemas em nuvem, sistemas móveis, sistemas de controle industrial,
e dispositivos de Internet das Coisas (IoT). As medidas de salvaguarda incluem controlos de segurança e privacidade
para proteger as operações e ativos críticos e essenciais das organizações e a privacidade dos indivíduos. O objetivo
é tornar os sistemas dos quais dependemos mais resistentes à penetração de ataques, limitar os danos causados por
esses ataques quando eles ocorrem,
e tornar os sistemas resilientes, capazes de sobreviver e que protejam a privacidade dos indivíduos.
ix
e
g
_________________________________________________________________________________________________
pe
E LINHAS DE BASE DE CONTROLE
As linhas de base de controle que foram anteriormente incluídas na Publicação Especial NIST 800-53 foram
realocadas para a Publicação Especial NIST 800-53B. SP 800-53B contém linhas de base de controle de
segurança e privacidade para sistemas e organizações de informação federais. Ele fornece orientação para
adaptar linhas de base de controle e desenvolver sobreposições para apoiar os requisitos de segurança e
privacidade das partes interessadas e suas organizações. A Instrução 1253 do CNSS fornece linhas de base
de controle e orientação para categorização de segurança e seleção de controle de segurança para sistemas
de segurança nacional.
x
e
g
_________________________________________________________________________________________________
pe
E USO DE EXEMPLOS NESTA PUBLICAÇÃO
Ao longo desta publicação, exemplos são usados para ilustrar, esclarecer ou explicar determinados
itens nas seções dos capítulos, controles e aprimoramentos de controles. Estes exemplos são de
natureza ilustrativa e não se destinam a limitar ou restringir a aplicação de controles ou melhorias de
controle pelas organizações.
XI
e
g
_________________________________________________________________________________________________
pe
E COLABORAÇÃO DE GESTÃO DE REGISTROS FEDERAIS
Os processos de gerenciamento de registros federais têm uma ligação com certos requisitos e controles de
segurança e privacidade da informação. Por exemplo, os responsáveis pelos registros podem gerenciar a
retenção de registros, inclusive quando os registros serão excluídos. A colaboração com os responsáveis pelos
registros na seleção e implementação de controles de segurança e privacidade relacionados ao gerenciamento
de registros pode apoiar a consistência e a eficiência e, em última análise, fortalecer a postura de segurança e
privacidade da organização.
xii
e
g
_________________________________________________________________________________________________
pe
E Índice
CAPÍTULO UM INTRODUÇÃO............................................. .................................................. ..... 1
1.1 OBJETIVO E APLICABILIDADE ............................................. .................................................. ... 2 1.2 PÚBLICO-

ALVO ........................................... .................................................. ..................... 3 1.3 RESPONSABILIDADES
ORGANIZACIONAIS......................... .................................................. .............. 3 1.4 RELAÇÃO COM OUTRAS
PUBLICAÇÕES.............................. .................................................. ... 5 1.5 REVISÕES E
EXTENSÕES........................................... .................................................. ........ 5 1.6 ORGANIZAÇÃO DE
PUBLICAÇÃO...................................... .................................................. .......... 5
CAPÍTULO DOIS OS FUNDAMENTOS................................................... ............................................... 7
2.1 REQUISITOS E CONTROLES ............................................. ................................................ 7 2.2 ESTRUTURA E ORGANIZAÇÃO DE

CONTROLE ............................................. ................................ 8 2.3 ABORDAGENS DE IMPLEMENTAÇÃO DE
CONTROLE............. .................................................. .............. 11 2.4 CONTROLES DE SEGURANÇA E
PRIVACIDADE.............................. .................................................. ......... 13 2.5 CONFIANÇA E
GARANTIA.................................... .................................................. 14
CAPÍTULO TRÊS OS CONTROLES ............................................. .................................................. .16
3.1 CONTROLE DE ACESSO ............................................. .................................................. ................. 18 3.2 CONSCIENTIZAÇÃO E

TREINAMENTO........................... .................................................. ..................... 59 3.3 AUDITORIA E
RESPONSABILIDADE ........................ .................................................. ....................... 65 3.4 AVALIAÇÃO, AUTORIZAÇÃO E
MONITORAMENTO................... ............................................. 83 3.5 GERENCIAMENTO DE

CONFIGURAÇÃO .................................................. .................................... 96 3.6 PLANEJAMENTO DE
CONTINGÊNCIA..... .................................................. ............................................. 115 3.7 IDENTIFICAÇÃO E
AUTENTICAÇÃO .................................................. ............................ 131 3.8 RESPOSTA A
INCIDENTES................. .................................................. .................................... 149 3.9
MANUTENÇÃO...... .................................................. .................................................. .......... 162 3.10 PROTEÇÃO DE
MÍDIA .................................... .................................................. .................... 171 3.11 PROTEÇÃO FÍSICA E
AMBIENTAL........................ ........................................... 179 3.12 PLANEJAMENTO ... .................................................. .................................................. .................
194 3.13 GESTÃO DO PROGRAMA ............................. .................................................. .................. 203 3.14 SEGURANÇA DE
PESSOAL.......................... .................................................. .......................... 222 3.15 PROCESSAMENTO E TRANSPARÊNCIA DE INFORMAÇÕES
PESSOALMENTE IDENTIFICÁVEIS ................ ....... 229 3.16 AVALIAÇÃO DE RISCOS........................................ .................................................. ....................
238 3.17 AQUISIÇÃO DE SISTEMAS E SERVIÇOS ........................ .................................................. ......... 249 3.18 PROTEÇÃO DE SISTEMA E
COMUNICAÇÕES ................................... ................................ 292 3.19 INTEGRIDADE DO SISTEMA E DA
INFORMAÇÃO ............ .................................................. ................ 332 3.20 GESTÃO DE RISCO DA CADEIA DE

FORNECIMENTO.......................... .................................................. ....... 363
REFERÊNCIAS ................................................. .................................................. ............................ 374
APÊNDICE A GLOSSÁRIO................................................... .................................................. ............. 394
APÊNDICE B ACRÔNIMOS................................................... .................................................. ........... 424
APÊNDICE C RESUMOS DE CONTROLE............................................. ........................................... 428
xiii
e
g
_________________________________________________________________________________________________
pe
E Sumário executivo
À medida que levamos os computadores ao “limite”, construindo um mundo cada vez mais complexo de sistemas e
dispositivos de informação conectados, a segurança e a privacidade continuarão a dominar o diálogo nacional. No seu relatório
de 2017, Task Force on Cyber Deterrence [DSB 2017], o Defense Science Board (DSB) fornece uma avaliação preocupante
das vulnerabilidades actuais na infra-estrutura crítica dos EUA e nos sistemas de informação que apoiam operações e
activos essenciais à missão no público. e setores privados.
“…A Força-Tarefa observa que a ameaça cibernética à infraestrutura crítica dos EUA está ultrapassando
esforços para reduzir vulnerabilidades generalizadas, de modo que, pelo menos durante a próxima década, os Estados Unidos
deve apoiar-se significativamente na dissuasão para enfrentar a ameaça cibernética representada pelos mais capazes
Adversários dos EUA. É evidente que uma abordagem mais proactiva e sistemática à cibersegurança dos EUA
a dissuasão é urgentemente necessária…”
Há uma necessidade urgente de reforçar ainda mais os sistemas de informação subjacentes, produtos componentes e serviços
dos quais a Nação depende em todos os sectores da infra-estrutura crítica—
assegurar que esses sistemas, componentes e serviços sejam suficientemente fiáveis e proporcionem a resiliência necessária
para apoiar os interesses económicos e de segurança nacional dos Estados Unidos. Esta atualização da Publicação Especial
do NIST (SP) 800-53 responde ao apelo do OSC ao embarcar em uma abordagem proativa e sistêmica para desenvolver e
disponibilizar a uma ampla base de organizações do setor público e privado um conjunto abrangente de medidas de salvaguarda
para todos tipos de plataformas de computação, incluindo sistemas de computação de uso geral, sistemas ciberfísicos, sistemas
baseados em nuvem, dispositivos móveis, dispositivos de Internet das Coisas (IoT), sistemas de armas, sistemas espaciais,
sistemas de comunicações, sistemas de controle ambiental, supercomputadores e sistemas industriais sistemas de
controle. Essas medidas de salvaguarda incluem a implementação de controlos de segurança e privacidade para proteger
as operações e ativos críticos e essenciais das organizações e a privacidade dos indivíduos. Os objetivos são tornar os sistemas
de informação dos quais dependemos mais resistentes à penetração, limitar os danos causados pelos ataques quando
estes ocorrem,
tornar os sistemas ciber-resilientes e capazes de sobreviver e proteger a privacidade dos indivíduos.
A revisão 5 desta publicação fundamental do NIST representa um esforço plurianual para desenvolver a próxima geração de
controles de segurança e privacidade que serão necessários para atingir os objetivos acima. Inclui mudanças para tornar os
controles mais utilizáveis por diversos grupos de consumidores (por exemplo, empresas que realizam missões e funções de
negócios; organizações de engenharia que desenvolvem sistemas de informação, dispositivos IoT e sistemas de
sistemas; e parceiros da indústria que constroem componentes de sistemas, produtos e serviços ). As mudanças mais
significativas neste
publicação incluem:
• Tornar os controles mais baseados em resultados , removendo a entidade responsável pela satisfação do controle (isto é,
sistema de informação, organização) da declaração de controle;
• Integração de controles de privacidade e segurança da informação em um controle contínuo e consolidado

catálogo para sistemas e organizações de informação;
• Estabelecer uma nova família de controlo de gestão de riscos na cadeia de abastecimento;
• Separar os processos de seleção de controle dos controles, permitindo assim que os controles sejam usados por diferentes
comunidades de interesse, incluindo engenheiros de sistemas, arquitetos de segurança, desenvolvedores de software,
arquitetos corporativos, engenheiros de segurança e privacidade de sistemas e proprietários de missões ou negócios;
XIV
e
g
_________________________________________________________________________________________________
pe
E • Remoção das linhas de base de controle e adaptação das orientações da publicação e transferência do conteúdo
para NIST SP 800-53B, Linhas de Base de Controle para Sistemas de Informação e Organizações;
• Esclarecer a relação entre requisitos e controles e a relação entre

controles de segurança e privacidade; e
• Incorporar controles novos e de última geração (por exemplo, controles para apoiar a resiliência cibernética, apoiar
o projeto de sistemas seguros e fortalecer a governança e a responsabilização da segurança e da
privacidade) com base nos mais recentes dados de inteligência sobre ameaças e ataques cibernéticos.
Ao separar o processo de seleção de controle dos controles e remover as linhas de base de controle, uma
quantidade significativa de orientações e outros materiais informativos anteriormente contidos na SP 800-53 foram
eliminados. Esse conteúdo será movido para outras publicações do NIST, como SP
800-37 (Risk Management Framework) e SP 800-53B durante o próximo ciclo de atualização. Num futuro próximo, o
NIST também planeja oferecer o conteúdo do SP 800-53, SP 800-53A e SP 800-53B para um portal baseado na web
para fornecer aos seus clientes acesso on-line interativo a todos os controles, linha de base de controle, sobreposição
e informações de avaliação.
xv
e
g
_________________________________________________________________________________________________
pe
E Prólogo
“…Através do processo de gestão de risco, os líderes devem considerar o risco para os interesses dos EUA
de adversários que utilizam o ciberespaço em seu benefício e dos nossos próprios esforços para empregar a
natureza global do ciberespaço para alcançar objetivos em operações militares, de inteligência e comerciais…
“…Para o desenvolvimento de planos operacionais, a combinação de ameaças, vulnerabilidades e impactos

devem ser avaliados para identificar tendências importantes e decidir onde devem ser aplicados esforços
para eliminar ou reduzir as capacidades de ameaça; eliminar ou reduzir vulnerabilidades; e avaliar, coordenar e
descomplicar todas as operações no ciberespaço…”
“
“…Os líderes em todos os níveis são responsáveis por garantir a prontidão e a segurança no mesmo grau que em
qualquer outro domínio…”
A ESTRATÉGIA NACIONAL PARA OPERAÇÕES CIBERSPACE
ESCRITÓRIO DO PRESIDENTE, CHEFES DE EQUIPE CONJUNTOS , DEPARTAMENTO DE DEFESA DOS EUA
__________
“As redes e a tecnologia da informação [estão] transformando a vida no século 21, mudando a forma como as
pessoas, as empresas e o governo interagem. Grandes melhorias na computação, no armazenamento e nas
comunicações estão a criar novas oportunidades para melhorar o nosso bem-estar social; melhorar a
saúde e os cuidados de saúde; eliminação de barreiras à educação e ao emprego; e aumentar a eficiência
em muitos setores, como manufatura, transporte e agricultura.
A promessa destas novas aplicações deriva muitas vezes da sua capacidade de criar, recolher, transmitir,
processar e arquivar informações em grande escala. No entanto, o grande aumento na quantidade de informação
pessoal que está a ser recolhida e retida, combinado com a maior capacidade de a analisar e combinar com outra
informação, está a criar preocupações válidas sobre a privacidade e sobre a capacidade das entidades para gerir
estes volumes sem precedentes. de dados com responsabilidade…. Um desafio fundamental desta era é garantir
que as capacidades crescentes para criar, capturar, armazenar e processar grandes quantidades de informação
não prejudiquem os valores fundamentais do país….”
“…Quando os sistemas processam informações pessoais, seja coletando, analisando, gerando, divulgando,
retendo ou utilizando as informações de outra forma, eles podem impactar a privacidade dos indivíduos.
Os projetistas de sistemas precisam considerar os indivíduos como partes interessadas no desenvolvimento geral
da solução.…Projetar para a privacidade deve conectar os desejos de privacidade dos indivíduos com os
requisitos e controles do sistema de uma forma que efetivamente conecte as aspirações com o desenvolvimento….”
A ESTRATÉGIA NACIONAL DE PESQUISA DE PRIVACIDADE
CONSELHO NACIONAL DE CIÊNCIA E TECNOLOGIA , PROGRAMA DE PESQUISA E DESENVOLVIMENTO DE REDES E TECNOLOGIA DA INFORMAÇÃO
xvi
e
g
_________________________________________________________________________________________________
pe
E Errata
Esta tabela contém alterações que foram incorporadas à SP 800-53, Revisão 5. As atualizações de erratas podem
incluir correções, esclarecimentos ou outras pequenas alterações na publicação que sejam de natureza editorial ou
substantiva . Quaisquer possíveis atualizações deste documento que ainda não tenham sido publicadas em uma
atualização ou revisão de errata – incluindo problemas adicionais e possíveis correções – serão publicadas à medida
que forem identificadas; consulte os detalhes da publicação SP 800-53, Revisão 5 .
DATA TIPO REVISÃO PÁGINA
Agradecimentos (ODNI): Adicione “Matthew A. Kozma, Diretor de

12-10-2020 Editorial iii
Informações”
Agradecimentos (ODNI): Adicionar “Michael E. Waschull, Diretor Adjunto de

Informações”
Agradecimentos (ODNI): Adicione “Clifford M. Conner, Cybersecurity

Grupo e IC CISO”
Caixa de chamada: Altere “Publicação especial 800-53B contém linhas de base de
12-10-2020 Editorial controle” para “SP 800-53B contém linhas de base de controle de segurança x
e privacidade”
12-10-2020 Editorial Capítulo Um (nota de rodapé 7): Adicione “[SP 800-53A]” 1
Seção 1.4: Excluir “Os controles também foram mapeados de acordo com os
12-10-2020 Editorial requisitos para sistemas de informação federais incluídos em [OMB A-130].” 5
Seção 1.4 (nota de rodapé 23): Excluir “[OMB A-130] estabelece política para
planejamento, orçamento, governança, aquisição e gestão de
12-10-2020 Editorial 5
informações federais, pessoal, equipamentos, fundos, recursos de TI e infraestrutura
e serviços de apoio.”
Seção 2.4 (primeiro parágrafo): Alterar “informações de identificação
12-10-2020 Editorial 13
pessoal (PII)” para “PII”
Controle AC-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
12-10-2020 Editorial negócios; nível de sistema” para “nível de organização; Nível de missão/ processo de 18
negócios; Nível do sistema”
Controle AC-1 Discussão: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 18
“incidentes ou violações de segurança”
Aprimoramento de controle AC-3(2) Discussão: Alterar “deveres de autorização
12-10-2020 Editorial 23
para outros indivíduos” para “deveres de autorização”
Aprimoramento do Controle AC-3(9) Discussão: Alterar “controle de

12-10-2020 Editorial 26
mitigação” para “medida de mitigação”
12-10-2020 Editorial Aprimoramento de controle AC-3(14) Controles relacionados: Adicionar “, PT-6” 28
Aprimoramento de controle AC-4(17): Altere “organização, sistema, aplicação,

12-10-2020 Editorial serviço, indivíduo” para “organização; sistema; aplicativo; serviço; 33
Individual"
Aprimoramento de controle AC-4(25): Altere “Seleção (um ou mais:” para
12-10-2020 Editorial 34
“Seleção (um ou mais):”
12-10-2020 Editorial Controle AC-12: Altere “condições” para “condições” 43
Controle AC-14 Discussão: Altere “atribuição” para “operação de atribuição”

12-10-2020 Editorial 44
Controle AC-19 Discussão: Mude “a rede organizacional” para “sua rede”

12-10-2020 Editorial 52
xvii
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
REVISÃO
Controle AC-19 Discussão: Mudança “Muitos controles para dispositivos

móveis são refletidos em outros controles alocados nas linhas de base de controle
iniciais como pontos de partida para o desenvolvimento de planos de segurança e
sobreposições usando o processo de adaptação. Também pode haver alguma
sobreposição dos controles de segurança dentro das diferentes famílias de
controles.” para “Muitas salvaguardas para dispositivos móveis são refletidas em
outros controles”.
Controle AC-20 Discussão: Mude “sistemas organizacionais” para “sistemas

organizacionais”,
Discussão sobre Aprimoramento de Controle AC-20(3): Altere “AC-20(6)” para
PÁGINA
52
53
54
“AC-20 b.”
Controle AT-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão AT-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 59
Controle AT-2d.: Alterar “incidentes de segurança ou privacidade” para “incidentes
12-10-2020 Editorial 60
ou violações de segurança”
Controle a discussão do AT-2: Altere “incidentes de segurança ou privacidade”

12-10-2020 Editorial 60
para “incidentes ou violações de segurança”
Controle AT-3c.: Alterar “incidentes de segurança ou privacidade” para “incidentes
12-10-2020 Editorial 62
ou violações de segurança”
Controle a discussão AT-3: Altere “incidentes de segurança ou privacidade” para

12-10-2020 Editorial 63
12-10-2020 Editorial Controle Controles relacionados ao AT-3: Altere “IR-10” para “IR-4” 63
Controle a Discussão AT-6: Altere “avaliação e atualização” para “avaliação

12-10-2020 Editorial 64
e atualização”
Controle AT-6 Discussão: Mude “treinamento organizacional” para
12-10-2020 Editorial 64
“treinamento organizacional”
Controle AU-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
Controle a discussão AU-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 65
Controle CA-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
Controle a discussão CA-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 83
Referências de controle CA-1: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 84
A-130]”
12-10-2020 Editorial Referências de controle CA-1: Adicione “[SP 800-137A],” 84
Aprimoramento de controle CA-2(2): Alterar “avaliação de perda de dados” para

12-10-2020 Editorial 86
“avaliação de perda de dados”;
Referências de controle CA-3: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 88
A-130]”
12-10-2020 Editorial Discussão de controle CA-7: Altere “SC-18c” para “SC-18b” 91
Controle CM-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão do CM-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 96
12-10-2020 Editorial Controle CM-2b.2.: Altere “Atribuição” para “Atribuição:” 97
Aprimoramento de controle CM-7(4) Título: Alterar “SOFTWARE NÃO

12-10-2020 Editorial AUTORIZADO” para “SOFTWARE NÃO AUTORIZADO – NEGAR 106
POR EXCEÇÃO”
XVIII
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
Aprimoramento de controle CM-7(5) Título: Alterar “AUTORIZADO

SOFTWARE” para “SOFTWARE AUTORIZADO – PERMITIDO POR EXCEÇÃO”
Controles relacionados ao CM-8: Adicione “CP-9,”

Controle CP-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
negócios; nível de sistema” para “nível de organização; Nível de missão/ processo de
Controle CP-1 Discussão: Altere “incidentes de segurança ou privacidade” para
Controle a discussão do CP-3: Altere “incidentes de segurança ou privacidade”
PÁGINA
106
108
115
115
119
Título do CP-9(7) de aprimoramento de controle: Altere
12-10-2020 Editorial “AUTORIZAÇÃO DUPLA” para “AUTORIZAÇÃO DUPLA PARA EXCLUSÃO OU 127
DESTRUIÇÃO”
Aprimoramento de Controle CP-10(3): Altere “procedimentos de adaptação” para

12-10-2020 Editorial 128
“adaptação”
Controle IA-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
Controle IA-1 Discussão: Alterar “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 131
Discussão sobre Aprimoramento de Controle IA-2(1): Alterar “Cartão de Acesso
12-10-2020 Editorial 132
Comum” para “Cartão de Acesso Comum (CAC)”
Aprimoramento de controle IA-2(7) Título: Altere “ACESSO” para “ACESSO DE REDE”
12-10-2020 Editorial 134
Discussão sobre melhoria de controle IA-8(5): Alterar “Verificação de identidade

12-10-2020 Editorial 145
pessoal (PIV)” para “PIV”
Controle IR-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
Controle a discussão do IR-1: Altere “incidentes de segurança ou privacidade”
12-10-2020 Editorial 149
Aprimoramento de controle IR-2(1) Discussão: Excluir “O treinamento de resposta a
12-10-2020 Editorial incidentes inclui exercícios práticos que simulam uma violação. Consulte IR-2(3). 150
12-10-2020 Editorial Controle Controles relacionados ao IR-4: Adicione “IR-5,” 152

12-10-2020 Editorial Controle Controles relacionados ao IR-5: Adicione “IR-4, IR-6,” 156
Aprimoramento de controle Controles relacionados ao IR-5(1): Altere “AU-7, IR-4”

12-10-2020 Editorial 156
para “Nenhum”
Controle IR-10: Alterar “Análise de Incidentes” para “Equipe Integrada

12-10-2020 Editorial 161
de Análise de Segurança da Informação”
12-10-2020 Editorial Controle IR-10: Altere “Incorporado em” para “Movido para” 161
Controle MA-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão MA-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 162
Aprimoramento de controle MA-4(2): Altere “MA-1, MA-4” para “MA-1 e MA-4”
12-10-2020 Editorial 166
Controle MP-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão do MP-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 171
12-10-2020 Editorial Referências de controle MP-3: Adicione “[EO 13556],” 172
XIX
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
Controle PE-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão PE-1: Altere “incidentes de segurança ou privacidade” para
Aprimoramento de controle PE-3(8) Discussão: Excluir “, ou mantrap,”
Discussão sobre Aprimoramento de Controle PE-3(8): Alterar “Mantraps” para
“Vestibules”
Aprimoramento de controle PE-19(1) Título: Excluir ”AND TEMPEST”

PÁGINA
179
179
183
183
192
Controle PL-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle PL-1 Discussão: Alterar “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 194
Referências do Controle PL-2: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 196
A-130]”
Referências do Controle PL-7: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 198
A-130]”
Discussão do Controle PL-11: Altere “[FISMA] e [PRIVACT]” para “[FISMA],
12-10-2020 Editorial 201
[PRIVACT] e [OMB A-130]”
Controle PM-1 Discussão: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 204
12-10-2020 Editorial Referências de controle PM-2: Adicionar “, [SP 800-181]” 204
12-10-2020 Editorial Referências de controle PM-5: Adicione “[OMB A-130],” 206
12-10-2020 Editorial Referências de controle PM-8: Adicione “[EO 13636],” 207
12-10-2020 Editorial Referências do controle PM-10: Adicionar “, [SP 800-181]” 208
12-10-2020 Editorial Controles relacionados ao PM-11: Adicione “RA-9,” 209
12-10-2020 Editorial Referências de controle PM-12: Adicione “[NITP12],” 210
12-10-2020 Editorial Referências de controle PM-17: Adicione “[SP 800-172],” 212
12-10-2020 Editorial Controles relacionados ao PM-19: Adicionar “, PM-27” 213
12-10-2020 Editorial Referências de controle PM-22: Adicione “[OMB M-19-15],” 216
12-10-2020 Editorial Controles relacionados ao PM-24: Adicione “PT-2,” 216
Referências do Controle PM-24: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 217
A-130]”
12-10-2020 Editorial Controles relacionados ao PM-25: Adicionar “, SI-12” 217
Referências do Controle PM-25: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 217
A-130]”
12-10-2020 Editorial Referências do controle PM-29: Adicionar “, [SP 800-181]” 219
12-10-2020 Editorial Referências de controle PM-30: Adicione “[CNSSD 505],” 220
12-10-2020 Editorial Discussão do Controle PM-31: Alterar “SC-18c” para “SC-18b” 220
12-10-2020 Editorial Referências do controle PM-31: Adicionar “, [SP 800-137A]” 221
Referências do Controle PM-32: Altere “[SP 800-137]” para “[SP 800-160-

12-10-2020 Editorial 221
1], [SP 800-160-2]”
Controle PS-1a.1.: Alterar “nível organizacional; nível de missão/ processo de
Controle a discussão do PS-1: Altere “incidentes de segurança ou privacidade”
12-10-2020 Editorial 222
12-10-2020 Editorial Título PS-3(3) de aprimoramento de controle: Altere “COM” para “REQUIRING” 224
Controle PT-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

12-10-2020 Editorial Controle a discussão do PT-1: Altere “violações de privacidade” para “violações” 229
xx
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
“autorizado”
A-130]”
REVISÃO
Aprimoramento de controle PT-2(1): Altere “permitido” para
Referências do Controle PT-2: Altere “[OMB A-130, Apêndice II]” para “[OMB
Controle PT-3a.: Altere “[Atribuição(s) finalidade(s) definida(s) pela

organização]” para “[Atribuição: finalidade(s) definida(s) pela organização]”
Referências do Controle PT-3: Altere “[OMB A-130, Apêndice II]” para “[OMB
A-130]”
Controles relacionados ao PT-5: Adicione “SC-42,”
PÁGINA
230
231
231
232
234
Aprimoramento de controle PT-6(2): Alterar “[Atribuição: frequência definida pela

12-10-2020 Editorial organização]” para “[Atribuição: frequência definida pela organização]” 235
12-10-2020 Editorial Referências de controle PT-7: Adicione “, [NARA CUI]” 236

12-10-2020 Editorial Referências de controle PT-8: Adicione “[CMPPA],” 237
Controle RA-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

12-10-2020 Editorial negócios; nível de sistema” para “nível de organização; Nível de missão/ processo 238
de negócios; Nível do sistema”
Controle a discussão RA-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 238
12-10-2020 Editorial Referências de controle RA-2: Adicione “, [NARA CUI]” 240
12-10-2020 Editorial Controle Controles relacionados ao RA-3: Adicione “PT-2,” 240
Referências do Controle RA-8: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 247
A-130]”
12-10-2020 Editorial Controles relacionados ao RA-9: Adicione “PM-11,” 247
Controle SA-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão SA-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 249
”
12-10-2020 Editorial Referências de controle SA-2: Adicionar “[SP 800-37], 250
”
12-10-2020 Editorial Referências de controle SA-4: Adicionar “[ISO 29148], 255
Control Enhancement SA-9(5) Discussão: Alterar “incidentes de segurança

12-10-2020 Editorial 273
ou privacidade” para “incidentes de segurança ou violações”
Aprimoramento de controle Título SA-10(2): Alterar “GESTÃO DE
12-10-2020 Editorial CONFIGURAÇÃO ALTERNATIVA” para “PROCESSOS DE 274
GERENCIAMENTO DE CONFIGURAÇÃO ALTERNATIVA”
12-10-2020 Editorial Controle SA-11a.: Alterar “avaliações” para “avaliações de controle” 276
Aprimoramento de controle SA-12(13): Altere “MA-6, RA-9” para “MA-6 e RA-9”

12-10-2020 Editorial 280
Aprimoramento de controle SA-12(14): Altere “SR-4(1), SR-4(2)” para “SR-4(1) e

12-10-2020 Editorial 280
SR-4(2)”
Aprimoramento de Controle SA-17(4)(b): Alterar “demonstração
12-10-2020 Editorial 286
informal” para “demonstração informal”;
Controle SA-23: Altere “modificação de projeto, aumento, reconfiguração”
12-10-2020 Editorial para “projeto; modificação; aumento; Reconfiguraçao" 291
Controle SC-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão SC-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 292
Controle SC-6: Altere “Seleção (um ou mais);” para “Seleção (um ou mais):”
12-10-2020 Editorial 297
xxi
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Substantivo
Substantivo
Substantivo
Substantivo
REVISÃO
Controle SC-7 Discussão: Adicionar “[SP 800-189] fornece informações

adicionais sobre técnicas de validação de endereço de origem para evitar entrada
e saída de tráfego com endereços falsificados.”
Aprimoramento de controle SC-7(4) Discussão: Excluir “O tráfego não autorizado
do plano de controle pode ocorrer por meio de uma técnica conhecida como
falsificação.”
Aprimoramento de controle SC-7(4) Discussão: Alterar “roteamento” para
“roteamento Border Gateway Protocol (BGP)“
Aprimoramento de controle SC-7(4) Discussão: Alterar “gerenciamento” para “protocolos
de gerenciamento” Aprimoramento
PÁGINA
297
298
298
298
de controle SC-7(4) ) Discussão: Adicionar “Consulte [SP 800-189] para obter

informações adicionais sobre o uso da infraestrutura de chave pública de
12-10-2020 Substantivo 298
recursos (RPKI) para proteger rotas BGP e detectar anúncios BGP não autorizados.”
Aprimoramento de controle SC-7(4) Controles relacionados: Adicionar “, SC-20, SC-21,

12-10-2020 Editorial 298
SC-22”
Aprimoramento de controle SC-7(5): Altere “Seleção (uma ou mais);” para

12-10-2020 Editorial 298
“Seleção (um ou mais):”
12-10-2020 Editorial Controle SC-14: Altere “SI-7” para “SI-7 e” 309
Controle SC-17 Discussão: Altere “Infraestrutura de Chave Pública” para

12-10-2020 Editorial 311
“Infraestrutura de chave pública (PKI)”
Controle SC-19: Altere “abordado por outros controles para protocolos” para
12-10-2020 Editorial 313
“abordado como qualquer outra tecnologia ou protocolo”
Aprimoramento de controle SC-30(4) Controles relacionados: Altere “SC-26” para
12-10-2020 Editorial 319
"Nenhum"
Aprimoramento de controle SC-31(2): Altere “Seleção (um ou mais);” para “Seleção

12-10-2020 Editorial 320
(um ou mais):”
12-10-2020 Editorial Controle SC-42b.: Alterar “classe de usuários” para “grupo de usuários” 326
Controle SI-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão SI-1: Altere “incidentes de segurança ou privacidade” para
12-10-2020 Editorial 332
Controle SI-3c.1.: Alterar “Seleção (um ou mais);” para “Seleção (um ou mais):”
12-10-2020 Editorial 334
12-10-2020 Editorial Controle SI-9: Altere “AC-5” para “AC-5 e” 349
Referências do Controle SI-10: Altere “[OMB A-130, Apêndice II]” para “[OMB
12-10-2020 Editorial 351
A-130]”
Aprimoramento de controle SI-12(1): Altere “PII” para “informações de
12-10-2020 Editorial 352
identificação pessoal”
Aprimoramento de controle SI-12(1) Controles relacionados: Exclua “PT-2, PT-3,

12-10-2020 Editorial 352
DIA 3"
Aprimoramento de controle SI-12(3) Controles relacionados: Altere “MP-6” para

12-10-2020 Editorial 353
"Nenhum"
Referências do Controle SI-12: Altere “[OMB A-130, Apêndice II]” para

12-10-2020 Editorial 353
“[OMB A-130]”
12-10-2020 Editorial Controles relacionados ao SI-18: Adicione “PT-2,” 356
12-10-2020 Editorial Aprimoramento de controle SI-18(1) Controles relacionados: Exclua “PM-22,” 357
Aprimoramento de controle SI-18(4) Controles relacionados: Altere “PM-22” para

12-10-2020 Editorial 358
"Nenhum"
12-10-2020 Editorial Referências de controle SI-18: Adicione “[OMB M-19-15],” 358

12-10-2020 Editorial 360
“[OMB A-130]”
12-10-2020 Editorial 361
“[OMB A-130]”
XXII
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
Controle SR-1a.1.: Alterar “nível organizacional; nível de missão/ processo de

Controle a discussão do SR-1: Altere “incidentes de segurança ou privacidade”
Referências de controle SR-1: Adicione “[CNSSD 505],”
Referências de controle SR-2: Adicione “[SP 800-181],”
Referências de controle SR-2: Adicione “[CNSSD 505],”
Aprimoramento de controle SR-5(2) Controles relacionados: Excluir “SR-9”
PÁGINA
363
363
364
365
365
369
Aprimoramento de controle SR-6(1): Alterar “análise organizacional, análise

independente de terceiros, testes organizacionais, testes independentes
12-10-2020 Editorial de terceiros” para “análise organizacional; análise independente de terceiros; 370
testes organizacionais; testes independentes de terceiros”
Referências [ATOM54]: Alterar “Lei de Energia Atômica (PL 107)” para “Lei de
12-10-2020 Editorial 374
Energia Atômica (PL 83-703)”
Referências [ISO 15026-1]: Alteração “Organização Internacional de Padronização/
Comissão Eletrotécnica Internacional (ISO/IEC) 15026-1:2013, Engenharia
de sistemas e software —
Garantia de sistemas e software — Parte 1: Conceitos e vocabulário,
novembro de 2013.
https://www.iso.org/standard/62526.html” para “Organização Internacional de
12-10-2020 Editorial 377
Padronização/Comissão Eletrotécnica Internacional/Instituto de Engenheiros
Elétricos e Eletrônicos (ISO/IEC/IEEE) 15026-1:2019, Engenharia de
sistemas e software -
Garantia de sistemas e software — Parte 1: Conceitos e vocabulário,
março de 2019.
https://www.iso.org/standard/73567.html”
12-10-2020 Editorial Referências: Excluir “[ISO 28001]” 378
Referências [ISO 29148]: Alteração “Organização Internacional para Padronização/

Comissão Eletrotécnica Internacional/Instituto de
Engenheiros Elétricos e Eletrônicos (ISO/IEC/IEEE) 29148:2011, Engenharia
de sistemas e software — Processos de ciclo de vida — Engenharia de requisitos,
dezembro de 2011.
12-10-2020 Editorial https://www.iso.org/standard/45171.html” para “Organização Internacional 379
para Padronização/Comissão Eletrotécnica Internacional/Instituto de Engenheiros
Elétricos e Eletrônicos (ISO/IEC/IEEE) 29148:2018, Engenharia de sistemas
e software - Vida processos de ciclo — Engenharia de requisitos, novembro de 2018.
https://www.iso.org/standard/72089.html”
12-10-2020 Editorial Referências [SP 800-53B]: Altere “Draft NIST” para “NIST” 381
Referências [SP 800-53B]: Altere “https://

12-10-2020 Editorial doi.org/10.6028/NIST.SP.800-53B-draft” para “https://doi.org/ 381
10.6028/NIST.SP.800-53B”
12-10-2020 Editorial Referências: Excluir “[SP 800-58]” 382
Referências: Adicionar “[SP 800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer
R, Rudman R, Urban S (2020) Avaliando Programas de Monitoramento
Contínuo de Segurança da Informação (ISCM): Desenvolvendo uma Avaliação de
12-10-2020 Editorial 387
Programa ISCM. (Instituto Nacional de Padrões e Tecnologia, Gaithersburg,
MD), Publicação Especial NIST (SP) 800-
137A. https://doi.org/10.6028/NIST.SP.800-137A”
12-10-2020 Editorial Referências: Excluir “[SP 800-161-1]” 387
XXIII
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
TIPO
Editorial
REVISÃO
Referências [SP 800-181]: Alterar “Newhouse WD, Witte GA, Scribner B,

Keith S (2017) Estrutura da Força de Trabalho de Segurança Cibernética da
Iniciativa Nacional para Educação em Segurança Cibernética (NICE). (Instituto
Nacional de Padrões e Tecnologia, Gaithersburg, MD), Publicação Especial
NIST (SP) 800-181.
https://doi.org/10.6028/NIST.SP.800-181” para “Petersen R, Santos D, Smith MC,
Wetzel KA, Witte G (2020) Workforce Framework for Cybersecurity (NICE
Framework). (Instituto Nacional de Padrões e Tecnologia, Gaithersburg, MD),
Publicação Especial do NIST (SP)
800-181, Rev.
PÁGINA
388
https://doi.org/10.6028/NIST.SP.800-181r1”
Referências [DODTERMS]: Altere “http://
www.dtic.mil/dtic/tr/fulltext/u2/a485800.pdf” para “https://www.jcs.mil/
12-10-2020 Editorial 391
Portals/36/Documents/Doctrine/pubs /dicção
e.pdf"
Apêndice A Glossário (falsificado): Altere “[SP 800-161-1]” para [SP 800-161]”
12-10-2020 Editorial 400
12-10-2020 Editorial Apêndice A Glossário (fornecedor): Excluir “[SP 800-161-1]” 419

12-10-2020 Editorial Apêndice A Glossário (cadeia de fornecimento): Excluir “[SP 800-161-1]” 419
12-10-2020 Editorial Apêndice A Glossário (risco da cadeia de fornecimento): Excluir “[SP 800-161-1]” 420
Apêndice A Glossário (avaliação de risco da cadeia de suprimentos): Excluir

12-10-2020 Editorial 420
“[SP 800-161-1]”
Apêndice A Glossário (gestão de riscos da cadeia de suprimentos): Excluir “[SP
12-10-2020 Editorial 420
800-161-1]”
12-10-2020 Editorial Apêndice B Siglas: Adicionar “BGP Border Gateway Protocol” 424
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Cartão de Acesso Comum CAC” 424
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Conceito de Operações CONOPS” 424
12-10-2020 Editorial Apêndice B Siglas: Adicionar “DSB Defense Science Board” 424
Apêndice B Siglas: Adicionar “FICAM Federal Identity, Credential, and Access

12-10-2020 Editorial 425
Management”
Apêndice B Siglas: Adicione “IEEE Institute of Electrical and Electronics
12-10-2020 Editorial 425
Engineers”
Apêndice B Siglas: Adicionar “Centros de Análise e Compartilhamento de
12-10-2020 Editorial 425
Informações ISAC”
Apêndice B Siglas: Adicionar “Compartilhamento e Análise de Informações ISAO

12-10-2020 Editorial 425
Organizações”
Apêndice B Siglas: Adicionar “ITL Information Technology
12-10-2020 Editorial 425
Laboratório"
12-10-2020 Editorial Apêndice B Siglas: Adicione “MLS Multilevel Secure” 425
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Acordo de Não Divulgação NDA” 426
Apêndice B Siglas: Adicionar “ODNI Office of the Director of National

12-10-2020 Editorial 426
Inteligência"
12-10-2020 Editorial Apêndice B Siglas: Adicionar “OPM Office of Personnel Management” 426
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Sistema de Designação de Posição PDS” 426
Apêndice B Siglas: Adicionar “Chave Pública de Recurso RPKI

12-10-2020 Editorial 426
A infraestrutura"
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Gerenciamento de Risco da Cadeia de Suprimentos SCRM” 426
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Ciclo de Vida de Desenvolvimento do Sistema SDLC” 426
Apêndice B Siglas: Adicione “Informações e Eventos de Segurança SIEM

12-10-2020 Editorial 426
Gerenciamento"
12-10-2020 Editorial Apêndice B Siglas: Adicionar “Identificação de Software SWID” 427
12-10-2020 Editorial Apêndice B Siglas: Adicione “TIC Trusted Internet Connections” 427
Acrônimos do Apêndice B: Adicionar “UEFI Unified Extensible Firmware

12-10-2020 Editorial 427
Interface"
XXIV
e
g
_________________________________________________________________________________________________
pe
E DATA
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
12-10-2020
TIPO
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
Editorial
REVISÃO
Apêndice B Siglas: Adicione “Fonte de Alimentação Ininterrupta UPS”

Apêndice C Resumos de Controle: Altere “w” para “W”
Tabela C-1 (AC-3(1)) Título: Altere “FUNCTION” para “FUNCTIONS”
Tabela C-1 (AC-3(6)): Alterar “MP-4, SC-28” para “MP-4 e SC-28”
Tabela C-1 (AC-13): Alterar “AC-2, AU-6” para “AC-2 e AU-6”
Tabela C-3 (AU-7(2)) Título: Altere “SEARCH AND SORT” para “SORT
E PESQUISA”
Tabela C-3 AU-15: Alterar “Incorporado em” para “Movido para”

Tabela C-4 (CA-3(1)) Título: Altere “CONNECTIONS” para “SYSTEM
PÁGINA
427
428
429
429
431
434
435
12-10-2020 Editorial 436

CONEXÕES”
Tabela C-5 (CM-7(4)) Título: Altere “SOFTWARE NÃO AUTORIZADO” para

12-10-2020 Editorial 437
“SOFTWARE NÃO AUTORIZADO – NEGAÇÃO POR EXCEÇÃO”
Tabela C-5 (CM-7(5)) Título: Alterar “SOFTWARE AUTORIZADO” para

12-10-2020 Editorial 437
“SOFTWARE AUTORIZADO – PERMITIDO POR EXCEÇÃO”
12-10-2020 Editorial Tabela C-5: Excluir linha duplicada CM-8(5). 438
Tabela C-6 (CP-9(7)) Título: Alterar “AUTORIZAÇÃO DUPLA” para “AUTORIZAÇÃO

12-10-2020 Editorial 440
DUPLA PARA EXCLUSÃO OU DESTRUIÇÃO”
12-10-2020 Editorial Tabela C-7 (IA-5(11)): Alterar “IA-2(1)(2)” para “IA-2(1) e IA-2(2)” 441
Tabela C-8 (IR-10) Título: Alteração “Segurança Integrada da Informação

12-10-2020 Editorial 444
Análise” para “Equipe de Análise Integrada de Segurança da Informação”
12-10-2020 Editorial Tabela C-9 (MA-4(2)): Alterar “MA-1, MA-4” para “MA-1 e MA-4” 445
12-10-2020 Editorial Tabela C-11 (PE-7): Alterar “PE-2, PE-3” para “PE-2 e PE-3” 447
12-10-2020 Editorial Tabela C-11 (PE-19(1)) Título: Excluir ”AND TEMPEST” 448
12-10-2020 Editorial Tabela C-14 (PS-3(1)) Título: Alterar “INFORMAÇÃO” para “INFORMAÇÃO” 451
12-10-2020 Editorial Tabela C-14 (PS-3(3)) Título: Alterar “COM” para “REQUIRING” 451
12-10-2020 Editorial Tabela C-17 (SA-6): Alterar “CM-10, SI-7” para “CM-10 e SI-7” 454
12-10-2020 Editorial Tabela C-17 (SA-7): Alterar “CM-11, SI-7” para “CM-11 e SI-7” 454
12-10-2020 Editorial Tabela C-17 (SA-12(13)): Alterar “MA-6, RA-9” para “MA-6 e RA-9” 456
12-10-2020 Editorial Tabela C-17 (SA-12(14)): Alterar “SR-4(1)(2)” para “SR-4(1) e SR-4(2)” 456
12-10-2020 Editorial Tabela C-17 (SA-12(15)) Título: Alterar “PROCESSO” para “PROCESSOS” 456
Tabela C-18 (SC-7(25)) Título: Alterar “CONNECTIONS” para “SYSTEM

12-10-2020 Editorial 459
CONEXÕES”
12-10-2020 Editorial Tabela C-18 (SC-12(4)): Alterar “SC-12” para “SC-12(3)” 459
12-10-2020 Editorial Tabela C-18 (SC-12(5)): Alterar “SC-12” para “SC-12(3)” 459
12-10-2020 Editorial Tabela C-18 (SC-14): Altere “SI-7” para “SI-7 e” 459
Tabela C-18 (SC-19): Altere “abordado por outros controles para

12-10-2020 Editorial 460
protocolos” para “abordado como qualquer outra tecnologia ou protocolo”.
12-10-2020 Editorial Tabela C-19 (SI-9): Altere “AC-5” para “AC-5 e” 463
Tabela C-19 (SI-19(7)) Título: Alterar “SOFTWARE” para “AND

12-10-2020 Editorial 464
SOFTWARE”
xxxv
e
g
_________________________________________________________________________________________________
pe
E CAPÍTULO UM
INTRODUÇÃO
A NECESSIDADE DE PROTEGER INFORMAÇÕES, SISTEMAS, ORGANIZAÇÕES E INDIVÍDUOS
Os sistemas de informação modernos1 podem incluir uma variedade de plataformas de computação (por exemplo, plataformas industriais).
sistemas de controle, sistemas de computação de uso geral, sistemas ciberfísicos, supercomputadores,

sistemas de armas, sistemas de comunicações, sistemas de controle ambiental, dispositivos médicos,
dispositivos incorporados, sensores e dispositivos móveis, como smartphones e tablets). Todas essas plataformas
compartilham uma base comum: computadores com hardware, software e firmware complexos que fornecem uma
capacidade que dá suporte à missão essencial e às funções de negócios das organizações.2
Os controlos de segurança são as salvaguardas ou contramedidas utilizadas num sistema ou numa organização para
proteger a confidencialidade, integridade e disponibilidade do sistema e das suas informações e para gerir o risco de
segurança da informação3. Os controles de privacidade são as salvaguardas administrativas, técnicas e físicas empregadas
em um sistema ou organização para gerenciar riscos de privacidade e garantir a conformidade com os requisitos de
4
privacidade aplicáveis. Segurança e
os controles de privacidade são selecionados e implementados para satisfazer os requisitos de segurança e privacidade
cobrado de um sistema ou organização. Os requisitos de segurança e privacidade derivam de leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e necessidades de missão aplicáveis para garantir a confidencialidade,
integridade e disponibilidade das informações processadas, armazenadas ou transmitidas e para gerenciar riscos à
privacidade individual.
A selecção, concepção e implementação de controlos de segurança e privacidade5 são tarefas importantes que têm
implicações significativas para as operações6 e activos das organizações, bem como para o bem-estar dos indivíduos e da
Nação. As organizações devem responder a diversas questões importantes ao abordar a segurança da informação e os
controles de privacidade:
• Quais controles de segurança e privacidade são necessários para satisfazer os requisitos de segurança e privacidade
e gerenciar adequadamente os riscos de missão/negócio ou riscos para os indivíduos?
• Os controles selecionados foram implementados ou existe um plano para fazê-lo?
• Qual é o nível de garantia exigido (ou seja, motivos de confiança) de que os controles selecionados, conforme
projetados e implementados, são eficazes?7
1 Um sistema de informação é um conjunto discreto de recursos de informação organizados para a coleta, processamento, manutenção, uso,
compartilhamento, disseminação ou disposição de informações [OMB A-130].
2 O termo organização descreve uma entidade de qualquer tamanho, complexidade ou posicionamento dentro de uma estrutura organizacional (por
exemplo, uma agência federal ou, conforme apropriado, qualquer um dos seus elementos operacionais).
3 Os dois termos segurança da informação e segurança são usados como sinônimos nesta publicação.
4 [OMB A-130] define controles de segurança e privacidade.
5 Os controles fornecem salvaguardas e contramedidas nos processos de segurança de sistemas e engenharia de privacidade para reduzir riscos durante o ciclo de vida de desenvolvimento
do sistema.
6 As operações organizacionais incluem missão, funções, imagem e reputação.
7 A eficácia do controle de segurança e privacidade aborda até que ponto os controles são implementados corretamente, operando conforme pretendido
e produzindo o resultado desejado no que diz respeito ao cumprimento dos requisitos de segurança e privacidade designados [SP 800-53A].
CAPÍTULO UM PÁGINA 1
e
g
_________________________________________________________________________________________________
pe
E As respostas a estas questões não são dadas isoladamente, mas sim no contexto de um processo de gestão
de riscos para a organização que identifica, avalia, responde e monitoriza continuamente os riscos de segurança
e privacidade decorrentes das suas informações e sistemas.
8O
Os controles de segurança e privacidade nesta publicação são recomendados para uso pelas organizações para
satisfazer seus requisitos de segurança e privacidade da informação. O catálogo de controle pode ser visto como
uma caixa de ferramentas contendo uma coleção de salvaguardas, contramedidas, técnicas e processos
para responder aos riscos de segurança e privacidade. Os controles são empregados como parte de um processo de
gerenciamento de risco bem definido que dá suporte a programas organizacionais de segurança e privacidade da
informação. Por sua vez, esses programas de segurança e privacidade da informação estabelecem as bases para o
sucesso da missão e das funções comerciais da organização.
É importante que os funcionários responsáveis compreendam os riscos de segurança e privacidade que podem
afetar negativamente as operações e os ativos organizacionais, os indivíduos, outras organizações e a Nação.
9
Estes funcionários também devem compreender o estado actual dos seus programas de segurança e
privacidade e os controlos planeados ou em vigor para proteger a informação, os sistemas de informação e as
organizações, a fim de fazer julgamentos e investimentos informados que respondam aos riscos identificados de
uma forma aceitável. O objetivo é gerir estes riscos através da seleção e implementação de controles de segurança
e privacidade.
1.1 OBJETIVO E APLICABILIDADE

Esta publicação estabelece controles para sistemas e organizações. Os controles podem ser implementados
em qualquer organização ou sistema que processe, armazene ou transmita informações.
O uso desses controles é obrigatório para sistemas de informação federais10 de acordo com a Circular A-130
do Escritório de Gestão e Orçamento (OMB) [OMB A-130] e as disposições da Lei Federal de Modernização da
Segurança da Informação11 [FISMA], que exige a implementação
12
de controles mínimos para proteger informações federais e sistemas de informação. Esta publicação,
juntamente com outras publicações de apoio do NIST, foi projetado para ajudar as organizações a identificar os
controles de segurança e privacidade necessários para gerenciar riscos e satisfazer os requisitos de segurança
e privacidade da FISMA, a Lei de Privacidade de 1974 [ PRIVACT], políticas OMB (por exemplo, [OMB A -130])
e Padrões Federais de Processamento de Informações (FIPS) designados, entre outros. Ele atinge esse objetivo
fornecendo um catálogo abrangente e flexível de controles de segurança e privacidade
para atender às necessidades de proteção atuais e futuras com base em ameaças, vulnerabilidades,
requisitos e tecnologias em constante mudança. A publicação também melhora a comunicação entre
organizações, fornecendo um léxico comum que apoia a discussão de conceitos de segurança, privacidade e
gestão de riscos.
8 A Estrutura de Gestão de Riscos em [SP 800-37] é um exemplo de um processo abrangente de gestão de riscos.
9 Isto inclui riscos para infraestruturas críticas e recursos-chave descritos em [HSPD-7].
10 Um sistema de informação federal é um sistema de informação usado ou operado por uma agência, um contratante de uma agência ou
outra organização em nome de uma agência.
11 Os sistemas de informação que foram designados como sistemas de segurança nacional, conforme definido em 44 USC, Seção
3542, não estão sujeitos aos requisitos da [FISMA]. Contudo, os controles estabelecidos nesta publicação podem ser selecionados para
sistemas de segurança nacional conforme exigido de outra forma (por exemplo, a Lei de Privacidade de 1974) ou com a aprovação
de autoridades federais que exerçam autoridade política sobre tais sistemas. [CNSSP 22] e [CNSSI 1253] fornecem orientações
para sistemas de segurança nacional. [DODI 8510.01] fornece orientação para o Departamento de Defesa.
12 Embora os controles estabelecidos nesta publicação sejam obrigatórios para sistemas e organizações de informação federais, outras
organizações, como governos estaduais, locais e tribais, bem como organizações do setor privado, são incentivadas a considerar o uso
dessas diretrizes, conforme apropriado. Consulte [SP 800-53B] para linhas de base de controle federal.
e
g
_________________________________________________________________________________________________
pe
E Finalmente, os controles são independentes do processo empregado para selecioná-los. O
processo de seleção de controle pode fazer parte de um processo de gerenciamento de riscos em toda a organização, um
processo de engenharia de sistemas [SP 800-160-1], 13
a Estrutura de Gestão de Risco [SP 800-37],
o Quadro de Segurança Cibernética [NIST CSF] ou o Quadro de Privacidade [NIST PF].
leis federais, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A combinação de um catálogo de
controles de segurança e privacidade e um processo de seleção de controles baseado em risco pode ajudar as organizações
a cumprir os requisitos declarados de segurança e privacidade, obter segurança adequada para seus sistemas de informação
e proteger a privacidade dos indivíduos.
14 O controle
Os critérios de seleção podem ser orientados e informados por muitos fatores, incluindo a missão e as necessidades do negócio,
as necessidades de proteção das partes interessadas, as ameaças, as vulnerabilidades e os requisitos para cumprir com
1.2 PÚBLICO-ALVO
Esta publicação destina-se a atender um público diversificado, incluindo:
• Indivíduos com responsabilidades de sistema, segurança da informação, privacidade ou gerenciamento de riscos e

supervisão, incluindo funcionários responsáveis pela autorização, diretores de informação, diretores seniores de
segurança da informação de agências e funcionários seniores de agências para privacidade;
• Indivíduos com responsabilidades de desenvolvimento de sistemas, incluindo proprietários de missões, programas

gerentes, engenheiros de sistemas, engenheiros de segurança de sistemas, engenheiros de privacidade, desenvolvedores
de hardware e software, integradores de sistemas e funcionários de aquisições ou aquisições;
• Indivíduos com responsabilidades logísticas ou relacionadas com a disposição, incluindo gestores de programas,
funcionários de aquisições, integradores de sistemas e gestores de propriedades;
• Indivíduos com responsabilidades de implementação e operações de segurança e privacidade,

incluindo proprietários de missões ou negócios, proprietários de sistemas, proprietários ou administradores de informações,
administradores de sistemas, planejadores de continuidade e responsáveis pela segurança ou privacidade do sistema;
• Indivíduos com responsabilidades de avaliação e monitoramento de segurança e privacidade, incluindo

auditores, inspetores-gerais, avaliadores de sistemas, avaliadores de controle, verificadores e validadores independentes
e analistas; e
• Entidades comerciais, incluindo parceiros da indústria, produzindo produtos componentes e

sistemas, criando tecnologias de segurança e privacidade ou fornecendo serviços ou capacidades que apoiam a segurança
ou privacidade da informação.
1.3 RESPONSABILIDADES ORGANIZACIONAIS
Gerenciar riscos de segurança e privacidade é uma tarefa complexa e multifacetada que requer:
• Requisitos de segurança e privacidade bem definidos para sistemas e organizações;
• A utilização de componentes de sistemas de informação confiáveis, baseados em processos de desenvolvimento e

aquisição de hardware, firmware e software de última geração;
13 A gestão de riscos é parte integrante da engenharia de sistemas, da engenharia de segurança de sistemas e da engenharia de privacidade.
14
[OMB A-130] exige que as agências federais implementem a Estrutura de Gerenciamento de Risco do NIST para a seleção de
controles para sistemas de informação federais. [EO 13800] exige que as agências federais implementem a Estrutura NIST para Melhorar a
Segurança Cibernética de Infraestruturas Críticas para gerenciar o risco de segurança cibernética. As estruturas do NIST também estão
disponíveis para organizações não federais como recursos opcionais.
e
g
_________________________________________________________________________________________________
pe
E • Rigoroso planejamento de segurança e privacidade e gerenciamento do ciclo de vida de desenvolvimento de sistemas;
• A aplicação de princípios e práticas de engenharia de segurança e privacidade de sistemas para desenvolver e

integrar com segurança componentes de sistema em sistemas de informação;
• O emprego de práticas de segurança e privacidade que sejam devidamente documentadas e integradas e apoiem
os processos institucionais e operacionais das organizações; e
• Monitoramento contínuo dos sistemas de informação e das organizações para determinar a eficácia contínua dos controles,
as mudanças nos sistemas de informação e nos ambientes de operação, e o estado de segurança e privacidade em
toda a organização.
As organizações avaliam continuamente os riscos de segurança e privacidade para as operações e ativos organizacionais,
indivíduos, outras organizações e a Nação. Os riscos de segurança e privacidade surgem do planejamento e execução da
missão organizacional e das funções de negócios, da colocação em operação de sistemas de informação ou da continuidade
das operações do sistema. Avaliações realistas de risco exigem uma compreensão completa da suscetibilidade a ameaças
com base nas vulnerabilidades específicas em sistemas e organizações de informação e na probabilidade e potenciais
impactos adversos de explorações bem-sucedidas de tais vulnerabilidades por essas ameaças.15 As avaliações de risco
também exigem uma compreensão dos riscos de privacidade. .16
Para atender às preocupações da organização sobre avaliação e determinação de riscos, os requisitos de segurança e
privacidade são satisfeitos com o conhecimento e compreensão do
estratégia de gerenciamento de riscos organizacionais. 17 A estratégia de gestão de risco considera o custo,
questões de cronograma, desempenho e cadeia de suprimentos associadas ao projeto, desenvolvimento, aquisição,
implantação, operação, sustentação e descarte de sistemas organizacionais. Um processo de gerenciamento de risco é então
18
aplicado para gerenciar o risco de forma contínua.
O catálogo de controles de segurança e privacidade pode ser usado com eficácia para proteger organizações, indivíduos
e sistemas de informação contra ameaças persistentes tradicionais e avançadas e riscos à privacidade decorrentes do
processamento de informações de identificação pessoal (PII) em diversos cenários operacionais, ambientais e técnicos.
Os controles podem ser usados para demonstrar conformidade com uma variedade de requisitos de segurança e privacidade
governamentais, organizacionais ou institucionais. As organizações têm a responsabilidade de selecionar os controles de
segurança e privacidade apropriados, de implementar os controles corretamente e de demonstrar a eficácia dos
controles no cumprimento dos requisitos de segurança e privacidade.19 Os controles de segurança e privacidade também
podem ser usados no desenvolvimento de linhas de base especializadas ou sobreposições para missões ou aplicações de
negócios únicas ou especializadas, sistemas de informação, preocupações com ameaças, ambientes operacionais, tecnologias
ou comunidades de interesse.20
15 [SP 800-30] fornece orientação sobre o processo de avaliação de riscos.

16 [IR 8062] introduz conceitos de risco de privacidade.
17 [SP 800-39] fornece orientação sobre processos e estratégias de gestão de riscos.
18 [SP 800-37] fornece um processo abrangente de gerenciamento de riscos.
19 [SP 800-53A] fornece orientação sobre a avaliação da eficácia dos controles.
20 [SP 800-53B] fornece orientação para adaptar as linhas de base do controle de segurança e privacidade e para desenvolver sobreposições para
apoiar as necessidades e requisitos específicos de proteção das partes interessadas e das suas organizações.
e
g
_________________________________________________________________________________________________
pe
E As avaliações de risco organizacional são usadas, em parte, para informar o processo de seleção do controle
de segurança e privacidade. O processo de seleção resulta em um conjunto acordado de controles de
segurança e privacidade que abordam missões específicas ou necessidades de negócios consistentes
com a tolerância ao risco organizacional.21 O processo preserva, na medida do possível, a agilidade e a
flexibilidade que as organizações precisam para lidar com um ambiente cada vez mais sofisticado. e espaço
para ameaças hostis, requisitos de missão e negócios, tecnologias em rápida mudança, cadeias de suprimentos complexas e muitos
tipos de ambientes operacionais.
1.4 RELAÇÃO COM OUTRAS PUBLICAÇÕES
Esta publicação define controles para satisfazer um conjunto diversificado de requisitos de segurança e
privacidade que foram impostos aos sistemas e organizações de informação e que são consistentes e
complementares a outros padrões nacionais e internacionais reconhecidos de segurança e privacidade da
informação. Para desenvolver um conjunto de controles amplamente aplicável e tecnicamente sólido para
sistemas e organizações de informação, muitas fontes foram consideradas durante o desenvolvimento desta
publicação. Essas fontes incluíam requisitos e controles das comunidades de manufatura, defesa, finanças,
saúde, transporte, energia, inteligência, controle industrial e auditoria, bem como organizações de padronização
nacionais e internacionais. Além disso, os controles nesta publicação são usados pela comunidade de
segurança nacional em publicações como a Instrução nº 1253 do Comitê de Sistemas de Segurança Nacional
(CNSS) [CNSSI 1253] para fornecer orientações específicas para sistemas designados como sistemas de
segurança nacional. Sempre que possível, os controles foram mapeados de acordo com padrões internacionais
para ajudar a garantir a máxima usabilidade e aplicabilidade.22 A relação desta publicação com outras
publicações sobre gerenciamento de riscos, segurança, privacidade e publicações pode ser encontrada em
[FISMA IMP].
1.5 REVISÕES E EXTENSÕES
Os controles de segurança e privacidade descritos nesta publicação representam as medidas de proteção

mais modernas para indivíduos, sistemas de informação e organizações. Os controles são revisados e
revisados periodicamente para refletir a experiência adquirida com o uso dos controles; leis, ordens executivas,
diretivas, regulamentos, políticas e padrões novos ou revisados; mudanças nos requisitos de segurança e
privacidade; ameaças emergentes, vulnerabilidades, ataques e métodos de processamento de informações;
e a disponibilidade de novas tecnologias.
Espera-se também que os controlos de segurança e privacidade no catálogo de controlos mudem ao longo do
tempo à medida que os controlos são retirados, revistos e adicionados. Além da necessidade de mudança, a
necessidade de estabilidade é abordada exigindo que as modificações propostas aos controlos de segurança e
privacidade passem por um processo de revisão pública rigoroso e transparente para obter feedback do sector
público e privado e para construir um consenso para tal mudança. O processo de revisão fornece um conjunto
tecnicamente sólido, flexível e estável de controles de segurança e privacidade para as organizações que usam o
catálogo de controles.
1.6 ORGANIZAÇÃO DE PUBLICAÇÃO
O restante desta publicação especial está organizado da seguinte forma:
21 Os responsáveis autorizados ou seus representantes designados, ao aceitarem os planos de segurança e privacidade, concordam com os controles de
segurança e privacidade propostos para atender aos requisitos de segurança e privacidade para organizações e sistemas.
22 As tabelas de mapeamento estão disponíveis em [SP 800-53 RES].
e
g
_________________________________________________________________________________________________
pe
E • O Capítulo Dois descreve os conceitos fundamentais associados aos controles de segurança e
privacidade, incluindo a estrutura dos controles, como os controles são organizados no catálogo
consolidado, abordagens de implementação de controle, a relação entre controles de segurança e
privacidade, e confiabilidade e garantia.
• O Capítulo Três fornece um catálogo consolidado de controles de segurança e privacidade, incluindo um

seção de discussão para explicar a finalidade de cada controle e fornecer informações úteis sobre a
implementação e avaliação do controle, uma lista de controles relacionados para mostrar os
relacionamentos e dependências entre os controles e uma lista de referências para publicações
de apoio que podem ser úteis para as organizações.
• Referências, Glossário, Siglas e Resumos de Controle fornecem informações adicionais sobre o uso
23
de controles de segurança e privacidade.
23Salvo indicação em contrário, todas as referências às publicações do NIST referem-se à versão mais recente dessas publicações.
e
g
_________________________________________________________________________________________________
pe
E CAPÍTULO DOIS
OS FUNDAMENTOS
ESTRUTURA, TIPO E ORGANIZAÇÃO DOS CONTROLES DE SEGURANÇA E PRIVACIDADE
Este capítulo apresenta os conceitos fundamentais associados aos controlos de segurança e privacidade, incluindo
a relação entre requisitos e controlos, a estrutura dos controlos, a forma como os controlos são organizados no
catálogo de controlo consolidado, as diferentes abordagens de implementação de controlo para sistemas de
informação e organizações, a relação entre controles de segurança e privacidade, a importância dos conceitos
de confiabilidade e garantia para controles de segurança e privacidade e os efeitos dos controles na obtenção de
sistemas confiáveis, seguros e resilientes.
2.1 REQUISITOS E CONTROLES

É importante compreender a relação entre requisitos e controles. Para políticas federais de segurança e
privacidade da informação, o termo requisito é geralmente usado para se referir às obrigações de segurança
e privacidade da informação impostas às organizações. Por exemplo, [OMB A-130] impõe requisitos de
segurança e privacidade da informação que as agências federais devem cumprir ao gerenciar recursos de
informação. O termo requisito também pode ser usado num sentido mais amplo para se referir a uma
expressão das necessidades de proteção das partes interessadas para um determinado sistema ou organização.
As necessidades de proteção das partes interessadas e os correspondentes requisitos de segurança e
privacidade podem ser derivados de muitas fontes (por exemplo, leis, ordens executivas, diretivas,
regulamentos, políticas, padrões, missão e necessidades comerciais ou avaliações de risco). O termo requisito,
tal como utilizado nesta diretriz, inclui requisitos legais e políticos, bem como uma expressão do conjunto mais
amplo de necessidades de proteção das partes interessadas que podem ser derivadas de outras fontes. Todos
esses requisitos, quando aplicados a um sistema, ajudam a determinar a necessidade
características do sistema – abrangendo segurança, privacidade e garantia.24
As organizações podem dividir os requisitos de segurança e privacidade em categorias mais granulares,

dependendo de onde os requisitos são empregados no ciclo de vida de desenvolvimento do sistema (SDLC)
e com que finalidade. As organizações podem usar o termo requisito de capacidade para descrever uma capacidade
que o sistema ou organização deve fornecer para satisfazer uma necessidade de proteção das partes
interessadas. Além disso, as organizações podem referir-se aos requisitos de sistema que pertencem a
componentes específicos de hardware, software e firmware de um sistema como requisitos de especificação – isto
é, capacidades que implementam todo ou parte de um controle e que podem ser avaliadas (isto é, como parte de
um controle). os processos de verificação, validação, teste e avaliação). Finalmente, as organizações podem usar o
termo declaração de requisitos de trabalho para se referir a ações que devem ser executadas operacionalmente
ou durante o desenvolvimento do sistema.
24 As características do sistema que afetam a segurança e a privacidade variam e incluem o tipo e a função do sistema em
termos da sua finalidade principal; a composição do sistema em termos de elementos tecnológicos, mecânicos, físicos e
humanos; os modos e estados dentro dos quais o sistema entrega as suas funções e serviços; a criticidade ou importância
do sistema e das funções e serviços que o constituem; a sensibilidade dos dados ou informações processados,
armazenados ou transmitidos; a consequência da perda, falha ou degradação relativa à capacidade do sistema de funcionar
corretamente e de fornecer sua própria proteção (isto é, autoproteção); e valor monetário ou outro [SP 800-160-1].
CAPÍTULO DOIS PÁGINA 7

e
g
_________________________________________________________________________________________________
pe
E Os controles podem ser vistos como descrições das salvaguardas e capacidades de proteção apropriadas para alcançar os
objetivos específicos de segurança e privacidade da organização e refletindo as necessidades de proteção das partes
interessadas organizacionais. Os controles são selecionados e implementados pela organização para satisfazer os requisitos
do sistema. Os controles podem incluir administrativos,
aspectos técnicos e físicos. Em alguns casos, a seleção e implementação de um controle pode exigir especificações
adicionais por parte da organização na forma de requisitos derivados
ou valores de parâmetros de controle instanciados. Os requisitos derivados e os valores dos parâmetros de controle
podem ser necessários para fornecer o nível apropriado de detalhes de implementação para controles específicos dentro do
SDLC.
2.2 ESTRUTURA E ORGANIZAÇÃO DE CONTROLE
Os controles de segurança e privacidade descritos nesta publicação possuem organização e estrutura bem definidas. Para
facilidade de uso no processo de seleção e especificação de controle de segurança e privacidade,
25
os controles são organizados em 20 famílias. Cada família contém controles relacionados ao
tema específico da família. Um identificador de dois caracteres identifica exclusivamente cada família de controle
(por exemplo, PS para Segurança Pessoal). Os controles de segurança e privacidade podem envolver aspectos de
política, supervisão, processos manuais e mecanismos automatizados que são implementados por sistemas ou ações de
indivíduos. A Tabela 1 lista as famílias de controle de segurança e privacidade e suas
identificadores de família associados.
TABELA 1: FAMÍLIAS DE SEGURANÇA E CONTROLE DE PRIVACIDADE
EU IA FAMÍLIA EU IA FAMÍLIA
AC Controle de acesso SOBRE

Proteção Física e Ambiental
NO Conscientização e Treinamento PT Planejamento
NO Auditoria e Responsabilidade Gerenciamento do programa PM

QUE Avaliação, Autorização e Monitoramento PS Segurança Pessoal
Gerenciamento de configuração CM PT Processamento e transparência de PII

CP Planejamento de contingência DA Avaliação de risco
IA Identificação e Autenticação sobre Aquisição de Sistemas e Serviços

E Resposta a Incidentes SC Proteção de sistemas e comunicações
Manutenção MA E Integridade de sistemas e informações
Proteção de mídia MP RS Gestão de Risco da Cadeia de Suprimentos
As famílias de controles contêm controles básicos e aprimoramentos de controle, que estão diretamente relacionados aos
seus controles básicos. Os aprimoramentos de controle adicionam funcionalidade ou especificidade a um controle básico
ou aumentam a força de um controle básico. Os aprimoramentos de controle são usados em sistemas e ambientes de
operação que exigem maior proteção do que a proteção fornecida pelo controle básico. A necessidade das organizações
selecionarem e implementarem melhorias de controle se deve aos potenciais impactos organizacionais ou individuais
adversos ou quando as organizações exigem acréscimos à funcionalidade de controle base ou garantia com base em
avaliações de risco. O
25 Das 20 famílias de controle no NIST SP 800-53, 17 estão alinhadas com os requisitos mínimos de segurança em [FIPS 200].
As famílias de gerenciamento de programas (PM), processamento e transparência de PII (PT) e gerenciamento de riscos da cadeia de suprimentos
(SR) abordam considerações de gerenciamento de programas, privacidade e riscos da cadeia de suprimentos em nível empresarial relativas a mandatos
federais emergentes desde [FIPS 200].

e
g
_________________________________________________________________________________________________
pe
E a seleção e implementação de melhorias de controle sempre requer a seleção e implementação do controle básico.
As famílias estão organizadas em ordem alfabética, enquanto os controles e aprimoramentos de controle dentro de cada
família estão em ordem numérica. A ordem das famílias, controles e melhorias de controle não implica qualquer
progressão lógica, nível de priorização ou importância, ou ordem na qual os controles ou melhorias de controle devem ser
implementados. Em vez disso, reflete a ordem em que foram incluídos no catálogo. As designações de controle não são
reutilizadas quando um controle é retirado.
Os controles de segurança e privacidade têm a seguinte estrutura: uma seção de controle básico , uma seção de discussão
seção, uma seção de controles relacionados , uma seção de aprimoramentos de controle e uma seção de referências .
A Figura 1 ilustra a estrutura de um controle típico.
Identificador de controle Nome do controle
Parâmetro definido pela organização

CAPACIDADE DE ARMAZENAMENTO DE AUDITORIA AU-4
Controle: Alocar capacidade de armazenamento de registros de auditoria para acomodar [Atribuição: requisitos de retenção
Base
de registros de auditoria definidos pela organização].
Ao controle
Discussão: As organizações consideram os tipos de auditoria a serem realizados e os requisitos de processamento de

auditoria ao alocar capacidade de armazenamento de auditoria. A atribuição de capacidade de armazenamento de auditoria
suficiente reduz a probabilidade de essa capacidade ser excedida e resultar na potencial perda ou redução da capacidade de
auditoria.
Controles relacionados: AU-2, AU-5, AU-6, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4.
Melhorias de controle:
Parâmetro definido pela organização
(1) CAPACIDADE DE ARMAZENAMENTO DE AUDITORIA | TRANSFERÊNCIA PARA ARMAZENAMENTO ALTERNATIVO
Ao controle Descarregar registros de auditoria [Atribuição: frequência definida pela organização] em um sistema ou mídia
Aprimoramento diferente do sistema que está sendo auditado.
Discussão: O descarregamento é um processo concebido para preservar a confidencialidade e a integridade

dos registos de auditoria, transferindo os registos do sistema primário para um sistema secundário ou alternativo. É um
processo comum em sistemas com capacidade limitada de armazenamento de auditoria; o armazenamento de
auditoria é utilizado apenas de forma transitória até que o sistema possa se comunicar com o sistema secundário
ou alternativo designado para armazenar os registros de auditoria, momento em que a informação é transferida.
Controles relacionados: Nenhum.
Referências: Nenhuma.
Fontes de informações adicionais relacionadas ao controle
FIGURA 1: ESTRUTURA DE CONTROLE
A seção de controle prescreve um recurso de segurança ou privacidade a ser implementado. As capacidades de segurança
e privacidade são alcançadas pelas atividades ou ações, automatizadas ou não automatizadas, realizadas pelos
sistemas e organizações de informação. As organizações designam a responsabilidade pelo desenvolvimento, implementação,
avaliação e monitoramento do controle. As organizações têm o

e
g
_________________________________________________________________________________________________
pe
E flexibilidade para implementar os controles selecionados de qualquer maneira que satisfaça a missão organizacional
ou as necessidades de negócios consistentes com a lei, regulamentação e política.
A seção de discussão fornece informações adicionais sobre um controle. As organizações podem utilizar as
informações conforme necessário ao desenvolver, adaptar, implementar, avaliar ou monitorar controles. As informações
fornecem considerações importantes para a implementação de controles com base em requisitos de missão ou
negócios, ambientes operacionais ou avaliações de risco. As informações adicionais também podem explicar a
finalidade dos controles e muitas vezes incluem exemplos.
Os aprimoramentos de controle também podem incluir uma seção de discussão separada quando as informações
de discussão forem aplicáveis apenas a um aprimoramento de controle específico.
A seção de controles relacionados fornece uma lista de controles do catálogo de controle que impactam ou suportam
a implementação de um controle específico ou aprimoramento de controle, abordam um recurso de segurança ou
privacidade relacionado ou são referenciados na seção de discussão. As melhorias de controle estão inerentemente
relacionadas ao seu controle básico. Assim, os controles relacionados que são referenciados no controle base não
são repetidos nas melhorias de controle. Contudo, podem existir controlos relacionados identificados para melhorias
de controlo que não são referenciados no controlo base (ou seja, o controlo relacionado está associado apenas à
melhoria de controlo específica). Os controles também podem estar relacionados a melhorias de outros controles básicos.
Quando um controle é designado como controle relacionado, uma designação correspondente é feita nesse controle
em seu local de origem no catálogo para ilustrar o relacionamento bidirecional. Além disso, cada controle em uma
determinada família está inerentemente relacionado ao controle -1 (Política e Procedimentos) na mesma família.
Portanto, o relacionamento entre o controle -1 e os outros controles da mesma família não é especificado na seção de
controles relacionados para cada controle.
A seção de aprimoramentos de controle fornece declarações de capacidade de segurança e privacidade que aumentam
um controle básico. Os aprimoramentos de controle são numerados sequencialmente dentro de cada controle para
que possam ser facilmente identificados quando selecionados para complementar o controle básico. Cada
aprimoramento de controle possui um subtítulo curto para indicar a função ou capacidade pretendida fornecida pelo
aprimoramento. No exemplo AU-4, se o aprimoramento de controle for selecionado, a designação de controle se
tornará AU-4(1). A designação numérica de uma melhoria de controle é usada apenas para identificar essa
melhoria dentro do controle. A designação não é indicativa da força do aprimoramento de controle, do nível de proteção,
da prioridade, do grau de importância ou de qualquer relacionamento hierárquico entre os aprimoramentos. Os
aprimoramentos de controle não devem ser selecionados de forma independente. Isto é, se um aprimoramento de
controle for selecionado, então o controle de base correspondente também será selecionado e implementado.
A seção de referências inclui uma lista de leis, políticas, padrões, diretrizes, sites e outras referências úteis que são
relevantes para um controle específico ou aprimoramento de controle.26 A seção de referências também inclui hiperlinks
para publicações para obter informações adicionais para desenvolvimento de controle, implementação, avaliação e
monitoramento.
Para alguns controles, é fornecida flexibilidade adicional ao permitir que as organizações definam valores específicos
para parâmetros designados associados aos controles. A flexibilidade é alcançada como parte de um processo de
adaptação usando operações de atribuição e seleção incorporadas nos controles e
26 As referências são fornecidas para ajudar as organizações a compreender e implementar os controles de

segurança e privacidade e não pretendem ser inclusivas ou completas.

e
g
_________________________________________________________________________________________________
pe
E delimitados por colchetes. As operações de atribuição e seleção oferecem às organizações a capacidade de
personalizar controles com base nos requisitos organizacionais de segurança e privacidade. Em contraste com
as operações de atribuição que permitem total flexibilidade na designação de valores de parâmetros, as
operações de seleção restringem a gama de valores potenciais, fornecendo uma lista específica de itens a
partir dos quais as organizações escolhem.
A determinação dos parâmetros definidos pela organização pode evoluir de muitas fontes, incluindo leis, ordens
executivas, diretivas, regulamentos, políticas, padrões, orientações e missão ou necessidades de
negócios. As avaliações de risco organizacional e a tolerância ao risco também são fatores importantes na
determinação dos valores dos parâmetros de controle. Uma vez especificados pela organização, os valores
das operações de atribuição e seleção passam a fazer parte do controle. Os parâmetros de controle definidos
pela organização usados nos controles básicos também se aplicam aos aprimoramentos de controle associados
a esses controles. A implementação do controle é avaliada quanto à eficácia em relação à declaração de
controle preenchida.
Além das operações de atribuição e seleção incorporadas em um controle, flexibilidade adicional é obtida por
meio de ações de iteração e refinamento . A iteração permite que as organizações utilizem um controle
diversas vezes com diferentes valores de atribuição e seleção, talvez sendo aplicadas em diferentes situações
ou ao implementar múltiplas políticas. Por exemplo, uma organização pode ter múltiplos sistemas
implementando um controle, mas com diferentes parâmetros estabelecidos para
abordar riscos diferentes para cada sistema e ambiente de operação. Refinamento é o processo de fornecer
detalhes adicionais de implementação a um controle. O refinamento também pode ser usado para
restringir o escopo de um controle em conjunto com a iteração para cobrir todos os escopos aplicáveis (por
exemplo, aplicando diferentes mecanismos de autenticação a diferentes interfaces de sistema). A combinação
de operações de atribuição e seleção e ações de iteração e refinamento quando aplicadas aos controles
fornece a flexibilidade necessária para permitir que as organizações satisfaçam uma ampla base de requisitos
de segurança e privacidade na organização, missão e processo de negócios e níveis de implementação do
sistema.
SEGURANÇA COMO PROBLEMA DE DESIGN
“Fornecer controles de segurança satisfatórios em um sistema de computador é….um problema de design de

sistema. Uma combinação de salvaguardas de hardware, software, comunicações, físicas, pessoais e de
procedimentos administrativos é necessária para uma segurança abrangente...as salvaguardas de software por
si só não são suficientes.”
- O Relatório Ware
Força-Tarefa do Conselho Científico de Defesa sobre Segurança de Computadores, 1970
2.3 ABORDAGENS DE IMPLEMENTAÇÃO DE CONTROLE
Existem três abordagens para implementar os controles no Capítulo Três: (1) uma abordagem comum
abordagem de implementação de controle (herdável), (2) uma abordagem de implementação de controle
específica do sistema e (3) uma abordagem de implementação de controle híbrido . As abordagens de
implementação de controle definem o escopo de aplicabilidade do controle, a natureza compartilhada ou
herdabilidade do controle e a responsabilidade pelo desenvolvimento, implementação, avaliação e controle do controle.

e
g
_________________________________________________________________________________________________
pe
E autorização. Cada abordagem de implementação de controle tem um objetivo e foco específicos que
ajuda as organizações a selecionar os controles apropriados, implementá-los de maneira eficaz e satisfazer os
requisitos de segurança e privacidade. Uma abordagem específica de implementação de controle pode obter
benefícios de custo, aproveitando os recursos de segurança e privacidade em vários sistemas e ambientes de
operação.27
Controles comuns são controles cuja implementação resulta em uma capacidade herdável
por vários sistemas ou programas. Um controle é considerado herdável quando o sistema ou programa recebe proteção
do controle implementado, mas o controle é desenvolvido, implementado, avaliado, autorizado e monitorado por uma
entidade interna ou externa que não seja a entidade
responsável pelo sistema ou programa. Os recursos de segurança e privacidade fornecidos por controles
comuns podem ser herdados de muitas fontes, incluindo missões ou linhas de negócios, organizações, enclaves,
ambientes de operação, locais ou outros sistemas ou programas.
A implementação de controles como controles comuns pode introduzir o risco de um ponto único de falha.
Muitos dos controlos necessários para proteger os sistemas de informação organizacionais – incluindo muitos controlos
de proteção física e ambiental, controlos de segurança de pessoal e controlos de resposta a incidentes – são
herdáveis e, portanto, são bons candidatos para o estatuto de controlo comum. Os controlos comuns também podem
incluir controlos baseados em tecnologia, tais como controlos de identificação e autenticação, controlos de proteção de
fronteiras, controlos de auditoria e responsabilização e controlos de acesso. O custo de desenvolvimento,
implementação, avaliação, autorização e monitoramento pode ser amortizado em vários sistemas, elementos
organizacionais e programas
usando a abordagem comum de implementação de controle.
Os controles não implementados como controles comuns são implementados como específicos do sistema ou híbridos
controles. Os controlos específicos do sistema são da responsabilidade principal do proprietário do sistema e do gestor
orçamental de um determinado sistema. A implementação de controles específicos do sistema pode introduzir riscos se
as implementações de controle não forem interoperáveis com controles comuns. As organizações podem implementar
um controle como híbrido se uma parte do controle for comum (herdável) e a outra
parte é específica do sistema. Por exemplo, uma organização pode implementar o controle CP-2 usando um
modelo predefinido para o plano de contingência para todos os sistemas de informação organizacionais, com
proprietários de sistemas individuais adaptando o plano para usos específicos do sistema, quando apropriado. A
divisão de um controle híbrido em partes comuns (herdáveis) e específicas do sistema pode variar de acordo com a
organização, dependendo dos tipos de tecnologias de informação empregadas, da abordagem usada pela organização
para gerenciar seus controles e da atribuição de responsabilidades. Quando um controle é implementado como controle
híbrido, o provedor de controle comum é responsável por garantir a implementação, avaliação e monitoramento da parte
comum do controle híbrido, e o proprietário do sistema é responsável por garantir a implementação, avaliação e
monitoramento de a parte específica do sistema do controle híbrido. A implementação de controlos como controlos
híbridos pode introduzir riscos se a responsabilidade pela implementação e gestão contínua das partes comuns e
específicas do sistema dos controlos não for clara.
A determinação da abordagem de implementação de controle apropriada (ou seja, comum, híbrida ou específica
do sistema) depende do contexto. A abordagem de implementação de controle não pode ser determinada como comum,
híbrida ou específica do sistema simplesmente com base na linguagem do
27
[SP 800-37] fornece orientação adicional sobre abordagens de implementação de controle (anteriormente denominadas
designações) e como as diferentes abordagens são usadas na Estrutura de Gestão de Riscos.

e
g
_________________________________________________________________________________________________
pe
E ao controle. Identificar a abordagem de implementação de controle pode resultar em economias significativas para as
organizações em custos de implementação e avaliação e em uma aplicação mais consistente dos controles em toda a
organização. Normalmente, a identificação da abordagem de implementação do controle é simples. No entanto, a
implementação requer planejamento e coordenação significativos.
Planejando a abordagem de implementação de um controle (ou seja, comum, híbrido ou específico do sistema)
é melhor realizado no início do ciclo de vida de desenvolvimento do sistema e coordenado com as entidades que fornecem
o controle [SP 800-37]. Da mesma forma, se um controlo for herdável, é necessária coordenação com a entidade
herdeira para garantir que o controlo satisfaz as suas necessidades. Isto é especialmente importante dada a natureza dos
parâmetros de controle. Uma entidade herdeira não pode assumir que os controles são os mesmos e mitigar o risco
apropriado para o sistema apenas porque os identificadores de controle (por exemplo, AC-1) são os mesmos. É essencial
examinar os parâmetros de controle (por exemplo, operações de atribuição ou seleção) ao determinar se um controle
comum é adequado para mitigar riscos específicos do sistema.
2.4 CONTROLES DE SEGURANÇA E PRIVACIDADE
A seleção e implementação de controles de segurança e privacidade refletem os objetivos dos programas de segurança
e privacidade da informação e como esses programas gerenciam seus respectivos riscos. Dependendo das circunstâncias,
estes objectivos e riscos podem ser independentes ou sobrepostos. Os programas federais de segurança da
informação são responsáveis por proteger as informações e os sistemas de informação contra acesso, uso, divulgação,
interrupção, modificação ou destruição não autorizados (ou seja, atividades não autorizadas ou comportamento do sistema)
para fornecer confidencialidade, integridade e disponibilidade. Esses programas também são responsáveis por gerenciar
riscos de segurança e por garantir a conformidade com os requisitos de segurança aplicáveis. Os programas federais de
privacidade são responsáveis por gerenciar riscos para indivíduos associados à criação, coleta, uso, processamento,
armazenamento, manutenção, disseminação, divulgação ou descarte (coletivamente denominados “processamento”) de
28
PII e para garantir a conformidade com os requisitos de privacidade aplicáveis. Quando um sistema
processa PII, o programa de segurança da informação e o programa de privacidade têm uma responsabilidade
compartilhada pelo gerenciamento dos riscos de segurança para as PII no sistema. Devido a esta sobreposição de
responsabilidades, os controlos que as organizações selecionam para gerir estes riscos de segurança serão
geralmente os mesmos, independentemente da sua designação como controlos de segurança ou privacidade em linhas de
base de controlo ou planos de programas ou sistemas.
Também pode haver circunstâncias em que a selecção e/ou implementação do controlo ou melhoria do controlo afecte a
capacidade de um programa atingir os seus objectivos e gerir os seus respectivos riscos. A seção de discussão sobre
controle pode destacar considerações específicas de segurança e/ou privacidade para que as organizações possam levar
essas considerações em consideração ao determinar o método mais eficaz para implementar o controle. No
entanto, estas considerações não são exaustivas.
Por exemplo, uma organização pode selecionar AU-3 (Conteúdo dos Registros de Auditoria) para apoiar o
monitoramento de acesso não autorizado a um ativo de informação que não inclua PII. Desde o
28 Os programas de privacidade também podem optar por considerar os riscos para os indivíduos que possam surgir das suas interações com
sistemas de informação, onde o processamento de informações de identificação pessoal pode ter menos impacto do que o efeito que o
sistema tem no comportamento ou nas atividades dos indivíduos. Tais efeitos constituiriam riscos para a autonomia individual, e as
organizações poderão necessitar de tomar medidas para gerir esses riscos, além dos riscos de segurança da informação e de privacidade.

e
g
_________________________________________________________________________________________________
pe
E A perda potencial de confidencialidade do ativo de informação não afeta a privacidade, os objetivos de
segurança são o principal fator para a seleção do controle. No entanto, a implementação do controlo no que diz respeito
à monitorização do acesso não autorizado pode envolver o processamento de PII, o que pode resultar em riscos de
privacidade e afetar os objetivos do programa de privacidade. A seção de discussão no AU-3 inclui considerações
sobre riscos de privacidade para que as organizações possam levar essas considerações em consideração
ao determinarem a melhor maneira de implementar o controle.
Além disso, o aprimoramento de controle AU-3(3) (Limitar elementos de informações pessoalmente
identificáveis) poderia ser selecionado para apoiar o gerenciamento desses riscos de privacidade.
Devido às alterações na relação entre os objectivos dos programas de segurança e privacidade da informação e
a gestão de riscos, existe uma necessidade de colaboração estreita entre os programas para seleccionar e
implementar os controlos apropriados para os sistemas de informação que processam PII.
As organizações consideram como promover e institucionalizar a colaboração entre os dois programas para
garantir que os objectivos de ambas as disciplinas sejam alcançados e os riscos sejam geridos de forma adequada.
29
2.5 CONFIANÇA E GARANTIA
A confiabilidade dos sistemas, componentes do sistema e serviços do sistema é uma parte importante das estratégias
de gerenciamento de risco desenvolvidas pelas organizações.30 Confiabilidade, neste contexto, significa digno
de confiança para cumprir quaisquer requisitos que possam ser necessários para um componente, subsistema,
sistema , rede, aplicativo, missão, função de negócios, empresa ou outra entidade.31 Os requisitos de confiabilidade
podem incluir atributos de confiabilidade, confiabilidade, desempenho, resiliência, segurança, proteção, privacidade e
capacidade de sobrevivência sob uma série de adversidades potenciais na forma de interrupções. , perigos,
ameaças e riscos de privacidade. Medidas eficazes de confiabilidade são significativas apenas na medida em que os
requisitos são completos, bem definidos e podem ser avaliados com precisão.
Dois conceitos fundamentais que afetam a confiabilidade dos sistemas são funcionalidade e garantia. A
funcionalidade é definida em termos de recursos, funções, mecanismos, serviços, procedimentos e arquiteturas
de segurança e privacidade implementados em sistemas e programas organizacionais e nos ambientes em
que esses sistemas e programas operam.
Garantia é a medida de confiança de que a funcionalidade do sistema é implementada corretamente, operando
conforme pretendido e produzindo o resultado desejado no que diz respeito ao atendimento dos requisitos de segurança
e privacidade do sistema – possuindo assim a capacidade de mediar e aplicar com precisão as políticas de segurança
e privacidade estabelecidas. .
Em geral, a tarefa de fornecer garantias significativas de que um sistema provavelmente fará o que se espera
dele pode ser aprimorada por técnicas que simplifiquem ou restrinjam a análise, por exemplo, aumentando a
disciplina aplicada à arquitetura do sistema, ao design do software, às especificações , estilo de código e
gerenciamento de configuração. Os controles de segurança e privacidade abordam funcionalidade e garantia. Certos
controles concentram-se principalmente na funcionalidade, enquanto outros controles concentram-se
principalmente na garantia. Alguns controles podem oferecer suporte à funcionalidade e garantia.
29 Recursos para apoiar a colaboração em programas de segurança da informação e privacidade estão disponíveis em [SP 800-53 RES].
30
[SP 800-160-1] fornece orientação sobre engenharia de segurança de sistemas e aplicação de princípios de projeto de segurança para obter sistemas
confiáveis.
31 Consulte [NEUM04].

e
g
_________________________________________________________________________________________________
pe
E As organizações podem selecionar controles relacionados à garantia para definir atividades de desenvolvimento de sistema,
gerar evidências sobre a funcionalidade e o comportamento do sistema e rastrear as evidências até os elementos do sistema que
fornecem tal funcionalidade ou exibem tal comportamento. A evidência é usada para obter um grau de confiança de que o
sistema satisfaz os requisitos declarados de segurança e privacidade, ao mesmo tempo que apoia a missão e as funções de
negócios da organização. Os controles relacionados à garantia são identificados nas tabelas de resumo de controle no
Apêndice C.
EVIDÊNCIA DE IMPLEMENTAÇÃO DE CONTROLE
Durante a seleção e implementação do controle, é importante que as organizações considerem as evidências

(por exemplo, artefatos, documentação) que serão necessárias para apoiar as avaliações de controle atuais
e futuras. Essas avaliações ajudam a determinar se os controles estão implementados corretamente, operando
conforme o esperado e satisfazendo as políticas de segurança e privacidade – fornecendo assim informações
essenciais para que os líderes seniores tomem decisões informadas com base em riscos .

e
g
_________________________________________________________________________________________________
pe
E CAPÍTULO TRÊS
OS CONTROLES
CONTROLES DE SEGURANÇA E PRIVACIDADE E MELHORIAS DE CONTROLE
Este catálogo de controles de segurança e privacidade fornece medidas de proteção para sistemas,
organizações e indivíduos. 32
Os controles são projetados para facilitar o gerenciamento de riscos e
conformidade com as leis federais aplicáveis, ordens executivas, diretivas, regulamentos, políticas e padrões. Com
poucas exceções, os controles de segurança e privacidade no catálogo são neutros em termos de política,
tecnologia e setor, o que significa que os controles se concentram nas medidas fundamentais necessárias para proteger
as informações e a privacidade dos indivíduos ao longo do ciclo de vida da informação.
Embora os controlos de segurança e privacidade sejam em grande parte neutros em termos de política, tecnologia e
sector, isso não implica que os controlos sejam inconscientes em termos de política, tecnologia e sector. Entendimento
políticas, tecnologias e setores é necessário para que os controles sejam relevantes quando forem implementados. A
utilização de um catálogo de controlo neutro em termos de políticas, tecnologias e setores tem muitos benefícios.
Ele incentiva as organizações a:
• Concentrar-se nas funções e capacidades de segurança e privacidade necessárias para o sucesso da missão
e dos negócios e para a proteção das informações e da privacidade dos indivíduos, independentemente
das tecnologias empregadas nos sistemas organizacionais;
• Analisar cada controle de segurança e privacidade quanto à sua aplicabilidade a tecnologias específicas,
ambientes de operação, missão e funções de negócios e comunidades de interesse; e
• Especifique políticas de segurança e privacidade como parte do processo de adaptação para controles que tenham
parâmetros variáveis.
Nos poucos casos em que tecnologias específicas são referenciadas em controlos, as organizações são
alertadas de que a necessidade de gerir os riscos de segurança e privacidade pode ir além dos requisitos de um único
controlo associado a uma tecnologia. As medidas de proteção adicionais necessárias são obtidas nos outros controles
do catálogo. Padrões federais de processamento de informações, publicações especiais e relatórios interagências/
internos fornecem orientação sobre a seleção de controles de segurança e privacidade que reduzem o risco para
tecnologias específicas e aplicações específicas do setor,
incluindo rede inteligente, nuvem, saúde, dispositivos móveis, sistemas de controle industrial e dispositivos de Internet
das Coisas (IoT).33 As publicações do NIST são citadas como referências aplicáveis a controles específicos em
Seções 3.1 a 3.20.
Espera-se que os controles de segurança e privacidade no catálogo mudem ao longo do tempo à medida que os
controles são retirados, revisados e adicionados. Para manter a estabilidade nos planos de segurança e privacidade,
os controles não são renumerados cada vez que um controle é retirado. Em vez disso, as anotações dos controlos
que foram retirados são mantidas no catálogo de controlos para fins históricos. Os controles podem ser retirados por
vários motivos, inclusive quando a função ou capacidade fornecida pelo controle foi incorporada a outro controle, o
controle é redundante em relação a um controle existente ou o controle não é mais considerado necessário ou
eficaz.
32 Os controles desta publicação estão disponíveis online e podem ser obtidos em diversos formatos. Consulte [NVD 800-53].
33
Por exemplo, [SP 800-82] fornece orientação sobre gerenciamento de riscos e seleção de controles para sistemas de controle
industrial.
CAPÍTULO TRÊS PÁGINA 16

e
g
_________________________________________________________________________________________________
pe
E Novos controles são desenvolvidos regularmente usando informações sobre ameaças e vulnerabilidades e
informações sobre as táticas, técnicas e procedimentos utilizados pelos adversários. Além disso, novos
controles são desenvolvidos com base em uma melhor compreensão de como mitigar os riscos de segurança da
informação para sistemas e organizações e os riscos para a privacidade dos indivíduos decorrentes do
processamento de informações. Finalmente, novos controles são desenvolvidos com base em requisitos novos
ou em alteração em leis, ordens executivas, regulamentos, políticas, padrões ou diretrizes. As modificações
propostas nos controles são cuidadosamente analisadas durante cada ciclo de revisão, considerando a
necessidade de estabilidade dos controles e a necessidade de responder às mudanças tecnológicas, ameaças,
vulnerabilidades, tipos de ataque e métodos de processamento. O objetivo é ajustar o nível de segurança e
privacidade da informação ao longo do tempo para atender às necessidades das organizações e dos indivíduos.

e
g
_________________________________________________________________________________________________
pe
E 3.1 CONTROLE DE ACESSO
Link rápido para a tabela de resumo de controle de acesso
POLÍTICA E PROCEDIMENTOS AC-1
Ao controle:
a. Desenvolver, documentar e divulgar para [Atribuição: pessoal definido pela organização ou

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Sistema-
nível] política de controle de acesso que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação entre
entidades organizacionais e conformidade; e
(b) Seja consistente com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes; e
2. Procedimentos para facilitar a implementação da política de controle de acesso e o

controles de acesso associados;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento, documentação
e disseminação da política e procedimentos de controle de acesso; e
c. Revise e atualize o controle de acesso atual:
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos

definidos pela organização]; e
2. Procedimentos [Atribuição: frequência definida pela organização] e seguintes [Atribuição:

eventos definidos pela organização].
Discussão: A política e os procedimentos de controle de acesso abordam os controles da família AC que são
implementadas em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto,
é importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de controle de acesso. As políticas e procedimentos do programa de segurança e privacidade no nível da
organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão
ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser representada
por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos
para programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados
ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança
e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização na
política e nos procedimentos de controle de acesso incluem resultados de avaliação ou auditoria, incidentes ou violações
de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Controles Relacionados: IA-1, PM-9, PM-24, PS-8, SI-12.
Melhorias de controle: Nenhuma.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100], [IR 7874].

e
g
_________________________________________________________________________________________________
pe
E GESTÃO DE CONTA AC-2
Ao controle:
a. Definir e documentar os tipos de contas permitidas e especificamente proibidas para uso dentro do sistema;
b. Atribuir gerentes de conta;
c. Exigir [Atribuição: pré-requisitos e critérios definidos pela organização] para grupo e função
Filiação;
d. Especificamos:
1. Usuários autorizados do sistema;
2. Associação a grupos e funções; e
3. Autorizações de acesso (ou seja, privilégios) e [Atribuição: atributos definidos pela organização
(conforme necessário)] para cada conta;
e. Exigir aprovações de [Atribuição: pessoal ou funções definidas pela organização] para solicitações de
criar contas;
f. Criar, ativar, modificar, desativar e remover contas de acordo com [Atribuição: política, procedimentos, pré-requisitos
e critérios definidos pela organização];
g. Monitorar o uso das contas;
h. Notificar os gerentes de contas e [Atribuição: pessoal ou funções definidas pela organização] dentro de:
1. [Atribuição: período de tempo definido pela organização] quando as contas não forem mais necessárias;
2. [Atribuição: período de tempo definido pela organização] quando os usuários são demitidos ou
transferidos; e
3. [Atribuição: período de tempo definido pela organização] quando o uso do sistema ou a necessidade de saber
mudanças para um indivíduo;
eu. Autorizar o acesso ao sistema com base em:
1. Uma autorização de acesso válida;
2. Uso pretendido do sistema; e
3. [Atribuição: atributos definidos pela organização (conforme necessário)];
j. Analisar as contas quanto à conformidade com os requisitos de gerenciamento de contas [Tarefa:

frequência definida pela organização];
k. Estabelecer e implementar um processo para alterar autenticadores de contas compartilhadas ou de grupo (se
implantado) quando indivíduos são removidos do grupo; e
eu. Alinhe os processos de gerenciamento de contas com os processos de rescisão e transferência de pessoal.
Discussão: Exemplos de tipos de conta do sistema incluem individual, compartilhada, grupo, sistema, convidado, anônima,
emergência, desenvolvedor, temporária e serviço. A identificação de usuários autorizados do sistema e a especificação de
privilégios de acesso refletem os requisitos de outros controles do plano de segurança. Os usuários que necessitam de
privilégios administrativos em contas do sistema recebem escrutínio adicional do pessoal organizacional responsável
pela aprovação de tais contas e acesso privilegiado, incluindo proprietário do sistema, proprietário da missão ou
empresa, oficial sênior de segurança de informações da agência ou funcionário sênior da agência para privacidade. Os
tipos de contas que as organizações podem querer proibir devido ao aumento do risco incluem contas compartilhadas,
de grupo, de emergência, anônimas, temporárias e de convidados.

e
g
_________________________________________________________________________________________________
pe
E Quando o acesso envolve informações de identificação pessoal, os programas de segurança colaboram com
o funcionário sênior da agência responsável pela privacidade para estabelecer as condições específicas
para participação em grupos e funções; especifique usuários autorizados, membros de grupos e funções e
autorizações de acesso para cada conta; e criar, ajustar ou remover contas do sistema de acordo com as
políticas organizacionais. As políticas podem incluir informações como datas de vencimento da conta ou
outros fatores que desencadeiam a desativação de contas. As organizações podem optar por definir privilégios
de acesso ou outros atributos por conta, tipo de conta ou uma combinação dos dois. Exemplos de outros
atributos necessários para autorizar o acesso incluem restrições de hora do dia, dia da semana e ponto de encontro.
origem. Ao definir outros atributos de conta do sistema, as organizações consideram os requisitos
relacionados ao sistema e os requisitos de missão/negócios. A não consideração desses fatores pode afetar a
disponibilidade do sistema.
As contas temporárias e emergenciais destinam-se ao uso de curto prazo. As organizações estabelecem

contas temporárias como parte dos procedimentos normais de ativação de contas quando há necessidade
de contas de curto prazo sem a necessidade de ativação imediata da conta. As organizações estabelecem
contas de emergência em resposta a situações de crise e com a necessidade de ativação rápida de contas.
Portanto, a ativação emergencial da conta pode ignorar os processos normais de autorização da conta. As
contas de emergência e temporárias não devem ser confundidas com contas usadas com pouca frequência,
incluindo contas de logon local usadas para tarefas especiais ou quando os recursos de rede estão
indisponíveis (também podem ser conhecidas como contas de último recurso). Essas contas permanecem
disponíveis e não estão sujeitas a datas de desativação ou remoção automática. As condições para desabilitar
ou desativar contas incluem quando contas compartilhadas/de grupo, de emergência ou temporárias não são
mais necessárias e quando indivíduos são transferidos ou encerrados. A alteração dos autenticadores
compartilhados/de grupo quando os membros saem do grupo tem como objetivo garantir que os ex-membros
do grupo não mantenham o acesso à conta compartilhada ou de grupo. Alguns tipos de contas do sistema podem exigir treinamento especi
Controles relacionados: AC-3, AC-5, AC-6, AC-17, AC-18, AC-20, AC-24, AU-2, AU- 12, CM-5, IA-2, IA-4 ,
IA-5, IA-8, MA-3, MA-5, PE-2, PL-4, PS-2, PS-4, PS-5, PS-7, PT-2, PT-3, SC -7, SC-12, SC-13, SC-37.
(1) GESTÃO DE CONTAS | GESTÃO DE CONTAS DE SISTEMA AUTOMATIZADO

Apoiar o gerenciamento de contas do sistema usando [Atribuição: mecanismos automatizados
definidos pela organização].
Discussão: O gerenciamento automatizado de contas do sistema inclui o uso de mecanismos automatizados
para criar, ativar, modificar, desativar e remover contas; notificar os gerentes de conta quando um
a conta é criada, habilitada, modificada, desabilitada ou removida, ou quando os usuários são encerrados
ou transferidos; monitorar o uso da conta do sistema; e relatar o uso atípico da conta do sistema.
Mecanismos automatizados podem incluir funções internas do sistema e notificações por email, telefone
e mensagens de texto.
(2) GESTÃO DE CONTAS | GESTÃO AUTOMATIZADA DE CONTAS TEMPORÁRIAS E DE EMERGÊNCIA

Automaticamente [Seleção: remover; desativar] contas temporárias e de emergência após
[Atribuição: período de tempo definido pela organização para cada tipo de conta].
Discussão: O gerenciamento de contas temporárias e de emergência inclui a remoção ou desativação
de tais contas automaticamente após um período de tempo predefinido, e não conforme a conveniência
do administrador do sistema. A remoção ou desativação automática de contas proporciona uma
implementação mais consistente.
(3) GESTÃO DE CONTAS | DESATIVAR CONTAS

Desative contas em [Atribuição: período de tempo definido pela organização] quando o
contas:

e
g
_________________________________________________________________________________________________
pe
E (a) Tenham expirado;
(b) Não estejam mais associados a um usuário ou indivíduo;
(c) Violem a política organizacional; ou
(d) Estejam inativos por [Atribuição: período de tempo definido pela organização].
Discussão: Desabilitar contas expiradas, inativas ou de outra forma anômalas apoia os conceitos de menor privilégio e
menor funcionalidade que reduzem a superfície de ataque do sistema.
(4) GESTÃO DE CONTAS | AÇÕES DE AUDITORIA AUTOMATIZADA
Audite automaticamente ações de criação, modificação, ativação, desativação e remoção de contas.
Discussão: Os registros de auditoria de gerenciamento de contas são definidos de acordo com AU-2 e
revisados, analisados e relatados de acordo com AU-6.
Controles relacionados: AU-2, AU-6.
(5) GESTÃO DE CONTAS | SAIR DE INATIVIDADE
Exigir que os usuários efetuem logout quando [Atribuição: período de inatividade esperado definido pela
organização ou descrição de quando efetuar logout].
Discussão: O logout por inatividade é baseado em comportamento ou política e exige que os usuários tomem medidas físicas
para sair quando esperam inatividade por mais tempo do que o período definido.
A aplicação automática do logout por inatividade é abordada pelo AC-11.
Controles Relacionados: AC-11.
(6) GESTÃO DE CONTAS | GESTÃO DINÂMICA DE PRIVILÉGIOS
Implementar [Atribuição: recursos de gerenciamento de privilégios dinâmicos definidos pela

organização].
Discussão: Em contraste com as abordagens de controle de acesso que empregam contas estáticas e privilégios de
usuário predefinidos, as abordagens de controle de acesso dinâmico dependem de decisões de controle de acesso
em tempo de execução facilitadas pelo gerenciamento dinâmico de privilégios, como o controle de acesso baseado em
atributos. Embora as identidades dos usuários permaneçam relativamente constantes ao longo do tempo, os privilégios
dos usuários normalmente mudam com mais frequência com base na missão contínua ou nos requisitos de negócios e nas
necessidades operacionais das organizações. Um exemplo de gerenciamento dinâmico de privilégios é a revogação imediata
de privilégios dos usuários, em vez de exigir que os usuários terminem e reiniciem suas sessões para refletir as alterações
nos privilégios. O gerenciamento dinâmico de privilégios também pode incluir mecanismos que alteram os privilégios dos
usuários com base em regras dinâmicas, em vez de editar perfis de usuários específicos. Os exemplos incluem ajustes
automáticos de privilégios de usuário se eles estiverem operando fora de seu horário normal de trabalho, se sua função ou
atribuição for alterada ou se os sistemas estiverem sob pressão ou em situações de emergência. O gerenciamento
dinâmico de privilégios inclui os efeitos das alterações de privilégios, por exemplo, quando há alterações nas chaves
de criptografia usadas para comunicações.
(7) GESTÃO DE CONTAS | CONTAS DE USUÁRIOS PRIVILEGIADOS
(a) Estabelecer e administrar contas de usuários privilegiados de acordo com [Seleção: uma função
esquema de acesso baseado; um esquema de acesso baseado em atributos];
(b) Monitorar funções privilegiadas ou atribuições de atributos;
(c) Monitorar mudanças em funções ou atributos; e
(d) Revogar o acesso quando funções privilegiadas ou atribuições de atributos não forem mais
apropriado.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Funções privilegiadas são funções definidas pela organização atribuídas a indivíduos que permitem que esses
indivíduos executem determinadas funções relevantes para a segurança que usuários comuns não estão autorizados a
executar. As funções privilegiadas incluem gerenciamento de chaves, gerenciamento de contas, administração de banco
de dados, administração de sistema e rede e administração da web. Um esquema de acesso baseado em funções
organiza o acesso permitido ao sistema e os privilégios em funções. Em contraste, um esquema de acesso baseado em
atributos especifica o acesso permitido ao sistema e os privilégios baseados em atributos.
(8) GESTÃO DE CONTAS | GESTÃO DINÂMICA DE CONTAS
Crie, ative, gerencie e desative [Atribuição: contas do sistema definidas pela organização] dinamicamente.
Discussão: As abordagens para criar, ativar, gerenciar e desativar dinamicamente contas do sistema dependem do
provisionamento automático de contas em tempo de execução para entidades que eram anteriormente desconhecidas. As
organizações planejam o gerenciamento dinâmico, a criação, a ativação e a desativação de contas do sistema,
estabelecendo relações de confiança, regras de negócios e mecanismos com autoridades apropriadas para validar
autorizações e privilégios relacionados.
(9) GESTÃO DE CONTAS | RESTRIÇÕES AO USO DE CONTAS COMPARTILHADAS E DE GRUPO
Permita apenas o uso de contas compartilhadas e de grupo que atendam a [Atribuição: condições definidas pela
organização para estabelecer contas compartilhadas e de grupo].
Discussão: Antes de permitir o uso de contas compartilhadas ou de grupo, as organizações consideram o aumento do risco
devido à falta de responsabilização com tais contas.
(10) GESTÃO DE CONTAS | MUDANÇA DE CREDENCIAL DE CONTA COMPARTILHADA E DE GRUPO
[Retirado: Incorporado no AC-2k.]
(11) GESTÃO DE CONTAS | CONDIÇÕES DE USO
Aplicar [Atribuição: circunstâncias e/ ou condições de uso definidas pela organização] para [Atribuição: contas
do sistema definidas pela organização].
Discussão: Especificar e impor condições de uso ajuda a impor o princípio do menor privilégio, aumentar a responsabilidade
do usuário e permitir o monitoramento eficaz da conta. O monitoramento da conta inclui alertas gerados se a conta for
usada em violação dos parâmetros organizacionais. As organizações podem descrever condições ou circunstâncias
específicas sob as quais as contas do sistema podem ser usadas, como restringir o uso a determinados dias da semana,
horário do dia ou períodos de tempo específicos.
(12) GESTÃO DE CONTAS | MONITORAMENTO DE CONTA PARA USO ATÍPICO
(a) Monitorar contas do sistema para [Atribuição: uso atípico definido pela organização]; e
(b) Relatar o uso atípico de contas do sistema para [Atribuição: definido pela organização
pessoal ou funções].
Discussão: O uso atípico inclui o acesso a sistemas em determinados horários do dia ou em locais que não são
consistentes com os padrões normais de uso dos indivíduos. O monitoramento do uso atípico pode revelar comportamento
desonesto por parte de indivíduos ou um ataque em andamento. A monitorização de contas pode criar inadvertidamente riscos
de privacidade, uma vez que os dados recolhidos para identificar uma utilização atípica podem revelar informações
anteriormente desconhecidas sobre o comportamento dos indivíduos.
As organizações avaliam e documentam os riscos de privacidade decorrentes do monitoramento de contas para

e
g
_________________________________________________________________________________________________
pe
E uso em sua avaliação de impacto de privacidade e tomar decisões que estejam alinhadas com seu plano de
programa de privacidade.
Controles Relacionados: AU-6, AU-7, CA-7, IR-8, SI-4.
(13) GESTÃO DE CONTAS | DESATIVAR CONTAS PARA INDIVÍDUOS DE ALTO RISCO
Desabilitar contas de indivíduos dentro de [Atribuição: período de tempo definido pela organização] após
a descoberta de [Atribuição: riscos significativos definidos pela organização].
Discussão: Os usuários que representam um risco significativo de segurança e/ou privacidade incluem indivíduos
para os quais evidências confiáveis indicam a intenção de usar o acesso autorizado aos sistemas para causar danos
ou através dos quais os adversários causarão danos. Tais danos incluem impactos adversos nas operações
organizacionais, nos ativos organizacionais, nos indivíduos, em outras organizações ou na Nação. A coordenação
estreita entre administradores de sistema, pessoal jurídico, gestores de recursos humanos e responsáveis pela
autorização é essencial ao desativar contas de sistema para indivíduos de alto risco.
Controles Relacionados: AU-6, SI-4.
Referências: [SP 800-162], [SP 800-178], [SP 800-192].
APLICAÇÃO DE ACESSO AC-3
Controle: Aplique autorizações aprovadas para acesso lógico a informações e recursos do sistema de acordo com as
políticas de controle de acesso aplicáveis.
Discussão: As políticas de controle de acesso controlam o acesso entre entidades ou sujeitos ativos (isto é, usuários ou
processos agindo em nome de usuários) e entidades ou objetos passivos (isto é, dispositivos, arquivos, registros,
domínios) em sistemas organizacionais. Além de impor o acesso autorizado ao nível do sistema e reconhecer que os
sistemas podem alojar muitas aplicações e serviços em apoio à missão e às funções empresariais, os mecanismos de
imposição do acesso também podem ser empregues ao nível da aplicação e do serviço para proporcionar maior segurança
e privacidade da informação. Em contraste com os controles de acesso lógico implementados no sistema, os controles
de acesso físico são abordados pelos controles da família de Proteção Física e Ambiental (PE) .
Controles relacionados: AC-2, AC-4, AC-5, AC-6, AC-16, AC-17, AC-18, AC-19, AC-20, AC-21, AC- 22, AC-24 , AC-25,
AT-2, AT-3, AU-9, CA-9, CM-5, CM-11, IA-2, IA-5, IA-6, IA-7, IA-11, MA -3, MA-4, MA-5,
MP-4, PM-2, PS-3, PT-2, PT-3, SA-17, SC-2, SC-3, SC-4, SC-12, SC- 13, SC-28, SC- 31, SC-34, SI-4, SI-8.
(1) EXECUÇÃO DE ACESSO | ACESSO RESTRITO A FUNÇÕES PRIVILEGIADAS
[Retirado: Incorporado ao AC-6.]
(2) EXECUÇÃO DE ACESSO | AUTORIZAÇÃO DUPLA
Aplicar autorização dupla para [Atribuição: comandos privilegiados definidos pela organização e/ ou
outras ações definidas pela organização].
Discussão: A autorização dupla, também conhecida como controle de duas pessoas, reduz o risco relacionado a
ameaças internas. Os mecanismos de autorização dupla requerem a aprovação de dois indivíduos
autorizados para serem executados. Para reduzir o risco de conluio, as organizações consideram a rotação de
funções de autorização dupla. As organizações consideram o risco associado à implementação de mecanismos
de autorização dupla quando são necessárias respostas imediatas para garantir a segurança pública e ambiental.
Controles relacionados: CP-9, MP-6.
(3) EXECUÇÃO DE ACESSO | CONTROLE DE ACESSO OBRIGATÓRIO

e
g
_________________________________________________________________________________________________
pe
E Aplicar [Atribuição: política de controle de acesso obrigatória definida pela organização] sobre o conjunto de
assuntos e objetos cobertos especificados na política, e onde a política:
(a) Seja aplicado uniformemente em todos os assuntos e objetos cobertos dentro do sistema;
(b) Especifica que um sujeito ao qual foi concedido acesso à informação é restrito
de fazer qualquer um dos seguintes;
(1) Repassar as informações a sujeitos ou objetos não autorizados;
(2) Conceder seus privilégios a outros sujeitos;
(3) Alterar um ou mais atributos de segurança (especificados pela política) nos assuntos,
objetos, o sistema ou componentes do sistema;
(4) Escolher os atributos de segurança e valores de atributos (especificados pela política) a serem
associados a objetos recém-criados ou modificados; e
(5) Alteração das regras que regem o controle de acesso; e
(c) Especifica que [Atribuição: assuntos definidos pela organização] pode ser explicitamente concedido
[Atribuição: privilégios definidos pela organização] de modo que não sejam limitados por nenhum
subconjunto definido (ou todas) das restrições acima.
Discussão: O controle de acesso obrigatório é um tipo de controle de acesso não discricionário.

As políticas obrigatórias de controle de acesso restringem quais ações os sujeitos podem realizar com informações obtidas
de objetos aos quais já tiveram acesso. Isso evita que os sujeitos passem as informações para sujeitos e objetos não
autorizados. As políticas obrigatórias de controle de acesso restringem as ações que os sujeitos podem tomar em
relação à propagação de privilégios de controle de acesso; isto é, um sujeito com privilégio não pode passar
esse privilégio para outros sujeitos. A política é aplicada uniformemente sobre todos os assuntos e objetos sobre os
quais o sistema tem controle. Caso contrário, a política de controle de acesso poderá ser contornada. Essa aplicação é
fornecida por uma implementação que atende ao conceito de monitor de referência descrito em AC-25. A política é limitada
pelo sistema (ou seja, uma vez que a informação é passada para fora do controlo do sistema, podem ser necessários
meios adicionais para garantir que as restrições à informação permanecem em vigor).
Os assuntos confiáveis descritos acima recebem privilégios consistentes com o conceito de privilégio mínimo (consulte
AC-6). Os sujeitos de confiança recebem apenas os privilégios mínimos necessários para satisfazer a missão
organizacional/necessidades de negócios relativas à política acima. O controle é mais aplicável quando existe um mandato
que estabelece uma política relativa ao acesso a informações não classificadas controladas ou informações
classificadas e alguns usuários do sistema não têm acesso autorizado a todas essas informações residentes no
sistema. O controle de acesso obrigatório pode operar em conjunto com o controle de acesso discricionário conforme
descrito em AC-3(4).
Um sujeito com sua operação restrita por políticas obrigatórias de controle de acesso ainda pode operar sob as restrições
menos rigorosas do AC-3(4), mas as políticas obrigatórias de controle de acesso têm precedência sobre as restrições
menos rigorosas do AC-3(4). Por exemplo, embora uma política de controlo de acesso obrigatória imponha uma
restrição que impede um sujeito de transmitir informações a outro sujeito que opere num nível de impacto ou classificação
diferente, o AC-3(4) permite que o sujeito passe a informação a qualquer outro sujeito com o mesmo impacto ou
classificação
nível como o assunto. Exemplos de políticas obrigatórias de controle de acesso incluem a política Bell-LaPadula para
proteger a confidencialidade das informações e a política Biba para proteger a integridade das informações.
Controles Relacionados: SC-7.
(4) EXECUÇÃO DE ACESSO | CONTROLE DE ACESSO DISCRECIONÁRIO
Aplicar [Atribuição: política de controle de acesso discricionário definida pela organização] sobre o conjunto de
assuntos e objetos cobertos especificados na política, e onde a política especifica que um sujeito ao qual foi
concedido acesso às informações pode fazer um ou mais dos seguintes:
(a) Transmitir as informações a quaisquer outros sujeitos ou objetos;

e
g
_________________________________________________________________________________________________
pe
E (b) Ceder seus privilégios a outros sujeitos; (c) Alterar
atributos de segurança em assuntos, objetos, no sistema ou no sistema

componentes;
(d) Escolher os atributos de segurança a serem associados aos objetos recém-criados ou revisados;
ou
(e) Alterar as regras que regem o controle de acesso.
Discussão: Quando são implementadas políticas de controle de acesso discricionário, os sujeitos não ficam limitados em
relação às ações que podem tomar com informações às quais já tiveram acesso. Assim, os sujeitos aos quais foi concedido
acesso à informação
não são impedidos de passar a informação a outros sujeitos ou objetos (ou seja, os sujeitos têm o poder de transmitir). O
controle de acesso discricionário pode operar em conjunto com
controle de acesso obrigatório conforme descrito em AC-3(3) e AC-3(15). Um sujeito cuja operação é limitada por políticas
obrigatórias de controle de acesso ainda pode operar sob as restrições menos rigorosas do controle de acesso discricionário.
Portanto, enquanto o AC-3(3) impõe restrições que impedem um sujeito de passar informações para outro sujeito operando em
um nível de impacto ou classificação diferente, o AC-3(4) permite que o sujeito passe as informações para qualquer
sujeito no mesmo impacto ou nível de classificação. A política é limitada pelo sistema. Uma vez que a informação é
passada para fora do controle do sistema, podem ser necessários meios adicionais para garantir que as restrições permaneçam
em vigor. Embora as definições tradicionais de controle de acesso discricionário exijam controle de acesso baseado em
identidade, essa limitação não é necessária para este uso específico de controle de acesso discricionário.
(5) EXECUÇÃO DE ACESSO | INFORMAÇÕES RELEVANTES PARA A SEGURANÇA
Impedir o acesso a [Atribuição: informações relevantes para a segurança definidas pela organização], exceto durante
estados de sistema seguros e não operáveis.
Discussão: Informações relevantes para a segurança são informações dentro dos sistemas que podem impactar potencialmente
a operação das funções de segurança ou a prestação de serviços de segurança de uma maneira que poderia resultar na
falha na aplicação das políticas de segurança e privacidade do sistema ou na manutenção da separação entre código e
dados. As informações relevantes para a segurança incluem listas de controle de acesso, regras de filtragem para
roteadores ou firewalls, parâmetros de configuração para serviços de segurança e informações de gerenciamento de
chaves criptográficas. Os estados de sistema seguro e não operacional incluem os momentos em que os sistemas não estão
executando a missão ou o processamento relacionado aos negócios, como quando o sistema está off-line para manutenção,
inicialização, solução de problemas ou desligamento.
Controles Relacionados: CM-6, SC-39.
(6) EXECUÇÃO DE ACESSO | PROTEÇÃO DE INFORMAÇÕES DO USUÁRIO E DO SISTEMA
[Retirado: Incorporado em MP-4 e SC-28.]
(7) EXECUÇÃO DE ACESSO | CONTROLE DE ACESSO BASEADO EM FUNÇÃO
Aplique uma política de controle de acesso baseada em funções sobre assuntos e objetos definidos e controle o
acesso com base em [Atribuição: funções definidas pela organização e usuários autorizados a assumir tais
funções].
Discussão: O controle de acesso baseado em função (RBAC) é uma política de controle de acesso que impõe o acesso a
objetos e funções do sistema com base na função definida (ou seja, função de trabalho) do sujeito.
As organizações podem criar funções específicas com base nas funções de trabalho e nas autorizações (isto é, privilégios)
para executar as operações necessárias nos sistemas associados às funções definidas pela organização. Quando os
usuários são atribuídos a funções específicas, eles herdam as autorizações ou privilégios definidos para essas funções. O
RBAC simplifica a administração de privilégios para organizações porque os privilégios não são atribuídos diretamente a
cada usuário (que pode ser um grande número de indivíduos), mas são adquiridos por meio de atribuições de funções.
RBAC também pode aumentar

e
g
_________________________________________________________________________________________________
pe
E risco de privacidade e segurança se os indivíduos designados para uma função tiverem acesso a informações além do
que precisam para apoiar missões organizacionais ou funções de negócios. O RBAC pode ser implementado como uma
forma obrigatória ou discricionária de controle de acesso. Para organizações que implementam o RBAC com controles de
acesso obrigatórios, os requisitos do AC-3(3) definem o escopo dos assuntos e objetos cobertos pela política.
(8) EXECUÇÃO DE ACESSO | REVOGAÇÃO DE AUTORIZAÇÕES DE ACESSO
Aplicar a revogação de autorizações de acesso resultantes de alterações nos atributos de segurança de sujeitos
e objetos com base em [Atribuição: regras definidas pela organização que regem o momento das revogações
de autorizações de acesso].
Discussão: As regras de revogação de acesso podem diferir com base nos tipos de acesso revogados. Por exemplo, se um
sujeito (ou seja, um usuário ou processo agindo em nome de um usuário) for removido de um grupo, o acesso não
poderá ser revogado até a próxima vez que o objeto for aberto ou a próxima vez que o sujeito tentar acessar o objeto. A
revogação com base em alterações nos rótulos de segurança pode entrar em vigor imediatamente. As organizações
fornecem abordagens alternativas sobre como tornar as revogações imediatas se os sistemas não puderem fornecer tal
capacidade e a revogação imediata for necessária.
(9) EXECUÇÃO DE ACESSO | LANÇAMENTO CONTROLADO
Liberar informações fora do sistema somente se:
(a) A [Atribuição: sistema ou componente de sistema definido pela organização] recebe [Atribuição: controles
(b) [Atribuição: controles definidos pela organização] são usados para validar a adequação das informações
designadas para divulgação.
Discussão: As organizações só podem proteger diretamente as informações quando elas residem no sistema. Podem ser
necessários controles adicionais para garantir que as informações organizacionais sejam adequadamente protegidas
quando transmitidas para fora do sistema. Nas situações em que o sistema não consegue determinar a adequação das
proteções fornecidas por entidades externas, como medida de mitigação, as organizações determinam processualmente se os
sistemas externos estão a fornecer controlos adequados. Os meios utilizados para determinar a adequação dos controles
fornecidos por sistemas externos incluem a realização de avaliações periódicas (inspeções/testes),

estabelecimento de acordos entre a organização e suas organizações homólogas, ou algum outro processo. Os meios
utilizados por entidades externas para proteger a informação recebida não precisam de ser os mesmos utilizados pela
organização, mas os meios utilizados são suficientes para proporcionar uma adjudicação consistente da política de
segurança e privacidade para proteger a informação e a privacidade dos indivíduos.
A divulgação controlada de informações exige que os sistemas implementem meios técnicos ou processuais para validar
as informações antes de liberá-las para sistemas externos. Por exemplo, se o sistema passar informações para um sistema
controlado por outra organização, serão utilizados meios técnicos para validar se os atributos de segurança e privacidade
associados à informação exportada são apropriados para o sistema receptor. Alternativamente, se o sistema passar
informações para uma impressora em espaço controlado pela organização, meios processuais podem ser empregados para
garantir que apenas indivíduos autorizados tenham acesso à impressora.
Controles Relacionados: CA-3, PT-7, PT-8, SA-9, SC-16.
(10) EXECUÇÃO DE ACESSO | SUBSTITUIÇÃO AUDITADA DE MECANISMOS DE CONTROLE DE ACESSO
Empregue uma substituição auditada de mecanismos automatizados de controle de acesso em [Atribuição: condições
definidas pela organização] por [Atribuição: funções definidas pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: Em certas situações, como quando há uma ameaça à vida humana ou um evento que ameaça a capacidade
da organização de realizar missões ou funções comerciais críticas, pode ser necessária uma capacidade de substituição
para mecanismos de controle de acesso. As condições de substituição são definidas pelas organizações e usadas somente
nessas circunstâncias limitadas. Os eventos de auditoria são definidos em AU-2. Os registros de auditoria são gerados no
AU-12.
Controles relacionados: AU-2, AU-6, AU-10, AU-12, AU-14.
(11) EXECUÇÃO DE ACESSO | ACESSO RESTRITO A TIPOS DE INFORMAÇÕES ESPECÍFICAS
Restringir o acesso a repositórios de dados contendo [Atribuição: tipos de informações definidos pela
organização].
Discussão: A restrição do acesso a informações específicas visa proporcionar flexibilidade em relação ao controle de
acesso de tipos específicos de informações dentro de um sistema. Por exemplo, o acesso baseado em funções poderia
ser utilizado para permitir o acesso apenas a um tipo específico de informação pessoalmente identificável dentro
de uma base de dados, em vez de permitir o acesso à base de dados na sua totalidade. Outros exemplos incluem a restrição
de acesso a chaves criptográficas, informações de autenticação e informações selecionadas do sistema.
Controles relacionados: CM-8, CM-12, CM-13, PM-5.
(12) EXECUÇÃO DE ACESSO | DECLARA E IMPLICA ACESSO AO APLICATIVO
(a) Exigir que os aplicativos afirmem, como parte do processo de instalação, o acesso necessário para
as seguintes aplicações e funções de sistema: [Atribuição: aplicações e funções de sistema definidas pela
organização];
(b) Fornecer um mecanismo de fiscalização para impedir o acesso não autorizado; e
(c) Aprovar alterações de acesso após a instalação inicial do aplicativo.
Discussão: Afirmar e impor o acesso a aplicativos destina-se a abordar aplicativos que precisam acessar aplicativos e
funções de sistema existentes, incluindo contatos de usuários,
sistemas de posicionamento global, câmeras, teclados, microfones, redes, telefones ou outros arquivos.
Controles Relacionados: CM-7.
(13) EXECUÇÃO DE ACESSO | CONTROLE DE ACESSO BASEADO EM ATRIBUTOS
Aplique uma política de controle de acesso baseada em atributos sobre assuntos e objetos definidos e controle o
acesso com base em [Atribuição: atributos definidos pela organização para assumir permissões de acesso].
Discussão: O controle de acesso baseado em atributos é uma política de controle de acesso que restringe o acesso do
sistema a usuários autorizados com base em atributos organizacionais especificados (por exemplo, função de trabalho,
identidade), atributos de ação (por exemplo, leitura, gravação, exclusão), atributos ambientais (por exemplo, hora do dia,
localização) e atributos de recursos (por exemplo, classificação de um documento). As organizações podem criar regras
baseadas em atributos e autorizações (ou seja, privilégios) para executar as operações necessárias nos sistemas associados
a atributos e regras definidos pela organização. Quando os usuários são atribuídos a atributos definidos em políticas ou
regras de controle de acesso baseadas em atributos, eles podem ser provisionados para um sistema com os privilégios
apropriados ou receber acesso dinamicamente a um recurso protegido. O controle de acesso baseado em atributos pode ser
implementado como uma forma obrigatória ou discricionária de controle de acesso. Quando implementados com controles de
acesso obrigatórios, os requisitos do AC-3(3) definem o escopo dos assuntos e objetos cobertos pela política.
(14) EXECUÇÃO DE ACESSO | ACESSO INDIVIDUAL

e
g
_________________________________________________________________________________________________
pe
E Fornecer [Atribuição: mecanismos definidos pela organização] para permitir que os indivíduos
tenham acesso aos seguintes elementos de suas informações de identificação pessoal: [Atribuição:
elementos definidos pela organização].
Discussão: O acesso individual proporciona aos indivíduos a capacidade de revisar informações pessoalmente
identificáveis sobre eles mantidas nos registros organizacionais, independentemente do formato. O Access
ajuda os indivíduos a desenvolver uma compreensão sobre como suas informações de identificação
pessoal estão sendo processadas. Também pode ajudar os indivíduos a garantir que seus dados sejam precisos.
Os mecanismos de acesso podem incluir formulários de solicitação e interfaces de aplicativos. Para os
órgãos federais, os processos [PRIVACT] podem ser localizados em sistemas de editais de registro e nos
sites dos órgãos. O acesso a certos tipos de registros pode não ser apropriado (por exemplo, para
agências federais, os registros de aplicação da lei dentro de um sistema de registros podem estar
isentos de divulgação sob o [PRIVACT]) ou pode exigir certos níveis de garantia de autenticação.
O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade
para determinar mecanismos apropriados e direitos ou limitações de acesso.
Controles Relacionados: IA-8, PM-22, PM-20, PM-21, PT-6.
(15) EXECUÇÃO DE ACESSO | CONTROLE DE ACESSO DISCRICIONÁRIO E OBRIGATÓRIO
(a) Aplicar [Atribuição: política de controle de acesso obrigatório definida pela organização] sobre o
conjunto de assuntos e objetos cobertos especificados na política; e
(b) Aplicar [Atribuição: política de controle de acesso discricionário definida pela organização] sobre
o conjunto de assuntos e objetos cobertos especificados na política.
Discussão: A implementação simultânea de uma política de controle de acesso obrigatória e de uma

política de controle de acesso discricionária pode fornecer proteção adicional contra a execução
não autorizada de código por usuários ou processos que agem em nome de usuários. Isso ajuda a evitar que
um único usuário ou processo comprometido comprometa todo o sistema.
Controles relacionados: SC-2, SC-3, AC-4.
Referências: [PRIVACT], [OMB A-130], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-162], [SP 800 -178],
[IR 7874].
APLICAÇÃO DO FLUXO DE INFORMAÇÕES AC-4
Controle: Aplicar autorizações aprovadas para controlar o fluxo de informações dentro do sistema e entre
sistemas conectados com base em [Atribuição: políticas de controle de fluxo de informações definidas
pela organização].
Discussão: O controlo do fluxo de informação regula onde a informação pode viajar dentro de um sistema e entre
sistemas (em contraste com quem tem permissão para aceder à informação) e independentemente dos acessos
subsequentes a essa informação. As restrições de controle de fluxo incluem o bloqueio de tráfego externo que
afirma ser de dentro da organização, impedindo que informações controladas por exportação sejam transmitidas
de forma clara para a Internet, restringindo solicitações da Web que não sejam do servidor proxy da Web interno e
limitando as transferências de informações entre organizações com base em estruturas e conteúdo de dados. A
transferência de informações entre organizações pode exigir um acordo especificando como o fluxo de informações
é aplicado (ver CA-3). A transferência de informações entre sistemas em diferentes domínios de segurança ou
privacidade com diferentes políticas de segurança ou privacidade apresenta o risco de que tais transferências
violem uma ou mais políticas de segurança ou privacidade de domínio. Nessas situações, os proprietários/
administradores da informação fornecem orientação em pontos designados de aplicação de políticas entre sistemas
conectados. As organizações consideram exigir soluções arquitetônicas específicas para impor políticas
específicas de segurança e privacidade. A aplicação inclui
proibindo transferências de informações entre sistemas conectados (ou seja, permitindo apenas acesso),
verificar as permissões de gravação antes de aceitar informações de outro domínio de segurança ou
privacidade ou sistema conectado, empregando mecanismos de hardware para impor informações unidirecionais

e
g
_________________________________________________________________________________________________
pe
E fluxos e implementação de mecanismos de reclassificação confiáveis para reatribuir atributos e rótulos de segurança ou
privacidade.
As organizações geralmente empregam políticas de controle de fluxo de informações e mecanismos de fiscalização para controlar o
fluxo de informações entre fontes e destinos designados dentro dos sistemas e entre sistemas conectados. O controle de fluxo é
baseado nas características da informação e/ou no caminho da informação. A aplicação ocorre, por exemplo, em dispositivos de
proteção de limites que empregam conjuntos de regras ou estabelecem definições de configuração que restringem os serviços do
sistema, fornecem capacidade de filtragem de pacotes com base nas informações do cabeçalho ou fornecem capacidade de
filtragem de mensagens com base no conteúdo da mensagem. As organizações também consideram a confiabilidade dos
mecanismos de filtragem e/ou inspeção (ou seja, componentes de hardware, firmware e software) que são essenciais para a
aplicação do fluxo de informações. As melhorias de controle 3 a 32 atendem principalmente às necessidades de soluções entre
domínios que se concentram em técnicas de filtragem mais avançadas, análises aprofundadas e mecanismos mais fortes de
aplicação de fluxo implementados em produtos entre domínios, como guardas de alta garantia. Tais capacidades geralmente não
estão disponíveis em produtos comerciais prontos para uso. A aplicação do fluxo de informações também se aplica ao tráfego
do plano de controle (por exemplo, roteamento e DNS).
Controles relacionados: AC-3, AC-6, AC-16, AC-17, AC-19, AC- 21, AU-10, CA-3, CA-9, CM-7, PL-9, PM-24 ,
SA-17, SC-4, SC-7, SC-16, SC-31.
(1) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | ATRIBUTOS DE SEGURANÇA E PRIVACIDADE DO OBJETO
Use [Atribuição: atributos de segurança e privacidade definidos pela organização] associado a [Atribuição:
objetos de informações, origem e destino definidos pela organização] para impor [Atribuição: políticas de controle de
fluxo de informações definidas pela organização] como base para decisões de controle de fluxo.
Discussão: Os mecanismos de aplicação do fluxo de informações comparam os atributos de segurança e privacidade

associados às informações (isto é, conteúdo e estrutura dos dados) e aos objetos de origem e destino e respondem
adequadamente quando os mecanismos de aplicação encontram fluxos de informações não explicitamente
permitidos pelas políticas de fluxo de informações. Por exemplo, um objeto de informação rotulado como Secreto
teria permissão para fluir para um objeto de destino rotulado como Secreto, mas um objeto de informação rotulado como
Top Secret não teria permissão para fluir para um objeto de destino rotulado como Secret. Um conjunto de dados de
informações pessoalmente identificáveis pode ser marcado com restrições contra combinação com outros tipos de conjuntos
de dados e, portanto, não seria permitido fluir para o conjunto de dados restrito. Os atributos de segurança e privacidade
também podem incluir endereços de origem e destino empregados em firewalls de filtro de tráfego. A aplicação de fluxo
usando atributos explícitos de segurança ou privacidade pode ser usada, por exemplo, para controlar a liberação de
certos tipos de informações.
(2) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | PROCESSANDO DOMÍNIOS
Use domínios de processamento protegidos para impor [Atribuição: políticas de controle de fluxo de
informações definidas pela organização] como base para decisões de controle de fluxo.
Discussão: Domínios de processamento protegidos dentro de sistemas são espaços de processamento que controlam
interações com outros espaços de processamento, permitindo o controle dos fluxos de informação entre esses espaços e de/
para objetos de informação. Um domínio de processamento protegido pode ser fornecido, por exemplo, implementando a
aplicação de domínio e tipo. Na aplicação de domínio e tipo, os processos do sistema são atribuídos a domínios, as
informações são identificadas por tipos e os fluxos de informações são controlados com base nos acessos permitidos às
informações (ou seja, determinados por domínio e tipo), na sinalização permitida entre domínios e nas transições
permitidas de processos para outros domínios. domínios.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: SC-39.
(3) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | CONTROLE DINÂMICO DO FLUXO DE INFORMAÇÕES
Aplicar [Atribuição: políticas de controle de fluxo de informações definidas pela organização].
Discussão: As políticas organizacionais relativas ao controle dinâmico do fluxo de informações incluem

permitir ou proibir fluxos de informações com base em mudanças nas condições ou na missão ou em considerações
operacionais. As mudanças nas condições incluem mudanças na tolerância ao risco devido a mudanças no imediatismo
da missão ou nas necessidades de negócios, mudanças no ambiente de ameaças e detecção de eventos potencialmente
prejudiciais ou adversos.
Controles Relacionados: SI-4.
(4) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | CONTROLE DE FLUXO DE INFORMAÇÕES CRIPTOGRAFADAS
Impedir que informações criptografadas sejam ignoradas [Atribuição: mecanismos de controle de fluxo de
informações definidos pela organização] por [Seleção (um ou mais): descriptografar as informações;
bloquear o fluxo das informações criptografadas; encerrar sessões de comunicação que tentam transmitir informações
criptografadas; [Tarefa: procedimento ou método definido pela organização]].
Discussão: Os mecanismos de controle de fluxo incluem verificação de conteúdo, filtros de políticas de segurança e
identificadores de tipo de dados. O termo criptografia é estendido para abranger dados codificados não reconhecidos por
mecanismos de filtragem.
(5) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | TIPOS DE DADOS INCORPORADOS
Aplique [Atribuição: limitações definidas pela organização] na incorporação de tipos de dados em outros tipos de
dados.
Discussão: A incorporação de tipos de dados em outros tipos de dados pode resultar na redução da eficácia do
controle de fluxo. A incorporação de tipos de dados inclui a inserção de arquivos como objetos dentro de outros arquivos e
o uso de tipos de dados compactados ou arquivados que podem incluir vários tipos de dados incorporados. As limitações na
incorporação de tipos de dados consideram os níveis de incorporação e proíbem níveis de incorporação de tipos de dados
que estão além da capacidade das ferramentas de inspeção.
(6) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | METADADOS
Aplicar o controle do fluxo de informações com base em [Atribuição: metadados definidos pela organização].
Discussão: Metadados são informações que descrevem as características dos dados. Os metadados podem incluir metadados
estruturais que descrevem estruturas de dados ou metadados descritivos que descrevem o conteúdo dos dados. A
aplicação dos fluxos de informação permitidos com base em metadados permite um controle de fluxo mais simples e eficaz. As
organizações consideram a confiabilidade dos metadados em relação à precisão dos dados (ou seja, conhecimento de
que os valores dos metadados estão corretos em relação aos dados), integridade dos dados (ou seja, proteção contra
alterações não autorizadas nas tags de metadados) e a ligação dos metadados à carga útil dos dados ( isto é, empregando
técnicas de ligação suficientemente fortes com garantia apropriada).
Controles Relacionados: AC-16, SI-7.
(7) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | MECANISMOS DE FLUXO ÚNICO
Imponha fluxos de informações unidirecionais por meio de mecanismos de controle de fluxo baseados em hardware.
Discussão: Os mecanismos de fluxo unidirecional também podem ser chamados de rede unidirecional, gateway de segurança
unidirecional ou diodo de dados. Mecanismos de fluxo unidirecional podem ser usados para evitar que dados sejam
exportados de um domínio ou sistema de maior impacto ou classificado, ao mesmo tempo que permite a importação de dados
de um domínio ou sistema de menor impacto ou não classificado.

e
g
_________________________________________________________________________________________________
pe
E (8) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | FILTROS DE POLÍTICA DE SEGURANÇA E PRIVACIDADE
(a) Aplicar o controle do fluxo de informações usando [Atribuição: filtros de política de segurança ou privacidade
definidos pela organização] como base para decisões de controle de fluxo para [Atribuição:
fluxos de informações definidos pela organização]; e
(b) [Seleção (uma ou mais): Bloqueio; Faixa; Modificar; Quarentena] dados após um filtro
falha de processamento de acordo com [Atribuição: segurança definida pela organização ou política de
privacidade].
Discussão: Os filtros de segurança ou política de privacidade definidos pela organização podem abordar
estruturas e conteúdo de dados. Por exemplo, filtros de política de segurança ou privacidade para estruturas de dados podem
verificar comprimentos máximos de arquivos, tamanhos máximos de campos e tipos de dados/arquivos (para dados
estruturados e não estruturados). Os filtros de política de segurança ou privacidade para conteúdo de dados podem verificar
palavras específicas, valores enumerados ou intervalos de valores de dados e conteúdo oculto. Os dados estruturados
permitem a interpretação do conteúdo dos dados pelas aplicações. Dados não estruturados referem-se a informações
digitais sem estrutura de dados ou com uma estrutura de dados que não facilita o desenvolvimento de conjuntos de regras
para abordar o impacto ou o nível de classificação das informações transmitidas pelos dados ou pelas decisões de aplicação
do fluxo. Os dados não estruturados consistem em objetos bitmap que são inerentemente não baseados em linguagem
(ou seja, arquivos de imagem, vídeo ou áudio) e objetos textuais baseados em linguagens escritas ou impressas. As
organizações podem implementar mais de um filtro de política de segurança ou privacidade para atender aos objetivos de
controle do fluxo de informações.
(9) APLICAÇÃO DO FLUXO DE INFORMAÇÃO | AVALIAÇÕES HUMANAS
Imponha o uso de revisões humanas para [Atribuição: fluxos de informações definidos pela organização] sob
as seguintes condições: [Atribuição: condições definidas pela organização].
Discussão: As organizações definem filtros de política de segurança ou privacidade para todas as situações em que são
possíveis decisões automatizadas de controle de fluxo. Quando uma decisão de controle de fluxo totalmente automatizada não
for possível, uma revisão humana poderá ser empregada no lugar ou como complemento à filtragem automatizada de
segurança ou política de privacidade. Revisões humanas também podem ser empregadas conforme considerado
necessário pelas organizações.
(10)Aplicação do fluxo de informação | ATIVAR E DESATIVAR FILTROS DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE
Forneça aos administradores privilegiados a capacidade de ativar e desativar [Atribuição: segurança definida
pela organização ou filtros de política de privacidade] sob as seguintes condições:
[Tarefa: condições definidas pela organização].
Discussão: Por exemplo, conforme permitido pela autorização do sistema, os administradores podem ativar filtros de política
de segurança ou privacidade para acomodar tipos de dados aprovados. Os administradores também têm a capacidade de
selecionar os filtros que são executados em um fluxo de dados específico com base no tipo de dados que estão sendo
transferidos, nos domínios de segurança de origem e destino e em outros recursos relevantes de segurança ou
privacidade, conforme necessário.
(11)Aplicação do fluxo de informação | CONFIGURAÇÃO DE FILTROS DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE
Forneça a capacidade para administradores privilegiados configurarem [Atribuição: filtros de política

de segurança ou privacidade definidos pela organização] para oferecer suporte a diferentes políticas de
segurança ou privacidade.
Discussão: A documentação contém informações detalhadas para configurar filtros de política de segurança ou privacidade.
Por exemplo, os administradores podem configurar filtros de política de segurança ou privacidade para incluir a lista de
palavras inadequadas que os mecanismos de política de segurança ou privacidade verificam de acordo com as definições
fornecidas pelas organizações.

e
g
_________________________________________________________________________________________________
pe
E (12)Aplicação do fluxo de informação | IDENTIFICADORES DE TIPO DE DADOS
Ao transferir informações entre diferentes domínios de segurança, use [Atribuição: identificadores de tipo de
dados definidos pela organização] para validar dados essenciais para decisões de fluxo de informações.
Discussão: Os identificadores de tipo de dados incluem nomes de arquivos, tipos de arquivos, assinaturas ou tokens de
arquivos e múltiplas assinaturas ou tokens de arquivos internos. Os sistemas só permitem a transferência de dados que são
compatível com especificações de formato de tipo de dados. A identificação e validação dos tipos de dados são baseadas em
especificações definidas associadas a cada formato de dados permitido. O nome e o número do arquivo sozinhos não são
usados para identificação do tipo de dados. O conteúdo é validado sintaticamente e semanticamente em relação à sua
especificação para garantir que seja o tipo de dados adequado.
(13)Aplicação do fluxo de informação | DECOMPOSIÇÃO EM SUBCOMPONENTES RELEVANTES PARA A POLÍTICA
Ao transferir informações entre diferentes domínios de segurança, decomponha as informações em

[Atribuição: subcomponentes relevantes para políticas definidas pela organização] para submissão a mecanismos
de aplicação de políticas.
Discussão: A decomposição de informações em subcomponentes relevantes para políticas antes da transferência

de informações facilita decisões políticas sobre origem, destino, certificados, classificação, anexos e outros
diferenciadores de componentes relacionados à segurança ou à privacidade.
Os mecanismos de aplicação de políticas aplicam regras de filtragem, inspeção e/ou sanitização aos subcomponentes de
informações relevantes para políticas para facilitar a aplicação de fluxo antes da transferência de tais informações para
diferentes domínios de segurança.
(14)Aplicação do fluxo de informação | RESTRIÇÕES DE FILTRO DE POLÍTICA DE SEGURANÇA OU PRIVACIDADE
Ao transferir informações entre diferentes domínios de segurança, implemente [Atribuição: segurança

definida pela organização ou filtros de política de privacidade] exigindo formatos totalmente enumerados
que restrinjam a estrutura e o conteúdo dos dados.
Discussão: A estrutura de dados e as restrições de conteúdo reduzem a gama de conteúdo potencialmente malicioso ou não
sancionado em transações entre domínios. Os filtros de política de segurança ou privacidade que restringem estruturas de
dados incluem a restrição de tamanhos de arquivos e comprimentos de campos. Os filtros de política de conteúdo de
dados incluem formatos de codificação para conjuntos de caracteres, restringindo campos de dados de caracteres para
conterem apenas caracteres alfanuméricos, proibindo caracteres especiais e validando estruturas de esquema.
(15)Aplicação do fluxo de informação | DETECÇÃO DE INFORMAÇÕES NÃO SANCIONADAS
Ao transferir informações entre diferentes domínios de segurança, examine as informações quanto à

presença de [Atribuição: informações não sancionadas definidas pela organização] e proíba a transferência
de tais informações de acordo com a [Atribuição: segurança definida pela organização ou política de
privacidade].
Discussão: As informações não sancionadas incluem códigos maliciosos, informações inadequadas para divulgação
na rede de origem ou códigos executáveis que podem interromper ou danificar os serviços ou sistemas na rede de destino.
(16)Aplicação do fluxo de informação | TRANSFERÊNCIAS DE INFORMAÇÕES EM SISTEMAS INTERLIGADOS
(17)Aplicação do fluxo de informação | AUTENTICAÇÃO DE DOMÍNIO

e
g
_________________________________________________________________________________________________
pe
E Identifique e autentique exclusivamente pontos de origem e destino por [Seleção (um ou mais): organização;
sistema; aplicativo; serviço; indivíduo] para transferência de informações.
Discussão: A atribuição é um componente crítico de um conceito de segurança e privacidade das operações. A

capacidade de identificar pontos de origem e destino para informações que fluem dentro dos sistemas permite a
reconstrução forense de eventos e incentiva o cumprimento das políticas, atribuindo violações das políticas a
organizações ou indivíduos específicos. A autenticação de domínio bem-sucedida exige que os rótulos do sistema distingam
entre sistemas, organizações e indivíduos envolvidos na preparação, envio, recebimento ou disseminação de informações.
A atribuição também permite que as organizações mantenham melhor a linhagem do processamento de informações de
identificação pessoal à medida que elas fluem pelos sistemas e podem facilitar o rastreamento de consentimento, bem
como a correção, exclusão ou solicitações de acesso de indivíduos.
Controles Relacionados: IA-2, IA-3, IA-9.
(18)Aplicação do fluxo de informação | VINCULAÇÃO DE ATRIBUTOS DE SEGURANÇA
(19)Aplicação do fluxo de informação | VALIDAÇÃO DE METADADOS
Ao transferir informações entre diferentes domínios de segurança, implemente

[Atribuição: filtros de segurança ou política de privacidade definidos pela organização] em metadados.
Discussão: Todas as informações (incluindo metadados e os dados aos quais os metadados se aplicam) estão sujeitas a
filtragem e inspeção. Algumas organizações distinguem entre metadados e cargas úteis de dados (ou seja, apenas os dados
aos quais os metadados estão vinculados). Outras organizações não fazem tais distinções e consideram os metadados e
os dados aos quais os metadados se aplicam como parte da carga útil.
(20)Aplicação do fluxo de informação | SOLUÇÕES APROVADAS
Empregue [Atribuição: soluções definidas pela organização em configurações aprovadas] para controlar o fluxo de
[Atribuição: informações definidas pela organização] entre domínios de segurança.
Discussão: As organizações definem soluções e configurações aprovadas em políticas e orientações entre domínios de
acordo com os tipos de fluxos de informação através dos limites de classificação. O Escritório Nacional de Estratégia e
Gerenciamento de Vários Domínios da Agência de Segurança Nacional (NSA) fornece uma lista de soluções
aprovadas para vários domínios. Contate ncdsmo@nsa.gov para obter mais informações.
(21)Aplicação do fluxo de informação | SEPARAÇÃO FÍSICA OU LÓGICA DOS FLUXOS DE INFORMAÇÃO
Separe os fluxos de informações lógica ou fisicamente usando [Atribuição: mecanismos e/ ou técnicas definidos pela
organização] para realizar [Atribuição: separações exigidas definidas pela organização por tipos de informação].
Discussão: Impor a separação dos fluxos de informação associados a tipos definidos de dados pode melhorar a protecção,
garantindo que a informação não se mistura durante o trânsito e permitindo o controlo do fluxo por caminhos de transmissão
que de outra forma não seriam alcançáveis. Os tipos de informações separáveis incluem tráfego de comunicações de entrada
e saída, solicitações e respostas de serviços e informações com diferentes níveis de classificação ou impacto na
segurança.
(22)Aplicação do fluxo de informação | ACESSO SOMENTE
Forneça acesso de um único dispositivo a plataformas de computação, aplicativos ou dados residentes em vários
domínios de segurança diferentes, evitando o fluxo de informações entre os diferentes domínios de segurança.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O sistema fornece aos usuários a capacidade de acessar cada domínio de segurança conectado sem fornecer
quaisquer mecanismos que permitam aos usuários transferir dados ou informações entre os diferentes domínios de
segurança. Um exemplo de solução somente de acesso é um terminal que fornece ao usuário acesso a informações com
diferentes classificações de segurança, ao mesmo tempo que mantém as informações separadas.
(23)Aplicação do fluxo de informação | MODIFICAR INFORMAÇÕES NÃO LIBERÁVEIS
Ao transferir informações entre diferentes domínios de segurança, modifique as informações não liberáveis
implementando [Atribuição: ação de modificação definida pela organização].
Discussão: A modificação de informações não liberáveis pode ajudar a evitar vazamento ou ataque de dados quando as
informações são transferidas entre domínios de segurança. As ações de modificação incluem
mascaramento, permutação, alteração, remoção ou redação.
(24)Aplicação do fluxo de informação | FORMATO NORMALIZADO INTERNO
Ao transferir informações entre diferentes domínios de segurança, analise os dados recebidos em um formato
normalizado interno e regenere os dados para que sejam consistentes com a especificação pretendida.
Discussão: A conversão de dados em formatos normalizados é um dos mecanismos mais eficazes para impedir ataques
maliciosos e grandes tipos de exfiltração de dados.
(25)Aplicação do fluxo de informação | SANITIZAÇÃO DE DADOS
Ao transferir informações entre diferentes domínios de segurança, higienize os dados para minimizar [Seleção
(um ou mais): entrega de conteúdo malicioso, comando e controle de código malicioso, aumento de código malicioso
e dados codificados por esteganografia; derramamento de informações confidenciais] de acordo com [Atribuição:
política definida pela organização]].
Discussão: A sanitização de dados é o processo de remoção ou destruição irreversível de dados armazenados em um

dispositivo de memória (por exemplo, discos rígidos, memória flash/unidades de estado sólido, dispositivos móveis,
CDs e DVDs) ou em formato impresso.
Controles relacionados: MP-6.
(26)Aplicação do fluxo de informação | AÇÕES DE FILTRAGEM DE AUDITORIA
Ao transferir informações entre diferentes domínios de segurança, registre e audite ações e resultados de
filtragem de conteúdo para as informações que estão sendo filtradas.
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que atravessa uma solução entre
domínios e determina se as informações atendem a uma política predefinida. As ações de filtragem de conteúdo e os
resultados das ações de filtragem são registrados para mensagens individuais para garantir que as ações de filtro corretas
foram aplicadas. Os relatórios de filtro de conteúdo são usados para auxiliar nas ações de solução de problemas, por exemplo,
determinando por que o conteúdo da mensagem foi modificado e/ou por que falhou no processo de filtragem. Os eventos
de auditoria são definidos em AU-2. Os registros de auditoria são gerados no AU-12.
Controles relacionados: AU-2, AU-3, AU-12.
(27)Aplicação do fluxo de informação | MECANISMOS DE FILTRAGEM REDUNDANTES/INDEPENDENTES
Ao transferir informações entre diferentes domínios de segurança, implemente soluções de filtragem de conteúdo
que forneçam mecanismos de filtragem redundantes e independentes para cada tipo de dados.
domínios e determina se as informações atendem a uma política predefinida. Redundante

e
g
_________________________________________________________________________________________________
pe
E e a filtragem de conteúdo independente elimina um sistema de filtragem de ponto único de falha.
Independência é definida como a implementação de um filtro de conteúdo que usa uma base de código e bibliotecas de
suporte diferentes (por exemplo, dois filtros JPEG usando bibliotecas JPEG de fornecedores diferentes)
e vários processos de sistema independentes.
(28)Aplicação do fluxo de informação | TUBOS DE FILTRO LINEAR
Ao transferir informações entre diferentes domínios de segurança, implemente um pipeline de filtro de conteúdo
linear que seja aplicado com controles de acesso discricionários e obrigatórios.
domínios e determina se as informações atendem a uma política predefinida. O uso de pipelines de filtro de conteúdo
linear garante que os processos de filtro não sejam contornáveis e sejam sempre invocados. Em geral, o uso de arquiteturas
de filtragem paralela para filtragem de conteúdo de um único tipo de dados introduz problemas de desvio e de não invocação.
(29)Aplicação do fluxo de informação | MOTORES DE ORQUESTRAÇÃO DE FILTROS
Ao transferir informações entre diferentes domínios de segurança, utilize mecanismos de orquestração de filtros de
conteúdo para garantir que:
(a) Os mecanismos de filtragem de conteúdo concluem a execução com êxito e sem erros; e
(b) As ações de filtragem de conteúdo ocorrem na ordem correta e cumprem com [Atribuição:
política definida pela organização].
Discussão: A filtragem de conteúdo é o processo de inspeção de informações à medida que elas atravessam uma solução
entre domínios e determinam se as informações atendem a uma política de segurança predefinida. Um mecanismo de
orquestração coordena o sequenciamento de atividades (manuais e automatizadas) em um processo de filtragem de
conteúdo. Os erros são definidos como ações anômalas ou encerramento inesperado do processo de filtro de conteúdo.
Isso não é o mesmo que falha no filtro de conteúdo devido à não conformidade com a política. Os relatórios de filtro de
conteúdo são um mecanismo comumente usado para garantir que as ações de filtragem esperadas sejam concluídas com
êxito.
(30)Aplicação do fluxo de informação | MECANISMOS DE FILTRO USANDO MÚLTIPLOS PROCESSOS
Ao transferir informações entre diferentes domínios de segurança, implemente mecanismos de filtragem de

conteúdo usando vários processos.
Discussão: O uso de múltiplos processos para implementar mecanismos de filtragem de conteúdo reduz a
probabilidade de um único ponto de falha.
(31)Aplicação do fluxo de informação | FALHA NA PREVENÇÃO DE TRANSFERÊNCIA DE CONTEÚDO
Ao transferir informações entre diferentes domínios de segurança, evite a transferência de conteúdo com falha para
o domínio receptor.
Discussão: O conteúdo que falhou nas verificações de filtragem pode corromper o sistema se for transferido para o domínio
receptor.
(32)Aplicação do fluxo de informação | REQUISITOS DE PROCESSO PARA TRANSFERÊNCIA DE INFORMAÇÕES
Ao transferir informações entre diferentes domínios de segurança, o processo que transfere informações entre
pipelines de filtro:
(a) Não filtra o conteúdo da mensagem;

(b) Valida a filtragem de metadados;

e
g
_________________________________________________________________________________________________
pe
E (c) Garante que o conteúdo associado aos metadados de filtragem foi concluído com êxito
filtragem; e
(d) Transfere o conteúdo para o pipeline de filtro de destino.
Discussão: Os processos que transferem informações entre pipelines de filtros possuem complexidade e
funcionalidade mínimas para garantir que os processos operem corretamente.
Referências: [SP-800-160-1], [SP 800-162], [SP 800-178], [IR 8112].
AC-5 SEPARAÇÃO DE DEVERES
Ao controle:
a. Identificar e documentar [Atribuição: deveres definidos pela organização de indivíduos que exigem
separação]; e
b. Defina autorizações de acesso ao sistema para apoiar a separação de tarefas.
Discussão: A separação de funções aborda o potencial de abuso de privilégios autorizados e ajuda a reduzir o risco
de atividades malévolas sem conluio. A separação de funções inclui
dividir funções de missão ou negócios e funções de suporte entre diferentes indivíduos ou funções,
conduzir funções de suporte ao sistema com diferentes indivíduos e garantir que o pessoal de segurança que
administra funções de controle de acesso não administre também funções de auditoria.
Como as violações da separação de tarefas podem abranger sistemas e domínios de aplicação, as organizações
consideram a totalidade dos sistemas e componentes do sistema ao desenvolver políticas sobre separação de tarefas.
A separação de funções é aplicada através de atividades de gerenciamento de contas em AC-2, mecanismos de
controle de acesso em AC-3 e atividades de gerenciamento de identidade em IA-2, IA-4 e IA-12.
Controles relacionados: AC-2, AC-3, AC-6, AU-9, CM-5, CM-11, CP-9, IA-2, IA-4, IA-5, IA-12, MA-3 , MA-5, PS-2, SA-8,
SA-17.
AC-6 MENOS PRIVILÉGIO
Controle: Empregue o princípio do menor privilégio, permitindo apenas acessos autorizados para usuários (ou
processos agindo em nome dos usuários) que sejam necessários para realizar as tarefas organizacionais atribuídas.
Discussão: As organizações empregam privilégios mínimos para funções e sistemas específicos. O princípio do menor
privilégio também é aplicado aos processos do sistema, garantindo que os processos tenham acesso aos sistemas
e operem em níveis de privilégio não superiores ao necessário para cumprir missões organizacionais ou funções de
negócios. As organizações consideram a criação de processos, funções e contas adicionais conforme necessário para
obter o mínimo de privilégios. As organizações aplicam privilégios mínimos ao desenvolvimento, implementação e
operação de sistemas organizacionais.
Controles relacionados: AC-2, AC-3, AC-5, AC-16, CM-5, CM-11, PL-2, PM-12, SA-8, SA-15, SA-17, SC-38 .
(1) MENOS PRIVILÉGIO | AUTORIZAR ACESSO ÀS FUNÇÕES DE SEGURANÇA
Autorizar o acesso de [Atribuição: indivíduos ou funções definidas pela organização] para:
(a) [Atribuição: funções de segurança definidas pela organização (implantadas em hardware, software e
firmware)]; e
(b) [Atribuição: informações relevantes para a segurança definidas pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: As funções de segurança incluem o estabelecimento de contas do sistema, a configuração de
autorizações de acesso (ou seja, permissões, privilégios), a definição de configurações para eventos a serem auditados,
e estabelecer parâmetros de detecção de intrusão. Informações relevantes para a segurança incluem
regras de filtragem para roteadores ou firewalls, parâmetros de configuração para serviços de segurança,
informações de gerenciamento de chaves criptográficas e listas de controle de acesso. O pessoal autorizado inclui
administradores de segurança, administradores de sistema, responsáveis pela segurança do sistema,
programadores de sistema e outros usuários privilegiados.
Controles relacionados: AC-17, AC-18, AC-19, AU-9, PE-2.
(2) MENOS PRIVILÉGIO | ACESSO NÃO PRIVILEGIADO PARA FUNÇÕES NÃO SEGURANÇAS
Exigir que os usuários de contas (ou funções) do sistema com acesso a [Atribuição: funções de segurança
definidas pela organização ou informações relevantes para a segurança] usem contas ou funções não
privilegiadas ao acessar funções não relacionadas à segurança.
Discussão: Exigir o uso de contas não privilegiadas ao acessar funções não seguras limita a exposição ao
operar em contas ou funções privilegiadas. A inclusão de funções aborda situações em que as organizações
implementam políticas de controle de acesso, como controle de acesso baseado em funções, e onde uma
mudança de função fornece o mesmo grau de garantia na mudança de autorizações de acesso para o usuário e
nos processos que atuam em nome do usuário. usuário como seria fornecido por uma mudança entre uma conta
privilegiada e não privilegiada.
Controles relacionados: AC-17, AC-18, AC-19, PL-4.
(3) MENOS PRIVILÉGIO | ACESSO À REDE A COMANDOS PRIVILEGIADOS
Autorize o acesso à rede para [Atribuição: comandos privilegiados definidos pela organização] apenas
para [Atribuição: necessidades operacionais convincentes definidas pela organização] e documente a
justificativa para tal acesso no plano de segurança do sistema.
Discussão: O acesso à rede é qualquer acesso através de uma conexão de rede em vez do acesso local (ou seja, o
usuário estando fisicamente presente no dispositivo).
Controles relacionados: AC-17, AC-18, AC-19.
(4) MENOS PRIVILÉGIO | DOMÍNIOS DE PROCESSAMENTO SEPARADOS
Forneça domínios de processamento separados para permitir uma alocação mais refinada de privilégios de usuário.
Discussão: Fornecer domínios de processamento separados para alocação mais detalhada de privilégios de
usuário inclui o uso de técnicas de virtualização para permitir privilégios de usuário adicionais dentro de uma máquina
virtual, ao mesmo tempo em que restringe privilégios a outras máquinas virtuais ou à máquina física subjacente,
implementando domínios físicos separados e empregando hardware ou mecanismos de separação de domínio
de software.
Controles relacionados: AC-4, SC-2, SC-3, SC-30, SC-32, SC-39.
(5) MENOS PRIVILÉGIO | CONTAS PRIVILEGIADAS
Restrinja contas privilegiadas no sistema para [Atribuição: pessoal ou funções definidas pela organização].
Discussão: Contas privilegiadas, incluindo contas de superusuário, são normalmente descritas como
administradores de sistema para vários tipos de sistemas operacionais comerciais prontos para uso.
Restringir contas privilegiadas a funcionários ou funções específicas impede que usuários comuns acessem
informações ou funções privilegiadas. As organizações podem diferenciar na aplicação da restrição de contas
privilegiadas entre privilégios permitidos para contas locais e para contas de domínio, desde que mantenham
a capacidade de controlar as configurações do sistema para parâmetros-chave e conforme necessário para
mitigar suficientemente o risco.
Controles Relacionados: IA-2, MA-3, MA-4.

e
g
_________________________________________________________________________________________________
pe
E (6) MENOS PRIVILÉGIO | ACESSO PRIVILEGIADO DE USUÁRIOS NÃO ORGANIZACIONAIS
Proibir o acesso privilegiado ao sistema por usuários não organizacionais.
Discussão: Um usuário organizacional é um funcionário ou indivíduo considerado pelo

organização tenha o status equivalente de um funcionário. Os usuários organizacionais incluem
contratados, pesquisadores convidados ou indivíduos destacados de outras organizações. Um usuário não organizacional
é um usuário que não é organizacional. As políticas e procedimentos para conceder status equivalente de funcionários a
indivíduos incluem a necessidade de conhecimento, a cidadania e o relacionamento com a organização.
Controles Relacionados: AC-18, AC-19, IA-2, IA-8.
(7) MENOS PRIVILÉGIO | REVISÃO DOS PRIVILÉGIOS DO USUÁRIO
(a) Revise [Atribuição: frequência definida pela organização] os privilégios atribuídos a

[Atribuição: funções ou classes de usuários definidas pela organização] para validar a necessidade de tais
privilégios; e
(b) Reatribuir ou remover privilégios, se necessário, para refletir corretamente a missão organizacional
e necessidades de negócios.
Discussão: A necessidade de determinados privilégios de usuário atribuídos pode mudar ao longo do tempo para refletir
mudanças na missão organizacional e nas funções de negócios, nos ambientes de operação, nas tecnologias ou nas
ameaças. Uma revisão periódica dos privilégios de usuário atribuídos é necessária para determinar se a justificativa
para a atribuição de tais privilégios permanece válida. Se a necessidade não puder ser revalidada, as organizações tomam as
ações corretivas apropriadas.
Controles Relacionados: CA-7.
(8) MENOS PRIVILÉGIO | NÍVEIS DE PRIVILÉGIO PARA EXECUÇÃO DE CÓDIGO
Evite que o seguinte software seja executado em níveis de privilégio mais elevados do que os usuários que
executam o software: [Atribuição: software definido pela organização].
Discussão: Em certas situações, os aplicativos de software ou programas precisam ser executados com privilégios elevados
para executar as funções necessárias. No entanto, dependendo da funcionalidade e configuração do software, se os
privilégios necessários para a execução estiverem em um nível superior aos privilégios atribuídos aos usuários organizacionais
que invocam tais aplicativos ou programas, esses usuários poderão indiretamente receber privilégios maiores do que os atribuídos.
(9) MENOS PRIVILÉGIO | LOG USO DE FUNÇÕES PRIVILEGIADAS
Registrar a execução de funções privilegiadas.
Discussão: O uso indevido de funções privilegiadas, intencionalmente ou não, por usuários autorizados ou por entidades
externas não autorizadas que comprometeram contas do sistema, é uma preocupação séria e contínua e pode ter
impactos adversos significativos nas organizações. Registrar e analisar o uso de funções privilegiadas é uma forma de
detectar esse uso indevido e, ao fazê-lo, ajudar a mitigar o risco de ameaças internas e ameaças persistentes avançadas.
Controles relacionados: AU-2, AU-3, AU-12.
(10) MENOS PRIVILÉGIO | PROIBIR USUÁRIOS NÃO PRIVILEGIADOS DE EXECUTAR FUNÇÕES PRIVILEGIADAS
Impedir que usuários não privilegiados executem funções privilegiadas.
Discussão: As funções privilegiadas incluem desabilitar, contornar ou alterar controles implementados de segurança ou
privacidade, estabelecer contas do sistema, realizar verificações de integridade do sistema e administrar atividades de
gerenciamento de chaves criptográficas. Usuários não privilegiados são indivíduos que não possuem autorizações apropriadas.
As funções privilegiadas que exigem proteção contra usuários não privilegiados incluem contornar a detecção de intrusões e

e
g
_________________________________________________________________________________________________
pe
E mecanismos de prevenção ou mecanismos de proteção de códigos maliciosos. Impedir que usuários não
privilegiados executem funções privilegiadas é imposto pelo AC-3.
AC-7 TENTATIVAS DE LOGON SEM SUCESSO
Ao controle:
a. Aplicar um limite de [Atribuição: número definido pela organização] logon inválido consecutivo
tentativas de um usuário durante uma [Atribuição: período de tempo definido pela organização]; e
b. Automaticamente [Seleção (uma ou mais): bloquear a conta ou nó por uma [Atribuição: período de tempo definido pela
organização]; bloquear a conta ou nó até que seja liberado por um administrador; atrasar o próximo prompt
de logon de acordo com [Atribuição: algoritmo de atraso definido pela organização]; notificar o administrador do
sistema; realizar outra [Atribuição: ação definida pela organização]] quando o número máximo de tentativas
malsucedidas for excedido.
Discussão: A necessidade de limitar as tentativas de logon malsucedidas e tomar medidas subsequentes quando o número máximo
de tentativas for excedido se aplica independentemente de o logon ocorrer por meio de uma conexão local ou de rede. Devido ao
potencial de negação de serviço, os bloqueios automáticos iniciados pelos sistemas são geralmente temporários e liberados
automaticamente após um período predeterminado,
período de tempo definido pela organização. Se um algoritmo de atraso for selecionado, as organizações poderão empregar
algoritmos diferentes para diferentes componentes do sistema com base nas capacidades desses componentes. As respostas a
tentativas malsucedidas de logon podem ser implementadas no sistema operacional e nos níveis do aplicativo. As ações definidas
pela organização que podem ser tomadas quando o número permitido de tentativas consecutivas de logon inválido for excedido
incluem solicitar ao usuário que
responder a uma pergunta secreta além do nome de usuário e senha, invocando um modo de bloqueio com recursos limitados do
usuário (em vez de bloqueio total), permitindo que os usuários façam logon apenas a partir de endereços de protocolo de Internet
(IP) especificados, exigindo um CAPTCHA para evitar ataques automatizados, ou aplicação de perfis de usuário, como localização,
hora do dia, endereço IP, dispositivo ou controle de acesso à mídia (MAC)
endereço. Se o bloqueio automático do sistema ou a execução de um algoritmo de atraso não for implementado para apoiar o
objetivo de disponibilidade, as organizações consideram uma combinação de outras ações para ajudar a prevenir ataques de
força bruta. Além do acima exposto, as organizações podem solicitar que os usuários respondam a uma pergunta secreta antes
que o número permitido de tentativas de login malsucedidas seja excedido. Geralmente, não é permitido desbloquear
automaticamente uma conta após um período de tempo especificado. No entanto, podem ser necessárias exceções com base
na missão ou necessidade operacional.
Controles relacionados: AC-2, AC-9, AU-2, AU-6, IA-5.
(1) TENTATIVAS DE LOGON SEM SUCESSO | BLOQUEIO AUTOMÁTICO DE CONTA
(2) TENTATIVAS DE LOGON SEM SUCESSO | PURGUE OU LIMPE O DISPOSITIVO MÓVEL
Limpar ou apagar informações de [Atribuição: dispositivos móveis definidos pela organização] com base em
[Atribuição: requisitos e técnicas de limpeza ou limpeza definidos pela organização] após [Atribuição: número
definido pela organização] tentativas consecutivas e malsucedidas de logon no dispositivo.
Discussão: Um dispositivo móvel é um dispositivo de computação que possui um formato pequeno, de modo que pode ser
transportado por um único indivíduo; foi projetado para operar sem conexão física; possui armazenamento de dados local,
não removível ou removível; e inclui uma fonte de energia independente. A limpeza ou limpeza do dispositivo aplica-se
apenas a dispositivos móveis para os quais ocorre o número de logons malsucedidos definido pela organização. O logon
é para o celular

e
g
_________________________________________________________________________________________________
pe
E dispositivo, e não para qualquer conta no dispositivo. Logons bem-sucedidos em contas em dispositivos
móveis redefinem a contagem de logons malsucedidos para zero. A limpeza ou limpeza pode ser desnecessária
se as informações no dispositivo estiverem protegidas com mecanismos de criptografia suficientemente fortes.
Controles relacionados: AC-19, MP-5, MP-6.
(3) TENTATIVAS DE LOGON SEM SUCESSO | LIMITAÇÃO DE TENTATIVA BIOMÉTRICA
Limite o número de tentativas malsucedidas de logon biométrico a [Atribuição: número definido pela
organização].
Discussão: A biometria é de natureza probabilística. A capacidade de autenticação bem-sucedida pode ser

afetada por muitos fatores, incluindo o desempenho correspondente e os mecanismos de detecção de ataques
de apresentação. As organizações selecionam o número apropriado de tentativas para os usuários com base
em fatores definidos pela organização.
Controles Relacionados: IA-3.
(4) TENTATIVAS DE LOGON SEM SUCESSO | USO DE FATOR DE AUTENTICAÇÃO ALTERNATIVO
(a) Permitir o uso de [Atribuição: fatores de autenticação definidos pela organização] que sejam
diferentes dos fatores de autenticação primários após o número de tentativas consecutivas de
logon inválidas definidas pela organização ter sido excedido; e
(b) Aplicar um limite de [Atribuição: número definido pela organização] consecutivos inválidos
tentativas de logon por meio do uso de fatores alternativos por um usuário durante uma [Atribuição:
período de tempo definido pela organização].
Discussão: O uso de fatores de autenticação alternativos apoia o objetivo de disponibilidade e permite que um
usuário que tenha sido bloqueado inadvertidamente use fatores de autenticação adicionais para contornar o
bloqueio.
Referências: [SP 800-63-3], [SP 800-124].
NOTIFICAÇÃO DE USO DO SISTEMA AC-8
Ao controle:
a. Exibir [Atribuição: mensagem ou banner de notificação de uso do sistema definido pela organização] aos
usuários antes de conceder acesso ao sistema que fornece avisos de privacidade e segurança
consistentes com leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis e
declara que:
1. Os usuários estão acessando um sistema do governo dos EUA;
2. A utilização do sistema pode ser monitorizada, registada e sujeita a auditoria;
3. O uso não autorizado do sistema é proibido e sujeito a sanções penais e civis;

e
4. A utilização do sistema indica consentimento para monitoramento e registro;
b. Reter a mensagem ou banner de notificação na tela até que os usuários reconheçam as condições de uso e
tomem ações explícitas para efetuar logon ou acesso posterior ao sistema; e
c. Para sistemas acessíveis ao público:
1. Exibir informações de uso do sistema [Atribuição: condições definidas pela organização], antes
conceder maior acesso ao sistema acessível ao público;
2. Exibir referências, se houver, ao monitoramento, gravação ou auditoria que sejam consistentes com as
acomodações de privacidade para tais sistemas que geralmente proíbem essas atividades; e

e
g
_________________________________________________________________________________________________
pe
E 3. Inclua uma descrição dos usos autorizados do sistema.
Discussão: As notificações de uso do sistema podem ser implementadas por meio de mensagens ou banners de aviso exibidos
antes que os indivíduos façam login nos sistemas. As notificações de uso do sistema são usadas apenas para acesso por meio de
interfaces de logon com usuários humanos. As notificações não são necessárias quando não existem interfaces humanas. Com
base em uma avaliação de risco, as organizações consideram se uma notificação de uso do sistema secundário é necessária
ou não para acessar aplicativos ou outros recursos do sistema após o logon inicial na rede. As organizações consideram
mensagens de notificação de uso do sistema ou banners exibidos em vários idiomas com base nas necessidades
organizacionais e na demografia dos usuários do sistema. As organizações consultam o escritório de privacidade para obter
informações sobre mensagens de privacidade e o Escritório do Conselho Geral ou equivalente organizacional para revisão legal e
aprovação do conteúdo do banner de advertência.
Controles Relacionados: AC-14, PL-4, SI-4.
NOTIFICAÇÃO DE LOGON ANTERIOR AC-9
Controle: Notificar o usuário, após login bem-sucedido no sistema, sobre a data e hora do último login.
Discussão: A notificação de logon prévio é aplicável ao acesso ao sistema através de interfaces de usuário humano e ao acesso a
sistemas que ocorre em outros tipos de arquiteturas. As informações sobre o último logon bem-sucedido permitem ao usuário
reconhecer se a data e a hora fornecidas não são consistentes com o último acesso do usuário.
Controles relacionados: AC-7, PL-4.
(1) NOTIFICAÇÃO DE LOGON ANTERIOR | LOGONS SEM SUCESSO
Notifique o usuário, após o logon bem-sucedido, sobre o número de tentativas de logon malsucedidas desde o último
logon bem-sucedido.
Discussão: As informações sobre o número de tentativas de logon malsucedidas desde o último logon bem-sucedido
permitem que o usuário reconheça se o número de tentativas de logon malsucedidas é consistente com as tentativas de logon
reais do usuário.
(2) NOTIFICAÇÃO DE LOGON ANTERIOR | LOGONS BEM SUCEDIDO E MAL SUCEDIDO
Notifique o usuário, após logon bem-sucedido, sobre o número de [Seleção: logons bem-sucedidos; tentativas
de login malsucedidas; ambos] durante [Atribuição: período de tempo definido pela organização].
Discussão: As informações sobre o número de tentativas de logon bem-sucedidas e malsucedidas dentro de um período
de tempo especificado permitem que o usuário reconheça se o número e o tipo de tentativas de logon são consistentes com
as tentativas de logon reais do usuário.
(3) NOTIFICAÇÃO DE LOGON ANTERIOR | NOTIFICAÇÃO DE ALTERAÇÕES DE CONTA
Notificar o usuário, após o logon bem-sucedido, sobre alterações em [Atribuição: características ou parâmetros
relacionados à segurança definidos pela organização ou parâmetros da conta do usuário] durante [Atribuição:
Discussão: As informações sobre alterações nas características da conta relacionadas à segurança dentro de um período
de tempo especificado permitem que os usuários reconheçam se as alterações foram feitas sem o seu
conhecimento.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: Nenhum.
(4) NOTIFICAÇÃO DE LOGON ANTERIOR | INFORMAÇÕES ADICIONAIS DE LOGON
Notifique o usuário, após o logon bem-sucedido, sobre as seguintes informações adicionais:

[Atribuição: informações adicionais definidas pela organização].
Discussão: As organizações podem especificar informações adicionais a serem fornecidas aos usuários no logon, incluindo
o local do último logon. A localização do usuário é definida como informação que
pode ser determinado por sistemas, como endereços de protocolo da Internet (IP) a partir dos quais ocorreram logons de rede,
notificações de logons locais ou identificadores de dispositivos.
CONTROLE DE SESSÃO SIMULTÂNEA AC-10
Controle: Limite o número de sessões simultâneas para cada [Atribuição: conta definida pela organização e/ ou tipo de conta]
para [Atribuição: número definido pela organização].
Discussão: As organizações podem definir o número máximo de sessões simultâneas para contas do sistema globalmente, por
tipo de conta, por conta ou qualquer combinação destes. Por exemplo, as organizações podem limitar o número de
sessões simultâneas para administradores de sistema ou outros indivíduos que trabalham em domínios particularmente sensíveis
ou em aplicações de missão crítica. O controle de sessão simultânea aborda sessões simultâneas para contas do sistema. No
entanto, ele não aborda sessões simultâneas de usuários únicos por meio de múltiplas contas de sistema.
BLOQUEIO DO DISPOSITIVO AC-11
Ao controle:
a. Impedir acesso adicional ao sistema [Seleção (um ou mais): iniciar um bloqueio de dispositivo após [Atribuição: período de tempo
definido pela organização] de inatividade; exigir que o usuário inicie um bloqueio do dispositivo antes de deixar o sistema
sem supervisão]; e
b. Mantenha o bloqueio do dispositivo até que o usuário restabeleça o acesso usando procedimentos estabelecidos de identificação
e autenticação.
Discussão: Os bloqueios de dispositivos são ações temporárias tomadas para impedir o acesso lógico aos sistemas organizacionais
quando os usuários param de trabalhar e se afastam das imediações desses sistemas, mas não desejam se desconectar devido à
natureza temporária de suas ausências. Os bloqueios de dispositivos podem ser implementados no nível do sistema operacional
ou no nível do aplicativo. Um bloqueio de proximidade pode ser usado para iniciar o bloqueio do dispositivo (por exemplo, através
de um dispositivo ou dongle habilitado para Bluetooth). Iniciado pelo usuário
o bloqueio do dispositivo é baseado em comportamento ou política e, como tal, exige que os usuários tomem medidas físicas para
iniciar o bloqueio do dispositivo. Os bloqueios de dispositivos não são um substituto aceitável para o logout dos sistemas, como
quando as organizações exigem que os usuários façam logout no final do dia útil.
Controles Relacionados: AC-2, AC-7, IA-11, PL-4.
(1) BLOQUEIO DO DISPOSITIVO | DISPLAYS PARA OCULTAR PADRÕES
Ocultar, através do bloqueio do dispositivo, informações anteriormente visíveis no display com uma imagem visível
publicamente.

e
g
_________________________________________________________________________________________________
pe
E Discussão: A exibição de ocultação de padrões pode incluir imagens estáticas ou dinâmicas, como
padrões usados com protetores de tela, imagens fotográficas, cores sólidas, relógio, indicador de carga da bateria ou
uma tela em branco com a ressalva de que informações controladas não classificadas não são exibidas.
TÉRMINO DA SESSÃO AC-12
Controle: Encerre automaticamente uma sessão de usuário após [Atribuição: condições definidas pela organização ou
eventos acionadores que exigem desconexão da sessão].
Discussão: O encerramento de sessão aborda o encerramento de sessões lógicas iniciadas pelo usuário (em contraste com o
SC-10, que trata do encerramento de conexões de rede associadas a sessões de comunicação (isto é, desconexão de rede)).
Uma sessão lógica (para acesso local, de rede e remoto) é iniciada sempre que um usuário (ou processo agindo em nome de
um usuário) acessa um sistema organizacional. Essas sessões de usuário podem ser encerradas sem encerrar as sessões de
rede. O encerramento da sessão encerra todos os processos associados à sessão lógica de um usuário, exceto aqueles
processos criados especificamente pelo usuário (ou seja, o proprietário da sessão) para continuar após o término da sessão. As
condições ou eventos desencadeadores que exigem o encerramento automático da sessão incluem períodos de inatividade do usuário
definidos pela organização, respostas direcionadas a determinados tipos de incidentes ou restrições de horário no uso do sistema.
Controles Relacionados: MA-4, SC-10, SC-23.
(1) TÉRMINO DA SESSÃO | LOGOUTS INICIADOS PELO USUÁRIO
Forneça um recurso de logout para sessões de comunicação iniciadas pelo usuário sempre que a
autenticação for usada para obter acesso a [Atribuição: recursos de informação definidos pela organização].
Discussão: Os recursos de informação aos quais os usuários obtêm acesso por meio de autenticação incluem estações de
trabalho locais, bancos de dados e sites protegidos por senha ou serviços baseados na Web.
(2) TÉRMINO DA SESSÃO | MENSAGEM DE RESCISÃO
Exiba uma mensagem explícita de logout aos usuários indicando o término das sessões de comunicação
autenticadas.
Discussão: Mensagens de logout para acesso à web podem ser exibidas após o término das sessões autenticadas. No
entanto, para certos tipos de sessões, incluindo sessões de protocolo de transferência de arquivos (FTP), os sistemas
normalmente enviam mensagens de logout como mensagens finais antes de encerrar as sessões.
(3) TÉRMINO DA SESSÃO | MENSAGEM DE AVISO DE TEMPO LIMITE
Exiba uma mensagem explícita aos usuários indicando que a sessão terminará em [Atribuição: tempo definido
pela organização até o final da sessão].
Discussão: Para aumentar a usabilidade, notifique os usuários sobre o encerramento pendente da sessão e solicite que
eles continuem a sessão. O período de encerramento da sessão pendente é baseado nos parâmetros definidos no controle
base AC-12 .

e
g
_________________________________________________________________________________________________
pe
E SUPERVISÃO E REVISÃO AC-13 — CONTROLE DE ACESSO
[Retirado: Incorporado em AC-2 e AU-6.]
AC-14 AÇÕES PERMITIDAS SEM IDENTIFICAÇÃO OU AUTENTICAÇÃO
Ao controle:
a. Identifique [Atribuição: ações do usuário definidas pela organização] que podem ser executadas no
sistema sem identificação ou autenticação consistente com a missão organizacional e funções de negócio; e
b. Documentar e fornecer justificativa de apoio no plano de segurança do sistema, ações do usuário

não exigindo identificação ou autenticação.
Discussão: Ações específicas do usuário podem ser permitidas sem identificação ou autenticação se as organizações
determinarem que a identificação e a autenticação não são necessárias para as ações especificadas do usuário. As
organizações podem permitir um número limitado de ações de usuários sem identificação ou autenticação, inclusive
quando indivíduos acessam sites públicos ou outros sistemas federais acessíveis ao público, quando indivíduos
usam telefones celulares para receber chamadas ou quando faxes são recebidos. As organizações identificam
ações que normalmente requerem identificação ou autenticação, mas podem, em certas circunstâncias, permitir que os
mecanismos de identificação ou autenticação sejam contornados. Tais desvios podem ocorrer, por exemplo,
através de um comutador físico legível por software que comanda o desvio da funcionalidade de logon e é protegido
contra uso acidental ou não monitorado. Permitir ações sem identificação ou autenticação não se aplica a situações
em que a identificação e a autenticação já tenham ocorrido e não sejam repetidas, mas sim a situações em que a
identificação e a autenticação ainda não tenham ocorrido. As organizações podem decidir que não há ações de usuário
que possam ser executadas em sistemas organizacionais sem identificação e autenticação e, portanto, o valor da
operação de atribuição pode ser “nenhum”.
Controles Relacionados: AC-8, IA-2, PL-2.
(1) AÇÕES PERMITIDAS SEM IDENTIFICAÇÃO OU AUTENTICAÇÃO | USOS NECESSÁRIOS

MARCAÇÃO AUTOMATIZADA AC-15
[Retirado: Incorporado ao MP-3.]
ATRIBUTOS DE SEGURANÇA E PRIVACIDADE AC-16
Ao controle:
a. Fornecer os meios para associar [Atribuição: tipos de atributos de segurança e privacidade definidos pela
organização] com [Atribuição: valores de atributos de segurança e privacidade definidos pela organização]
para informações em armazenamento, em processo e/ou em transmissão;
b. Garantir que as associações de atributos sejam feitas e retidas com as informações;
c. Estabeleça os seguintes atributos permitidos de segurança e privacidade a partir dos atributos definidos em AC-16a
para [Atribuição: sistemas definidos pela organização]: [Atribuição: atributos de segurança e privacidade definidos
pela organização];

e
g
_________________________________________________________________________________________________
pe
E d. Determine os seguintes valores ou intervalos de atributos permitidos para cada um dos atributos estabelecidos:
[Atribuição: valores ou intervalos de atributos definidos pela organização para atributos estabelecidos];
e. Auditar alterações em atributos; e
f. Revise [Atribuição: atributos de segurança e privacidade definidos pela organização] quanto à aplicabilidade
[Atribuição: frequência definida pela organização].
Discussão: A informação é representada internamente nos sistemas usando abstrações conhecidas como estruturas
de dados. As estruturas de dados internas podem representar diferentes tipos de entidades, tanto ativas quanto passivas.
Entidades ativas, também conhecidas como sujeitos, normalmente estão associadas a indivíduos, dispositivos ou
processos que atuam em nome de indivíduos. Entidades passivas, também conhecidas como objetos, são normalmente
associadas a estruturas de dados, como registros, buffers, tabelas, arquivos, canais entre processos e portas de
comunicação. Atributos de segurança, uma forma de metadados, são abstrações que representam as propriedades
ou características básicas de entidades ativas e passivas no que diz respeito à proteção de informações. Os atributos
de privacidade, que podem ser usados independentemente ou em conjunto com atributos de segurança, representam
as propriedades ou características básicas de entidades ativas ou passivas no que diz respeito ao gerenciamento
de informações de identificação pessoal. Os atributos podem ser associados explícita ou implicitamente às
informações contidas nos sistemas organizacionais ou nos componentes do sistema.
Os atributos podem estar associados a entidades ativas (isto é, sujeitos) que têm o potencial de enviar ou receber
informações, fazer com que informações fluam entre objetos ou alterar o estado do sistema. Esses atributos também
podem estar associados a entidades passivas (isto é, objetos) que contêm ou recebem informações. A associação
de atributos a assuntos e objetos por um sistema é chamada de ligação e inclui a definição do valor do atributo e do
tipo de atributo. Os atributos, quando vinculados a dados ou informações, permitem a aplicação de políticas de
segurança e privacidade para controle de acesso e controle de fluxo de informações, incluindo limites de retenção de
dados, usos permitidos de informações de identificação pessoal e identificação de informações pessoais
em objetos de dados. Essa aplicação ocorre através de processos organizacionais ou funções ou mecanismos
de sistema. As técnicas de ligação implementadas pelos sistemas afetam a força da ligação de atributos às
informações. A força vinculativa e a garantia associada às técnicas vinculativas desempenham um papel importante
na confiança que as organizações têm no processo de aplicação do fluxo de informações. As técnicas vinculativas
afetam o número e o grau de revisões adicionais exigidas pelas organizações. O conteúdo ou os valores atribuídos
aos atributos podem afetar diretamente a capacidade dos indivíduos de acessar informações organizacionais.
As organizações podem definir os tipos de atributos necessários para que os sistemas apoiem missões ou
funções de negócios. Existem muitos valores que podem ser atribuídos a um atributo de segurança. Ao
especificar os intervalos e valores de atributos permitidos, as organizações garantem que os valores dos atributos
sejam significativos e relevantes. A rotulagem refere-se à associação de atributos com os sujeitos e objetos
representados pelas estruturas de dados internas dos sistemas. Isto facilita a aplicação baseada no sistema de
políticas de segurança e privacidade da informação. Os rótulos incluem classificação de informações de acordo com
requisitos legais e de conformidade (por exemplo, ultrassecreto, secreto, confidencial, controlado não classificado),
nível de impacto da informação; informações de ativos de alto valor,
autorizações de acesso, nacionalidade; proteção do ciclo de vida dos dados (ou seja, criptografia e expiração de dados),
permissões de processamento de informações pessoalmente identificáveis, incluindo consentimento individual
para processamento de informações pessoalmente identificáveis e afiliação ao contratante. Um termo relacionado
à rotulagem é marcação. A marcação refere-se à associação de atributos com objetos em um formato legível e
exibido na mídia do sistema. A marcação permite a aplicação manual, processual ou baseada em processos de
políticas de segurança e privacidade da informação. Os rótulos de segurança e privacidade podem ter o mesmo valor
que as marcações de mídia (por exemplo, ultrassecreto, secreto, confidencial). Consulte MP-3 (Mídia
Marcação).

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: AC-3, AC-4, AC-6, AC-21, AC-25, AU-2, AU-10, MP-3, PE-22, PT-2, PT-3, PT-4 ,
SC-11, SC-16, SI-12, SI-18.
(1) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | ASSOCIAÇÃO DINÂMICA DE ATRIBUTOS
Associe dinamicamente atributos de segurança e privacidade a [Atribuição: assuntos e objetos definidos pela
organização] de acordo com as seguintes políticas de segurança e privacidade
à medida que as informações são criadas e combinadas: [Atribuição: políticas de segurança e privacidade definidas
Discussão: A associação dinâmica de atributos é apropriada sempre que as características de segurança ou

privacidade da informação mudam ao longo do tempo. Os atributos podem mudar devido a problemas de agregação
de informações (ou seja, as características dos elementos de dados individuais são diferentes dos elementos combinados),
alterações nas autorizações de acesso individuais (ou seja, privilégios),
mudanças na categoria de segurança das informações ou mudanças nas políticas de segurança ou privacidade.
Os atributos também podem mudar de acordo com a situação.
(2) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | ALTERAÇÕES DE VALOR DE ATRIBUTOS POR INDIVÍDUOS AUTORIZADOS
Fornecer a indivíduos autorizados (ou processos que atuem em nome de indivíduos) a capacidade de definir ou
alterar o valor dos atributos de segurança e privacidade associados.
Discussão: O conteúdo ou os valores atribuídos aos atributos podem afetar diretamente a capacidade dos indivíduos de
acessar informações organizacionais. Portanto, é importante que os sistemas sejam capazes de limitar a capacidade de criar
ou modificar atributos a indivíduos autorizados.
(3) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | MANUTENÇÃO DE ASSOCIAÇÕES DE ATRIBUTOS POR SISTEMA
Manter a associação e integridade de [Atribuição: atributos de segurança e privacidade definidos pela organização]
a [Atribuição: assuntos e objetos definidos pela organização].
Discussão: Manter a associação e a integridade dos atributos de segurança e privacidade para assuntos e objetos com
segurança suficiente ajuda a garantir que as associações de atributos possam ser usadas como base para ações políticas
automatizadas. A integridade de itens específicos, como arquivos de configuração de segurança, pode ser mantida por meio
do uso de um mecanismo de monitoramento de integridade que detecta anomalias e alterações que se desviam das linhas
de base “conhecidamente boas”.
As ações políticas automatizadas incluem expirações de datas de retenção, decisões de controle de acesso, decisões
de controle de fluxo de informações e decisões de divulgação de informações.
(4) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | ASSOCIAÇÃO DE ATRIBUTOS POR PESSOAS AUTORIZADAS
Fornecer a capacidade de associar [Atribuição: atributos de segurança e privacidade definidos pela organização] a
[Atribuição: assuntos e objetos definidos pela organização] por indivíduos autorizados (ou processos que atuem
em nome de indivíduos).
Discussão: Os sistemas, em geral, fornecem aos usuários privilegiados a capacidade de atribuir atributos de segurança e
privacidade a assuntos (por exemplo, usuários) e objetos (por exemplo, diretórios, arquivos e portas) definidos pelo sistema.
Alguns sistemas fornecem capacidade adicional para usuários em geral atribuirem atributos de segurança e privacidade
a objetos adicionais (por exemplo, arquivos, e-mails). A associação de atributos por pessoas autorizadas está descrita na
documentação de projeto. O suporte fornecido pelos sistemas pode incluir solicitar aos usuários que selecionem atributos
de segurança e privacidade a serem associados aos objetos de informação, empregando mecanismos automatizados para
categorizar informações com atributos baseados em políticas definidas ou garantir que a combinação dos atributos de
segurança ou privacidade selecionados seja válida. As organizações consideram a criação, exclusão ou modificação de
atributos ao definir eventos auditáveis.

e
g
_________________________________________________________________________________________________
pe
(5) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | EXIBIÇÕES DE ATRIBUTOS EM OBJETOS A SEREM SAÍDAS
Exibir atributos de segurança e privacidade em formato legível por humanos em cada objeto que o sistema
transmite para dispositivos de saída para identificar [Atribuição: instruções especiais de disseminação, manuseio
ou distribuição definidas pela organização] usando [Atribuição: nomenclatura padrão legível por humanos
definida pela organização convenções].
Discussão: As saídas do sistema incluem páginas impressas, telas ou itens equivalentes. Os dispositivos de saída do
sistema incluem impressoras, notebooks, monitores de vídeo, smartphones e tablets. Para mitigar o risco de exposição
não autorizada de informações (por exemplo, navegação no ombro), as saídas exibem valores completos de atributos quando
desmascaradas pelo assinante.
(6) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | MANUTENÇÃO DA ASSOCIAÇÃO DE ATRIBUTOS
Exigir que o pessoal associe e mantenha a associação de [Atribuição: atributos de segurança e privacidade definidos
pela organização] com [Atribuição: assuntos e objetos definidos pela organização] de acordo com [Atribuição:
políticas de segurança e privacidade definidas pela organização].
Discussão: Manter a associação de atributos exige que usuários individuais (em oposição ao sistema) mantenham
associações de atributos de segurança e privacidade definidos com assuntos e objetos.
(7) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | INTERPRETAÇÃO CONSISTENTE DE ATRIBUTOS
Fornece uma interpretação consistente dos atributos de segurança e privacidade transmitidos entre componentes de
sistemas distribuídos.
Discussão: Para impor políticas de segurança e privacidade em vários componentes do sistema em sistemas distribuídos,
as organizações fornecem uma interpretação consistente dos atributos de segurança e privacidade empregados na aplicação
de acesso e nas decisões de aplicação de fluxo. As organizações podem estabelecer acordos e processos para ajudar a
garantir que os componentes do sistema distribuído implementem atributos com interpretações consistentes na aplicação
automatizada de acesso e nas ações de aplicação de fluxo.
(8) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | TÉCNICAS E TECNOLOGIAS DE ASSOCIAÇÃO
Implementar [Atribuição: técnicas e tecnologias definidas pela organização] na associação de atributos de segurança
e privacidade às informações.
Discussão: A associação de atributos de segurança e privacidade às informações dentro dos sistemas é importante para a
condução de ações automatizadas de fiscalização de acesso e fiscalização de fluxo.
A associação de tais atributos à informação (ou seja, vinculação) pode ser realizada com tecnologias e técnicas que
proporcionem diferentes níveis de segurança. Por exemplo, os sistemas podem vincular criptograficamente atributos a
informações usando assinaturas digitais que suportam chaves criptográficas protegidas por dispositivos de hardware (às
vezes conhecidas como raízes de confiança de hardware).
Controles Relacionados: SC-12, SC-13.
(9) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | REMODELAÇÃO DE ATRIBUTOS — MECANISMOS DE REGRADAÇÃO
Alterar atributos de segurança e privacidade associados às informações apenas por meio de mecanismos de
reclassificação validados usando [Atribuição: técnicas ou procedimentos definidos pela organização].
Discussão: Um mecanismo de reclassificação é um processo confiável autorizado a reclassificar e renomear dados de acordo
com uma exceção de política definida. Mecanismos de reclassificação validados são

e
g
_________________________________________________________________________________________________
pe
E usado pelas organizações para fornecer os níveis de garantia necessários para atividades de reatribuição de atributos. A
validação é facilitada garantindo que os mecanismos de reclassificação tenham uma finalidade única e uma função
limitada. Como as alterações nos atributos de segurança e privacidade podem afetar diretamente as ações de aplicação
de políticas, é necessária a implementação de mecanismos de reclassificação confiáveis para ajudar a garantir que
tais mecanismos funcionem em um modo de operação consistente e correto.
(10) ATRIBUTOS DE SEGURANÇA E PRIVACIDADE | CONFIGURAÇÃO DE ATRIBUTOS POR INDIVÍDUOS AUTORIZADOS
Fornecer aos indivíduos autorizados a capacidade de definir ou alterar o tipo e o valor dos atributos de segurança
e privacidade disponíveis para associação com assuntos e objetos.
Discussão: O conteúdo ou valores atribuídos aos atributos de segurança e privacidade podem afetar diretamente a
capacidade dos indivíduos de acessar informações organizacionais. Assim, é importante que os sistemas sejam capazes de
limitar a capacidade de criar ou modificar o tipo e o valor dos atributos disponíveis para associação com sujeitos e objetos
apenas a indivíduos autorizados.
Referências: [OMB A-130], [FIPS 140-3], [FIPS 186-4], [SP 800-162], [SP 800-178].
ACESSO REMOTO AC-17

Ao controle:
a. Estabelecer e documentar restrições de uso, requisitos de configuração/conexão e orientações de implementação para cada
tipo de acesso remoto permitido; e
b. Autorize cada tipo de acesso remoto ao sistema antes de permitir tais conexões.
Discussão: O acesso remoto é o acesso a sistemas organizacionais (ou processos que actuam em nome dos utilizadores) que
comunicam através de redes externas, como a Internet. Os tipos de acesso remoto incluem dial-up, banda larga e sem fio. As
organizações usam redes privadas virtuais (VPNs) criptografadas para aumentar a confidencialidade e a integridade das conexões
remotas. O uso de VPNs criptografadas fornece garantia suficiente à organização de que ela pode efetivamente tratar essas
conexões como redes internas se os mecanismos criptográficos utilizados forem implementados de acordo com as leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. Ainda assim, as conexões VPN
atravessam redes externas e a VPN criptografada não aumenta a disponibilidade de conexões remotas. VPNs com túneis
criptografados também podem afetar a capacidade de monitorar adequadamente o tráfego de comunicações de rede em busca
de códigos maliciosos. Os controles de acesso remoto aplicam-se a sistemas que não sejam servidores web públicos ou sistemas
projetados para acesso público. A autorização de cada tipo de acesso remoto aborda a autorização antes de permitir o acesso
remoto sem especificar os formatos específicos para tal autorização. Embora as organizações possam usar acordos de troca de
informações e de segurança de conexão de sistema para gerenciar conexões de acesso remoto a outros sistemas, tais
acordos são tratados como parte do CA-3. A aplicação de restrições de acesso para acesso remoto é abordada via AC-3.
Controles relacionados: AC-2, AC-3, AC-4, AC-18, AC-19, AC-20, CA-3, CM-10, IA-2, IA-3, IA-8, MA-4 , PE-17, PL-2, PL-4, SC-10,
SC-12, SC-13, SI-4.
(1) ACESSO REMOTO | MONITORAMENTO E CONTROLE
Empregue mecanismos automatizados para monitorar e controlar métodos de acesso remoto.
Discussão: O monitoramento e o controle de métodos de acesso remoto permitem que as organizações detectem
ataques e ajudem a garantir a conformidade com as políticas de acesso remoto, auditando as atividades de conexão
de usuários remotos em uma variedade de componentes do sistema, incluindo servidores,

e
g
_________________________________________________________________________________________________
pe
E notebooks, estações de trabalho, smartphones e tablets. O registro de auditoria para acesso remoto é imposto pelo
AU-2. Os eventos de auditoria são definidos em AU-2a.
Controles relacionados: AU-2, AU-6, AU-12, AU-14.
(2) ACESSO REMOTO | PROTEÇÃO DE CONFIDENCIALIDADE E INTEGRIDADE USANDO CRIPTOGRAFIA
Implemente mecanismos criptográficos para proteger a confidencialidade e integridade das sessões de

acesso remoto.
Discussão: As redes privadas virtuais podem ser usadas para proteger a confidencialidade e a integridade das sessões
de acesso remoto. Transport Layer Security (TLS) é um exemplo de protocolo criptográfico que fornece segurança de
comunicação ponta a ponta em redes e é usado para comunicações pela Internet e transações online.
Controles relacionados: SC-8, SC-12, SC-13.
(3) ACESSO REMOTO | PONTOS DE CONTROLE DE ACESSO GERENCIADOS
Roteie acessos remotos através de pontos de controle de acesso à rede autorizados e gerenciados.
Discussão: As organizações consideram os requisitos da iniciativa Trusted Internet Connections (TIC) [DHS TIC] para
conexões de rede externa, uma vez que limitar o número de pontos de controle de acesso para acesso remoto
reduz as superfícies de ataque.
(4) ACESSO REMOTO | COMANDOS E ACESSO PRIVILEGIADOS
(a) Autorizar a execução de comandos privilegiados e o acesso a informações relevantes para a segurança
informações via acesso remoto apenas em um formato que forneça evidências avaliáveis e para as
seguintes necessidades: [Atribuição: necessidades definidas pela organização]; e
(b) Documentar a justificativa para o acesso remoto no plano de segurança do sistema.
Discussão: O acesso remoto aos sistemas representa uma vulnerabilidade potencial significativa que pode ser
explorada por adversários. Como tal, restringir a execução de comandos privilegiados e o acesso a informações
relevantes para a segurança através de acesso remoto reduz a exposição da organização e a suscetibilidade a ameaças
de adversários à capacidade de acesso remoto.
Controles relacionados: AC-6, SC-12, SC-13.
(5) ACESSO REMOTO | MONITORAMENTO DE CONEXÕES NÃO AUTORIZADAS
[Retirado: Incorporado ao SI-4.]
(6) ACESSO REMOTO | PROTEÇÃO DE INFORMAÇÕES DO MECANISMO
Proteja informações sobre mecanismos de acesso remoto contra uso não autorizado e
divulgação.
Discussão: O acesso remoto a informações organizacionais por entidades não organizacionais pode aumentar o risco
de uso não autorizado e divulgação sobre mecanismos de acesso remoto. A organização considera incluir requisitos de
acesso remoto nos acordos de troca de informações com outras organizações, conforme aplicável. Os requisitos de
acesso remoto também podem ser incluídos em regras de comportamento (ver PL-4) e acordos de acesso (ver PS-6).
Controles relacionados: AT-2, AT-3, PS-6.
(7) ACESSO REMOTO | PROTEÇÃO ADICIONAL PARA ACESSO ÀS FUNÇÕES DE SEGURANÇA
[Retirado: Incorporado em AC-3(10).]
(8) ACESSO REMOTO | DESATIVAR PROTOCOLOS DE REDE NÃO SEGUROS
[Retirado: Incorporado ao CM-7.]
(9) ACESSO REMOTO | DESCONECTAR OU DESATIVAR O ACESSO

e
g
_________________________________________________________________________________________________
pe
E Forneça a capacidade de desconectar ou desabilitar o acesso remoto ao sistema dentro de
[Atribuição: período de tempo definido pela organização].
Discussão: A velocidade de desconexão ou desativação do sistema varia de acordo com a criticidade das missões
ou funções de negócios e a necessidade de eliminar o acesso remoto imediato ou futuro
aos sistemas.
(10) ACESSO REMOTO | AUTENTICAR COMANDOS REMOTOS
Implemente [Atribuição: mecanismos definidos pela organização] para autenticar [Atribuição: comandos
remotos definidos pela organização].
Discussão: A autenticação de comandos remotos protege contra comandos não autorizados e a repetição de
comandos autorizados. A capacidade de autenticar comandos remotos é importante para sistemas
remotos para os quais a perda, mau funcionamento, desvio de direção ou exploração teria consequências
imediatas ou graves, como ferimentos, morte, danos materiais,
perda de ativos de alto valor, falha de missão ou funções de negócios ou comprometimento de informações
classificadas ou controladas não classificadas. Mecanismos de autenticação para comandos remotos
garantir que os sistemas aceitem e executem comandos na ordem pretendida, executem apenas comandos
autorizados e rejeitem comandos não autorizados. Mecanismos criptográficos podem ser usados, por exemplo,
para autenticar comandos remotos.
Controles Relacionados: SC-12, SC-13, SC-23.
Referências: [SP 800-46], [SP 800-77], [SP 800-113], [SP 800-114], [SP 800-121], [IR 7966].
ACESSO SEM FIO AC-18

Ao controle:
a. Estabeleça requisitos de configuração, requisitos de conexão e implementação

orientação para cada tipo de acesso sem fio; e
b. Autorize cada tipo de acesso sem fio ao sistema antes de permitir tais conexões.
Discussão: As tecnologias sem fio incluem microondas, pacotes de rádio (frequência ultra-alta ou frequência muito
alta), 802.11x e Bluetooth. As redes sem fio usam protocolos de autenticação que
fornecer proteção de autenticador e autenticação mútua.
Controles relacionados: AC-2, AC-3, AC-17, AC-19 , CA-9, CM-7, IA -2, IA-3, IA-8, PL-4, SC-40, SC-43 , SI-4.
(1) ACESSO SEM FIO | AUTENTICAÇÃO E CRIPTOGRAFIA
Proteja o acesso sem fio ao sistema usando autenticação de [Seleção (um ou mais): usuários;
dispositivos] e criptografia.
Discussão: Os recursos de rede sem fio representam uma vulnerabilidade potencial significativa que pode ser
explorada por adversários. Para proteger sistemas com pontos de acesso sem fio, a autenticação forte de
usuários e dispositivos, juntamente com uma criptografia forte, pode reduzir a suscetibilidade a ameaças de
adversários que envolvem tecnologias sem fio.
(2) ACESSO SEM FIO | MONITORAMENTO DE CONEXÕES NÃO AUTORIZADAS
(3) ACESSO SEM FIO | DESATIVAR REDE SEM FIO
Desative, quando não for destinado ao uso, os recursos de rede sem fio incorporados aos
componentes do sistema antes da emissão e implantação.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Os recursos de rede sem fio incorporados aos componentes do sistema representam uma vulnerabilidade potencial
significativa que pode ser explorada por adversários. Desativar recursos sem fio quando não forem necessários para missões
ou funções organizacionais essenciais pode reduzir a suscetibilidade a ameaças de adversários que envolvam tecnologias
sem fio.
(4) ACESSO SEM FIO | RESTRITAR CONFIGURAÇÕES POR USUÁRIOS
Identifique e autorize explicitamente os usuários com permissão para configurar recursos de rede sem fio
de forma independente.
Discussão: As autorizações organizacionais para permitir que usuários selecionados configurem recursos de rede sem
fio são impostas, em parte, pelos mecanismos de fiscalização de acesso empregados nos sistemas organizacionais.
(5) ACESSO SEM FIO | ANTENAS E NÍVEIS DE POTÊNCIA DE TRANSMISSÃO
Selecione antenas de rádio e calibre os níveis de potência de transmissão para reduzir a probabilidade de que os
sinais dos pontos de acesso sem fio possam ser recebidos fora dos limites controlados pela organização.
Discussão: As ações que podem ser tomadas para limitar o uso não autorizado de comunicações sem fio fora dos limites
controlados pela organização incluem a redução do poder das transmissões sem fio para que as transmissões sejam
menos propensas a emitir um sinal que possa ser capturado fora dos perímetros físicos da organização , empregando
medidas como segurança de emissões para controlar as emanações sem fio e usando antenas direcionais ou de
formação de feixe que reduzem a probabilidade de receptores não intencionais serem capazes de interceptar sinais.
Antes de tomar tais ações de mitigação, as organizações podem realizar pesquisas sem fio periódicas para
compreender o perfil de radiofrequência dos sistemas organizacionais, bem como de outros sistemas que possam estar
operando na área.
Controles Relacionados: PE-19.
Referências: [SP 800-94], [SP 800-97].
CONTROLE DE ACESSO AC-19 PARA DISPOSITIVOS MÓVEIS
Ao controle:
a. Estabeleça requisitos de configuração, requisitos de conexão e implementação

orientação para dispositivos móveis controlados pela organização, incluindo quando tais dispositivos estão fora de
áreas controladas; e
b. Autorizar a conexão de dispositivos móveis a sistemas organizacionais.
Discussão: Um dispositivo móvel é um dispositivo de computação que possui um formato pequeno, de modo que pode ser
facilmente transportado por um único indivíduo; foi projetado para operar sem conexão física; possui armazenamento de dados
local, não removível ou removível; e inclui uma fonte de energia independente. A funcionalidade do dispositivo móvel também pode
incluir capacidades de comunicação de voz, sensores integrados que permitem ao dispositivo capturar informações e/ou recursos
integrados para sincronizar dados locais com locais remotos. Exemplos incluem smartphones e tablets. Os dispositivos móveis
são normalmente associados a um único indivíduo. A capacidade de processamento, armazenamento e transmissão do dispositivo
móvel pode ser comparável ou meramente um subconjunto de sistemas de notebook/desktop, dependendo da natureza e da
finalidade pretendida do dispositivo. A proteção e o controle de dispositivos móveis são baseados em comportamento ou políticas
e exigem que os usuários tomem medidas físicas para proteger e controlar tais dispositivos quando estiverem fora de áreas
controladas. Áreas controladas são espaços para os quais as organizações fornecem controles físicos ou processuais para
atender aos requisitos estabelecidos para proteção de informações e sistemas.

e
g
_________________________________________________________________________________________________
pe
E Devido à grande variedade de dispositivos móveis com diferentes características e capacidades, as restrições
organizacionais podem variar para as diferentes classes ou tipos de tais dispositivos. As restrições de uso e
orientações específicas de implementação para dispositivos móveis incluem gerenciamento de configuração,
identificação e autenticação de dispositivos, implementação de software de proteção obrigatório, verificação de códigos
maliciosos em dispositivos, atualização de software de proteção contra vírus, verificação de atualizações e patches de
software críticos, condução do sistema operacional primário (e possivelmente outros softwares residentes) verificações de
integridade e desativação de hardware desnecessário.
As restrições de uso e a autorização para conexão podem variar entre os sistemas organizacionais. Por exemplo, a
organização pode autorizar a conexão de dispositivos móveis à sua rede e impor um conjunto de restrições de uso,
enquanto o proprietário do sistema pode reter a autorização para conexão de dispositivos móveis a aplicações específicas
ou impor restrições de uso adicionais antes de permitir conexões de dispositivos móveis a um sistema. . A segurança
adequada para dispositivos móveis vai além dos requisitos especificados no AC-19. Muitas salvaguardas para dispositivos
móveis são refletidas em outros controles. AC-20 aborda dispositivos móveis que não são controlados pela
organização.
Controles relacionados: AC-3, AC-4, AC-7, AC-11, AC-17, AC-18, AC-20, CA-9, CM-2, CM-6, IA-2, IA-3 , MP-2, MP-4,
MP-5, MP-7, PL-4, SC-7, SC-34, SC-43, SI-3, SI-4.
(1) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO GRAVÁVEIS E PORTÁTEIS
(2) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS DE PROPRIEDADE PESSOAL
(3) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | USO DE DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS SEM
PROPRIETÁRIO IDENTIFICÁVEL
(4) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | RESTRIÇÕES PARA INFORMAÇÕES CLASSIFICADAS
(a) Proibir o uso de dispositivos móveis não classificados em instalações que contenham sistemas
processar, armazenar ou transmitir informações classificadas, a menos que especificamente permitido
pelo funcionário responsável pela autorização; e
(b) Aplicar as seguintes restrições aos indivíduos autorizados pelo funcionário responsável pela autorização
a utilizar dispositivos móveis não classificados em instalações que contenham sistemas de
processamento, armazenamento ou transmissão de informações confidenciais:
(1) É proibida a conexão de dispositivos móveis não classificados a sistemas classificados;
(2) A conexão de dispositivos móveis não classificados a sistemas não classificados requer
aprovação do gestor orçamentário;
(3) É proibido o uso de modems internos ou externos ou interfaces sem fio em dispositivos móveis não
classificados; e
(4) Os dispositivos móveis não classificados e as informações armazenadas nesses dispositivos são
sujeito a revisões e inspeções aleatórias por [Atribuição: funcionários de segurança definidos pela
organização], e se forem encontradas informações confidenciais, a política de tratamento de
incidentes será seguida.
(c) Restringir a conexão de dispositivos móveis classificados a sistemas classificados de acordo com
com [Atribuição: políticas de segurança definidas pela organização].
Discussão: Nenhuma.
Controles relacionados: CM-8, IR-4.
(5) CONTROLE DE ACESSO PARA DISPOSITIVOS MÓVEIS | CRIPTOGRAFIA COMPLETA BASEADA EM DISPOSITIVO OU RECIPIENTE

e
g
_________________________________________________________________________________________________
pe
E Empregar [Seleção: criptografia completa do dispositivo; criptografia baseada em contêiner] para
proteger a confidencialidade e integridade das informações em [Atribuição: dispositivos móveis definidos
Discussão: A criptografia baseada em contêineres fornece uma abordagem mais refinada para dados e
criptografia de informações em dispositivos móveis, incluindo criptografia de estruturas de dados selecionadas,
como arquivos, registros ou campos.
AC-20 USO DE SISTEMAS EXTERNOS

Ao controle:
a. [Seleção (um ou mais): Estabelecer [Atribuição: termos e condições definidos pela organização];
Identificar [Atribuição: controles definidos pela organização declarados para serem implementados em sistemas
externos]], consistente com as relações de confiança estabelecidas com outras organizações que possuem,
operam e/ou mantêm sistemas externos, permitindo que indivíduos autorizados:
1. Acesse o sistema a partir de sistemas externos; e
2. Processar, armazenar ou transmitir informações controladas pela organização usando sistemas externos;
ou
b. Proibir o uso de [Atribuição: tipos de sistemas externos definidos pela organização].
Discussão: Sistemas externos são sistemas usados, mas não fazem parte de sistemas organizacionais,
e para os quais a organização não tem controle direto sobre a implementação dos controles necessários ou a
avaliação da eficácia dos controles. Os sistemas externos incluem sistemas, componentes ou dispositivos de
propriedade pessoal; dispositivos de computação e comunicação de propriedade privada em instalações comerciais
ou públicas; sistemas pertencentes ou controlados por organizações não federais; sistemas gerenciados por
empreiteiros; e sistemas de informação federais que não pertencem, são operados ou estão sob a supervisão
direta ou autoridade da organização. Os sistemas externos também incluem sistemas pertencentes ou operados por
outros componentes dentro da mesma organização e sistemas dentro da organização com diferentes limites de
autorização. As organizações têm a opção de proibir o uso de qualquer tipo de sistema externo ou proibir o uso de tipos
específicos de sistemas externos (por exemplo, proibir o uso de qualquer sistema externo que não seja de propriedade
da organização ou proibir o uso de sistemas de propriedade pessoal) .
Para alguns sistemas externos (isto é, sistemas operados por outras organizações), as relações de confiança que foram
estabelecidas entre essas organizações e a organização de origem podem ser tais que não sejam necessários termos e
condições explícitos. Os sistemas dentro destas organizações não podem ser considerados externos. Estas situações
ocorrem quando, por exemplo, existem acordos de troca de informações pré-existentes (implícitos ou explícitos)
estabelecidos entre organizações ou componentes ou quando tais acordos são especificados por leis, ordens executivas,
diretivas, regulamentos, políticas ou normas aplicáveis. Indivíduos autorizados incluem pessoal organizacional,
prestadores de serviços ou outros indivíduos com acesso autorizado aos sistemas organizacionais e sobre os
quais as organizações têm autoridade para impor regras específicas de comportamento em relação a
acesso ao sistema. As restrições que as organizações impõem aos indivíduos autorizados não precisam ser
uniformes, pois as restrições podem variar dependendo das relações de confiança entre as organizações.
Portanto, as organizações podem optar por impor restrições de segurança diferentes aos empreiteiros e aos
governos estaduais, locais ou tribais.
Os sistemas externos usados para acessar interfaces públicas para sistemas organizacionais estão fora do escopo do
AC-20. As organizações estabelecem termos e condições específicos para o uso de sistemas externos de acordo com
as políticas e procedimentos de segurança organizacional. No mínimo, os termos e condições abordam os tipos
específicos de aplicativos que podem ser acessados em organizações

e
g
_________________________________________________________________________________________________
pe
E sistemas de sistemas externos e a mais alta categoria de segurança de informações que podem ser processadas,
armazenadas ou transmitidas em sistemas externos. Se os termos e condições com os proprietários dos sistemas externos
não puderem ser estabelecidos, as organizações poderão impor restrições ao pessoal organizacional que utiliza esses sistemas
externos.
Controles relacionados: AC-2, AC-3, AC-17, AC-19, CA-3, PL-2, PL-4, SA-9, SC-7.
(1) USO DE SISTEMAS EXTERNOS | LIMITES DE USO AUTORIZADO
Permitir que indivíduos autorizados usem um sistema externo para acessar o sistema ou processar, armazenar ou
transmitir informações controladas pela organização somente após:
(a) Verificação da implementação de controles no sistema externo, conforme especificado nas políticas de segurança
e privacidade e nos planos de segurança e privacidade da organização; ou
(b) Retenção de acordos aprovados de conexão ou processamento do sistema com a entidade

organizacional que hospeda o sistema externo.
Discussão: Limitar o uso autorizado reconhece circunstâncias em que indivíduos que utilizam sistemas externos
podem precisar acessar sistemas organizacionais. As organizações precisam de garantia
que os sistemas externos contenham os controles necessários para não comprometer, danificar ou de outra forma prejudicar
os sistemas organizacionais. A verificação de que os controles necessários foram implementados pode ser alcançada por
meio de avaliações externas e independentes, atestados ou outros meios, dependendo do nível de confiança exigido pelas
organizações.
(2) USO DE SISTEMAS EXTERNOS | DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS — USO RESTRITO
Restrinja o uso de dispositivos de armazenamento portáteis controlados pela organização por indivíduos
autorizados em sistemas externos usando [Atribuição: restrições definidas pela organização].
Discussão: Os limites ao uso de dispositivos de armazenamento portáteis controlados pela organização em sistemas externos
incluem restrições sobre como os dispositivos podem ser usados e sob quais condições os dispositivos podem ser usados.
Controles relacionados: MP-7, SC-41.
(3) USO DE SISTEMAS EXTERNOS | SISTEMAS DE PROPRIEDADE NÃO ORGANIZACIONAL — USO RESTRITO
Restringir o uso de sistemas ou componentes de sistema de propriedade não organizacional para processar,
armazenar ou transmitir informações organizacionais usando [Atribuição: restrições definidas pela organização].
Discussão: Sistemas ou componentes de sistema de propriedade não organizacional incluem sistemas ou componentes de
sistema de propriedade de outras organizações, bem como dispositivos de propriedade pessoal.
Existem riscos potenciais no uso de sistemas ou componentes de propriedade não organizacional. Em alguns casos, o
risco é suficientemente elevado para proibir tal uso (ver AC-20 b.). Noutros casos, a utilização de tais sistemas ou componentes
de sistema pode ser permitida, mas restringida de alguma forma.
As restrições incluem exigir a implementação de controles aprovados antes de autorizar a conexão de sistemas e
componentes de propriedade não organizacional; limitar o acesso a tipos de informações, serviços ou aplicações; usar
técnicas de virtualização para limitar atividades de processamento e armazenamento a servidores ou componentes
de sistema fornecidos pela organização; e concordando com os termos e condições de uso. As organizações
consultam o Gabinete do Conselho Geral sobre questões legais associadas à utilização de dispositivos de propriedade pessoal,
incluindo requisitos para a realização de análises forenses durante investigações após um incidente.
(4) USO DE SISTEMAS EXTERNOS | DISPOSITIVOS DE ARMAZENAMENTO ACESSÍVEIS EM REDE — USO PROIBIDO

e
g
_________________________________________________________________________________________________
pe
E Proibir o uso de [Atribuição: dispositivos de armazenamento acessíveis em rede definidos pela organização] em sistemas
externos.
Discussão: Dispositivos de armazenamento acessíveis em rede em sistemas externos incluem dispositivos de armazenamento on-line
em sistemas públicos, híbridos ou comunitários baseados em nuvem.
(5) USO DE SISTEMAS EXTERNOS | DISPOSITIVOS DE ARMAZENAMENTO PORTÁTEIS — USO PROIBIDO
Proibir o uso de dispositivos de armazenamento portáteis controlados pela organização por indivíduos autorizados
em sistemas externos.
Discussão: Os limites ao uso de dispositivos de armazenamento portáteis controlados pela organização em sistemas externos incluem
uma proibição completa do uso de tais dispositivos. A proibição de tal uso é aplicada usando métodos técnicos e/ou métodos não
técnicos (ou seja, baseados em processos).
Controles relacionados: MP-7, PL-4, PS-6, SC-41.
Referências: [FIPS 199], [SP 800-171], [SP 800-172].
COMPARTILHAMENTO DE INFORMAÇÕES AC-21
Ao controle:
a. Permitir que usuários autorizados determinem se as autorizações de acesso atribuídas a um parceiro de compartilhamento correspondem
às restrições de acesso e uso das informações para [Atribuição: circunstâncias de compartilhamento de informações definidas pela
organização onde a discrição do usuário é necessária]; e
b. Empregar [Tarefa: mecanismos automatizados ou processos manuais definidos pela organização] para
ajudar os usuários na tomada de decisões de compartilhamento de informações e colaboração.
Discussão: O compartilhamento de informações se aplica a informações que podem ser restritas de alguma forma com base em alguma
determinação formal ou administrativa. Exemplos de tais informações incluem informações confidenciais contratuais, informações classificadas
relacionadas a programas ou compartimentos de acesso especial, informações privilegiadas, informações proprietárias e informações
de identificação pessoal. Avaliações de riscos de segurança e privacidade, bem como leis, regulamentos e políticas aplicáveis podem
fornecer informações úteis para essas determinações. Dependendo das circunstâncias, os parceiros de partilha podem ser definidos a nível
individual, de grupo ou organizacional. As informações podem ser definidas por conteúdo, tipo, categoria de segurança ou programa ou
compartimento de acesso especial.
As restrições de acesso podem incluir acordos de não divulgação (NDA). Técnicas de fluxo de informações e atributos de segurança podem
ser usados para fornecer assistência automatizada aos usuários que tomam decisões de compartilhamento e colaboração.
Controles relacionados: AC-3, AC-4, AC-16, PT-2, PT-7, RA-3, SC-15.
(1) COMPARTILHAMENTO DE INFORMAÇÕES | SUPORTE AUTOMATIZADO À DECISÃO
Empregar [Atribuição: mecanismos automatizados definidos pela organização] para fazer cumprir
decisões de compartilhamento de informações por usuários autorizados com base em autorizações de acesso de
parceiros de compartilhamento e restrições de acesso às informações a serem compartilhadas.
Discussão: Mecanismos automatizados são usados para impor decisões de partilha de informações.
(2) COMPARTILHAMENTO DE INFORMAÇÕES | BUSCA E RECUPERAÇÃO DE INFORMAÇÕES
Implementar serviços de busca e recuperação de informações que imponham [Atribuição: restrições de
compartilhamento de informações definidas pela organização].
Discussão: Os serviços de busca e recuperação de informações identificam os recursos do sistema de informação relevantes para uma
necessidade de informação.

e
g
_________________________________________________________________________________________________
pe
Referências: [OMB A-130], [SP 800-150], [IR 8062].
CONTEÚDO AC-22 ACESSÍVEL PÚBLICAMENTE
Ao controle:
a. Designar indivíduos autorizados a tornar as informações acessíveis ao público;
b. Treinar indivíduos autorizados para garantir que as informações acessíveis ao público não contenham
informações não públicas;
c. Revise o conteúdo proposto das informações antes de publicá-las no sistema acessível ao público para garantir que
informações não públicas não sejam incluídas; e
d. Revise o conteúdo do sistema acessível ao público para informações não públicas

[Atribuição: frequência definida pela organização] e remover essas informações, se descobertas.
Discussão: De acordo com as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes aplicáveis, o público não
está autorizado a ter acesso a informações não públicas,
incluindo informações protegidas pelo [PRIVACT] e informações proprietárias. O conteúdo acessível publicamente aborda
sistemas que são controlados pela organização e acessíveis ao público, normalmente sem identificação ou autenticação. A
publicação de informações em sistemas não organizacionais (por exemplo, sites públicos não organizacionais, fóruns e
mídias sociais) é coberta pela política organizacional. Embora as organizações possam ter indivíduos responsáveis pelo
desenvolvimento e implementação de políticas sobre as informações que podem ser disponibilizadas publicamente, o conteúdo
acessível ao público aborda a gestão dos indivíduos que tornam essas informações publicamente acessíveis.
Controles relacionados: AC-3, AT-2, AT-3, AU-13.
Referências: [PRIVATO].
PROTEÇÃO DE MINERAÇÃO DE DADOS AC-23
Controle: Empregar [Atribuição: técnicas de prevenção e detecção de mineração de dados definidas pela organização] para
[Atribuição: objetos de armazenamento de dados definidos pela organização] para detectar e proteger contra mineração de dados
não autorizada.
Discussão: A mineração de dados é um processo analítico que tenta encontrar correlações ou padrões em grandes conjuntos de
dados para fins de descoberta de dados ou conhecimento. Objetos de armazenamento de dados incluem
registros de banco de dados e campos de banco de dados. Informações confidenciais podem ser extraídas da mineração de dados
operações. Quando as informações são informações pessoalmente identificáveis, podem levar a revelações imprevistas sobre
indivíduos e dar origem a riscos de privacidade. Antes de realizar atividades de mineração de dados, as organizações
determinam se tais atividades são autorizadas. As organizações podem estar sujeitas a leis, ordens executivas, diretivas,
regulamentos ou políticas aplicáveis que atendam aos requisitos de mineração de dados. O pessoal organizacional consulta o
funcionário sênior da agência para aconselhamento jurídico e de privacidade em relação a tais requisitos.
As técnicas de prevenção e detecção de mineração de dados incluem limitar o número e a frequência de consultas ao banco de
dados para aumentar o fator de trabalho necessário para determinar o conteúdo dos bancos de dados,
limitar os tipos de respostas fornecidas às consultas ao banco de dados, aplicar técnicas de privacidade diferencial ou criptografia
homomórfica e notificar o pessoal quando ocorrerem consultas ou acessos atípicos ao banco de dados. A proteção de mineração de
dados concentra-se na proteção de informações contra mineração de dados, enquanto essas informações residem em
armazenamentos de dados organizacionais. Em contraste, o AU-13 centra-se na monitorização de informações organizacionais
que possam ter sido extraídas ou de outra forma obtidas a partir de armazenamentos de dados.

e
g
_________________________________________________________________________________________________
pe
E e está disponível como informação de código aberto residente em sites externos, como redes sociais ou sites de mídia
social.
[EO 13587] exige o estabelecimento de um programa de ameaças internas para dissuadir, detectar e mitigar ameaças
internas, incluindo a proteção de informações confidenciais contra exploração, comprometimento ou outra divulgação não
autorizada. A proteção da mineração de dados exige que as organizações identifiquem técnicas apropriadas para prevenir
e detectar a mineração de dados desnecessária ou não autorizada.
A mineração de dados pode ser usada por um insider para coletar informações organizacionais para fins de exfiltração.
Controles Relacionados: PM-12, PT-2.
Referências: [EO 13587].
DECISÕES DE CONTROLE DE ACESSO AC-24
Controle: [Seleção: Estabelecer procedimentos; Implementar mecanismos] para garantir que [Atribuição: decisões
de controle de acesso definidas pela organização] sejam aplicadas a cada solicitação de acesso antes da aplicação do
acesso.
Discussão: As decisões de controle de acesso (também conhecidas como decisões de autorização) ocorrem
quando as informações de autorização são aplicadas a acessos específicos. Em contraste, a imposição de acesso ocorre
quando os sistemas impõem decisões de controle de acesso. Embora seja comum ter decisões de controle de
acesso e fiscalização de acesso implementadas pela mesma entidade, isso não é obrigatório e nem sempre é uma
escolha ideal de implementação. Para algumas arquiteturas e sistemas distribuídos, diferentes entidades podem tomar
decisões de controle de acesso e impor o acesso.
Controles relacionados: AC-2, AC-3.
(1) DECISÕES DE CONTROLE DE ACESSO | TRANSMITIR INFORMAÇÕES DE AUTORIZAÇÃO DE ACESSO
Transmitir [Atribuição: informações de autorização de acesso definidas pela organização] usando

[Atribuição: controles definidos pela organização] para [Atribuição: sistemas definidos pela
organização] que impõem decisões de controle de acesso.
Discussão: Os processos de autorização e as decisões de controle de acesso podem ocorrer em partes

separadas dos sistemas ou em sistemas separados. Nesses casos, as informações de autorização são
transmitidas de forma segura (por exemplo, usando mecanismos criptográficos) para que decisões oportunas de
controle de acesso possam ser aplicadas nos locais apropriados. Para apoiar as decisões de controlo de
acesso, pode ser necessário transmitir, como parte da autorização de acesso, informações que suportam atributos
de segurança e privacidade. Isso ocorre porque em sistemas distribuídos há diversas decisões de controle de
acesso que precisam ser tomadas, e diferentes entidades tomam essas decisões de forma serial, cada uma
exigindo esses atributos para tomar as decisões.
A proteção das informações de autorização de acesso garante que tais informações não possam ser
alteradas, falsificadas ou comprometidas durante a transmissão.
Controles Relacionados: AU-10.
(2) DECISÕES DE CONTROLE DE ACESSO | SEM IDENTIDADE DE USUÁRIO OU PROCESSO
Aplicar decisões de controle de acesso com base em [Atribuição: atributos de segurança ou privacidade
definidos pela organização] que não incluem a identidade do usuário ou processo que atua em nome do
usuário.
Discussão: Em determinadas situações, é importante que as decisões de controle de acesso possam ser tomadas
sem informações sobre a identidade dos usuários que emitem as solicitações. Geralmente são casos em que
a preservação da privacidade individual é de suma importância. Em outro

e
g
_________________________________________________________________________________________________
pe
E situações, as informações de identificação do usuário simplesmente não são necessárias para decisões de controle de acesso,
e especialmente no caso de sistemas distribuídos, a transmissão de tais informações com o grau de segurança necessário
pode ser muito cara ou difícil de realizar. MAC, RBAC, ABAC e políticas de controle baseadas em rótulos, por exemplo,
podem não incluir a identidade do usuário como um atributo.
MONITOR DE REFERÊNCIA AC-25
Controle: Implemente um monitor de referência para [Atribuição: políticas de controle de acesso definidas pela organização] que
seja à prova de falsificação, sempre invocado e pequeno o suficiente para ser sujeito a análises e testes, cuja integridade possa
ser garantida.
Discussão: Um monitor de referência é um conjunto de requisitos de design para um mecanismo de validação de referência
que, como componente-chave de um sistema operacional, impõe uma política de controle de acesso a todos os sujeitos e objetos.
Um mecanismo de validação de referência é sempre invocado, à prova de falsificação,
e pequeno o suficiente para ser sujeito a análises e testes, cuja integralidade pode ser garantida (ou seja, verificável). As informações
são representadas internamente nos sistemas usando abstrações conhecidas como estruturas de dados. As estruturas de dados
internas podem representar diferentes tipos de entidades, tanto ativas quanto passivas. Entidades ativas, também conhecidas como
sujeitos, estão associadas a indivíduos, dispositivos ou processos que atuam em nome de indivíduos. Entidades passivas,
também conhecidas como objetos, estão associadas a estruturas de dados, como registros, buffers, portas de comunicação, tabelas,
arquivos e canais entre processos. Os monitores de referência impõem políticas de controle de acesso que restringem o acesso
a objetos com base na identidade dos sujeitos ou grupos aos quais os sujeitos pertencem. O sistema impõe a política de controle de
acesso com base no conjunto de regras estabelecido pela política. A propriedade inviolável do monitor de referência evita que
determinados adversários comprometam o funcionamento do mecanismo de validação de referência. A propriedade sempre
invocada evita que adversários contornem o mecanismo e violem a política de segurança. A propriedade de pequenez ajuda a
garantir a integridade da análise e dos testes do mecanismo para detectar quaisquer fraquezas ou deficiências (isto é, falhas
latentes) que impediriam a aplicação da política de segurança.
Controles Relacionados: AC-3, AC-16, SA-8, SA-17, SC-3, SC-11, SC-39, SI-13.

e
g
_________________________________________________________________________________________________
pe
E 3.2 CONSCIENTIZAÇÃO E TREINAMENTO
Link rápido para a tabela de resumo de conscientização e treinamento
POLÍTICA E PROCEDIMENTOS AT-1
Ao controle:

funções]:
nível] política de sensibilização e formação que:
(a) Aborda propósito, escopo, funções, responsabilidades, compromisso de gestão, coordenação

entre entidades organizacionais e conformidade; e
2. Procedimentos para facilitar a implementação da política de sensibilização e formação e

os controles de conscientização e treinamento associados;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento,

documentação e divulgação da política e dos procedimentos de sensibilização e formação; e
c. Revise e atualize a conscientização e o treinamento atuais:


Discussão: As políticas e procedimentos de sensibilização e formação abordam os controlos da família TA que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de
políticas e procedimentos de conscientização e treinamento. As políticas e procedimentos do programa de segurança
e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e
procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações.
Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão ou de
negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são
implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos
podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos
separados. Os eventos que podem precipitar uma atualização nas políticas e procedimentos de conscientização e
treinamento incluem resultados de avaliação ou auditoria, segurança
incidentes ou violações, ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Controles Relacionados: PM-9, PS-8, SI-12.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-50], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E AT-2 TREINAMENTO E CONSCIENTIZAÇÃO DE ALFAbetização
Ao controle:
a. Fornecer treinamento em alfabetização em segurança e privacidade para usuários do sistema (incluindo gerentes,
executivos e empreiteiros):
1. Como parte do treinamento inicial para novos usuários e [Tarefa: definido pela organização
frequência] depois disso; e
2. Quando exigido por alterações no sistema ou seguindo [Atribuição: definido pela organização
eventos];
b. Empregue as seguintes técnicas para aumentar a consciência de segurança e privacidade do sistema

usuários [Tarefa: técnicas de conscientização definidas pela organização];
c. Atualizar o conteúdo de treinamento de alfabetização e conscientização [Tarefa: frequência definida pela

organização] e acompanhamento [Tarefa: eventos definidos pela organização]; e
d. Incorporar lições aprendidas com incidentes ou violações de segurança internas ou externas em

alfabetização e técnicas de conscientização.
Discussão: As organizações fornecem níveis básicos e avançados de alfabetização aos usuários do sistema,
incluindo medidas para testar o nível de conhecimento dos utilizadores. As organizações determinam o conteúdo da
formação e da sensibilização para a alfabetização com base em requisitos organizacionais específicos, nos sistemas
aos quais o pessoal tem acesso autorizado e nos ambientes de trabalho (por exemplo, teletrabalho). O conteúdo inclui
uma compreensão da necessidade de segurança e privacidade, bem como ações dos usuários para manter a
segurança e a privacidade pessoal e para responder a suspeitas de incidentes. O conteúdo aborda a necessidade
de segurança nas operações e no tratamento de informações de identificação pessoal.
As técnicas de conscientização incluem a exibição de cartazes, a oferta de suprimentos com lembretes de segurança
e privacidade, a exibição de mensagens na tela de logon, a geração de avisos por e-mail ou avisos de funcionários da
organização e a realização de eventos de conscientização. A formação de alfabetização após a formação inicial
descrita em AT-2a.1 é realizada com uma frequência mínima consistente com as leis, directivas, regulamentos e
políticas aplicáveis. O treinamento de alfabetização subsequente pode ser realizado por uma ou mais sessões ad hoc
curtas e incluir informações atuais sobre esquemas de ataques recentes, mudanças nas políticas organizacionais de
segurança e privacidade, expectativas revisadas de segurança e privacidade ou um subconjunto de tópicos do treinamento
inicial. A atualização regular do conteúdo de alfabetização e conscientização ajuda a garantir que o conteúdo permaneça
relevante. Os eventos que podem precipitar uma atualização do treinamento de alfabetização e do conteúdo de
conscientização incluem, mas não estão limitados a, resultados de avaliações ou auditorias, incidentes ou
violações de segurança ou mudanças nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes.
Controles relacionados: AC-3, AC-17, AC-22, AT-3, AT-4, CP-3, IA-4, IR-2, IR-7, IR-9, PL-4, PM-13 , PM-21,
PS-7, PT-2, SA-8, SA-16.
(1) FORMAÇÃO E CONSCIENTIZAÇÃO EM ALFABETIZAÇÃO | EXERCÍCIOS PRÁTICOS
Fornecer exercícios práticos de alfabetização que simulem eventos e incidentes.
Discussão: Os exercícios práticos incluem tentativas de engenharia social sem aviso prévio para coletar
informações, obter acesso não autorizado ou simular o impacto adverso da abertura de anexos de e-mail maliciosos
ou da invocação, por meio de ataques de spear phishing, de links da web maliciosos.
Controles Relacionados: CA-2, CA-7, CP-4, IR-3.
(2) FORMAÇÃO E CONSCIENTIZAÇÃO PARA ALFABETIZAÇÃO | AMEAÇA INTERNA
Fornecer treinamento de alfabetização sobre como reconhecer e relatar possíveis indicadores de ameaças internas.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Indicadores potenciais e possíveis precursores de ameaças internas podem incluir
comportamentos como insatisfação excessiva e de longo prazo no trabalho; tentativas de obter acesso a informações
não necessárias para o desempenho no trabalho; acesso inexplicável a recursos financeiros;
intimidação ou assédio de colegas de trabalho; violência no local de trabalho; e outras violações graves de políticas,
procedimentos, diretivas, regulamentos, regras ou práticas. O treinamento de alfabetização inclui
como comunicar as preocupações dos funcionários e da administração em relação a potenciais indicadores de ameaça
interna através dos canais estabelecidos pela organização e de acordo com as políticas e procedimentos
estabelecidos. As organizações podem considerar adaptar tópicos de conscientização sobre ameaças internas à função.
Por exemplo, a formação para gestores pode centrar-se em mudanças no comportamento dos membros da equipa,
enquanto a formação para empregados pode centrar-se em observações mais gerais.
Controles Relacionados: PM-12.
(3) FORMAÇÃO E CONSCIENTIZAÇÃO PARA ALFABETIZAÇÃO | ENGENHARIA SOCIAL E MINERAÇÃO
Fornecer formação em alfabetização sobre o reconhecimento e relato de casos potenciais e reais de engenharia
social e mineração social.
Discussão: A engenharia social é uma tentativa de enganar um indivíduo para que revele informações ou tome uma ação que
possa ser usada para violar, comprometer ou de outra forma impactar negativamente um sistema. A engenharia social inclui
phishing, pretexto, falsificação de identidade, isca, quid pro quo, roubo de linha, exploração de mídia social e utilização
não autorizada. A mineração social é uma tentativa de coletar informações sobre a organização que podem ser usadas para
apoiar ataques futuros.
A formação de alfabetização inclui informações sobre como comunicar as preocupações dos funcionários e da gestão em
relação a casos potenciais e reais de engenharia social e mineração de dados através de canais organizacionais baseados
em políticas e procedimentos estabelecidos.
(4) FORMAÇÃO E CONSCIENTIZAÇÃO PARA ALFABETIZAÇÃO | COMUNICAÇÕES SUSPEITAS E SISTEMA ANOMALOSO
COMPORTAMENTO
Fornecer treinamento de alfabetização sobre como reconhecer comunicações suspeitas e comportamento

anômalo em sistemas organizacionais usando [Tarefa: indicadores de código malicioso definidos pela organização].
Discussão: Uma força de trabalho bem treinada fornece outro controle organizacional que pode ser empregado como
parte de uma estratégia de defesa profunda para proteger contra códigos maliciosos que entram nas organizações por meio
de e-mail ou aplicativos da web. Os funcionários são treinados para procurar indicações de e-mails potencialmente
suspeitos (por exemplo, receber um e-mail inesperado, receber um e-mail com gramática estranha ou incorreta ou receber
um e-mail de um remetente desconhecido que parece ser de um patrocinador ou contratado conhecido). O pessoal também
é treinado sobre como responder a e-mails suspeitos ou comunicações na web. Para que este processo funcione de forma
eficaz, o pessoal é treinado e informado sobre o que constitui comunicações suspeitas.
Treinar pessoal sobre como reconhecer comportamentos anômalos em sistemas pode fornecer às organizações um
alerta precoce sobre a presença de código malicioso. O reconhecimento de comportamento anômalo por parte do
pessoal organizacional pode complementar as ferramentas e sistemas de detecção e proteção de códigos maliciosos
empregados pelas organizações.
(5) FORMAÇÃO E CONSCIENTIZAÇÃO PARA ALFABETIZAÇÃO | AMEAÇA PERSISTENTE AVANÇADA
Fornecer treinamento de alfabetização sobre a ameaça persistente avançada.
Discussão: Uma forma eficaz de detectar ameaças persistentes avançadas (APT) e de impedir ataques bem sucedidos é
fornecer formação específica de alfabetização aos indivíduos. O treinamento em alfabetização sobre ameaças inclui
educar os indivíduos sobre as diversas maneiras pelas quais as APTs podem se infiltrar na organização (por exemplo,
por meio de sites, e-mails, pop-ups de anúncios, artigos e redes sociais).

e
g
_________________________________________________________________________________________________
pe
E Engenharia). O treinamento eficaz inclui técnicas para reconhecer e-mails suspeitos, uso de sistemas removíveis em ambientes
não seguros e o possível direcionamento de indivíduos em casa.
(6) FORMAÇÃO E CONSCIENTIZAÇÃO PARA ALFABETIZAÇÃO | AMBIENTE DE AMEAÇA CIBERNÉTICA
(a) Fornecer formação em alfabetização sobre o ambiente de ameaças cibernéticas; e
(b) Refletir as informações atuais sobre ameaças cibernéticas nas operações do sistema.
Discussão: Como as ameaças continuam a mudar ao longo do tempo, o treinamento em alfabetização sobre ameaças
realizado pela organização é dinâmico. Além disso, a formação em literacia sobre ameaças não é realizada isoladamente das
operações do sistema que apoiam a missão organizacional e as funções empresariais.
Controles Relacionados: RA-3.
Referências: [OMB A-130], [SP 800-50], [SP 800-160-2], [SP 800-181], [ODNI CTF].
TREINAMENTO BASEADO EM FUNÇÕES AT-3
Ao controle:
a. Fornecer treinamento de segurança e privacidade baseado em funções para funcionários com as seguintes funções e
responsabilidades: [Atribuição: funções e responsabilidades definidas pela organização]:
1. Antes de autorizar o acesso ao sistema, às informações ou ao desempenho das funções atribuídas, e [Atribuição:
frequência definida pela organização] posteriormente; e
2. Quando exigido por alterações no sistema;
b. Atualizar o conteúdo do treinamento baseado em função [Atribuição: frequência definida pela organização] e
seguinte [Atribuição: eventos definidos pela organização]; e
c. Incorpore lições aprendidas com incidentes ou violações de segurança internas ou externas no treinamento baseado em
funções.
Discussão: As organizações determinam o conteúdo da formação com base nas funções e responsabilidades atribuídas aos
indivíduos, bem como nos requisitos de segurança e privacidade das organizações e nos sistemas aos quais o pessoal tem
acesso autorizado, incluindo formação técnica especificamente adaptada às funções atribuídas. As funções que podem
exigir treinamento baseado em funções incluem líderes seniores ou funcionários de gestão (por exemplo, chefe de agência/diretor
executivo, diretor de informações, oficial sênior responsável pela gestão de riscos, oficial sênior de segurança da informação da
agência, oficial sênior da agência para privacidade), sistema os Proprietários; funcionários autorizadores; oficiais de segurança
do sistema; oficiais de privacidade; funcionários de aquisições e aquisições; arquitetos empresariais; engenheiros de sistemas;
desenvolvedores de software; engenheiros de segurança de sistemas; engenheiros de privacidade; administradores de sistema,
rede e banco de dados; auditores; pessoal conduzindo atividades de gerenciamento de configuração; pessoal que realiza atividades
de verificação e validação; pessoal com acesso a software de nível de sistema; avaliadores de controle; pessoal com
tarefas de planejamento de contingência e resposta a incidentes; pessoal com responsabilidades de gestão de privacidade; e
pessoal com acesso a informações de identificação pessoal.
O treinamento abrangente baseado em funções aborda funções e responsabilidades gerenciais, operacionais e técnicas, abrangendo
controles físicos, de pessoal e técnicos. O treinamento baseado em funções também inclui políticas, procedimentos,
ferramentas, métodos e artefatos para as funções de segurança e privacidade definidas. As organizações fornecem a formação
necessária para que os indivíduos cumpram as suas responsabilidades relacionadas com as operações e a gestão de riscos da
cadeia de abastecimento no contexto dos programas de segurança e privacidade organizacional. O treinamento baseado em
funções também se aplica a prestadores de serviços que fornecem
serviços a órgãos federais. Os tipos de treinamento incluem treinamento baseado na web e em computador,
treinamento em sala de aula e treinamento prático (incluindo microtreinamento). Atualizando com base em função

e
g
_________________________________________________________________________________________________
pe
E o treinamento regular ajuda a garantir que o conteúdo permaneça relevante e eficaz.
Os eventos que podem precipitar uma atualização do conteúdo de treinamento baseado em funções incluem, mas não estão
limitados a, resultados de avaliação ou auditoria, incidentes ou violações de segurança ou alterações nas leis aplicáveis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
Controles relacionados: AC-3, AC-17, AC-22, AT-2, AT-4, CP-3, IR-2, IR-4, IR-7, IR-9, PL-4, PM-13 , PM-23, PS-7, PS-9, SA-3, SA-8,
SA -11, SA-16, SR-5, SR-6, SR-11.
(1) TREINAMENTO BASEADO EM FUNÇÕES | CONTROLES AMBIENTAIS
Fornecer [Atribuição: pessoal ou funções definidas pela organização] treinamento inicial e [Atribuição:
frequência definida pela organização] no emprego e operação de controles ambientais.
Discussão: Os controles ambientais incluem dispositivos ou sistemas de supressão e detecção de incêndio, sistemas
de sprinklers, extintores de incêndio portáteis, mangueiras fixas de incêndio, detectores de fumaça, temperatura ou
umidade, aquecimento, ventilação, ar condicionado e energia dentro da instalação.
Controles Relacionados: PE-1, PE-11, PE-13, PE-14, PE-15.
(2) TREINAMENTO BASEADO EM FUNÇÕES | CONTROLES DE SEGURANÇA FÍSICA
frequência definida pela organização] no emprego e operação de controles de segurança física.
Discussão: Os controles de segurança física incluem dispositivos de controle de acesso físico, intrusão física e
alarmes de detecção, procedimentos operacionais para guardas de segurança das instalações e equipamentos de
monitoramento ou vigilância.
Controles Relacionados: PE-2, PE-3, PE-4.
(3) TREINAMENTO BASEADO EM FUNÇÕES | EXERCÍCIOS PRÁTICOS
Fornecer exercícios práticos de treinamento em segurança e privacidade que reforcem os objetivos do

treinamento.
Discussão: Os exercícios práticos de segurança incluem treinamento para desenvolvedores de software que abordam
ataques simulados que exploram vulnerabilidades comuns de software ou ataques de spear phishing direcionados a líderes
seniores ou executivos. Exercícios práticos para privacidade
incluem módulos com questionários sobre identificação e processamento de informações de identificação
pessoal em vários cenários ou cenários de condução de avaliações de impacto na privacidade.
(4) TREINAMENTO BASEADO EM FUNÇÕES | COMUNICAÇÕES SUSPEITAS E COMPORTAMENTO ANÓMALO DO SISTEMA
[Retirado: Movido para AT-2(4)].
(5) TREINAMENTO BASEADO EM FUNÇÕES | PROCESSAMENTO DE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL
frequência definida pela organização] no emprego e operação de processamento de informações pessoalmente
identificáveis e controles de transparência.
Discussão: O processamento de informações pessoalmente identificáveis e os controles de transparência incluem a autoridade

da organização para processar informações pessoalmente identificáveis e para fins de processamento de informações
pessoalmente identificáveis. Treinamento baseado em funções para agências federais
aborda os tipos de informações que podem constituir informações de identificação pessoal e os riscos, considerações e
obrigações associados ao seu processamento. Esse treinamento também considera a autoridade para processar
informações de identificação pessoal documentadas em políticas e avisos de privacidade, avisos de sistema de registros,
acordos de correspondência de computadores e

e
g
_________________________________________________________________________________________________
pe
E avisos, avaliações de impacto na privacidade, declarações [PRIVACT] , contratos, acordos de compartilhamento de
informações, memorandos de entendimento e/ou outra documentação.
Controles relacionados: PT-2, PT-3, PT-5, PT-6.
Referências: [OMB A-130], [SP 800-50], [SP 800-181].
REGISTROS DE TREINAMENTO AT-4
Ao controle:
a. Documentar e monitorar atividades de treinamento em segurança e privacidade da informação, incluindo treinamento de

conscientização em segurança e privacidade e treinamento específico em segurança e privacidade baseado em funções; e
b. Guarde registros de treinamento individuais para [Atribuição: período de tempo definido pela organização].
Discussão: A documentação para treinamento especializado pode ser mantida por supervisores individuais, a critério da organização.
A Administração Nacional de Arquivos e Registros fornece orientação sobre retenção de registros para agências federais.
Controles relacionados: AT-2, AT-3, CP-3, IR-2, PM-14, SI-12.
Referências: [OMB A-130].
AT-5 CONTACTOS COM GRUPOS E ASSOCIAÇÕES DE SEGURANÇA
[Retirado: Incorporado ao PM-15.]
FEEDBACK DE TREINAMENTO AT-6
Controle: Fornecer feedback sobre os resultados do treinamento organizacional ao seguinte pessoal [Atribuição:
frequência definida pela organização]: [Atribuição: pessoal definido pela organização].
Discussão: O feedback do treinamento inclui resultados do treinamento de conscientização e resultados do treinamento baseado em funções.
Os resultados da formação, especialmente as falhas do pessoal em funções críticas, podem ser indicativos de um problema
potencialmente grave. Portanto, é importante que os gestores seniores estejam cientes de tais situações para que possam
tomar as medidas de resposta adequadas. O feedback do treinamento apoia a avaliação e atualização do treinamento
organizacional descrito em AT-2b e AT-3b.

e
g
_________________________________________________________________________________________________
pe
E 3.3 AUDITORIA E RESPONSABILIDADE
Link rápido para a Tabela de Resumo de Auditoria e Responsabilidade
POLÍTICA E PROCEDIMENTOS DA AU-1
Ao controle:

funções]:
nível] política de auditoria e responsabilização que:

2. Procedimentos para facilitar a implementação da política de auditoria e prestação de contas e

os controles associados de auditoria e prestação de contas;

documentação e divulgação da política e dos procedimentos de auditoria e prestação de contas; e
c. Revise e atualize a auditoria e a prestação de contas atuais:


Discussão: A política e os procedimentos de auditoria e responsabilização abordam os controlos na família da UA

que são implementados dentro de sistemas e organizações. A estratégia de gestão de riscos é um fator importante
no estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança
e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento
de políticas e procedimentos de auditoria e responsabilização. As políticas e procedimentos do programa de segurança
separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de auditoria e
responsabilização incluem resultados de avaliação ou auditoria, segurança
incidentes ou violações, ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes. A simples reafirmação dos controles não constitui uma política ou procedimento
organizacional.
Referências: [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E REGISTRO DE EVENTOS AU-2
Ao controle:
a. Identifique os tipos de eventos que o sistema é capaz de registrar em log em apoio à função de auditoria: [Atribuição:
tipos de eventos definidos pela organização que o sistema é capaz de registrar em log];
b. Coordenar a função de registro de eventos com outras entidades organizacionais que necessitam de informações
relacionadas à auditoria para orientar e informar os critérios de seleção dos eventos a serem registrados;
c. Especifique os seguintes tipos de eventos para registro no sistema: [Atribuição: organização-

tipos de eventos definidos (subconjunto dos tipos de eventos definidos em AU-2a.) juntamente com a frequência de (ou
situação que exige) registro para cada tipo de evento identificado];
d. Forneça uma justificativa para o motivo pelo qual os tipos de eventos selecionados para registro são considerados adequados
apoiar investigações posteriores de incidentes; e
e. Revise e atualize os tipos de eventos selecionados para registro [Atribuição: definido pela organização
frequência].
Discussão: Um evento é uma ocorrência observável em um sistema. Os tipos de eventos que exigem registro são aqueles
que são significativos e relevantes para a segurança dos sistemas e para a privacidade dos indivíduos. O registro de
eventos também oferece suporte a necessidades específicas de monitoramento e auditoria. Os tipos de eventos incluem
alterações de senha, logons com falha ou acessos com falha relacionados a sistemas, alterações de atributos de segurança
ou privacidade, uso de privilégios administrativos, uso de credenciais PIV, alterações de ações de dados, parâmetros de
consulta ou uso de credenciais externas. Ao determinar o conjunto de tipos de eventos
que exigem registro, as organizações consideram o monitoramento e a auditoria adequados para cada um dos controles a
serem implementados. Para completar, o log de eventos inclui todos os protocolos operacionais e suportados pelo sistema.
Para equilibrar os requisitos de monitoramento e auditoria com outras necessidades do sistema, o log de eventos requer
a identificação do subconjunto de tipos de eventos registrados em um determinado momento. Por exemplo, as
organizações podem determinar que os sistemas precisam da capacidade de registrar todos os acessos a arquivos bem-
sucedidos e malsucedidos, mas não ativar essa capacidade, exceto em circunstâncias específicas devido à carga potencial no
desempenho do sistema. Os tipos de eventos que as organizações desejam
ser logado pode mudar. A revisão e a atualização do conjunto de eventos registrados são necessárias para ajudar a
garantir que os eventos permaneçam relevantes e continuem a apoiar as necessidades da organização.
As organizações consideram como os tipos de eventos de registro podem revelar informações sobre indivíduos que podem dar
origem a riscos de privacidade e a melhor forma de mitigar tais riscos. Por exemplo, existe a possibilidade de revelar
informações de identificação pessoal na trilha de auditoria, especialmente se o evento de registro for baseado em padrões ou
tempo de uso.
Os requisitos de registro de eventos, incluindo a necessidade de registrar tipos de eventos específicos, podem ser referenciados
em outros controles e aprimoramentos de controle. Estes incluem AC-2(4), AC-3(10), AC-6(9), AC-17(1), CM-3f, CM-5(1),
IA-3(3.b), MA-4(1), MP-4(2), PE-3, PM-21, PT-7, RA-8, SC-7(9), SC-7(15), SI-3(8) , SI-4(22), SI-7(8) e SI-10(1). As organizações
incluem tipos de eventos exigidos pelas leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis. Os registros de auditoria podem ser gerados em vários níveis, inclusive no nível do pacote, à medida que as
informações atravessam a rede. A seleção do nível apropriado de registro de eventos é uma parte importante da capacidade
de monitoramento e auditoria e pode identificar as causas principais dos problemas. Ao definir tipos de eventos,
as organizações consideram o registro necessário para cobrir tipos de eventos relacionados, como as etapas em processos
distribuídos baseados em transações e as ações que ocorrem em arquiteturas orientadas a serviços.
Controles relacionados: AC-2, AC-3, AC-6, AC-7, AC-8, AC-16 , AC-17, AU-3, AU-4, AU-5, AU-6, AU-7 , AU-11, AU-12, CM-3,
CM-5, CM-6 , CM-13, IA-3, MA-4, MP-4, PE - 3, PM-21, PT-2, PT -7, RA-8, SA-8, SC -7, SC-18, SI-3, SI-4, SI-7, SI-10, SI-11.

e
g
_________________________________________________________________________________________________
pe
E Melhorias de controle:
(1) REGISTRO DE EVENTOS | COMPILAÇÃO DE REGISTROS DE AUDITORIA DE MÚLTIPLAS FONTES
[Retirado: Incorporado no AU-12.]
(2) REGISTRO DE EVENTOS | SELEÇÃO DE EVENTOS DE AUDITORIA POR COMPONENTE
(3) REGISTRO DE EVENTOS | REVISÕES E
ATUALIZAÇÕES [Retirado: Incorporado no AU-2.]
(4) REGISTRO DE EVENTOS | FUNÇÕES PRIVILEGIADAS
[Retirado: Incorporado em AC-6(9).]
Referências: [OMB A-130], [SP 800-92].
CONTEÚDO AU-3 DOS REGISTROS DE AUDITORIA
Controle: Certifique-se de que os registros de auditoria contenham informações que estabeleçam o seguinte:
a. Que tipo de evento ocorreu;
b. Quando o evento ocorreu;
c. Onde o evento ocorreu;
d. Fonte do evento;
e. Resultado do evento; e
f. Identidade de quaisquer indivíduos, sujeitos ou objetos/entidades associados ao evento.
Discussão: O conteúdo do registro de auditoria que pode ser necessário para apoiar a função de auditoria
inclui descrições de eventos (item a), carimbos de data e hora (item b), endereços de origem e destino (item c),
identificadores de usuário ou processo (itens d e f), sucesso ou indicações de falha (item e) e nomes de
arquivos envolvidos (itens a, c, e e f). Os resultados do evento incluem indicadores de sucesso ou falha do evento
e resultados específicos do evento, como a segurança do sistema e a postura de privacidade após a ocorrência do
evento. As organizações consideram como os registros de auditoria podem revelar informações sobre indivíduos que
podem dar origem a riscos de privacidade e a melhor forma de mitigar tais riscos. Por exemplo, existe a
possibilidade de revelar informações pessoalmente identificáveis na pista de auditoria, especialmente se a
pista registar entradas ou se basear em padrões ou tempo de utilização.
Controles Relacionados: AU-2, AU-8, AU-12, AU-14, MA-4, PL-9, SA-8, SI-7, SI-11.
(1) CONTEÚDO DOS REGISTROS DE AUDITORIA | INFORMAÇÕES ADICIONAIS DE AUDITORIA
Gere registros de auditoria contendo as seguintes informações adicionais: [Atribuição: informações

adicionais definidas pela organização].
Discussão: A capacidade de adicionar informações geradas em registros de auditoria depende da

funcionalidade do sistema para configurar o conteúdo do registro de auditoria. As organizações podem
considerar informações adicionais em registros de auditoria, incluindo, entre outras, controle de acesso ou
regras de controle de fluxo invocadas e identidades individuais de usuários de contas de grupo. As
organizações também podem considerar limitar informações adicionais de registros de auditoria
apenas às informações explicitamente necessárias para os requisitos de auditoria. Isto facilita o uso de trilhas
de auditoria e registros de auditoria, ao não incluir informações nos registros de auditoria que possam ser
potencialmente enganosas, dificultar a localização de informações de interesse ou aumentar o risco para a privacidade dos indivíduos.

e
g
_________________________________________________________________________________________________
pe
E (2) CONTEÚDO DOS REGISTROS DE AUDITORIA | GESTÃO CENTRALIZADA DO CONTEÚDO DE REGISTROS DE AUDITORIA PLANEJADOS
[Retirado: Incorporado ao PL-9.]
(3) CONTEÚDO DOS REGISTROS DE AUDITORIA | LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS
Limite as informações de identificação pessoal contidas nos registros de auditoria aos seguintes elementos
identificados na avaliação de risco de privacidade: [Atribuição: elementos definidos pela organização].
Discussão: Limitar as informações pessoalmente identificáveis nos registos de auditoria quando essas informações
não são necessárias para fins operacionais ajuda a reduzir o nível de risco de privacidade criado por um sistema.
Referências: [OMB A-130], [IR 8062].
CAPACIDADE DE ARMAZENAMENTO DE LOG DE AUDITORIA AU-4
Controle: Alocar capacidade de armazenamento de log de auditoria para acomodar [Atribuição: requisitos de retenção de log de
auditoria definidos pela organização].
Discussão: As organizações consideram os tipos de log de auditoria a serem executados e os requisitos de processamento do log
de auditoria ao alocar capacidade de armazenamento de log de auditoria. A atribuição de capacidade suficiente de armazenamento
de registos de auditoria reduz a probabilidade de essa capacidade ser excedida e resultar na potencial perda ou redução da
capacidade de registo de auditoria.
Controles relacionados: AU-2, AU-5, AU-6, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4.
(1) CAPACIDADE DE ARMAZENAMENTO DE REGISTROS DE AUDITORIA | TRANSFERÊNCIA PARA ARMAZENAMENTO ALTERNATIVO
Transferir logs de auditoria [Atribuição: frequência definida pela organização] para um sistema, componente do
sistema ou mídia diferente do sistema ou componente do sistema que conduz o registro.
Discussão: A transferência de logs de auditoria, também conhecida como descarregamento, é um processo comum em
sistemas com capacidade limitada de armazenamento de logs de auditoria e, portanto, oferece suporte à disponibilidade
dos logs de auditoria. O armazenamento de log de auditoria inicial é usado apenas de forma transitória até que o sistema possa
se comunicar com o sistema secundário ou alternativo alocado para armazenamento de log de auditoria, momento em
que os logs de auditoria são transferidos. A transferência de logs de auditoria para armazenamento alternativo é semelhante
ao AU-9(2) , pois os logs de auditoria são transferidos para uma entidade diferente. Contudo, o objectivo da selecção do
AU-9(2) é proteger a confidencialidade e integridade dos registos de auditoria. As organizações podem selecionar qualquer
aprimoramento de controle para obter o benefício de maior capacidade de armazenamento de logs de auditoria e preservar a
confidencialidade, integridade e disponibilidade de registros e logs de auditoria.
RESPOSTA AU-5 ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA
Ao controle:
a. Alerta [Atribuição: pessoal ou funções definidas pela organização] em [Atribuição:

período de tempo definido pela organização] no caso de falha no processo de registro de auditoria; e
b. Execute as seguintes ações adicionais: [Atribuição: ações adicionais definidas pela organização].
Discussão: As falhas no processo de registro de auditoria incluem erros de software e hardware, falhas nos mecanismos de captura
de log de auditoria e alcance ou excesso da capacidade de armazenamento de log de auditoria. As ações definidas pela
organização incluem a substituição dos registros de auditoria mais antigos, o encerramento do sistema e a interrupção

e
g
_________________________________________________________________________________________________
pe
E a geração de registros de auditoria. As organizações podem optar por definir ações adicionais para auditoria
registrar falhas de processo com base no tipo de falha, no local da falha, na gravidade da falha ou em uma combinação de tais
fatores. Quando a falha do processo de registro de auditoria está relacionada ao armazenamento, a resposta é executada para o
repositório de armazenamento de log de auditoria (ou seja, o componente distinto do sistema onde os logs de auditoria são
armazenados), o sistema no qual os logs de auditoria residem, o log de auditoria total capacidade de armazenamento da organização
(ou seja, todos os repositórios de armazenamento de log de auditoria combinados) ou todos os três. As organizações podem decidir
não tomar nenhuma ação adicional após alertar as funções ou o pessoal designado.
Controles relacionados: AU-2, AU-4, AU-7, AU-9, AU-11, AU-12, AU-14, SI-4, SI-12.
(1) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | AVISO DE CAPACIDADE DE ARMAZENAMENTO
Fornecer um aviso para [Atribuição: pessoal, funções e/ ou locais definidos pela organização] dentro de [Atribuição:
período de tempo definido pela organização] quando o volume de armazenamento de log de auditoria alocado
atingir [Atribuição: porcentagem definida pela organização] do armazenamento máximo de log de auditoria do
repositório capacidade.
Discussão: As organizações podem ter vários repositórios de armazenamento de logs de auditoria distribuídos em
vários componentes do sistema, com cada repositório tendo diferentes capacidades de volume de armazenamento.
(2) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | ALERTAS EM TEMPO REAL
Forneça um alerta em [Atribuição: período de tempo real definido pela organização] para [Atribuição:
pessoal, funções e/ ou locais definidos pela organização] quando ocorrerem os seguintes eventos de falha de
auditoria: [Atribuição: eventos de falha de registro de auditoria definidos pela organização que exigem alertas em
tempo real].
Discussão: Os alertas fornecem às organizações mensagens urgentes. Alertas em tempo real fornecem essas
mensagens na velocidade da tecnologia da informação (ou seja, o tempo desde a detecção do evento até o alerta ocorre em
segundos ou menos).
(3) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | LIMITES DE VOLUME DE TRÁFEGO CONFIGURÁVEIS
Aplicar limites de volume de tráfego de comunicações de rede configuráveis, refletindo limites na capacidade de
armazenamento de log de auditoria e [Seleção: rejeitar; atraso] tráfego de rede acima desses limites.
Discussão: As organizações têm a capacidade de rejeitar ou atrasar o processamento do tráfego de comunicações de rede
se for determinado que as informações de registro de auditoria sobre esse tráfego excedem a capacidade de
armazenamento da função de registro de auditoria do sistema. A resposta de rejeição ou atraso é acionada pelos limites
de volume de tráfego organizacional estabelecidos que podem ser ajustados com base em alterações na capacidade de
armazenamento de logs de auditoria.
(4) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | DESLIGAMENTO EM CASO DE FALHA
Invoque uma [Seleção: desligamento completo do sistema; desligamento parcial do sistema; modo operacional
degradado com missão limitada ou funcionalidade de negócios disponível] no caso de [Atribuição: falhas de registro
de auditoria definidas pela organização], a menos que exista um recurso alternativo de registro de auditoria.
Discussão: As organizações determinam os tipos de falhas de registro de auditoria que podem desencadear
desligamentos automáticos do sistema ou operações degradadas. Devido à importância de garantir a missão e a
continuidade dos negócios, as organizações podem determinar que a natureza da falha no registro de auditoria não é tão
grave a ponto de justificar um desligamento completo do sistema

e
g
_________________________________________________________________________________________________
pe
E apoiando a missão organizacional central e as funções de negócios. Nesses casos, o desligamento parcial do sistema
ou a operação em modo degradado com capacidade reduzida podem ser alternativas viáveis.
(5) RESPOSTA ÀS FALHAS NO PROCESSO DE REGISTRO DE AUDITORIA | CAPACIDADE ALTERNATIVA DE REGISTRO DE AUDITORIA
Forneça um recurso de log de auditoria alternativo no caso de uma falha no recurso de log de auditoria
primário que implemente [Atribuição: funcionalidade de log de auditoria alternativa definida pela
organização].
Discussão: Como um recurso alternativo de registro de auditoria pode ser uma proteção de curto prazo
solução empregada até que a falha no recurso de log de auditoria primário seja corrigida, as organizações
podem determinar que o recurso de log de auditoria alternativo precisa apenas fornecer um subconjunto da
funcionalidade de log de auditoria primário que é impactada pela falha.
REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA AU-6

Ao controle:
a. Revise e analise os registros de auditoria do sistema [Atribuição: frequência definida pela organização] para indicações
de [Atribuição: atividade inadequada ou incomum definida pela organização] e o impacto potencial da atividade
inadequada ou incomum;
b. Relatar as descobertas para [Atribuição: pessoal ou funções definidas pela organização]; e
c. Ajustar o nível de revisão, análise e relatórios de registros de auditoria dentro do sistema quando houver uma mudança no
risco com base em informações de aplicação da lei, informações de inteligência ou outras fontes confiáveis de
informações.
Discussão: A revisão, análise e relatórios de registros de auditoria abrangem o registro relacionado à segurança da
informação e à privacidade realizado pelas organizações, incluindo o registro que resulta do monitoramento do uso da conta,
acesso remoto, conectividade sem fio, conexão de dispositivos móveis, definições de configuração, inventário de
componentes do sistema , uso de ferramentas de manutenção e manutenção não local, acesso físico, temperatura e
umidade, entrega e remoção de equipamentos, comunicações nas interfaces do sistema e uso de código móvel ou Voice
over Internet Protocol (VoIP). As descobertas podem ser relatadas a entidades organizacionais que incluem a equipe de
resposta a incidentes, suporte técnico e escritórios de segurança ou privacidade. Se as organizações estiverem
proibidas de revisar e analisar registros de auditoria ou incapazes de realizar tais atividades, a revisão ou análise poderá
ser realizada por outras organizações com tal autoridade. A frequência, o escopo e/ou a profundidade da revisão, análise
e relatório dos registros de auditoria podem ser ajustados para atender às necessidades organizacionais com base nas
novas informações recebidas.
Controles relacionados: AC-2, AC-3, AC-5, AC-6, AC-7, AC-17, AU-7, AU-16, CA-2, CA-7, CM-2, CM-5 , CM-6, CM-10,
CM-11, IA-2, IA- 3 , IA-5, IA-8, IR-5, MA-4, MP-4, PE-3, PE-6, RA -5, SA-8, SC-7, SI-3, SI-4, SI-7.
(1) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | INTEGRAÇÃO AUTOMATIZADA DE PROCESSOS
Integre processos de revisão, análise e relatórios de registros de auditoria usando [Atribuição:

mecanismos automatizados definidos pela organização].
Discussão: Os processos organizacionais que se beneficiam da revisão, análise e relatórios integrados de

registros de auditoria incluem resposta a incidentes, monitoramento contínuo, planejamento de contingência,
investigação e resposta a atividades suspeitas e auditorias do Inspetor Geral.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: PM-7.
(2) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | ALERTAS DE SEGURANÇA AUTOMATIZADOS
(3) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | REPOSITÓRIOS DE REGISTROS DE AUDITORIA CORRELATOS
Analise e correlacione registros de auditoria em diferentes repositórios para obter consciência situacional em toda a
organização.
Discussão: A consciência situacional em toda a organização inclui a consciência em todos os três níveis de gerenciamento
de riscos (isto é, nível organizacional, nível de missão/processo de negócios e nível de sistema de informação) e apoia
a conscientização entre organizações.
Controles Relacionados: AU-12, IR-4.
(4) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | REVISÃO E ANÁLISE CENTRAL
Fornecer e implementar a capacidade de revisar e analisar centralmente registros de auditoria de vários componentes
do sistema.
Discussão: Mecanismos automatizados para revisões e análises centralizadas incluem produtos de gerenciamento de
eventos e informações de segurança.
(5) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | ANÁLISE INTEGRADA DE REGISTROS DE AUDITORIA
Integrar a análise dos registros de auditoria com a análise de [Seleção (um ou mais): informações de verificação de
vulnerabilidades; dados de desempenho; informações de monitoramento do sistema; [Tarefa: dados/ informações
definidos pela organização coletados de outras fontes]] para melhorar ainda mais a capacidade de identificar
atividades inadequadas ou incomuns.
Discussão: A análise integrada de registros de auditoria não requer verificação de vulnerabilidades, geração de dados de
desempenho ou monitoramento do sistema. Em vez disso, a análise integrada exige que a análise da informação gerada pela
digitalização, monitorização ou outras actividades de recolha de dados seja integrada com a análise da informação dos
registos de auditoria. As ferramentas de gerenciamento de eventos e informações de segurança podem facilitar a
agregação ou consolidação de registros de auditoria de vários componentes do sistema, bem como a correlação e análise
de registros de auditoria. O uso de scripts padronizados de análise de registros de auditoria desenvolvidos pelas
organizações (com ajustes de script localizados, conforme necessário) fornece abordagens mais econômicas para analisar
as informações coletadas de registros de auditoria. A correlação das informações do registro de auditoria com as
informações da verificação de vulnerabilidades é importante para determinar a veracidade das verificações de vulnerabilidades
do sistema e para correlacionar os eventos de detecção de ataques com os resultados da verificação. A correlação com
dados de desempenho pode revelar ataques de negação de serviço ou outros tipos de ataques que resultam no uso não
autorizado de recursos. A correlação com informações de monitoramento do sistema pode ajudar a descobrir ataques e a
relacionar melhor as informações de auditoria com situações operacionais.
Controles Relacionados: AU-12, IR-4.
(6) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | CORRELAÇÃO COM MONITORAMENTO FÍSICO
Correlacione as informações dos registros de auditoria com as informações obtidas no monitoramento do

acesso físico para melhorar ainda mais a capacidade de identificar atividades suspeitas, inadequadas,
incomuns ou malévolas.
Discussão: A correlação entre as informações dos registros de auditoria física e os registros de auditoria dos sistemas pode
ajudar as organizações a identificar comportamentos suspeitos ou apoiar evidências de tal comportamento. Por exemplo, a
correlação da identidade de um indivíduo para acesso lógico a determinados sistemas com as informações adicionais de
segurança física de que o indivíduo estava presente na instalação quando ocorreu o acesso lógico pode ser útil em
investigações.

e
g
_________________________________________________________________________________________________
pe
E (7) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | AÇÕES PERMITIDAS
Especifique as ações permitidas para cada [Seleção (uma ou mais): processo do sistema; papel; usuário] associado
à revisão, análise e relatório de informações de registros de auditoria.
Discussão: As organizações especificam ações permitidas para processos, funções e usuários do sistema associados à
revisão, análise e relatório de registros de auditoria por meio de atividades de gerenciamento de contas do sistema. Especificar
ações permitidas nas informações do registro de auditoria é uma forma de impor o princípio do menor privilégio. As ações
permitidas são impostas pelo sistema e incluem leitura, gravação, execução, acréscimo e exclusão.
(8) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | ANÁLISE DE TEXTO COMPLETO DE PRIVILEGIADOS
COMANDOS
Execute uma análise de texto completa de comandos privilegiados registrados em um componente ou

subsistema fisicamente distinto do sistema ou em outro sistema dedicado a essa análise.
Discussão: A análise de texto completo de comandos privilegiados requer um ambiente distinto para a análise de informações
de registros de auditoria relacionadas a usuários privilegiados, sem comprometer tais informações no sistema onde os
usuários têm privilégios elevados, incluindo a capacidade de executar comandos privilegiados. A análise de texto completo
refere-se à análise que considera o texto completo dos comandos privilegiados (ou seja, comandos e parâmetros) em
oposição à análise que considera apenas o nome do comando. A análise de texto completo inclui o uso de correspondência
de padrões e heurística.
Controles relacionados: AU-3, AU-9, AU-11, AU-12.
(9) REVISÃO, ANÁLISE E RELATÓRIOS DO REGISTRO DE AUDITORIA | CORRELAÇÃO COM INFORMAÇÕES DE

FONTES NÃO TÉCNICAS
Correlacione informações de fontes não técnicas com informações de registros de auditoria para aprimorar a
consciência situacional em toda a organização.
Discussão: Fontes não técnicas incluem registros que documentam violações de políticas organizacionais relacionadas
a incidentes de assédio e ao uso indevido de ativos de informação. Essas informações podem levar a um esforço analítico
direcionado para detectar possíveis atividades internas maliciosas. As organizações limitam o acesso a informações
disponíveis em fontes não técnicas
devido à sua natureza sensível. O acesso limitado minimiza o potencial de divulgação inadvertida de informações relacionadas
à privacidade para indivíduos que não precisam saber. A correlação de informações de fontes não técnicas com informações
de registros de auditoria geralmente ocorre apenas quando há suspeita de envolvimento de indivíduos em um incidente.
As organizações obtêm aconselhamento jurídico antes de iniciar tais ações.
(10) REVISÃO, ANÁLISE E RELATÓRIOS DE REGISTROS DE AUDITORIA | AJUSTE DO NÍVEL DE AUDITORIA
AU-7 REDUÇÃO DE REGISTROS DE AUDITORIA E GERAÇÃO DE RELATÓRIOS
Controle: Fornecer e implementar um recurso de redução de registros de auditoria e geração de relatórios que:
a. Suporta revisão, análise e requisitos de relatórios de registros de auditoria sob demanda e investigações pós-fato de incidentes;
e
b. Não altera o conteúdo original ou a ordem temporal dos registros de auditoria.
Discussão: A redução dos registros de auditoria é um processo que manipula as informações coletadas do registro de auditoria e
as organiza em um formato de resumo que seja mais significativo para os analistas. Registro de auditoria

e
g
_________________________________________________________________________________________________
pe
E os recursos de redução e geração de relatórios nem sempre emanam do mesmo sistema ou das mesmas entidades
organizacionais que conduzem atividades de registro de auditoria. A capacidade de redução de registros de auditoria inclui
técnicas modernas de mineração de dados com filtros de dados avançados para identificar comportamentos anômalos em
registros de auditoria. A capacidade de geração de relatórios fornecida pelo sistema pode gerar relatórios personalizáveis. A
ordenação temporal dos registros de auditoria pode ser um problema se a granularidade do carimbo de data/hora no registro for
insuficiente.
Controles relacionados: AC-2, AU-2, AU-3, AU-4, AU-5, AU-6, AU-12, AU-16, CM-5, IA-5, IR-4, PM-12 , SI- 4.
(1) REDUÇÃO DE REGISTROS DE AUDITORIA E GERAÇÃO DE RELATÓRIOS | PROCESSAMENTO AUTOMÁTICO
Fornecer e implementar a capacidade de processar, classificar e pesquisar registros de auditoria para eventos de
interesse com base no seguinte conteúdo: [Atribuição: campos definidos pela organização nos registros de auditoria].
Discussão: Eventos de interesse podem ser identificados pelo conteúdo dos registros de auditoria, incluindo
recursos do sistema envolvidos, objetos de informação acessados, identidades de indivíduos, tipos de eventos, locais de
eventos, datas e horas de eventos, endereços de protocolo da Internet envolvidos ou sucesso ou falha de eventos. As
organizações podem definir critérios de eventos com qualquer grau de granularidade necessário, como locais
selecionáveis por um local de rede geral ou por um componente específico do sistema.
(2) REDUÇÃO DE REGISTROS DE AUDITORIA E GERAÇÃO DE RELATÓRIOS | CLASSIFICAÇÃO E PESQUISA AUTOMÁTICA
[Retirado: Incorporado em AU-7(1).]
CARIMBO DE TEMPO AU-8
Ao controle:
a. Utilize relógios internos do sistema para gerar carimbos de data/hora para registros de auditoria; e
b. Registre carimbos de data/hora para registros de auditoria que atendam [Atribuição: definido pela organização
granularidade da medição de tempo] e que usam o Tempo Universal Coordenado, têm um deslocamento de horário local
fixo em relação ao Tempo Universal Coordenado ou que incluem o deslocamento de horário local como parte do carimbo
de data/hora.
Discussão: Os carimbos de data/hora gerados pelo sistema incluem data e hora. O tempo é comumente expresso em Tempo
Universal Coordenado (UTC), uma continuação moderna do Horário de Greenwich (GMT), ou hora local com um deslocamento do
UTC. A granularidade das medições de tempo refere-se ao grau de sincronização entre os relógios do sistema e os relógios de
referência (por exemplo, relógios sincronizados em centenas de milissegundos ou dezenas de milissegundos). As organizações
podem definir diferentes granularidades de tempo para diferentes componentes do sistema. O serviço de tempo pode ser crítico para
outras capacidades de segurança, tais como controlo de acesso, identificação e autenticação, dependendo da natureza dos
mecanismos utilizados para apoiar essas capacidades.
Controles relacionados: AU-3, AU-12, AU-14, SC-45.
(1) CARIMBOS DE TEMPO | SINCRONIZAÇÃO COM FONTE DE TEMPO AUTORITIVA
[Retirado: Movido para SC-45(1).]
(2) CARIMBOS DE TEMPO | FONTE DE TEMPO AUTORITATIVA SECUNDÁRIA

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Movido para SC-45(2).]
AU-9 PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA
Ao controle:
a. Proteja as informações de auditoria e as ferramentas de registro de auditoria contra acesso não autorizado, modificação,
e exclusão; e
b. Alerta [Atribuição: pessoal ou funções definidas pela organização] após a detecção de

acesso, modificação ou exclusão de informações de auditoria.
Discussão: As informações de auditoria incluem todas as informações necessárias para auditar com êxito a atividade do
sistema, como registros de auditoria, configurações de log de auditoria, relatórios de auditoria e informações de
identificação pessoal. Ferramentas de registro de auditoria são aqueles programas e dispositivos usados para realizar auditoria
do sistema e atividades de registro. A proteção das informações de auditoria concentra-se na proteção técnica e limita a
capacidade de acessar e executar ferramentas de registro de auditoria a indivíduos autorizados. A proteção física das informações
de auditoria é abordada tanto pelos controles de proteção da mídia quanto pelos controles de proteção física e
ambiental.
Controles relacionados: AC-3, AC-6, AU-6, AU-11, AU-14, AU-15, MP-2, MP-4, PE-2, PE-3, PE-6, SA-8 ,
SC-8, SI-4.
(1) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | MÍDIA DE ESCRITA ÚNICA DE HARDWARE
Escreva trilhas de auditoria em mídias de gravação única impostas por hardware.
Discussão: Escrever trilhas de auditoria em mídia de gravação única aplicada por hardware aplica-se à geração inicial de
trilhas de auditoria (ou seja, à coleção de registros de auditoria que representa as informações a serem usadas para fins de
detecção, análise e geração de relatórios) e ao backup dessas trilhas de auditoria. A gravação de trilhas de auditoria em
mídia de gravação única imposta por hardware não se aplica à geração inicial de registros de auditoria antes de serem
gravados em uma trilha de auditoria. A mídia de gravação única e leitura múltipla (WORM) inclui disco compacto gravável
(CD-R), disco Blu-Ray gravável (BD-R) e disco digital versátil gravável (DVD-R). Em contraste, o uso de mídias
comutáveis de proteção contra gravação, como cartuchos de fita, unidades Universal Serial Bus (USB), Compact
Disc Regravável (CD-RW) e Digital Versatile Disc-Read Write (DVD-RW) resulta em mídia protegida contra gravação, mas
não com gravação única.
(2) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | ARMAZENAR EM SISTEMAS OU COMPONENTES FÍSICOS SEPARADOS
Armazene registros de auditoria [Atribuição: frequência definida pela organização] em um repositório que faça
parte de um sistema ou componente de sistema fisicamente diferente do sistema ou componente que está sendo
auditado.
Discussão: Armazenar registros de auditoria em um repositório separado do sistema ou componente do sistema auditado
ajuda a garantir que um comprometimento do sistema que está sendo auditado não resulte também em um
comprometimento dos registros de auditoria. O armazenamento de registros de auditoria em sistemas ou
componentes físicos separados também preserva a confidencialidade e a integridade dos registros de auditoria e facilita o
gerenciamento dos registros de auditoria como uma atividade que abrange toda a organização. O armazenamento de
registros de auditoria em sistemas ou componentes separados aplica-se à geração inicial, bem como ao backup ou
armazenamento de longo prazo de registros de auditoria.
(3) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | PROTEÇÃO CRIPTOGRÁFICA

e
g
_________________________________________________________________________________________________
pe
E Implementar mecanismos criptográficos para proteger a integridade das informações e ferramentas de auditoria.
Discussão: Os mecanismos criptográficos usados para proteger a integridade das informações de auditoria incluem funções
hash assinadas usando criptografia assimétrica. Isto permite a distribuição da chave pública para verificar as informações de
hash, mantendo a confidencialidade da chave secreta usada para gerar o hash.
Controles relacionados: AU-10, SC-12, SC-13.
(4) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | ACESSO POR SUBCONJUNTO DE USUÁRIOS PRIVILEGIADOS
Autorize o acesso ao gerenciamento da funcionalidade de log de auditoria apenas para [Atribuição:

subconjunto de usuários ou funções privilegiadas definido pela organização].
Discussão: Indivíduos ou funções com acesso privilegiado a um sistema e que também são objeto de uma auditoria por
esse sistema podem afetar a fiabilidade das informações de auditoria, inibindo atividades de auditoria ou modificando
registos de auditoria. Exigir que o acesso privilegiado seja definido com mais detalhes entre privilégios relacionados
à auditoria e outros privilégios limita o número de usuários ou funções com privilégios relacionados à auditoria.
Controles relacionados: AC-5.
(5) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | AUTORIZAÇÃO DUPLA
Aplicar autorização dupla para [Seleção (uma ou mais): movimentação; exclusão] de [Atribuição:
informações de auditoria definidas pela organização].
Discussão: As organizações podem escolher diferentes opções de seleção para diferentes tipos de informações de auditoria.
Os mecanismos de autorização dupla (também conhecidos como controle de duas pessoas) exigem a aprovação de dois
indivíduos autorizados para executar funções de auditoria. Para reduzir o risco de conluio, as organizações consideram
alternar as funções de autorização dupla para outros indivíduos.
As organizações não exigem mecanismos de autorização dupla quando são necessárias respostas imediatas para garantir a
segurança pública e ambiental.
(6) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | ACESSO SOMENTE LEITURA
Autorize o acesso somente leitura às informações de auditoria para [Atribuição: subconjunto de usuários ou
funções privilegiadas definido pela organização].
Discussão: Restringir autorizações de usuários ou funções privilegiadas para somente leitura ajuda a limitar os possíveis
danos às organizações que poderiam ser iniciados por tais usuários ou funções, como a exclusão de registros de
auditoria para encobrir atividades maliciosas.
(7) PROTEÇÃO DE INFORMAÇÕES DE AUDITORIA | ARMAZENAR EM COMPONENTE COM FUNCIONAMENTO DIFERENTE

SISTEMA
Armazene informações de auditoria em um componente que executa um sistema operacional diferente do sistema
ou componente que está sendo auditado.
Discussão: Armazenar informações de auditoria em um componente do sistema que executa um sistema operacional
diferente reduz o risco de uma vulnerabilidade específica do sistema, resultando no comprometimento dos registros de
auditoria.
Controles relacionados: AU-4, AU-5, AU-11, SC-29.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 202].

e
g
_________________________________________________________________________________________________
pe
E NÃO REPÚDIO AU-10
Controle: Fornecer evidências irrefutáveis de que um indivíduo (ou processo agindo em nome de um
indivíduo) executou [Tarefa: ações definidas pela organização a serem cobertas pelo não repúdio].
Discussão: Os tipos de ações individuais abrangidas pelo não repúdio incluem a criação de informações, o envio e
recebimento de mensagens e a aprovação de informações. O não repúdio protege contra alegações de autores de
não terem sido os autores de determinados documentos, de remetentes de não terem transmitido mensagens, de
destinatários de não terem recebido mensagens e de signatários de não terem assinado documentos. Os
serviços de não repúdio podem ser usados para determinar se as informações foram originadas de um indivíduo ou se
um indivíduo realizou ações específicas (por exemplo, enviar um e-mail, assinar um contrato, aprovar uma
solicitação de aquisição ou receber informações específicas). As organizações obtêm serviços de não repúdio
empregando diversas técnicas ou mecanismos, incluindo assinaturas digitais e recebimentos de mensagens digitais.
Controles relacionados: AU-9, PM-12, SA-8, SC-8, SC-12, SC-13, SC-16, SC-17, SC-23.
(1) NÃO REPÚDIO | ASSOCIAÇÃO DE IDENTIDADES
(a) Vincular a identidade do produtor da informação às informações para [Atribuição:

força de ligação definida pela organização]; e
(b) Fornecer os meios para que indivíduos autorizados determinem a identidade do

produtor da informação.
Discussão: A vinculação de identidades às informações apoia os requisitos de auditoria que fornecem ao

pessoal organizacional os meios para identificar quem produziu informações específicas no caso de uma
transferência de informações. As organizações determinam e aprovam a força da ligação de atributos entre o
produtor da informação e a informação com base na categoria de segurança da informação e outros
fatores de risco relevantes.
(2) NÃO REPÚDIO | VALIDAR VINCULAÇÃO DA IDENTIDADE DO PRODUTOR DA INFORMAÇÃO
(a) Validar a vinculação da identidade do produtor da informação às informações em

[Atribuição: frequência definida pela organização]; e
(b) Executar [Atribuição: ações definidas pela organização] no caso de um erro de validação.
Discussão: Validar a vinculação da identidade do produtor da informação à informação evita a modificação da

informação entre a produção e a revisão. A validação de ligações pode ser obtida, por exemplo, usando somas
de verificação criptográficas. As organizações determinam se as validações são em resposta às solicitações
dos usuários ou geradas automaticamente.
(3) NÃO REPÚDIO | CADEIA DE CUSTÓDIA
Manter credenciais de revisor ou liberador dentro da cadeia de custódia estabelecida para

informações revisadas ou divulgadas.
Discussão: A cadeia de custódia é um processo que rastreia a movimentação de provas ao longo do seu ciclo
de vida de recolha, salvaguarda e análise, documentando cada indivíduo que manuseou as provas, a data e
hora em que as provas foram recolhidas ou transferidas e a finalidade da transferência. . Se o revisor for humano
ou se a função de revisão for automatizada, mas
separado da função de liberação ou transferência, o sistema associa a identidade do revisor da informação
a ser divulgada à informação e ao rótulo da informação.
No caso de revisões humanas, manter as credenciais dos revisores ou liberadores proporciona

e
g
_________________________________________________________________________________________________
pe
E a organização com os meios para identificar quem revisou e divulgou as informações. No caso de revisões automatizadas,
garante que apenas funções de revisão aprovadas sejam utilizadas.
(4) NÃO REPÚDIO | VALIDAR VINCULAÇÃO DA IDENTIDADE DO REVISOR DE INFORMAÇÕES
(a) Validar a vinculação da identidade do revisor de informações às informações nos pontos de transferência ou
liberação antes da liberação ou transferência entre [Atribuição: domínios de segurança definidos
pela organização]; e
(b) Executar [Atribuição: ações definidas pela organização] no caso de um erro de validação.
Discussão: A validação da ligação da identidade do revisor de informações às informações nos pontos de transferência ou
liberação evita a modificação não autorizada de informações entre a revisão e a transferência ou liberação. A validação de
ligações pode ser alcançada usando
somas de verificação criptográficas. As organizações determinam se as validações são em resposta às solicitações dos
usuários ou geradas automaticamente.
(5) NÃO REPÚDIO | ASSINATURAS DIGITAIS
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-177].
RETENÇÃO DE REGISTROS DE AUDITORIA AU-11
Controle: Reter registros de auditoria por [Atribuição: período de tempo definido pela organização consistente com a política de
retenção de registros] para fornecer suporte para investigações de incidentes após o fato e para atender aos requisitos regulatórios
e organizacionais de retenção de informações.
Discussão: As organizações retêm registros de auditoria até que seja determinado que os registros não são mais necessários
para fins administrativos, jurídicos, de auditoria ou outros fins operacionais. Isto inclui o
retenção e disponibilidade de registros de auditoria relativos a solicitações, intimações e ações de aplicação da lei da Lei de Liberdade
de Informação (FOIA). As organizações desenvolvem categorias padrão de registros de auditoria relativos a esses tipos de
ações e processos de resposta padrão para cada tipo de ação.
As Programações Gerais de Registros da Administração Nacional de Arquivos e Registros (NARA) fornecem políticas federais
sobre retenção de registros.
Controles relacionados: AU-2, AU-4, AU-5, AU-6, AU-9, AU-14, MP-6, RA-5, SI-12.
(1) RETENÇÃO DE REGISTROS DE AUDITORIA | CAPACIDADE DE RECUPERAÇÃO A LONGO PRAZO
Empregar [Tarefa: medidas definidas pela organização] para garantir que os registros de auditoria de longo
prazo gerados pelo sistema possam ser recuperados.
Discussão: As organizações precisam acessar e ler registros de auditoria que exigem armazenamento de longo prazo (da
ordem de anos). As medidas empregadas para ajudar a facilitar a recuperação dos registros de auditoria incluem a
conversão dos registros para formatos mais recentes, a retenção de equipamentos capazes de ler os registros e a retenção
da documentação necessária para ajudar o pessoal a compreender como interpretar os registros.
GERAÇÃO DE REGISTROS DE AUDITORIA AU-12
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Fornece capacidade de geração de registros de auditoria para os tipos de eventos que o sistema é capaz de realizar
auditoria conforme definido em AU-2a em [Tarefa: componentes do sistema definidos pela organização];
b. Permitir que [Atribuição: pessoal ou funções definidas pela organização] selecione os tipos de eventos que
devem ser registrados por componentes específicos do sistema; e
c. Gere registros de auditoria para os tipos de eventos definidos em AU-2c que incluem o registro de auditoria
conteúdo definido em AU-3.
Discussão: Os registros de auditoria podem ser gerados a partir de muitos componentes diferentes do sistema. Os tipos de eventos
especificados em AU-2d são os tipos de eventos para os quais os logs de auditoria serão gerados e são um subconjunto de todos os tipos
de eventos para os quais o sistema pode gerar registros de auditoria.
Controles relacionados: AC-6, AC-17, AU-2, AU-3 , AU-4, AU-5 , AU-6, AU-7, AU-14, CM-5, MA-4, MP-4 , PM-12, SA-8, SC-18, SI-3, SI-4,
SI-7, SI-10.
(1) GERAÇÃO DE REGISTROS DE AUDITORIA | TRILHAS DE AUDITORIA EM TODO O SISTEMA E CORRELACIONADAS COM O TEMPO
Compilar registros de auditoria de [Atribuição: componentes do sistema definidos pela organização] em uma trilha de auditoria
de todo o sistema (lógico ou físico) correlacionada com o tempo dentro de [Atribuição: nível de tolerância definido pela
organização para o relacionamento entre registros de data e hora de registros individuais na trilha de auditoria].
Discussão: As trilhas de auditoria são correlacionadas com o tempo se os carimbos de data e hora nos registros de auditoria individuais
puderem ser relacionados de forma confiável com os carimbos de data e hora em outros registros de auditoria para alcançar uma
ordenação temporal dos registros dentro das tolerâncias organizacionais.
Controles Relacionados: AU-8, SC-45.
(2) GERAÇÃO DE REGISTROS DE AUDITORIA | FORMATOS PADRONIZADOS
Produza uma trilha de auditoria (lógica ou física) para todo o sistema, composta por registros de auditoria em um
formato padronizado.
Discussão: Os registros de auditoria que seguem padrões comuns promovem a interoperabilidade e a troca de informações
entre dispositivos e sistemas. A promoção da interoperabilidade e da troca de informações facilita a produção de informações
sobre eventos que podem ser prontamente analisadas e correlacionadas. Se os mecanismos de registro não estiverem em
conformidade com formatos padronizados, os sistemas poderão converter registros de auditoria individuais em formatos
padronizados ao compilar trilhas de auditoria para todo o sistema.
(3) GERAÇÃO DE REGISTROS DE AUDITORIA | ALTERAÇÕES POR INDIVÍDUOS AUTORIZADOS
Fornecer e implementar a capacidade para [Atribuição: indivíduos ou funções definidas pela organização] alterar o registro a
ser executado em [Atribuição: componentes do sistema definidos pela organização] com base em [Atribuição: critérios de
evento selecionáveis definidos pela organização] dentro de [Atribuição: organização -limites de tempo definidos].
Discussão: Permitir que indivíduos autorizados façam alterações no log do sistema permite que as organizações estendam ou
limitem o log conforme necessário para atender aos requisitos organizacionais.
O registro limitado para conservar os recursos do sistema pode ser estendido (temporária ou permanentemente) para resolver
determinadas situações de ameaça. Além disso, o registro em log pode ser limitado a um conjunto específico de tipos de eventos
para facilitar a redução, análise e relatórios de auditoria. As organizações podem estabelecer limites de tempo nos quais as ações de
registro são alteradas (por exemplo, quase em tempo real, em minutos ou em horas).

e
g
_________________________________________________________________________________________________
pe
E (4) GERAÇÃO DE REGISTROS DE AUDITORIA | AUDITORIAS DE PARÂMETROS DE CONSULTA DE IDENTIFICÁVEIS PESSOALMENTE
INFORMAÇÃO
Fornecer e implementar a capacidade de auditar os parâmetros de eventos de consulta do usuário para conjuntos de
dados contendo informações de identificação pessoal.
Discussão: Parâmetros de consulta são critérios explícitos que um sistema individual ou automatizado envia a um sistema
para recuperar dados. A auditoria de parâmetros de consulta para conjuntos de dados que contêm informações de identificação
pessoal aumenta a capacidade de uma organização rastrear e compreender o acesso, uso ou compartilhamento de
informações de identificação pessoal por pessoal autorizado.
MONITORAMENTO AU-13 PARA DIVULGAÇÃO DE INFORMAÇÕES
Ao controle:
a. Monitorar [Tarefa: informações e/ ou informações de código aberto definidas pela organização

sites] [Atribuição: frequência definida pela organização] para evidência de divulgação não autorizada de informações
organizacionais; e
b. Se uma divulgação de informações for descoberta:
1. Notificar [Atribuição: pessoal ou funções definidas pela organização]; e
2. Execute as seguintes ações adicionais: [Atribuição: trabalho adicional definido pela organização
ações].
Discussão: A divulgação não autorizada de informações é uma forma de vazamento de dados. As informações de código
aberto incluem sites de redes sociais e plataformas e repositórios de compartilhamento de código.
Exemplos de informações organizacionais incluem informações de identificação pessoal retidas pela organização ou informações
proprietárias geradas pela organização.
Controles relacionados: AC-22, PE-3, PM-12, RA-5, SC-7, SI-20.
(1) MONITORAMENTO PARA DIVULGAÇÃO DE INFORMAÇÕES | USO DE FERRAMENTAS AUTOMATIZADAS
Monitore informações de código aberto e sites de informações usando [Tarefa: mecanismos automatizados
Discussão: Os mecanismos automatizados incluem serviços comerciais que fornecem notificações e alertas às organizações
e scripts automatizados para monitorizar novas publicações em websites.
(2) MONITORAMENTO PARA DIVULGAÇÃO DE INFORMAÇÕES | REVISÃO DE SITES MONITORADOS
Revise a lista de sites de informações de código aberto que estão sendo monitorados [Atribuição:
frequência definida pela organização].
Discussão: A revisão regular da lista atual de sites de informações de código aberto monitorados ajuda a garantir que os sites
selecionados permaneçam relevantes. A revisão também oferece a oportunidade de adicionar novos sites de
informações de código aberto com potencial para fornecer evidências de divulgação não autorizada de informações
organizacionais. A lista de sites monitorados pode ser orientada e informada pela inteligência de ameaças de outras fontes
confiáveis de informação.
(3) MONITORAMENTO PARA DIVULGAÇÃO DE INFORMAÇÕES | REPLICAÇÃO NÃO AUTORIZADA DE INFORMAÇÕES

e
g
_________________________________________________________________________________________________
pe
E Empregue técnicas, processos e ferramentas de descoberta para determinar se entidades externas estão
replicando informações organizacionais de maneira não autorizada.
Discussão: O uso ou replicação não autorizada de informações organizacionais por entidades externas pode causar
impactos adversos nas operações e ativos organizacionais, incluindo danos à reputação. Essa atividade pode incluir
a replicação de um site organizacional por um adversário ou ator de ameaça hostil que tenta se passar pela organização de
hospedagem na web. As ferramentas, técnicas e processos de descoberta usados para determinar se entidades
externas estão replicando informações organizacionais de maneira não autorizada incluem a verificação
de sites externos, o monitoramento de mídias sociais e o treinamento de funcionários para reconhecer o uso não
autorizado de informações organizacionais.
AUDITORIA DE SESSÃO AU-14
Ao controle:
a. Fornecer e implementar o recurso para [Atribuição: usuários ou funções definidas pela organização] para [Seleção (um ou mais):
registro; visualizar; ouvir; log] o conteúdo de uma sessão de usuário em [Atribuição: circunstâncias definidas pela
organização]; e
b. Desenvolver, integrar e usar atividades de auditoria de sessão em consulta com o consultor jurídico e de acordo com as leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Discussão: As auditorias de sessão podem incluir o monitoramento das teclas digitadas, o rastreamento dos sites visitados e
o registro de informações e/ou transferências de arquivos. A capacidade de auditoria de sessão é implementada além do registro de
eventos e pode envolver a implementação de tecnologia especializada de captura de sessão.
As organizações consideram como a auditoria de sessões pode revelar informações sobre indivíduos que podem dar origem a
riscos de privacidade, bem como como mitigar esses riscos. Como a auditoria de sessão pode impactar o desempenho do
sistema e da rede, as organizações ativam a capacidade em situações bem definidas (por exemplo, a organização suspeita
de um indivíduo específico). As organizações consultam consultores jurídicos, autoridades de liberdades civis e autoridades
de privacidade para garantir que quaisquer questões legais, de privacidade, de direitos civis ou de liberdades civis, incluindo o
uso de informações de identificação pessoal, sejam abordadas de forma adequada.
Controles relacionados: AC-3, AC-8, AU-2, AU-3, AU-4, AU -5, AU-8, AU-9, AU-11, AU-12.
(1) AUDITORIA DE SESSÃO | INICIALIZAÇÃO DO SISTEMA
Inicie auditorias de sessão automaticamente na inicialização do sistema.
Discussão: O início automático de auditorias de sessão na inicialização ajuda a garantir que as informações capturadas
sobre indivíduos selecionados estejam completas e não sujeitas a comprometimento por meio de adulteração
por agentes de ameaças mal-intencionados.
(2) AUDITORIA DE SESSÃO | CAPTURAR E GRAVAR CONTEÚDO
(3) AUDITORIA DE SESSÃO | VISUALIZAÇÃO E ESCUTA REMOTAS
Fornecer e implementar a capacidade para que usuários autorizados visualizem e ouçam remotamente conteúdo
relacionado a uma sessão de usuário estabelecida em tempo real.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: AC-17.
CAPACIDADE DE REGISTRO DE AUDITORIA ALTERNATIVA AU-15
[Retirado: Movido para AU-5(5).]
REGISTRO DE AUDITORIA TRANSVERSAL ORGANIZACIONAL AU-16
Controle: Empregar [Atribuição: métodos definidos pela organização] para coordenar [Atribuição: informações de
auditoria definidas pela organização] entre organizações externas quando as informações de auditoria são transmitidas
através dos limites organizacionais.
Discussão: Quando as organizações utilizam sistemas ou serviços de organizações externas, a capacidade de registo
de auditoria necessita de uma abordagem coordenada e interorganizacional. Por exemplo, manter a identidade
de indivíduos que solicitam serviços específicos através das fronteiras organizacionais pode muitas vezes ser
difícil, e isso pode ter implicações significativas no desempenho e na privacidade. Portanto, muitas vezes acontece que o
registro de auditoria entre organizações simplesmente captura a identidade dos indivíduos que emitem solicitações no sistema
inicial e os sistemas subsequentes registram que as solicitações foram originadas de indivíduos autorizados. As
organizações consideram incluir processos para coordenar os requisitos de informações de auditoria e proteção de
informações de auditoria em acordos de troca de informações.
Controles Relacionados: AU-3, AU-6, AU-7, CA-3, PT-7.
(1) REGISTRO DE AUDITORIA TRANSVERSAL ORGANIZACIONAL | PRESERVAÇÃO DE IDENTIDADE
Preservar a identidade dos indivíduos em trilhas de auditoria interorganizacionais.
Discussão: A preservação da identidade é aplicada quando há necessidade de rastrear ações que são executadas
através das fronteiras organizacionais até um indivíduo específico.
Controles Relacionados: IA-2, IA-4, IA-5, IA-8.
(2) REGISTRO DE AUDITORIA TRANSVERSAL ORGANIZACIONAL | COMPARTILHAMENTO DE INFORMAÇÕES DE AUDITORIA
Fornecer informações de auditoria interorganizacionais para [Atribuição: organizações definidas pela

organização] com base em [Atribuição: acordos de compartilhamento interorganizacionais definidos pela
organização].
Discussão: Devido à natureza distribuída das informações de auditoria, o compartilhamento de informações

de auditoria entre organizações pode ser essencial para uma análise eficaz da auditoria que está sendo realizada.
Por exemplo, os registos de auditoria de uma organização podem não fornecer informações suficientes para
determinar a utilização apropriada ou inadequada dos recursos de informação organizacional por indivíduos de outras
organizações. Em alguns casos, apenas as organizações de origem dos indivíduos têm o conhecimento adequado
para tomar tais determinações, exigindo assim a partilha de informações de auditoria entre as organizações.
Controles Relacionados: IR-4, SI-4.
(3) AUDITORIA TRANSVERSAL ORGANIZACIONAL | DESASSOCIABILIDADE
Implementar [Atribuição: medidas definidas pela organização] para desassociar os indivíduos das informações
de auditoria transmitidas através dos limites organizacionais.
Discussão: Preservar identidades em trilhas de auditoria pode ter ramificações de privacidade, como permitir o
rastreamento e a criação de perfis de indivíduos, mas pode não ser operacionalmente necessário.
Estes riscos poderiam ser ainda mais amplificados ao transmitir informações através das fronteiras organizacionais.
A implementação de técnicas criptográficas que melhoram a privacidade pode desassociar os indivíduos das
informações de auditoria e reduzir o risco de privacidade, ao mesmo tempo que mantém a responsabilidade.

e
g
_________________________________________________________________________________________________
pe

e
g
_________________________________________________________________________________________________
pe
E 3.4 AVALIAÇÃO, AUTORIZAÇÃO E MONITORAMENTO
Link rápido para a tabela de resumo de avaliação, autorização e monitoramento
POLÍTICA E PROCEDIMENTOS CA-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de
avaliação, autorização e monitoramento em nível de sistema que:

2. Procedimentos para facilitar a implementação da política de avaliação, autorização e monitoramento e os

controles associados de avaliação, autorização e monitoramento;

documentação e divulgação da política e dos procedimentos de avaliação, autorização e monitoramento; e
c. Revise e atualize a avaliação, autorização e monitoramento atuais:


Discussão: As políticas e procedimentos de avaliação, autorização e monitoramento abordam os controles da

família CA que são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator
importante no estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia
de segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de políticas e procedimentos de avaliação, autorização e monitoramento. As políticas e procedimentos
do programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a
necessidade de políticas e procedimentos específicos da missão ou do sistema. A política pode ser incluída como
parte da política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza
complexa das organizações. Podem ser estabelecidos procedimentos para programas de segurança e
privacidade, para processos de missão ou de negócios e para sistemas, se necessário. Os procedimentos descrevem
como as políticas ou controles são implementados e podem ser direcionados ao indivíduo ou função que é objeto do
procedimento.
Os procedimentos podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais
documentos separados. Eventos que podem precipitar uma atualização na avaliação, autorização e monitoramento
políticas e procedimentos incluem resultados de avaliação ou auditoria, incidentes ou violações de segurança ou
alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples
reafirmação dos controles não constitui uma política ou procedimento organizacional.

e
g
_________________________________________________________________________________________________
pe
E Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-100] , [SP
800-137], [SP 800-137A], [IR 8062].
AVALIAÇÕES DE CONTROLE CA-2
Ao controle:
a. Selecione o avaliador ou equipe de avaliação apropriado para o tipo de avaliação a ser

conduzido;
b. Desenvolva um plano de avaliação de controle que descreva o escopo da avaliação, incluindo:
1. Controles e melhorias de controle em avaliação;
2. Procedimentos de avaliação a utilizar para determinar a eficácia do controlo; e
3. Ambiente de avaliação, equipe de avaliação e funções e responsabilidades de avaliação;
c. Garantir que o plano de avaliação de controle seja revisado e aprovado pelo gestor orçamentário ou
representante designado antes de realizar a avaliação;
d. Avaliar os controles do sistema e seu ambiente de operação [Tarefa:

frequência definida pela organização] para determinar até que ponto os controles são implementados
corretamente, operando conforme pretendido e produzindo o resultado desejado no que diz respeito ao
cumprimento dos requisitos de segurança e privacidade estabelecidos;
e. Produzir um relatório de avaliação de controle que documente os resultados da avaliação; e
f. Fornecer os resultados da avaliação de controle para [Atribuição: definido pela organização

indivíduos ou funções].
Discussão: As organizações asseguram que os avaliadores de controlo possuem as competências e conhecimentos

técnicos necessários para desenvolver planos de avaliação eficazes e para realizar avaliações de controlos de gestão
específicos do sistema, híbridos, comuns e de programas, conforme apropriado. As habilidades exigidas incluem
conhecimento geral de conceitos e abordagens de gerenciamento de risco, bem como conhecimento abrangente
e experiência com os componentes do sistema de hardware, software e firmware implementados.
As organizações avaliam os controles nos sistemas e nos ambientes em que esses sistemas operam como parte de
autorizações iniciais e contínuas, monitoramento contínuo, avaliações anuais da FISMA,
design e desenvolvimento de sistemas, engenharia de segurança de sistemas, engenharia de privacidade e ciclo
de vida de desenvolvimento de sistemas. As avaliações ajudam a garantir que as organizações atendam aos requisitos
de segurança e privacidade da informação, identificam pontos fracos e deficiências no design do sistema e
processo de desenvolvimento, fornecer informações essenciais necessárias para tomar decisões baseadas em riscos
como parte dos processos de autorização e cumprir os procedimentos de mitigação de vulnerabilidades. As
organizações realizam avaliações sobre os controles implementados, conforme documentado nos planos de segurança e privacidade.
As avaliações também podem ser realizadas durante todo o ciclo de vida de desenvolvimento do sistema, como
parte dos processos de engenharia de sistemas e de engenharia de segurança de sistemas. O design dos controles
pode ser avaliado à medida que as RFPs são desenvolvidas, as respostas são avaliadas e as revisões do design são
conduzidas. Se um projeto para implementar controles e subsequente implementação de acordo com o projeto for
avaliado durante o desenvolvimento, o teste de controle final pode ser uma simples confirmação utilizando a
avaliação de controle previamente concluída e agregando os resultados.
As organizações podem desenvolver um plano único e consolidado de avaliação de segurança e privacidade para o
sistema ou manter planos separados. Um plano de avaliação consolidado delineia claramente as funções e
responsabilidades da avaliação do controlo. Se várias organizações participarem na avaliação de um sistema, uma
abordagem coordenada pode reduzir as redundâncias e os custos associados.
As organizações podem usar outros tipos de atividades de avaliação, como verificação de vulnerabilidades e
monitoramento de sistema, para manter a postura de segurança e privacidade dos sistemas durante a operação do sistema.

e
g
_________________________________________________________________________________________________
pe
E vida útil. Os relatórios de avaliação documentam os resultados da avaliação com detalhes suficientes,
conforme considerado necessário pelas organizações, para determinar a precisão e integridade dos relatórios
e se os controles estão implementados corretamente, operando conforme pretendido e produzindo o resultado
desejado no que diz respeito ao cumprimento dos requisitos. Os resultados da avaliação são fornecidos aos
indivíduos ou funções apropriadas para os tipos de avaliações que estão sendo conduzidas. Por exemplo, as
avaliações realizadas em apoio às decisões de autorização são fornecidas a funcionários responsáveis pela
autorização, funcionários seniores de agências de privacidade, funcionários seniores de segurança da informação de agências e
autorizando representantes oficiais designados.
Para satisfazer os requisitos de avaliação anual, as organizações podem usar os resultados da avaliação das
seguintes fontes: autorizações de sistema iniciais ou contínuas, monitoramento contínuo, processos de
engenharia de sistemas ou atividades do ciclo de vida de desenvolvimento de sistemas. As organizações
garantem que os resultados da avaliação sejam atuais, relevantes para a determinação da eficácia do controle
e obtidos com o nível apropriado de independência do avaliador. Os resultados da avaliação de controle
existentes podem ser reutilizados na medida em que os resultados ainda sejam válidos e também podem ser
complementados com avaliações adicionais, conforme necessário. Após as autorizações iniciais, as organizações
avaliam os controles durante o monitoramento contínuo. As organizações também estabelecem a frequência das
avaliações contínuas de acordo com as estratégias organizacionais de monitoramento contínuo. Auditorias externas,
incluindo auditorias realizadas por entidades externas, como agências reguladoras, estão fora do escopo do CA-2.
Controles relacionados: AC-20, CA-5, CA-6, CA-7, PM-9 , RA-5, RA-10, SA-11, SC-38, SI-3, SI-12, SR-2 , SR-
3.
(1) AVALIAÇÕES DE CONTROLE | AVALIADORES INDEPENDENTES
Empregue avaliadores independentes ou equipes de avaliação para realizar avaliações de controle.
Discussão: Avaliadores independentes ou equipas de avaliação são indivíduos ou grupos que realizam
avaliações imparciais de sistemas. Imparcialidade significa que os avaliadores estão livres de quaisquer
conflitos de interesses percebidos ou reais em relação ao desenvolvimento, operação, sustentação
ou gestão dos sistemas sob avaliação ou à determinação da eficácia do controle. Para alcançar a
imparcialidade, os avaliadores não criam interesses mútuos ou conflituantes com as organizações onde as
avaliações estão a ser realizadas, não avaliam o seu próprio trabalho, não agem como gestores ou
funcionários das organizações que servem, nem se colocam em posições de defesa das organizações. adquirir
seus serviços.
Avaliações independentes podem ser obtidas de elementos dentro das organizações ou ser
contratados com entidades do setor público ou privado fora das organizações. Os responsáveis pela
autorização determinam o nível de independência exigido com base nas categorias de segurança dos sistemas
e/ou no risco para as operações organizacionais, ativos organizacionais ou indivíduos. Os gestores orçamentais
também determinam se o nível de independência do avaliador proporciona garantia suficiente de que os
resultados são sólidos e podem ser utilizados para tomar decisões credíveis e baseadas no risco. A
determinação da independência do avaliador inclui se os serviços de avaliação contratados têm
independência suficiente, como quando os proprietários do sistema não estão diretamente
envolvidos nos processos de contratação ou não podem influenciar a imparcialidade dos avaliadores que conduzem a avaliação.
avaliações. Durante a fase de concepção e desenvolvimento do sistema, ter avaliadores independentes
é análogo a ter PME independentes envolvidas nas revisões de concepção.
Quando as organizações proprietárias dos sistemas são pequenas ou as estruturas das organizações
exigir que as avaliações sejam conduzidas por indivíduos que estão na cadeia de desenvolvimento,
operacional ou de gestão dos proprietários do sistema, a independência nos processos de avaliação pode
ser alcançada garantindo que os resultados da avaliação sejam cuidadosamente revistos e analisados por
equipes independentes de especialistas para validar a integralidade, precisão, integridade e confiabilidade dos
resultados. Avaliações realizadas para outros fins que não o apoio

e
g
_________________________________________________________________________________________________
pe
E as decisões de autorização são mais susceptíveis de serem utilizadas para tais decisões quando executadas por avaliadores
com independência suficiente, reduzindo assim a necessidade de repetir avaliações.
(2) AVALIAÇÕES DE CONTROLE | AVALIAÇÕES ESPECIALIZADAS
Incluir como parte das avaliações de controle, [Atribuição: frequência definida pela organização], [Seleção:
anunciada; sem aviso prévio], [Seleção (um ou mais): monitoramento aprofundado; instrumentação de
segurança; casos de teste de segurança automatizados; verificação de vulnerabilidades; testes de usuários mal-
intencionados; avaliação de ameaças internas; testes de desempenho e carga; avaliação de vazamento ou perda
de dados; [Tarefa: outras formas de avaliação definidas pela organização]].
Discussão: As organizações podem realizar avaliações especializadas, incluindo verificação e validação, monitoramento
de sistemas, avaliações de ameaças internas, testes de usuários mal-intencionados e outras formas de testes. Estas
avaliações podem melhorar a prontidão, exercitando as capacidades organizacionais e indicando os níveis actuais de
desempenho como forma de concentrar acções para melhorar a segurança e a privacidade. As organizações realizam
avaliações especializadas de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis. Os responsáveis pela autorização aprovam os métodos de avaliação em coordenação com a função
executiva de risco organizacional. As organizações podem incluir vulnerabilidades descobertas durante as avaliações nos
processos de correção de vulnerabilidades. Avaliações especializadas também podem ser realizadas no início do ciclo de
vida de desenvolvimento do sistema (por exemplo, durante o projeto inicial, desenvolvimento e testes unitários).
Controles Relacionados: PE-3, SI-2.
(3) AVALIAÇÕES DE CONTROLE | APROVEITANDO RESULTADOS DE ORGANIZAÇÕES EXTERNAS
Aproveite os resultados das avaliações de controle realizadas por [Tarefa: organização externa definida pela
organização] em [Tarefa: sistema definido pela organização] quando a avaliação atender a [Tarefa: requisitos
Discussão: As organizações podem contar com avaliações de controle de sistemas organizacionais realizadas por outras
organizações (externas). A utilização de tais avaliações e a reutilização de evidências de avaliação existentes podem
diminuir o tempo e os recursos necessários para as avaliações, limitando as atividades de avaliação independente que
as organizações precisam realizar. Os fatores que as organizações consideram ao determinar se devem aceitar os
resultados da avaliação de organizações externas podem variar. Tais fatores incluem a experiência passada da organização
com a organização que conduziu a avaliação, a reputação da organização avaliadora,
o nível de detalhe das evidências de avaliação de apoio fornecidas e os mandatos impostos pelas leis, ordens executivas,
diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis.
Laboratórios de testes credenciados que apoiam o Programa de Critérios Comuns [ISO 15408-1], o Programa de Validação
de Módulo Criptográfico do NIST (CMVP) ou o Programa de Validação de Algoritmo Criptográfico do NIST (CAVP)
podem fornecer resultados de avaliação independentes que as organizações podem aproveitar.
Controles Relacionados: SA-4.
Referências: [OMB A-130], [FIPS 199], [SP 800-18], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115], [ SP 800-137], [IR
8011-1], [IR 8062].
TROCA DE INFORMAÇÕES CA-3
Ao controle:
a. Aprovar e gerenciar a troca de informações entre o sistema e outros sistemas utilizando [Seleção (um ou mais): acordos de
segurança de interconexão; acordos de segurança para troca de informações; memorandos de entendimento ou acordo;
Acordos de Nível de Serviço;

e
g
_________________________________________________________________________________________________
pe
E acordos de usuário; acordos de não divulgação; [Atribuição: tipo de acordo definido pela organização]];
b. Documente, como parte de cada acordo de troca, as características da interface, segurança e

requisitos de privacidade, controles e responsabilidades para cada sistema e o nível de impacto das informações
comunicadas; e
c. Revise e atualize os acordos [Atribuição: frequência definida pela organização].
Discussão: Os requisitos de troca de informações do sistema aplicam-se às trocas de informações entre

dois ou mais sistemas. As trocas de informações do sistema incluem conexões por meio de linhas alugadas ou
redes privadas virtuais, conexões com provedores de serviços de Internet, compartilhamento de bancos de dados
ou trocas de informações de transações de bancos de dados, conexões e trocas com serviços em nuvem, trocas por
meio de serviços baseados na Web ou trocas de arquivos por meio de protocolos de transferência de arquivos. , rede
protocolos (por exemplo, IPv4, IPv6), e-mail ou outras comunicações entre organizações.
As organizações consideram o risco relacionado com ameaças novas ou crescentes que podem ser introduzidas
quando os sistemas trocam informações com outros sistemas que podem ter diferentes requisitos e controlos de
segurança e privacidade. Isso inclui sistemas dentro da mesma organização e sistemas externos à organização. Uma
autorização conjunta dos sistemas que trocam informações, conforme descrito em CA-6(1) ou CA-6(2), pode ajudar
a comunicar e reduzir riscos.
Os responsáveis pela autorização determinam o risco associado à troca de informações do sistema e os controles
necessários para a mitigação adequada do risco. Os tipos de acordos seleccionados baseiam-se em factores como
o nível de impacto da informação trocada, a relação entre as organizações que trocam informações (por exemplo,
governo para governo, governo para
empresa, empresa para empresa, governo ou empresa para prestador de serviços, governo ou empresa para
indivíduo) ou o nível de acesso ao sistema organizacional pelos usuários do outro sistema. Se os sistemas que
trocam informações tiverem o mesmo gestor autorizado, as organizações
não precisa desenvolver acordos. Em vez disso, as características da interface entre os sistemas (por exemplo,
como a informação está a ser trocada, como a informação é protegida) são descritas nos respectivos planos de
segurança e privacidade. Se os sistemas que trocam informações tiverem diferentes gestores orçamentários
dentro da mesma organização, as organizações podem desenvolver acordos ou
fornecer as mesmas informações que seriam fornecidas no tipo de contrato apropriado do CA-3a nos respectivos
planos de segurança e privacidade dos sistemas. As organizações podem incorporar informações de acordos em
contratos formais, especialmente para trocas de informações estabelecidas entre agências federais e organizações
não federais (incluindo prestadores de serviços, empreiteiros, desenvolvedores de sistemas e integradores de
sistemas). As considerações de risco incluem sistemas que compartilham as mesmas redes.
Controles relacionados: AC-4, AC-20, AU-16, CA-6, IA-3, IR-4, PL-2, PT-7, RA-3, SA-9, SC-7, SI-12 .
(1) CONEXÕES DO SISTEMA | CONEXÕES NÃO CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL
(2) CONEXÕES DO SISTEMA | CONEXÕES CLASSIFICADAS DO SISTEMA DE SEGURANÇA NACIONAL
(3) CONEXÕES DO SISTEMA | CONEXÕES DE SISTEMA DE SEGURANÇA NÃO NACIONAL NÃO CLASSIFICADAS
(4) CONEXÕES DO SISTEMA | CONEXÕES COM REDES PÚBLICAS
(5) CONEXÕES DO SISTEMA | RESTRIÇÕES ÀS CONEXÕES DE SISTEMA EXTERNO

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Movido para SC-7(5).]
(6) TROCA DE INFORMAÇÕES | AUTORIZAÇÕES DE TRANSFERÊNCIA
Verifique se os indivíduos ou sistemas que transferem dados entre sistemas interconectados possuem as
autorizações necessárias (ou seja, permissões ou privilégios de gravação) antes de aceitar tais dados.
Discussão: Para evitar que indivíduos e sistemas não autorizados façam transferências de informações para
sistemas protegidos, o sistema protegido verifica — por meios independentes —
se o indivíduo ou sistema que tenta transferir informações está autorizado a fazê-lo.
A verificação da autorização para transferir informações também se aplica ao tráfego do plano de controle (por exemplo,
roteamento e DNS) e serviços (por exemplo, retransmissões SMTP autenticadas).
(7) TROCA DE INFORMAÇÕES |TROCAS DE INFORMAÇÕES TRANSITIVAS
(a) Identificar trocas de informações transitivas (a jusante) com outros sistemas através dos sistemas
identificados no CA-3a; e
(b) Tomar medidas para garantir que as trocas de informações transitivas (a jusante) cessem
quando os controles em sistemas transitivos (a jusante) identificados não puderem ser verificados ou
validados.
Discussão: As trocas de informações transitivas ou “a jusante” são trocas de informações entre o sistema ou sistemas
com os quais o sistema organizacional troca informações e outros sistemas. Para sistemas, serviços e aplicações
essenciais à missão, incluindo alta
ativos de valor, é necessário identificar essas trocas de informações. A transparência dos controlos ou medidas de
proteção em vigor nesses sistemas a jusante ligados direta ou indiretamente aos sistemas organizacionais é essencial
para compreender os riscos de segurança e privacidade resultantes dessas trocas de informações. Os sistemas
organizacionais podem herdar riscos de sistemas a jusante através de conexões transitivas e trocas de informações,
o que pode tornar os sistemas organizacionais mais suscetíveis a ameaças, perigos e impactos adversos.
Referências: [OMB A-130], [FIPS 199], [SP 800-47].
CERTIFICAÇÃO DE SEGURANÇA CA-4
[Retirado: Incorporado ao CA-2.]
PLANO DE AÇÃO E MARCOS CA-5
Ao controle:
a. Desenvolva um plano de ação e marcos para o sistema documentar o planejado

ações de remediação da organização para corrigir fraquezas ou deficiências observadas durante a avaliação dos
controles e para reduzir ou eliminar vulnerabilidades conhecidas no
sistema; e
b. Atualizar o plano de ação e os marcos existentes [Atribuição: frequência definida pela organização]
com base nas conclusões de avaliações de controle, auditorias ou revisões independentes e atividades de
monitoramento contínuo.
Discussão: Planos de ação e marcos são úteis para qualquer tipo de organização acompanhar as ações corretivas
planejadas. Planos de ação e marcos são exigidos em pacotes de autorização e estão sujeitos aos requisitos de relatórios
federais estabelecidos pelo OMB.
Controles Relacionados: CA-2, CA-7, PM-4, PM-9, RA-7, SI-2, SI-12.

e
g
_________________________________________________________________________________________________
pe
(1) PLANO DE AÇÃO E MARCOS | SUPORTE DE AUTOMAÇÃO PARA PRECISÃO E MOEDA

Garanta a precisão, atualidade e disponibilidade do plano de ação e marcos do sistema usando
[Atribuição: mecanismos automatizados definidos pela organização].
Discussão: O uso de ferramentas automatizadas ajuda a manter a precisão, a atualidade e a disponibilidade
do plano de ação e dos marcos e facilita a coordenação e o compartilhamento de informações de segurança
e privacidade em toda a organização. Essa coordenação e partilha de informações ajudam a identificar
fraquezas ou deficiências sistémicas nos sistemas organizacionais e a garantir que os recursos
apropriados são direcionados para as vulnerabilidades mais críticas do sistema em tempo útil.
maneiras.
AUTORIZAÇÃO CA-6
Ao controle:
a. Designar um funcionário superior como gestor orçamental do sistema;
b. Designar um funcionário superior como gestor orçamental para controlos comuns disponíveis para
herança por sistemas organizacionais;
c. Certifique-se de que o gestor orçamental do sistema, antes de iniciar as operações:
1. Aceita a utilização de controles comuns herdados pelo sistema; e
2. Autoriza o funcionamento do sistema;
d. Garantir que o gestor orçamentário dos controles comuns autorize o uso desses controles para herança por
sistemas organizacionais;
e. Atualize as autorizações [Atribuição: frequência definida pela organização].
Discussão: Autorizações são decisões oficiais de gestão tomadas por altos funcionários para autorizar a
operação de sistemas, autorizar o uso de controles comuns para herança por sistemas organizacionais e
aceitar explicitamente o risco para operações e ativos organizacionais, indivíduos, outras organizações e a
Nação com base no implementação de controles acordados. Os gestores orçamentais fornecem supervisão
orçamental para sistemas organizacionais e controlos comuns ou assumem a responsabilidade pela missão e
funções empresariais apoiadas por esses sistemas ou controlos comuns. O processo de autorização é de
responsabilidade federal e, portanto, os responsáveis pela autorização devem ser funcionários federais. Os
gestores orçamentários são responsáveis pelos riscos de segurança e privacidade associados à
operação e uso de sistemas organizacionais.
As organizações não federais podem ter processos semelhantes para autorizar sistemas e funcionários
seniores que assumem a função de autorização e responsabilidades associadas.
Os responsáveis pela autorização emitem autorizações contínuas de sistemas com base em evidências
produzidas a partir de programas de monitoramento contínuo implementados. Programas robustos de
monitoramento contínuo reduzem a necessidade de processos separados de reautorização. Através do
emprego de processos abrangentes de monitoramento contínuo, as informações contidas nos pacotes de autorização (ou seja,
planos de segurança e privacidade, relatórios de avaliação e planos de ação e marcos) é atualizado
continuamente. Isso fornece aos responsáveis pela autorização, aos provedores de controle comuns e
aos proprietários de sistemas um status atualizado da postura de segurança e privacidade de seus sistemas,
controles e ambientes operacionais. Para reduzir o custo da reautorização, os responsáveis pela
autorização podem aproveitar ao máximo os resultados dos processos de monitorização contínua como base
para a tomada de decisões de reautorização.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: CA-2, CA-3, CA-7, PM-9, PM-10, RA-3, SA-10, SI-12.
(1) AUTORIZAÇÃO | AUTORIZAÇÃO CONJUNTA — INTRA-ORGANIZAÇÃO

Empregue um processo de autorização conjunto para o sistema que inclua vários responsáveis pela
autorização da mesma organização que conduzem a autorização.
Discussão: A designação de vários gestores orçamentais da mesma organização para servirem como gestores co-
autorizadores do sistema aumenta o nível de independência no processo de tomada de decisões baseado no risco.
Também implementa os conceitos de separação de funções e autorização dupla aplicados ao processo de autorização
do sistema. O processo de autorização conjunta intraorganizacional é mais relevante para sistemas conectados,
sistemas compartilhados e sistemas com múltiplos proprietários de informações.
(2) AUTORIZAÇÃO | AUTORIZAÇÃO CONJUNTA — INTER-ORGANIZAÇÃO

Empregue um processo de autorização conjunto para o sistema que inclua vários gestores orçamentários
com pelo menos um gestor orçamentário de uma organização externa à organização que conduz a
autorização.
Discussão: A designação de vários gestores orçamentais, pelo menos um dos quais proveniente de uma organização
externa, para servirem como gestores co-autorizadores do sistema aumenta o nível de independência no processo de tomada
de decisões baseado no risco. Implementa os conceitos de separação de funções e autorização dupla aplicados ao
processo de autorização do sistema.
Empregar funcionários autorizadores de organizações externas para complementar o processo de autorização
Um funcionário da organização que possui ou hospeda o sistema pode ser necessário quando as organizações
externas têm interesse ou ações no resultado da decisão de autorização. O processo de autorização conjunta entre
organizações é relevante e apropriado para sistemas conectados, sistemas ou serviços compartilhados e sistemas com
múltiplos proprietários de informações. Os gestores orçamentais das organizações externas são os principais
intervenientes no sistema sujeito a autorização.
MONITORAMENTO CONTÍNUO CA-7
Controle: Desenvolver uma estratégia de monitoramento contínuo em nível de sistema e implementar monitoramento
contínuo de acordo com a estratégia de monitoramento contínuo em nível de organização que inclui:
a. Estabelecer as seguintes métricas em nível de sistema a serem monitoradas: [Atribuição: organização-

métricas definidas em nível de sistema];
b. Estabelecer [Atribuição: frequências definidas pela organização] para monitoramento e

[Atribuição: frequências definidas pela organização] para avaliação da eficácia do controle;
c. Avaliações de controlo contínuas de acordo com a estratégia de monitorização contínua;
d. Monitoramento contínuo das métricas definidas pelo sistema e pela organização de acordo com o
estratégia de monitoramento contínuo;
e. Correlação e análise de informações geradas por avaliações de controle e monitoramento;
f. Ações de resposta para abordar os resultados da análise da avaliação e monitoramento do controle

Informação; e

e
g
_________________________________________________________________________________________________
pe
E g. Relatar o status de segurança e privacidade do sistema para [Atribuição: pessoal ou funções definidas
pela organização] [Atribuição: frequência definida pela organização].
Discussão: O monitoramento contínuo no nível do sistema facilita a conscientização contínua da segurança

do sistema e da postura de privacidade para apoiar decisões de gerenciamento de riscos organizacionais. Os
termos “contínuo” e “contínuo” implicam que as organizações avaliem e monitorizem os seus controlos e
riscos com uma frequência suficiente para apoiar decisões baseadas no risco. Diferentes tipos de controles podem
exigir diferentes frequências de monitoramento. Os resultados do monitoramento contínuo geram ações de
resposta aos riscos por parte das organizações. Ao monitorar a eficácia de vários controles agrupados em
capacidades, pode ser necessária uma análise da causa raiz para determinar o controle específico que
falhou. Programas de monitoramento contínuo permitem que as organizações mantenham as autorizações de
sistemas e controles comuns em ambientes de operação altamente dinâmicos com mudanças na missão e nas
necessidades de negócios, ameaças, vulnerabilidades e tecnologias. Ter acesso contínuo a informações de
segurança e privacidade por meio de relatórios e painéis dá aos funcionários da organização a capacidade de
tomar decisões eficazes e oportunas de gerenciamento de riscos, incluindo decisões de autorização contínuas.
A automação oferece suporte a atualizações mais frequentes de inventários de hardware, software e firmware,
pacotes de autorização e outras informações do sistema. A eficácia é ainda melhorada quando os resultados
da monitorização contínua são formatados para fornecer informações específicas, mensuráveis, acionáveis,
relevantes e oportunas. As atividades de monitoramento contínuo são dimensionadas de acordo com as
categorias de segurança dos sistemas. Os requisitos de monitoramento, incluindo a necessidade de
monitoramento específico, podem ser referenciados em outros controles e melhorias de controle, como AC-2g,
AC-2(7), AC-2(12)(a), AC-2(7)( b), AC-2(7)(c), AC-17(1), AT-4a, AU-13, AU-13(1), AU-13(2), CM-3f, CM-6d,
CM-11c, IR-5, MA-2b, MA-3a, MA-4a, PE-3d, PE-6, PE-14b, PE- 16, PE-20, PM-6, PM-23, PM- 31, PS-7e,
SA-9c, SR-4, SC-5(3)(b), SC-7a, SC-7(24)(b), SC-18b, SC-43b e SI-4 .
Controles relacionados: AC-2, AC-6, AC-17, AT-4, AU-6, AU-13, CA-2, CA-5, CA-6, CM-3, CM-4, CM-6 ,
CM-11, IA-5, IR-5, MA-2, MA -3, MA-4, PE-3, PE-6, PE-14, PE-16, PE -20, PL-2, PM -4, PM-6, PM-9, PM-10,
PM-12 , PM-14, PM-23, PM- 28, PM-31, PS-7, PT- 7, RA-3, RA-5 , RA-7, RA-10, SA-8, SA-9, SA -11 , SC-5,
SC-7, SC-18, SC-38, SC-43 , SI-3, SI-4, SI -12, SR-6.
(1) MONITORAMENTO CONTÍNUO | AVALIAÇÃO INDEPENDENTE
Empregar avaliadores independentes ou equipas de avaliação para monitorizar continuamente os

controlos do sistema.
Discussão: As organizações maximizam o valor das avaliações de controlo ao exigir que as avaliações
sejam conduzidas por avaliadores com níveis apropriados de independência. O nível de independência
exigido baseia-se em estratégias organizacionais de monitorização contínua.
A independência do avaliador proporciona um certo grau de imparcialidade ao processo de
monitorização. Para alcançar tal imparcialidade, os avaliadores não criam interesses mútuos ou
conflituantes com as organizações onde as avaliações estão a ser realizadas, não avaliam o seu próprio
trabalho, não agem como gestores ou funcionários das organizações que servem, nem se colocam em
posições de defesa das organizações. adquirir seus serviços.
(2) MONITORAMENTO CONTÍNUO | TIPOS DE AVALIAÇÕES

[Retirado: Incorporado no CA-2.]
(3) MONITORAMENTO CONTÍNUO | ANÁLISES DE TENDÊNCIAS
Empregar análises de tendências para determinar se as implementações de controlo, a

frequência das atividades de monitorização contínua e os tipos de atividades utilizadas no
processo de monitorização contínua precisam de ser modificados com base em dados empíricos.

e
g
_________________________________________________________________________________________________
pe
E Discussão: As análises de tendências incluem o exame de informações recentes sobre ameaças que abordam os tipos de
eventos de ameaça que ocorreram na organização ou no Governo Federal,
taxas de sucesso de certos tipos de ataques, vulnerabilidades emergentes em tecnologias, evolução das técnicas de
engenharia social, eficácia das definições de configuração, resultados de múltiplas avaliações de controle e
descobertas de Inspetores Gerais ou auditores.
(4) MONITORAMENTO CONTÍNUO | MONITORAMENTO DE RISCOS
Garantir que o monitoramento de riscos seja parte integrante da estratégia de monitoramento contínuo que
inclui o seguinte:
(a) Monitoramento da eficácia;
(b) Monitoramento da conformidade; e
(c) Monitoramento de mudanças.
Discussão: O monitoramento de riscos é informado pela tolerância ao risco organizacional estabelecida.

A monitorização da eficácia determina a eficácia contínua das medidas de resposta ao risco implementadas. O
monitoramento da conformidade verifica se as medidas de resposta aos riscos necessárias são implementadas. Ele
também verifica se os requisitos de segurança e privacidade foram atendidos. O monitoramento de alterações identifica
alterações nos sistemas organizacionais e ambientes de operação que podem afetar os riscos de segurança e privacidade.
(5) MONITORAMENTO CONTÍNUO | ANÁLISE DE CONSISTÊNCIA
Empregue as seguintes ações para validar se as políticas foram estabelecidas e se os controles implementados
estão operando de maneira consistente: [Atribuição: ações definidas pela organização].
Discussão: Os controles de segurança e privacidade são frequentemente adicionados de forma incremental a um sistema.
Como resultado, as políticas de selecção e implementação de controlos podem ser inconsistentes e os controlos podem não
funcionar em conjunto de uma forma consistente ou coordenada. No mínimo, a falta de consistência e coordenação pode
significar que existem lacunas inaceitáveis de segurança e privacidade no sistema. Na pior das hipóteses, isso poderia
significar que alguns dos controles implementados em um local ou por um componente estão na verdade impedindo a
funcionalidade de outros controles (por exemplo, a criptografia do tráfego da rede interna pode impedir o monitoramento). Em
outras situações, deixar de monitorar consistentemente todos os protocolos de rede implementados (por exemplo, uma
pilha dupla de IPv4 e IPv6) pode criar vulnerabilidades não intencionais no sistema que poderiam ser exploradas por
adversários.
É importante validar – através de testes, monitorização e análise – que os controlos implementados estão a funcionar de forma
consistente, coordenada e sem interferências.
(6) MONITORAMENTO CONTÍNUO | SUPORTE DE AUTOMAÇÃO PARA MONITORAMENTO
Garanta a precisão, atualidade e disponibilidade dos resultados de monitoramento do sistema usando [Atribuição:
Discussão: O uso de ferramentas automatizadas para monitoramento ajuda a manter a precisão, a atualidade e a
disponibilidade das informações de monitoramento, o que, por sua vez, ajuda a aumentar o nível de conscientização
contínua da segurança do sistema e da postura de privacidade em apoio às decisões de gerenciamento de riscos
organizacionais.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115],[SP 800-137], [IR 8011-1] , [IR 8062].

e
g
_________________________________________________________________________________________________
pe
E TESTE DE PENETRAÇÃO CA-8
Controle: Realize testes de penetração [Atribuição: frequência definida pela organização] em [Atribuição: sistemas
ou componentes de sistema definidos pela organização].
Discussão: O teste de penetração é um tipo especializado de avaliação realizada em sistemas ou componentes

individuais do sistema para identificar vulnerabilidades que podem ser exploradas por adversários.
Os testes de penetração vão além da verificação automatizada de vulnerabilidades e são conduzidos por agentes e equipes
com habilidades e experiência demonstráveis que incluem conhecimento técnico em rede, sistema operacional e/ou
segurança em nível de aplicativo. Os testes de penetração podem ser usados para validar vulnerabilidades ou determinar o
grau de resistência à penetração de sistemas contra adversários dentro de restrições especificadas. Essas restrições
incluem tempo, recursos e habilidades. Os testes de penetração tentam duplicar as ações dos adversários e fornecem
uma análise mais aprofundada das fraquezas ou deficiências relacionadas à segurança e à privacidade. Os testes de
penetração são especialmente importantes quando as organizações estão fazendo a transição de tecnologias mais
antigas para tecnologias mais novas (por exemplo, transição de protocolos de rede IPv4 para IPv6).
As organizações podem usar os resultados das análises de vulnerabilidade para apoiar atividades de testes de
penetração. Os testes de penetração podem ser conduzidos interna ou externamente nos componentes de
hardware, software ou firmware de um sistema e podem exercer controles físicos e técnicos. Um método padrão para
testes de penetração inclui uma análise pré-teste baseada no conhecimento completo do sistema, identificação pré-teste
de vulnerabilidades potenciais com base na análise pré-teste e testes projetados para determinar a explorabilidade das
vulnerabilidades. Todas as partes concordam com as regras de engajamento antes de iniciar cenários de testes de
penetração. As organizações correlacionam as regras de engajamento para os testes de penetração com as ferramentas,
técnicas e procedimentos que deverão ser empregados pelos adversários. Os testes de penetração podem resultar na
exposição de informações protegidas por leis ou regulamentos aos indivíduos que realizam os testes. Regras de engajamento,
contratos ou outros mecanismos apropriados podem ser usados para
comunicar expectativas sobre como proteger essas informações. As avaliações de risco orientam as decisões sobre o
nível de independência exigido para o pessoal que realiza testes de penetração.
Controles relacionados: RA-5, RA-10, SA-11, SR-5, SR-6.
(1) TESTE DE PENETRAÇÃO | AGENTE OU EQUIPE DE TESTE DE PENETRAÇÃO INDEPENDENTE
Empregue um agente ou equipe de teste de penetração independente para realizar testes de penetração no
sistema ou nos componentes do sistema.
Discussão: Agentes ou equipes independentes de testes de penetração são indivíduos ou grupos que realizam testes
de penetração imparciais de sistemas organizacionais. A imparcialidade implica que os agentes ou equipes de
testes de penetração estão livres de conflitos de interesse percebidos ou reais com relação ao desenvolvimento,
operação ou gerenciamento dos sistemas que são alvo dos testes de penetração. CA-2(1) fornece informações
adicionais sobre avaliações independentes que podem ser aplicadas a testes de penetração.
(2) TESTE DE PENETRAÇÃO | EXERCÍCIOS DA EQUIPE VERMELHA
Empregue os seguintes exercícios de equipe vermelha para simular tentativas de adversários de

comprometer os sistemas organizacionais de acordo com as regras de engajamento aplicáveis: [Tarefa:
exercícios de equipe vermelha definidos pela organização].
Discussão: Os exercícios da equipe vermelha ampliam os objetivos dos testes de penetração, examinando a postura
de segurança e privacidade das organizações e a capacidade de implementar defesas cibernéticas eficazes. Os
exercícios da equipe vermelha simulam tentativas dos adversários de comprometer a missão e as funções de
negócios e fornecem uma avaliação abrangente da segurança e

e
g
_________________________________________________________________________________________________
pe
E postura de privacidade de sistemas e organizações. Tais tentativas podem incluir ataques baseados em
tecnologia e ataques baseados em engenharia social. Os ataques baseados em tecnologia incluem
interações com componentes de hardware, software ou firmware e/ou missão e processos de negócios.
Os ataques baseados em engenharia social incluem interações via e-mail, telefone, navegação no ombro ou
conversas pessoais. Os exercícios da equipe vermelha são mais eficazes quando conduzidos por
agentes e equipes de testes de penetração com conhecimento e experiência com táticas, técnicas,
procedimentos e ferramentas adversárias atuais. Embora os testes de penetração possam ser
principalmente testes baseados em laboratório, as organizações podem usar exercícios da equipe vermelha
para fornecer avaliações mais abrangentes que reflitam as condições do mundo real. Os resultados dos
exercícios da equipe vermelha podem ser usados pelas organizações para melhorar a conscientização
e o treinamento em segurança e privacidade e para avaliar a eficácia do controle.
(3) TESTE DE PENETRAÇÃO | TESTE DE PENETRAÇÃO NAS INSTALAÇÕES
Empregue um processo de teste de penetração que inclua [Atribuição: frequência definida

pela organização] [Seleção: anunciada; não anunciadas] tentativas de contornar ou
contornar os controles associados aos pontos de acesso físico à instalação.
Discussão: Os testes de penetração de pontos de acesso físicos podem fornecer informações sobre
vulnerabilidades críticas nos ambientes operacionais de sistemas organizacionais. Essas informações
podem ser usadas para corrigir fraquezas ou deficiências nos controles físicos necessários para
proteger os sistemas organizacionais.
Controles Relacionados: CA-2, PE-3.
CONEXÕES DO SISTEMA INTERNO CA-9
Ao controle:
a. Autorizar conexões internas de [Atribuição: componentes do sistema ou classes de componentes definidos

pela organização] ao sistema;
b. Documente, para cada conexão interna, as características da interface, segurança e privacidade

requisitos e a natureza das informações comunicadas;
c. Encerre as conexões do sistema interno após [Atribuição: condições definidas pela organização];
e
d. Revise [Atribuição: frequência definida pela organização] a necessidade contínua de cada

conexão.
Discussão: As conexões internas do sistema são conexões entre sistemas organizacionais e componentes
constituintes separados do sistema (ou seja, conexões entre componentes que fazem parte do mesmo
sistema), incluindo componentes usados para o desenvolvimento do sistema. As conexões intra-sistema
incluem conexões com dispositivos móveis, notebooks e desktops, tablets, impressoras, copiadoras,
máquinas de fax, scanners, sensores e servidores. Em vez de autorizar cada conexão interna do sistema
individualmente, as organizações podem autorizar conexões internas para uma classe de componentes
do sistema com características e/ou configurações comuns, incluindo impressoras, scanners e
copiadoras com capacidade específica de processamento, transmissão e armazenamento ou smartphones
e tablets. com uma configuração de linha de base específica. A necessidade contínua de uma conexão
interna do sistema é analisada sob a perspectiva de fornecer suporte para missões organizacionais
ou funções de negócios.
Controles relacionados: AC-3, AC-4, AC-18, AC-19, CM-2, IA-3, SC-7, SI-12.

e
g
_________________________________________________________________________________________________
pe
E (1) CONEXÕES DO SISTEMA INTERNO | VERIFICAÇÕES DE CONFORMIDADE
Execute verificações de conformidade de segurança e privacidade nos componentes constituintes do sistema

antes do estabelecimento da conexão interna.
Discussão: As verificações de conformidade incluem a verificação da configuração de linha de base relevante.

Referências: [SP 800-124], [IR 8023].

e
g
_________________________________________________________________________________________________
pe
E 3.5 GERENCIAMENTO DE CONFIGURAÇÃO
Link rápido para a tabela de resumo do gerenciamento de configuração
POLÍTICA E PROCEDIMENTOS CM-1
Ao controle:

funções]:
nível] política de gerenciamento de configuração que:

2. Procedimentos para facilitar a implementação da política de gestão de configuração

e os controles de gerenciamento de configuração associados;

documentação e divulgação da política e procedimentos de gerenciamento de configuração; e
c. Revise e atualize o gerenciamento de configuração atual:


Discussão: A política e os procedimentos de gerenciamento de configuração abordam os controles da família CM

que são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
estabelecimento de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de
segurança e privacidade. Portanto, é importante que os programas de segurança e privacidade colaborem no
desenvolvimento de políticas e procedimentos de gerenciamento de configuração.
As políticas e procedimentos do programa de segurança e privacidade no nível da organização são preferíveis, em
geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão ou do sistema. A política
pode ser incluída como parte da política geral de segurança e privacidade ou ser representada por múltiplas
políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos para programas
de segurança e privacidade, para processos de missão/negócios e para sistemas, se necessário.
Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados ao
indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de
segurança e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma
atualização na política e nos procedimentos de gerenciamento de configuração incluem, mas não estão limitados
a, resultados de avaliação ou auditoria, incidentes ou violações de segurança ou alterações nas leis aplicáveis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples reafirmação dos controles não
constitui uma política ou procedimento organizacional.
Controles Relacionados: PM-9, PS-8, SA-8, SI-12.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E CONFIGURAÇÃO DE BASE DO CM-2
Ao controle:
a. Desenvolver, documentar e manter sob controle de configuração uma configuração de linha de base atual do
sistema; e
b. Revise e atualize a configuração de linha de base do sistema:
1. [Atribuição: frequência definida pela organização];
2. Quando necessário devido a [Atribuição: circunstâncias definidas pela organização]; e
3. Quando os componentes do sistema são instalados ou atualizados.
Discussão: As configurações básicas para sistemas e componentes de sistema incluem aspectos de conectividade, operacionais
e de comunicação dos sistemas. As configurações de linha de base são especificações documentadas, revisadas formalmente e
acordadas para sistemas ou itens de configuração dentro desses sistemas. As configurações de linha de base servem como
base para futuras compilações, lançamentos ou alterações nos sistemas e incluem implementações de controle de segurança e
privacidade, procedimentos operacionais, informações sobre componentes do sistema, topologia de rede e posicionamento
lógico de componentes na arquitetura do sistema. Manter as configurações de linha de base requer a criação de novas linhas de
base à medida que os sistemas organizacionais mudam ao longo do tempo. As configurações básicas dos sistemas refletem a
arquitetura empresarial atual.
Controles relacionados: AC-19, AU-6, CA-9, CM-1, CM-3, CM-5, CM-6, CM-8, CM-9, CP-9, CP-10, CP-12 , MA-2, PL-8, PM-5, SA-8,
SA-10, SA-15, SC-18.
(1) CONFIGURAÇÃO DE BASE | AVALIAÇÕES E ATUALIZAÇÕES
(2) CONFIGURAÇÃO DE BASE | SUPORTE DE AUTOMAÇÃO PARA PRECISÃO E MOEDA
Manter a atualidade, integridade, precisão e disponibilidade da configuração básica do sistema usando

Discussão: Mecanismos automatizados que ajudam as organizações a manter configurações básicas consistentes para
sistemas incluem ferramentas de gerenciamento de configuração, hardware, software, ferramentas de inventário de
firmware e ferramentas de gerenciamento de rede. Ferramentas automatizadas podem ser usadas no nível da organização,
no nível da missão e do processo de negócios ou no nível do sistema em estações de trabalho, servidores, notebooks,
componentes de rede ou dispositivos móveis. As ferramentas podem ser usadas para rastrear números de versão em sistemas
operacionais, aplicativos, tipos de software instalados e níveis de patch atuais. O suporte de automação para precisão e
atualidade pode ser satisfeito pela implementação do CM-8(2) para organizações que combinam inventário de componentes
de sistema e atividades de configuração de linha de base.
Controles Relacionados: CM-7, IA-3, RA-5.
(3) CONFIGURAÇÃO DE BASE | RETENÇÃO DE CONFIGURAÇÕES ANTERIORES
Retenha [Atribuição: número definido pela organização] de versões anteriores de configurações de linha de
base do sistema para dar suporte à reversão.
Discussão: A manutenção de versões anteriores de configurações de linha de base para suportar a reversão inclui
hardware, software, firmware, arquivos de configuração, registros de configuração e documentação associada.
(4) CONFIGURAÇÃO DE BASE | SOFTWARE NÃO AUTORIZADO

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao CM-7(4).]
(5) CONFIGURAÇÃO DE BASE | SOFTWARE AUTORIZADO
[Retirado: Incorporado ao CM-7(5).]
(6) CONFIGURAÇÃO DE BASE | AMBIENTES DE DESENVOLVIMENTO E TESTE
Mantenha uma configuração de linha de base para ambientes de teste e desenvolvimento de sistema
que seja gerenciada separadamente da configuração de linha de base operacional.
Discussão: O estabelecimento de configurações básicas separadas para ambientes operacionais, de

desenvolvimento e de teste protege os sistemas contra eventos não planejados ou inesperados relacionados às
atividades de desenvolvimento e teste. Configurações de linha de base separadas permitem que as
organizações apliquem o gerenciamento de configuração mais apropriado para cada tipo de configuração.
Por exemplo, o gerenciamento de configurações operacionais normalmente enfatiza a necessidade de
estabilidade, enquanto o gerenciamento de configurações de desenvolvimento ou teste exige maior
flexibilidade. As configurações no ambiente de teste refletem as configurações no ambiente operacional na
medida do possível, para que os resultados dos testes sejam representativos das mudanças propostas nos
sistemas operacionais. Configurações de linha de base separadas não exigem necessariamente ambientes
físicos separados.
Controles relacionados: CM-4, SC-3, SC-7.
(7) CONFIGURAÇÃO DE BASE | CONFIGURAR SISTEMAS E COMPONENTES PARA ÁREAS DE ALTO RISCO
(a) Emitir [Atribuição: sistemas ou componentes de sistema definidos pela organização] com
[Atribuição: configurações definidas pela organização] para indivíduos que viajam para locais que
a organização considera de risco significativo; e
(b) Aplicar os seguintes controles aos sistemas ou componentes quando os indivíduos retornarem
da viagem: [Atribuição: controles definidos pela organização].
Discussão: Quando se sabe que sistemas ou componentes de sistemas estarão em áreas de alto risco
externos à organização, controles adicionais podem ser implementados para combater o aumento da
ameaça nessas áreas. Por exemplo, as organizações podem tomar medidas relativamente aos
computadores portáteis utilizados por indivíduos que partem e regressam de viagens. As ações incluem
determinar os locais que são preocupantes, definir as configurações necessárias para os componentes,
garantir que os componentes sejam configurados conforme pretendido antes do início da viagem e aplicar
controles aos componentes após a conclusão da viagem. Notebooks especialmente configurados incluem
computadores com discos rígidos higienizados, aplicativos limitados e definições de configuração mais
rigorosas. Os controles aplicados aos dispositivos móveis no retorno da viagem incluem examinar o dispositivo
móvel em busca de sinais de adulteração física e limpar e recriar imagens das unidades de disco. A proteção
de informações que residem em dispositivos móveis é abordada na família MP (Media Protection).
Controles relacionados: MP-4, MP-5.
CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO CM-3
Ao controle:
a. Determine e documente os tipos de alterações no sistema que são de configuração

controlada;
b. Analisar as alterações propostas no sistema controladas pela configuração e aprovar ou desaprovar tais alterações,
considerando explicitamente as análises de impacto na segurança e na privacidade;
c. Documentar decisões de alteração de configuração associadas ao sistema;
d. Implementar alterações controladas por configuração aprovadas no sistema;

e
g
_________________________________________________________________________________________________
pe
E e. Reter registros de alterações controladas pela configuração no sistema por [Atribuição: período de
tempo definido pela organização];
f. Monitore e revise as atividades associadas às mudanças controladas pela configuração no

sistema; e
g. Coordenar e fornecer supervisão para atividades de controle de alterações de configuração por meio de
[Atribuição: elemento de controle de alterações de configuração definido pela organização] que convoca
[Seleção (um ou mais): [Atribuição: frequência definida pela organização]; quando [Atribuição: condições de
alteração de configuração definidas pela organização]].
Discussão: O controle de mudanças de configuração para sistemas organizacionais envolve a proposta

sistemática, justificativa, implementação, teste, revisão e disposição de mudanças no sistema, incluindo
atualizações e modificações do sistema. O controle de alterações de configuração inclui alterações nas configurações
básicas, itens de configuração de sistemas, procedimentos operacionais, definições de configuração para
componentes do sistema, correção de vulnerabilidades e alterações não programadas ou não autorizadas. Os
processos para gerenciar alterações de configuração em sistemas incluem Conselhos de Controle de Configuração
ou Conselhos Consultivos de Mudanças que revisam e aprovam as alterações propostas. Para alterações que
tenham impacto no risco de privacidade, o funcionário sénior da agência para a privacidade atualiza as avaliações de
impacto na privacidade e os avisos do sistema de registos. Para novos sistemas ou atualizações importantes, as
organizações consideram incluir representantes das organizações de desenvolvimento nos Conselhos de
Controle de Configuração ou nos Conselhos Consultivos de Mudança. A auditoria de mudanças inclui atividades
antes e depois das alterações serem feitas nos sistemas e as atividades de auditoria necessárias para implementar tais mudanças. Veja também
Controles relacionados: CA-7, CM-2, CM-4, CM-5, CM-6, CM-9, CM-11, IA-3, MA-2, PE-16, PT-6, RA-8 , SA-8,
SA-10, SC-28, SC-34, SC-37, SI-2, SI-3, SI-4, SI-7, SI-10, SR-11.
(1) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | DOCUMENTAÇÃO AUTOMATIZADA, NOTIFICAÇÃO E

PROIBIÇÃO DE MUDANÇAS
Use [Atribuição: mecanismos automatizados definidos pela organização] para:
(a) Documentar alterações propostas ao sistema;
(b) Notificar [Atribuição: autoridades de aprovação definidas pela organização] sobre alterações propostas
ao sistema e solicitar aprovação de alteração;
(c) Destacar alterações propostas ao sistema que não foram aprovadas ou reprovadas
dentro de [Atribuição: período de tempo definido pela organização];
(d) Proibir alterações no sistema até que as aprovações designadas sejam recebidas;
(e) Documentar todas as alterações no sistema; e
(f) Notificar [Atribuição: pessoal definido pela organização] quando as alterações aprovadas no
sistema forem concluídas.
(2) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | TESTE, VALIDAÇÃO E DOCUMENTAÇÃO DE MUDANÇAS
Teste, valide e documente alterações no sistema antes de finalizar a implementação das alterações.
Discussão: As alterações nos sistemas incluem modificações nos componentes de hardware, software ou
firmware e nas definições de configuração definidas no CM-6. As organizações garantem que os testes não
interfiram nas operações do sistema que apoiam a missão organizacional e as funções de negócios. Indivíduos
ou grupos que realizam testes compreendem as políticas e procedimentos de segurança e privacidade, as
políticas e procedimentos de segurança e privacidade do sistema e os riscos de saúde, segurança e ambientais
associados a instalações ou processos específicos. Sistemas operacionais

e
g
_________________________________________________________________________________________________
pe
E pode precisar ser colocado off-line ou replicado na medida do possível antes que o teste possa ser realizado. Se os
sistemas precisarem ser colocados off-line para testes, os testes serão programados para ocorrer durante interrupções
planejadas do sistema, sempre que possível. Se os testes não puderem ser realizados em sistemas operacionais, as
organizações empregam controles compensatórios.
(3) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | IMPLEMENTAÇÃO AUTOMATIZADA DE MUDANÇAS
Implemente alterações na linha de base atual do sistema e implante a linha de base atualizada em toda a base instalada
usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Ferramentas automatizadas podem melhorar a precisão, a consistência e a disponibilidade das informações
básicas de configuração. A automação também pode fornecer recursos de agregação e correlação de dados, mecanismos de
alerta e painéis para apoiar a tomada de decisões baseada em riscos dentro da organização.
(4) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | REPRESENTANTES DE SEGURANÇA E PRIVACIDADE
Exigir que [Atribuição: representantes de segurança e privacidade definidos pela organização ] sejam membros
da [Atribuição: elemento de controle de alterações de configuração definido pela organização].
Discussão: Os representantes de segurança e privacidade da informação incluem oficiais de segurança de sistemas,

oficiais seniores de segurança de informações de agências, funcionários seniores de agências para privacidade ou oficiais
de privacidade de sistemas. A representação por pessoal com experiência em segurança da informação e privacidade é
importante porque as alterações nas configurações do sistema podem ter efeitos colaterais não intencionais, alguns dos
quais podem ser relevantes para a segurança ou a privacidade. Detectar essas mudanças no início do processo pode ajudar
a evitar consequências negativas não intencionais que poderiam, em última instância, afetar a postura de segurança e
privacidade dos sistemas. O elemento de controle de alteração de configuração
referido no segundo parâmetro definido pela organização reflete os elementos de controle de mudanças definidos
pelas organizações no CM-3g.
(5) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | RESPOSTA DE SEGURANÇA AUTOMATIZADA
Implemente automaticamente as seguintes respostas de segurança se as configurações de linha de base forem

alteradas de maneira não autorizada: [Atribuição: respostas de segurança definidas pela organização].
Discussão: As respostas automatizadas de segurança incluem a interrupção de funções selecionadas do sistema, a interrupção
do processamento do sistema e a emissão de alertas ou notificações ao pessoal da organização quando há uma modificação
não autorizada de um item de configuração.
(6) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | GESTÃO DE CRIPTOGRAFIA
Certifique-se de que os mecanismos criptográficos usados para fornecer os seguintes controles estejam sob
gerenciamento de configuração: [Atribuição: controles definidos pela organização].
Discussão: Os controles mencionados na melhoria de controle referem-se à segurança e

controles de privacidade do catálogo de controle. Independentemente dos mecanismos criptográficos
empregados, processos e procedimentos estão em vigor para gerenciar esses mecanismos. Por exemplo, se os
componentes do sistema utilizarem certificados para identificação e autenticação, um processo será implementado
para resolver a expiração desses certificados.
(7) CONTROLE DE ALTERAÇÕES DE CONFIGURAÇÃO | REVER ALTERAÇÕES NO SISTEMA

e
g
_________________________________________________________________________________________________
pe
E Revise as alterações no sistema [Atribuição: frequência definida pela organização] ou quando
[Tarefa: circunstâncias definidas pela organização] para determinar se ocorreram alterações não autorizadas.
Discussão: As indicações que justificam uma revisão das alterações no sistema e as circunstâncias específicas que
justificam tais revisões podem ser obtidas a partir de atividades realizadas pelas organizações durante o processo
de mudança de configuração ou processo de monitoramento contínuo.
Controles relacionados: AU-6, AU-7, CM-3.
(8) CONTROLE DE ALTERAÇÃO DE CONFIGURAÇÃO | EVITAR OU RESTRINGIR ALTERAÇÕES DE CONFIGURAÇÃO
Impedir ou restringir alterações na configuração do sistema nas seguintes circunstâncias: [Atribuição:

circunstâncias definidas pela organização].
Discussão: As alterações na configuração do sistema podem afetar negativamente a segurança crítica do sistema e a
funcionalidade de privacidade. As restrições de alteração podem ser aplicadas através de mecanismos automatizados.
Referências: [SP 800-124], [SP 800-128], [IR 8062].
ANÁLISES DE IMPACTO CM-4
Controle: Analise as alterações no sistema para determinar possíveis impactos de segurança e privacidade antes da
implementação das alterações.
Discussão: O pessoal organizacional com responsabilidades de segurança ou privacidade conduz análises de impacto. Os
indivíduos que realizam análises de impacto possuem as competências e conhecimentos técnicos necessários para analisar
as alterações nos sistemas, bem como as ramificações de segurança ou privacidade.
As análises de impacto incluem a revisão de planos, políticas e procedimentos de segurança e privacidade para
compreender os requisitos de controle; revisar a documentação do projeto do sistema e os procedimentos operacionais para
compreender a implementação dos controles e como mudanças específicas no sistema podem afetar os controles; rever o impacto
das mudanças nos parceiros organizacionais da cadeia de abastecimento com as partes interessadas; e determinar como
possíveis alterações em um sistema criam novos riscos à privacidade dos indivíduos e à capacidade dos controles implementados
para mitigar esses riscos. Análises de impacto
também incluem avaliações de risco para compreender o impacto das mudanças e determinar se são necessários
controles adicionais.
Controles relacionados: CA-7, CM-3, CM-8, CM-9, MA-2, RA-3, RA-5, RA-8, SA-5, SA-8, SA-10, SI-2 .
(1) ANÁLISES DE IMPACTO | AMBIENTES DE TESTE SEPARADOS
Analise as alterações no sistema em um ambiente de teste separado antes da implementação em um ambiente

operacional, procurando impactos na segurança e na privacidade devido a falhas, pontos fracos,
incompatibilidade ou malícia intencional.
Discussão: Um ambiente de teste separado requer um ambiente que seja física ou logicamente separado e distinto
do ambiente operacional. A separação é suficiente para garantir que as atividades no ambiente de teste não impactem as
atividades no ambiente operacional e que as informações no ambiente operacional não sejam transmitidas inadvertidamente
ao ambiente de teste. Ambientes separados podem ser alcançados por meios físicos ou lógicos. Se ambientes de
teste fisicamente separados não forem implementados, as organizações determinarão a força do mecanismo necessário ao
implementar a separação lógica.
Controles Relacionados: SA-11, SC-7.
(2) ANÁLISES DE IMPACTO | VERIFICAÇÃO DE CONTROLES

e
g
_________________________________________________________________________________________________
pe
E Após as alterações no sistema, verifique se os controles afetados estão implementados
corretamente, operando conforme o esperado e produzindo o resultado desejado no que diz respeito
ao cumprimento dos requisitos de segurança e privacidade do sistema.
Discussão: A implementação neste contexto refere-se à instalação de código alterado no sistema

operacional que pode ter impacto nos controles de segurança ou privacidade.
Controles Relacionados: SA-11, SC-3, SI-6.
Referências: [SP 800-128].
RESTRIÇÕES DE ACESSO CM-5 PARA MUDANÇA
Controle: Defina, documente, aprove e aplique restrições de acesso físico e lógico associadas a alterações
no sistema.
Discussão: Mudanças nos componentes de hardware, software ou firmware dos sistemas ou

os procedimentos operacionais relacionados ao sistema podem ter efeitos potencialmente significativos na
segurança dos sistemas ou na privacidade dos indivíduos. Portanto, as organizações permitem que apenas indivíduos
qualificados e autorizados acessem os sistemas para iniciar alterações. As restrições de acesso incluem controles
de acesso físico e lógico (ver AC-3 e PE-3), bibliotecas de software, automação de fluxo de trabalho, bibliotecas
de mídia, camadas abstratas (ou seja, mudanças implementadas em interfaces externas em vez de diretamente em
sistemas) e janelas de mudança (ou seja, , as alterações ocorrem apenas durante horários especificados).
Controles relacionados: AC-3, AC-5, AC-6, CM-9, PE-3, SC-28, SC-34, SC-37, SI-2, SI-10.
(1) RESTRIÇÕES DE ACESSO PARA MUDANÇA | EXECUÇÃO DE ACESSO AUTOMATIZADO E REGISTROS DE AUDITORIA
(a) Aplicar restrições de acesso usando [Atribuição: mecanismos automatizados definidos pela
organização]; e (b)
Gerar automaticamente registros de auditoria das ações de fiscalização.
Discussão: As organizações registram os acessos ao sistema associados à aplicação de alterações de

configuração para garantir que o controle de alterações de configuração seja implementado e para apoiar
ações posteriores caso as organizações descubram quaisquer alterações não autorizadas.
Controles relacionados: AU-2, AU-6, AU-7, AU-12, CM-6, CM-11, SI-12.
(2) RESTRIÇÕES DE ACESSO PARA MUDANÇA | REVER ALTERAÇÕES NO SISTEMA
(3) RESTRIÇÕES DE ACESSO PARA MUDANÇA | COMPONENTES ASSINADOS
[Retirado: Movido para CM-14.]
(4) RESTRIÇÕES DE ACESSO PARA MUDANÇA | AUTORIZAÇÃO DUPLA
Aplicar autorização dupla para implementar alterações em [Atribuição: componentes do sistema

definidos pela organização e informações no nível do sistema].
Discussão: As organizações empregam autorização dupla para ajudar a garantir que quaisquer alterações
nos componentes e informações do sistema selecionados não possam ocorrer, a menos que dois indivíduos
qualificados aprovem e implementem tais alterações. Os dois indivíduos possuem as habilidades e conhecimentos
necessários para determinar se as alterações propostas são implementações corretas das alterações aprovadas.
Os indivíduos também são responsáveis pelas mudanças. A autorização dupla também pode ser conhecida
como controle de duas pessoas. Para reduzir o risco de conluio, as organizações consideram alternar as
funções de autorização dupla para outros indivíduos. As informações em nível de sistema incluem
procedimentos operacionais.
Controles relacionados: AC-2, AC-5, CM-3.

e
g
_________________________________________________________________________________________________
pe
E (5) RESTRIÇÕES DE ACESSO PARA MUDANÇA | LIMITAÇÃO DE PRIVILÉGIO PARA PRODUÇÃO E OPERAÇÃO
(a) Limitar privilégios para alterar componentes do sistema e informações relacionadas ao sistema dentro
um ambiente de produção ou operacional; e
(b) Rever e reavaliar privilégios [Atribuição: frequência definida pela organização].
Discussão: Em muitas organizações, os sistemas suportam múltiplas missões e funções de negócios.

É necessário limitar privilégios para alterar componentes do sistema em relação aos sistemas operacionais porque
as alterações em um componente do sistema podem ter efeitos de longo alcance na missão e nos processos de negócios
suportados pelo sistema. As relações entre sistemas e processos de missão/negócio são, em alguns casos,
desconhecidas pelos desenvolvedores. As informações relacionadas ao sistema incluem procedimentos
operacionais.
(6) RESTRIÇÕES DE ACESSO PARA MUDANÇA | LIMITE PRIVILÉGIOS DA BIBLIOTECA
Limite os privilégios para alterar o software residente nas bibliotecas de software.
Discussão: Bibliotecas de software incluem programas privilegiados.

(7) RESTRIÇÕES DE ACESSO PARA MUDANÇA | IMPLEMENTAÇÃO AUTOMÁTICA DE SALVAGUARDAS DE SEGURANÇA
Referências: [FIPS 140-3]; [FIPS 186-4].
CONFIGURAÇÕES DO CM-6
Ao controle:
a. Estabelecer e documentar definições de configuração para componentes empregados no sistema que reflitam o modo mais
restritivo consistente com os requisitos operacionais usando [Atribuição: configurações seguras comuns definidas
pela organização];
b. Implemente as definições de configuração;
c. Identificar, documentar e aprovar quaisquer desvios das definições de configuração estabelecidas para [Atribuição:
componentes do sistema definidos pela organização] com base em [Atribuição: requisitos operacionais definidos pela
organização]; e
d. Monitore e controle as alterações nas definições de configuração de acordo com as

políticas e procedimentos.
Discussão: As definições de configuração são os parâmetros que podem ser alterados nos componentes de hardware,
software ou firmware do sistema que afetam a postura ou funcionalidade de segurança e privacidade do sistema. Os produtos
de tecnologia da informação para os quais as definições de configuração podem ser definidas incluem computadores mainframe,
servidores, estações de trabalho, sistemas operacionais, dispositivos móveis, dispositivos de entrada/saída, protocolos
e aplicativos. Os parâmetros que impactam a postura de segurança dos sistemas incluem configurações de registro;
configurações de permissão de conta, arquivo ou diretório; e configurações para funções, protocolos, portas, serviços e
conexões remotas. Parâmetros de privacidade são parâmetros que impactam a postura de privacidade dos sistemas, incluindo
os parâmetros necessários para satisfazer outros controles de privacidade. Os parâmetros de privacidade incluem
configurações para controles de acesso, preferências de processamento de dados e permissões de processamento e
retenção. As organizações estabelecem definições de configuração para toda a organização e subsequentemente
derivam definições de configuração específicas para sistemas. As configurações estabelecidas tornam-se parte da linha de
base de configuração do sistema.
Configurações seguras comuns (também conhecidas como listas de verificação de configuração de segurança, guias de
bloqueio e proteção e guias de referência de segurança) fornecem benchmarks reconhecidos, padronizados e
estabelecidos que estipulam configurações seguras para tecnologia da informação

e
g
_________________________________________________________________________________________________
pe
E produtos e plataformas, bem como instruções para configurar esses produtos ou plataformas para atender aos requisitos
operacionais. Configurações seguras comuns podem ser desenvolvidas por diversas organizações, incluindo desenvolvedores
de produtos de tecnologia da informação, fabricantes, fornecedores, agências federais, consórcios, academia, indústria e
outras organizações públicas e privadas.
setores.
A implementação de uma configuração segura comum pode ser obrigatória no nível da organização,
nível de missão e processo de negócios, nível de sistema ou em nível superior, inclusive por uma agência reguladora. As
configurações seguras comuns incluem a Linha de Base de Configuração do Governo dos Estados Unidos [USGCB] e
os guias de implementação técnica de segurança (STIGs), que afetam a implementação do CM-6 e outros
controles, como AC-19 e CM-7. O Security Content Automation Protocol (SCAP) e os padrões definidos no protocolo
fornecem um método eficaz para identificar, rastrear e controlar exclusivamente as definições de configuração.
Controles relacionados: AC-3, AC-19, AU-2, AU-6, CA-9, CM-2, CM-3, CM-5, CM-7, CM-11, CP-7, CP-9 , CP-10, IA-3, IA-5,
PL-8, PL-9, RA-5, SA-4, SA-5, SA-8, SA-9, SC -18, SC-28, SC -43, SI-2, SI-4, SI-6.
(1) DEFINIÇÕES DE CONFIGURAÇÃO | GESTÃO, APLICAÇÃO E VERIFICAÇÃO AUTOMATIZADAS
Gerencie, aplique e verifique as definições de configuração para [Atribuição: componentes do sistema

definidos pela organização] usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Ferramentas automatizadas (por exemplo, ferramentas de proteção, ferramentas de configuração de linha de base) podem
melhorar a precisão, a consistência e a disponibilidade das informações de definições de configuração.

A automação também pode fornecer recursos de agregação e correlação de dados, mecanismos de alerta e
painéis para apoiar a tomada de decisões baseada em riscos dentro da organização.
(2) DEFINIÇÕES DE CONFIGURAÇÃO | RESPONDER A MUDANÇAS NÃO AUTORIZADAS
Execute as seguintes ações em resposta a alterações não autorizadas em [Atribuição: definições

de configuração definidas pela organização]: [Atribuição: ações definidas pela organização].
Discussão: As respostas a alterações não autorizadas nas definições de configuração incluem alertar o pessoal
organizacional designado, restaurar as definições de configuração estabelecidas ou, em casos extremos,
interromper o processamento do sistema afetado.
Controles Relacionados: IR-4, IR-6, SI-7.
(3) DEFINIÇÕES DE CONFIGURAÇÃO | DETECÇÃO DE ALTERAÇÕES NÃO AUTORIZADAS
(4) DEFINIÇÕES DE CONFIGURAÇÃO | DEMONSTRAÇÃO DE CONFORMIDADE
Referências: [SP 800-70], [SP 800-126], [SP 800-128], [USGCB], [NCPR], [DOD STIG].
CM-7 MENOS FUNCIONALIDADE

Ao controle:
a. Configure o sistema para fornecer apenas [Atribuição: missão essencial definida pela organização
capacidades]; e
b. Proibir ou restringir o uso das seguintes funções, portas, protocolos, software e/ou
serviços: [Atribuição: funções proibidas ou restritas definidas pela organização, portas do sistema, protocolos, software
e/ ou serviços].

e
g
_________________________________________________________________________________________________
pe
E Discussão: Os sistemas fornecem uma ampla variedade de funções e serviços. Algumas das funções e serviços fornecidos
rotineiramente por padrão podem não ser necessários para apoiar missões, funções ou operações organizacionais
essenciais. Além disso, às vezes é conveniente fornecer vários serviços a partir de um único componente do sistema,
mas isso aumenta o risco de limitar os serviços fornecidos por esse único componente. Sempre que possível, as
organizações limitam a funcionalidade dos componentes a uma única função por componente. As organizações consideram
a remoção de software não utilizado ou desnecessário e a desativação de portas e protocolos físicos e lógicos não
utilizados ou desnecessários para evitar conexões não autorizadas de componentes, transferência de informações e
tunelamento. As organizações empregam ferramentas de varredura de rede, sistemas de detecção e prevenção de
intrusões e tecnologias de proteção de endpoint, como firewalls e sistemas de detecção de intrusões baseados em
host, para identificar e impedir o uso de funções, protocolos, portas e serviços proibidos. O mínimo de funcionalidade também
pode ser alcançado como parte do projeto e desenvolvimento fundamentais do sistema (ver SA- 8, SC-2 e SC-3).
Controles relacionados: AC-3, AC-4, CM-2, CM-5, CM-6, CM-11, RA-5, SA-4, SA-5, SA-8, SA -9, SA-15 , SC- 2, SC-3, SC-7,
SC-37, SI-4.
(1) MENOS FUNCIONALIDADE | REVISÃO PERIÓDICA
(a) Revise o sistema [Atribuição: frequência definida pela organização] para identificar
funções, portas, protocolos, software e serviços desnecessários e/ou não seguros; e
(b) Desabilitar ou remover [Atribuição: funções, portas, protocolos, software e serviços definidos pela
organização dentro do sistema considerados desnecessários e/ ou não seguros].
Discussão: As organizações analisam funções, portas, protocolos e serviços fornecidos por sistemas ou
componentes de sistema para determinar as funções e serviços que são candidatos à eliminação. Tais revisões são
especialmente importantes durante os períodos de transição de tecnologias mais antigas para tecnologias mais
novas (por exemplo, transição de IPv4 para IPv6). Estas transições tecnológicas podem exigir a implementação
simultânea de tecnologias mais antigas e mais recentes
durante o período de transição e retornando às funções, portos, protocolos e serviços essenciais mínimos na primeira
oportunidade. As organizações podem decidir a segurança relativa da função, porta, protocolo e/ou serviço ou basear
a decisão de segurança na avaliação de outras entidades. Protocolos inseguros incluem Bluetooth, FTP
e redes ponto a ponto.
(2) MENOS FUNCIONALIDADE | EVITAR A EXECUÇÃO DO PROGRAMA
Impedir a execução do programa de acordo com [Seleção (uma ou mais): [Atribuição: políticas definidas
pela organização, regras de comportamento e/ ou acordos de acesso relativos ao uso e restrições do
programa de software]; regras que autorizam os termos e condições de uso do programa de software].
Discussão: A prevenção da execução de programas aborda políticas organizacionais, regras de comportamento

e/ou acordos de acesso que restringem o uso de software e os termos e condições impostos pelo
desenvolvedor ou fabricante, incluindo licenciamento de software e direitos autorais. As restrições incluem a
proibição de recursos de execução automática, a restrição de funções permitidas para aprovar a execução de
programas, a permissão ou proibição de programas de software específicos ou a restrição do número de
instâncias de programas executadas ao mesmo tempo.
Controles relacionados: CM-8, PL-4, PL-9, PM-5, PS-6.
(3) MENOS FUNCIONALIDADE | CONFORMIDADE DE REGISTRO
Garantir a conformidade com [Atribuição: requisitos de registro definidos pela organização para funções,
portas, protocolos e serviços].

e
g
_________________________________________________________________________________________________
pe
E Discussão: As organizações usam o processo de registro para gerenciar, rastrear e fornecer supervisão
para sistemas e funções, portas, protocolos e serviços implementados.
(4) MENOS FUNCIONALIDADE | SOFTWARE NÃO AUTORIZADO — NEGAÇÃO POR EXCEÇÃO
(a) Identificar [Atribuição: programas de software definidos pela organização não autorizados a
serem executados no sistema];
(b) Empregar uma política de permissão total e negação por exceção para proibir a execução de
programas de software não autorizados no sistema; e
(c) Revisar e atualizar a lista de programas de software não autorizados [Atribuição: frequência
definida pela organização].
Discussão: Os programas de software não autorizados podem ser limitados a versões específicas ou de uma
fonte específica. O conceito de proibição da execução de software não autorizado também pode ser aplicado a
ações do usuário, portas e protocolos do sistema, endereços/intervalos IP, sites e endereços MAC.
Controles relacionados: CM-6, CM-8, CM-10, PL-9, PM-5.
(5) MENOS FUNCIONALIDADE | SOFTWARE AUTORIZADO — PERMITIDO POR EXCEÇÃO
(a) Identificar [Atribuição: programas de software definidos pela organização autorizados a executar
no sistema];
(b) Empregar uma política de negação total e permissão por exceção para permitir a execução de
programas de software autorizados no sistema; e
(c) Revisar e atualizar a lista de programas de software autorizados [Atribuição: frequência

Discussão: Os programas de software autorizados podem ser limitados a versões específicas ou de uma
fonte específica. Para facilitar um processo abrangente de software autorizado e aumentar a força da proteção
contra ataques que contornam o software autorizado no nível do aplicativo, os programas de software podem ser
decompostos e monitorados em diferentes níveis de detalhe. Esses níveis incluem aplicativos, interfaces de
programação de aplicativos, módulos de aplicativos, scripts, processos do sistema, serviços do sistema,
funções do kernel, registros, drivers e bibliotecas de links dinâmicos. O conceito de permitir a execução de
software autorizado também pode ser
aplicado a ações do usuário, portas e protocolos do sistema, endereços/intervalos IP, sites e MAC
endereços. As organizações consideram verificar a integridade dos programas de software autorizados usando
assinaturas digitais, somas de verificação criptográficas ou funções hash. A verificação do software
autorizado pode ocorrer antes da execução ou na inicialização do sistema. A identificação de URLs
autorizados para sites é abordada em CA-3(5) e SC-7.
Controles relacionados: CM-2, CM-6, CM-8, CM-10, PL-9, PM-5, SA-10, SC-34, SI-7.
(6) MENOS FUNCIONALIDADE | AMBIENTES CONFINADOS COM PRIVILÉGIOS LIMITADOS
Exija que o seguinte software instalado pelo usuário seja executado em um ambiente confinado de
máquina física ou virtual com privilégios limitados: [Atribuição: software instalado pelo usuário
definido pela organização].
Discussão: As organizações identificam software que pode ser motivo de preocupação quanto à sua origem
ou potencial para conter código malicioso. Para este tipo de software, as instalações dos usuários ocorrem em
ambientes confinados de operação para limitar ou conter danos causados por códigos maliciosos que possam
ser executados.
Controles Relacionados: CM-11, SC-44.
(7) MENOS FUNCIONALIDADE | EXECUÇÃO DE CÓDIGO EM AMBIENTES PROTEGIDOS

e
g
_________________________________________________________________________________________________
pe
E Permitir a execução de código binário ou executável por máquina somente em ambientes confinados de
máquinas físicas ou virtuais e com a aprovação explícita de [Atribuição: pessoal ou funções definidas
pela organização] quando tal código for:
(a) Obtido de fontes com garantia limitada ou nenhuma garantia; e/ou
(b) Sem o fornecimento de código-fonte.
Discussão: A execução de código em ambientes protegidos aplica-se a todas as fontes de código binário ou
executável por máquina, incluindo software e firmware comercial e software de código aberto.
Controles relacionados: CM-10, SC-44.
(8) MENOS FUNCIONALIDADE | CÓDIGO BINÁRIO OU EXECUTÁVEL POR MÁQUINA
(a) Proibir o uso de código binário ou executável por máquina de fontes com garantia limitada ou nenhuma
garantia ou sem o fornecimento de código-fonte; e
(b) Permitir exceções apenas para requisitos de missão ou operacionais obrigatórios e com a aprovação
do funcionário responsável pela autorização.
Discussão: Código binário ou executável por máquina se aplica a todas as fontes de código binário ou executável
por máquina, incluindo software e firmware comercial e software de código aberto.
As organizações avaliam produtos de software sem acompanhamento de código-fonte ou de fontes com garantia
limitada ou nenhuma garantia quanto a possíveis impactos de segurança. As avaliações abordam o facto de que os
produtos de software sem o fornecimento de código fonte podem ser difíceis de rever, reparar ou ampliar. Além
disso, pode não haver proprietários para fazer tais reparos em nome das organizações. Se for usado software de
código aberto, as avaliações abordam o fato de que não há garantia, o software de código aberto pode conter
backdoors ou malware e pode não haver suporte disponível.
Controles Relacionados: SA-5, SA-22.
(9) MENOS FUNCIONALIDADE | PROIBINDO O USO DE HARDWARE NÃO AUTORIZADO
(a) Identificar [Atribuição: componentes de hardware definidos pela organização autorizados para
uso do sistema];
(b) Proibir o uso ou conexão de componentes de hardware não autorizados;
(c) Revisar e atualizar a lista de componentes de hardware autorizados [Atribuição: frequência

Discussão: Os componentes de hardware fornecem a base para sistemas organizacionais e a plataforma para a
execução de programas de software autorizados. Gerenciar o inventário de componentes de hardware e controlar
quais componentes de hardware podem ser instalados ou conectados aos sistemas organizacionais é essencial
para fornecer segurança adequada.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 186-4], [FIPS 202], [SP 800-167].
INVENTÁRIO DE COMPONENTES DO SISTEMA CM-8
Ao controle:
a. Desenvolva e documente um inventário de componentes do sistema que:
1. Reflete com precisão o sistema;
2. Inclui todos os componentes do sistema;
3. Não inclui contabilização duplicada de componentes ou componentes atribuídos a qualquer

outro sistema;

e
g
_________________________________________________________________________________________________
pe
E 4. Está no nível de granularidade considerado necessário para rastreamento e relatórios; e
5. Inclui as seguintes informações para obter a responsabilização dos componentes do sistema:

[Tarefa: informações definidas pela organização consideradas necessárias para alcançar uma
responsabilização eficaz dos componentes do sistema]; e
b. Revise e atualize o inventário de componentes do sistema [Atribuição: definido pela organização

frequência].
Discussão: Os componentes do sistema são ativos de tecnologia da informação discretos e identificáveis que incluem
hardware, software e firmware. As organizações podem optar por implementar inventários centralizados de componentes
do sistema que incluam componentes de todos os sistemas organizacionais. Nessas situações, as organizações garantem
que os inventários incluam informações específicas do sistema necessárias para a responsabilização dos componentes.
As informações necessárias para a responsabilidade efetiva dos componentes do sistema incluem o nome do sistema,
proprietários do software, números de versão do software, especificações de inventário de hardware, informações de
licença de software e, para componentes em rede, os nomes das máquinas e endereços de rede em todos os
protocolos implementados (por exemplo, IPv4, IPv6 ).
As especificações de estoque incluem data de recebimento, custo, modelo, número de série, fabricante,
informações do fornecedor, tipo de componente e localização física.
A prevenção da contabilização duplicada de componentes do sistema resolve a falta de responsabilização que ocorre
quando a propriedade dos componentes e a associação do sistema não são conhecidas, especialmente em sistemas
conectados grandes ou complexos. A prevenção eficaz da contabilização duplicada de componentes do sistema exige o
uso de um identificador exclusivo para cada componente. Para o inventário de software, o software gerenciado
centralmente que é acessado por meio de outros sistemas é tratado como um componente do sistema no qual é instalado
e gerenciado. O software instalado em vários sistemas organizacionais e gerenciado no nível do sistema é endereçado
para cada sistema individual e pode aparecer mais de uma vez em um inventário centralizado de componentes,
necessitando de uma associação de sistema para cada instância de software no inventário centralizado para evitar
contabilidade duplicada de componentes. A varredura de sistemas que implementam vários protocolos de rede (por
exemplo, IPv4 e IPv6) pode resultar na identificação de componentes duplicados em diferentes espaços de endereço.
A implementação do CM-8(7) pode ajudar a eliminar a contabilização duplicada de componentes.
Controles relacionados: CM-2, CM-7, CM-9, CM-10, CM-11, CM-13, CP-2, CP-9, MA-2, MA-6, PE-20, PL - 9 , PM-5,
SA-4, SA-5, SI-2, SR-4.
(1) INVENTÁRIO DE COMPONENTES DO SISTEMA | ATUALIZAÇÕES DURANTE A INSTALAÇÃO E REMOÇÃO
Atualize o inventário de componentes do sistema como parte de instalações de componentes, remoções e

atualizações do sistema.
Discussão: As organizações podem melhorar a precisão, integridade e consistência dos inventários de

componentes do sistema se os inventários forem atualizados como parte de instalações ou remoções de
componentes ou durante atualizações gerais do sistema. Se os inventários não forem actualizados nestes momentos
chave, há uma maior probabilidade de a informação não ser captada e documentada de forma adequada. As
atualizações do sistema incluem componentes de hardware, software e firmware.
(2) INVENTÁRIO DE COMPONENTES DO SISTEMA | MANUTENÇÃO AUTOMATIZADA
Manter a atualidade, integridade, precisão e disponibilidade do inventário de componentes do sistema

Discussão: As organizações mantêm inventários de sistemas na medida do possível. Por exemplo, as máquinas
virtuais podem ser difíceis de monitorar porque não ficam visíveis para a rede quando não estão em uso. Nesses
casos, as organizações mantêm informações atualizadas, completas e

e
g
_________________________________________________________________________________________________
pe
E um inventário preciso conforme considerado razoável. A manutenção automatizada pode ser alcançada através da
implementação do CM-2(2) para organizações que combinam inventário de componentes do sistema e atividades de
configuração de linha de base.
(3) INVENTÁRIO DE COMPONENTES DO SISTEMA | DETECÇÃO AUTOMATIZADA DE COMPONENTES NÃO AUTORIZADOS
(a) Detectar a presença de componentes não autorizados de hardware, software e firmware no sistema usando
[Tarefa: mecanismos automatizados definidos pela organização]
(b) Tomar as seguintes ações quando componentes não autorizados forem detectados: [Seleção (um ou
mais): desabilitar o acesso à rede por tais componentes; isolar os componentes; notificar [Atribuição:
pessoal ou funções definidas pela organização]].
Discussão: A detecção automatizada de componentes não autorizados é aplicada além do monitoramento de

conexões remotas não autorizadas e dispositivos móveis. O monitoramento de componentes não autorizados
do sistema pode ser realizado de forma contínua ou pela varredura periódica dos sistemas para esse fim.
Mecanismos automatizados também podem ser usados para impedir a conexão de componentes não autorizados (ver
CM-7(9)). Mecanismos automatizados podem ser implementados em sistemas ou em componentes separados do
sistema. Ao adquirir e implementar mecanismos automatizados, as organizações consideram se tais mecanismos
dependem da capacidade do componente do sistema em suportar um agente ou suplicante para ser detectado, uma
vez que alguns tipos de componentes não possuem ou não podem suportar agentes (por exemplo, dispositivos IoT,
sensores ). O isolamento pode ser obtido de componentes em domínios ou sub-redes separados ou colocando esses
componentes em quarentena. Esse tipo de , por exemplo, colocando sistemas não autorizados
o isolamento de componentes é comumente referido como “sandboxing”.
Controles Relacionados: AC-19, CA-7, RA-5, SC-3, SC-39, SC-44, SI-3, SI-4, SI-7.
(4) INVENTÁRIO DE COMPONENTES DO SISTEMA | INFORMAÇÕES DE RESPONSABILIDADE
Incluir nas informações de inventário de componentes do sistema, um meio de identificação por

[Seleção (um ou mais): nome; posição; função], indivíduos responsáveis pela administração desses componentes.
Discussão: A identificação dos indivíduos que são responsáveis pela administração dos componentes do sistema
garante que os componentes atribuídos sejam administrados adequadamente e que as organizações possam entrar
em contato com esses indivíduos se alguma ação for necessária (por exemplo, quando o componente for determinado
como a fonte de uma violação, precisar a ser recolhido ou substituído, ou precisa ser realocado).
(5) INVENTÁRIO DE COMPONENTES DO SISTEMA | SEM CONTABILIDADE DUPLICADA DE COMPONENTES
(6) INVENTÁRIO DE COMPONENTES DO SISTEMA | CONFIGURAÇÕES AVALIADAS E DESVIOS APROVADOS
Inclua configurações de componentes avaliadas e quaisquer desvios aprovados para configurações

implantadas atuais no inventário de componentes do sistema.
Discussão: As configurações avaliadas e os desvios aprovados concentram-se nas definições de configuração

estabelecidas pelas organizações para componentes do sistema, nos componentes específicos que foram avaliados
para determinar a conformidade com as definições de configuração necessárias e em quaisquer desvios aprovados
das definições de configuração estabelecidas.
(7) INVENTÁRIO DE COMPONENTES DO SISTEMA | REPOSITÓRIO CENTRALIZADO
Fornece um repositório centralizado para o inventário de componentes do sistema.

e
g
_________________________________________________________________________________________________
pe
E Discussão: As organizações podem implementar inventários centralizados de componentes de sistemas que incluam
componentes de todos os sistemas organizacionais. Repositórios centralizados de inventários de componentes oferecem
oportunidades de eficiência na contabilização de ativos organizacionais de hardware, software e firmware. Esses repositórios
também podem ajudar as organizações a identificar rapidamente a localização e os indivíduos responsáveis pelos componentes
que foram comprometidos, violados ou que necessitam de ações de mitigação. As organizações garantem que os
inventários centralizados resultantes incluam informações específicas do sistema necessárias para a responsabilização
adequada dos componentes.
(8) INVENTÁRIO DE COMPONENTES DO SISTEMA | RASTREAMENTO AUTOMATIZADO DE LOCALIZAÇÃO
Apoie o rastreamento de componentes do sistema por localização geográfica usando [Atribuição: mecanismos
automatizados definidos pela organização].
Discussão: O uso de mecanismos automatizados para rastrear a localização dos componentes do sistema pode aumentar a
precisão dos inventários de componentes. Essa capacidade pode ajudar as organizações a identificar rapidamente a
localização e os indivíduos responsáveis pelos componentes do sistema que foram comprometidos, violados ou que
necessitam de ações de mitigação. A utilização de mecanismos de rastreamento pode ser coordenada com altos
funcionários da agência para a privacidade, se houver implicações que afetem a privacidade individual.
(9) INVENTÁRIO DE COMPONENTES DO SISTEMA | ATRIBUIÇÃO DE COMPONENTES A SISTEMAS
(a) Atribuir componentes do sistema a um sistema; e
(b) Receber um reconhecimento de [Atribuição: pessoal ou funções definidas pela organização] desta atribuição.
Discussão: Os componentes do sistema que não são atribuídos a um sistema podem não ser gerenciados, não ter a proteção
necessária e tornar-se uma vulnerabilidade organizacional.
Referências: [OMB A-130], [SP 800-57-1], [SP 800-57-2], [SP 800-57-3], [SP 800-128], [IR 8011-2], [IR 8011-3].
PLANO DE GERENCIAMENTO DE CONFIGURAÇÃO CM-9
Controle: Desenvolva, documente e implemente um plano de gerenciamento de configuração para o sistema que:
a. Aborda funções, responsabilidades e processos e procedimentos de gerenciamento de configuração;
b. Estabelece um processo para identificar itens de configuração em todo o sistema

ciclo de vida de desenvolvimento e para gerenciar a configuração dos itens de configuração;
c. Define os itens de configuração do sistema e coloca os itens de configuração em

gerenciamento de configurações;
d. É revisado e aprovado por [Atribuição: pessoal ou funções definidas pela organização]; e
e. Protege o plano de gerenciamento de configuração contra divulgação não autorizada e

modificação.
Discussão: As atividades de gerenciamento de configuração ocorrem durante toda a vida de desenvolvimento do sistema
ciclo. Como tal, existem atividades de gerenciamento de configuração de desenvolvimento (por exemplo, o controle de bibliotecas de
código e software) e atividades de gerenciamento de configuração operacional (por exemplo, controle de componentes instalados
e como os componentes são configurados). Os planos de gerenciamento de configuração satisfazem os requisitos das políticas
de gerenciamento de configuração e são adaptados para

e
g
_________________________________________________________________________________________________
pe
E sistemas individuais. Os planos de gerenciamento de configuração definem processos e procedimentos sobre como o
gerenciamento de configuração é usado para apoiar as atividades do ciclo de vida de desenvolvimento do sistema.
Os planos de gerenciamento de configuração são gerados durante o estágio de desenvolvimento e aquisição do ciclo de vida de
desenvolvimento do sistema. Os planos descrevem como avançar nas mudanças através de processos de gestão de mudanças;
atualizar definições de configuração e linhas de base; manter estoques de componentes; controlar ambientes de
desenvolvimento, teste e operacionais; e desenvolver, liberar e atualizar documentos importantes.
As organizações podem empregar modelos para ajudar a garantir o desenvolvimento e implementação consistente e oportuno de
planos de gerenciamento de configuração. Os modelos podem representar um plano de gerenciamento de configuração para a
organização com subconjuntos do plano implementados sistema por sistema. Os processos de aprovação do gerenciamento
de configuração incluem a designação das principais partes interessadas responsáveis pela revisão e aprovação de alterações
propostas nos sistemas e pessoal que conduz análises de impacto na segurança e na privacidade antes da implementação
de alterações nos sistemas. Os itens de configuração são os componentes do sistema, como hardware, software, firmware e
documentação a serem gerenciados pela configuração. À medida que os sistemas continuam através do ciclo de vida de
desenvolvimento do sistema, novos itens de configuração podem ser identificados e alguns itens de configuração existentes
podem não precisar mais estar sob controle de configuração.
Controles relacionados: CM-2, CM-3, CM-4, CM-5, CM-8, PL-2, RA-8, SA-10, SI-12.
(1) PLANO DE GERENCIAMENTO DE CONFIGURAÇÃO | ATRIBUIÇÃO DE RESPONSABILIDADE
Atribua a responsabilidade pelo desenvolvimento do processo de gerenciamento de configuração ao

pessoal organizacional que não esteja diretamente envolvido no desenvolvimento do sistema.
Discussão: Na ausência de equipes dedicadas de gerenciamento de configuração designadas dentro das organizações, os
desenvolvedores de sistemas podem ser encarregados de desenvolver processos de gerenciamento de configuração usando
pessoal que não esteja diretamente envolvido no desenvolvimento ou integração de sistemas. Esta separação de funções
garante que as organizações estabeleçam e mantenham um grau suficiente de independência entre os processos de
desenvolvimento e integração de sistemas e os processos de gestão de configuração para facilitar o controlo de
qualidade e uma supervisão mais eficaz.
RESTRIÇÕES DE USO DO SOFTWARE CM-10
Ao controle:
a. Use o software e a documentação associada de acordo com os acordos contratuais e

leis de direitos autorais;
b. Rastrear o uso de software e documentação associada protegidos por licenças de quantidade para controlar cópia e distribuição;
e
c. Controlar e documentar o uso da tecnologia de compartilhamento de arquivos ponto a ponto para garantir que esse recurso
não seja usado para distribuição, exibição, desempenho ou reprodução não autorizada de trabalho protegido
por direitos autorais.
Discussão: O rastreamento de licenças de software pode ser realizado por métodos manuais ou automatizados,
dependendo das necessidades organizacionais. Exemplos de acordos contratuais incluem acordos de licença de software e
acordos de não divulgação.
Controles relacionados: AC-17, AU-6, CM-7, CM-8, PM-30, SC-7.

e
g
_________________________________________________________________________________________________
pe
(1) RESTRIÇÕES DE USO DE SOFTWARE | SOFTWARE LIVRE
Estabeleça as seguintes restrições ao uso de software de código aberto: [Tarefa: restrições definidas pela
organização].
Discussão: Software de código aberto refere-se a software que está disponível na forma de código-fonte.
Certos direitos de software normalmente reservados aos detentores de direitos autorais são normalmente fornecidos sob
contratos de licença de software que permitem que indivíduos estudem, alterem e melhorem o software. Do ponto
de vista da segurança, a principal vantagem do software de código aberto é que ele fornece às organizações a
capacidade de examinar o código-fonte. Em alguns casos, existe uma comunidade online associada ao software que
inspeciona, testa, atualiza e relata problemas encontrados no software continuamente. No entanto, corrigir vulnerabilidades
em software de código aberto pode ser problemático. Também poderá haver problemas de licenciamento associados
ao software de código aberto, incluindo as restrições ao uso derivado de tal software.
O software de código aberto disponível apenas em formato binário pode aumentar o nível de risco no uso desse
software.
SOFTWARE INSTALADO PELO USUÁRIO CM-11
Ao controle:
a. Estabelecer [Atribuição: políticas definidas pela organização] que regem a instalação de software
pelos usuários;
b. Aplicar políticas de instalação de software através dos seguintes métodos: [Atribuição: métodos definidos pela
organização]; e
c. Monitorar a conformidade com as políticas [Atribuição: frequência definida pela organização].
Discussão: Se forem fornecidos os privilégios necessários, os usuários podem instalar software em sistemas
organizacionais. Para manter o controle sobre o software instalado, as organizações identificam ações permitidas e proibidas
em relação à instalação do software. As instalações de software permitidas incluem
atualizações e patches de segurança para software existente e download de novos aplicativos de “lojas de aplicativos”
aprovadas pela organização. As instalações de software proibidas incluem software com pedigree desconhecido ou
suspeito ou software que as organizações consideram potencialmente malicioso.
As políticas selecionadas para reger o software instalado pelo usuário são desenvolvidas pela organização ou fornecidas por
alguma entidade externa. Os métodos de aplicação de políticas podem incluir métodos processuais e métodos
automatizados.
Controles relacionados: AC-3, AU-6, CM-2, CM-3, CM-5, CM-6, CM-7, CM-8, PL-4, SI-4, SI-7.
(1) SOFTWARE INSTALADO PELO USUÁRIO | ALERTAS PARA INSTALAÇÕES NÃO AUTORIZADAS
(2) SOFTWARE INSTALADO PELO USUÁRIO | INSTALAÇÃO DE SOFTWARE COM STATUS PRIVILEGIADO
Permitir a instalação de software pelo usuário apenas com status privilegiado explícito.
Discussão: O status privilegiado pode ser obtido, por exemplo, atuando na função de administrador do sistema.
(3) SOFTWARE INSTALADO PELO USUÁRIO | APLICAÇÃO E MONITORAMENTO AUTOMATIZADOS

e
g
_________________________________________________________________________________________________
pe
E Aplicar e monitorar a conformidade com políticas de instalação de software usando [Atribuição: mecanismos
Discussão: As organizações impõem e monitorizam a conformidade com as políticas de instalação de software

utilizando mecanismos automatizados para detectar e responder mais rapidamente à instalação não autorizada de software,
o que pode ser um indicador de um ataque hostil interno ou externo.
LOCALIZAÇÃO DE INFORMAÇÕES CM-12
Ao controle:
a. Identificar e documentar a localização de [Atribuição: informações definidas pela organização] e os componentes específicos
do sistema nos quais as informações são processadas e armazenadas;
b. Identifique e documente os usuários que têm acesso ao sistema e aos componentes do sistema
onde as informações são processadas e armazenadas; e
c. Documente as alterações no local (isto é, sistema ou componentes do sistema) onde as informações são
processadas e armazenadas.
Discussão: A localização da informação aborda a necessidade de compreender onde a informação está a ser processada e
armazenada. A localização de informações inclui a identificação de onde tipos específicos de informações e informações residem
nos componentes do sistema e como as informações estão sendo processadas para que o fluxo de informações possa ser
compreendido e a proteção adequada e o gerenciamento de políticas sejam fornecidos para essas informações e componentes do
sistema. A categoria de segurança das informações também é um fator na determinação dos controles necessários para proteger
as informações e o componente do sistema onde as informações residem (ver FIPS 199). A localização das informações
e dos componentes do sistema também é um fator na arquitetura e no design do sistema (ver SA-4, SA-8, SA-17).
Controles relacionados: AC-2, AC-3, AC-4, AC-6, AC-23, CM-8, PM-5, RA-2, SA-4, SA-8, SA-17, SC-4 , SC-16, SC-28, SI-4, SI-7.
(1) LOCALIZAÇÃO DA INFORMAÇÃO | FERRAMENTAS AUTOMATIZADAS PARA APOIAR A LOCALIZAÇÃO DE INFORMAÇÕES
Use ferramentas automatizadas para identificar [Atribuição: informações definidas pela organização por tipo
de informação] em [Atribuição: componentes do sistema definidos pela organização] para garantir que os
controles estejam em vigor para proteger as informações organizacionais e a privacidade individual.
Discussão: A utilização de ferramentas automatizadas ajuda a aumentar a eficácia e eficiência da capacidade de localização
da informação implementada no sistema. A automação também ajuda as organizações a gerenciar os dados produzidos
durante as atividades de localização de informações e a compartilhar essas informações em toda a organização. O
resultado das ferramentas automatizadas de localização de informações pode ser usado para orientar e informar a
arquitetura do sistema e as decisões de design.
Referências: [FIPS 199], [SP 800-60-1], [SP 800-60-2].
MAPEAMENTO DE AÇÃO DE DADOS CM-13
Controle: Desenvolva e documente um mapa de ações de dados do sistema.
Discussão: As ações de dados são operações do sistema que processam informações de identificação pessoal.
O processamento dessas informações abrange todo o ciclo de vida da informação, que inclui coleta, geração, transformação, uso,
divulgação, retenção e descarte. Um mapa do sistema

e
g
_________________________________________________________________________________________________
pe
E as ações de dados incluem ações de dados discretas, elementos de informações pessoalmente identificáveis sendo
processados nas ações de dados, componentes do sistema envolvidos nas ações de dados e os proprietários ou
operadores dos componentes do sistema. Compreender quais informações pessoalmente identificáveis estão sendo
processadas (por exemplo, a sensibilidade das informações pessoalmente identificáveis), como as informações
pessoalmente identificáveis estão sendo processadas (por exemplo, se a ação dos dados é visível para o indivíduo
ou é processada em outra parte do sistema), e por quem (por exemplo, os indivíduos podem ter diferentes
percepções de privacidade com base na entidade que está processando as informações de identificação pessoal)
fornece uma série de fatores contextuais que são importantes para avaliar o grau de risco de privacidade criado
pelo sistema. Os mapas de dados podem ser ilustrados de diferentes maneiras e o nível de detalhe pode variar de
acordo com a missão e as necessidades de negócios da organização. O mapa de dados pode ser uma sobreposição
de qualquer artefato de design de sistema que a organização esteja usando. O desenvolvimento deste mapa pode
exigir coordenação entre os programas de privacidade e segurança no que diz respeito às ações de dados
abrangidas e aos componentes que são identificados como parte do sistema.
Controles relacionados: AC-3, CM-4, CM-12, PM-5, PM-27, PT-2, PT-3, RA-3, RA-8.
COMPONENTES ASSINADOS CM-14
Controle: Impedir a instalação de [Atribuição: componentes de software e firmware definidos pela organização]
sem verificação de que o componente foi assinado digitalmente usando um certificado reconhecido e aprovado pela
organização.
Discussão: Os componentes de software e firmware cuja instalação é impedida, a menos que sejam assinados
com certificados reconhecidos e aprovados, incluem atualizações de versão de software e firmware, patches,
service packs, drivers de dispositivos e atualizações básicas do sistema de entrada/saída. As organizações podem
identificar componentes de software e firmware aplicáveis por tipo, por itens específicos ou por uma combinação
de ambos. Assinaturas digitais e verificação organizacional de tais assinaturas são um método de autenticação
de código.
Controles Relacionados: CM-7, SC-12, SC-13, SI-7.
Referências: [IR 8062].

e
g
_________________________________________________________________________________________________
pe
E 3.6 PLANEJAMENTO DE CONTINGÊNCIA
Link rápido para a Tabela de Resumo do Planejamento de Contingência
POLÍTICA E PROCEDIMENTOS CP-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de
planejamento de contingência ] em nível de sistema que:

2. Procedimentos para facilitar a implementação da política de planeamento de contingência e dos controlos de

planeamento de contingência associados;

documentação e divulgação da política e procedimentos de planejamento de contingência; e
c. Revise e atualize o planejamento de contingência atual:


Discussão: A política e os procedimentos de planejamento de contingência abordam os controles da família PC que

são implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
políticas e procedimentos de planeamento de contingência. As políticas e procedimentos do programa de segurança
separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de planejamento de
contingência incluem resultados de avaliação ou auditoria, segurança
incidentes ou violações, ou mudanças em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e
diretrizes. A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Referências: [SP 800-12], [SP 800-30], [SP 800-34], [SP 800-39], [SP 800-50], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E PLANO DE CONTINGÊNCIA CP-2
Ao controle:
a. Desenvolva um plano de contingência para o sistema que:
1. Identifica missão essencial e funções de negócios e contingências associadas

requisitos;
2. Fornece objetivos de recuperação, prioridades de restauração e métricas;
3. Aborda funções de contingência, responsabilidades, indivíduos atribuídos com contato

Informação;
4. Aborda a manutenção da missão essencial e das funções de negócios, apesar de uma interrupção,
comprometimento ou falha do sistema;
5. Aborda a restauração eventual e completa do sistema sem deterioração dos controles

originalmente planejado e implementado;
6. Aborda o compartilhamento de informações contingenciais; e
7. É revisado e aprovado por [Atribuição: pessoal ou funções definidas pela organização];
b. Distribuir cópias do plano de contingência para [Atribuição: chave definida pela organização
pessoal de contingência (identificado por nome e/ ou função) e elementos organizacionais];
c. Coordenar atividades de planejamento de contingência com atividades de tratamento de incidentes;
d. Rever o plano de contingência do sistema [Atribuição: frequência definida pela organização];
e. Atualizar o plano de contingência para abordar mudanças na organização, sistema ou ambiente de

operação e problemas encontrados durante a implementação, execução ou teste do plano de
contingência;
f. Comunicar alterações no plano de contingência para [Atribuição: chave definida pela organização
pessoal de contingência (identificado por nome e/ ou função) e elementos organizacionais];
g. Incorporar lições aprendidas com testes de planos de contingência, treinamento ou ações de contingência reais
atividades em testes de contingência e treinamento; e
h. Proteja o plano de contingência contra divulgação e modificação não autorizada.
Discussão: O planeamento de contingência para sistemas faz parte de um programa global para alcançar a
continuidade das operações para a missão organizacional e funções empresariais. O planejamento de contingência aborda
a restauração do sistema e a implementação de missões ou processos de negócios alternativos quando os sistemas são
comprometidos ou violados. O planejamento de contingência é considerado durante todo o ciclo de vida de desenvolvimento
do sistema e é uma parte fundamental do projeto do sistema. Os sistemas podem ser projetados para redundância, para
fornecer recursos de backup e para resiliência. Os planos de contingência reflectem o grau de restauração necessário
para os sistemas organizacionais, uma vez que nem todos os sistemas necessitam de recuperar totalmente para atingir
o nível de continuidade das operações desejado. Os objetivos de recuperação do sistema refletem as leis
aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões, diretrizes, tolerância ao risco organizacional e
nível de impacto do sistema.
As ações abordadas nos planos de contingência incluem degradação ordenada do sistema, desligamento do sistema,
retorno ao modo manual, fluxos alternativos de informações e operação em modos reservados para quando os
sistemas estão sob ataque. Ao coordenar o planeamento de contingência com as atividades de tratamento de
incidentes, as organizações garantem que as atividades de planeamento necessárias estão implementadas e ativadas em
caso de incidente. As organizações consideram se a continuidade das operações durante um incidente entra em
conflito com a capacidade de desabilitar automaticamente o sistema, conforme especificado em IR-4(5).
O planejamento de resposta a incidentes faz parte do planejamento de contingência para organizações e é abordado na
família IR (Resposta a Incidentes).

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: CP-3, CP-4, CP-6, CP - 7, CP-8, CP-9, CP-10, CP-11, CP-13, IR-4, IR-6, IR-8 , IR-9, MA-6, MP-2, MP-4,
MP-5, PL-2, PM-8, PM-11, SA-15, SA-20, SC-7, SC-23, SI -12.
(1) PLANO DE CONTINGÊNCIA | COORDENAR COM PLANOS RELACIONADOS
Coordenar o desenvolvimento do plano de contingência com os elementos organizacionais responsáveis pelos

planos relacionados.
Discussão: Os planos relacionados aos planos de contingência incluem Planos de Continuidade de Negócios, Planos de
Recuperação de Desastres, Planos de Infraestrutura Crítica, Planos de Continuidade de Operações, Planos de Crise
Planos de comunicação, planos de implementação de ameaças internas, planos de resposta a violações de dados, planos
de resposta a incidentes cibernéticos, planos de resposta a violações e planos de emergência para ocupantes.
(2) PLANO DE CONTINGÊNCIA | PLANEJAMENTO DE CAPACIDADE
Conduzir o planejamento da capacidade para que exista a capacidade necessária para processamento de
informações, telecomunicações e suporte ambiental durante as operações de contingência.
Discussão: O planeamento da capacidade é necessário porque diferentes ameaças podem resultar numa redução dos
serviços de processamento, telecomunicações e suporte disponíveis destinados a apoiar
missão essencial e funções empresariais. As organizações antecipam operações degradadas durante operações de
contingência e consideram a degradação no planeamento da capacidade. Para o planeamento da capacidade, o
apoio ambiental refere-se a qualquer factor ambiental para o qual a organização determina que necessita de fornecer apoio
numa situação de contingência, mesmo que em estado degradado. Tais determinações são baseadas em uma avaliação
organizacional de risco, categorização do sistema (nível de impacto) e tolerância ao risco organizacional.
Controles Relacionados: PE-11, PE-12, PE-13, PE-14, PE-18, SC-5.
(3) PLANO DE CONTINGÊNCIA | RETOMAR MISSÃO E FUNÇÕES DE NEGÓCIO
Plano para a retomada de [Seleção: todos; essencial] missão e funções de negócios dentro de [Atribuição: período
de tempo definido pela organização] da ativação do plano de contingência.
Discussão: As organizações podem optar por realizar atividades de planejamento de contingência para retomar funções de
missão e negócios como parte do planejamento de continuidade de negócios ou como parte de análises de impacto nos
negócios. As organizações priorizam a retomada da missão e das funções de negócio.
O período de tempo para a retoma da missão e das funções empresariais pode depender da gravidade e da extensão
das perturbações no sistema e na sua infra-estrutura de apoio.
(4) PLANO DE CONTINGÊNCIA | RETOMAR TODAS AS FUNÇÕES DE MISSÃO E NEGÓCIOS
[Retirado: Incorporado ao CP-2(3).]
(5) PLANO DE CONTINGÊNCIA | CONTINUAR A MISSÃO E AS FUNÇÕES DE NEGÓCIO
Planeje a continuação de [Seleção: todos; essencial] missão e funções de negócios com perda mínima ou nenhuma
perda de continuidade operacional e sustenta essa continuidade até a restauração completa do sistema em locais
primários de processamento e/ou armazenamento.
Discussão: As organizações podem optar por conduzir as atividades de planejamento de contingência para continuar a
missão e as funções de negócios como parte do planejamento de continuidade de negócios ou de análises de impacto nos
negócios. Os locais primários de processamento e/ou armazenamento definidos pelas organizações como parte do
planejamento de contingência podem mudar dependendo das circunstâncias associadas à contingência.
(6) PLANO DE CONTINGÊNCIA | LOCAIS ALTERNATIVOS DE PROCESSAMENTO E ARMAZENAMENTO

e
g
_________________________________________________________________________________________________
pe
E Plano para a transferência de [Seleção: todos; essencial] missão e funções de negócios para alternar locais de
processamento e/ou armazenamento com perda mínima ou nenhuma perda de continuidade operacional e sustentar essa
continuidade por meio da restauração do sistema para locais primários de processamento e/ou armazenamento.
Discussão: As organizações podem optar por realizar atividades de planejamento de contingência para locais alternativos de
processamento e armazenamento como parte do planejamento de continuidade de negócios ou de análises de impacto nos negócios.
Os locais primários de processamento e/ou armazenamento definidos pelas organizações como parte do planejamento de contingência
podem mudar dependendo das circunstâncias associadas à contingência.
(7) PLANO DE CONTINGÊNCIA | COORDENAR COM PRESTADORES DE SERVIÇOS EXTERNOS
Coordenar o plano de contingência com os planos de contingência dos prestadores de serviços externos para garantir que os
requisitos de contingência possam ser satisfeitos.
Discussão: Quando a capacidade de uma organização para cumprir a sua missão e funções empresariais depende de prestadores
de serviços externos, o desenvolvimento de um plano de contingência abrangente e oportuno pode tornar-se mais desafiador.
Quando as funções de missão e de negócio dependem de prestadores de serviços externos, as organizações coordenam as
atividades de planeamento de contingência com as entidades externas para garantir que os planos individuais refletem as necessidades
globais de contingência da organização.
(8) PLANO DE CONTINGÊNCIA | IDENTIFICAR ATIVOS CRÍTICOS
Identifique os ativos críticos do sistema que suportam [Seleção: todos; essencial] missão e funções de negócios.
Discussão: As organizações podem optar por identificar ativos críticos como parte da análise de criticidade, do planejamento de
continuidade de negócios ou de análises de impacto nos negócios. As organizações identificam ativos críticos do sistema para que
controles adicionais possam ser empregados (além dos controles implementados rotineiramente) para ajudar a garantir que a missão
organizacional e as funções de negócios possam
continuam a ser realizadas durante operações de contingência. A identificação de ativos de informação críticos também facilita
a priorização de recursos organizacionais. Os ativos críticos do sistema incluem aspectos técnicos e operacionais. Os aspectos
técnicos incluem componentes do sistema, serviços de tecnologia da informação, produtos e mecanismos de tecnologia da informação.
Os aspectos operacionais incluem procedimentos (ou seja, operações executadas manualmente) e pessoal (ou seja, indivíduos
que operam controles técnicos e/ou executam procedimentos manuais). Os planos de proteção do programa organizacional podem
ajudar na identificação de ativos críticos.
Se os ativos críticos residirem ou forem apoiados por prestadores de serviços externos, as organizações consideram a implementação do
CP-2(7) como uma melhoria de controle.
Controles Relacionados: CM-8, RA-9.
Referências: [SP 800-34], [IR 8179].
TREINAMENTO DE CONTINGÊNCIA CP-3
Ao controle:
a. Forneça treinamento de contingência aos usuários do sistema consistente com as funções e responsabilidades atribuídas:
1. Dentro de [Atribuição: período de tempo definido pela organização] após assumir uma função de contingência
ou responsabilidade;
2. Quando exigido por alterações no sistema; e

e
g
_________________________________________________________________________________________________
pe
E 3. [Atribuição: frequência definida pela organização] posteriormente; e
b. Revisar e atualizar o conteúdo do treinamento de contingência [Tarefa: frequência definida pela organização] e seguir
[Tarefa: eventos definidos pela organização].
Discussão: A formação de contingência fornecida pelas organizações está ligada às funções e responsabilidades atribuídas ao
pessoal organizacional para garantir que o conteúdo e o nível de detalhe apropriados sejam incluídos nessa formação. Por
exemplo, alguns indivíduos podem apenas necessitar de saber quando e onde se apresentar para serviço durante operações de
contingência e se os deveres normais são afectados; os administradores de sistemas podem necessitar de treinamento adicional
sobre como estabelecer sistemas em locais alternativos de processamento e armazenamento; e os funcionários organizacionais
podem receber formação mais específica sobre como realizar funções essenciais à missão em locais designados fora do local e
como estabelecer comunicações com outras entidades governamentais para fins de coordenação em actividades relacionadas com
contingências. A formação para funções ou responsabilidades de contingência reflecte os requisitos específicos de continuidade
do plano de contingência. Os eventos que podem precipitar uma atualização do conteúdo do treinamento de contingência incluem,
mas não estão limitados a, testes de planos de contingência ou uma contingência real (lições aprendidas), resultados de
avaliação ou auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes. A critério da organização, a participação em um teste ou exercício de plano de contingência,
incluindo sessões de lições aprendidas subsequentes ao teste ou exercício, pode satisfazer os requisitos de treinamento
do plano de contingência.
Controles relacionados: AT-2, AT-3, AT-4, CP-2, CP-4, CP-8, IR-2, IR-4, IR-9.
(1) TREINAMENTO DE CONTINGÊNCIA | EVENTOS SIMULADOS
Incorporar eventos simulados no treinamento de contingência para facilitar uma resposta eficaz do pessoal em
situações de crise.
Discussão: O uso de eventos simulados cria um ambiente para que o pessoal experimente eventos de ameaças reais, incluindo
ataques cibernéticos que desativam sites, ataques de ransomware que criptografam dados organizacionais em servidores,
furacões que danificam ou destroem instalações organizacionais ou falhas de hardware ou software.
(2) TREINAMENTO DE CONTINGÊNCIA | MECANISMOS UTILIZADOS EM AMBIENTES DE TREINAMENTO
Empregar mecanismos utilizados nas operações para fornecer um ambiente de treinamento de

contingência mais completo e realista.
Discussão: Mecanismos operacionais referem-se a processos que foram estabelecidos para atingir uma meta
organizacional ou um sistema que apoia uma missão organizacional ou objetivo comercial específico. Os processos,
sistemas e/ou instalações reais da missão e do negócio podem ser usados para gerar eventos simulados e aumentar
o realismo dos eventos simulados durante o treinamento de contingência.
TESTE DO PLANO DE CONTINGÊNCIA CP-4
Ao controle:
a. Teste o plano de contingência para o sistema [Atribuição: frequência definida pela organização] usando os seguintes testes para
determinar a eficácia do plano e a prontidão para executar o plano: [Atribuição: testes definidos pela organização].
b. Rever os resultados dos testes do plano de contingência; e

e
g
_________________________________________________________________________________________________
pe
E c. Iniciar ações corretivas, se necessário.
Discussão: Os métodos para testar planos de contingência para determinar a eficácia dos planos e identificar potenciais pontos
fracos incluem listas de verificação, exercícios de acompanhamento e de mesa, simulações (interrupção paralela ou total) e
exercícios abrangentes. As organizações realizam testes com base nos requisitos dos planos de contingência e incluem uma
determinação dos efeitos nas operações organizacionais, nos ativos e nos indivíduos devido às operações de contingência.
As organizações têm flexibilidade e discrição na amplitude, profundidade e cronogramas das ações corretivas.
Controles relacionados: AT-3, CP-2, CP-3, CP-8, CP-9, IR-3, IR-4, PL-2, PM-14, SR-2.
(1) TESTE DO PLANO DE CONTINGÊNCIA | COORDENAR COM PLANOS RELACIONADOS
Coordenar os testes do plano de contingência com os elementos organizacionais responsáveis pelos planos
relacionados.
Discussão: Os planos relacionados ao planejamento de contingência para sistemas organizacionais incluem

Planos de Continuidade de Negócios, Planos de Recuperação de Desastres, Planos de Continuidade de Operações,
Planos de Comunicação de Crises, Planos de Infraestrutura Crítica, Planos de Resposta a Incidentes Cibernéticos e
Planos de Emergência de Ocupantes. A coordenação dos testes dos planos de contingência não exige que as
organizações criem elementos organizacionais para lidar com planos relacionados ou para alinhar tais elementos com
planos específicos. No entanto, exige que, se tais elementos organizacionais forem responsáveis pelos planos relacionados,
as organizações se coordenem com esses elementos.
Controles Relacionados: IR-8, PM-8.
(2) TESTE DO PLANO DE CONTINGÊNCIA | LOCAL DE PROCESSAMENTO ALTERNATIVO
Teste o plano de contingência no local de processamento alternativo:
(a) Familiarizar o pessoal de contingência com as instalações e os recursos disponíveis; e
(b) Avaliar as capacidades do local de processamento alternativo para apoiar operações de contingência
operações.
Discussão: As condições no local de processamento alternativo podem ser significativamente diferentes das condições no
local primário. Ter a oportunidade de visitar o site alternativo e experimentar os recursos reais disponíveis no site pode
fornecer informações valiosas sobre vulnerabilidades potenciais que podem afetar a missão organizacional essencial e as
funções comerciais. A visita ao local também pode proporcionar uma oportunidade para refinar o plano de contingência
para resolver as vulnerabilidades descobertas durante os testes.
Controles Relacionados: CP-7.
(3) TESTE DO PLANO DE CONTINGÊNCIA | TESTE AUTOMATIZADO
Teste o plano de contingência usando [Atribuição: mecanismos automatizados definidos pela

organização].
Discussão: Mecanismos automatizados facilitam testes completos e eficazes de planos de contingência, fornecendo uma
cobertura mais completa de questões de contingência, selecionando cenários e ambientes de teste mais realistas e
sobrecarregando efetivamente o sistema e as funções de missão e de negócios apoiadas.
(4) TESTE DO PLANO DE CONTINGÊNCIA | RECUPERAÇÃO E RECONSTITUIÇÃO COMPLETA
Incluir uma recuperação completa e reconstituição do sistema para um estado conhecido como parte dos
testes do plano de contingência.
Discussão: A recuperação consiste na execução de atividades de planos de contingência para restaurar a missão
organizacional e as funções empresariais. A reconstituição ocorre após a recuperação e inclui

e
g
_________________________________________________________________________________________________
pe
E atividades para retornar os sistemas a estados totalmente operacionais. As organizações estabelecem um estado conhecido para
sistemas que inclui informações de estado do sistema para hardware, programas de software e dados. A preservação das
informações do estado do sistema facilita a reinicialização do sistema e o retorno ao modo operacional das organizações com
menos interrupções na missão e nos processos de negócios.
Controles Relacionados: CP-10, SC-24.
(5) TESTE DO PLANO DE CONTINGÊNCIA | AUTO-DESAFIO
Empregar [Atribuição: mecanismos definidos pela organização] para [Atribuição: sistema ou componente de sistema
definido pela organização] para interromper e afetar adversamente o sistema ou componente do sistema.
Discussão: Muitas vezes, o melhor método para avaliar a resiliência do sistema é perturbar o sistema de alguma forma. Os
mecanismos usados pela organização podem interromper funções ou serviços do sistema de várias maneiras, incluindo encerrar
ou desabilitar componentes críticos do sistema, alterar a configuração dos componentes do sistema, degradar funcionalidades críticas
(por exemplo, restringir a largura de banda da rede) ou alterar privilégios. Ataques cibernéticos e interrupções de serviços
automatizados, contínuos e simulados podem revelar dependências funcionais inesperadas e ajudar a organização a determinar
sua capacidade de garantir resiliência diante de um ataque cibernético real.
Referências: [FIPS 199], [SP 800-34], [SP 800-84], [SP 800-160-2].
ATUALIZAÇÃO DO PLANO DE CONTINGÊNCIA CP-5
[Retirado: Incorporado ao CP-2.]
LOCAL DE ARMAZENAMENTO ALTERNATIVO CP-6
Ao controle:
a. Estabelecer um local de armazenamento alternativo, incluindo os acordos necessários para permitir o armazenamento
e recuperação de informações de backup do sistema; e
b. Certifique-se de que o local de armazenamento alternativo forneça controles equivalentes aos do local de armazenamento primário
site.
Discussão: Os locais de armazenamento alternativo são geograficamente distintos dos locais de armazenamento primário e mantêm
cópias duplicadas de informações e dados se o local de armazenamento primário não estiver disponível.
Da mesma forma, locais de processamento alternativos fornecem capacidade de processamento se o local de processamento primário
não estiver disponível. Arquiteturas distribuídas geograficamente que suportam requisitos de contingência podem ser consideradas
locais de armazenamento alternativos. Os itens cobertos pelos acordos de locais de armazenamento alternativos incluem condições
ambientais nos locais alternativos, regras de acesso para sistemas e instalações, requisitos de proteção física e ambiental e
coordenação de entrega e recuperação de mídia de backup. Locais de armazenamento alternativos refletem os requisitos dos planos de
contingência para que as organizações possam manter a missão essencial e as funções de negócios, apesar de comprometimentos,
falhas,
ou interrupção nos sistemas organizacionais.
Controles Relacionados: CP-2, CP-7, CP-8, CP-9, CP-10, MP-4, MP-5, PE-3, SC-36, SI-13.
(1) LOCAL DE ARMAZENAMENTO ALTERNATIVO | SEPARAÇÃO DO LOCAL PRIMÁRIO
Identifique um local de armazenamento alternativo que esteja suficientemente separado do local de armazenamento
primário para reduzir a suscetibilidade às mesmas ameaças.
Discussão: As ameaças que afetam locais de armazenamento alternativos são definidas em avaliações de riscos
organizacionais e incluem desastres naturais, falhas estruturais, ataques hostis e erros de

e
g
_________________________________________________________________________________________________
pe
E omissão ou comissão. As organizações determinam o que é considerado um grau suficiente de separação entre locais de
armazenamento primário e alternativo com base nos tipos de ameaças que são motivo de preocupação. Para ameaças
como ataques hostis, o grau de separação entre sites é menos relevante.
(2) LOCAL DE ARMAZENAMENTO ALTERNATIVO | OBJETIVOS DO TEMPO DE RECUPERAÇÃO E DO PONTO DE RECUPERAÇÃO
Configure o local de armazenamento alternativo para facilitar as operações de recuperação de acordo com o tempo
de recuperação e os objetivos do ponto de recuperação.
Discussão: As organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de
contingência. A configuração do local de armazenamento alternativo inclui instalações físicas e sistemas que suportam
operações de recuperação que garantem acessibilidade e execução correta.
(3) LOCAL DE ARMAZENAMENTO ALTERNATIVO | ACESSIBILIDADE
Identifique possíveis problemas de acessibilidade ao local de armazenamento alternativo no caso de uma

interrupção ou desastre em toda a área e descreva ações de mitigação explícitas.
Discussão: As perturbações em toda a área referem-se aos tipos de perturbações que são de âmbito geográfico
amplo, com tais determinações feitas pelas organizações com base em avaliações organizacionais de risco. As ações de
mitigação explícitas incluem a duplicação de informações de backup em outros locais de armazenamento alternativos se
ocorrerem problemas de acesso em locais alternativos originalmente designados ou o planejamento de acesso físico para
recuperar informações de backup se a acessibilidade eletrônica ao local alternativo for interrompida.
LOCAL DE PROCESSAMENTO ALTERNATIVO CP-7
Ao controle:
a. Estabelecer um local de processamento alternativo, incluindo os acordos necessários para permitir a transferência e a retomada
de [Atribuição: operações do sistema definidas pela organização] para missão essencial e funções de negócios dentro
de [Atribuição: período de tempo definido pela organização consistente com o tempo de recuperação e os objetivos
do ponto de recuperação] quando as capacidades primárias de processamento não estão disponíveis;
b. Disponibilizar no local de processamento alternativo os equipamentos e suprimentos necessários para transferir e retomar
as operações ou estabelecer contratos para apoiar a entrega no local dentro do período de tempo definido pela
organização para transferência e retomada; e
c. Fornecer controles no local de processamento alternativo que sejam equivalentes aos do local de processamento primário
site.
Discussão: Os locais de processamento alternativos são geograficamente distintos dos locais de processamento primário
e fornecer capacidade de processamento se o local de processamento primário não estiver disponível. A capacidade de
processamento alternativa pode ser abordada usando um local de processamento físico ou outras alternativas,
como failover para um provedor de serviços baseado em nuvem ou outro serviço de processamento fornecido interna ou
externamente. Arquiteturas distribuídas geograficamente que suportam requisitos de contingência também podem
ser consideradas locais de processamento alternativos. Os controles cobertos por acordos de locais de processamento
alternativos incluem as condições ambientais em locais alternativos,
regras de acesso, requisitos de proteção física e ambiental e coordenação para transferência e alocação de pessoal. Os requisitos
são alocados para locais de processamento alternativos

e
g
_________________________________________________________________________________________________
pe
E que reflitam os requisitos dos planos de contingência para manter a missão essencial e as funções de negócios, apesar da
interrupção, comprometimento ou falha nos sistemas organizacionais.
Controles Relacionados: CP-2, CP-6, CP-8, CP-9, CP-10, MA-6, PE-3, PE-11, PE-12, PE-17, SC-36, SI-13 .
(1) LOCAL DE PROCESSAMENTO ALTERNATIVO | SEPARAÇÃO DO LOCAL PRIMÁRIO
Identifique um local de processamento alternativo que esteja suficientemente separado do local de

processamento primário para reduzir a suscetibilidade às mesmas ameaças.
Discussão: As ameaças que afectam locais de processamento alternativos são definidas em avaliações organizacionais
de risco e incluem desastres naturais, falhas estruturais, ataques hostis e erros de omissão ou comissão. As organizações
determinam o que é considerado um grau suficiente de separação entre locais de processamento primários e alternativos
com base nos tipos de ameaças que são motivo de preocupação. Para ameaças como ataques hostis, o grau de separação
entre sites é menos relevante.
(2) LOCAL DE PROCESSAMENTO ALTERNATIVO | ACESSIBILIDADE
Identifique possíveis problemas de acessibilidade para locais de processamento alternativos no caso de uma
interrupção ou desastre em toda a área e descreva ações de mitigação explícitas.
Discussão: As perturbações em toda a área referem-se aos tipos de perturbações que são de âmbito geográfico
amplo, com tais determinações feitas pelas organizações com base em avaliações organizacionais de risco.
(3) LOCAL DE PROCESSAMENTO ALTERNATIVO | PRIORIDADE DO SERVIÇO
Desenvolva acordos de locais de processamento alternativos que contenham disposições de prioridade de serviço
de acordo com os requisitos de disponibilidade (incluindo objetivos de tempo de recuperação).
Discussão: Os acordos de prioridade de serviço referem-se a acordos negociados com prestadores de serviços que
garantem que as organizações recebam tratamento prioritário consistente com os seus requisitos de disponibilidade e a
disponibilidade de recursos de informação para processamento alternativo lógico e/ou no local de processamento alternativo
físico. As organizações estabelecem objetivos de tempo de recuperação como parte do planejamento de contingência.
(4) LOCAL DE PROCESSAMENTO ALTERNATIVO | PREPARAÇÃO PARA USO
Prepare o local de processamento alternativo para que possa servir como local operacional, apoiando a missão
essencial e as funções comerciais.
Discussão: A preparação do local inclui o estabelecimento de definições de configuração para sistemas no local de
processamento alternativo consistentes com os requisitos para tais configurações no local primário e a garantia de que os
suprimentos essenciais e as considerações logísticas estejam em vigor.
Controles relacionados: CM-2, CM-6, CP-4.
(5) LOCAL DE PROCESSAMENTO ALTERNATIVO | SALVAGUARDAS DE SEGURANÇA DA INFORMAÇÃO EQUIVALENTES
(6) LOCAL DE PROCESSAMENTO ALTERNATIVO | INCAPACIDADE DE VOLTAR AO LOCAL PRIMÁRIO
Planeje e prepare-se para circunstâncias que impeçam o retorno ao local de processamento primário.
Discussão: Pode haver situações que impeçam uma organização de retornar ao local de processamento primário, como
se um desastre natural (por exemplo, inundação ou furacão) danificasse ou

e
g
_________________________________________________________________________________________________
pe
E destruiu uma instalação e foi determinado que a reconstrução no mesmo local não era prudente.
SERVIÇOS DE TELECOMUNICAÇÕES CP-8
Controle: Estabelecer serviços alternativos de telecomunicações, incluindo os acordos necessários para permitir a retomada de
[Atribuição: operações de sistema definidas pela organização] para missão essencial e funções de negócios dentro de
[Atribuição: período de tempo definido pela organização] quando os recursos primários de telecomunicações estiverem indisponíveis
no locais de processamento ou armazenamento primários ou alternativos.
Discussão: Os serviços de telecomunicações (para dados e voz) para locais de processamento e armazenamento
primários e alternativos estão no âmbito do CP-8. Os serviços alternativos de telecomunicações reflectem os requisitos de
continuidade nos planos de contingência para manter a missão essencial e as funções empresariais, apesar da perda dos
serviços primários de telecomunicações. As organizações podem especificar diferentes períodos de tempo para sites primários
ou alternativos. Os serviços alternativos de telecomunicações incluem circuitos ou linhas terrestres organizacionais ou
comerciais adicionais, abordagens de telecomunicações baseadas em rede ou o uso de satélites. As organizações consideram
fatores como disponibilidade, qualidade de serviço e acesso ao celebrar acordos alternativos de telecomunicações.
Controles Relacionados: CP-2, CP-6, CP-7, CP-11, SC-7.
(1) SERVIÇOS DE TELECOMUNICAÇÕES | PRIORIDADE DAS PRESTAÇÕES DE SERVIÇO
(a) Desenvolver acordos de serviços de telecomunicações primários e alternativos que contenham disposições de
prioridade de serviço de acordo com os requisitos de disponibilidade (incluindo objetivos de tempo de
recuperação); e
(b) Solicitar prioridade de serviço de telecomunicações para todos os serviços de telecomunicações utilizados
para a preparação para emergências de segurança nacional se os serviços de telecomunicações
primários e/ou alternativos forem fornecidos por uma operadora comum.
Discussão: As organizações consideram a missão potencial ou o impacto nos negócios em situações em que os
provedores de serviços de telecomunicações atendem outras organizações com prioridade semelhante de prestação de
serviços. Prioridade de Serviço de Telecomunicações (TSP) é um programa da Comissão Federal de Comunicações
(FCC) que orienta os provedores de serviços de telecomunicações (por exemplo, empresas de telefonia fixa e sem
fio) a darem tratamento preferencial aos usuários inscritos no programa quando eles precisarem adicionar novas linhas
ou ter suas linhas restaurado após uma interrupção do serviço, independentemente da causa. A FCC define as regras e
políticas para o programa TSP, e o Departamento de Segurança Interna administra o programa TSP.
O programa TSP está sempre em vigor e não depende da ocorrência de um grande desastre ou ataque. O patrocínio federal
é necessário para se inscrever no programa TSP.
(2) SERVIÇOS DE TELECOMUNICAÇÕES | PONTOS ÚNICOS DE FALHA
Obter serviços de telecomunicações alternativos para reduzir a probabilidade de partilhar um único ponto de falha
com os serviços primários de telecomunicações.
Discussão: Em certas circunstâncias, os prestadores de serviços ou serviços de telecomunicações podem partilhar as mesmas
linhas físicas, o que aumenta a vulnerabilidade de um único ponto de falha. É importante que o fornecedor tenha transparência
relativamente à capacidade real de transmissão física dos serviços de telecomunicações.

e
g
_________________________________________________________________________________________________
pe
(3) SERVIÇOS DE TELECOMUNICAÇÕES | SEPARAÇÃO DE FORNECEDORES PRIMÁRIOS E ALTERNATIVOS
Obtenha serviços de telecomunicações alternativos de provedores separados dos provedores de serviços

primários para reduzir a suscetibilidade às mesmas ameaças.
Discussão: As ameaças que afectam os serviços de telecomunicações são definidas nas avaliações de risco organizacionais
e incluem desastres naturais, falhas estruturais, ataques cibernéticos ou físicos e erros de omissão ou comissão. As
organizações podem reduzir as susceptibilidades comuns minimizando a infra-estrutura partilhada entre os
prestadores de serviços de telecomunicações e conseguindo uma separação geográfica suficiente entre os serviços.
As organizações podem considerar o uso de um único provedor de serviços em situações em que o provedor de serviços
possa fornecer serviços de telecomunicações alternativos que atendam às necessidades de separação abordadas na
avaliação de risco.
(4) SERVIÇOS DE TELECOMUNICAÇÕES | PLANO DE CONTINGÊNCIA DO PROVEDOR
(a) Exigir que os provedores de serviços de telecomunicações primários e alternativos tenham

planos de contingência;
(b) Rever os planos de contingência do fornecedor para garantir que os planos cumprem os requisitos de
contingência organizacionais; e
(c) Obter evidências de testes de contingência e treinamento por parte dos prestadores [Atribuição:
frequência definida pela organização].
Discussão: As revisões dos planos de contingência dos provedores consideram a natureza proprietária de tais planos. Em
algumas situações, um resumo dos planos de contingência do fornecedor pode ser evidência suficiente para que as
organizações satisfaçam o requisito de revisão. Os prestadores de serviços de telecomunicações também podem participar
em exercícios contínuos de recuperação de desastres, em coordenação com o Departamento de Segurança Interna e os
governos estaduais e locais. As organizações podem utilizar estes tipos de atividades para satisfazer requisitos probatórios
relacionados com revisões, testes e formação de planos de contingência de prestadores de serviços.
Controles Relacionados: CP-3, CP-4.
(5) SERVIÇOS DE TELECOMUNICAÇÕES | TESTE DE SERVIÇO ALTERNATIVO DE TELECOMUNICAÇÕES
Testar serviços alternativos de telecomunicações [Atribuição: frequência definida pela organização].
Discussão: Os testes de serviços alternativos de telecomunicações são organizados através de acordos contratuais com
prestadores de serviços. Os testes podem ocorrer em paralelo com as operações normais para garantir que não haja
degradação nas missões ou funções organizacionais.
BACKUP DO SISTEMA CP-9

Ao controle:
a. Realizar backups de informações de nível de usuário contidas em [Atribuição: componentes do sistema definidos pela
organização] [Atribuição: frequência definida pela organização consistente com o tempo de recuperação e os objetivos do
ponto de recuperação];
b. Realizar backups das informações de nível de sistema contidas no sistema [Tarefa:

frequência definida pela organização consistente com o tempo de recuperação e os objetivos do ponto de recuperação];

e
g
_________________________________________________________________________________________________
pe
E c. Realize backups da documentação do sistema, incluindo informações relacionadas à segurança e à privacidade.
documentação [Atribuição: frequência definida pela organização consistente com o tempo de recuperação e os objetivos do
ponto de recuperação]; e
d. Proteja a confidencialidade, integridade e disponibilidade das informações de backup.
Discussão: As informações no nível do sistema incluem informações sobre o estado do sistema, software do sistema
operacional, middleware, software aplicativo e licenças. As informações no nível do usuário incluem outras informações
além das informações no nível do sistema. Os mecanismos empregados para proteger a integridade dos backups do sistema incluem
assinaturas digitais e hashes criptográficos. A proteção das informações de backup do sistema durante o trânsito é abordada
pelo MP-5 e SC-8. Os backups do sistema refletem os requisitos dos planos de contingência, bem como outros requisitos
organizacionais para backup de informações. As organizações podem estar sujeitas a leis, ordens executivas, diretivas,
regulamentos ou políticas com requisitos relativos a categorias específicas de informações (por exemplo, informações pessoais de
saúde). O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade em
relação a tais requisitos.
Controles relacionados: CP-2, CP-6, CP-10, MP-4, MP-5, SC-8, SC-12, SC-13, SI-4, SI-13.
(1) BACKUP DO SISTEMA | TESTE DE CONFIABILIDADE E INTEGRIDADE
Teste as informações de backup [Atribuição: frequência definida pela organização] para verificar a confiabilidade
da mídia e a integridade das informações.
Discussão: As organizações precisam de garantia de que as informações de backup podem ser recuperadas de forma confiável.
A confiabilidade diz respeito aos sistemas e componentes do sistema onde as informações de backup são armazenadas, às
operações usadas para recuperar as informações e à integridade das informações que estão sendo recuperadas. Testes
independentes e especializados podem ser utilizados para cada um dos aspectos de confiabilidade. Por exemplo,
descriptografar e transportar (ou transmitir) uma amostra aleatória de arquivos de backup do local alternativo de
armazenamento ou backup e comparar as informações com as mesmas informações no local de processamento primário pode
fornecer essa garantia.
(2) BACKUP DO SISTEMA | TESTE DE RESTAURAÇÃO USANDO AMOSTRAGEM
Use uma amostra de informações de backup na restauração de funções selecionadas do sistema como parte do teste
do plano de contingência.
Discussão: As organizações precisam de garantia de que as funções do sistema podem ser restauradas corretamente e
podem apoiar as missões organizacionais estabelecidas. Para garantir que as funções do sistema selecionadas sejam
exercidas minuciosamente durante os testes do plano de contingência, uma amostra de informações de backup é
recuperada para determinar se as funções estão operando conforme pretendido.
As organizações podem determinar o tamanho da amostra para as funções e informações de backup
com base no nível de garantia necessário.
(3) BACKUP DO SISTEMA | ARMAZENAMENTO SEPARADO PARA INFORMAÇÕES CRÍTICAS
Armazene cópias de backup de [Atribuição: software de sistema crítico definido pela organização e outras
informações relacionadas à segurança] em uma instalação separada ou em um contêiner resistente a incêndio que
não esteja localizado com o sistema operacional.
Discussão: O armazenamento separado para informações críticas aplica-se a todas as informações críticas,
independentemente do tipo de mídia de armazenamento de backup. O software de sistema crítico inclui sistemas operacionais,
middleware, sistemas de gerenciamento de chaves criptográficas e detecção de intrusão
sistemas. As informações relacionadas à segurança incluem inventários de componentes de hardware, software e firmware
do sistema. Locais de armazenamento alternativos, incluindo arquiteturas distribuídas geograficamente, servem como
instalações de armazenamento separadas para as organizações. As organizações podem

e
g
_________________________________________________________________________________________________
pe
E fornecer armazenamento separado implementando processos de backup automatizados em locais de
armazenamento alternativos (por exemplo, data centers). A Administração de Serviços Gerais (GSA) estabelece
padrões e especificações para contêineres com classificação de segurança e incêndio.
Controles relacionados: CM-2, CM-6, CM-8.
(4) BACKUP DO SISTEMA | PROTEÇÃO CONTRA MODIFICAÇÃO NÃO AUTORIZADA
(5) BACKUP DO SISTEMA | TRANSFERÊNCIA PARA LOCAL DE ARMAZENAMENTO ALTERNATIVO
Transferir informações de backup do sistema para o local de armazenamento alternativo

[Atribuição: período de tempo definido pela organização e taxa de transferência consistente com o tempo de
recuperação e os objetivos do ponto de recuperação].
Discussão: As informações de backup do sistema podem ser transferidas para locais de armazenamento alternativos
eletronicamente ou por remessa física de mídia de armazenamento.
Controles relacionados: CP-7, MP-3, MP-4, MP-5.
(6) BACKUP DO SISTEMA | SISTEMA SECUNDÁRIO REDUNDANTE
Conduza o backup do sistema mantendo um sistema secundário redundante que não esteja colocado
no sistema primário e que possa ser ativado sem perda de informações ou interrupção das operações.
Discussão: O efeito do backup do sistema pode ser alcançado mantendo um sistema secundário redundante
que espelhe o sistema primário, incluindo a replicação de informações.
Se este tipo de redundância estiver em vigor e houver separação geográfica suficiente entre
entre os dois sistemas, o sistema secundário também pode servir como local de processamento alternativo.
(7) BACKUP DO SISTEMA | AUTORIZAÇÃO DUPLA PARA EXCLUSÃO OU DESTRUIÇÃO
Aplicar autorização dupla para exclusão ou destruição de [Atribuição: informações de backup definidas pela
organização].
Discussão: A autorização dupla garante que a exclusão ou destruição das informações de backup não poderá ocorrer,
a menos que dois indivíduos qualificados executem a tarefa. Indivíduos que excluem ou destroem informações
de backup possuem as habilidades ou conhecimentos necessários para determinar se a exclusão ou destruição
proposta de informações reflete as políticas e procedimentos organizacionais. A autorização dupla também pode ser
conhecida como controle de duas pessoas. Para reduzir o risco de conluio, as organizações consideram alternar
as funções de autorização dupla para outros indivíduos.
Controles relacionados: AC-3, AC-5, MP-2.
(8) BACKUP DO SISTEMA | PROTEÇÃO CRIPTOGRÁFICA
Implementar mecanismos criptográficos para evitar a divulgação e modificação não autorizada de

[Atribuição: informações de backup definidas pela organização].
Discussão: A seleção de mecanismos criptográficos baseia-se na necessidade de proteger a confidencialidade e

integridade das informações de backup. A força dos mecanismos selecionados é proporcional à categoria de segurança
ou classificação da informação. A proteção criptográfica se aplica às informações de backup do sistema armazenadas
em locais primários e alternativos. As organizações que implementam mecanismos criptográficos para proteger
informações em repouso também consideram soluções de gerenciamento de chaves criptográficas.
Referências: [FIPS 140-3], [FIPS 186-4], [SP 800-34], [SP 800-130], [SP 800-152].

e
g
_________________________________________________________________________________________________
pe
E RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA CP-10
Controle: Fornecer a recuperação e reconstituição do sistema para um estado conhecido dentro de [Atribuição: período de
tempo definido pela organização consistente com o tempo de recuperação e os objetivos do ponto de recuperação] após uma
interrupção, comprometimento ou falha.
Discussão: A recuperação consiste na execução de atividades de planos de contingência para restaurar a missão organizacional
e as funções empresariais. A reconstituição ocorre após a recuperação e inclui atividades para devolver os sistemas a estados
totalmente operacionais. As operações de recuperação e reconstituição reflectem a missão e as prioridades empresariais;
ponto de recuperação, tempo de recuperação e objetivos de reconstituição; e métricas organizacionais consistentes com os requisitos
do plano de contingência. A reconstituição inclui a desativação de capacidades provisórias do sistema que possam ter sido
necessárias durante as operações de recuperação. A reconstituição também inclui avaliações das capacidades do sistema
totalmente restauradas, restabelecimento de atividades de monitoramento contínuo, reautorização do sistema (se
necessário) e atividades para preparar o sistema e a organização para futuras interrupções, violações, comprometimentos ou
falhas. As capacidades de recuperação e reconstituição podem incluir mecanismos automatizados e procedimentos manuais. As
organizações estabelecem objetivos de tempo e ponto de recuperação como parte do planejamento de contingência.
Controles Relacionados: CP-2, CP-4, CP-6, CP-7, CP-9, IR-4, SA-8, SC-24, SI-13.
(1) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | TESTE DO PLANO DE CONTINGÊNCIA
(2) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | RECUPERAÇÃO DE TRANSAÇÃO
Implemente a recuperação de transações para sistemas baseados em transações.
Discussão: Os sistemas baseados em transações incluem sistemas de gerenciamento de banco de dados e

sistemas de processamento de transações. Os mecanismos de apoio à recuperação de transações incluem
reversão de transações e registro no diário de transações.
(3) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | COMPENSANDO OS CONTROLES DE SEGURANÇA
[Retirado: Abordado por meio de alfaiataria.]
(4) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | RESTAURAR DENTRO DO PERÍODO DE TEMPO
Fornecer a capacidade de restaurar componentes do sistema dentro de [Atribuição: períodos de tempo de

restauração definidos pela organização] a partir de informações controladas por configuração e protegidas por
integridade, representando um estado operacional conhecido para os componentes.
Discussão: A restauração de componentes do sistema inclui a recriação de imagens, que restaura os componentes
para estados operacionais conhecidos.
Controles relacionados: CM-2, CM-6.
(5) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | CAPACIDADE DE FALHA
(6) RECUPERAÇÃO E RECONSTITUIÇÃO DO SISTEMA | PROTEÇÃO DE COMPONENTES
Proteja os componentes do sistema usados para recuperação e reconstituição.
Discussão: A proteção dos componentes de recuperação e reconstituição do sistema (isto é, hardware, firmware e software)
inclui controles físicos e técnicos. Os componentes de backup e restauração usados para recuperação e reconstituição
incluem tabelas de roteadores, compiladores e outros softwares de sistema.
Controles relacionados: AC-3, AC-6, MP-2, MP-4, PE-3, PE-6.

e
g
_________________________________________________________________________________________________
pe
E Referências: [SP 800-34].
PROTOCOLOS DE COMUNICAÇÕES ALTERNATIVAS CP-11
Controle: Fornecer a capacidade de empregar [Tarefa: protocolos de comunicação alternativos definidos pela
organização] para apoiar a manutenção da continuidade das operações.
Discussão: Os planos de contingência e a formação ou testes de contingência associados a esses planos

incorporam uma capacidade de protocolo de comunicações alternativo como parte do estabelecimento de
resiliência nos sistemas organizacionais. A troca de protocolos de comunicação pode afetar aplicativos de software e
aspectos operacionais dos sistemas. As organizações avaliam os potenciais efeitos colaterais da introdução de
protocolos de comunicação alternativos antes da implementação.
Controles Relacionados: CP-2, CP-8, CP-13.
MODO SEGURO CP-12
Controle: Quando [Atribuição: condições definidas pela organização] for detectada, insira um modo de operação seguro
com [Atribuição: restrições de modo de operação seguro definidas pela organização].
Discussão: Para sistemas que apoiam missões críticas e funções de negócios – incluindo operações militares,
operações espaciais civis, operações de usinas nucleares e operações de controle de tráfego aéreo (especialmente
ambientes operacionais em tempo real) – as organizações podem identificar certas condições sob as quais esses
sistemas revertem para um modo de operação seguro predefinido. O modo seguro de operação, que pode ser ativado
automática ou manualmente, restringe as operações que os sistemas podem executar quando essas condições
são encontradas. A restrição inclui permitir a execução apenas de funções selecionadas que podem ser
executadas com energia limitada ou com largura de banda de comunicação reduzida.
Controles Relacionados: CM-2, SA-8, SC-24, SI-13, SI-17.
MECANISMOS ALTERNATIVOS DE SEGURANÇA CP-13
Controle: Empregar [Atribuição: mecanismos de segurança alternativos ou suplementares definidos pela

organização] para satisfazer [Atribuição: funções de segurança definidas pela organização] quando o principal
meio de implementação da função de segurança estiver indisponível ou comprometido.
Discussão: A utilização de mecanismos de segurança alternativos apoia a resiliência do sistema, o planeamento

de contingência e a continuidade das operações. Para garantir a missão e a continuidade dos negócios, as organizações
podem implementar mecanismos de segurança alternativos ou complementares. Os mecanismos podem ser menos
eficazes que os mecanismos primários. No entanto, ter a capacidade de empregar prontamente
mecanismos alternativos ou suplementares melhoram a missão e a continuidade dos negócios que, de outra forma,
poderiam ser adversamente impactados se as operações tivessem que ser reduzidas até que o principal meio de
implementação das funções fosse restaurado. Dado o custo e o nível de esforço necessário para fornecer tais
capacidades alternativas, os mecanismos alternativos ou suplementares são aplicados apenas a capacidades
críticas de segurança fornecidas por sistemas, componentes de sistema ou serviços de sistema. Por exemplo, uma
organização pode emitir blocos únicos para executivos seniores, funcionários e administradores de sistema se
tokens multifatoriais — o meio padrão para obter autenticação segura —
estão comprometidos.
Controles Relacionados: CP-2, CP-11, SI-13.

e
g
_________________________________________________________________________________________________
pe
E Aprimoramentos de controle: Nenhum

e
g
_________________________________________________________________________________________________
pe
E 3.7 IDENTIFICAÇÃO E AUTENTICAÇÃO
Link rápido para a Tabela de Resumo de Identificação e Autenticação
POLÍTICA E PROCEDIMENTOS IA-1
Ao controle:

funções]:
nível] política de identificação e autenticação que:

2. Procedimentos para facilitar a implementação da política de identificação e autenticação e dos controlos de

identificação e autenticação associados;

documentação e disseminação da política e procedimentos de identificação e autenticação; e
c. Revise e atualize a identificação e autenticação atuais:


Discussão: As políticas e procedimentos de identificação e autenticação abordam os controles da família IA que são
implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e
políticas e procedimentos de identificação e autenticação. As políticas e procedimentos do programa de
segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas
e procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das
organizações. Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de
missão ou de negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou
controles são implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os
procedimentos podem ser documentados nos planos de segurança e privacidade do sistema ou em um ou mais
documentos separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de
identificação e autenticação incluem resultados de avaliação ou auditoria, incidentes ou violações de segurança
ou alterações nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A
simples reafirmação dos controles não constitui uma política ou procedimento organizacional.
Controles relacionados: AC-1, PM-9, PS-8, SI-12.
Referências: [OMB A-130], [FIPS 201-2], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-63-3], [SP 800- 73-4], [SP
800-76-2], [SP 800-78-4], [SP 800-100], [IR 7874].

e
g
_________________________________________________________________________________________________
pe
E IA-2 IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS)
Controle: Identifique e autentique exclusivamente os usuários organizacionais e associe essa identificação

exclusiva aos processos que atuam em nome desses usuários.
Discussão: As organizações podem satisfazer os requisitos de identificação e autenticação cumprindo os

requisitos da [HSPD 12]. Os usuários organizacionais incluem funcionários ou indivíduos que as organizações
consideram ter status equivalente ao dos funcionários (por exemplo, prestadores de serviços e
pesquisadores convidados). A identificação e autenticação única de utilizadores aplica-se a todos os acessos que
não sejam explicitamente identificados no AC-14 e que ocorram através da utilização autorizada de autenticadores
de grupo sem autenticação individual. Como os processos são executados em nome de grupos e funções, as
organizações podem exigir a identificação exclusiva de indivíduos em contas de grupo ou a prestação de
contas detalhada de atividades individuais.
As organizações empregam senhas, autenticadores físicos ou biometria para autenticar identidades de usuários
ou, no caso de autenticação multifatorial, alguma combinação deles. O acesso aos sistemas organizacionais é
definido como acesso local ou acesso à rede. Acesso local é qualquer acesso a sistemas organizacionais por
usuários ou processos agindo em nome de usuários, onde o acesso é obtido através de conexões diretas sem o uso
de redes. O acesso à rede é o acesso a sistemas organizacionais por usuários (ou processos que atuam em nome
dos usuários) onde o acesso é obtido através de conexões de rede (isto é, acessos não locais). O acesso remoto é um
tipo de acesso à rede que envolve comunicação através de redes externas. As redes internas incluem redes locais e
redes de área ampla.
O uso de redes privadas virtuais criptografadas para conexões de rede entre terminais controlados pela organização
e terminais não controlados pela organização pode ser tratado como redes internas no que diz respeito à
proteção da confidencialidade e integridade das informações que atravessam a rede. Os requisitos de identificação
e autenticação para usuários não organizacionais são descritos em IA-8.
Controles relacionados: AC-2, AC-3, AC-4, AC-14, AC-17, AC-18, AU-1, AU-6, IA-4, IA - 5, IA-8, MA-4 , MA- 5, PE-2,
PL-4, SA-4, SA-8.
(1) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | MULTIFATOR

AUTENTICAÇÃO PARA CONTAS PRIVILEGIADAS
Implemente autenticação multifator para acesso a contas privilegiadas.
Discussão: A autenticação multifator requer o uso de dois ou mais fatores diferentes para obter a autenticação.
Os fatores de autenticação são definidos da seguinte forma: algo que você conhece (por exemplo, um número
de identificação pessoal [PIN]), algo que você possui (por exemplo, um autenticador físico, como uma chave
criptográfica privada) ou algo que você é (por exemplo, um biométrico). .
As soluções de autenticação multifatorial que apresentam autenticadores físicos incluem autenticadores de
hardware que fornecem saídas baseadas em tempo ou de resposta a desafios e cartões inteligentes, como o
cartão de verificação de identidade pessoal (PIV) do governo dos EUA ou o cartão de acesso comum
(CAC) do Departamento de Defesa (DoD). ). Além de autenticar usuários no nível do sistema (ou seja, no logon),
as organizações podem empregar mecanismos de autenticação no nível do aplicativo, a seu critério, para fornecer
maior segurança. Independentemente do tipo de acesso (ou seja, local, rede, remoto), as contas privilegiadas
são autenticadas usando opções multifatoriais apropriadas ao nível de risco. As organizações podem
adicionar medidas de segurança adicionais, tais como mecanismos de autenticação adicionais ou mais rigorosos,
para tipos específicos de acesso.
(2) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | MULTIFATOR

AUTENTICAÇÃO PARA CONTAS NÃO PRIVILEGIADAS

e
g
_________________________________________________________________________________________________
pe
E Implemente a autenticação multifator para acesso a contas não privilegiadas.
Discussão: A autenticação multifator requer o uso de dois ou mais fatores diferentes para obter a
autenticação. Os fatores de autenticação são definidos da seguinte forma: algo que você conhece
(por exemplo, um número de identificação pessoal [PIN]), algo que você possui (por exemplo, um
autenticador físico, como uma chave criptográfica privada) ou algo que você é (por exemplo, um biométrico). .
As soluções de autenticação multifatorial que apresentam autenticadores físicos incluem autenticadores
de hardware que fornecem saídas baseadas em tempo ou de resposta a desafios e cartões inteligentes,
como o cartão de verificação de identidade pessoal do governo dos EUA ou o cartão de acesso comum do DoD.
Além de autenticar usuários no nível do sistema, as organizações também podem empregar
mecanismos de autenticação no nível da aplicação, a seu critério, para fornecer maior segurança da
informação. Independentemente do tipo de acesso (ou seja, local, rede, remoto), as contas não
privilegiadas são autenticadas usando opções multifatoriais apropriadas ao nível de risco. As
organizações podem fornecer medidas de segurança adicionais, tais como mecanismos de
autenticação adicionais ou mais rigorosos, para tipos específicos de acesso.
(3) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO LOCAL A PRIVILEGIADOS

CONTAS
[Retirado: Incorporado em IA-2(1).]
(4) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO LOCAL A NÃO

CONTAS PRIVILEGIADAS
(5) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | AUTENTICAÇÃO INDIVIDUAL

COM AUTENTICAÇÃO DE GRUPO
Quando contas ou autenticadores compartilhados forem empregados, exija que os usuários

sejam autenticados individualmente antes de conceder acesso às contas ou recursos compartilhados.
Discussão: A autenticação individual antes da autenticação de grupo compartilhada reduz o risco de
usar contas de grupo ou autenticadores.
(6) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO ÀS CONTAS —

DISPOSITIVO SEPARADO
Implementar autenticação multifator para [Seleção (um ou mais): local; rede; remoto]
acesso a [Seleção (uma ou mais): contas privilegiadas; contas não privilegiadas] tais que:
(a) Um dos fatores é fornecido por um dispositivo separado do sistema que obtém acesso;
e
(b) O dispositivo atende [Atribuição: requisitos de força do mecanismo definidos pela

organização].
Discussão: O objetivo de exigir um dispositivo separado do sistema ao qual o usuário está tentando
obter acesso para um dos fatores durante a autenticação multifator é reduzir a probabilidade de
comprometer autenticadores ou credenciais armazenadas no sistema. Os adversários podem
comprometer esses autenticadores ou credenciais e subsequentemente se passar por usuários
autorizados. A implementação de um dos fatores em um dispositivo separado (por exemplo, um token
de hardware) proporciona uma maior resistência do mecanismo e um maior nível de garantia no
processo de autenticação.

e
g
_________________________________________________________________________________________________
pe
E (7) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO À REDE PARA NÃO
CONTAS PRIVILEGIADAS — DISPOSITIVO SEPARADO
(8) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO ÀS CONTAS —

RESISTENTE À REPRODUÇÃO
Implementar mecanismos de autenticação resistentes à repetição para acesso a [Seleção (uma ou

mais): contas privilegiadas; contas não privilegiadas].
Discussão: Os processos de autenticação resistem a ataques de repetição se for impraticável obter
autenticações bem-sucedidas repetindo mensagens de autenticação anteriores. As técnicas resistentes à
repetição incluem protocolos que usam nonces ou desafios, como autenticadores criptográficos ou
síncronos no tempo.
(9) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO À REDE PARA NÃO

CONTAS PRIVILEGIADAS — RESISTENTES A REPLAY
(10)IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | LOGIN ÚNICO
Forneça um recurso de logon único para [Atribuição: contas e serviços do sistema definidos pela
organização].
Discussão: O logon único permite que os usuários façam login uma vez e obtenham acesso a vários
recursos do sistema. As organizações consideram as eficiências operacionais fornecidas pelos recursos
de logon único com o risco introduzido ao permitir o acesso a vários sistemas por meio de um único
evento de autenticação. O logon único pode apresentar oportunidades para melhorar a segurança do
sistema, por exemplo, fornecendo a capacidade de adicionar autenticação multifator para aplicativos e
sistemas (existentes e novos) que podem não ser capazes de suportar nativamente a
autenticação multifator.
(11)IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACESSO REMOTO — SEPARADO

DISPOSITIVO
(12)IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | ACEITAÇÃO DE PIV

CREDENCIAIS
Aceite e verifique eletronicamente as credenciais compatíveis com a Verificação de Identidade Pessoal.

Discussão: A aceitação de credenciais compatíveis com verificação de identidade pessoal (PIV) aplica-se a
organizações que implementam sistemas de controle de acesso lógico e de controle de acesso físico.
Credenciais compatíveis com PIV são aquelas emitidas por agências federais que estão em conformidade
com a Publicação FIPS 201 e documentos de orientação de apoio. A adequação e confiabilidade dos emissores
de cartões PIV são autorizadas através da [SP 800-79-2]. A aceitação de credenciais compatíveis com
PIV inclui credenciais PIV derivadas, cujo uso é abordado em [SP 800-166]. O DOD Common Access
Card (CAC) é um exemplo de credencial PIV.
(13)IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS ORGANIZACIONAIS) | FORA DA BANDA

AUTENTICAÇÃO
Implemente os seguintes mecanismos de autenticação fora de banda em [Atribuição: condições

definidas pela organização]: [Atribuição: autenticação fora de banda definida pela
organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: A autenticação fora de banda refere-se ao uso de dois caminhos de comunicação separados
para identificar e autenticar usuários ou dispositivos em um sistema de informação. O primeiro caminho (ou
seja, o caminho dentro da banda) é usado para identificar e autenticar usuários ou dispositivos e geralmente é
o caminho pelo qual as informações fluem. O segundo caminho (ou seja, o caminho fora de banda) é usado
para verificar independentemente a autenticação e/ou ação solicitada. Por exemplo, um usuário se autentica
através de um notebook em um servidor remoto ao qual o usuário deseja acessar e solicita alguma ação do
servidor através desse caminho de comunicação. Posteriormente, o servidor entra em contato com o usuário
através do celular do usuário para verificar se a ação solicitada foi originada pelo usuário. O usuário pode
confirmar a ação pretendida a um indivíduo por telefone ou fornecer um código de autenticação por telefone.
A autenticação fora de banda pode ser usada para mitigar ataques “man-in-the-middle” reais ou suspeitos. As
condições ou critérios de ativação incluem atividades suspeitas, novos indicadores de ameaça, níveis elevados
de ameaça ou o impacto ou nível de classificação das informações nas transações solicitadas.
Controles Relacionados: IA-10, IA-11, SC-37.
References: [FIPS 140-3], [FIPS 201-2], [FIPS 202], [SP 800-63-3], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4], [SP
800-79-2], [SP 800-156], [SP 800-166], [IR 7539], [IR 7676], [IR 7817], [IR 7849], [IR 7870], [IR 7874], [IR 7966].
IDENTIFICAÇÃO E AUTENTICAÇÃO DO DISPOSITIVO IA-3
Controle: Identificar e autenticar exclusivamente [Atribuição: dispositivos e/ ou tipos de dispositivos definidos pela
organização] antes de estabelecer uma [Seleção (um ou mais): local; controlo remoto; conexão de rede .
Discussão: Os dispositivos que exigem identificação e autenticação exclusivas entre dispositivos são definidos por
tipo, dispositivo ou uma combinação de tipo e dispositivo. Os tipos de dispositivos definidos pela organização incluem
dispositivos que não pertencem à organização. Os sistemas usam informações conhecidas compartilhadas (por
exemplo, controle de acesso à mídia [MAC], endereços de protocolo de controle de transmissão/protocolo de
Internet [TCP/IP]) para identificação de dispositivos ou soluções de autenticação organizacional (por exemplo,
Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) 802.1x e Extensible Authentication Protocol [EAP], servidor
RADIUS com autenticação EAP-Transport Layer Security [TLS], Kerberos) para identificar e autenticar dispositivos
em redes locais e de longa distância. As organizações determinam a força necessária dos mecanismos de
autenticação com base nas categorias de segurança dos sistemas e na missão
ou requisitos de negócios. Devido aos desafios de implementar a autenticação de dispositivos em grande escala, as
organizações podem restringir a aplicação do controle a um número/tipo limitado de dispositivos com base na
missão ou nas necessidades comerciais.
Controles Relacionados: AC-17, AC-18, AC-19, AU-6, CA-3, CA-9, IA-4, IA-5, IA-9, IA-11, SI-4.
(1) IDENTIFICAÇÃO E AUTENTICAÇÃO DO DISPOSITIVO | AUTENTICAÇÃO BIDIRECIONAL CRIPTOGRÁFICA

Autenticar [Atribuição: dispositivos e/ ou tipos de dispositivos definidos pela organização] antes de
estabelecer [Seleção (um ou mais): local; controlo remoto; rede] usando autenticação
bidirecional baseada em criptografia.
Discussão: Uma conexão local é uma conexão com um dispositivo que se comunica sem o uso de rede. Uma
conexão de rede é uma conexão com um dispositivo que se comunica por meio de uma rede. Uma conexão
remota é uma conexão com um dispositivo que se comunica
através de uma rede externa. A autenticação bidirecional fornece proteção mais forte para validar a identidade
de outros dispositivos para conexões de maior risco.
(2) IDENTIFICAÇÃO E AUTENTICAÇÃO DO DISPOSITIVO | REDE CRIPTOGRÁFICA BIDIRECIONAL

AUTENTICAÇÃO

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado em IA-3(1).]
(3) IDENTIFICAÇÃO E AUTENTICAÇÃO DO DISPOSITIVO | ALOCAÇÃO DINÂMICA DE ENDEREÇOS
(a) Quando os endereços são alocados dinamicamente, padronizar as informações de locação de alocação
dinâmica de endereços e a duração da locação atribuída aos dispositivos de acordo com
[Atribuição: informações de arrendamento definidas pela organização e duração do arrendamento]; e
(b) Auditar informações de locação quando atribuídas a um dispositivo.
Discussão: O Dynamic Host Configuration Protocol (DHCP) é um exemplo de meio pelo qual os clientes podem
receber atribuições de endereços de rede dinamicamente.
(4) IDENTIFICAÇÃO E AUTENTICAÇÃO DO DISPOSITIVO | ATESTADO DO DISPOSITIVO
Lidar com a identificação e autenticação do dispositivo com base no atestado de [Atribuição: processo de
gerenciamento de configuração definido pela organização].
Discussão: O atestado de dispositivo refere-se à identificação e autenticação de um dispositivo com base em sua
configuração e estado operacional conhecido. O atestado do dispositivo pode ser determinado através de um hash
criptográfico do dispositivo. Se o atestado do dispositivo for o meio de identificação e autenticação, então é importante
que os patches e atualizações do dispositivo sejam tratados por meio de um processo de gerenciamento de configuração,
de modo que os patches e atualizações sejam feitos de forma segura e não interrompam a identificação e a
autenticação de outros dispositivos.
Controles relacionados: CM-2, CM-3, CM-6.
GESTÃO DE IDENTIFICADOR IA-4
Controle: Gerencie identificadores do sistema:
a. Receber autorização de [Atribuição: pessoal ou funções definidas pela organização] para atribuir
um identificador de indivíduo, grupo, função, serviço ou dispositivo;
b. Selecionar um identificador que identifique um indivíduo, grupo, função, serviço ou dispositivo;
c. Atribuir o identificador ao indivíduo, grupo, função, serviço ou dispositivo pretendido; e
d. Impedir a reutilização de identificadores para [Atribuição: período de tempo definido pela organização].
Discussão: Os identificadores de dispositivos comuns incluem endereços de Controle de Acesso à Mídia (MAC), endereços
de Protocolo de Internet (IP) ou identificadores de token exclusivos do dispositivo. A gestão de identificadores
individuais não é aplicável a contas de sistemas partilhados. Normalmente, os identificadores individuais são os nomes de
usuário das contas do sistema atribuídas a esses indivíduos. Nesses casos, as atividades de gerenciamento de contas do
AC-2 utilizam nomes de contas fornecidos pelo IA-4. O gerenciamento de identificadores também aborda identificadores
individuais não necessariamente associados às contas do sistema. Impedir a reutilização de identificadores implica impedir a
atribuição de identificadores de indivíduo, grupo, função, serviço ou dispositivo usados anteriormente a diferentes indivíduos,
grupos, funções, serviços ou dispositivos.
Controles relacionados: AC-5, IA-2, IA-3, IA-5, IA-8, IA-9, IA-12, MA-4, PE-2, PE-3, PE-4, PL-4 , PM-12, PS -3, PS-4, PS-5,
SC-37.
(1) GESTÃO DE IDENTIFICADORES | PROIBIR IDENTIFICADORES DE CONTA COMO IDENTIFICADORES PÚBLICOS
Proibir o uso de identificadores de conta do sistema que sejam iguais aos identificadores públicos de contas
individuais.
Discussão: A proibição de identificadores de conta como identificadores públicos aplica-se a qualquer

identificador de conta divulgado publicamente e usado para comunicação, como correio eletrônico e mensagens instantâneas.

e
g
_________________________________________________________________________________________________
pe
E Mensagens. Proibir o uso de identificadores de conta de sistema que sejam iguais a algum identificador público,
como a seção de identificador individual de um endereço de correio eletrônico, torna mais difícil para os adversários
adivinharem os identificadores de usuário. Proibir identificadores de contas como identificadores públicos sem a
implementação de outros controles de apoio apenas complica a adivinhação dos identificadores. Proteções adicionais
são necessárias para autenticadores e credenciais
para proteger a conta.
Controles relacionados: AT-2, PT-7.
(2) GESTÃO DE IDENTIFICADORES | AUTORIZAÇÃO DO SUPERVISOR
(3) GESTÃO DE IDENTIFICADORES | MÚLTIPLAS FORMAS DE CERTIFICAÇÃO
(4) GESTÃO DE IDENTIFICADORES | IDENTIFICAR O STATUS DO USUÁRIO
Gerencie identificadores individuais identificando exclusivamente cada indivíduo como [Atribuição:

característica definida pela organização que identifica o status individual].
Discussão: As características que identificam o estatuto dos indivíduos incluem prestadores de serviços, cidadãos
estrangeiros e utilizadores não organizacionais. A identificação do status dos indivíduos por meio dessas
características fornece informações adicionais sobre as pessoas com quem o pessoal da organização está se
comunicando. Por exemplo, pode ser útil para um funcionário público saber que um dos indivíduos em uma
mensagem de e-mail é um prestador de serviços.
(5) GESTÃO DE IDENTIFICADORES | GESTÃO DINÂMICA
Gerencie identificadores individuais dinamicamente de acordo com [Atribuição: política de identificador

dinâmico definida pela organização].
Discussão: Em contraste com abordagens convencionais de identificação que presumem contas estáticas para
usuários pré-registrados, muitos sistemas distribuídos estabelecem identificadores em tempo de execução para
entidades que eram anteriormente desconhecidas. Quando os identificadores são estabelecidos em tempo de
execução para entidades anteriormente desconhecidas, as organizações podem antecipar e prever o
estabelecimento dinâmico de identificadores. São essenciais relações de confiança pré-estabelecidas e
mecanismos com autoridades apropriadas para validar credenciais e identificadores relacionados.
(6) GESTÃO DE IDENTIFICADORES | GESTÃO TRANSVERSAL DE ORGANIZAÇÕES
Coordenar com as seguintes organizações externas o gerenciamento de identificadores entre organizações:

[Atribuição: organizações externas definidas pela organização].
Discussão: O gerenciamento de identificadores entre organizações fornece a capacidade de identificar indivíduos,

grupos, funções ou dispositivos ao conduzir atividades entre organizações que envolvem processamento,
armazenamento ou transmissão de informações.
Controles Relacionados: AU-16, IA-2, IA-5.
(7) GESTÃO DE IDENTIFICADORES | INSCRIÇÃO PRESENCIAL
(8) GESTÃO DE IDENTIFICADORES | IDENTIFICADORES PSEUDÔNIMOS DE PARES
Gere identificadores pseudônimos em pares.
Discussão: Um identificador pseudônimo de pares é um identificador de assinante opaco e indecifrável gerado

por um provedor de identidade para uso em uma parte confiável individual específica.
A geração de identificadores pseudônimos distintos em pares, sem informações de identificação sobre um assinante,
desencoraja o rastreamento e o perfil da atividade do assinante além do operacional

e
g
_________________________________________________________________________________________________
pe
E requisitos estabelecidos por uma organização. Os identificadores pseudônimos de pares são exclusivos para cada parte
confiável, exceto em situações em que as partes confiantes possam mostrar um relacionamento demonstrável
que justifique uma necessidade operacional de correlação, ou todas as partes consintam em serem correlacionadas
dessa maneira.
(9) GESTÃO DE IDENTIFICADORES | MANUTENÇÃO E PROTEÇÃO DE ATRIBUTOS

Mantenha os atributos para cada indivíduo, dispositivo ou serviço identificado exclusivamente em
[Atribuição: armazenamento central protegido definido pela organização].
Discussão: Para cada uma das entidades cobertas em IA-2, IA-3, IA-8 e IA-9, é importante manter os atributos de cada
entidade autenticada continuamente em um armazenamento central (protegido).
Referências: [FIPS 201-2], [SP 800-63-3], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4].
GERENCIAMENTO DO AUTENTICADOR IA-5

Controle: Gerencie autenticadores do sistema:
a. Verificar, como parte da distribuição inicial do autenticador, a identidade do indivíduo,

grupo, função, serviço ou dispositivo que recebe o autenticador;
b. Estabelecer o conteúdo inicial do autenticador para quaisquer autenticadores emitidos pela organização;
c. Garantir que os autenticadores tenham mecanismo suficiente para o uso pretendido;
d. Estabelecer e implementar procedimentos administrativos para distribuição inicial de autenticadores, para

autenticadores perdidos, comprometidos ou danificados e para revogar autenticadores;
e. Alterar autenticadores padrão antes do primeiro uso;
f. Alterar ou atualizar autenticadores [Atribuição: período de tempo definido pela organização por tipo de autenticador] ou
quando [Atribuição: eventos definidos pela organização] ocorrer;
g. Proteger o conteúdo do autenticador contra divulgação e modificação não autorizada;
h. Exigir que os indivíduos assumam, e que os dispositivos implementem, controles específicos para proteger os autenticadores;
e
eu. Alterar autenticadores para contas de grupo ou de função ao ser membro dessas contas
mudanças.
Discussão: Os autenticadores incluem senhas, dispositivos criptográficos, biometria, certificados, dispositivos de senha de uso
único e crachás de identificação. Os autenticadores de dispositivos incluem certificados e senhas. O conteúdo inicial do
autenticador é o conteúdo real do autenticador (por exemplo, a senha inicial). Em contrapartida, os requisitos para o conteúdo do
autenticador contêm critérios ou características específicas (por exemplo, comprimento mínimo da senha). Os desenvolvedores
podem fornecer componentes do sistema com credenciais de autenticação padrão de fábrica (ou seja, senhas) para permitir a
instalação e configuração iniciais. As credenciais de autenticação padrão costumam ser bem conhecidas, facilmente detectáveis
e apresentam um risco significativo. O requisito de proteção de autenticadores individuais pode ser implementado através do
controle PL-4 ou PS-6 para autenticadores em posse de indivíduos e pelos controles AC-3, AC-6 e SC-28 para autenticadores
armazenados em sistemas organizacionais, incluindo
senhas armazenadas em formatos criptografados ou com hash ou arquivos contendo senhas criptografadas ou com hash
acessíveis com privilégios de administrador.
Os sistemas suportam o gerenciamento do autenticador por meio de configurações e restrições definidas pela organização para
diversas características do autenticador (por exemplo, comprimento mínimo da senha, janela de tempo de validação para

e
g
_________________________________________________________________________________________________
pe
E tokens únicos síncronos no tempo e número de rejeições permitidas durante o estágio de verificação da autenticação
biométrica). Ações podem ser tomadas para proteger autenticadores individuais,
incluindo manter a posse de autenticadores, não compartilhar autenticadores com outras pessoas e relatar imediatamente
autenticadores perdidos, roubados ou comprometidos. O gerenciamento de autenticadores inclui a emissão e revogação de
autenticadores para acesso temporário quando não forem mais necessários.
Controles relacionados: AC-3, AC-6, CM-6, IA-2, IA-4, IA-7, IA-8, IA-9, MA-4, PE-2, PL-4, SC-12 , SC-13.
(1) GESTÃO DE AUTENTICADOR | AUTENTICAÇÃO BASEADA EM SENHA
Para autenticação baseada em senha:
(a) Manter uma lista de senhas comumente usadas, esperadas ou comprometidas e atualizar a lista [Atribuição:
frequência definida pela organização] e quando houver suspeita de que as senhas organizacionais
tenham sido comprometidas direta ou indiretamente;
(b) Verificar, quando os usuários criam ou atualizam senhas, se as senhas não são encontradas na lista de
senhas comumente usadas, esperadas ou comprometidas em IA-5(1)(a);
(c) Transmitir senhas somente através de canais protegidos criptograficamente;
(d) Armazene senhas usando uma função aprovada de derivação de chave salgada, preferencialmente usando um
hash com chave;
(e) Exigir a seleção imediata de uma nova senha após a recuperação da conta;
(f) Permitir ao usuário a seleção de senhas e frases secretas longas, incluindo espaços e todos os
caracteres imprimíveis;
(g) Empregar ferramentas automatizadas para auxiliar o usuário na seleção de autenticadores

de senhas fortes; e
(h) Aplicar as seguintes regras de composição e complexidade: [Atribuição: organização-

regras de composição e complexidade definidas].
Discussão: A autenticação baseada em senha se aplica a senhas independentemente de serem usadas na autenticação
de fator único ou multifator. Senhas longas ou senhas são preferíveis a senhas mais curtas. As regras de composição
impostas proporcionam benefícios marginais de segurança, ao mesmo tempo que diminuem a usabilidade. Contudo,
as organizações podem optar por estabelecer certas regras para geração de senhas (por exemplo, comprimento
mínimo de caracteres para senhas longas) sob certas circunstâncias e podem impor este requisito na IA-5(1)(h). A
recuperação de conta pode ocorrer, por exemplo, em situações de esquecimento de uma senha. As senhas protegidas
criptograficamente incluem hashes criptográficos de senhas unidirecionais com sal. A lista de comumente
senhas usadas, comprometidas ou esperadas incluem senhas obtidas de corpus de violações anteriores, palavras
de dicionário e caracteres repetitivos ou sequenciais. A lista inclui
palavras específicas do contexto, como o nome do serviço, nome de usuário e seus derivados.
(2) GESTÃO DE AUTENTICADOR | AUTENTICAÇÃO BASEADA EM CHAVE PÚBLICA
(a) Para autenticação baseada em chave pública:
(1) Aplicar o acesso autorizado à chave privada correspondente; e
(2) Mapear a identidade autenticada para a conta do indivíduo ou grupo; e
(b) Quando for utilizada infraestrutura de chave pública (PKI):
(1) Validar certificados construindo e verificando um caminho de certificação para uma âncora de
confiança aceita, incluindo a verificação de informações sobre o status do certificado; e
(2) Implementar um cache local de dados de revogação para apoiar a descoberta de caminhos e
validação.

e
g
_________________________________________________________________________________________________
pe
E Discussão: A criptografia de chave pública é um mecanismo de autenticação válido para indivíduos, máquinas e
dispositivos. Para soluções PKI, as informações de status dos caminhos de certificação incluem
listas de revogação de certificados ou respostas de protocolo de status de certificado. Para cartões PIV, a validação do
certificado envolve a construção e verificação de um caminho de certificação para a âncora de confiança Common Policy
Root, que inclui o processamento da política de certificados. A implementação de um cache local de dados de revogação
para dar suporte à descoberta e validação de caminhos também oferece suporte à disponibilidade do sistema em
situações em que as organizações não conseguem acessar informações de revogação através da rede.
Controles Relacionados: IA-3, SC-17.
(3) GESTÃO DE AUTENTICADOR | REGISTRO PRESENCIAL OU DE PARTE EXTERNA DE CONFIANÇA [Retirado:
Incorporado em IA-12(4).]
(4) GESTÃO DO AUTENTICADOR | SUPORTE AUTOMATIZADO PARA FORÇA DE SENHA

DETERMINAÇÃO
(5) GESTÃO DE AUTENTICADOR | TROCAR AUTENTICADORES ANTES DA ENTREGA
Exija que os desenvolvedores e instaladores de componentes do sistema forneçam autenticadores exclusivos ou

alterem os autenticadores padrão antes da entrega e instalação.
Discussão: A alteração dos autenticadores antes da entrega e instalação dos componentes do sistema amplia o
requisito para as organizações alterarem os autenticadores padrão na instalação do sistema, exigindo que os
desenvolvedores e/ou instaladores forneçam autenticadores exclusivos ou alterem os autenticadores padrão para
componentes do sistema antes da entrega e/ou instalação . No entanto, normalmente não se aplica a desenvolvedores
de produtos comerciais de tecnologia da informação prontos para uso. Os requisitos para autenticadores exclusivos podem
ser incluídos em documentos de aquisição preparados pelas organizações ao adquirir sistemas ou componentes de
sistema.
(6) GESTÃO DE AUTENTICADOR | PROTEÇÃO DE AUTENTICADORES
Proteja os autenticadores de acordo com a categoria de segurança das informações às quais o uso do
autenticador permite acesso.
Discussão: Para sistemas que contêm múltiplas categorias de segurança de informações sem separação física ou lógica
confiável entre categorias, os autenticadores usados para conceder acesso aos sistemas são protegidos
proporcionalmente à mais alta categoria de segurança de informações nos sistemas. As categorias de segurança das
informações são determinadas como parte do processo de categorização de segurança.
(7) GESTÃO DE AUTENTICADOR | SEM AUTENTICADORES ESTÁTICOS NÃO CRIPTOGRAFADOS INCORPORADOS
Certifique-se de que autenticadores estáticos não criptografados não estejam incorporados em aplicativos ou outras
formas de armazenamento estático.
Discussão: Além dos aplicativos, outras formas de armazenamento estático incluem scripts de acesso e teclas de função.
As organizações têm cautela ao determinar se os autenticadores incorporados ou armazenados estão em formato criptografado
ou não criptografado. Se os autenticadores forem usados da maneira armazenada, essas representações serão
consideradas autenticadores não criptografados.
(8) GESTÃO DE AUTENTICADOR | MÚLTIPLAS CONTAS DE SISTEMA
Implemente [Atribuição: controles de segurança definidos pela organização] para gerenciar o risco de
comprometimento devido a indivíduos terem contas em vários sistemas.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Quando indivíduos têm contas em vários sistemas e usam os mesmos autenticadores, como
senhas, existe o risco de que o comprometimento de uma conta possa levar ao comprometimento de outras contas.
Abordagens alternativas incluem ter diferentes autenticadores (senhas) em todos os sistemas, empregar um logon
único ou mecanismo de federação, ou usar alguma forma de senhas de uso único em todos os sistemas. As
organizações também podem usar regras de comportamento (ver PL-4) e acordos de acesso (ver PS-6) para mitigar
o risco de múltiplas contas de sistema.
Controles relacionados: PS-6.
(9) GESTÃO DE AUTENTICADOR | GESTÃO DE CREDENCIAIS FEDERADA
Use as seguintes organizações externas para federar credenciais: [Atribuição: organizações

externas definidas pela organização].
Discussão: A Federação fornece às organizações a capacidade de autenticar indivíduos e dispositivos ao conduzir

atividades interorganizacionais que envolvam processamento, armazenamento ou transmissão de informações. Usar
uma lista específica de organizações externas aprovadas para autenticação ajuda a garantir que essas organizações
sejam avaliadas e confiáveis.
Controles Relacionados: AU-7, AU-16.
(10) GESTÃO DE AUTENTICADOR | VINCULAÇÃO DE CREDENCIAIS DINÂMICA
Vincule identidades e autenticadores dinamicamente usando as seguintes regras: [Atribuição: regras de

ligação definidas pela organização].
Discussão: A autenticação requer alguma forma de ligação entre uma identidade e o autenticador que é usado
para confirmar a identidade. Nas abordagens convencionais, a ligação é estabelecida pelo pré-provisionamento da
identidade e do autenticador ao sistema. Por exemplo, a ligação entre um nome de usuário (isto é, identidade) e uma
senha (isto é, autenticador) é realizada fornecendo a identidade e o autenticador como um par no sistema. Novas técnicas
de autenticação permitem que a ligação entre a identidade e o autenticador seja implementada externamente a um
sistema. Por exemplo, com credenciais de cartão inteligente, a identidade e o autenticador estão vinculados no cartão
inteligente. Usando essas credenciais, os sistemas podem autenticar identidades que não foram pré-provisionadas,
provisionando dinamicamente a identidade após a autenticação. Nessas situações, as organizações podem antecipar
o provisionamento dinâmico de identidades. São essenciais relações de confiança pré-estabelecidas e mecanismos com
autoridades apropriadas para validar identidades e credenciais relacionadas.
Controles Relacionados: AU-16, IA-5.
(11) GESTÃO DE AUTENTICADOR | AUTENTICAÇÃO BASEADA EM TOKEN DE HARDWARE
[Retirado: Incorporado em IA-2(1) e IA-2(2).]
(12) GESTÃO DE AUTENTICADOR | DESEMPENHO DE AUTENTICAÇÃO BIOMÉTRICA
Para autenticação baseada em biometria, empregue mecanismos que satisfaçam os seguintes

requisitos de qualidade biométrica [Atribuição: requisitos de qualidade biométrica definidos pela
organização].
Discussão: Ao contrário da autenticação baseada em senha, que fornece correspondências exatas de senhas
inseridas pelo usuário com senhas armazenadas, a autenticação biométrica não fornece correspondências
exatas. Dependendo do tipo de biometria e do tipo de mecanismo de coleta, é provável que haja alguma divergência
entre a biometria apresentada e a biométrica armazenada que
serve de base para comparação. O desempenho de correspondência é a taxa na qual um algoritmo biométrico resulta
corretamente em uma correspondência para um usuário genuíno e rejeita outros usuários. Os requisitos de
desempenho biométrico incluem a taxa de correspondência, que reflete a precisão do algoritmo de
correspondência biométrica usado por um sistema.

e
g
_________________________________________________________________________________________________
pe
E (13) GESTÃO DE AUTENTICADOR | EXPIRAÇÃO DE AUTENTICADORES EM CACHORRO
Proibir o uso de autenticadores em cache após [Atribuição: horário definido pela organização
período].
Discussão: Autenticadores armazenados em cache são usados para autenticar na máquina local quando a rede não está
disponível. Se as informações de autenticação armazenadas em cache estiverem desatualizadas, a validade das informações
de autenticação poderá ser questionável.
(14) GESTÃO DE AUTENTICADOR | GERENCIAMENTO DE CONTEÚDO DE PKI TRUST STORES
Para autenticação baseada em PKI, empregue uma metodologia em toda a organização para gerenciar o conteúdo de
armazenamentos confiáveis de PKI instalados em todas as plataformas, incluindo redes, sistemas operacionais,
navegadores e aplicativos.
Discussão: Uma metodologia em toda a organização para gerenciar o conteúdo de armazenamentos confiáveis de PKI ajuda
a melhorar a precisão e a atualidade das credenciais de autenticação baseadas em PKI em toda a organização.
(15) GESTÃO DE AUTENTICADOR | PRODUTOS E SERVIÇOS APROVADOS PELA GSA
Use apenas produtos e serviços aprovados pela Administração de Serviços Gerais para gerenciamento de
identidade, credenciais e acesso.
Discussão: Os produtos e serviços aprovados pela Administração de Serviços Gerais (GSA) são
produtos e serviços que foram aprovados através do programa de conformidade GSA, quando aplicável, e publicados na
Lista de Produtos Aprovados pela GSA. A GSA fornece orientação para que as equipes projetem e construam sistemas
funcionais e seguros que cumpram as políticas, tecnologias e padrões de implementação do Federal Identity, Credential, and
Access Management (FICAM).
(16) GESTÃO DE AUTENTICADOR | AUTENTICADOR DE PARTE EXTERNA PESSOAL OU CONFIÁVEL

EMISSÃO
Exigir que a emissão de [Atribuição: tipos de autenticadores específicos e/ ou definidos pela organização] seja
realizada [Seleção: pessoalmente; por uma parte externa confiável] antes de [Atribuição: autoridade de registro
definida pela organização] com autorização de [Atribuição: pessoal ou funções definidas pela
organização].
Discussão: A emissão de autenticadores pessoalmente ou por uma parte externa confiável aumenta e reforça a
confiabilidade do processo de prova de identidade.
(17) GESTÃO DE AUTENTICADOR | APRESENTAÇÃO DETECÇÃO DE ATAQUE PARA BIOMÉTRICA

AUTENTICADORES
Empregue mecanismos de detecção de ataques de apresentação para autenticação baseada em biometria.
Discussão: As características biométricas não constituem segredos. Tais características podem ser
obtida por meio de acessos on-line à web, tirar foto de alguém com uma câmera de celular para obter imagens faciais
com ou sem o seu conhecimento, levantar objetos que alguém tocou (por exemplo, uma impressão digital latente) ou capturar
uma imagem de alta resolução (por exemplo, um padrão de íris). Tecnologias de detecção de ataques de
apresentação, incluindo detecção de vivacidade, podem mitigar o risco desses tipos de ataques, dificultando a
produção de artefatos destinados a anular o sensor biométrico.
(18) GESTÃO DE AUTENTICADOR | GERENTES DE SENHAS

e
g
_________________________________________________________________________________________________
pe
E (a) Empregar [Tarefa: gerenciadores de senhas definidos pela organização] para gerar e gerenciar senhas; e
(b) Proteja as senhas usando [Atribuição: controles definidos pela organização].
Discussão: Para sistemas onde são empregadas senhas estáticas, muitas vezes é um desafio garantir que as senhas
sejam adequadamente complexas e que as mesmas senhas não sejam empregadas em vários sistemas. Um
gerenciador de senhas é uma solução para esse problema, pois gera e armazena automaticamente senhas fortes e
diferentes para diversas contas. Um risco potencial do uso de gerenciadores de senhas é que os adversários podem ter
como alvo a coleção de senhas geradas pelo gerenciador de senhas. Portanto, a coleta de senhas requer proteção,
incluindo a criptografia das senhas (ver IA-5(1)(d)) e o armazenamento da coleta off-line em um token.
Referências: [FIPS 140-3], [FIPS 180-4], [FIPS 201-2], [FIPS 202], [SP 800-63-3], [SP 800-73-4], [SP 800- 76-2], [SP 800-78-4], [IR
7539], [IR 7817], [IR 7849], [IR 7870], [IR 8040].
FEEDBACK DE AUTENTICAÇÃO IA-6
Controle: Feedback obscuro das informações de autenticação durante o processo de autenticação para proteger as informações
de uma possível exploração e uso por indivíduos não autorizados.
Discussão: O feedback de autenticação dos sistemas não fornece informações que permitam que indivíduos não autorizados
comprometam os mecanismos de autenticação. Para alguns tipos de sistemas, como desktops ou notebooks com monitores
relativamente grandes, a ameaça (conhecida como navegação no ombro) pode ser significativa. Para outros tipos de sistemas,
como dispositivos móveis com telas pequenas, a ameaça pode ser menos significativa e é equilibrada com a maior
probabilidade de erros de entrada tipográfica devido a teclados pequenos. Assim, os meios para obscurecer a autenticação
o feedback é selecionado de acordo. Ocultar o feedback de autenticação inclui a exibição de asteriscos quando os usuários digitam
senhas em dispositivos de entrada ou a exibição de feedback por um tempo muito limitado antes de ocultá-lo.
AUTENTICAÇÃO DO MÓDULO CRIPTOGRÁFICO IA-7
Controle: Implementar mecanismos de autenticação para um módulo criptográfico que atendam aos requisitos das leis, ordens
executivas, diretivas, políticas, regulamentos, padrões e diretrizes aplicáveis para tal autenticação.
Discussão: Mecanismos de autenticação podem ser necessários dentro de um módulo criptográfico para autenticar um
operador que acessa o módulo e para verificar se o operador está autorizado a assumir a função solicitada e executar serviços
dentro dessa função.
Controles Relacionados: AC-3, IA-5, SA-4, SC-12, SC-13.
Referências: [FIPS 140-3].
IA-8 IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS)
Controle: identifique e autentique exclusivamente usuários ou processos não organizacionais que atuem em nome de usuários
não organizacionais.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Os utilizadores não organizacionais incluem utilizadores do sistema que não sejam utilizadores organizacionais
explicitamente abrangidos pela IA-2. Os usuários não organizacionais são identificados e autenticados exclusivamente para acessos
diferentes daqueles explicitamente identificados e documentados no AC-14. A identificação e autenticação de usuários não
organizacionais que acessam sistemas federais podem ser necessárias para proteger informações federais, proprietárias ou
relacionadas à privacidade (com exceções observadas para sistemas de segurança nacional). As organizações consideram muitos
fatores – incluindo segurança, privacidade, escalabilidade e praticidade – ao equilibrar a necessidade de garantir facilidade
de uso para acesso a informações e sistemas federais com a necessidade de proteger e mitigar adequadamente os riscos.
Controles relacionados: AC-2, AC-6, AC-14, AC-17, AC-18, AU-6, IA-2, IA -4, IA-5, IA - 10, IA-11, MA-4 , RA- 3, SA-4, SC-8.
(1) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | ACEITAÇÃO DE PIV

CREDENCIAIS DE OUTRAS AGÊNCIAS
Aceite e verifique eletronicamente as credenciais compatíveis com a Verificação de Identidade Pessoal de outras
agências federais.
Discussão: A aceitação de credenciais de Verificação de Identidade Pessoal (PIV) de outras agências federais aplica-se a
sistemas de controle de acesso lógico e físico. Credenciais PIV são aquelas emitidas por agências federais que estão
em conformidade com a publicação FIPS 201 e com as diretrizes de apoio. A adequação e confiabilidade dos
emissores de cartões PIV são abordadas e autorizadas usando [SP 800-79-2].
(2) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | ACEITAÇÃO DE EXTERNO

AUTENTICADORES
(a) Aceitar apenas autenticadores externos compatíveis com NIST; e
(b) Documentar e manter uma lista de autenticadores externos aceitos.
Discussão: A aceitação apenas de autenticadores externos compatíveis com o NIST aplica-se a sistemas
organizacionais que são acessíveis ao público (por exemplo, sites voltados ao público).
Os autenticadores externos são emitidos por entidades governamentais não federais e estão em conformidade com [SP
800-63B]. Os autenticadores externos aprovados atendem ou excedem os requisitos técnicos, de segurança, de privacidade
e de maturidade organizacional mínimos do Governo Federal.
Atender ou exceder os requisitos federais permite que as partes confiáveis do Governo Federal confiem em autenticadores
externos em conexão com uma transação de autenticação em um nível de garantia de autenticador especificado.
(3) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | USO DE FICAM APROVADO

PRODUTOS
(4) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | UTILIZAÇÃO DE PERFIS DEFINIDOS
Esteja em conformidade com os seguintes perfis para gerenciamento de identidade [Atribuição: perfis de
gerenciamento de identidade definidos pela organização].
Discussão: As organizações definem perfis para gerenciamento de identidade com base em padrões abertos de
gerenciamento de identidade. Para garantir que os padrões abertos de gerenciamento de identidade sejam viáveis,
robustos, confiáveis, sustentáveis e interoperáveis conforme documentado, o Governo Federal avalia e avalia os padrões
e implementações de tecnologia em relação às leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis.

e
g
_________________________________________________________________________________________________
pe
E (5) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | ACEITAÇÃO DO PIV-I
CREDENCIAIS
Aceite e verifique credenciais federadas ou PKI que atendam a [Atribuição: política definida pela organização].
Discussão: A aceitação de credenciais PIV-I pode ser implementada por PIV, PIV-I e outros provedores de identidade
comerciais ou externos. A aceitação e verificação de credenciais compatíveis com PIV-I aplicam-se a sistemas de controle de
acesso lógico e físico. A aceitação e verificação de credenciais PIV-I dirigem-se a emissores não federais de carteiras de
identidade que desejam interoperar com sistemas PIV do governo dos Estados Unidos e nos quais o governo federal pode
confiar.
Partes dependentes do governo. A política de certificados X.509 da Federal Bridge Certification Authority (FBCA) atende aos
requisitos do PIV-I. O cartão PIV-I é compatível com as credenciais PIV conforme definido nas referências citadas. Credenciais
PIV-I são as credenciais emitidas por um provedor PIV-I cuja política de certificado PIV-I mapeia para a Política de
Certificado PIV-I da Federal Bridge. Um provedor PIV-I tem certificação cruzada com o FBCA (diretamente ou por meio
de outra ponte PKI) com políticas que foram mapeadas e aprovadas como atendendo aos requisitos das políticas PIV-
I definidas na política de certificados do FBCA.
(6) IDENTIFICAÇÃO E AUTENTICAÇÃO (USUÁRIOS NÃO ORGANIZACIONAIS) | DESASSOCIABILIDADE
Implemente as seguintes medidas para desassociar atributos do usuário ou relacionamentos de asserção de

identificador entre indivíduos, provedores de serviços de credenciais e partes confiáveis: [Atribuição:
medidas definidas pela organização].
Discussão: As soluções de identidade federada podem criar maiores riscos de privacidade devido ao rastreamento e
à criação de perfis de indivíduos. O uso de tabelas de mapeamento de identificadores ou técnicas criptográficas
para ocultar os provedores de serviços de credenciais e as partes confiáveis uns dos outros ou para tornar os atributos de
identidade menos visíveis para as partes transmissoras pode reduzir esses riscos de privacidade.
Referências: [OMB A-130], [FED PKI], [FIPS 201-2], [SP 800-63-3], [SP 800-79-2], [SP 800-116], [IR 8062] .
IDENTIFICAÇÃO E AUTENTICAÇÃO DE SERVIÇO IA-9
Controle: Identifique e autentique exclusivamente [Atribuição: serviços e aplicativos de sistema definidos pela organização] antes
de estabelecer comunicações com dispositivos, usuários ou outros serviços ou aplicativos.
Discussão: Os serviços que podem exigir identificação e autenticação incluem aplicações web que utilizam certificados digitais ou
serviços ou aplicações que consultam um banco de dados. Os métodos de identificação e autenticação para serviços e
aplicações do sistema incluem assinatura de informações ou códigos, gráficos de proveniência e assinaturas eletrônicas que indicam
as fontes dos serviços. As decisões relativas à validade das reivindicações de identificação e autenticação podem ser tomadas
por serviços separados dos serviços que atuam nessas decisões. Isso pode ocorrer em arquiteturas de sistemas
distribuídos. Nessas situações, as decisões de identificação e autenticação (em vez de identificadores e dados de
autenticação reais) são fornecidas aos serviços que precisam agir de acordo com essas decisões.
Controles Relacionados: IA-3, IA-4, IA-5, SC-8.
(1) IDENTIFICAÇÃO E AUTENTICAÇÃO DO SERVIÇO | INTERCÂMBIO DE INFORMAÇÕES
[Retirado: Incorporado ao IA-9.]

e
g
_________________________________________________________________________________________________
pe
E (2) IDENTIFICAÇÃO E AUTENTICAÇÃO DO SERVIÇO | TRANSMISSÃO DE DECISÕES
[Retirado: Incorporado ao IA-9.]
AUTENTICAÇÃO ADAPTATIVA IA-10
Controle: Exigir que os indivíduos que acessam o sistema empreguem [Atribuição: técnicas ou mecanismos de
autenticação suplementares definidos pela organização] sob [Atribuição: circunstâncias ou situações
definidas pela organização] específicas.
Discussão: Os adversários podem comprometer os mecanismos de autenticação individuais empregados pelas

organizações e subsequentemente tentar se passar por usuários legítimos. Para enfrentar esta ameaça, as organizações
podem empregar técnicas ou mecanismos específicos e estabelecer protocolos para avaliar comportamentos suspeitos.
O comportamento suspeito pode incluir o acesso a informações que os indivíduos normalmente não acessam como
parte de seus deveres, funções ou responsabilidades; acessar maiores quantidades de informações do que os
indivíduos acessariam rotineiramente; ou tentativa de acessar informações de endereços de rede suspeitos. Quando
ocorrem condições ou gatilhos pré-estabelecidos, as organizações podem exigir que os indivíduos forneçam informações
adicionais de autenticação. Outro uso potencial da autenticação adaptativa é aumentar a força do mecanismo com
base no número ou tipos de registros acessados. A autenticação adaptativa não substitui e não é usada para evitar
o uso de mecanismos de autenticação multifatorial, mas pode aumentar as implementações de
autenticação multifator.
Controles Relacionados: IA-2, IA-8.
Referências: [SP 800-63-3].
REAUTENTICAÇÃO IA-11
Controle: Exigir que os usuários se autentiquem novamente quando [Atribuição: circunstâncias ou

situações definidas pela organização que exijam nova autenticação].
Discussão: Além dos requisitos de reautenticação associados aos bloqueios de dispositivos, as organizações
podem exigir a reautenticação de indivíduos em determinadas situações, inclusive quando as funções, autenticadores
ou credenciais mudam, quando as categorias de segurança dos sistemas mudam, quando ocorre a execução de
funções privilegiadas , após um período de tempo fixo ou periodicamente.
Controles Relacionados: AC-3, AC-11, IA-2, IA-3, IA-4, IA-8.
PROVA DE IDENTIDADE IA-12
Ao controle:
a. Usuários com prova de identidade que necessitam de contas para acesso lógico a sistemas com base em requisitos
de nível de garantia de identidade apropriados, conforme especificado em padrões e diretrizes aplicáveis;
b. Resolver identidades de usuários para um indivíduo único; e
c. Colete, valide e verifique evidências de identidade.
Discussão: A prova de identidade é o processo de coleta, validação e verificação das informações de identidade
de um usuário com o propósito de estabelecer credenciais para acessar um sistema. A prova de identidade destina-se
a mitigar ameaças ao registo de utilizadores e ao estabelecimento de

e
g
_________________________________________________________________________________________________
pe
E suas contas. Os padrões e diretrizes que especificam os níveis de garantia de identidade para comprovação de identidade incluem
[SP 800-63-3] e [SP 800-63A]. As organizações podem estar sujeitas a leis, ordens executivas, diretivas, regulamentos ou políticas
que tratam da recolha de provas de identidade. O pessoal organizacional consulta o funcionário sênior da agência para
aconselhamento jurídico e de privacidade em relação a tais requisitos.
Controles Relacionados: AC-5, IA-1, IA-2, IA-3, IA-4, IA-5, IA-6, IA-8.
(1) PROVA DE IDENTIDADE | AUTORIZAÇÃO DO SUPERVISOR
Exigir que o processo de registro para receber uma conta para acesso lógico inclua autorização do supervisor
ou patrocinador.
Discussão: Incluir autorização de supervisor ou patrocinador como parte do processo de registro fornece um nível adicional
de escrutínio para garantir que a cadeia de gerenciamento do usuário esteja ciente da conta, que a conta seja essencial para
realizar missões e funções organizacionais e que os privilégios do usuário sejam apropriados para as responsabilidades e
autoridades previstas dentro da organização.
(2) PROVA DE IDENTIDADE | EVIDÊNCIA DE IDENTIDADE
Exigir que provas de identificação individual sejam apresentadas à autoridade de registro.
Discussão: As provas de identidade, tais como provas documentais ou uma combinação de documentos e dados
biométricos, reduzem a probabilidade de os indivíduos utilizarem identificação fraudulenta para estabelecer
uma identidade ou pelo menos aumentam o factor de trabalho de potenciais adversários. As formas de evidência
aceitáveis são consistentes com os riscos para os sistemas, funções e privilégios associados à conta do usuário.
(3) PROVA DE IDENTIDADE | VALIDAÇÃO E VERIFICAÇÃO DE EVIDÊNCIAS DE IDENTIDADE
Exigir que as evidências de identidade apresentadas sejam validadas e verificadas através de [Tarefa:
métodos de validação e verificação definidos pela organização].
Discussão: A validação e verificação de evidências de identidade aumentam a garantia de que contas e identificadores
estão sendo estabelecidos para o usuário correto e que os autenticadores estão vinculados a esse usuário. Validação
refere-se ao processo de confirmação de que a evidência é genuína e autêntica e que os dados contidos na evidência são
corretos, atuais e relacionados a um indivíduo. A verificação confirma e estabelece uma ligação entre a identidade
reivindicada e a existência real do utilizador que apresenta a prova. Os métodos aceitáveis para validar e verificar evidências
de identidade são consistentes com os riscos para os sistemas, funções e privilégios associados à conta do usuário.
(4) PROVA DE IDENTIDADE | VALIDAÇÃO E VERIFICAÇÃO PRESENCIAL
Exigir que a validação e verificação das provas de identidade sejam realizadas pessoalmente perante uma
autoridade de registo designada.
Discussão: A prova presencial reduz a probabilidade de emissão de credenciais fraudulentas porque exige a presença física
de indivíduos, a apresentação de documentos de identidade físicos e interações reais e presenciais com autoridades de registo
designadas.
(5) PROVA DE IDENTIDADE | CONFIRMAÇÃO DE ENDEREÇO

e
g
_________________________________________________________________________________________________
pe
E Exigir que [Seleção: código de registro; aviso de prova] ser entregue através de um canal fora de banda
para verificar o endereço de registro do usuário (físico ou digital).
Discussão: Para dificultar que os adversários se façam passar por utilizadores legítimos durante o processo de
prova de identidade, as organizações podem utilizar métodos fora de banda para garantir que o indivíduo
associado a um endereço de registo é o mesmo indivíduo que participou no registo. A confirmação pode assumir a
forma de um código de inscrição temporário ou de um aviso de revisão. O endereço de entrega desses artefatos é
obtido a partir de registros e não autoafirmado pelo usuário. O endereço pode incluir um endereço físico ou
digital. Um endereço residencial é um exemplo de endereço físico. Endereços de e-mail e números de telefone são
exemplos de endereços digitais.
(6) PROVA DE IDENTIDADE | ACEITE IDENTIDADES PROVADAS EXTERNAMENTE
Aceite identidades testadas externamente em [Atribuição: nível de garantia de identidade definido

Discussão: Para limitar a revisão desnecessária de identidades, especialmente de usuários não PIV, as
organizações aceitam a verificação realizada com um nível de garantia proporcional por outras agências ou
organizações. A prova é consistente com a política de segurança organizacional e com o nível de garantia de
identidade apropriado para o sistema, aplicativo ou informação acessada.
Aceitar identidades comprovadas externamente é um componente fundamental do gerenciamento de identidades
federadas entre agências e organizações.
Controles Relacionados: IA-3, IA-4, IA-5, IA-8.
Referências: [FIPS 201-2], [SP 800-63-3], [SP 800-63A], [SP 800-79-2].

e
g
_________________________________________________________________________________________________
pe
E 3.8 RESPOSTA A INCIDENTES
Link rápido para a tabela de resumo de resposta a incidentes
POLÍTICA E PROCEDIMENTOS IR-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de resposta
a incidentes em nível de sistema] que:

2. Procedimentos para facilitar a implementação da política de resposta a incidentes e os controles de

resposta a incidentes associados;

documentação e divulgação da política e procedimentos de resposta a incidentes; e
c. Revise e atualize a resposta atual ao incidente:


Discussão: A política e os procedimentos de resposta a incidentes abordam os controles da família de RI que são
políticas e procedimentos de resposta a incidentes. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos
específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e
privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser
estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios
e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados
e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os
eventos que podem precipitar uma atualização na política e nos procedimentos de resposta a incidentes incluem
resultados de avaliação ou auditoria, incidentes de segurança
ou violações ou alterações em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-50], [SP 800-61], [SP 800-83] , [SP
800-100].

e
g
_________________________________________________________________________________________________
pe
E TREINAMENTO DE RESPOSTA A INCIDENTES IR-2
Ao controle:
a. Fornecer treinamento de resposta a incidentes aos usuários do sistema consistente com as funções atribuídas e
responsabilidades:
1. Dentro de [Atribuição: período de tempo definido pela organização] após assumir uma resposta a incidente
função ou responsabilidade ou aquisição de acesso ao sistema;
2. Quando exigido por alterações no sistema; e
3. [Atribuição: frequência definida pela organização] posteriormente; e
b. Revise e atualize o conteúdo do treinamento de resposta a incidentes [Tarefa: definida pela organização
frequência] e seguinte [Atribuição: eventos definidos pela organização].
Discussão: O treinamento de resposta a incidentes está associado às funções e responsabilidades atribuídas ao pessoal
organizacional para garantir que o conteúdo e o nível de detalhe apropriados sejam
incluídos em tal treinamento. Por exemplo, os usuários podem precisar apenas saber para quem ligar ou como reconhecer
um incidente; os administradores de sistema podem necessitar de treinamento adicional sobre como lidar com incidentes; e os
responsáveis pela resposta a incidentes podem receber treinamento mais específico em análise forense, técnicas de
coleta de dados, relatórios, recuperação e restauração de sistemas. O treinamento de resposta a incidentes inclui treinamento
de usuários na identificação e relato de atividades suspeitas de fontes externas e internas. O treinamento de resposta a incidentes
para usuários pode ser fornecido como parte do AT-2 ou AT-3.
Os eventos que podem precipitar uma atualização do conteúdo do treinamento de resposta a incidentes incluem, mas não estão
limitados a, testes do plano de resposta a incidentes ou resposta a um incidente real (lições aprendidas), resultados de
avaliação ou auditoria ou mudanças nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e
diretrizes.
Controles relacionados: AT-2, AT-3, AT-4, CP-3, IR-3, IR-4, IR-8, IR-9.
(1) TREINAMENTO DE RESPOSTA A INCIDENTES | EVENTOS SIMULADOS
Incorporar eventos simulados no treinamento de resposta a incidentes para facilitar o necessário

resposta do pessoal em situações de crise.
Discussão: As organizações estabelecem requisitos para responder a incidentes nos planos de resposta a incidentes. A
incorporação de eventos simulados no treinamento de resposta a incidentes ajuda a garantir que o pessoal entenda
suas responsabilidades individuais e quais ações específicas tomar em situações de crise.
(2) TREINAMENTO DE RESPOSTA A INCIDENTES | AMBIENTES DE TREINAMENTO AUTOMATIZADOS
Fornecer um ambiente de treinamento de resposta a incidentes usando [Tarefa: mecanismos automatizados

Discussão: Mecanismos automatizados podem proporcionar um ambiente de treinamento de resposta a incidentes mais
completo e realista. Isto pode ser conseguido, por exemplo, fornecendo uma cobertura mais completa das questões de
resposta a incidentes, selecionando cenários e ambientes de treinamento mais realistas e enfatizando a capacidade de
resposta.
(3) TREINAMENTO DE RESPOSTA A INCIDENTES | VIOLAÇÃO
Fornecer treinamento de resposta a incidentes sobre como identificar e responder a uma violação, incluindo o
processo da organização para relatar uma violação.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Para agências federais, um incidente que envolva informações de identificação pessoal é
considerado uma violação. Uma violação resulta na perda de controle, comprometimento, divulgação não autorizada,
aquisição não autorizada ou uma ocorrência semelhante quando uma pessoa que não seja um usuário autorizado acessa
ou potencialmente acessa informações pessoalmente identificáveis ou um usuário autorizado acessa ou
potencialmente acessa tais informações para outros fins que não os autorizados. propósitos. O treinamento de resposta
a incidentes enfatiza a obrigação dos indivíduos de relatar violações confirmadas e suspeitas envolvendo informações em
qualquer meio ou formato, incluindo papel, oral e eletrônico. O treinamento de resposta a incidentes inclui exercícios
práticos que simulam uma violação. Consulte IR-2(1).
Referências: [OMB M-17-12], [SP 800-50].
TESTE DE RESPOSTA A INCIDENTES IR-3
Controle: Teste a eficácia da capacidade de resposta a incidentes do sistema [Atribuição: frequência definida pela organização]
usando os seguintes testes: [Atribuição: testes definidos pela organização].
Discussão: As organizações testam as capacidades de resposta a incidentes para determinar a sua eficácia
e identificar potenciais fraquezas ou deficiências. O teste de resposta a incidentes inclui o uso de listas de verificação, exercícios
passo a passo ou de mesa e simulações (interrupção paralela ou total). Os testes de resposta a incidentes podem incluir uma
determinação dos efeitos nas operações e ativos organizacionais e nos indivíduos devido à resposta a incidentes. O uso de
dados qualitativos e quantitativos auxilia na determinação da eficácia dos processos de resposta a incidentes.
Controles relacionados: CP-3, CP-4, IR-2, IR-4, IR-8, PM-14.
(1) TESTE DE RESPOSTA A INCIDENTES | TESTE AUTOMATIZADO
Teste a capacidade de resposta a incidentes usando [Atribuição: mecanismos automatizados definidos pela
organização].
Discussão: As organizações utilizam mecanismos automatizados para testar de forma mais completa e eficaz as capacidades
de resposta a incidentes. Isto pode ser conseguido fornecendo uma cobertura mais completa dos problemas de resposta a
incidentes, selecionando cenários e ambientes de teste realistas e enfatizando a capacidade de resposta.
(2) TESTE DE RESPOSTA A INCIDENTES | COORDENAÇÃO COM PLANOS RELACIONADOS
Coordenar os testes de resposta a incidentes com os elementos organizacionais responsáveis pelos planos
relacionados.
Discussão: Os planos organizacionais relacionados aos testes de resposta a incidentes incluem planos de continuidade
de negócios, planos de recuperação de desastres, planos de continuidade de operações, planos de contingência, planos de
comunicação de crise, planos de infraestrutura crítica e planos de emergência para ocupantes.
(3) TESTE DE RESPOSTA A INCIDENTES | MELHORIA CONTINUA
Use dados qualitativos e quantitativos de testes para:
(a) Determinar a eficácia dos processos de resposta a incidentes;
(b) Melhorar continuamente os processos de resposta a incidentes; e
(c) Fornecer medidas e métricas de resposta a incidentes que sejam precisas, consistentes e em um
formato reproduzível.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Para ajudar as atividades de resposta a incidentes a funcionarem conforme pretendido, as organizações podem usar
métricas e critérios de avaliação para avaliar programas de resposta a incidentes como parte de um esforço para melhorar
continuamente o desempenho da resposta. Estes esforços facilitam a melhoria da eficácia da resposta a incidentes e diminuem
o impacto dos incidentes.
TRATAMENTO DE INCIDENTES IR-4
Ao controle:
a. Implementar uma capacidade de tratamento de incidentes que seja consistente com o plano de resposta a incidentes e inclua
preparação, detecção e análise, contenção, erradicação e recuperação;
b. Coordenar as atividades de tratamento de incidentes com atividades de planejamento de contingência;
c. Incorporar as lições aprendidas das atividades contínuas de tratamento de incidentes nos procedimentos de resposta a incidentes,
treinamento e testes, e implementar as mudanças resultantes de acordo; e
d. Garanta que o rigor, a intensidade, o escopo e os resultados das atividades de tratamento de incidentes sejam comparáveis e
previsíveis em toda a organização.
Discussão: As organizações reconhecem que as capacidades de resposta a incidentes dependem das capacidades dos sistemas
organizacionais e da missão e dos processos de negócios apoiados por esses sistemas. As organizações consideram a resposta a
incidentes como parte da definição, design e desenvolvimento da missão e dos processos e sistemas de negócios. As informações
relacionadas a incidentes podem ser obtidas de diversas fontes, incluindo monitoramento de auditoria, monitoramento de acesso
físico e monitoramento de rede; relatórios de usuários ou administradores; e eventos relatados na cadeia de suprimentos. Uma
capacidade eficaz de tratamento de incidentes inclui coordenação entre muitas entidades organizacionais
(por exemplo, proprietários de missões ou negócios, proprietários de sistemas, gestores orçamentários, escritórios de recursos
humanos, escritórios de segurança física, escritórios de segurança de pessoal, departamentos jurídicos, [função] executiva de risco,
pessoal de operações, escritórios de compras). Os incidentes de segurança suspeitos incluem o recebimento de comunicações por
e-mail suspeitas que podem conter código malicioso. Os incidentes suspeitos na cadeia de abastecimento incluem a inserção
de hardware falsificado ou código malicioso em sistemas organizacionais ou componentes de sistema. Para agências federais,
um incidente que envolva informações de identificação pessoal é considerado uma violação. Uma violação resulta em
divulgação não autorizada, perda de controle, aquisição não autorizada, comprometimento ou ocorrência semelhante quando uma
pessoa que não seja um usuário autorizado acessa ou potencialmente acessa informações pessoalmente identificáveis ou um
usuário autorizado acessa ou potencialmente acessa tais informações para outros fins que não os autorizados.
propósitos.
Controles relacionados: AC-19, AU-6, AU-7, CM-6, CP-2, CP-3, CP-4, IR-2, IR -3, IR-5, IR-6, IR-8 , PE-6, PL - 2, PM-12, SA-8, SC-5,
SC-7, SI-3, SI-4, SI-7.
(1) TRATAMENTO DE INCIDENTES | PROCESSOS AUTOMATIZADOS DE TRATAMENTO DE INCIDENTES
Apoiar o processo de tratamento de incidentes usando [Atribuição: mecanismos automatizados definidos pela
organização].
Discussão: Os mecanismos automatizados que apoiam os processos de tratamento de incidentes incluem sistemas e ferramentas
de gestão de incidentes online que apoiam a recolha de dados de resposta em tempo real, a captura completa de pacotes
de rede e a análise forense.
(2) TRATAMENTO DE INCIDENTES | RECONFIGURAÇÃO DINÂMICA

e
g
_________________________________________________________________________________________________
pe
E Inclua os seguintes tipos de reconfiguração dinâmica para [Atribuição: componentes do sistema definidos pela
organização] como parte da capacidade de resposta a incidentes: [Atribuição: tipos de reconfiguração dinâmica
Discussão: A reconfiguração dinâmica inclui alterações nas regras do roteador, listas de controle de acesso, detecção de
intrusão ou parâmetros do sistema de prevenção e regras de filtro para guardas ou firewalls.
As organizações podem realizar a reconfiguração dinâmica dos sistemas para impedir ataques, direcionar mal os invasores
e isolar componentes dos sistemas, limitando assim a extensão dos danos causados por violações ou comprometimentos.
As organizações incluem prazos específicos para alcançar a reconfiguração dos sistemas na definição da capacidade
de reconfiguração, considerando a potencial necessidade de uma resposta rápida para enfrentar eficazmente as ameaças
cibernéticas.
Controles relacionados: AC-2, AC-4, CM-2.
(3) TRATAMENTO DE INCIDENTES | CONTINUIDADE DAS OPERAÇÕES
Identifique [Atribuição: classes de incidentes definidas pela organização] e tome as seguintes ações em resposta
a esses incidentes para garantir a continuação da missão organizacional e das funções de negócios: [Atribuição: ações
definidas pela organização a serem tomadas em resposta a classes de incidentes].
Discussão: As classes de incidentes incluem mau funcionamento devido a erros e omissões de projeto ou
implementação, ataques maliciosos direcionados e ataques maliciosos não direcionados. As ações de resposta a incidentes
incluem a degradação ordenada do sistema, o encerramento do sistema, o regresso ao modo manual ou a ativação de
tecnologia alternativa em que o sistema funciona de forma diferente, empregando medidas enganosas, fluxos de
informação alternativos ou operando num modo reservado para quando os sistemas estão sob ataque. As organizações
consideram se os requisitos de continuidade das operações durante um incidente entram em conflito com a capacidade de
desabilitar automaticamente o sistema, conforme especificado como parte do IR-4(5).
(4) TRATAMENTO DE INCIDENTES | CORRELAÇÃO DE INFORMAÇÕES
Correlacione informações sobre incidentes e respostas individuais a incidentes para obter uma
perspectiva de toda a organização sobre conscientização e resposta a incidentes.
Discussão: Às vezes, um evento de ameaça, como um ataque cibernético hostil, só pode ser observado reunindo informações
de diferentes fontes, incluindo vários relatórios e procedimentos de relatório estabelecidos pelas organizações.
(5) TRATAMENTO DE INCIDENTES | DESATIVAÇÃO AUTOMÁTICA DO SISTEMA
Implemente um recurso configurável para desabilitar automaticamente o sistema se [Atribuição: violações de

segurança definidas pela organização] forem detectadas.
Discussão: As organizações consideram se a capacidade de desativar automaticamente o sistema entra em conflito

com os requisitos de continuidade das operações especificados como parte do CP-2 ou IR-4(3). As violações de segurança
incluem ataques cibernéticos que comprometeram a integridade do sistema ou exfiltraram informações organizacionais e
erros graves em programas de software que podem impactar negativamente as missões ou funções organizacionais ou
comprometer a segurança dos indivíduos.
(6) TRATAMENTO DE INCIDENTES | AMEAÇAS INTERNAS
Implemente um recurso de tratamento de incidentes que envolvam ameaças internas.
Discussão: O foco explícito no tratamento de incidentes que envolvem ameaças internas dá ênfase adicional a este tipo de
ameaça e à necessidade de capacidades específicas de tratamento de incidentes para fornecer respostas adequadas e
oportunas.

e
g
_________________________________________________________________________________________________
pe
(7) TRATAMENTO DE INCIDENTES | AMEAÇAS INTERNAS — COORDENAÇÃO INTRA-ORGANIZAÇÃO
Coordenar uma capacidade de tratamento de incidentes para ameaças internas que inclua as seguintes entidades
organizacionais [Atribuição: entidades definidas pela organização].
Discussão: O tratamento de incidentes de ameaças internas (por exemplo, preparação, detecção e análise, contenção,
erradicação e recuperação) requer coordenação entre muitas entidades organizacionais, incluindo proprietários de
missões ou negócios, proprietários de sistemas, escritórios de recursos humanos, escritórios de compras, escritórios
de pessoal, escritórios de segurança física, oficial sênior de segurança da informação da agência, pessoal de operações,
executivo de risco (função), oficial sênior da agência para privacidade e consultor jurídico. Além disso, as organizações
podem exigir apoio externo de agências policiais federais, estaduais e locais.
(8) TRATAMENTO DE INCIDENTES | CORRELAÇÃO COM ORGANIZAÇÕES EXTERNAS
Coordenar com [Atribuição: organizações externas definidas pela organização] para correlacionar e compartilhar
[Atribuição: informações sobre incidentes definidas pela organização] para obter uma perspectiva
interorganizacional sobre conscientização de incidentes e respostas mais eficazes a incidentes.
Discussão: A coordenação de informações sobre incidentes com organizações externas – incluindo

parceiros de missão ou de negócios, parceiros militares ou de coalizão, clientes e desenvolvedores – podem proporcionar
benefícios significativos. A coordenação interorganizacional pode servir como uma importante capacidade de gestão de riscos.
Esse recurso permite que as organizações aproveitem informações de diversas fontes para responder com eficácia a
incidentes e violações que possam afetar potencialmente as operações, os ativos e os indivíduos da organização.
Controles Relacionados: AU-16, PM-16.
(9) TRATAMENTO DE INCIDENTES | CAPACIDADE DE RESPOSTA DINÂMICA
Empregar [Tarefa: capacidades de resposta dinâmica definidas pela organização] para responder a incidentes.
Discussão: A capacidade de resposta dinâmica aborda a implantação oportuna de capacidades organizacionais novas ou
de substituição em resposta a incidentes. Isto inclui capacidades implementadas no nível da missão e do processo de
negócios e no nível do sistema.
(10) TRATAMENTO DE INCIDENTES | COORDENAÇÃO DA CADEIA DE FORNECIMENTO
Coordenar atividades de tratamento de incidentes envolvendo eventos da cadeia de abastecimento com

outras organizações envolvidas na cadeia de abastecimento.
Discussão: As organizações envolvidas nas atividades da cadeia de abastecimento incluem desenvolvedores de produtos,
integradores de sistemas, fabricantes, embaladores, montadores, distribuidores, vendedores e revendedores. Os
incidentes na cadeia de abastecimento podem ocorrer em qualquer lugar através ou para a cadeia de abastecimento e
incluem comprometimentos ou violações que envolvam fornecedores primários ou secundários, produtos de tecnologia
da informação, componentes de sistema, processos ou pessoal de desenvolvimento e processos de distribuição ou
instalações de armazenamento. As organizações consideram incluir processos para proteger e compartilhar informações
sobre incidentes em acordos de troca de informações e suas obrigações para relatar incidentes a órgãos de supervisão
governamental (por exemplo, Conselho Federal de Segurança de Aquisições).
Controles Relacionados: CA-3, MA-2, SA-9, SR-8.
(11) TRATAMENTO DE INCIDENTES | EQUIPE INTEGRADA DE RESPOSTA A INCIDENTES
Estabelecer e manter uma equipe integrada de resposta a incidentes que possa ser implantada em qualquer local
identificado pela organização em [Atribuição: período de tempo definido pela organização].

e
g
_________________________________________________________________________________________________
pe
E Discussão: Uma equipe integrada de resposta a incidentes é uma equipe de especialistas que avalia, documenta e
responde a incidentes para que os sistemas e redes organizacionais possam se recuperar rapidamente e implementar
os controles necessários para evitar incidentes futuros. O pessoal da equipe de resposta a incidentes inclui analistas de
códigos forenses e maliciosos, desenvolvedores de ferramentas, engenheiros de segurança e privacidade de sistemas
e pessoal de operações em tempo real. A capacidade de tratamento de incidentes inclui a rápida preservação forense de
evidências e a análise e resposta a invasões. Para algumas organizações, a equipe de resposta a incidentes pode ser uma
entidade interorganizacional.
Uma equipe integrada de resposta a incidentes facilita o compartilhamento de informações e permite que o
pessoal organizacional (por exemplo, desenvolvedores, implementadores e operadores) aproveite o conhecimento da equipe
sobre a ameaça e implemente medidas defensivas que permitem às organizações impedir intrusões de forma mais eficaz.
Além disso, as equipas integradas promovem a rápida detecção de intrusões, o desenvolvimento de mitigações adequadas e
a implementação de medidas defensivas eficazes. Por exemplo, quando uma intrusão é detectada, a equipe integrada pode
desenvolver rapidamente uma resposta apropriada para implementação pelos operadores, correlacionar o novo incidente
com informações sobre invasões anteriores e aumentar o desenvolvimento contínuo de inteligência cibernética. As
equipes integradas de resposta a incidentes são mais capazes de identificar táticas, técnicas e procedimentos do
adversário que estão vinculados ao ritmo das operações ou à missão específica e às funções de negócios e definir
ações responsivas de uma forma que não interrompa essas missões e funções de negócios. As equipes de resposta a
incidentes podem ser distribuídas dentro das organizações para tornar a capacidade resiliente.
Controles relacionados: AT-3.
(12) TRATAMENTO DE INCIDENTES | CÓDIGO MALICIOSO E ANÁLISE FORENSE
Analise códigos maliciosos e/ou outros artefatos residuais remanescentes no sistema após o incidente.
Discussão: Quando conduzida cuidadosamente em um ambiente isolado, a análise de códigos maliciosos e outros artefatos
residuais de um incidente ou violação de segurança pode fornecer à organização informações sobre táticas, técnicas e
procedimentos do adversário. Também pode indicar a identidade ou algumas características definidoras do adversário. Além
disso, a análise de códigos maliciosos pode ajudar a organização a desenvolver respostas para incidentes futuros.
(13) TRATAMENTO DE INCIDENTES | ANÁLISE DE COMPORTAMENTO
Analisar comportamento adversário anômalo ou suspeito em ou relacionado a [Atribuição: ambientes ou

recursos definidos pela organização].
Discussão: Se a organização mantém um ambiente de fraude, uma análise dos comportamentos nesse ambiente, incluindo
os recursos visados pelo adversário e o momento do incidente ou evento, pode fornecer informações sobre táticas,
técnicas e procedimentos adversários.
Externamente a um ambiente de fraude, a análise de comportamento adversário anômalo (por exemplo, mudanças no
desempenho do sistema ou nos padrões de uso) ou de comportamento suspeito (por exemplo, mudanças nas buscas pela
localização de recursos específicos) pode fornecer à organização essa percepção.
(14) TRATAMENTO DE INCIDENTES | CENTRO DE OPERAÇÕES DE SEGURANÇA
Estabelecer e manter um centro de operações de segurança.
Discussão: Um centro de operações de segurança (SOC) é o ponto focal para operações de segurança e defesa da rede de
computadores de uma organização. O objetivo do SOC é defender e monitorar os sistemas e redes de uma organização
(ou seja, a infraestrutura cibernética) de forma contínua. O SOC também é responsável por detectar, analisar e responder
a incidentes de segurança cibernética em tempo hábil. A organização fornece ao SOC pessoal técnico e

e
g
_________________________________________________________________________________________________
pe
E pessoal operacional (por exemplo, analistas de segurança, pessoal de resposta a incidentes, engenheiros de segurança de
sistemas) e implementa uma combinação de controles técnicos, de gerenciamento e operacionais (incluindo
ferramentas de monitoramento, varredura e análise forense) para monitorar, fundir, correlacionar, analisar e responder a
dados de eventos relevantes para ameaças e segurança de diversas fontes.
Essas fontes incluem defesas de perímetro, dispositivos de rede (por exemplo, roteadores, switches) e feeds de dados
de agentes de endpoint. O SOC fornece um recurso holístico de reconhecimento situacional para ajudar as organizações a
determinar a postura de segurança do sistema e da organização. Uma capacidade SOC pode ser obtida de diversas
maneiras. Organizações maiores podem implementar um SOC dedicado, enquanto organizações menores podem
empregar organizações terceirizadas para fornecer tal capacidade.
(15) TRATAMENTO DE INCIDENTES | RELAÇÕES PÚBLICAS E REPARAÇÃO DA REPUTAÇÃO
(a) Gerenciar as relações públicas associadas a um incidente; e
(b) Empregar medidas para reparar a reputação da organização.
Discussão: É importante para uma organização ter uma estratégia para lidar com incidentes que foram trazidos à
atenção do público em geral, que lançaram a organização sob uma luz negativa ou que afetaram os constituintes da
organização (por exemplo, parceiros, clientes ). Tal publicidade pode ser extremamente prejudicial para a organização
e afetar
sua capacidade de cumprir sua missão e funções comerciais. Tomar medidas proactivas para reparar a reputação da
organização é um aspecto essencial para restabelecer a confiança dos seus constituintes.
Referências: [FASC18], [41 CFR 201], [OMB M-17-12], [SP 800-61], [SP 800-86], [SP 800-101], [SP 800-150], [ SP 800-160-2], [SP
800-184], [IR 7559].
MONITORAMENTO DE INCIDENTES IR-5
Controle: rastreie e documente incidentes.
Discussão: Documentar incidentes inclui manter registros sobre cada incidente, o status do incidente e outras informações
pertinentes necessárias para a análise forense, bem como avaliar detalhes, tendências e tratamento do incidente. As
informações sobre incidentes podem ser obtidas de diversas fontes, incluindo monitoramento de rede, relatórios de incidentes,
equipes de resposta a incidentes, reclamações de usuários, parceiros da cadeia de suprimentos, monitoramento de
auditoria, monitoramento de acesso físico e relatórios de usuários e administradores. IR-4 fornece informações sobre os tipos de
incidentes apropriados
para monitorar.
Controles relacionados: AU-6, AU-7, IR-4, IR-6, IR-8, PE-6, PM-5, SC-5, SC-7, SI-3, SI- 4, SI-7 .
(1) MONITORAMENTO DE INCIDENTES | RASTREAMENTO AUTOMATIZADO, COLETA DE DADOS E ANÁLISE
Rastreie incidentes e colete e analise informações sobre incidentes usando [Atribuição: mecanismos
Discussão: Mecanismos automatizados para rastrear incidentes e coletar e analisar informações sobre incidentes
incluem Centros de Resposta a Incidentes Informáticos ou outros bancos de dados eletrônicos de incidentes e
dispositivos de monitoramento de rede.

e
g
_________________________________________________________________________________________________
pe
E RELATÓRIO DE INCIDENTES IR-6
Ao controle:
a. Exigir que o pessoal relate suspeitas de incidentes à resposta organizacional a incidentes

capacidade dentro de [Atribuição: período de tempo definido pela organização]; e
b. Reportar informações sobre incidentes para [Atribuição: autoridades definidas pela organização].
Discussão: Os tipos de incidentes relatados, o conteúdo e a oportunidade dos relatórios, e as autoridades relatoras designadas
refletem as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. As informações sobre incidentes
podem informar avaliações de risco, avaliações de eficácia de controle, requisitos de segurança para aquisições e critérios de
seleção para produtos tecnológicos.
Controles relacionados: CM-6, CP-2, IR-4, IR-5, IR-8, IR-9.
(1) RELATÓRIO DE INCIDENTES | RELATÓRIOS AUTOMATIZADOS
Relate incidentes usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: Os destinatários dos relatórios de incidentes são especificados no IR-6b. Os mecanismos de relatórios
automatizados incluem e-mail, postagem em sites (com atualizações automáticas) e ferramentas e programas automatizados
de resposta a incidentes.
Controles Relacionados: IR-7.
(2) RELATÓRIO DE INCIDENTES | VULNERABILIDADES RELACIONADAS A INCIDENTES
Relate vulnerabilidades do sistema associadas a incidentes relatados para [Atribuição: pessoal ou

funções definidas pela organização].
Discussão: Os incidentes relatados que revelam vulnerabilidades do sistema são analisados pelo pessoal
organizacional, incluindo proprietários de sistemas, proprietários de missões e negócios, oficiais seniores de segurança
da informação de agências, funcionários seniores de agências para privacidade, funcionários autorizadores,
e o executivo de risco (função). A análise pode servir para priorizar e iniciar ações de mitigação para resolver a vulnerabilidade
do sistema descoberta.
(3) RELATÓRIO DE INCIDENTES | COORDENAÇÃO DA CADEIA DE FORNECIMENTO
Fornecer informações sobre incidentes ao fornecedor do produto ou serviço e outras organizações

envolvidas na cadeia de abastecimento ou na governança da cadeia de abastecimento para sistemas ou
componentes de sistema relacionados ao incidente.
Discussão: As organizações envolvidas nas atividades da cadeia de abastecimento incluem desenvolvedores de produtos,
integradores de sistemas, fabricantes, embaladores, montadores, distribuidores, vendedores e revendedores. As
entidades que fornecem governança da cadeia de suprimentos incluem o Conselho Federal de Segurança de
Aquisições (FASC). Incidentes na cadeia de suprimentos incluem comprometimentos ou violações que envolvem
produtos de tecnologia da informação, componentes de sistema, processos de desenvolvimento ou pessoal, processos de
distribuição ou instalações de armazenamento. As organizações determinam as informações apropriadas para compartilhar
e consideram o valor obtido ao informar organizações externas sobre incidentes na cadeia de abastecimento, incluindo a
capacidade de melhorar processos ou de identificar a causa raiz de um incidente.
Controles Relacionados: SR-8.
Referências: [FASC18], [41 CFR 201], [USCERT IR], [SP 800-61].

e
g
_________________________________________________________________________________________________
pe
E ASSISTÊNCIA DE RESPOSTA A INCIDENTES IR-7
Controle: Fornecer um recurso de suporte à resposta a incidentes, parte integrante da capacidade organizacional de
resposta a incidentes, que ofereça aconselhamento e assistência aos usuários do sistema para o tratamento e relato
de incidentes.
Discussão: Os recursos de apoio à resposta a incidentes fornecidos pelas organizações incluem help desks, grupos
de assistência, sistemas automatizados de tickets para abrir e rastrear tickets de resposta a incidentes e acesso a
serviços forenses ou serviços de reparação ao consumidor, quando necessário.
Controles relacionados: AT-2, AT-3, IR-4, IR-6, IR-8, PM-22, PM-26, SA-9, SI-18.
(1) ASSISTÊNCIA À RESPOSTA A INCIDENTES | SUPORTE DE AUTOMAÇÃO PARA DISPONIBILIDADE DE INFORMAÇÕES E

APOIAR
Aumentar a disponibilidade de informações de resposta a incidentes e suporte usando [Atribuição:

Discussão: Mecanismos automatizados podem fornecer uma capacidade push ou pull para que os usuários
obtenham assistência na resposta a incidentes. Por exemplo, os indivíduos podem ter acesso a um website para
consultar a capacidade de assistência, ou a capacidade de assistência pode enviar proativamente informações
de resposta a incidentes aos utilizadores (distribuição geral ou direcionada) como parte do aumento da
compreensão das atuais capacidades de resposta e apoio.
(2) ASSISTÊNCIA À RESPOSTA A INCIDENTES | COORDENAÇÃO COM FORNECEDORES EXTERNOS
(a) Estabelecer uma relação direta e cooperativa entre sua capacidade de resposta a incidentes
e fornecedores externos de capacidade de proteção do sistema; e
(b) Identificar os membros da equipe de resposta a incidentes organizacionais para os fornecedores externos.
Discussão: Os fornecedores externos de capacidade de proteção de sistema incluem o programa

Computer Network Defense do Departamento de Defesa dos EUA. Os provedores externos ajudam a proteger,
monitorar, analisar, detectar e responder a atividades não autorizadas nos sistemas e redes de informação
organizacionais. Pode ser benéfico ter acordos com fornecedores externos para esclarecer as funções e
responsabilidades de cada parte antes de um incidente
ocorre.
PLANO DE RESPOSTA A INCIDENTES IR-8
Ao controle:
a. Desenvolva um plano de resposta a incidentes que:
1. Fornece à organização um roteiro para implementar sua resposta a incidentes

capacidade;
2. Descreve a estrutura e organização da capacidade de resposta a incidentes;
3. Fornece uma abordagem de alto nível sobre como a capacidade de resposta a incidentes se encaixa no
organização geral;
4. Atende aos requisitos exclusivos da organização, relacionados à missão, tamanho,

estrutura e funções;
5. Define incidentes reportáveis;

e
g
_________________________________________________________________________________________________
pe
E 6. Fornece métricas para medir a capacidade de resposta a incidentes dentro da organização;
7. Define os recursos e o apoio de gestão necessários para manter e amadurecer eficazmente uma capacidade
de resposta a incidentes;
8. Aborda o compartilhamento de informações sobre incidentes;
9. É revisado e aprovado por [Atribuição: pessoal ou funções definidas pela organização]

10. Designa explicitamente a responsabilidade pela resposta a incidentes para [Atribuição: entidades, pessoal ou
funções definidas pela organização].
b. Distribuir cópias do plano de resposta a incidentes para [Atribuição: incidente definido pela organização
pessoal de resposta (identificado por nome e/ ou função) e elementos organizacionais];
c. Atualizar o plano de resposta a incidentes para abordar alterações ou problemas do sistema e da organização
encontrados durante a implementação, execução ou teste do plano;
d. Comunicar alterações no plano de resposta a incidentes para [Atribuição: pessoal de resposta a incidentes definido pela
organização (identificado por nome e/ ou função) e elementos organizacionais]; e
e. Proteja o plano de resposta a incidentes contra divulgação e modificação não autorizadas.
Discussão: É importante que as organizações desenvolvam e implementem uma abordagem coordenada para resposta a
incidentes. A missão organizacional e as funções de negócios determinam a estrutura das capacidades de resposta
a incidentes. Como parte das capacidades de resposta a incidentes, as organizações consideram a coordenação
e partilha de informações com organizações externas, incluindo
prestadores de serviços externos e outras organizações envolvidas na cadeia de abastecimento. Para incidentes que
envolvam informações de identificação pessoal (ou seja, violações), inclua um processo para determinar se a
notificação às organizações de supervisão ou aos indivíduos afetados é apropriada e forneça essa notificação
adequadamente.
Controles relacionados: AC-2, CP-2, CP-4, IR-4, IR-7, IR-9, PE-6, PL-2, SA-15, SI-12, SR-8.
(1) PLANO DE RESPOSTA A INCIDENTES | VIOLAÇÕES
Inclua o seguinte no Plano de Resposta a Incidentes para violações envolvendo informações de

identificação pessoal:
(a) Um processo para determinar se é necessária notificação a indivíduos ou outras organizações,

incluindo organizações de supervisão;
(b) Um processo de avaliação para determinar a extensão do dano, constrangimento,

inconveniência ou injustiça para com os indivíduos afetados e quaisquer mecanismos para mitigar
tais danos; e
(c) Identificação dos requisitos de privacidade aplicáveis.
Discussão: As organizações podem ser obrigadas por lei, regulamento ou política a seguir procedimentos
específicos relativos a violações, incluindo notificação a indivíduos, organizações afetadas e órgãos de supervisão;
padrões de dano; e mitigação ou outros requisitos específicos.
Controles relacionados: PT-1, PT-2, PT-3, PT-4, PT-5, PT-7.
Referências: [OMB A-130], [SP 800-61], [OMB M-17-12].
RESPOSTA A DERRAMAMENTO DE INFORMAÇÕES IR-9
Controle: Responda a vazamentos de informações:
a. Atribuir [Atribuição: pessoal ou funções definidas pela organização] com responsabilidade por
responder a vazamentos de informações;

e
g
_________________________________________________________________________________________________
pe
E b. Identificar as informações específicas envolvidas na contaminação do sistema;
c. Alertar [Atribuição: pessoal ou funções definidas pela organização] sobre o vazamento de informações usando um
método de comunicação não associado ao derramamento;
d. Isolar o sistema ou componente do sistema contaminado;
e. Erradicar as informações do sistema ou componente contaminado;
f. Identificar outros sistemas ou componentes de sistema que possam ter sido posteriormente
contaminado; e
g. Executar as seguintes ações adicionais: [Atribuição: ações definidas pela organização].
Discussão: O derramamento de informações refere-se a casos em que as informações são colocadas em sistemas
que não estão autorizados a processar tais informações. Os vazamentos de informações ocorrem quando informações
que se acredita terem uma determinada classificação ou nível de impacto são transmitidas a um sistema e
subsequentemente são determinadas como sendo de uma classificação ou nível de impacto mais elevado. Nesse
ponto, ações corretivas são necessárias. A natureza da resposta baseia-se na classificação ou nível de impacto da
informação derramada, nas capacidades de segurança do sistema, na natureza específica dos meios de
armazenamento contaminados e nas autorizações de acesso de indivíduos com acesso autorizado ao
sistema contaminado. Os métodos utilizados para comunicar informações sobre o derrame após o facto não
envolvem métodos directamente associados ao derrame real para minimizar o risco de propagação adicional
da contaminação antes que tal contaminação seja isolada e erradicada.
Controles Relacionados: CP-2, IR-6, PM-26, PM-27, PT-2, PT-3, PT-7, RA-7.
(1) RESPOSTA AO DERRAMAMENTO DE INFORMAÇÕES | PESSOAL RESPONSÁVEL
[Retirado: Incorporado ao IR-9.]
(2) RESPOSTA AO DERRAMAMENTO DE INFORMAÇÕES | TREINAMENTO
Fornecer treinamento em resposta a vazamentos de informações [Atribuição: frequência

Discussão: As organizações estabelecem requisitos para responder a incidentes de derramamento de

informações nos planos de resposta a incidentes. A formação regular em resposta a incidentes ajuda a
garantir que o pessoal da organização compreende as suas responsabilidades individuais e quais as ações
específicas a tomar quando ocorrem incidentes de derrame.
Controles relacionados: AT-2, AT-3, CP-3, IR-2.
(3) RESPOSTA AO DERRAMAMENTO DE INFORMAÇÕES | OPERAÇÕES PÓS-DERRAMAMENTO
Implemente os seguintes procedimentos para garantir que o pessoal organizacional afetado por
vazamentos de informações possa continuar a realizar as tarefas atribuídas enquanto os sistemas
contaminados estão passando por ações corretivas: [Atribuição: procedimentos definidos pela organização].
Discussão: As ações corretivas para sistemas contaminados devido a vazamentos de informações podem
ser demoradas. O pessoal pode não ter acesso aos sistemas contaminados enquanto as ações corretivas
estão sendo tomadas, o que pode afetar potencialmente a sua capacidade de conduzir os negócios
organizacionais.
(4) RESPOSTA AO DERRAMAMENTO DE INFORMAÇÕES | EXPOSIÇÃO A PESSOAL NÃO AUTORIZADO
Empregue os seguintes controles para o pessoal exposto a informações que não estejam dentro das
autorizações de acesso atribuídas: [Atribuição: controles definidos pela organização].
Discussão: Os controles incluem garantir que o pessoal exposto a informações vazadas seja informado sobre
as leis, ordens executivas, diretivas, regulamentos, políticas, padrões,

e
g
_________________________________________________________________________________________________
pe
E e orientações sobre as informações e as restrições impostas com base na exposição a tais informações.
EQUIPE INTEGRADA DE ANÁLISE DE SEGURANÇA DA INFORMAÇÃO IR-10
[Retirado: Movido para IR-4(11).]

e
g
_________________________________________________________________________________________________
pe
E 3.9 MANUTENÇÃO
Link rápido para a tabela de resumo de manutenção
POLÍTICA E PROCEDIMENTOS MA-1
Ao controle:

funções]:
nível] política de manutenção que:

2. Procedimentos para facilitar a implementação da política de manutenção e dos controlos de

manutenção associados;

documentação e disseminação da política e procedimentos de manutenção; e
c. Revise e atualize a manutenção atual:


Discussão: A política e os procedimentos de manutenção abordam os controles da família MA que são implementados
nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais
políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é
importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos
de manutenção. As políticas e procedimentos do programa de segurança e privacidade no nível da organização
são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos da missão ou do
sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser representada por
múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos procedimentos para
programas de segurança e privacidade, para processos de missão ou de negócios e para sistemas, se
necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem ser
direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos
planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Eventos que podem precipitar
uma atualização na avaliação de políticas e procedimentos de manutenção ou resultados de auditoria, incidentes ou
violações de segurança ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis.

e
g
_________________________________________________________________________________________________
pe
E MANUTENÇÃO CONTROLADA MA-2
Ao controle:
a. Programar, documentar e revisar registros de manutenção, reparo e substituição de componentes do sistema

de acordo com as especificações do fabricante ou fornecedor e/ou requisitos organizacionais;
b. Aprovar e monitorar todas as atividades de manutenção, sejam realizadas no local ou remotamente e se o sistema ou
componentes do sistema são reparados no local ou removidos para outro local;
c. Exigir que [Atribuição: pessoal ou funções definidas pela organização] aprove explicitamente a remoção do sistema
ou componentes do sistema das instalações organizacionais para manutenção, reparo ou substituição fora
do local;
d. Higienize o equipamento para remover as seguintes informações da mídia associada antes de removê-lo das
instalações organizacionais para manutenção, reparo ou substituição fora do local: [Atribuição: informações
definidas pela organização];
e. Verifique todos os controles potencialmente impactados para verificar se eles ainda estão funcionando
corretamente após ações de manutenção, reparo ou substituição; e
f. Inclua as seguintes informações nos registros de manutenção organizacional: [Atribuição:

informações definidas pela organização].
Discussão: O controle da manutenção do sistema aborda os aspectos de segurança da informação do programa de

manutenção do sistema e se aplica a todos os tipos de manutenção de componentes do sistema conduzidos por
entidades locais ou não locais. A manutenção inclui periféricos como scanners, copiadoras e impressoras. As
informações necessárias para criar registros de manutenção eficazes incluem
a data e hora da manutenção, uma descrição da manutenção realizada, nomes dos indivíduos ou grupo que realiza a
manutenção, nome do acompanhante e componentes ou equipamentos do sistema que são removidos ou substituídos.
As organizações consideram os riscos relacionados à cadeia de suprimentos
associados a componentes de substituição para sistemas.
Controles relacionados: CM-2, CM-3, CM-4, CM-5, CM-8, MA -4, MP-6, PE-16, SI-2, SR-3, SR-4, SR-11 .
(1) MANUTENÇÃO CONTROLADA | GRAVAR CONTEÚDO
[Retirado: Incorporado ao MA-2.]
(2) MANUTENÇÃO CONTROLADA | ATIVIDADES DE MANUTENÇÃO AUTOMATIZADA
(a) Programar, conduzir e documentar ações de manutenção, reparo e substituição do sistema usando
[Atribuição: mecanismos automatizados definidos pela organização]; e
(b) Produzir registros atualizados, precisos e completos de todas as ações de manutenção, reparo e
substituição solicitadas, programadas, em andamento e concluídas.
Discussão: O uso de mecanismos automatizados para gerenciar e controlar programas e atividades de manutenção
de sistemas ajuda a garantir a geração de registros de manutenção oportunos, precisos, completos e consistentes.
Controles Relacionados: MA-3.
FERRAMENTAS DE MANUTENÇÃO MA-3
Ao controle:
a. Aprovar, controlar e monitorar o uso de ferramentas de manutenção de sistemas; e

e
g
_________________________________________________________________________________________________
pe
E b. Revise as ferramentas de manutenção do sistema previamente aprovadas [Atribuição: definida pela organização
frequência].
Discussão: Aprovar, controlar, monitorar e revisar ferramentas de manutenção abordam questões relacionadas à
segurança associadas a ferramentas de manutenção que não estão dentro dos limites de autorização do
sistema e são usadas especificamente para ações de diagnóstico e reparo em sistemas organizacionais. As
organizações têm flexibilidade na determinação de funções para a aprovação de ferramentas de manutenção e na forma
como essa aprovação é documentada. Uma revisão periódica das ferramentas de manutenção facilita a retirada da
aprovação de ferramentas desatualizadas, sem suporte, irrelevantes ou que não são mais utilizadas. As ferramentas de
manutenção podem incluir itens de hardware, software e firmware e podem ser
pré-instalado, trazido pela equipe de manutenção em mídia, baseado em nuvem ou baixado de um site. Essas ferramentas
podem ser veículos para transportar códigos maliciosos, intencionalmente ou não, para uma instalação e subsequentemente
para sistemas. As ferramentas de manutenção podem incluir
equipamentos de teste de diagnóstico de hardware e software e farejadores de pacotes. O hardware e
componentes de software que suportam manutenção e fazem parte do sistema (incluindo o software que implementa
utilitários como “ping”, “ls”, “ipconfig” ou o hardware e software que implementam a porta de monitoramento de um switch
Ethernet) não são endereçados por ferramentas de manutenção.
Controles Relacionados: MA-2, PE-16.
(1) FERRAMENTAS DE MANUTENÇÃO | INSPECIONAR FERRAMENTAS
Inspecione as ferramentas de manutenção usadas pelo pessoal de manutenção quanto a

modificações inadequadas ou não autorizadas.
Discussão: As ferramentas de manutenção podem ser trazidas diretamente para uma instalação pelo pessoal
de manutenção ou baixadas do site de um fornecedor. Se, após a inspeção das ferramentas de manutenção, as
organizações determinarem que as ferramentas foram modificadas de maneira inadequada ou que contêm código
malicioso, o incidente será tratado de acordo com as políticas e procedimentos organizacionais para tratamento
de incidentes.
(2) FERRAMENTAS DE MANUTENÇÃO | INSPECIONAR MÍDIA
Verifique a mídia que contém programas de diagnóstico e teste em busca de códigos maliciosos antes que a
mídia seja usada no sistema.
Discussão: Se, após a inspeção da mídia que contém programas de manutenção, diagnóstico e teste, as
organizações determinarem que a mídia contém código malicioso, o incidente será tratado de acordo com as políticas
e procedimentos organizacionais de tratamento de incidentes.
(3) FERRAMENTAS DE MANUTENÇÃO | EVITE A REMOÇÃO NÃO AUTORIZADA
Evite a remoção de equipamentos de manutenção que contenham informações organizacionais:
(a) Verificar se não há informações organizacionais contidas nos equipamentos;
(b) Higienizar ou destruir os equipamentos;
(c) Reter o equipamento dentro da instalação; ou
(d) Obter uma isenção de [Atribuição: pessoal ou funções definidas pela organização] que autoriza
explicitamente a remoção do equipamento da instalação.
Discussão: As informações organizacionais incluem todas as informações de propriedade das organizações e quaisquer
informações fornecidas às organizações para as quais as organizações atuam como administradores de informações.

e
g
_________________________________________________________________________________________________
pe
E (4) FERRAMENTAS DE MANUTENÇÃO | USO RESTRITO DA FERRAMENTA
Restrinja o uso de ferramentas de manutenção apenas a pessoal autorizado.
Discussão: Restringir o uso de ferramentas de manutenção apenas a pessoal autorizado aplica-se a sistemas
usados para realizar funções de manutenção.
(5) FERRAMENTAS DE MANUTENÇÃO | EXECUÇÃO COM PRIVILÉGIO
Monitore o uso de ferramentas de manutenção executadas com privilégios aumentados.
Discussão: Ferramentas de manutenção executadas com privilégios de sistema aumentados podem resultar em
acesso não autorizado a informações organizacionais e ativos que de outra forma seriam inacessíveis.
(6) FERRAMENTAS DE MANUTENÇÃO | ATUALIZAÇÕES E PATCHES DE SOFTWARE
Inspecione as ferramentas de manutenção para garantir que as atualizações e patches de software mais recentes estejam instalados.
Discussão: Ferramentas de manutenção que usam software desatualizado e/ou sem patch podem fornecer um
vetor de ameaça para adversários e resultar em uma vulnerabilidade significativa para as organizações.
MA-4 MANUTENÇÃO NÃO LOCAL
Ao controle:
a. Aprovar e monitorar atividades de manutenção e diagnóstico não locais;
b. Permitir o uso de ferramentas de diagnóstico e manutenção não locais apenas conforme consistente com
a política organizacional e documentado no plano de segurança do sistema;
c. Empregar autenticação forte no estabelecimento de manutenção e diagnóstico não local

sessões;
d. Manter registros de atividades de manutenção e diagnóstico não locais; e
e. Encerre as conexões de sessão e de rede quando a manutenção não local for concluída.
Discussão: As atividades de manutenção e diagnóstico não locais são conduzidas por indivíduos que se comunicam
através de uma rede externa ou interna. As atividades locais de manutenção e diagnóstico são realizadas por indivíduos
que estão fisicamente presentes no local do sistema e não se comunicam através de uma conexão de rede. Técnicas de
autenticação usadas para estabelecer
sessões de manutenção e diagnóstico não locais refletem os requisitos de acesso à rede em IA-2.
A autenticação forte requer autenticadores resistentes a ataques de repetição e que empregam autenticação
multifatorial. Autenticadores fortes incluem PKI, onde os certificados são armazenados em um token protegido por senha,
frase secreta ou biometria. A aplicação dos requisitos do MA-4 é realizada, em parte, por outros controles. [SP
800-63B] fornece orientação adicional sobre autenticação forte e autenticadores.
Controles relacionados: AC-2, AC-3, AC-6, AC-17, AU-2, AU-3, IA-2, IA-4, IA-5, IA-8, MA-2, MA-5 , PL-2, SC-7, SC-10.
(1) MANUTENÇÃO NÃO LOCAL | REGISTRO E REVISÃO
(a) Registrar [Atribuição: eventos de auditoria definidos pela organização] para manutenção não local e
sessões de diagnóstico; e

e
g
_________________________________________________________________________________________________
pe
E (b) Revise os registros de auditoria das sessões de manutenção e diagnóstico para detectar
comportamento anômalo.
Discussão: O registro de auditoria para manutenção não local é imposto pelo AU-2. Os eventos de auditoria
são definidos em AU-2a.
(2) MANUTENÇÃO NÃO LOCAL | MANUTENÇÃO NÃO LOCAL DO DOCUMENTO
[Retirado: Incorporado em MA-1 e MA-4.]
(3) MANUTENÇÃO NÃO LOCAL | SEGURANÇA E SANITIZAÇÃO COMPARÁVEIS
(a) Exigir que serviços não locais de manutenção e diagnóstico sejam realizados a partir de um
sistema que implemente uma capacidade de segurança comparável à capacidade
implementada no sistema em manutenção; ou
(b) Remover do sistema o componente a ser reparado antes da manutenção não local ou serviços de
diagnóstico; higienizar o componente (para informações organizacionais); e após a execução do
serviço, inspecione e higienize o componente (em busca de software potencialmente malicioso)
antes de reconectar o componente ao sistema.
Discussão: A capacidade de segurança comparável em sistemas, ferramentas de diagnóstico e equipamentos

que prestam serviços de manutenção implica que os controles implementados nesses sistemas, ferramentas e
equipamentos sejam pelo menos tão abrangentes quanto os controles no sistema em manutenção.
Controles Relacionados: MP-6, SI-3, SI-7.
(4) MANUTENÇÃO NÃO LOCAL | AUTENTICAÇÃO E SEPARAÇÃO DE SESSÕES DE MANUTENÇÃO
Proteja sessões de manutenção não locais:
(a) Empregar [Atribuição: autenticadores definidos pela organização que são reproduzidos
resistente]; e
(b) Separar as sessões de manutenção de outras sessões de rede com o sistema por
qualquer:
(1) Caminhos de comunicação fisicamente separados; ou
(2) Caminhos de comunicação separados logicamente.
Discussão: Os caminhos de comunicação podem ser separados logicamente usando criptografia.

(5) MANUTENÇÃO NÃO LOCAL | APROVAÇÕES E NOTIFICAÇÕES
(a) Exigir a aprovação de cada sessão de manutenção não local por [Atribuição:
pessoal ou funções definidas pela organização]; e
(b) Notificar o seguinte pessoal ou funções sobre a data e hora da manutenção não local planejada:
[Atribuição: pessoal ou funções definidas pela organização].
Discussão: A notificação pode ser realizada pelo pessoal de manutenção. A aprovação da manutenção não local é
realizada por pessoal com suficiente segurança da informação e conhecimento do sistema para determinar a
adequação da manutenção proposta.
(6) MANUTENÇÃO NÃO LOCAL | PROTEÇÃO CRIPTOGRÁFICA
Implemente os seguintes mecanismos criptográficos para proteger a integridade e a

confidencialidade das comunicações de diagnóstico e manutenção não locais: [Atribuição: mecanismos
criptográficos definidos pela organização].
Discussão: A falha em proteger a manutenção não local e as comunicações de diagnóstico pode resultar no
acesso de indivíduos não autorizados às informações organizacionais. Não autorizado

e
g
_________________________________________________________________________________________________
pe
E o acesso durante sessões de manutenção remota pode resultar em uma variedade de ações hostis,
incluindo inserção de código malicioso, alterações não autorizadas nos parâmetros do sistema e exfiltração
de informações organizacionais. Tais ações podem resultar na perda ou degradação da missão ou das capacidades
empresariais.
(7) MANUTENÇÃO NÃO LOCAL | VERIFICAÇÃO DE DESCONEXÃO
Verifique o encerramento da sessão e da conexão de rede após a conclusão das sessões de

manutenção e diagnóstico não locais.
Discussão: Verificar o encerramento de uma conexão após a conclusão da manutenção garante que as
conexões estabelecidas durante sessões de manutenção e diagnóstico não locais foram encerradas e não estão
mais disponíveis para uso.
Referências: [FIPS 140-3], [FIPS 197], [FIPS 201-2], [SP 800-63-3], [SP 800-88].
PESSOAL DE MANUTENÇÃO MA-5
Ao controle:
a. Estabelecer um processo para autorização do pessoal de manutenção e manter uma lista de organizações
ou pessoal de manutenção autorizado;
b. Verifique se o pessoal não escoltado que realiza a manutenção do sistema possui as autorizações de acesso
necessárias; e
c. Designe pessoal organizacional com autorizações de acesso necessárias e

competência para supervisionar as atividades de manutenção de pessoal que não possua as autorizações de
acesso exigidas.
Discussão: Pessoal de manutenção refere-se a indivíduos que realizam manutenção de hardware ou software em
sistemas organizacionais, enquanto PE-2 aborda o acesso físico para indivíduos cujas tarefas de manutenção os
colocam dentro do perímetro de proteção física dos sistemas.
A competência técnica dos supervisores refere-se à manutenção realizada nos sistemas, enquanto a necessidade de
autorizações de acesso refere-se à manutenção nos sistemas e próximo a eles. Indivíduos não identificados
anteriormente como pessoal de manutenção autorizado – como fabricantes de tecnologia da informação,
fornecedores, integradores de sistemas e consultores – podem exigir acesso privilegiado a sistemas organizacionais,
como quando são obrigados a realizar atividades de manutenção com pouco ou nenhum aviso prévio. Com base em
avaliações organizacionais de risco, as organizações podem emitir credenciais temporárias para esses indivíduos.
As credenciais temporárias podem ser para uso único ou por períodos muito limitados.
Controles relacionados: AC-2, AC-3, AC-5, AC-6, IA-2, IA-8, MA-4, MP-2, PE-2, PE-3, PS-7, RA-3 .
(1) PESSOAL DE MANUTENÇÃO | INDIVÍDUOS SEM ACESSO ADEQUADO
(a) Implementar procedimentos para a utilização de pessoal de manutenção que não possua habilitações
de segurança adequadas ou que não sejam cidadãos dos EUA, que incluam os seguintes requisitos:
(1) Pessoal de manutenção que não necessita de autorizações de acesso,

autorizações ou aprovações formais de acesso são acompanhadas e supervisionadas
durante a execução de atividades de manutenção e diagnóstico no sistema por pessoal
organizacional aprovado que esteja totalmente autorizado, tenha autorizações de
acesso apropriadas e seja tecnicamente qualificado; e
(2) Antes de iniciar atividades de manutenção ou diagnóstico por pessoal que não tenha as
necessárias autorizações de acesso, liberações ou aprovações formais de acesso, todos

e
g
_________________________________________________________________________________________________
pe
E os componentes voláteis de armazenamento de informações dentro do sistema são higienizados
e todas as mídias de armazenamento não voláteis são removidas ou fisicamente
desconectadas do sistema e protegidas; e
(b) Desenvolver e implementar [Atribuição: controles alternativos definidos pela organização] no caso de um
componente do sistema não poder ser higienizado, removido ou desconectado do sistema.
Discussão: Os procedimentos para indivíduos que não possuem autorizações de segurança adequadas ou que não
são cidadãos dos EUA têm como objetivo negar o acesso visual e eletrónico a informações classificadas ou não
classificadas controladas contidas em sistemas organizacionais. Os procedimentos para a utilização do pessoal
de manutenção podem ser documentados nos planos de segurança dos sistemas.
Controles relacionados: MP-6, PL-2.
(2) PESSOAL DE MANUTENÇÃO | LIBERAÇÕES DE SEGURANÇA PARA SISTEMAS CLASSIFICADOS
Verifique se o pessoal que realiza atividades de manutenção e diagnóstico em um sistema que

processa, armazena ou transmite informações classificadas possui autorizações de segurança e aprovações
formais de acesso para pelo menos o nível de classificação mais alto e para compartimentos de informações
no sistema.
Discussão: O pessoal que realiza manutenção em sistemas organizacionais pode ser exposto a informações
confidenciais durante o curso de suas atividades de manutenção. Para mitigar o risco inerente a tal exposição, as
organizações utilizam pessoal de manutenção que está habilitado (ou seja, possui credenciamento de segurança)
ao nível de classificação das informações armazenadas no sistema.
(3) PESSOAL DE MANUTENÇÃO | REQUISITOS DE CIDADANIA PARA SISTEMAS CLASSIFICADOS
Verifique se o pessoal que realiza atividades de manutenção e diagnóstico em um sistema que

processa, armazena ou transmite informações confidenciais é cidadão dos EUA.
Discussão: O pessoal que realiza manutenção em sistemas organizacionais pode ser exposto a informações
confidenciais durante o curso de suas atividades de manutenção. Se o acesso a informações confidenciais
sobre sistemas organizacionais for restrito a cidadãos dos EUA, a mesma restrição será aplicada ao pessoal
que realiza manutenção nesses sistemas.
(4) PESSOAL DE MANUTENÇÃO | CIDADÃOS ESTRANGEIROS
Garanta que:
(a) Cidadãos estrangeiros com habilitações de segurança adequadas são utilizados para realizar
atividades de manutenção e diagnóstico em sistemas classificados somente quando os sistemas forem
de propriedade conjunta e operados pelos Estados Unidos e governos aliados estrangeiros, ou de
propriedade e operados exclusivamente por governos aliados estrangeiros; e
(b) Aprovações, consentimentos e condições operacionais detalhadas relativas ao uso de cidadãos

estrangeiros para realizar atividades de manutenção e diagnóstico em sistemas classificados estão
totalmente documentadas nos Memorandos de Acordos.
Discussão: O pessoal que realiza atividades de manutenção e diagnóstico em sistemas organizacionais pode estar
exposto a informações confidenciais. Se os cidadãos não americanos tiverem permissão para realizar
atividades de manutenção e diagnóstico em sistemas classificados, será necessária uma verificação adicional para
garantir que os acordos e restrições não sejam violados.
(5) PESSOAL DE MANUTENÇÃO | MANUTENÇÃO NÃO SISTEMA

e
g
_________________________________________________________________________________________________
pe
E Certifique-se de que o pessoal não escoltado que realiza atividades de manutenção não diretamente
associadas ao sistema, mas na proximidade física do sistema, tenha as autorizações de acesso necessárias.
Discussão: O pessoal que realiza atividades de manutenção em outras capacidades não diretamente relacionadas ao
sistema inclui o pessoal da planta física e o pessoal de custódia.
MA-6 MANUTENÇÃO OPORTUNA
Controle: Obtenha suporte de manutenção e/ou peças sobressalentes para [Atribuição: componentes do sistema definidos pela
organização] dentro de [Atribuição: período de tempo definido pela organização] após a falha.
Discussão: As organizações especificam os componentes do sistema que resultam em maior risco para as operações e
ativos organizacionais, para os indivíduos, para outras organizações ou para a Nação quando a funcionalidade fornecida por
esses componentes não está operacional. As ações organizacionais para obter suporte de manutenção incluem a existência de
contratos apropriados.
Controles relacionados: CM-8, CP-2, CP-7, RA-7, SA-15, SI-13, SR-2, SR-3, SR-4.
(1) MANUTENÇÃO OPORTUNA | MANUTENÇÃO PREVENTIVA
Execute a manutenção preventiva em [Atribuição: componentes do sistema definidos pela organização]

em [Atribuição: intervalos de tempo definidos pela organização].
Discussão: A manutenção preventiva inclui cuidados proativos e a manutenção do sistema

componentes para manter equipamentos e instalações organizacionais em condições operacionais satisfatórias
doença. Essa manutenção prevê a inspeção sistemática, testes, medições, ajustes, substituição de peças, detecção e
correção de falhas incipientes, antes que ocorram ou antes que se transformem em defeitos graves. O objetivo principal da
manutenção preventiva é evitar ou mitigar as consequências de falhas nos equipamentos. A manutenção preventiva
é projetada para preservar e restaurar a confiabilidade do equipamento, substituindo componentes desgastados antes
que eles falhem. Os métodos para determinar quais políticas preventivas (ou outras) de gerenciamento de falhas aplicar
incluem recomendações do fabricante do equipamento original;
registros estatísticos de falhas; opinião de um 'expert; manutenção já realizada em equipamentos similares; requisitos de
códigos, leis ou regulamentos dentro de uma jurisdição; ou valores medidos e indicações de desempenho.
(2) MANUTENÇÃO OPORTUNA | MANUTENÇÃO PREDITIVA
Execute a manutenção preditiva em [Atribuição: componentes do sistema definidos pela organização]

em [Atribuição: intervalos de tempo definidos pela organização].
Discussão: A manutenção preditiva avalia a condição do equipamento realizando monitoramento periódico ou contínuo
(online) da condição do equipamento. O objetivo da manutenção preditiva é realizar a manutenção em um horário
programado, quando a atividade de manutenção for mais econômica e antes que o equipamento perca desempenho dentro
de um limite. A componente preditiva da manutenção preditiva decorre do objetivo de prever a tendência futura do estado
dos equipamentos. A abordagem de manutenção preditiva emprega
princípios de controle estatístico de processos para determinar em que ponto das futuras atividades de manutenção serão
apropriadas. A maioria das inspeções de manutenção preditiva são realizadas enquanto o equipamento está em serviço,
minimizando assim a interrupção das operações normais do sistema. A manutenção preditiva pode resultar em economias
substanciais de custos e maior confiabilidade do sistema.

e
g
_________________________________________________________________________________________________
pe
E (3) MANUTENÇÃO OPORTUNA | SUPORTE AUTOMATIZADO PARA MANUTENÇÃO PREDITIVA
Transferir dados de manutenção preditiva para um sistema de gerenciamento de manutenção usando

Discussão: Um sistema informatizado de gerenciamento de manutenção mantém um banco de dados de informações

sobre as operações de manutenção das organizações e automatiza o processamento de dados de condição de
equipamento para acionar o planejamento, execução e relatórios de manutenção.
MANUTENÇÃO DE CAMPO MA-7
Controle: Restringir ou proibir a manutenção de campo em [Atribuição: sistemas ou componentes de sistema definidos pela
organização] para [Atribuição: instalações de manutenção confiáveis definidas pela organização].
Discussão: Manutenção em campo é o tipo de manutenção realizada em um sistema ou componente de sistema após o
sistema ou componente ter sido implantado em um local específico (ou seja, ambiente operacional). Em certos casos, a manutenção
em campo (isto é, manutenção local no local) pode não ser executada com o mesmo grau de rigor ou com as mesmas verificações
de controle de qualidade que a manutenção em depósito. Para sistemas críticos designados como tal pela organização, pode
ser necessário restringir ou proibir a manutenção de campo no local e exigir que tal manutenção seja realizada em instalações
confiáveis com controles adicionais.
Controles Relacionados: MA-2, MA-4, MA-5.

e
g
_________________________________________________________________________________________________
pe
E 3.10 PROTEÇÃO DE MÍDIA
Link rápido para a tabela de resumo da proteção de mídia
POLÍTICA E PROCEDIMENTOS MP-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de proteção
de mídia em nível de sistema] que:

2. Procedimentos para facilitar a implementação da política de protecção dos meios de comunicação social e dos controlos
associados à protecção dos meios de comunicação social;

documentação e divulgação da política e procedimentos de proteção da mídia; e
c. Revise e atualize a proteção de mídia atual:


Discussão: A política e os procedimentos de proteção da mídia abordam os controles da família MP que são
políticas e procedimentos de proteção da mídia. As políticas e procedimentos do programa de segurança e privacidade
no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os
eventos que podem precipitar uma atualização da política e dos procedimentos de proteção da mídia incluem
resultados de avaliações ou auditorias, incidentes de segurança
ou violações ou alterações nas leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes
aplicáveis. A simples reafirmação dos controles não constitui uma política ou procedimento organizacional.

e
g
_________________________________________________________________________________________________
pe
E ACESSO À MÍDIA MP-2
Controle: Restringir o acesso a [Atribuição: tipos de mídia digital e/ ou não digital definidos pela organização] a [Atribuição:
pessoal ou funções definidos pela organização].
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui unidades flash, disquetes, fitas
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido, magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme. Negar o acesso aos registos médicos
dos pacientes num hospital comunitário, a menos que os indivíduos que procuram acesso a esses registos sejam
prestadores de cuidados de saúde autorizados, é um exemplo de restrição do acesso a meios não digitais. Limitar o acesso
às especificações de design armazenadas em CDs na biblioteca de mídia a indivíduos da equipe de desenvolvimento do
sistema é um exemplo de restrição de acesso à mídia digital.
Controles relacionados: AC-19, AU-9, CP-2, CP-9, CP-10, MA-5, MP-4, MP-6, PE-2, PE-3, SC-12, SC-13 , SC-34, SI-12.
(1) ACESSO À MÍDIA | ACESSO RESTRITO AUTOMATIZADO
[Retirado: Incorporado ao MP-4(2).]
(2) ACESSO À MÍDIA | PROTEÇÃO CRIPTOGRÁFICA
[Retirado: Incorporado em SC-28(1).]
Referências: [OMB A-130], [FIPS 199], [SP 800-111].
MARCAÇÃO DE MÍDIA MP-3
Ao controle:
a. Marque a mídia do sistema indicando as limitações de distribuição, as advertências de tratamento e as restrições aplicáveis.
marcações de segurança (se houver) das informações; e
b. Isento [Atribuição: tipos de mídia do sistema definidos pela organização] da marcação se a mídia
permanecer dentro de [Atribuição: áreas controladas definidas pela organização].
Discussão: A marcação de segurança refere-se à aplicação ou uso de atributos de segurança legíveis por humanos.
A mídia digital inclui disquetes, fitas magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado
sólido, magnético), unidades flash, discos compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme.
As informações não classificadas controladas são definidas pela Administração Nacional de Arquivos e Registros juntamente
com os requisitos apropriados de salvaguarda e disseminação para tais informações e são codificadas em [32 CFR
2002]. Geralmente, as marcações de segurança não são exigidas para mídias que contenham informações determinadas
pelas organizações como sendo de domínio público ou divulgáveis publicamente. Algumas organizações podem
exigir marcações para informações públicas indicando que as informações podem ser divulgadas publicamente.
A marcação da mídia do sistema reflete as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e diretrizes
aplicáveis.
Controles Relacionados: AC-16, CP-9, MP-5, PE-22, SI-12.
Referências: [EO 13556], [32 CFR 2002], [FIPS 199].
ARMAZENAMENTO DE MÍDIA MP-4
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Controlar fisicamente e armazenar com segurança [Atribuição: tipos de dados digitais definidos pela organização
e/ ou mídia não digital] dentro de [Atribuição: áreas controladas definidas pela organização]; e
b. Proteja os tipos de mídia do sistema definidos na MP-4a até que a mídia seja destruída ou higienizada usando
equipamentos, técnicas e procedimentos aprovados.
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido, magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui papel e microfilme. O controle físico da mídia
armazenada inclui a realização de inventários, a garantia de que os procedimentos estejam em vigor para
permitir que os indivíduos retirem e devolvam a mídia à biblioteca e a manutenção da responsabilidade pela mídia
armazenada. O armazenamento seguro inclui uma gaveta, mesa ou armário trancado ou uma biblioteca de mídia
controlada. O tipo de armazenamento de mídia é compatível com a categoria de segurança ou classificação das
informações na mídia. Áreas controladas são espaços
que fornecem controles físicos e processuais para atender aos requisitos estabelecidos para proteção de
informações e sistemas. Menos controles podem ser necessários para mídias que contenham
informações determinadas como sendo de domínio público, divulgáveis publicamente ou que tenham impactos adversos
limitados em organizações, operações ou indivíduos, se acessadas por pessoas que não sejam pessoas
autorizadas. Nessas situações, os controles de acesso físico proporcionam proteção adequada.
Controles relacionados: AC-19, CP-2, CP-6, CP-9, CP-10, MP-2, MP-7, PE-3, PL-2, SC- 12, SC-13, SC-28 , SC-34,
SI-12.
(1) ARMAZENAMENTO DE MÍDIA | PROTEÇÃO CRIPTOGRÁFICA
(2) ARMAZENAMENTO DE MÍDIA | ACESSO RESTRITO AUTOMATIZADO
Restrinja o acesso a áreas de armazenamento de mídia e registre tentativas de acesso e acesso concedido
Discussão: Os mecanismos automatizados incluem teclados, leitores biométricos ou leitores de cartões nas
entradas externas das áreas de armazenamento de mídia.
Controles relacionados: AC-3, AU-2, AU-6, AU-9, AU-12, PE-3.
Referências: [FIPS 199], [SP 800-56A], [SP 800-56B], [SP 800-56C], [SP 800-57-1], [SP 800-57-2], [SP 800- 57-3], [SP
800-111].
TRANSPORTE DE MÍDIA MP-5
Ao controle:
a. Proteger e controlar [Atribuição: tipos de mídia do sistema definidos pela organização] durante
transporte fora das áreas controladas usando [Atribuição: controles definidos pela organização];
b. Manter a responsabilidade pela mídia do sistema durante o transporte fora das áreas controladas;
c. Documentar atividades associadas ao transporte de mídia do sistema; e
d. Restrinja as atividades associadas ao transporte de mídia do sistema a pessoas autorizadas

pessoal.
magnéticas, unidades de disco rígido externas ou removíveis (por exemplo, estado sólido e magnético), discos
compactos e discos versáteis digitais. A mídia não digital inclui microfilme e papel. Áreas controladas são espaços
para os quais as organizações fornecem controles físicos ou processuais para atender aos requisitos
estabelecidos para proteção de informações e sistemas. Os controles para proteger a mídia durante o transporte
incluem criptografia e contêineres trancados. Criptográfico

e
g
_________________________________________________________________________________________________
pe
E mecanismos podem fornecer proteções de confidencialidade e integridade dependendo dos mecanismos implementados.
As atividades associadas ao transporte de mídia incluem a liberação de mídia para transporte, garantindo que a mídia
entre nos processos de transporte apropriados e no próprio transporte.
O pessoal autorizado de transporte e entrega pode incluir indivíduos externos à organização.
Manter a responsabilidade da mídia durante o transporte inclui restringir as atividades de transporte a pessoal
autorizado e rastrear e/ou obter registros das atividades de transporte à medida que a mídia se move através do
sistema de transporte para prevenir e detectar perda, destruição ou adulteração.
As organizações estabelecem requisitos de documentação para atividades associadas ao transporte de mídia do
sistema de acordo com avaliações organizacionais de risco. As organizações mantêm a flexibilidade para definir
métodos de manutenção de registos para os diferentes tipos de transporte de meios de comunicação social como parte
de um sistema de registos relacionados com o transporte.
Controles relacionados: AC-7, AC-19, CP-2, CP-9, MP-3, MP-4, PE-16, PL-2, SC-12, SC-13, SC-28, SC-34 .
(1) TRANSPORTE DE MÍDIA | PROTEÇÃO FORA DAS ÁREAS CONTROLADAS
(2) TRANSPORTE DE MÍDIA | DOCUMENTAÇÃO DE ATIVIDADES
(3) TRANSPORTE DE MÍDIA | CUSTODIANTES
Empregue um custodiante identificado durante o transporte da mídia do sistema fora do controle

áreas.
Discussão: Os custodiantes identificados proporcionam às organizações pontos de contacto específicos durante o

processo de transporte de meios de comunicação social e facilitam a responsabilização individual. As
responsabilidades de custódia podem ser transferidas de um indivíduo para outro se for identificado um custodiante inequívoco.
(4) TRANSPORTE DE MÍDIA | PROTEÇÃO CRIPTOGRÁFICA
Referências: [FIPS 199], [SP 800-60-1], [SP 800-60-2].
SANITIZAÇÃO DE MÍDIA MP-6
Ao controle:
a. Sanitizar [Tarefa: mídia do sistema definida pela organização] antes do descarte, liberação fora do controle
organizacional ou liberação para reutilização usando [Tarefa: técnicas e procedimentos de sanitização
b. Empregar mecanismos de sanitização com força e integridade proporcionais ao

categoria de segurança ou classificação da informação.
Discussão: A sanitização de mídia se aplica a todas as mídias de sistemas digitais e não digitais sujeitas a
descarte ou reutilização, independentemente de a mídia ser considerada removível ou não. Os exemplos incluem
mídia digital em scanners, copiadoras, impressoras, notebooks, estações de trabalho, componentes de rede,
dispositivos móveis e mídias não digitais (por exemplo, papel e microfilme). O processo de sanitização remove
informações da mídia do sistema de forma que as informações não possam ser recuperadas ou reconstruídas.
Técnicas de higienização – incluindo limpeza, eliminação, apagamento criptográfico, desidentificação de
informações pessoalmente identificáveis e destruição – evitam a divulgação de informações a indivíduos não
autorizados quando tais mídias são reutilizadas ou liberadas para descarte.
As organizações determinam os métodos de higienização apropriados, reconhecendo que a destruição é por vezes
necessária quando outros métodos não podem ser aplicados aos meios que necessitam de higienização.

e
g
_________________________________________________________________________________________________
pe
E As organizações usam discrição no emprego de técnicas e procedimentos de higienização aprovados para mídias que
contenham informações consideradas de domínio público ou divulgáveis publicamente ou informações consideradas como não
tendo impacto adverso sobre organizações ou indivíduos se liberadas para reutilização ou descarte. A higienização de mídia não
digital inclui a destruição, a remoção de um apêndice classificado de um documento que de outra forma não seria classificado ou a
supressão de seções ou palavras selecionadas de um documento, obscurecendo as seções ou palavras redigidas de maneira
equivalente em eficácia à sua remoção do documento. Os padrões e políticas da NSA controlam o processo de higienização de
mídias que contêm informações confidenciais. As políticas da NARA controlam o processo de higienização de informações
não classificadas controladas.
Controles relacionados: AC-3, AC-7, AU-11, MA-2, MA-3, MA -4, MA-5, PM-22, SI-12 , SI-18, SI - 19, SR-11 .
(1) SANITIZAÇÃO DE MÍDIA | REVER, APROVAR, RASTREAR, DOCUMENTAR E VERIFICAR
Revise, aprove, rastreie, documente e verifique as ações de sanitização e descarte de mídia.
Discussão: As organizações analisam e aprovam a mídia a ser higienizada para garantir a conformidade com as políticas de
retenção de registros. As ações de rastreamento e documentação incluem listar o pessoal que revisou e aprovou as ações
de sanitização e descarte, tipos de mídia higienizada, arquivos armazenados na mídia, métodos de sanitização usados, data e
hora das ações de sanitização,
pessoal que realizou a higienização, ações de verificação tomadas e pessoal que realizou a verificação e as ações de
descarte tomadas. As organizações verificam se a higienização dos meios de comunicação foi eficaz antes do descarte.
(2) SANITIZAÇÃO DE MÍDIA | TESTE DE EQUIPAMENTO
Testar equipamentos e procedimentos de higienização [Atribuição: frequência definida pela organização]

para garantir que a higienização pretendida esteja sendo alcançada.
Discussão: Os testes de equipamentos e procedimentos de sanitização podem ser conduzidos por entidades
externas qualificadas e autorizadas, incluindo agências federais ou prestadores de serviços externos.
(3) SANITIZAÇÃO DE MÍDIA | TÉCNICAS NÃO DESTRUTIVAS
Aplique técnicas de sanitização não destrutivas a dispositivos de armazenamento portáteis antes de

conectá-los ao sistema nas seguintes circunstâncias: [Tarefa: circunstâncias definidas pela organização que
exigem sanitização de dispositivos de armazenamento portáteis].
Discussão: Os dispositivos de armazenamento portáteis incluem unidades de disco rígido externas ou removíveis (por
exemplo, estado sólido, magnético), discos ópticos, fitas magnéticas ou ópticas, dispositivos de memória flash, cartões de
memória flash e outros discos externos ou removíveis. Dispositivos de armazenamento portáteis podem ser
obtidos de fontes não confiáveis e contêm código malicioso que pode ser inserido ou transferido para sistemas organizacionais
através de portas USB ou outros portais de entrada. Embora a verificação de dispositivos de armazenamento seja
recomendada, a higienização fornece garantia adicional de que tais dispositivos estão livres de códigos maliciosos. As
organizações consideram a higienização não destrutiva de dispositivos de armazenamento portáteis quando os dispositivos
são adquiridos de fabricantes ou fornecedores antes do uso inicial ou quando as organizações não conseguem manter uma
cadeia de custódia positiva para os dispositivos.
(4) SANITIZAÇÃO DE MÍDIA | INFORMAÇÕES NÃO CLASSIFICADAS CONTROLADAS
(5) SANITIZAÇÃO DE MÍDIA | INFORMAÇÃO CLASSIFICADA

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao MP-6.]
(6) SANITIZAÇÃO DE MÍDIA | DESTRUIÇÃO DA MÍDIA
(7) SANITIZAÇÃO DE MÍDIA | AUTORIZAÇÃO DUPLA
Aplicar autorização dupla para a higienização de [Atribuição: mídia do sistema definida pela
organização].
Discussão: As organizações empregam autorização dupla para ajudar a garantir que a higienização da
mídia do sistema não possa ocorrer a menos que dois indivíduos tecnicamente qualificados conduzam a tarefa
designada. Os indivíduos que higienizam a mídia do sistema possuem habilidades e conhecimentos
suficientes para determinar se a higienização proposta reflete os padrões, políticas e procedimentos
federais e organizacionais aplicáveis. A dupla autorização também ajuda a garantir que a higienização ocorra
conforme pretendido, protegendo contra erros e falsas alegações de ter realizado as ações de higienização.
A autorização dupla também pode ser conhecida como controle de duas pessoas. Para reduzir o risco de conluio,
as organizações consideram alternar as funções de autorização dupla para outros indivíduos.
Controles relacionados: AC-3, MP-2.
(8) SANITIZAÇÃO DE MÍDIA | PURGA OU LIMPEZA REMOTA DE INFORMAÇÕES
Fornecer a capacidade de limpar ou apagar informações de [Atribuição: sistemas ou componentes

de sistema definidos pela organização] [Seleção: remotamente; sob as seguintes condições:
[Atribuição: condições definidas pela organização]].
Discussão: A eliminação ou eliminação remota de informações protege as informações sobre sistemas

organizacionais e componentes de sistemas se os sistemas ou componentes forem obtidos por indivíduos não
autorizados. Os comandos de limpeza ou limpeza remota exigem autenticação forte para ajudar a mitigar o risco
de indivíduos não autorizados limparem ou limparem o sistema, componente ou dispositivo. A função de limpeza
ou limpeza pode ser implementada de várias maneiras, inclusive sobrescrevendo dados ou informações várias
vezes ou destruindo a chave necessária para descriptografar dados criptografados.
Referências: [32 CFR 2002], [OMB A-130], [NARA CUI], [FIPS 199], [SP 800-60-1], [SP 800-60-2],
[SP 800-88], [SP 800-124], [IR 8023], [NSA MEDIA].
USO DE MÍDIA MP-7
Ao controle:
a. [Seleção: Restringir; Proibir] o uso de [Atribuição: tipos de sistema definidos pela organização
mídia] em [Tarefa: sistemas ou componentes de sistema definidos pela organização] usando
[Tarefa: controles definidos pela organização]; e
b. Proibir o uso de dispositivos de armazenamento portáteis em sistemas organizacionais quando tais dispositivos
não têm proprietário identificável.
Discussão: A mídia do sistema inclui mídia digital e não digital. A mídia digital inclui
disquetes, fitas magnéticas, unidades flash, discos compactos, discos versáteis digitais e unidades de disco rígido
removíveis. A mídia não digital inclui papel e microfilme. As proteções de uso de mídia também se aplicam a dispositivos
móveis com capacidade de armazenamento de informações. Em contraste com o MP-2, que restringe o acesso do
usuário à mídia, o MP-7 restringe o uso de certos tipos de mídia nos sistemas, por exemplo, restringindo ou
proibindo o uso de unidades flash ou unidades de disco rígido externas. As organizações usam
controles técnicos e não técnicos para restringir o uso da mídia do sistema. As organizações podem restringir o
uso de dispositivos de armazenamento portáteis, por exemplo, usando gaiolas físicas em estações de trabalho para
proibir o acesso a determinadas portas externas ou desabilitando ou removendo a capacidade de inserir, ler ou

e
g
_________________________________________________________________________________________________
pe
E escreva para esses dispositivos. As organizações também podem limitar o uso de dispositivos de armazenamento
portáteis apenas a dispositivos aprovados, incluindo dispositivos fornecidos pela organização, dispositivos fornecidos
por outras organizações aprovadas e dispositivos que não sejam de propriedade pessoal. Finalmente, as organizações
podem restringir o uso de dispositivos de armazenamento portáteis com base no tipo de dispositivo, proibindo o uso
de dispositivos de armazenamento portáteis graváveis e implementando essa restrição desabilitando ou removendo a
capacidade de gravar em tais dispositivos. Exigir proprietários identificáveis para dispositivos de armazenamento
reduz o risco de uso de tais dispositivos, permitindo que as organizações atribuam responsabilidades para lidar com
vulnerabilidades conhecidas nos dispositivos.
Controles relacionados: AC-19, AC-20, PL-4, PM-12, SC-34, SC-41.
(1) USO DE MÍDIA | PROIBIR USO SEM PROPRIETÁRIO
(2) USO DE MÍDIA | PROIBIR O USO DE MÍDIA RESISTENTE À SANITIZAÇÃO
Proibir o uso de mídias resistentes à higienização em sistemas organizacionais.

Discussão: A resistência à higienização refere-se à resistência dos meios a processos não destrutivos.
técnicas de sanitização no que diz respeito à capacidade de eliminar informações da mídia.
Certos tipos de mídia não suportam comandos de higienização ou, se forem suportados, as interfaces não são
suportadas de forma padronizada nesses dispositivos. A mídia resistente à higienização inclui flash compacto,
flash incorporado em placas e dispositivos, unidades de estado sólido e mídia removível USB.
Referências: [FIPS 199], [SP 800-111].
DOWNGRADING DE MÍDIA MP-8
Ao controle:
a. Estabeleça [Tarefa: processo de downgrade de mídia do sistema definido pela organização] que
inclui o emprego de mecanismos de rebaixamento com força e integridade proporcionais à categoria de
segurança ou classificação das informações;
b. Verifique se o processo de downgrade da mídia do sistema é compatível com a categoria de segurança e/ou
nível de classificação das informações a serem removidas e as autorizações de acesso dos potenciais
destinatários das informações rebaixadas;
c. Identificar [Atribuição: mídia de sistema definida pela organização que requer downgrade]; e
d. Faça downgrade da mídia do sistema identificada usando o processo estabelecido.
Discussão: O downgrade de mídia se aplica a mídias digitais e não digitais sujeitas a divulgação fora da
organização, independentemente de a mídia ser considerada removível ou não. Quando aplicado à mídia do sistema, o
processo de downgrade remove informações da mídia, normalmente por categoria de segurança ou nível de
classificação, de modo que as informações não possam ser recuperadas ou reconstruídas. O downgrade da
mídia inclui a redação de informações para permitir uma divulgação e distribuição mais amplas. O downgrade garante
que o espaço vazio na mídia fique desprovido de informações.
(1) DOWNGRADING DE MÍDIA | DOCUMENTAÇÃO DO PROCESSO
Documente ações de downgrade de mídia do sistema.

e
g
_________________________________________________________________________________________________
pe
E Discussão: As organizações podem documentar o processo de rebaixamento de mídia fornecendo informações, como
a técnica de rebaixamento empregada, o número de identificação da mídia rebaixada e a identidade do indivíduo que autorizou
e/ou executou a ação de rebaixamento.
(2) DOWNGRADING DE MÍDIA | TESTE DE EQUIPAMENTO
Testar equipamentos e procedimentos de downgrade [Atribuição: frequência definida pela organização]

para garantir que as ações de downgrade estejam sendo alcançadas.
(3) DOWNGRADING DE MÍDIA | INFORMAÇÕES NÃO CLASSIFICADAS CONTROLADAS
Faça o downgrade da mídia do sistema contendo informações não classificadas controladas antes da divulgação
pública.
Discussão: A desclassificação de informações não classificadas controladas utiliza ferramentas, técnicas e

procedimentos de sanitização aprovados.
(4) DOWNGRADING DE MÍDIA | INFORMAÇÃO CLASSIFICADA
Faça o downgrade da mídia do sistema contendo informações confidenciais antes de liberá-las para indivíduos sem
as autorizações de acesso necessárias.
Discussão: A desclassificação de informações classificadas utiliza ferramentas, técnicas e procedimentos de

sanitização aprovados para transferir informações confirmadas como não classificadas de sistemas classificados para
mídias não classificadas.
Referências: [32 CFR 2002], [NSA MEDIA].

e
g
_________________________________________________________________________________________________
pe
E 3.11 PROTEÇÃO FÍSICA E AMBIENTAL
Link rápido para a Tabela Resumo de Proteção Física e Ambiental
POLÍTICA E PROCEDIMENTOS PE-1
Ao controle:

funções]:
nível] política de proteção física e ambiental que:

2. Procedimentos para facilitar a implementação das medidas físicas e ambientais

política de proteção e os controles de proteção física e ambiental associados;

documentação e divulgação da política e procedimentos de proteção física e ambiental; e
c. Rever e atualizar a atual proteção física e ambiental:


Discussão: As políticas e procedimentos de proteção física e ambiental abordam os controles da família PE que são
desenvolvimento de políticas e procedimentos de proteção física e ambiental. As políticas e procedimentos do programa
de segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas
e procedimentos específicos da missão ou do sistema. A política pode ser incluída como parte da política geral de
segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa das
organizações. Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de
missão ou de negócios e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles
são implementados e podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos
separados. Os eventos que podem precipitar uma atualização da política e dos procedimentos de proteção física e
ambiental incluem resultados de avaliações ou auditorias, incidentes ou violações de segurança ou alterações nas leis,
ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes aplicáveis. A simples reafirmação dos
controles não constitui uma política ou procedimento organizacional.
Controles relacionados: AT-3, PM-9, PS-8, SI-12.

e
g
_________________________________________________________________________________________________
pe
E AUTORIZAÇÕES DE ACESSO FÍSICO PE-2
Ao controle:
a. Desenvolver, aprovar e manter uma lista de indivíduos com acesso autorizado às instalações onde o sistema
reside;
b. Emitir credenciais de autorização para acesso às instalações;
c. Revise a lista de acesso detalhando o acesso autorizado às instalações por indivíduos [Atribuição: frequência
definida pela organização]; e
d. Remover indivíduos da lista de acesso à instalação quando o acesso não for mais necessário.
Discussão: As autorizações de acesso físico aplicam-se a funcionários e visitantes. Indivíduos com credenciais
permanentes de autorização de acesso físico não são considerados visitantes. As credenciais de autorização incluem
crachás de identificação, cartões de identificação e cartões inteligentes. As organizações determinam a força das
credenciais de autorização necessárias de acordo com as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. Autorizações de acesso físico podem não ser necessárias para acessar determinadas
áreas dentro de instalações designadas como acessíveis ao público.
Controles relacionados: AT-3, AU-9, IA-4, MA-5, MP-2, PE-3, PE-4, PE-5, PE-8, PM-12, PS-3, PS-4 , PS-5, PS-6.
(1) AUTORIZAÇÕES DE ACESSO FÍSICO | ACESSO POR POSIÇÃO OU FUNÇÃO
Autorize o acesso físico à instalação onde o sistema reside com base na posição ou função.
Discussão: O acesso às instalações com base na função inclui o acesso de pessoal autorizado de
manutenção permanente e regular/rotina, oficiais de serviço e equipe médica de emergência.
(2) AUTORIZAÇÕES DE ACESSO FÍSICO | DUAS FORMAS DE IDENTIFICAÇÃO
Exigir duas formas de identificação das seguintes formas de identificação para acesso de visitantes à
instalação onde o sistema reside: [Atribuição: lista de formas de identificação aceitáveis definida pela
organização].
Discussão: As formas aceitáveis de identificação incluem passaportes, carteiras de motorista compatíveis com
REAL ID e cartões de verificação de identidade pessoal (PIV). Para obter acesso às instalações usando
mecanismos automatizados, as organizações podem usar cartões PIV, cartões-chave, PINs e biometria.
Controles Relacionados: IA-2, IA-4, IA-5.
(3) AUTORIZAÇÕES DE ACESSO FÍSICO | RESTRITO ACESSO NÃO CERTIFICADO
Restringir o acesso não escoltado às instalações onde o sistema reside ao pessoal com [Seleção
(uma ou mais): autorizações de segurança para todas as informações contidas no sistema;
autorizações formais de acesso a todas as informações contidas no sistema; necessidade de acesso a todas
as informações contidas no sistema; [Atribuição: autorizações de acesso físico definidas pela
organização]].
Discussão: Indivíduos sem autorizações de segurança, aprovações de acesso ou necessidade de conhecimento

são escoltados por indivíduos com autorizações de acesso físico adequadas para garantir que as informações
não sejam expostas ou comprometidas de outra forma.
Controles relacionados: PS-2, PS-6.
Referências: [FIPS 201-2], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4].

e
g
_________________________________________________________________________________________________
pe
E CONTROLE DE ACESSO FÍSICO PE-3
Ao controle:
a. Aplicar autorizações de acesso físico em [Atribuição: entrada e saída definidas pela organização
aponta para a instalação onde o sistema reside] por:
1. Verificar as autorizações individuais de acesso antes de conceder acesso à instalação; e
2. Controlar a entrada e a saída da instalação usando [Seleção (um ou mais): [Atribuição: sistemas ou dispositivos de controle
de acesso físico definidos pela organização]; guardas];
b. Manter registros de auditoria de acesso físico para [Atribuição: entrada ou saída definida pela organização
pontos];
c. Controlar o acesso às áreas dentro da instalação designadas como acessíveis ao público, implementando os seguintes controles:
[Atribuição: controles de acesso físico definidos pela organização];
d. Acompanhar visitantes e controlar a atividade dos visitantes [Atribuição: circunstâncias definidas pela organização
exigir escolta de visitantes e controle das atividades dos visitantes];
e. Chaves seguras, combinações e outros dispositivos de acesso físico;
f. Inventário [Atribuição: dispositivos de acesso físico definidos pela organização] a cada [Atribuição: frequência definida pela
organização]; e
g. Alterar combinações e chaves [Atribuição: frequência definida pela organização] e/ou quando as chaves são perdidas, as
combinações são comprometidas ou quando os indivíduos que possuem as chaves ou combinações são transferidos ou
rescindidos.
Discussão: O controle de acesso físico se aplica a funcionários e visitantes. Indivíduos com autorizações permanentes de acesso
físico não são considerados visitantes. Os controles de acesso físico para áreas acessíveis ao público podem incluir registros/
registros de controle de acesso físico, guardas ou dispositivos e barreiras de acesso físico para impedir o movimento de áreas
acessíveis ao público para áreas não públicas.
As organizações determinam os tipos de guardas necessários, incluindo pessoal de segurança profissional, usuários do sistema ou
pessoal administrativo. Os dispositivos de acesso físico incluem chaves, fechaduras, combinações, leitores biométricos e leitores de
cartões. Os sistemas de controle de acesso físico cumprem as leis, ordens executivas, diretivas, políticas, regulamentos, padrões e
diretrizes aplicáveis. As organizações têm flexibilidade nos tipos de registros de auditoria empregados. Os logs de auditoria podem
ser procedimentais, automatizados ou alguma combinação destes. Os pontos de acesso físico podem incluir pontos de acesso a
instalações, pontos de acesso internos a sistemas que exigem controles de acesso suplementares, ou ambos. Os componentes dos
sistemas podem estar em áreas designadas como acessíveis ao público, com organizações controlando o acesso aos
componentes.
Controles relacionados: AT-3, AU-2, AU-6, AU-9, AU-13, CP-10, IA-3, IA-8, MA-5, MP-2, MP-4, PE-2 , PE- 4, PE-5, PE-8, PS-2,
PS-3, PS-6, PS-7, RA-3, SC-28, SI-4, SR-3.
(1) CONTROLE DE ACESSO FÍSICO | ACESSO AO SISTEMA
Aplicar autorizações de acesso físico ao sistema, além dos controles de acesso físico para a instalação em
[Atribuição: espaços físicos definidos pela organização contendo um ou mais componentes do sistema].
Discussão: O controle do acesso físico ao sistema proporciona segurança física adicional para as áreas das instalações onde
há concentração de componentes do sistema.
(2) CONTROLE DE ACESSO FÍSICO | INSTALAÇÕES E SISTEMAS

e
g
_________________________________________________________________________________________________
pe
E Realize verificações de segurança [Atribuição: frequência definida pela organização] no perímetro físico da
instalação ou sistema para exfiltração de informações ou remoção de componentes do sistema.
Discussão: As organizações determinam a extensão, frequência e/ou aleatoriedade das verificações de segurança para
mitigar adequadamente o risco associado à exfiltração.
Controles Relacionados: AC-4, SC-7.
(3) CONTROLE DE ACESSO FÍSICO | GUARDAS CONTÍNUOS
Empregue guardas para controlar [Atribuição: pontos de acesso físico definidos pela organização] nas instalações
onde o sistema reside 24 horas por dia, 7 dias por semana.
Discussão: A contratação de guardas em pontos de acesso físico selecionados às instalações proporciona uma
capacidade de resposta mais rápida para as organizações. Os guardas também oferecem a oportunidade de vigilância
humana em áreas das instalações não cobertas pela videovigilância.
Controles Relacionados: CP-6, CP-7, PE-6.
(4) CONTROLE DE ACESSO FÍSICO | CARCAÇAS FECHÁVEIS
Use invólucros físicos bloqueáveis para proteger [Atribuição: componentes do sistema definidos pela
organização] contra acesso físico não autorizado.
Discussão: O maior risco do uso de dispositivos portáteis – como smartphones, tablets e notebooks – é o roubo. As
organizações podem empregar invólucros físicos com trava para reduzir ou eliminar o risco de roubo de equipamentos.
Esses gabinetes vêm em vários tamanhos, desde unidades que protegem um único notebook até gabinetes completos que
podem proteger vários servidores, computadores e periféricos. Invólucros físicos traváveis podem ser usados em conjunto
com travas de cabo ou placas de bloqueio para evitar o roubo do invólucro trancado que contém o equipamento de
informática.
(5) CONTROLE DE ACESSO FÍSICO | PROTEÇÃO CONTRA VIOLAÇÃO
Empregar [Atribuição: tecnologias anti-adulteração definidas pela organização] para [Seleção (uma ou mais): detectar;
prevenir] adulteração física ou alteração de [Atribuição: componentes de hardware definidos pela organização]
dentro do sistema.
Discussão: As organizações podem implementar detecção e prevenção de violação em componentes de hardware

selecionados ou implementar detecção de violação em alguns componentes e prevenção de violação em outros
componentes. As atividades de detecção e prevenção podem empregar muitos tipos de tecnologias anti-adulteração,
incluindo selos de detecção de violação e revestimentos anti-adulteração. Os programas anti-adulteração ajudam a
detectar alterações de hardware através de falsificação e outros riscos relacionados à cadeia de suprimentos.
Controles Relacionados: SA-16, SR-9, SR-11.
(6) CONTROLE DE ACESSO FÍSICO | TESTE DE PENETRAÇÃO NAS INSTALAÇÕES
(7) CONTROLE DE ACESSO FÍSICO | BARREIRAS FÍSICAS
Limite o acesso usando barreiras físicas.
Discussão: As barreiras físicas incluem cabeços de amarração, lajes de concreto, paredes de jersey e barreiras
hidráulicas ativas para veículos.
(8) CONTROLE DE ACESSO FÍSICO | VESTÍBULOS DE CONTROLE DE ACESSO
Empregue vestíbulos de controle de acesso em [Atribuição: locais definidos pela organização dentro da instalação].

e
g
_________________________________________________________________________________________________
pe
E Discussão: Um vestíbulo de controle de acesso faz parte de um sistema de controle de acesso físico que normalmente
fornece um espaço entre dois conjuntos de portas interligadas. Os vestíbulos são projetados para evitar que indivíduos não
autorizados sigam indivíduos autorizados até instalações com acesso controlado. Esta atividade, também conhecida como
piggybacking ou utilização não autorizada, resulta em acesso não autorizado às instalações. Controladores de
portas interligadas podem ser usados para limitar o número de indivíduos que entram em pontos de acesso controlados
e para fornecer áreas de contenção enquanto a autorização para acesso físico é verificada. Os controladores de portas
interligadas podem ser totalmente automatizados (ou seja, controlando a abertura e o fechamento das portas) ou parcialmente
automatizados (ou seja, usando guardas de segurança para controlar o número de indivíduos que entram na área de
contenção).
Referências: [FIPS 201-2], [SP 800-73-4], [SP 800-76-2], [SP 800-78-4], [SP 800-116].
CONTROLE DE ACESSO PE-4 PARA TRANSMISSÃO
Controle: Controlar o acesso físico a [Atribuição: linhas de distribuição e transmissão do sistema definidas pela organização]
dentro das instalações organizacionais usando [Atribuição: controles de segurança definidos pela organização].
Discussão: Os controles de segurança aplicados às linhas de distribuição e transmissão do sistema evitam danos acidentais,
interrupções e adulterações físicas. Tais controles também podem ser necessários para evitar espionagem ou modificação de
transmissões não criptografadas. Os controles de segurança usados para controlar o acesso físico às linhas de distribuição e
transmissão do sistema incluem tomadas sobressalentes desconectadas ou bloqueadas, armários de fiação trancados,
proteção de cabeamento por conduíte ou bandejas de cabos e sensores de escuta telefônica.
Controles relacionados: AT-3, IA-4, MP-2, MP-4, PE-2, PE-3, PE-5, PE-9, SC-7, SC-8.
CONTROLE DE ACESSO PE-5 PARA DISPOSITIVOS DE SAÍDA
Controle: Controlar o acesso físico à saída de [Atribuição: dispositivos de saída definidos pela organização] para evitar que
indivíduos não autorizados obtenham a saída.
Discussão: Controlar o acesso físico aos dispositivos de saída inclui colocar os dispositivos de saída em salas trancadas ou
outras áreas seguras com controles de acesso por teclado ou leitor de cartão e permitir o acesso apenas a indivíduos
autorizados, colocar os dispositivos de saída em locais que possam ser monitorados pelo pessoal, instalar um monitor ou tela
filtros e usando fones de ouvido. Exemplos de dispositivos de saída incluem monitores, impressoras, scanners, dispositivos de
áudio, máquinas de fax e copiadoras.
Controles Relacionados: PE-2, PE-3, PE-4, PE-18.
(1) CONTROLE DE ACESSO PARA DISPOSITIVOS DE SAÍDA | ACESSO À PRODUÇÃO POR INDIVÍDUOS AUTORIZADOS
[Retirado: Incorporado ao PE-5.]
(2) CONTROLE DE ACESSO PARA DISPOSITIVOS DE SAÍDA | LINK PARA IDENTIDADE INDIVIDUAL
Vincule a identidade individual ao recebimento de saída dos dispositivos de saída.
Discussão: Os métodos para vincular a identidade individual ao recebimento de resultados de dispositivos de saída
incluem a instalação de funcionalidade de segurança em máquinas de fax, copiadoras e impressoras.
Essa funcionalidade permite que as organizações implementem autenticação em dispositivos de saída antes da liberação da
saída para indivíduos.

e
g
_________________________________________________________________________________________________
pe
(3) CONTROLE DE ACESSO PARA DISPOSITIVOS DE SAÍDA | MARCANDO DISPOSITIVOS DE SAÍDA
PE-6 MONITORAMENTO DE ACESSO FÍSICO
Ao controle:
a. Monitorar o acesso físico à instalação onde o sistema reside para detectar e responder a incidentes de segurança física;
b. Revise os registros de acesso físico [Atribuição: frequência definida pela organização] e após
ocorrência de [Atribuição: eventos definidos pela organização ou possíveis indícios de eventos]; e
c. Coordenar os resultados das revisões e investigações com a resposta organizacional a incidentes

capacidade.
Discussão: O monitoramento do acesso físico inclui áreas acessíveis ao público dentro das instalações organizacionais. Exemplos
de monitoramento de acesso físico incluem o emprego de guardas, equipamentos de videovigilância (isto é, câmeras) e
dispositivos sensores. A revisão dos logs de acesso físico pode ajudar a identificar atividades suspeitas, eventos anômalos ou
ameaças potenciais. As revisões podem ser apoiadas por controles de registro de auditoria, como AU-2, se os registros de
acesso fizerem parte de um sistema automatizado. Os recursos organizacionais de resposta a incidentes incluem investigações
de incidentes de segurança física e respostas aos incidentes. Os incidentes incluem violações de segurança ou atividades
suspeitas de acesso físico. Atividades de acesso físico suspeitas incluem acessos fora do horário normal de trabalho,
acessos repetidos a áreas normalmente não acessadas, acessos por períodos de tempo incomuns e acessos fora de sequência.
Controles relacionados: AU-2, AU-6, AU-9, AU-12, CA-7, CP-10, IR-4, IR-8.
(1) MONITORAMENTO DO ACESSO FÍSICO | ALARMES DE INTRUSÃO E EQUIPAMENTOS DE VIGILÂNCIA
Monitore o acesso físico à instalação onde o sistema reside usando alarmes de intrusão física e equipamentos de
vigilância.
Discussão: Alarmes de intrusão física podem ser empregados para alertar o pessoal de segurança quando há tentativa
de acesso não autorizado às instalações. Os sistemas de alarme funcionam em conjunto com barreiras físicas, sistemas
de controlo de acesso físico e guardas de segurança, desencadeando uma resposta quando estas outras formas
de segurança foram comprometidas ou violadas. Os alarmes de intrusão física podem incluir diferentes tipos de dispositivos
sensores, como sensores de movimento, sensores de contato e sensores de vidro quebrado. O equipamento de
vigilância inclui câmeras de vídeo instaladas em locais estratégicos da instalação.
(2) MONITORAMENTO DO ACESSO FÍSICO | RECONHECIMENTO E RESPOSTAS AUTOMATIZADAS À INTRUSÃO
Reconheça [Atribuição: classes ou tipos de intrusões definidos pela organização] e inicie [Atribuição: ações de
resposta definidas pela organização] usando [Atribuição: mecanismos automatizados definidos pela organização].
Discussão: As ações de resposta podem incluir a notificação de pessoal organizacional selecionado ou pessoal responsável
pela aplicação da lei. Os mecanismos automatizados implementados para iniciar ações de resposta incluem notificações de
alerta do sistema, mensagens de e-mail e de texto e ativação de mecanismos de travamento de portas. O monitoramento
de acesso físico pode ser coordenado com detecção de intrusão

e
g
_________________________________________________________________________________________________
pe
E sistemas e recursos de monitoramento de sistema para fornecer cobertura integrada de ameaças para a organização.
(3) MONITORAMENTO DO ACESSO FÍSICO | VIDEO VIGILÂNCIA
(a) Empregar vigilância por vídeo de [Atribuição: áreas operacionais definidas pela organização];
(b) Rever gravações de vídeo [Atribuição: frequência definida pela organização]; e
(c) Reter gravações de vídeo por [Tarefa: período de tempo definido pela organização].
Discussão: A videovigilância centra-se na gravação da actividade em áreas específicas para efeitos de revisão
posterior, se as circunstâncias assim o justificarem. As gravações de vídeo são normalmente revisadas para detectar eventos
ou incidentes anômalos. Não é necessário monitorar o vídeo de vigilância, embora as organizações possam optar por fazê-
lo. Pode haver considerações legais ao realizar e manter a vigilância por vídeo, especialmente se essa vigilância for
realizada em local público.
(4) MONITORAMENTO DO ACESSO FÍSICO | MONITORAMENTO DO ACESSO FÍSICO AOS SISTEMAS
Monitorar o acesso físico ao sistema, além do monitoramento do acesso físico da instalação em [Atribuição: espaços
físicos definidos pela organização contendo um ou mais componentes do sistema].
Discussão: O monitoramento do acesso físico aos sistemas fornece monitoramento adicional para as áreas dentro das
instalações onde há concentração de componentes do sistema, incluindo salas de servidores, áreas de armazenamento de
mídia e centros de comunicações. O monitoramento do acesso físico pode ser coordenado com sistemas de detecção de
intrusões e recursos de monitoramento do sistema para fornecer cobertura abrangente e integrada de ameaças para a
organização.
CONTROLE DE VISITANTES PE-7
[Retirado: Incorporado em PE-2 e PE-3.]
REGISTROS DE ACESSO DE VISITANTES PE-8
Ao controle:
a. Manter registros de acesso de visitantes à instalação onde o sistema reside por [Atribuição: período de tempo definido pela
organização];
b. Rever registos de acesso de visitantes [Atribuição: frequência definida pela organização]; e
c. Relate anomalias nos registros de acesso de visitantes para [Atribuição: pessoal definido pela organização].
Discussão: Os registros de acesso de visitantes incluem os nomes e organizações dos indivíduos que visitam,
assinaturas dos visitantes, formas de identificação, datas de acesso, horários de entrada e saída, finalidade das visitas e nomes e
organizações dos indivíduos visitados. As revisões dos registros de acesso determinam se as autorizações de acesso são atuais e
ainda são necessárias para apoiar a missão organizacional e as funções de negócios. Os registros de acesso não são
necessários para áreas acessíveis ao público.
Controles Relacionados: PE-2, PE-3, PE-6.
(1) REGISTROS DE ACESSO DE VISITANTES | MANUTENÇÃO E REVISÃO AUTOMATIZADA DE REGISTROS

e
g
_________________________________________________________________________________________________
pe
E Manter e revisar registros de acesso de visitantes usando [Atribuição: mecanismos automatizados definidos
Discussão: Os registros de acesso de visitantes podem ser armazenados e mantidos em um sistema de gerenciamento de
banco de dados acessível ao pessoal da organização. O acesso automatizado a esses registros facilita a revisão regular
dos registros para determinar se as autorizações de acesso estão atuais e ainda são necessárias para apoiar a missão
organizacional e as funções de negócios.
(2) REGISTROS DE ACESSO DE VISITANTES | REGISTROS DE ACESSO FÍSICO
(3) REGISTROS DE ACESSO DE VISITANTES | LIMITE ELEMENTOS DE INFORMAÇÃO PESSOALMENTE IDENTIFICÁVEIS
Limite as informações de identificação pessoal contidas nos registros de acesso de visitantes aos
seguintes elementos identificados na avaliação de risco de privacidade: [Atribuição: elementos definidos pela
organização].
Discussão: As organizações podem ter requisitos que especifiquem o conteúdo dos registros de acesso de visitantes. Limitar
informações pessoalmente identificáveis nos registros de acesso de visitantes quando tais informações não são
necessárias para fins operacionais ajuda a reduzir o nível de risco de privacidade criado por um sistema.
Controles Relacionados: RA-3, SA-8.
EQUIPAMENTOS E CABOS DE ENERGIA PE-9

Controle: Proteja o equipamento de energia e o cabeamento de energia do sistema contra danos e destruição.
Discussão: As organizações determinam os tipos de proteção necessários para os equipamentos de energia e cabeamento
empregados em diferentes locais que são internos e externos às instalações organizacionais e aos ambientes de operação. Os
tipos de equipamentos e cabeamento de energia incluem cabeamento interno e fontes de energia ininterruptas em escritórios ou
data centers, geradores e cabeamento de energia fora dos edifícios e fontes de energia para componentes independentes,
como satélites, veículos e outros sistemas implantáveis.
(1) EQUIPAMENTOS E CABOS DE ENERGIA | CABEAMENTO REDUNDANTE
Empregue caminhos de cabeamento de energia redundantes fisicamente separados por [Atribuição: distância
Discussão: Cabos de alimentação fisicamente separados e redundantes garantem que a energia continue a fluir no caso de
um dos cabos ser cortado ou danificado de outra forma.
(2) EQUIPAMENTOS E CABOS DE ENERGIA | CONTROLES AUTOMÁTICOS DE TENSÃO
Empregue controles automáticos de tensão para [Tarefa: componentes críticos do sistema definidos pela
organização].
Discussão: Os controles automáticos de tensão podem monitorar e controlar a tensão. Esses controles incluem
reguladores de tensão, condicionadores de tensão e estabilizadores de tensão.

e
g
_________________________________________________________________________________________________
pe
E DESLIGAMENTO DE EMERGÊNCIA PE-10
Ao controle:
a. Fornecer a capacidade de desligar a energia para [Atribuição: sistema definido pela organização ou
componentes individuais do sistema] em situações de emergência;
b. Coloque interruptores ou dispositivos de desligamento de emergência em [Atribuição: local definido pela organização por
sistema ou componente do sistema] para facilitar o acesso do pessoal autorizado; e
c. Proteja a capacidade de desligamento de emergência contra ativação não autorizada.
Discussão: O corte de energia de emergência aplica-se principalmente a instalações organizacionais que contêm concentrações
de recursos de sistema, incluindo centros de dados, salas de computadores mainframe, salas de servidores e áreas com maquinaria
controlada por computador.
(1) DESLIGAMENTO DE EMERGÊNCIA | ATIVAÇÃO ACIDENTAL E NÃO AUTORIZADA
ENERGIA DE EMERGÊNCIA PE-11
Controle: Fornecer uma fonte de alimentação ininterrupta para facilitar [Seleção (um ou mais): um desligamento ordenado
do sistema; transição do sistema para energia alternativa de longo prazo] no caso de perda da fonte de energia primária.
Discussão: Uma fonte de alimentação ininterrupta (UPS) é um sistema ou mecanismo elétrico que fornece energia de
emergência quando há uma falha na fonte de alimentação principal. Um UPS é normalmente usado para proteger computadores,
data centers, equipamentos de telecomunicações ou outros equipamentos elétricos onde uma interrupção inesperada de
energia pode causar ferimentos, fatalidades, interrupção grave da missão ou dos negócios, ou perda de dados ou
informações. Um UPS difere de um sistema de energia de emergência ou gerador de backup porque fornece proteção quase
instantânea contra interrupções imprevistas de energia da fonte de energia principal, fornecendo energia armazenada em baterias,
supercapacitores ou volantes. A duração da bateria de um UPS é relativamente curta, mas fornece tempo suficiente para iniciar
uma fonte de energia de reserva, como um gerador de reserva, ou desligar o sistema adequadamente.
Controles relacionados: AT-3, CP-2, CP-7.
(1) ENERGIA DE EMERGÊNCIA | FONTE DE ALIMENTAÇÃO ALTERNATIVA — CAPACIDADE OPERACIONAL MÍNIMA
Fornecer uma fonte de alimentação alternativa para o sistema que estiver ativado [Seleção: manualmente;
automaticamente] e que pode manter a capacidade operacional mínima necessária no caso de uma perda
prolongada da fonte de energia primária.
Discussão: O fornecimento de uma fonte de alimentação alternativa com capacidade operacional mínima pode ser satisfeito
acessando uma fonte de alimentação comercial secundária ou outra fonte de alimentação externa.
(2) ENERGIA DE EMERGÊNCIA | FONTE DE ALIMENTAÇÃO ALTERNATIVA - AUTÔNOMA
Fornecer uma fonte de alimentação alternativa para o sistema que estiver ativado [Seleção: manualmente;
automaticamente] e isso é:
(a) Autônomo;

e
g
_________________________________________________________________________________________________
pe
E (b) Não depende de geração externa de energia; e
(c) Capaz de manter [Seleção: capacidade operacional minimamente necessária; completo

capacidade operacional] no caso de uma perda prolongada da fonte de energia primária.
Discussão: O fornecimento de uma fonte de alimentação independente e de longo prazo pode ser satisfeito usando um ou
mais geradores com capacidade suficiente para atender às necessidades da organização.
ILUMINAÇÃO DE EMERGÊNCIA PE-12
Controle: Empregar e manter iluminação de emergência automática para o sistema que é ativado em caso de queda ou interrupção
de energia e que cobre saídas de emergência e rotas de evacuação dentro da instalação.
Discussão: O fornecimento de iluminação de emergência aplica-se principalmente a instalações organizacionais que contêm
concentrações de recursos de sistema, incluindo centros de dados, salas de servidores e salas de computadores de
mainframe. As disposições de iluminação de emergência para o sistema estão descritas no plano de contingência da organização.
Se a iluminação de emergência do sistema falhar ou não puder ser fornecida, as organizações consideram locais de
processamento alternativos para contingências relacionadas com a energia.
Controles Relacionados: CP-2, CP-7.
(1) ILUMINAÇÃO DE EMERGÊNCIA | MISSÃO ESSENCIAL E FUNÇÕES DE NEGÓCIO
Fornece iluminação de emergência para todas as áreas da instalação, apoiando missões essenciais e funções
comerciais.
Discussão: As organizações definem as suas missões e funções essenciais.
PE-13 PROTEÇÃO CONTRA INCÊNDIO
Controle: Empregar e manter sistemas de detecção e supressão de incêndio apoiados por uma fonte de energia independente.
Discussão: O fornecimento de sistemas de detecção e supressão de incêndio aplica-se principalmente a instalações

organizacionais que contêm concentrações de recursos de sistema, incluindo centros de dados, salas de servidores e salas de
computadores de mainframe. Os sistemas de detecção e supressão de incêndio que podem exigir uma fonte de energia independente
incluem sistemas de sprinklers e detectores de fumaça. Uma fonte de energia independente é uma fonte de energia, como
uma microrrede, que é separada, ou pode ser separada, das fontes de energia que fornecem energia para as outras partes da
instalação.
(1) PROTEÇÃO CONTRA INCÊNDIO | SISTEMAS DE DETECÇÃO — ATIVAÇÃO E NOTIFICAÇÃO AUTOMÁTICAS
Empregue sistemas de detecção de incêndio que sejam ativados automaticamente e notifiquem [Atribuição:
pessoal ou funções definidas pela organização] e [Atribuição: equipes de emergência definidas pela
organização] em caso de incêndio.
Discussão: As organizações podem identificar pessoal, funções e equipes de emergência se

os indivíduos na lista de notificação precisam ter autorizações ou autorizações de acesso (por exemplo, para entrar em
instalações onde o acesso é restrito devido à classificação ou nível de impacto do

e
g
_________________________________________________________________________________________________
pe
E informações dentro da instalação). Os mecanismos de notificação podem exigir fontes de energia independentes para
garantir que a capacidade de notificação não seja afetada negativamente pelo incêndio.
(2) PROTEÇÃO CONTRA INCÊNDIO | SISTEMAS DE SUPRESSÃO — ATIVAÇÃO E NOTIFICAÇÃO AUTOMÁTICA
(a) Empregar sistemas de supressão de incêndio que sejam ativados automaticamente e notifiquem [Atribuição:
pessoal ou funções definidas pela organização] e [Atribuição: atendentes de emergência definidos pela
organização]; e
(b) Empregar uma capacidade automática de supressão de incêndio quando a instalação não tiver pessoal
permanente.
Discussão: As organizações podem identificar pessoal, funções e equipes de emergência específicas se os indivíduos na
lista de notificação precisarem ter autorizações e/ou autorizações de acesso apropriadas (por exemplo, para entrar em
instalações onde o acesso é restrito devido ao nível de impacto ou classificação de informações dentro a facilidade). Os
mecanismos de notificação podem exigir fontes de energia independentes para garantir que a capacidade de
notificação não seja afetada negativamente pelo incêndio.
(3) PROTEÇÃO CONTRA INCÊNDIO | SUPRESSÃO AUTOMÁTICA
DE INCÊNDIO [Retirado: Incorporado na PE-13(2).]
(4) PROTEÇÃO CONTRA INCÊNDIO | INSPEÇÕES
Certifique-se de que a instalação seja submetida a [Atribuição: frequência definida pela organização] inspeções
de proteção contra incêndio por inspetores autorizados e qualificados e que as deficiências identificadas sejam
resolvidas dentro de [Atribuição: período de tempo definido pela organização].
Discussão: Pessoal autorizado e qualificado dentro da jurisdição da organização

incluem inspetores de incêndio e bombeiros estaduais, municipais e municipais. As organizações fornecem escoltas
durante as inspeções em situações em que os sistemas residentes nas instalações contêm informações confidenciais.
PE-14 CONTROLES AMBIENTAIS

Ao controle:
a. Manter [Seleção (uma ou mais): temperatura; umidade; pressão; radiação; [Atribuição: controle ambiental definido pela
organização]] níveis dentro da instalação onde o sistema reside em [Atribuição: níveis aceitáveis definidos pela
organização]; e
b. Monitorar os níveis de controle ambiental [Atribuição: frequência definida pela organização].
Discussão: A provisão de controles ambientais aplica-se principalmente a instalações organizacionais que contêm concentrações
de recursos de sistema (por exemplo, centros de dados, salas de computadores mainframe e salas de servidores). Controlos
ambientais insuficientes, especialmente em ambientes muito adversos, podem ter um impacto adverso significativo na
disponibilidade de sistemas e componentes de sistemas necessários para apoiar a missão organizacional e as funções empresariais.
Controles relacionados: AT-3, CP-2.
(1) CONTROLES AMBIENTAIS | CONTROLES AUTOMÁTICOS

e
g
_________________________________________________________________________________________________
pe
E Empregue os seguintes controles ambientais automáticos na instalação para evitar flutuações
potencialmente prejudiciais ao sistema: [Tarefa: controles ambientais automáticos definidos pela
organização].
Discussão: A implementação de controles ambientais automáticos fornece uma resposta imediata às condições
ambientais que podem danificar, degradar ou destruir sistemas organizacionais ou componentes de sistemas.
(2) CONTROLES AMBIENTAIS | MONITORAMENTO COM ALARMES E NOTIFICAÇÕES
Empregar monitoramento de controle ambiental que forneça um alarme ou notificação de mudanças

potencialmente prejudiciais ao pessoal ou equipamento para [Atribuição: pessoal ou funções definidas pela
organização].
Discussão: O alarme ou notificação pode ser um alarme sonoro ou uma mensagem visual em tempo real para o pessoal
ou funções definidas pela organização. Esses alarmes e notificações podem ajudar a minimizar os danos aos indivíduos
e aos ativos organizacionais, facilitando uma resposta oportuna a incidentes.
PROTEÇÃO CONTRA DANOS DE ÁGUA PE-15
Controle: Proteja o sistema contra danos resultantes de vazamento de água, fornecendo válvulas principais de corte ou
isolamento que sejam acessíveis, funcionem corretamente e sejam conhecidas pelo pessoal-chave.
Discussão: A provisão de proteção contra danos causados pela água aplica-se principalmente a instalações organizacionais
que contêm concentrações de recursos de sistema, incluindo centros de dados, salas de servidores e salas de computadores de
mainframe. As válvulas de isolamento podem ser empregadas além ou no lugar das válvulas mestres de corte para desligar o
abastecimento de água em áreas específicas de preocupação sem afetar organizações inteiras.
Controles relacionados: AT-3, PE-10.
(1) PROTEÇÃO CONTRA DANOS ÁGUA | SUPORTE À AUTOMAÇÃO
Detecte a presença de água perto do sistema e alerte [Atribuição: pessoal ou funções definidas pela organização]
Discussão: Mecanismos automatizados incluem sistemas de notificação, sensores de detecção de água e alarmes.
ENTREGA E REMOÇÃO PE-16
Ao controle:
a. Autorizar e controlar [Atribuição: tipos de componentes do sistema definidos pela organização] a entrada e saída da
instalação; e
b. Manter registros dos componentes do sistema.
Discussão: A aplicação de autorizações para entrada e saída de componentes do sistema pode exigir a restrição do acesso
às áreas de entrega e o isolamento das áreas do sistema e das bibliotecas de mídia.
Controles relacionados: CM-3, CM-8, MA-2, MA-3, MP-5, PE-20, SR-2, SR-3, SR-4, SR-6.

e
g
_________________________________________________________________________________________________
pe
E Melhorias de controle: Nenhuma.
PE-17 LOCAL DE TRABALHO ALTERNATIVO
Ao controle:
a. Determinar e documentar a [Atribuição: locais de trabalho alternativos definidos pela organização]

permitido para uso pelos funcionários;
b. Empregue os seguintes controles em locais de trabalho alternativos: [Atribuição: definido pela organização
controles];
c. Avaliar a eficácia dos controles em locais de trabalho alternativos; e
d. Fornecer um meio para os funcionários se comunicarem com segurança e privacidade da informação

pessoal em caso de incidentes.
Discussão: Locais de trabalho alternativos incluem instalações governamentais ou residências privadas de

funcionários. Embora distintos dos locais de processamento alternativos, os locais de trabalho alternativos podem
fornecer locais alternativos prontamente disponíveis durante operações de contingência. As organizações podem
definir diferentes conjuntos de controles para locais de trabalho alternativos específicos ou tipos de locais,
dependendo das atividades relacionadas ao trabalho realizadas nos locais. Implementar e avaliar a eficácia dos
controles definidos pela organização e fornecer meios para comunicar incidentes em locais de trabalho alternativos apoia
as atividades de planejamento de contingência das organizações.
Controles relacionados: AC-17, AC-18, CP-7.
PE-18 LOCALIZAÇÃO DOS COMPONENTES DO SISTEMA
Controle: Posicione os componentes do sistema dentro da instalação para minimizar danos potenciais de
[Atribuição: riscos físicos e ambientais definidos pela organização] e para minimizar a oportunidade de acesso não
autorizado.
Discussão: Os riscos físicos e ambientais incluem inundações, incêndios, tornados, terremotos, furacões, terrorismo,
vandalismo, pulso eletromagnético, interferência elétrica e outras formas de radiação eletromagnética recebida. As
organizações consideram a localização dos pontos de entrada onde indivíduos não autorizados, embora não tenham
acesso concedido, possam estar próximos
sistemas. Essa proximidade pode aumentar o risco de acesso não autorizado às comunicações
organizacionais usando detectores de pacotes sem fio ou microfones, ou de divulgação não autorizada de
informações.
Controles Relacionados: CP-2, PE-5, PE-19, PE-20, RA-3.
(1) LOCALIZAÇÃO DOS COMPONENTES DO SISTEMA | LOCAL DA INSTALAÇÃO
[Retirado: movido para PE-23.]
VAZAMENTO DE INFORMAÇÕES PE-19
Controle: Proteja o sistema contra vazamento de informações devido a emanações de sinais

eletromagnéticos.
Discussão: O vazamento de informações é a liberação intencional ou não intencional de dados ou informações para um
ambiente não confiável a partir de emanações de sinais eletromagnéticos. As categorias de segurança

e
g
_________________________________________________________________________________________________
pe
E ou classificações de sistemas (com relação à confidencialidade), políticas de segurança organizacional e tolerância a riscos orientam
a seleção de controles empregados para proteger sistemas contra vazamento de informações devido a emanações de sinais
eletromagnéticos.
Controles Relacionados: AC-18, PE-18, PE-20.
(1) VAZAMENTO DE INFORMAÇÕES | POLÍTICAS E PROCEDIMENTOS NACIONAIS DE EMISSÕES
Proteja os componentes do sistema, as comunicações de dados associadas e as redes de acordo com as políticas e
procedimentos nacionais de segurança de emissões com base na categoria de segurança ou classificação das
informações.
Discussão: As políticas de Segurança de Emissões (EMSEC) incluem as antigas políticas TEMPEST.
Referências: [FIPS 199].
MONITORAMENTO E RASTREAMENTO DE ATIVOS PE-20
Controle: Empregar [Atribuição: tecnologias de localização de ativos definidas pela organização] para rastrear e monitorar a
localização e movimentação de [Atribuição: ativos definidos pela organização] dentro de [Atribuição: áreas controladas
definidas pela organização].
Discussão: As tecnologias de localização de ativos podem ajudar a garantir que ativos críticos – incluindo veículos, equipamentos
e componentes de sistema – permaneçam em locais autorizados. As organizações consultam o Gabinete do Conselho Geral e o
funcionário sênior da agência para privacidade em relação à implantação e uso de tecnologias de localização de ativos para abordar
possíveis preocupações de privacidade.
Controles Relacionados: CM-8, PE-16, PM-8.
PROTEÇÃO DE PULSO ELETROMAGNÉTICO PE-21
Controle: Empregar [Tarefa: medidas de proteção definidas pela organização] contra danos por pulso
eletromagnético para [Tarefa: sistemas e componentes de sistema definidos pela organização].
Discussão: Um pulso eletromagnético (EMP) é uma pequena explosão de energia eletromagnética que se espalha por uma
faixa de frequências. Essas explosões de energia podem ser naturais ou provocadas pelo homem. A interferência EMP pode
perturbar ou danificar equipamentos eletrônicos. As medidas de proteção usadas para mitigar o risco de EMP incluem blindagem,
supressores de surto, transformadores ferro-ressonantes e aterramento. A protecção EMP pode ser especialmente significativa para
sistemas e aplicações que fazem parte da infra-estrutura crítica dos EUA.
Controles Relacionados: PE-18, PE-19.
MARCAÇÃO DE COMPONENTE PE-22
Controle: Marca [Atribuição: componentes de hardware do sistema definidos pela organização] indicando o nível de impacto ou
nível de classificação das informações que podem ser processadas, armazenadas ou transmitidas pelo componente de
hardware.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Os componentes de hardware que podem exigir marcação incluem dispositivos de entrada e saída.
Os dispositivos de entrada incluem computadores desktop e notebook, teclados, tablets e smartphones.
Os dispositivos de saída incluem impressoras, monitores/telas de vídeo, máquinas de fax, scanners, copiadoras e
dispositivos de áudio. As permissões que controlam a saída para os dispositivos de saída são endereçadas em AC-3 ou
AC-4. Os componentes são marcados para indicar o nível de impacto ou nível de classificação do sistema ao qual os
dispositivos estão conectados, ou o nível de impacto ou nível de classificação das informações permitidas para serem
emitidas. A marcação de segurança refere-se ao uso de atributos de segurança legíveis por humanos.
A rotulagem de segurança refere-se ao uso de atributos de segurança para estruturas de dados do sistema interno.
A marcação de segurança geralmente não é exigida para componentes de hardware que processam, armazenam
ou transmitem informações determinadas pelas organizações como sendo de domínio público ou divulgáveis
publicamente. No entanto, as organizações podem exigir marcações para componentes de hardware que
processam, armazenam ou transmitem informações públicas, a fim de indicar que tais informações podem ser
divulgadas publicamente. A marcação dos componentes de hardware do sistema reflete as leis, ordens executivas,
diretivas, políticas, regulamentos e padrões aplicáveis.
Controles relacionados: AC-3, AC-4, AC-16, MP-3.
LOCALIZAÇÃO DA INSTALAÇÃO PE-23
Ao controle:
a. Planeje o local ou local da instalação onde o sistema reside, considerando aspectos físicos e
perigos ambientais; e
b. Para instalações existentes, considere os perigos físicos e ambientais na estratégia de gestão de riscos organizacionais.
Discussão: Os riscos físicos e ambientais incluem inundações, incêndios, tornados, terremotos, furacões, terrorismo,
vandalismo, pulso eletromagnético, interferência elétrica e outras formas de radiação eletromagnética recebida. A
localização dos componentes do sistema dentro da instalação é abordada na PE-18.
Controles Relacionados: CP-2, PE-18, PE-19, PM-8, PM-9, RA-3.

e
g
_________________________________________________________________________________________________
pe
E 3.12 PLANEJAMENTO
Link rápido para a Tabela de Resumo de Planejamento
POLÍTICA E PROCEDIMENTOS PL-1
Ao controle:

funções]:
nível] política de planejamento que:
2. Procedimentos para facilitar a implementação da política de planeamento e dos controlos de planeamento associados;

documentação e divulgação da política e procedimentos de planejamento; e
c. Revise e atualize o planejamento atual:
1. Política [Atribuição: frequência definida pela organização] e acompanhamento [Atribuição: eventos definidos
pela organização]; e

Discussão: Política de planejamento e procedimentos para os controles da família PL implementados em sistemas e organizações.
A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas e procedimentos. Políticas e
procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é importante que os programas de
segurança e privacidade colaborem no seu desenvolvimento. As políticas e procedimentos do programa de segurança e
privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos no
nível da missão ou específicos do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade
ou ser representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão/negócios e para sistemas, se necessário.
Os procedimentos descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo
ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança e privacidade
do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização da política e
dos procedimentos de planejamento incluem, mas não estão limitados a, resultados de avaliação ou auditoria, incidentes ou
violações de segurança ou mudanças em leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes. A simples
Referências: [OMB A-130], [SP 800-12], [SP 800-18], [SP 800-30], [SP 800-39], [SP 800-100].

e
g
_________________________________________________________________________________________________
pe
E PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA PL-2
Ao controle:
a. Desenvolva planos de segurança e privacidade para o sistema que:
1. São consistentes com a arquitetura empresarial da organização;
2. Definir explicitamente os componentes constituintes do sistema;
3. Descrever o contexto operacional do sistema em termos de missão e negócio

processos;
4. Identificar os indivíduos que cumprem as funções e responsabilidades do sistema;
5. Identificar os tipos de informação processada, armazenada e transmitida pelo sistema;
6. Fornecer a categorização de segurança do sistema, incluindo justificativa de apoio;
7. Descreva quaisquer ameaças específicas ao sistema que sejam motivo de preocupação para a organização;
8. Fornecer os resultados de uma avaliação de risco de privacidade para sistemas que processam informações
de identificação pessoal;
9. Descrever o ambiente operacional do sistema e quaisquer dependências ou conexões com outros sistemas
ou componentes do sistema;
10. Fornecer uma visão geral dos requisitos de segurança e privacidade do sistema;
11. Identifique quaisquer linhas de base ou sobreposições de controle relevantes, se aplicável;
12. Descrever os controles implementados ou planejados para atender aos requisitos de segurança e
privacidade, incluindo uma justificativa para quaisquer decisões de adaptação;
13. Incluir determinações de risco para decisões de arquitetura e design de segurança e privacidade;
14. Incluir atividades relacionadas à segurança e privacidade que afetem o sistema e que exijam planejamento e
coordenação com [Atribuição: indivíduos ou grupos definidos pela organização]; e
15. São revisados e aprovados pelo funcionário autorizado ou representante designado

antes da implementação do plano.
b. Distribuir cópias dos planos e comunicar alterações subsequentes aos planos para [Atribuição: pessoal ou
funções definidas pela organização];
c. Rever os planos [Atribuição: frequência definida pela organização];
d. Atualizar os planos para abordar alterações no sistema e ambiente de operação ou problemas identificados
durante a implementação do plano ou avaliações de controle; e
e. Proteja os planos contra divulgação e modificação não autorizadas.
Discussão: Os planos de segurança e privacidade do sistema têm como escopo o sistema e os componentes do sistema
dentro do limite de autorização definido e contêm uma visão geral dos requisitos de segurança e privacidade do sistema
e dos controles selecionados para satisfazer os requisitos. Os planos descrevem a aplicação pretendida de cada
controlo selecionado no contexto do sistema com um nível de detalhe suficiente para implementar corretamente o
controlo e avaliar posteriormente a eficácia do controlo. A documentação de controle descreve como os controles
híbridos e específicos do sistema são implementados e os planos e expectativas em relação à funcionalidade do
sistema. Os planos de segurança e privacidade do sistema também podem ser usados na concepção e desenvolvimento
de sistemas em apoio aos processos de engenharia de segurança e privacidade baseados no ciclo de vida. Os planos de
segurança e privacidade do sistema são documentos vivos que são atualizados e adaptados durante todo o ciclo de vida de
desenvolvimento do sistema (por exemplo, durante a determinação de capacidade, análise de alternativas, solicitações
de propostas e revisões de projeto). A Seção 2.1 descreve os diferentes tipos de requisitos que são

e
g
_________________________________________________________________________________________________
pe
E relevantes para as organizações durante o ciclo de vida de desenvolvimento do sistema e a relação entre requisitos e
controles.
As organizações podem desenvolver um plano único e integrado de segurança e privacidade ou manter planos
separados. Os planos de segurança e privacidade relacionam os requisitos de segurança e privacidade a um conjunto
de controles e melhorias de controle. Os planos descrevem como os controles e melhorias de controle atendem aos
requisitos de segurança e privacidade, mas não fornecem descrições técnicas detalhadas do projeto ou
implementação dos controles e melhorias de controle. Os planos de segurança e privacidade contêm informações
suficientes (incluindo especificações de valores de parâmetros de controle para operações de seleção e atribuição
explicitamente ou por referência) para permitir um design e implementação que sejam inequivocamente
compatíveis com a intenção dos planos e subsequentes determinações de risco para operações e ativos
organizacionais , indivíduos, outras organizações e a Nação se o plano for implementado.
Os planos de segurança e privacidade não precisam ser documentos únicos. Os planos podem ser uma coleção de
vários documentos, inclusive documentos já existentes. Planos eficazes de segurança e privacidade fazem uso
extensivo de referências a políticas, procedimentos e documentos adicionais, incluindo especificações de design e
implementação onde informações mais detalhadas podem ser obtidas. O uso de referências ajuda a reduzir a
documentação associada a programas de segurança e privacidade e mantém as informações relacionadas à
segurança e à privacidade em outras áreas operacionais e de gerenciamento estabelecidas, incluindo arquitetura
empresarial, ciclo de vida de desenvolvimento de sistemas, engenharia de sistemas e aquisição. Os planos de
segurança e privacidade não precisam conter informações detalhadas sobre planos de contingência ou planos de
resposta a incidentes, mas podem, em vez disso, fornecer - explicitamente ou por referência -
informações suficientes para definir o que precisa ser realizado por esses planos.
As atividades relacionadas à segurança e à privacidade que podem exigir coordenação e planejamento com outros
indivíduos ou grupos dentro da organização incluem avaliações, auditorias, inspeções, manutenção de hardware e
software, gerenciamento de riscos de aquisição e cadeia de suprimentos, gerenciamento de patches,
e testes de planos de contingência. O planejamento e a coordenação incluem situações de emergência e não
emergenciais (isto é, planejadas ou não urgentes e não planejadas). O processo definido pelas organizações para
planear e coordenar atividades relacionadas com segurança e privacidade também pode ser incluído noutros
documentos, conforme apropriado.
Controles relacionados: AC-2, AC-6, AC-14, AC-17 , AC-20 , CA-2, CA- 3, CA-7, CM-9, CM - 13, CP-2, CP-4 , IR-4,
IR-8, MA-4, MA-5, MP-4, MP- 5, PL-7, PL-8, PL-10, PL- 11, PM-1, PM-7, PM -8, PM-9, PM-10, PM- 11, RA-3, RA-8,
RA-9, SA-5, SA-17, SA-22, SI-12, SR-2, SR-4 .
(1) PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA | CONCEITO DE OPERAÇÕES
(2) PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA | ARQUITETURA FUNCIONAL
(3) PLANOS DE SEGURANÇA E PRIVACIDADE DO SISTEMA | PLANEJAR E COORDENAR COM OUTRAS ORGANIZAÇÕES
ENTIDADES
Referências: [OMB A-130], [SP 800-18], [SP 800-37], [SP 800-160-1], [SP 800-160-2].
ATUALIZAÇÃO DO PLANO DE SEGURANÇA DO SISTEMA PL-3

e
g
_________________________________________________________________________________________________
pe
E PL-4 REGRAS DE COMPORTAMENTO
Ao controle:
a. Estabelecer e fornecer aos indivíduos que necessitam de acesso ao sistema, as regras que descrevem
suas responsabilidades e comportamento esperado em relação ao uso, segurança e privacidade de informações e
sistemas;
b. Receber um reconhecimento documentado de tais indivíduos, indicando que eles

ler, compreender e concordar em cumprir as regras de comportamento, antes de autorizar o acesso às
informações e ao sistema;
c. Rever e atualizar as regras de comportamento [Atribuição: frequência definida pela organização]; e
d. Exigir que indivíduos que tenham reconhecido uma versão anterior das regras de comportamento leiam e
reconheçam novamente [Seleção (uma ou mais): [Atribuição: frequência definida pela organização]; quando
as regras forem revisadas ou atualizadas].
Discussão: As regras de comportamento representam um tipo de acordo de acesso para usuários organizacionais.
Outros tipos de acordos de acesso incluem acordos de confidencialidade, acordos de conflito de interesses e
acordos de uso aceitável (ver PS-6). As organizações consideram regras de comportamento baseadas nas funções e
responsabilidades individuais dos usuários e diferenciam entre regras que se aplicam a usuários privilegiados e regras
que se aplicam a usuários em geral. Estabelecer regras de comportamento para alguns tipos de usuários não
organizacionais, incluindo indivíduos que recebem informações de sistemas federais, muitas vezes não é viável,
dado o grande número desses usuários e a natureza limitada de suas interações com os sistemas. Regras de
comportamento para usuários organizacionais e não organizacionais
também pode ser estabelecido em AC-8. A seção de controles relacionados fornece uma lista de controles que são
relevantes para as regras de comportamento organizacionais. PL-4b, a parte de reconhecimento documentado do
controle, pode ser satisfeita pelo treinamento de alfabetização e programas de conscientização e treinamento
baseado em funções conduzidos pelas organizações se tal treinamento incluir regras de comportamento. Os
reconhecimentos documentados de regras de comportamento incluem assinaturas eletrônicas ou físicas e caixas de
seleção de acordos eletrônicos ou botões de opção.
Controles relacionados: AC-2, AC-6, AC-8, AC-9, AC-17, AC- 18 , AC-19 , AC-20, AT-2, AT-3, CM-11, IA-2 , IA-4, IA-5,
MP-7, PS-6, PS-8, SA-5, SI-12.
(1) REGRAS DE COMPORTAMENTO | RESTRIÇÕES DE USO DE MÍDIAS SOCIAIS E SITE EXTERNO /APLICATIVO
Incluir nas regras de comportamento, restrições sobre:
(a) Uso de mídias sociais, sites de redes sociais e sites/aplicativos externos;
(b) Publicar informações organizacionais em sites públicos; e
(c) Uso de identificadores fornecidos pela organização (por exemplo, endereços de e-mail) e segredos
de autenticação (por exemplo, senhas) para criar contas em sites/aplicativos externos.
Discussão: As restrições de uso de mídias sociais, redes sociais e sites/aplicativos externos abordam regras de
comportamento relacionadas ao uso de mídias sociais, redes sociais e redes externas.
sites quando o pessoal organizacional os utiliza para tarefas oficiais ou na condução de negócios oficiais, quando
informações organizacionais estão envolvidas em mídias sociais e transações de redes sociais, e quando o
pessoal acessa mídias sociais e sites de redes a partir de sistemas organizacionais. As organizações também
abordam regras específicas que impedem entidades não autorizadas de obter informações organizacionais não
públicas de mídias sociais e sites de redes, diretamente ou por meio de inferência. Informações não
públicas incluem
informações de identificação pessoal e informações da conta do sistema.
Controles Relacionados: AC-22, AU-13.

e
g
_________________________________________________________________________________________________
pe
E AVALIAÇÃO DE IMPACTO NA PRIVACIDADE PL-5
[Retirado: Incorporado ao RA-8.]
PL-6 PLANEJAMENTO DE ATIVIDADES RELACIONADAS À SEGURANÇA
PL-7 CONCEITO DE OPERAÇÕES
Ao controle:
a. Desenvolver um Conceito de Operações (CONOPS) para o sistema descrevendo como a organização pretende
operar o sistema na perspectiva da segurança e privacidade da informação; e
b. Revise e atualize o CONOPS [Atribuição: frequência definida pela organização].
Discussão: O CONOPS pode ser incluído nos planos de segurança ou privacidade do sistema ou em outros
documentos do ciclo de vida de desenvolvimento do sistema. O CONOPS é um documento vivo que requer atualização
durante todo o ciclo de vida de desenvolvimento do sistema. Por exemplo, durante as revisões da concepção do
sistema, o conceito de operações é verificado para garantir que permanece consistente com a concepção dos
controlos, a arquitectura do sistema e os procedimentos operacionais. As alterações no CONOPS refletem-se em
atualizações contínuas dos planos de segurança e privacidade, arquiteturas de segurança e privacidade e outros
documentos organizacionais, como especificações de aquisição, documentos do ciclo de vida de desenvolvimento de
sistemas e documentos de engenharia de sistemas.
Controles Relacionados: PL-2, SA-2, SI-12.
ARQUITETURAS DE SEGURANÇA E PRIVACIDADE PL-8
Ao controle:
a. Desenvolva arquiteturas de segurança e privacidade para o sistema que:
1. Descrever os requisitos e a abordagem a ser adotada para proteger a confidencialidade, integridade e

disponibilidade das informações organizacionais;
2. Descrever os requisitos e a abordagem a adotar para o processamento de informações de

identificação pessoal para minimizar o risco de privacidade para os indivíduos;
3. Descrever como as arquiteturas são integradas e suportam a arquitetura empresarial; e
4. Descrever quaisquer suposições e dependências de sistemas e serviços externos;
b. Revise e atualize as arquiteturas [Atribuição: frequência definida pela organização] para refletir
mudanças na arquitetura empresarial; e
c. Refletir as mudanças planejadas na arquitetura nos planos de segurança e privacidade, Conceito de Operações
(CONOPS), análise de criticidade, procedimentos organizacionais e compras e aquisições.
Discussão: As arquiteturas de segurança e privacidade no nível do sistema são consistentes com as arquiteturas
de segurança e privacidade de toda a organização descritas no PM-7, que são parte integrante e desenvolvidas como
parte da arquitetura corporativa. As arquiteturas incluem uma descrição arquitetônica, a alocação de
funcionalidades de segurança e privacidade (incluindo controles), informações relacionadas à segurança e à privacidade
para interfaces externas, informações trocadas entre as interfaces e os mecanismos de proteção associados a
cada interface. As arquiteturas podem

e
g
_________________________________________________________________________________________________
pe
E inclua também outras informações, como funções de usuário e privilégios de acesso atribuídos a cada função;
requisitos de segurança e privacidade; tipos de informações processadas, armazenadas e transmitidas pelo sistema;
requisitos de gestão de riscos da cadeia de abastecimento; prioridades de restauração de serviços de informação e
sistema; e outras necessidades de proteção.
[SP 800-160-1] fornece orientação sobre o uso de arquiteturas de segurança como parte do processo do ciclo de
vida de desenvolvimento de sistemas. [OMB M-19-03] exige o uso dos conceitos de engenharia de segurança
de sistemas descritos em [SP 800-160-1] para ativos de alto valor. As arquiteturas de segurança e privacidade são
revisadas e atualizadas ao longo do ciclo de vida de desenvolvimento do sistema, desde a análise de alternativas,
passando pela revisão da arquitetura proposta nas respostas da RFP até as revisões de projeto antes e durante a
implementação (por exemplo, durante revisões preliminares de projeto e revisões críticas de projeto).
Nas arquiteturas de computação modernas de hoje, está se tornando menos comum que as organizações controlem
todos os recursos de informação. Pode haver dependências importantes de serviços de informação e prestadores
de serviços externos. A descrição de tais dependências nas arquiteturas de segurança e privacidade é
necessária para o desenvolvimento de uma missão abrangente e de uma estratégia de proteção empresarial.
Estabelecer, desenvolver, documentar e manter sob controle de configuração uma configuração básica para sistemas
organizacionais é fundamental para implementar e manter arquiteturas eficazes. O desenvolvimento das arquiteturas
é coordenado com o oficial sênior de segurança da informação da agência e o oficial sênior da agência para
privacidade, para garantir que os controles necessários para apoiar os requisitos de segurança e privacidade sejam
identificados e efetivamente implementados. Em muitas circunstâncias, pode não haver distinção entre a arquitetura
de segurança e privacidade de um sistema. Noutras circunstâncias, os objectivos de segurança podem ser
adequadamente satisfeitos, mas os objectivos de privacidade podem ser apenas parcialmente satisfeitos pelos requisitos
de segurança. Nestes casos, a consideração dos requisitos de privacidade necessários para alcançar a satisfação
resultará numa arquitetura de privacidade distinta. A documentação, entretanto, pode simplesmente refletir as arquiteturas
combinadas.
O PL-8 é direcionado principalmente às organizações para garantir que as arquiteturas sejam desenvolvidas para o
sistema e, além disso, que as arquiteturas sejam integradas ou fortemente acopladas à arquitetura corporativa.
Em contraste, o SA-17 é direcionado principalmente aos desenvolvedores e integradores externos de produtos e
sistemas de tecnologia da informação. O SA-17, que é complementar ao PL-8, é selecionado quando as organizações
terceirizam o desenvolvimento de sistemas ou componentes para entidades externas e quando há necessidade de
demonstrar consistência com os objetivos da organização.
arquitetura corporativa e arquiteturas de segurança e privacidade.
Controles relacionados: CM-2, CM-6, PL-2, PL-7, PL-9, PM-5, PM-7, RA-9, SA-3, SA-5, SA-8, SA-17 , SC-7.
(1) ARQUITETURAS DE SEGURANÇA E PRIVACIDADE | DEFESA EM PROFUNDIDADE
Projete as arquiteturas de segurança e privacidade do sistema usando uma abordagem de defesa

profunda que:
(a) Aloca [Atribuição: controles definidos pela organização] para [Atribuição: controles definidos pela organização]
locais definidos e camadas arquitetônicas]; e
(b) Garante que os controles alocados operem de forma coordenada e que se reforce mutuamente
maneiras.
Discussão: As organizações alocam estrategicamente controles de segurança e privacidade nas arquiteturas de

segurança e privacidade para que os adversários tenham que superar múltiplos controles para atingir seu
objetivo. Exigir que os adversários derrotem múltiplos controles torna mais difícil atacar os recursos de informação,
aumentando o fator de trabalho do adversário; também aumenta a probabilidade de detecção. A coordenação dos
controles alocados é essencial para garantir que um ataque que envolva um controle não crie consequências
adversas e indesejadas ao interferir em outros controles. Consequências não intencionais podem incluir bloqueio
do sistema e

e
g
_________________________________________________________________________________________________
pe
E alarmes em cascata. A colocação de controles em sistemas e organizações é uma atividade importante que
requer uma análise cuidadosa. O valor dos ativos organizacionais é uma consideração importante no fornecimento
de camadas adicionais. As abordagens arquitetônicas de defesa profunda incluem modularidade e camadas (ver
SA-8(3)), separação da funcionalidade do sistema e do usuário (ver SC-2) e isolamento da função de segurança
(ver SC-3).
Controles relacionados: SC-2, SC-3, SC-29, SC-36.
(2) ARQUITETURAS DE SEGURANÇA E PRIVACIDADE | DIVERSIDADE DE FORNECEDORES
Exigir que [Atribuição: controles definidos pela organização] alocados para [Atribuição: locais
definidos pela organização e camadas arquitetônicas] sejam obtidos de fornecedores diferentes.
Discussão: Os produtos de tecnologia da informação têm diferentes pontos fortes e fracos.

Fornecer um amplo espectro de produtos complementa as ofertas individuais. Por exemplo, os fornecedores que
oferecem proteção contra códigos maliciosos normalmente atualizam seus produtos em momentos diferentes, muitas
vezes desenvolvendo soluções para vírus, cavalos de Tróia ou worms conhecidos com base em suas prioridades
e cronogramas de desenvolvimento. Ao implantar produtos diferentes em locais diferentes, há uma probabilidade
maior de que pelo menos um dos produtos detecte o código malicioso. No que diz respeito à privacidade, os
fornecedores podem oferecer produtos que rastreiam informações de identificação pessoal em sistemas. Os produtos
podem usar diferentes métodos de rastreamento. O uso de vários produtos pode resultar em mais garantia de que as
informações de identificação pessoal sejam inventariadas.
Controles Relacionados: SC-29, SR-3.
Referências: [OMB A-130], [SP 800-160-1], [SP 800-160-2].
GESTÃO CENTRAL PL-9
Controle: Gerenciar centralmente [Atribuição: controles definidos pela organização e processos relacionados].
Discussão: A gestão central refere-se à gestão e implementação de controlos e processos seleccionados em toda a
organização. Isso inclui planejar, implementar, avaliar, autorizar e monitorar os controles e processos definidos pela
organização e gerenciados centralmente. Dado que a gestão central dos controlos está geralmente associada ao
conceito de gestão comum (herdada)
controles, tal gerenciamento promove e facilita a padronização das implementações e gerenciamento de controles e o uso
criterioso dos recursos organizacionais. Os controles e processos gerenciados centralmente também podem atender aos
requisitos de independência para avaliações em apoio às autorizações iniciais e contínuas de operação e como parte
do monitoramento organizacional contínuo.
Ferramentas automatizadas (por exemplo, ferramentas de gerenciamento de eventos e informações de segurança ou

ferramentas de monitoramento e gerenciamento de segurança empresarial) podem melhorar a precisão, consistência
e disponibilidade de informações associadas a controles e processos gerenciados centralmente. A automação
também pode fornecer recursos de agregação e correlação de dados; mecanismos de alerta; e painéis para apoiar a
tomada de decisões baseada em riscos dentro da organização.
Como parte dos processos de seleção de controles, as organizações determinam os controles que podem ser
adequados para o gerenciamento central com base em recursos e capacidades. Nem sempre é possível gerenciar
centralmente todos os aspectos de um controle. Nesses casos, o controle pode ser tratado como um híbrido
controle com o controle gerenciado e implementado centralmente ou no nível do sistema. Os controles e melhorias de
controle que são candidatos ao gerenciamento central total ou parcial incluem, mas não estão limitados a: AC-2(1), AC-2(2),
AC-2(3), AC-2(4), AC -4 (todos), AC-17 (1), AC-17 (2), AC-17 (3), AC-17 (9), AC-18 (1), AC-18 (3), AC- 18(4), AC-18(5),
AC-19(4), AC-22, AC-23, AT-2(1), AT-2(2), AT-3(1), AT- 3(2), AT-3(3), AT-4, AU-3, AU-6(1), AU-6(3), AU-6(5), AU-6(6),
AU- 6(9), AU-7(1), AU-7(2), AU-11, AU-13, AU-16, CA-2(1), CA-2(2), CA-2(3 ), CA-3(1), CA-3(2), CA-3(3), CA-7(1),
CA-9, CM-2(2),
CM-3(1), CM-3(4), CM-4, CM-6, CM-6(1), CM-7(2), CM-7(4), CM-7(5), CM-8(todos), CM-9(1), CM-10,
CM-11, CP-7(todos), CP-8(todos), SC-43, SI-2, SI-3, SI-4(todos), SI-7, SI-8.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: PL-8, PM-9.
SELEÇÃO DE LINHA DE BASE PL-10
Controle: Selecione uma linha de base de controle para o sistema.
Discussão: As linhas de base de controle são conjuntos predefinidos de controles montados especificamente para atender às
necessidades de proteção de um grupo, organização ou comunidade de interesse. Os controles são escolhidos para as linhas de
base para satisfazer mandatos impostos por leis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes ou
para abordar ameaças comuns a todos os usuários da linha de base sob as suposições específicas da linha de base. As linhas
de base representam um ponto de partida para a proteção da privacidade, das informações e dos sistemas de informação dos
indivíduos, com subsequentes ações de adaptação para gerenciar riscos de acordo com a missão, o negócio ou outras restrições
(ver PL-11). As linhas de base de controle federal são fornecidas em [SP 800-53B]. A seleção de uma linha de base de
controle é determinada pelas necessidades das partes interessadas. As necessidades das partes interessadas consideram a
missão e os requisitos de negócios, bem como os mandatos impostos pelas leis, ordens executivas, diretivas, políticas,
regulamentos, padrões e diretrizes aplicáveis. Por exemplo, as linhas de base de controle em [SP 800-53B] baseiam-se nos
requisitos de [FISMA] e [PRIVACT]. Os requisitos, juntamente com os padrões e diretrizes do NIST que implementam a
legislação, orientam as organizações a selecionar uma das linhas de base de controle após a revisão dos tipos de informação e
das informações que são processadas, armazenadas e transmitidas no sistema; analisar o potencial impacto adverso
da perda ou comprometimento da informação ou sistema nas operações e ativos da organização, indivíduos, outras
organizações ou a Nação; e considerar os resultados das avaliações de riscos do sistema e da organização. [CNSSI 1253]
fornece orientação sobre linhas de base de controle para sistemas de segurança nacional.
Controles relacionados: PL-2, PL-11, RA-2, RA-3, SA-8.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53B], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [CNSSI 1253].
ALFAIATARIA DE BASE PL-11

Controle: Adapte a linha de base de controle selecionada aplicando ações de adaptação especificadas.
Discussão: O conceito de adaptação permite que as organizações se especializem ou personalizem um conjunto de

controles básicos, aplicando um conjunto definido de ações de adaptação. As ações de customização facilitam essa
especialização e customização, permitindo que as organizações desenvolvam planos de segurança e privacidade que reflitam
sua missão específica e funções de negócios, os ambientes onde seus sistemas operam, as ameaças e vulnerabilidades que
podem afetar seus sistemas, e quaisquer outras condições ou situações que possam impactar sua missão ou sucesso empresarial.
Orientações sobre adaptação são fornecidas em [SP 800-53B]. A adaptação de uma linha de base de controle é realizada
identificando e designando controles comuns, aplicando considerações de escopo, selecionando controles de compensação,
atribuindo valores aos parâmetros de controle, complementando a linha de base de controle com controles adicionais conforme
necessário e fornecendo informações para implementação de controle. As ações gerais de adaptação em [SP 800-53B] podem
ser complementadas com ações adicionais baseadas nas necessidades das organizações. Ações de adaptação podem ser
aplicadas às linhas de base em [SP 800-53B] de acordo com os requisitos de segurança e privacidade de [FISMA],
[PRIVACT] e [OMB A-130]. Alternativamente, outras comunidades de interesse que adotam diferentes linhas de base de
controle podem aplicar as ações de adaptação em [SP 800-53B] para especializar ou personalizar os controles que
representam as necessidades e preocupações específicas dessas entidades.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: PL-10, RA-2, RA-3, RA-9, SA-8.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-53B], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [CNSSI 1253].

e
g
_________________________________________________________________________________________________
pe
E 3.13 GESTÃO DO PROGRAMA
CONTROLES DE GERENCIAMENTO DO PROGRAMA
[FISMA], [PRIVACT] e [OMB A-130] exigem que as agências federais desenvolvam, implementem e forneçam
supervisão para programas de segurança e privacidade da informação em toda a organização para ajudar a
garantir a confidencialidade, integridade e disponibilidade das informações federais processadas, armazenados
e transmitidos por sistemas de informação federais e para proteger a privacidade individual. Os controles de
gerenciamento de programas (GP) descritos nesta seção são implementados no nível da organização e não
direcionados a sistemas de informação individuais. Os controles PM foram projetados para facilitar a
conformidade organizacional com as leis federais, ordens executivas, diretivas, políticas, regulamentos e
padrões aplicáveis. Os controles são independentes dos níveis de impacto [FIPS 200] e, portanto, não estão
associados às linhas de base de controle descritas em [SP 800-53B].
As organizações documentam os controles de gerenciamento do programa nos planos do programa de segurança e

privacidade da informação. O plano do programa de segurança da informação para toda a organização (ver PM-1) e o
plano do programa de privacidade (ver PM-18) complementam os planos de segurança e privacidade do sistema (ver
PL-2) desenvolvidos para sistemas de informação organizacionais. Juntos, os planos de segurança e privacidade do
sistema para os sistemas de informação individuais e os planos do programa de segurança e privacidade da informação
cobrem a totalidade dos controles de segurança e privacidade empregados pela organização.
Link rápido para a tabela de resumo de gerenciamento de programas
PLANO DO PROGRAMA DE SEGURANÇA DA INFORMAÇÃO PM-1
Ao controle:
a. Desenvolva e divulgue um plano de programa de segurança da informação para toda a organização que:
1. Fornece uma visão geral dos requisitos do programa de segurança e uma descrição dos controles de
gerenciamento do programa de segurança e controles comuns em vigor ou planejados para atender
a esses requisitos;
2. Inclui a identificação e atribuição de funções, responsabilidades, compromisso de gestão,

coordenação entre entidades organizacionais e conformidade;
3. Reflete a coordenação entre as entidades organizacionais responsáveis pela informação

segurança; e
4. É aprovado por um funcionário sênior com responsabilidade e responsabilização pelo risco que está sendo
incorridos em operações organizacionais (incluindo missão, funções, imagem e reputação),
ativos organizacionais, indivíduos, outras organizações e a Nação;
b. Revisar e atualizar o plano do programa de segurança da informação de toda a organização [Atribuição:

frequência definida pela organização] e seguintes [Atribuição: eventos definidos pela organização];
e
c. Proteja o plano do programa de segurança da informação contra divulgação não autorizada e

modificação.
Discussão: Um plano de programa de segurança da informação é um documento formal que fornece uma
visão geral dos requisitos de segurança para um programa de segurança da informação em toda a organização.

e
g
_________________________________________________________________________________________________
pe
E e descreve os controles de gestão do programa e os controles comuns implementados ou planejados para atender a esses
requisitos. Um plano de programa de segurança da informação pode ser representado em um único documento ou em
compilações de documentos. Os planos do programa de privacidade e os planos de gestão de riscos da cadeia de
abastecimento são abordados separadamente no PM-18 e no SR-2, respectivamente.
Um plano de programa de segurança da informação documenta detalhes de implementação sobre gerenciamento de

programas e controles comuns. O plano fornece informações suficientes sobre os controles (incluindo especificação de parâmetros
para operações de atribuição e seleção, explicitamente ou por referência) para permitir implementações que sejam
inequivocamente compatíveis com a intenção do plano e uma determinação do risco a ser incorrido se o plano for implementado
conforme pretendido.
As atualizações nos planos do programa de segurança da informação incluem mudanças organizacionais e problemas
identificados durante a implementação do plano ou avaliações de controle.
Os controles de gerenciamento do programa podem ser implementados no nível da organização ou no nível da missão ou do
processo de negócios e são essenciais para o gerenciamento do programa de segurança da informação da organização. Os
controles de gerenciamento de programas são distintos dos controles comuns, específicos do sistema e híbridos porque os controles
de gerenciamento de programas são independentes de qualquer sistema específico.
Juntos, os planos de segurança do sistema individual e o plano do programa de segurança da informação para toda a organização
fornecem cobertura completa para os controles de segurança empregados na organização.
Os controles comuns disponíveis para herança pelos sistemas organizacionais são documentados em um apêndice do plano
do programa de segurança da informação da organização, a menos que os controles sejam incluídos em um plano de
segurança separado para um sistema. O plano do programa de segurança da informação para toda a organização indica quais
planos de segurança separados contêm descrições de controles comuns.
Os eventos que podem precipitar uma atualização do plano do programa de segurança da informação incluem, entre outros,
avaliações de toda a organização ou resultados de auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens
executivas, diretivas, regulamentos, políticas, padrões e diretrizes.
Controles relacionados: PL-2, PM-18, PM-30, RA-9, SI-12, SR-2.
Referências: [FISMA], [OMB A-130], [SP 800-37], [SP 800-39].
PAPEL DE LIDERANÇA DO PROGRAMA DE SEGURANÇA DA INFORMAÇÃO PM-2
Controle: Nomear um oficial sênior de segurança da informação da agência com a missão e os recursos para coordenar,
desenvolver, implementar e manter uma segurança da informação em toda a organização
programa.
Discussão: O oficial sênior de segurança da informação da agência é um funcionário organizacional. Para agências federais
(conforme definido pelas leis, ordens executivas, regulamentos, diretivas, políticas e padrões aplicáveis), esse funcionário é o oficial
sênior de segurança da informação da agência. As organizações também podem referir-se a esse funcionário como diretor sênior
de segurança da informação ou diretor de segurança da informação.
Referências: [OMB M-17-25], [SP 800-37], [SP 800-39], [SP 800-181].
RECURSOS DE SEGURANÇA E PRIVACIDADE DA INFORMAÇÃO PM-3
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Incluir os recursos necessários para implementar os programas de segurança e privacidade da informação no
planejamento de capital e nas solicitações de investimento e documentar todas as exceções a este
requisito;
b. Preparar a documentação necessária para abordar programas de segurança e privacidade da informação em planejamento
de capital e solicitações de investimento de acordo com as leis, ordens executivas, diretivas, políticas, regulamentos
e padrões aplicáveis; e
c. Disponibilizar para despesas os recursos planejados de segurança da informação e privacidade.
Discussão: As organizações consideram estabelecer defensores da segurança e privacidade da informação e, como parte
da inclusão dos recursos necessários, atribuem conhecimentos especializados e recursos conforme necessário. As
organizações podem designar e capacitar um Conselho de Revisão de Investimentos ou grupo similar para gerenciar
e supervisionar os aspectos de segurança da informação e privacidade do processo de planejamento de capital e controle
de investimentos.
Controles Relacionados: PM-4, SA-2.
PLANO DE AÇÃO PM-4 E PROCESSO DE MARCOS
Ao controle:
a. Implementar um processo para garantir que os planos de ação e os marcos para as informações
programas de gerenciamento de riscos de segurança, privacidade e cadeia de suprimentos e sistemas organizacionais
associados:
1. São desenvolvidos e mantidos;
2. Documente os riscos corretivos de segurança da informação, privacidade e cadeia de suprimentos

ações de gestão para responder adequadamente ao risco para operações e ativos organizacionais, indivíduos,
outras organizações e a Nação; e
3. São reportados de acordo com os requisitos de reporte estabelecidos.
b. Revise os planos de ação e os marcos para garantir a consistência com a estratégia de gerenciamento de
riscos organizacionais e as prioridades de toda a organização para ações de resposta a riscos.
Discussão: O plano de acção e os marcos é um documento organizacional fundamental e está sujeito aos requisitos de
relatórios estabelecidos pelo Gabinete de Gestão e Orçamento. As organizações desenvolvem planos de ação e marcos
com uma perspectiva de toda a organização, priorizando ações de resposta a riscos e garantindo consistência com as
metas e objetivos da organização. As atualizações do plano de ação e dos marcos baseiam-se nas conclusões das avaliações
de controlo e nas atividades de monitorização contínua. Pode haver vários planos de ação e marcos correspondentes ao nível
do sistema de informação, ao nível da missão/processo de negócios e ao nível organizacional/de governança.
Embora planos de ação e marcos sejam necessários para organizações federais, outros tipos de organizações podem
ajudar a reduzir o risco documentando e rastreando as remediações planejadas. Orientações específicas sobre planos de
ação e marcos no nível do sistema são fornecidas no CA-5.
Controles Relacionados: CA-5, CA-7, PM-3, RA-7, SI-12.
Referências: [PRIVACT], [OMB A-130], [SP 800-37].

e
g
_________________________________________________________________________________________________
pe
E INVENTÁRIO DO SISTEMA PM-5
Controle: Desenvolver e atualizar [Atribuição: frequência definida pela organização] um inventário de sistemas organizacionais.
Discussão: [OMB A-130] fornece orientação sobre o desenvolvimento de inventários de sistemas e requisitos de relatórios
associados. O inventário do sistema refere-se a um inventário de sistemas em toda a organização, não aos componentes do
sistema, conforme descrito no CM-8.
(1) INVENTÁRIO DO SISTEMA | INVENTÁRIO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS
Estabelecer, manter e atualizar [Atribuição: frequência definida pela organização] um inventário de todos
os sistemas, aplicativos e projetos que processam informações de identificação pessoal.
Discussão: Um inventário de sistemas, aplicações e projetos que processam informações de identificação pessoal
apoia o mapeamento de ações de dados, fornecendo avisos de privacidade aos indivíduos, mantendo informações de
identificação pessoal precisas e limitando o processamento de informações de identificação pessoal quando tais
informações não são necessárias para fins operacionais. As organizações podem usar este inventário para garantir que os
sistemas processem apenas as informações de identificação pessoal apenas para fins autorizados e que esse
processamento ainda seja relevante e necessário para o propósito nele especificado.
Controles relacionados: AC-3, CM-8, CM-12, CM-13, PL-8, PM-22, PT-3, PT-5, SI-12, SI-18.
MEDIDAS DE DESEMPENHO PM-6
Controle: Desenvolver, monitorar e relatar os resultados das medidas de desempenho de segurança da informação e
privacidade.
Discussão: As medidas de desempenho são métricas baseadas em resultados usadas por uma organização para medir a
eficácia ou eficiência dos programas de segurança e privacidade da informação e dos controles empregados em apoio ao programa.
Para facilitar o gerenciamento de riscos de segurança e privacidade, as organizações consideram alinhar as medidas de desempenho
com a tolerância ao risco organizacional
conforme definido na estratégia de gestão de risco.
Controles Relacionados: CA-7, PM-9.
ARQUITETURA EMPRESARIAL PM-7
Controle: Desenvolver e manter uma arquitetura empresarial levando em consideração a segurança da informação, a privacidade
e o risco resultante para as operações e ativos organizacionais, indivíduos, outras organizações e a Nação.
Discussão: A integração de requisitos e controles de segurança e privacidade na arquitetura corporativa ajuda a garantir que as
considerações de segurança e privacidade sejam abordadas durante todo o ciclo de vida de desenvolvimento do sistema e estejam
explicitamente relacionadas à missão e aos processos de negócios da organização. O processo de integração dos requisitos
de segurança e privacidade também se integra à arquitetura empresarial e às arquiteturas de segurança e privacidade da
organização, consistentes com a estratégia de gerenciamento de riscos organizacionais. Para o PM-7, as arquiteturas de
segurança e privacidade são desenvolvidas no nível de sistema de sistemas, representando todos os aspectos organizacionais.

e
g
_________________________________________________________________________________________________
pe
E sistemas. Para o PL-8, as arquiteturas de segurança e privacidade são desenvolvidas em um nível que representa
um sistema individual. As arquiteturas em nível de sistema são consistentes com as arquiteturas de segurança e privacidade
definidas para a organização. Os requisitos de segurança e privacidade e a integração de controle são alcançados
de maneira mais eficaz por meio da aplicação rigorosa da Estrutura de Gerenciamento de Riscos [SP 800-37] e dos
padrões e diretrizes de segurança de apoio.
Controles Relacionados: AU-6, PL-2, PL-8, PM-11, RA-2, SA-3, SA-8, SA-17.
(1) ARQUITETURA EMPRESARIAL | DESCARREGANDO
Descarregar [Atribuição: funções ou serviços não essenciais definidos pela organização] para outros
sistemas, componentes do sistema ou um provedor externo.
Discussão: Nem toda função ou serviço fornecido por um sistema é essencial para a missão
organizacional ou funções de negócios. Imprimir ou copiar é um exemplo de serviço não essencial, mas de apoio
para uma organização. Sempre que possível, essas funções ou serviços de apoio, mas não essenciais, não são co-
localizados com as funções ou serviços que apoiam a missão essencial ou funções empresariais. Manter tais
funções no mesmo sistema ou componente de sistema aumenta a superfície de ataque das funções ou serviços
essenciais à missão da organização. Mover funções de apoio, mas não essenciais, para um sistema não crítico,
componente de sistema ou fornecedor externo também pode aumentar a eficiência, colocando essas funções ou
serviços sob o controlo de indivíduos ou fornecedores que sejam especialistas nas funções ou serviços.
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-160-1], [SP 800-160-2].
PLANO DE INFRAESTRUTURA CRÍTICA PM-8
Controle: Abordar questões de segurança e privacidade da informação no desenvolvimento, documentação e atualização

de uma infraestrutura crítica e de um plano de proteção de recursos-chave.
Discussão: As estratégias de proteção baseiam-se na priorização de ativos e recursos críticos.

Os requisitos e orientações para definir infraestruturas críticas e recursos-chave e para preparar um plano de proteção
de infraestruturas críticas associadas são encontrados nas leis, ordens executivas, diretivas, políticas, regulamentos,
padrões e diretrizes aplicáveis.
Controles Relacionados: CP-2, CP-4, PE-18, PL-2, PM-9, PM-11, PM-18, RA-3, SI-12.
Referências: [EO 13636], [OMB A-130], [HSPD 7], [DHS NIPP].
ESTRATÉGIA DE GERENCIAMENTO DE RISCO PM-9
Ao controle:
a. Desenvolve uma estratégia abrangente para gerenciar:
1. Risco de segurança para operações e ativos organizacionais, indivíduos, outras organizações e a Nação associado
à operação e uso de sistemas organizacionais; e
2. Risco de privacidade para indivíduos resultante do processamento autorizado de dados pessoais

informações identificáveis;
b. Implementar a estratégia de gestão de risco de forma consistente em toda a organização; e
c. Revisar e atualizar a estratégia de gerenciamento de riscos [Atribuição: definida pela organização

frequência] ou conforme necessário, para abordar mudanças organizacionais.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Uma estratégia de gerenciamento de riscos em toda a organização inclui uma expressão da tolerância
ao risco de segurança e privacidade para a organização, estratégias de mitigação de riscos de segurança e
privacidade, metodologias aceitáveis de avaliação de risco, um processo para avaliar o risco de segurança e
privacidade em toda a organização com relação ao tolerância ao risco da organização e abordagens para
monitorar o risco ao longo do tempo. O responsável superior pela gestão de riscos (chefe da agência ou funcionário
designado) alinha os processos de gestão da segurança da informação com os processos de planeamento estratégico,
operacional e orçamental. A função executiva de risco, liderada pelo responsável superior pela gestão de riscos, pode
facilitar a aplicação consistente da estratégia de gestão de riscos em toda a organização. A estratégia de gestão de riscos
pode ser informada por informações relacionadas aos riscos de segurança e privacidade de outras fontes, tanto
internas quanto externas à organização, para garantir que a estratégia seja ampla e abrangente. A estratégia de gestão
de riscos da cadeia de abastecimento descrita no PM-30 também pode fornecer informações úteis para a estratégia de
gestão de riscos em toda a organização.
Controles relacionados: AC-1, AU-1, AT-1, CA-1, CA-2, CA-5, CA-6, CA-7, CM-1, CP-1, IA-1, IR-1 , MA-1, MP-1, PE-1,
PL-1, PL-2, PM-2, PM -8, PM-18, PM-28, PM-30, PS-1, PT-1, PT -2, PT-3, RA-1, RA-3, RA-9, SA-1, SA-4, SC-1, SC-38,
SI-1, SI-12, SR-1, SR-2 .
Referências: [OMB A-130], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-161], [IR 8023].
PROCESSO DE AUTORIZAÇÃO PM-10
Ao controle:
a. Gerenciar o estado de segurança e privacidade dos sistemas organizacionais e dos ambientes em

qual desses sistemas operam através de processos de autorização;
b. Designar indivíduos para cumprir funções e responsabilidades específicas no processo de gestão de riscos organizacionais;
e
c. Integre os processos de autorização em um programa de gerenciamento de riscos para toda a organização.
Discussão: Os processos de autorização para sistemas organizacionais e ambientes de operação exigem a implementação
de um processo de gestão de risco em toda a organização e padrões e diretrizes de segurança e privacidade associados.
As funções específicas para os processos de gestão de riscos incluem um executivo (função) de risco e responsáveis
autorizadores designados para cada sistema organizacional e provedor de controle comum. Os processos de
autorização da organização são integrados com processos de monitoramento contínuo para facilitar a compreensão
e aceitação contínuas dos riscos de segurança e privacidade para as operações organizacionais, ativos
organizacionais, indivíduos, outras organizações e a Nação.
Controles Relacionados: CA-6, CA-7, PL-2.
Referências: [SP 800-37], [SP 800-39], [SP 800-181].
MISSÃO PM-11 E DEFINIÇÃO DE PROCESSO DE NEGÓCIO
Ao controle:
a. Definir a missão organizacional e os processos de negócios levando em consideração as informações

segurança e privacidade e o risco resultante para operações organizacionais, ativos organizacionais, indivíduos, outras
organizações e a Nação; e
b. Determinar a proteção de informações e as necessidades de processamento de informações pessoalmente identificáveis

decorrentes da missão e dos processos de negócio definidos; e

e
g
_________________________________________________________________________________________________
pe
E c. Revisar e revisar a missão e os processos de negócios [Atribuição: definido pela organização
frequência].
Discussão: As necessidades de protecção são capacidades independentes da tecnologia que são necessárias para
combater ameaças às organizações, indivíduos, sistemas e à Nação através do comprometimento de informações (ou seja, perda
de confidencialidade, integridade, disponibilidade ou privacidade). As necessidades de proteção de informações e de
processamento de informações pessoalmente identificáveis são derivadas da missão e das necessidades de negócios definidas
pelas partes interessadas organizacionais, da missão e dos processos de negócios projetados para atender a essas necessidades
e da estratégia de gerenciamento de riscos organizacionais. A proteção da informação e as necessidades de processamento de
informações pessoalmente identificáveis determinam os controles necessários para a organização e os sistemas. Inerente à
definição das necessidades de proteção e de processamento de informações pessoalmente identificáveis está a compreensão
do impacto adverso que poderia resultar se ocorrer um comprometimento ou violação de informações. O processo de
categorização é usado para fazer tais determinações de impacto potencial. Os riscos de privacidade para os indivíduos podem
surgir do comprometimento de informações de identificação pessoal, mas também podem surgir como consequências não
intencionais ou como um subproduto do processamento de informações de identificação pessoal em qualquer fase do
ciclo de vida da informação. As avaliações de risco de privacidade são usadas para priorizar os riscos criados para os
indivíduos pelo processamento do sistema de informações de identificação pessoal. Estas avaliações de risco permitem a
seleção dos controles de privacidade necessários para a organização e os sistemas. As definições de missão e processos de
negócios e os requisitos de proteção associados são documentados de acordo com as políticas e procedimentos organizacionais.
Controles relacionados: CP-2, PL-2, PM-7, PM-8, RA-2, RA-3, RA-9, SA-2.
Referências: [OMB A-130], [FIPS 199],[SP 800-39], [SP 800-60-1], [SP 800-60-2], [SP 800-160-1].
PROGRAMA DE AMEAÇAS INTERNAS PM-12
Controle: Implemente um programa de ameaças internas que inclua uma equipe multidisciplinar de tratamento de incidentes
de ameaças internas.
Discussão: As organizações que lidam com informações classificadas são obrigadas, de acordo com a Ordem Executiva 13587 [EO
13587] e a Política Nacional de Ameaças Internas [ODNI NITP], a estabelecer programas de ameaças internas. Os mesmos
padrões e diretrizes que se aplicam a programas de ameaças internas em ambientes classificados também podem ser empregados
de forma eficaz para melhorar a segurança de informações não confidenciais controladas e outras informações em sistemas de
segurança não nacionais. Os programas de ameaças internas incluem controles para detectar e prevenir atividades internas
maliciosas por meio da integração centralizada e da análise de informações técnicas e não técnicas para identificar possíveis
preocupações com ameaças internas. Um funcionário sênior é designado pelo chefe do departamento ou agência como o
indivíduo responsável pela implementação e supervisão do programa. Além da capacidade centralizada de integração e análise,
os programas de ameaças internas exigem que as organizações preparem políticas e planos de implementação contra ameaças
internas de departamentos ou agências, conduzam o monitoramento de usuários baseado em host das atividades individuais
dos funcionários em computadores classificados de propriedade do governo, forneçam treinamento de conscientização sobre
ameaças internas para funcionários, receber acesso a informações de escritórios do departamento ou agência para análise de
ameaças internas e realizar autoavaliações da postura de ameaças internas do departamento ou agência.
Os programas de ameaças internas podem aproveitar a existência de equipes de tratamento de incidentes que as organizações já
podem ter, como equipes de resposta a incidentes de segurança de computadores. Os registos de recursos humanos são
especialmente importantes neste esforço, uma vez que existem provas convincentes que mostram que alguns tipos de crimes
internos são frequentemente precedidos por comportamentos não técnicos no local de trabalho, incluindo
padrões contínuos de comportamento descontente e conflitos com colegas de trabalho e outros colegas.
Estes precursores podem orientar os responsáveis organizacionais em esforços de monitorização mais focados e direcionados.
Contudo, a utilização de registos de recursos humanos pode suscitar preocupações significativas em matéria de privacidade. O

e
g
_________________________________________________________________________________________________
pe
E a participação de uma equipe jurídica, incluindo a consulta ao funcionário sênior da agência para privacidade, garante
que as atividades de monitoramento sejam realizadas de acordo com as leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes aplicáveis.
Controles relacionados: AC-6, AT-2, AU-6, AU-7, AU-10, AU-12, AU-13, CA-7, IA-4, IR-4, MP-7, PE-2 , PM-16, PS-3,
PS-4, PS-5, PS-7, PS-8, SC-7, SC-38, SI-4, PM-14.
Referências: [EO 13587], [NITP12], [ODNI NITP].
FORÇA DE TRABALHO DE SEGURANÇA E PRIVACIDADE PM-13
Controle: Estabeleça um programa de desenvolvimento e melhoria da força de trabalho em segurança e privacidade.
Discussão: Os programas de desenvolvimento e melhoria da força de trabalho em segurança e privacidade incluem

definir o conhecimento, as habilidades e as habilidades necessárias para executar funções e tarefas de segurança e
privacidade; desenvolver programas de treinamento baseados em funções para indivíduos com funções e
responsabilidades de segurança e privacidade; e fornecer padrões e diretrizes para medir e desenvolver qualificações
individuais para titulares e candidatos a cargos relacionados à segurança e à privacidade. Esses programas de
desenvolvimento e melhoria da força de trabalho também podem incluir planos de carreira em segurança e privacidade
para incentivar os profissionais de segurança e privacidade a avançar na área e preencher cargos com maior
responsabilidade. Os programas incentivam as organizações a preencher cargos relacionados à segurança e à
privacidade com pessoal qualificado. Os programas de desenvolvimento e melhoria da força de trabalho em
segurança e privacidade são complementares à conscientização e ao treinamento em segurança organizacional
programas e focar no desenvolvimento e institucionalização das principais capacidades de segurança e privacidade do
pessoal necessárias para proteger as operações organizacionais, ativos e indivíduos.
Controles relacionados: AT-2, AT-3.
TESTE, TREINAMENTO E MONITORAMENTO PM-14
Ao controle:
a. Implementar um processo para garantir que os planos organizacionais para conduzir segurança e
atividades de testes, treinamento e monitoramento de privacidade associadas a sistemas organizacionais:
1. São desenvolvidos e mantidos; e
2. Continue a ser executado; e
b. Revise os planos de teste, treinamento e monitoramento para obter consistência com a estratégia de gerenciamento
de riscos organizacionais e as prioridades de toda a organização para ações de resposta a riscos.
Discussão: Um processo para testes, treinamento e monitoramento de segurança e privacidade em toda a organização
ajuda a garantir que as organizações forneçam supervisão para atividades de teste, treinamento e monitoramento e
que essas atividades sejam coordenadas. Com a crescente importância dos programas de monitorização contínua, a
implementação da segurança e privacidade da informação nos três níveis da hierarquia de gestão de risco e o uso
generalizado de controlos comuns, as organizações coordenam e consolidam as atividades de teste e
monitorização que são conduzidas rotineiramente como parte de processos contínuos. avaliações que apoiam uma
variedade de controles. As atividades de treinamento em segurança e privacidade, embora focadas em sistemas
individuais e funções específicas, exigem coordenação entre todos os elementos organizacionais. Os planos e
atividades de teste, treinamento e monitoramento são informados pelas avaliações atuais de ameaças e
vulnerabilidades.
Controles relacionados: AT-2, AT-3, CA-7, CP-4, IR-3, PM-12, SI-4.

e
g
_________________________________________________________________________________________________
pe
Referências: [OMB A-130], [SP 800-37], [SP 800-39], [SP 800-53A], [SP 800-115], [SP 800-137].
PM-15 GRUPOS E ASSOCIAÇÕES DE SEGURANÇA E PRIVACIDADE
Controle: Estabelecer e institucionalizar contato com grupos e associações selecionados dentro das comunidades de
segurança e privacidade:
a. Para facilitar a educação e o treinamento contínuos em segurança e privacidade para organizações

pessoal;
b. Para manter a moeda com práticas, técnicas e práticas recomendadas de segurança e privacidade
tecnologias; e
c. Para compartilhar informações atuais de segurança e privacidade, incluindo ameaças, vulnerabilidades e

incidentes.
Discussão: O contacto contínuo com grupos e associações de segurança e privacidade é importante num ambiente de
tecnologias e ameaças em rápida mudança. Grupos e associações incluem
grupos de interesses especiais, associações profissionais, fóruns, grupos de notícias, grupos de usuários e grupos de
pares de profissionais de segurança e privacidade em organizações similares. As organizações selecionam grupos e
associações de segurança e privacidade com base na missão e nas funções de negócios. As organizações
compartilham informações sobre ameaças, vulnerabilidades e incidentes, bem como insights contextuais, técnicas de
conformidade e problemas de privacidade consistentes com leis, ordens executivas, diretivas, políticas, regulamentos,
padrões e diretrizes aplicáveis.
Controles Relacionados: SA-11, SI-5.
PROGRAMA DE CONSCIENTIZAÇÃO DE AMEAÇAS PM-16
Controle: Implemente um programa de conscientização sobre ameaças que inclua um recurso de compartilhamento de informações
entre organizações para inteligência sobre ameaças.
Discussão: Devido à constante mudança e crescente sofisticação dos adversários, especialmente a ameaça
persistente avançada (APT), pode ser mais provável que os adversários consigam violar ou comprometer com
sucesso os sistemas organizacionais. Uma das melhores técnicas para abordar esta preocupação é as
organizações compartilharem informações sobre ameaças, incluindo eventos de ameaças (ou seja, táticas, técnicas e
procedimentos) que as organizações experimentaram, mitigações que as organizações consideram eficazes
contra certos tipos de ameaças e ameaças. inteligência (ou seja, indicações e avisos sobre ameaças). O
compartilhamento de informações sobre ameaças pode ser bilateral ou multilateral. A partilha bilateral de ameaças
inclui cooperativas entre governos e entre governos. A partilha multilateral de ameaças inclui organizações que
participam em consórcios de partilha de ameaças. As informações sobre ameaças podem exigir acordos e proteção
especiais ou podem ser compartilhadas livremente.
(1) PROGRAMA DE CONSCIENTIZAÇÃO DE AMEAÇAS | MEIOS AUTOMATIZADOS PARA COMPARTILHAR INTELIGÊNCIA DE AMEAÇAS
Empregue mecanismos automatizados para maximizar a eficácia do compartilhamento de

informações de inteligência sobre ameaças.
Discussão: Para maximizar a eficácia do monitoramento, é importante saber quais ameaças observáveis e
indicadores os sensores precisam procurar. Usando bem

e
g
_________________________________________________________________________________________________
pe
E Com estruturas, serviços e ferramentas automatizadas estabelecidas, as organizações melhoram sua capacidade de
compartilhar e alimentar rapidamente as assinaturas relevantes de detecção de ameaças em ferramentas de monitoramento.
PM-17 PROTEGENDO INFORMAÇÕES NÃO CLASSIFICADAS CONTROLADAS EM SISTEMAS EXTERNOS
Ao controle:
a. Estabelecer políticas e procedimentos para garantir que os requisitos para a proteção de informações não classificadas controladas
que são processadas, armazenadas ou transmitidas em sistemas externos sejam implementados de acordo com as leis,
ordens executivas, diretivas, políticas, regulamentos e padrões aplicáveis; e
b. Revise e atualize a política e os procedimentos [Atribuição: frequência definida pela organização].
Discussão: As informações não classificadas controladas são definidas pela Administração Nacional de Arquivos e Registros
juntamente com os requisitos de salvaguarda e disseminação para tais informações e são codificadas em [32 CFR 2002] e,
especificamente para sistemas externos à organização federal, 32 CFR 2002.14h. A política prescreve o uso e as condições
específicas a serem implementadas de acordo com os procedimentos organizacionais, inclusive por meio de seus processos
de contratação.
Controles Relacionados: CA-6, PM-10.
Referências: [32 CFR 2002], [SP 800-171], [SP 800-172], [NARA CUI].
PLANO DO PROGRAMA DE PRIVACIDADE PM-18
Ao controle:
a. Desenvolver e disseminar um plano de programa de privacidade para toda a organização que forneça um
visão geral do programa de privacidade da agência e:
1. Inclui uma descrição da estrutura do programa de privacidade e dos recursos dedicados ao programa de
privacidade;
2. Fornece uma visão geral dos requisitos do programa de privacidade e uma descrição de
os controlos de gestão do programa de privacidade e os controlos comuns em vigor ou planeados para cumprir esses
requisitos;
3. Inclui o papel do funcionário sênior da agência para privacidade e a identificação e atribuição de funções de outros
funcionários e funcionários de privacidade e suas responsabilidades;
4. Descreve o compromisso da gestão, a conformidade e as metas e objetivos estratégicos

do programa de privacidade;
5. Reflete a coordenação entre as entidades organizacionais responsáveis pelos diferentes aspectos

de privacidade; e
6. Seja aprovado por um funcionário sênior com responsabilidade pelo risco de privacidade incorrido nas operações
organizacionais (incluindo missão, funções, imagem e reputação), ativos organizacionais, indivíduos, outras
organizações e a Nação; e
b. Atualizar o plano [Atribuição: frequência definida pela organização] e abordar mudanças nas leis e políticas federais de
privacidade e mudanças organizacionais e problemas identificados durante a implementação do plano ou avaliações de
controle de privacidade.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Um plano de programa de privacidade é um documento formal que fornece uma visão geral do programa
de privacidade de uma organização, incluindo uma descrição da estrutura do programa de privacidade,
os recursos dedicados ao programa de privacidade, o papel do funcionário sênior da agência para privacidade e outros
funcionários e funcionários de privacidade, as metas e objetivos estratégicos do programa de privacidade,
e os controlos de gestão do programa e controlos comuns em vigor ou planeados para cumprir os requisitos de privacidade
aplicáveis e gerir os riscos de privacidade. Os planos do programa de privacidade podem ser representados em
documentos únicos ou compilações de documentos.
O funcionário sênior da agência para privacidade é responsável por designar quais controles de privacidade a organização
tratará como controles de gerenciamento de programa, comuns, específicos do sistema e híbridos.
Os planos do programa de privacidade fornecem informações suficientes sobre o gerenciamento do programa de
privacidade e controles comuns (incluindo a especificação de parâmetros e operações de atribuição e seleção
explicitamente ou por referência) para permitir implementações de controle que sejam inequivocamente compatíveis com a
intenção dos planos e uma determinação do risco incorridos se os planos forem implementados conforme pretendido.
Os controles de gerenciamento do programa são geralmente implementados no nível da organização e são essenciais
para o gerenciamento do programa de privacidade da organização. Os controles de gerenciamento do programa são
distinto dos controles comuns, específicos do sistema e híbridos porque os controles de gerenciamento do programa
são independentes de qualquer sistema de informação específico. Juntos, os planos de privacidade para sistemas
individuais e o plano do programa de privacidade para toda a organização fornecem cobertura completa para os controles
de privacidade empregados na organização.
Os controles comuns são documentados em um apêndice do plano do programa de privacidade da organização, a

menos que os controles sejam incluídos em um plano de privacidade separado para um sistema. O plano do programa de
privacidade para toda a organização indica quais planos de privacidade separados contêm descrições de controles de
privacidade.
Controles relacionados: PM-8, PM-9, PM-19.
Referências: [PRIVACT], [OMB A-130].
PAPEL DE LIDERANÇA DO PROGRAMA DE PRIVACIDADE PM-19
Controle: Nomear um funcionário sênior da agência para privacidade com autoridade, missão, responsabilidade e recursos
para coordenar, desenvolver e implementar requisitos de privacidade aplicáveis e gerenciar riscos de privacidade por
meio do programa de privacidade em toda a organização.
Discussão: O responsável pela privacidade é um responsável organizacional. Para agências federais — conforme definido
pelas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes — esse funcionário é designado
como o funcionário sênior da agência para privacidade. As organizações também podem referir-se a este funcionário como
diretor de privacidade. O funcionário sênior da agência responsável pela privacidade também desempenha funções no
conselho de gerenciamento de dados (ver PM-23) e no conselho de integridade de dados (ver PM-24).
Controles relacionados: PM-18, PM-20, PM-23, PM-24, PM-27.
PM-20 DIVULGAÇÃO DE INFORMAÇÕES DO PROGRAMA DE PRIVACIDADE
Controle: Manter uma página central de recursos no principal site público da organização que sirva como fonte central de
informações sobre o programa de privacidade da organização e que:
a. Garante que o público tenha acesso a informações sobre as atividades de privacidade organizacional e possa se
comunicar com o funcionário sênior da agência para questões de privacidade;

e
g
_________________________________________________________________________________________________
pe
E b. Garante que as práticas e relatórios de privacidade organizacional estejam disponíveis publicamente; e
c. Emprega endereços de e-mail e/ou linhas telefônicas voltados publicamente para permitir que o público forneça feedback
e/ou direcione perguntas aos escritórios de privacidade sobre práticas de privacidade.
Discussão: Para agências federais, a página da web está localizada em www.[agency].gov/privacy. As agências federais
incluem avaliações de impacto na privacidade pública, avisos de sistema de registros, avisos e acordos de
correspondência de computadores, regras de isenção e implementação [PRIVACT] , relatórios de privacidade,
políticas de privacidade, instruções para indivíduos que fazem uma solicitação de acesso ou alteração, endereços de e-
mail para perguntas/reclamações, blogs e publicações periódicas.
Controles relacionados: AC-3, PM-19, PT-5, PT-6, PT-7, RA-8.
(1) DIVULGAÇÃO DE INFORMAÇÕES DO PROGRAMA DE PRIVACIDADE | POLÍTICAS DE PRIVACIDADE EM SITES,
APLICATIVOS E SERVIÇOS DIGITAIS
Desenvolva e publique políticas de privacidade em todos os sites externos, aplicativos móveis e outros
serviços digitais, que:
(a) São escritos em linguagem simples e organizados de uma forma que seja fácil de entender e
navegar;
(b) Fornecer informações necessárias ao público para tomar uma decisão informada sobre
se e como interagir com a organização; e
(c) São atualizados sempre que a organização faz uma alteração substancial nas práticas que descreve e inclui
um carimbo de hora/data para informar o público sobre a data das alterações mais recentes.
Discussão: As organizações publicam políticas de privacidade em todos os websites externos, aplicações

móveis e outros serviços digitais. As organizações publicam um link para a política de privacidade relevante em
qualquer ponto de entrada principal conhecido do site, aplicativo ou serviço digital. Além disso, as organizações
fornecem um link para a política de privacidade em qualquer página da Web que colete informações de
identificação pessoal. As organizações podem estar sujeitas a leis, ordens executivas, diretivas, regulamentos
ou políticas aplicáveis que exijam o fornecimento de informações específicas ao público. O pessoal organizacional
consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade em relação a tais requisitos.
Referências: [PRIVACT], [OMB A-130], [OMB M-17-06].
PM-21 CONTABILIDADE DE DIVULGAÇÕES
Ao controle:
a. Desenvolver e manter uma contabilidade precisa das divulgações de pessoas pessoalmente identificáveis
informações, incluindo:
1. Data, natureza e finalidade de cada divulgação; e
2. Nome e endereço ou outras informações de contato do indivíduo ou organização a quem

onde foi feita a divulgação;
b. Manter a contabilização das divulgações durante o período em que o indivíduo pessoalmente identificável
as informações são mantidas ou cinco anos após a divulgação ser feita, o que for mais longo; e
c. Disponibilizar a contabilização das divulgações ao indivíduo a quem a informação pessoal

informações identificáveis referem-se mediante solicitação.

e
g
_________________________________________________________________________________________________
pe
E Discussão: O objetivo da contabilização das divulgações é permitir que os indivíduos saibam a quem suas informações
de identificação pessoal foram divulgadas, fornecer uma base para avisar posteriormente os destinatários sobre qualquer
informação de identificação pessoal corrigida ou contestada e fornecer uma trilha de auditoria para revisões
subsequentes. da conformidade organizacional com as condições de divulgação. Para agências federais, manter um
registro das divulgações é exigido pelo [PRIVACT]; as agências devem consultar seu funcionário sênior para
obter aconselhamento jurídico e de privacidade sobre esse requisito e estar cientes das exceções legais e das orientações
do OMB relacionadas à disposição.
As organizações podem usar qualquer sistema para manter anotações de divulgações, se puderem construir a partir de
tal sistema, um documento listando todas as divulgações juntamente com as informações necessárias.
Mecanismos automatizados podem ser usados pelas organizações para determinar quando são pessoalmente identificáveis
informações são divulgadas, incluindo serviços comerciais que fornecem notificações e alertas.
A contabilização de divulgações também pode ser usada para ajudar as organizações a verificar a conformidade
com os estatutos e políticas de privacidade aplicáveis que regem a divulgação ou disseminação de informações e restrições
de disseminação.
Controles relacionados: AC-3, AU-2, PT-2.
PM-22 GESTÃO DA QUALIDADE DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS
Controle: Desenvolva e documente políticas e procedimentos em toda a organização para:
a. Revisar a precisão, relevância, oportunidade e integridade de informações pessoais

informações identificáveis ao longo do ciclo de vida da informação;
b. Corrigir ou excluir informações de identificação pessoal imprecisas ou desatualizadas;
c. Divulgar aviso de informações de identificação pessoal corrigidas ou excluídas para

indivíduos ou outras entidades apropriadas; e
d. Recursos de decisões adversas sobre pedidos de correção ou exclusão.
Discussão: A gestão da qualidade da informação pessoalmente identificável inclui etapas que as organizações
tomam para confirmar a precisão e a relevância das informações pessoalmente identificáveis ao longo do ciclo de vida da
informação. O ciclo de vida da informação inclui a criação, coleta, uso, processamento, armazenamento, manutenção,
disseminação, divulgação e disposição de informações de identificação pessoal. As políticas e procedimentos
organizacionais para a gestão da qualidade das informações de identificação pessoal são importantes porque
informações de identificação pessoal imprecisas ou desatualizadas mantidas pelas organizações podem causar
problemas aos indivíduos.
As organizações consideram a qualidade das informações de identificação pessoal envolvidas em funções empresariais,
onde informações imprecisas podem resultar em decisões adversas ou na negação de benefícios e serviços, ou a
divulgação das informações pode causar estigmatização. Informações corretas, em certas circunstâncias, podem causar
problemas para os indivíduos que superam os benefícios das organizações que mantêm as informações. As
organizações consideram a criação de políticas e procedimentos para a remoção de tais informações.
O funcionário sênior da agência para privacidade garante que existam meios e mecanismos práticos e que sejam acessíveis
para que os indivíduos ou seus representantes autorizados busquem a correção ou exclusão de informações de identificação
pessoal. Os processos para correção ou exclusão de dados estão claramente definidos e disponíveis publicamente. As
organizações usam o critério para determinar se os dados devem ser excluídos ou corrigidos com base no escopo das
solicitações, nas alterações desejadas e no impacto das alterações.
Além disso, os processos incluem o fornecimento de respostas aos indivíduos sobre decisões de negar pedidos de
correção ou exclusão. As respostas incluem as razões para as decisões, um meio

e
g
_________________________________________________________________________________________________
pe
E registrar objeções individuais às decisões e um meio de solicitar revisões das determinações iniciais.
As organizações notificam os indivíduos ou os seus representantes designados quando as suas informações

de identificação pessoal são corrigidas ou eliminadas para proporcionar transparência e confirmar a ação
concluída. Devido à complexidade dos fluxos e armazenamento de dados, outras entidades poderão necessitar de
ser informadas da correção ou eliminação. O aviso apoia a correção e exclusão consistente de informações de
identificação pessoal em todo o ecossistema de dados.
Controles Relacionados: PM-23, SI-18.
Referências: [OMB A-130], [OMB M-19-15], [SP 800-188].
ÓRGÃO DE GOVERNANÇA DE DADOS PM-23
Controle: Estabeleça um Órgão de Governança de Dados composto por [Atribuição: funções definidas pela
organização] com [Atribuição: responsabilidades definidas pela organização].
Discussão: Um Órgão de Governança de Dados pode ajudar a garantir que a organização tenha políticas coerentes e
a capacidade de equilibrar a utilidade dos dados com os requisitos de segurança e privacidade. O Órgão de
Governança de Dados estabelece políticas, procedimentos e padrões que facilitam a governança de dados para que
os dados, incluindo informações de identificação pessoal, sejam efetivamente gerenciados e mantidos de acordo com
as leis, ordens executivas, diretivas, regulamentos, políticas, padrões e orientações aplicáveis. As responsabilidades
podem incluir o desenvolvimento e implementação de diretrizes que apoiem a modelagem de dados, a qualidade, a
integridade e as necessidades de desidentificação de informações pessoalmente identificáveis ao longo do
ciclo de vida da informação, bem como a revisão e aprovação de aplicativos para liberar dados fora da organização,
arquivando os aplicativos e os dados divulgados e realizar o monitoramento pós-divulgação para garantir que as
suposições feitas como parte da divulgação dos dados continuem válidas. Os membros incluem o diretor de
informações, o diretor sênior de segurança da informação da agência e o funcionário sênior da agência para
privacidade. As agências federais são obrigadas a estabelecer um Órgão de Governança de Dados com funções e
responsabilidades específicas de acordo com o [EVIDACT] e as políticas estabelecidas em [OMB M-19-23].
Controles relacionados: AT-2, AT-3, PM-19, PM-22, PM-24, PT-7, SI-4, SI-19.
Referências: [EVIDACT], [OMB A-130], [OMB M-19-23], [SP 800-188].
PLACA DE INTEGRIDADE DE DADOS PM-24
Controle: Estabeleça um Conselho de Integridade de Dados para:
a. Analisar propostas para conduzir ou participar de um programa de correspondência; e
b. Realizar uma revisão anual de todos os programas correspondentes em que a agência participou.
Discussão: Um Conselho de Integridade de Dados é o conselho de altos funcionários designado pelo chefe de
uma agência federal e é responsável por, entre outras coisas, revisar as propostas da agência para conduzir ou
participar de um programa de correspondência e realizar uma revisão anual de todos os programas de
correspondência. em que a agência participou. De modo geral, um programa de correspondência é uma
comparação computadorizada de registros de dois ou mais sistemas automatizados de registros [PRIVACT] ou um
sistema automatizado de registros e registros automatizados mantidos por uma agência não federal (ou seu agente).
Um programa de correspondência pertence a programas de benefícios federais ou a funcionários federais ou
registros de folha de pagamento. No mínimo, o Conselho de Integridade de Dados inclui o Inspetor Geral da
agência, se houver, e o funcionário sênior da agência para privacidade.
Controles relacionados: AC-4, PM-19, PM-23, PT-2, PT-8.

e
g
_________________________________________________________________________________________________
pe
Referências: [PRIVACT], [OMB A-130], [OMB A-108].
PM-25 MINIMIZAÇÃO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS USADAS EM TESTES,

TREINAMENTO E PESQUISA
Ao controle:
a. Desenvolver, documentar e implementar políticas e procedimentos que abordem o uso de informações de

identificação pessoal para testes internos, treinamento e pesquisa;
b. Limitar ou minimizar a quantidade de informações de identificação pessoal usadas para testes internos,
fins de treinamento e pesquisa;
c. Autorizar o uso de informações de identificação pessoal quando tais informações forem necessárias
para testes internos, treinamento e pesquisa; e
d. Revisar e atualizar políticas e procedimentos [Atribuição: frequência definida pela organização].
Discussão: O uso de informações pessoalmente identificáveis em testes, pesquisas e treinamento aumenta o

risco de divulgação não autorizada ou uso indevido de tais informações. As organizações consultam o
funcionário sênior da agência para aconselhamento jurídico e/ou de privacidade para garantir que o uso de informações
de identificação pessoal em testes, treinamento e pesquisa seja compatível com o propósito original para o qual
foram coletadas. Quando possível, as organizações usam dados de espaço reservado para evitar a exposição de
informações de identificação pessoal ao realizar testes, treinamentos e pesquisas.
Controles Relacionados: PM-23, PT-3, SA-3, SA-8, SI-12.
PM-26 GESTÃO DE RECLAMAÇÕES
Controle: Implemente um processo para receber e responder a reclamações, preocupações ou perguntas de indivíduos
sobre as práticas organizacionais de segurança e privacidade que inclua:
a. Mecanismos fáceis de usar e facilmente acessíveis ao público;
b. Todas as informações necessárias para a apresentação de reclamações com sucesso;
c. Mecanismos de rastreamento para garantir que todas as reclamações recebidas sejam analisadas e tratadas dentro
[Atribuição: período de tempo definido pela organização];
d. Confirmação de recebimento de reclamações, preocupações ou perguntas de indivíduos dentro

[Atribuição: período de tempo definido pela organização]; e
e. Resposta a reclamações, preocupações ou perguntas de indivíduos dentro de [Tarefa: período de tempo

Discussão: Reclamações, preocupações e perguntas de indivíduos podem servir como fontes valiosas
de entrada para as organizações e, em última análise, melhorar os modelos operacionais, os usos da tecnologia, as
práticas de coleta de dados e os controles. Os mecanismos que podem ser usados pelo público incluem linha telefônica
direta, e-mail ou formulários baseados na web. As informações necessárias para registrar reclamações com sucesso
incluem informações de contato do funcionário sênior da agência de privacidade ou outro funcionário designado para
receber reclamações. Reclamações de privacidade também podem incluir informações de identificação pessoal
que é tratado de acordo com políticas e processos relevantes.
Controles relacionados: IR-7, IR-9, PM-22, SI-18.

e
g
_________________________________________________________________________________________________
pe
RELATÓRIO DE PRIVACIDADE PM-27
Ao controle:
a. Desenvolver [Tarefa: relatórios de privacidade definidos pela organização] e divulgar para:
1. [Atribuição: órgãos de supervisão definidos pela organização] para demonstrar responsabilidade com mandatos
estatutários, regulatórios e políticos de privacidade; e
2. [Atribuição: funcionários definidos pela organização] e outro pessoal responsável por

monitorar a conformidade do programa de privacidade; e
b. Revise e atualize relatórios de privacidade [Atribuição: frequência definida pela organização].
Discussão: Através de relatórios internos e externos, as organizações promovem a responsabilização e a transparência nas
operações de privacidade organizacional. Os relatórios também podem ajudar as organizações a determinar o progresso
no cumprimento dos requisitos de conformidade e controles de privacidade, comparar o desempenho em todo o governo
federal, descobrir vulnerabilidades, identificar lacunas nas políticas e na implementação e identificar modelos para o sucesso.
Para agências federais, os relatórios de privacidade incluem
funcionário sênior anual da agência para relatórios de privacidade ao OMB, relatórios ao Congresso exigidos pelos
Regulamentos de Implementação da Lei da Comissão do 11 de Setembro e outros relatórios públicos exigidos por lei,
regulamento ou política, incluindo políticas internas de organizações. O funcionário sênior da agência para privacidade
consulta o consultor jurídico, quando apropriado, para garantir que as organizações atendam a todos os requisitos
aplicáveis de relatórios de privacidade.
Referências: [FISMA], [OMB A-130], [OMB A-108].
ENQUADRAMENTO DE RISCO PM-28
Ao controle:
a. Identifique e documente:
1. Suposições que afetam avaliações de riscos, respostas a riscos e monitoramento de riscos;
2. Restrições que afectam as avaliações de riscos, as respostas aos riscos e a monitorização dos riscos;
3. Prioridades e trade-offs considerados pela organização para gestão de riscos; e
4. Tolerância ao risco organizacional;
b. Distribuir os resultados das atividades de enquadramento de risco para [Atribuição: definido pela organização
pessoal]; e
c. Revise e atualize as considerações de estrutura de risco [Atribuição: definida pela organização

frequência].
Discussão: A estruturação de riscos é mais eficaz quando conduzida no nível da organização e em consulta com as
partes interessadas em toda a organização, incluindo os proprietários da missão, do negócio e do sistema. Os
pressupostos, restrições, tolerância ao risco, prioridades e compromissos identificados como parte do processo de
enquadramento do risco informam a estratégia de gestão do risco, que por sua vez informa a condução das atividades de
avaliação do risco, resposta ao risco e monitorização do risco. Os resultados da estrutura de risco são compartilhados com o
pessoal organizacional, incluindo a missão e os proprietários do negócio, as informações

e
g
_________________________________________________________________________________________________
pe
E proprietários ou administradores, proprietários de sistemas, funcionários responsáveis pela autorização, oficial sênior de segurança
da informação da agência, funcionário sênior da agência para privacidade e funcionário sênior responsável pela gestão de riscos.
Controles Relacionados: CA-7, PM-9, RA-3, RA-7.
FUNÇÕES DE LIDERANÇA DO PROGRAMA DE GESTÃO DE RISCO PM-29
Ao controle:
a. Nomear um Oficial Sênior Responsável pela Gestão de Riscos para alinhar

processos de gestão de segurança e privacidade da informação com processos de planejamento estratégico,
operacional e orçamentário; e
b. Estabeleça um Executivo de Risco (função) para visualizar e analisar o risco de uma perspectiva de toda a
organização e garantir que o gerenciamento do risco seja consistente em toda a organização.
Discussão: O responsável sênior pela gestão de riscos lidera o executivo (função) de riscos nas atividades de
gestão de riscos em toda a organização.
Controles Relacionados: PM-2, PM-19.
ESTRATÉGIA DE GERENCIAMENTO DE RISCO DA CADEIA DE FORNECIMENTO PM-30
Ao controle:
a. Desenvolver uma estratégia em toda a organização para gerenciar os riscos da cadeia de suprimentos associados
ao desenvolvimento, aquisição, manutenção e descarte de sistemas, componentes de sistema e serviços de
sistema;
b. Implementar a estratégia de gestão de riscos da cadeia de abastecimento de forma consistente em toda a organização;
e
c. Rever e atualizar a estratégia de gestão de riscos da cadeia de abastecimento em [Tarefa:

frequência definida pela organização] ou conforme necessário, para abordar mudanças organizacionais.
Discussão: Uma estratégia de gestão de risco da cadeia de abastecimento em toda a organização inclui
uma expressão inequívoca do apetite e tolerância ao risco da cadeia de abastecimento para a organização,
estratégias ou controles aceitáveis de mitigação de risco da cadeia de abastecimento, um processo para
avaliar e monitorar consistentemente o risco da cadeia de abastecimento, abordagens para implementação e comunicar
a estratégia de gestão de riscos da cadeia de abastecimento e as funções e responsabilidades associadas. A gestão de
riscos da cadeia de fornecimento inclui considerações sobre os riscos de segurança e privacidade associados ao
desenvolvimento, aquisição, manutenção e descarte de sistemas, componentes de sistema e serviços de sistema. A
estratégia de gestão de riscos da cadeia de abastecimento pode ser incorporada na estratégia global de gestão
de riscos da organização e pode orientar e informar as políticas da cadeia de abastecimento e os planos de gestão
de riscos da cadeia de abastecimento a nível do sistema. Além disso, a utilização de uma função executiva de
risco pode facilitar uma aplicação consistente, em toda a organização, da estratégia de gestão de riscos da cadeia de
abastecimento. A estratégia de gestão de riscos da cadeia de abastecimento é implementada nos níveis da
organização e da missão/negócio, enquanto o plano de gestão de riscos da cadeia de abastecimento (ver SR-2) é
implementado no nível do sistema.
Controles relacionados: CM-10, PM-9, SR-1, SR-2, SR-3, SR-4, SR-5, SR-6, SR-7, SR-8, SR-9, SR-11 .

e
g
_________________________________________________________________________________________________
pe
E (1) ESTRATÉGIA DE GESTÃO DE RISCOS DA CADEIA DE FORNECIMENTO | FORNECEDORES DE ITENS CRÍTICOS OU ESSENCIAIS PARA A MISSÃO
Identifique, priorize e avalie fornecedores de tecnologias, produtos e serviços críticos ou essenciais

à missão.
Discussão: A identificação e priorização de fornecedores de tecnologias, produtos e serviços críticos ou essenciais

à missão são fundamentais para o sucesso da missão/negócios das organizações. A avaliação dos
fornecedores é realizada por meio de análises de fornecedores (ver SR-6) e processos de avaliação de riscos da
cadeia de fornecimento (ver RA-3(1)). Uma análise do risco da cadeia de abastecimento pode ajudar uma
organização a identificar sistemas ou componentes para os quais são necessárias mitigações adicionais de riscos
na cadeia de abastecimento.
Controles Relacionados: RA-3, SR-6.
Referências: [PRIVACT], [FASC18], [EO 13873], [41 CFR 201], [OMB A-130], [OMB M-17-06]
[CNSSD 505], [ISO 27036], [ISO 20243], [SP 800-161], [IR 8272].
ESTRATÉGIA DE MONITORAMENTO CONTÍNUO PM-31
Controle: Desenvolva uma estratégia de monitoramento contínuo em toda a organização e implemente

programas de monitoramento contínuo que incluam:
a. Estabelecer as seguintes métricas em toda a organização a serem monitoradas: [Atribuição:

métricas definidas pela organização];
b. Estabelecer [Atribuição: frequências definidas pela organização] para monitoramento e

[Atribuição: frequências definidas pela organização] para avaliação da eficácia do controle;
c. Monitorização contínua das métricas definidas organizacionalmente de acordo com a estratégia de monitorização
contínua;
d. Correlação e análise de informações geradas por avaliações de controle e monitoramento;
e. Ações de resposta para abordar os resultados da análise da avaliação e monitoramento do controle

Informação; e
f. Relatar o status de segurança e privacidade dos sistemas organizacionais para [Atribuição:

pessoal ou funções definidas pela organização] [Atribuição: frequência definida pela organização].
Discussão: O monitoramento contínuo no nível da organização facilita a conscientização contínua da postura de segurança
e privacidade em toda a organização para apoiar decisões de gerenciamento de riscos organizacionais. Os termos
“contínuo” e “contínuo” implicam que as organizações avaliem e monitorizem os seus controlos e riscos com uma
frequência suficiente para apoiar decisões baseadas no risco. Diferentes tipos de controles podem exigir diferentes
frequências de monitoramento. Os resultados do monitoramento contínuo orientam e informam as ações de resposta
aos riscos por parte das organizações. Programas de monitoramento contínuo permitem que as organizações mantenham
as autorizações de sistemas e controles comuns em ambientes de operação altamente dinâmicos com mudanças na
missão e nas necessidades de negócios, ameaças, vulnerabilidades e tecnologias. Ter acesso contínuo a informações
relacionadas à segurança e à privacidade por meio de relatórios e painéis dá aos funcionários da organização a
capacidade de tomar decisões de gerenciamento de riscos eficazes, oportunas e informadas, incluindo decisões
de autorização contínuas. Para facilitar ainda mais o gerenciamento de riscos de segurança e privacidade, as
organizações consideram alinhar as métricas de monitoramento definidas pela organização com a tolerância ao risco
organizacional, conforme definido na estratégia de gerenciamento de riscos. Os requisitos de monitoramento, incluindo a
necessidade de monitoramento, podem ser referenciados em outros controles e melhorias de controle, como AC-2g,
AC-2(7), AC-2(12)(a),
AC-2(7)(b), AC-2(7)(c), AC-17(1), AT-4a, AU-13, AU-13(1), AU-13(2), CA -7, CM-3f, CM-6d, CM-11c, IR-5, MA-2b, MA-3a,
MA-4a, PE-3d, PE-6, PE-14b, PE- 16, PE-20 , PM-6, PM-23, PS-7e, SA-9c, SC-5(3)(b), SC-7a, SC-7(24)(b), SC-18b,
SC-43b, SI -4.
Controles relacionados: AC-2, AC-6, AC-17, AT-4, AU-6, AU-13, CA-2, CA-5, CA-6, CA-7, CM-3, CM-4 ,
CM-6, CM-11, IA-5, IR- 5, MA-2 , MA-3, MA-4, PE-3, PE-6, PE- 14, PE-16, PE-20, PL- 2, PM-4, PM-6,

e
g
_________________________________________________________________________________________________
pe
E PM-9, PM-10, PM-12, PM - 14 , PM-23, PM -28, PS-7, PT-7, RA-3, RA-5 , RA-7, SA-9, SA- 11, SC-5, SC -7, SC-18,
SC-38, SC-43, SI-3, SI-4, SI-12, SR-2, SR-4.
Referências: [SP 800-37], [SP 800-39], [SP 800-137], [SP 800-137A].
OBJETIVO PM-32
Controle: Analisar [Atribuição: sistemas ou componentes de sistemas definidos pela organização] que apoiam
serviços ou funções essenciais à missão para garantir que os recursos de informação estejam sendo usados de
forma consistente com a finalidade pretendida.
Discussão: Os sistemas são projetados para apoiar uma missão ou função empresarial específica. No entanto, ao
longo do tempo, os sistemas e componentes do sistema podem ser utilizados para apoiar serviços e funções que
estão fora do âmbito da missão ou funções empresariais pretendidas. Isso pode resultar na exposição de
recursos de informação a ambientes e usos não intencionais que podem aumentar significativamente a
exposição a ameaças. Ao fazer isso, os sistemas ficam mais vulneráveis a comprometimentos, o que
podem, em última análise, impactar os serviços e funções para os quais foram destinados. Isto é especialmente
impactante para serviços e funções essenciais à missão. Ao analisar o uso de recursos, as organizações
pode identificar tais exposições potenciais.
Controles Relacionados: CA-7, PL-2, RA-3, RA-9.
Referências: [SP 800-160-1], [SP 800-160-2].

e
g
_________________________________________________________________________________________________
pe
E 3.14 SEGURANÇA DE PESSOAL
Link rápido para a Tabela de Resumo de Segurança Pessoal
POLÍTICA E PROCEDIMENTOS PS-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de segurança
pessoal em nível de sistema] que:
2. Procedimentos para facilitar a implementação da política de segurança do pessoal e dos controles de

segurança do pessoal associados;

documentação e divulgação da política e procedimentos de segurança de pessoal; e
c. Revise e atualize a segurança pessoal atual:


Discussão: Política e procedimentos de segurança pessoal para os controles da família PS que são implementados
em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas
e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é importante
que os programas de segurança e privacidade colaborem no seu desenvolvimento. As políticas e procedimentos do
programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem evitar a necessidade
de políticas e procedimentos no nível da missão ou específicos do sistema. A política pode ser incluída como parte da
política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a natureza complexa
das organizações.
Podem ser estabelecidos procedimentos para programas de segurança e privacidade, para processos de missão/negócios,
e para sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados e
podem ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados.
Os eventos que podem precipitar uma atualização da política e dos procedimentos de segurança do pessoal incluem,
mas não estão limitados a, resultados de avaliação ou auditoria, incidentes ou violações de segurança ou alterações
nas leis aplicáveis, ordens executivas, diretivas, regulamentos, políticas, padrões e diretrizes.

e
g
_________________________________________________________________________________________________
pe
E DESIGNAÇÃO DE RISCO DE POSIÇÃO PS-2
Ao controle:
a. Atribuir uma designação de risco a todos os cargos organizacionais;
b. Estabelecer critérios de triagem para indivíduos que ocupam esses cargos; e
c. Revise e atualize as designações de risco de posição [Atribuição: frequência definida pela organização].
Discussão: As designações de risco de posição refletem a política e orientação do Escritório de Gestão de Pessoal
(OPM). A designação adequada da posição é a base de uma adequação eficaz e consistente
e programa de segurança de pessoal. O Sistema de Designação de Cargos (PDS) avalia os deveres e responsabilidades
de um cargo para determinar o grau de dano potencial à eficiência ou integridade do serviço devido à má conduta
de um ocupante de um cargo e estabelece o nível de risco desse cargo. A avaliação do PDS também determina se os
deveres e responsabilidades do cargo apresentam potencial para que os titulares do cargo provoquem um efeito
adverso material na segurança nacional e o grau desse efeito potencial, o que estabelece o nível de sensibilidade
de um cargo. Os resultados da avaliação determinam qual nível de investigação é conduzido para uma
posição. As designações de risco podem orientar e informar os tipos de autorizações que os indivíduos recebem ao
acessar informações organizacionais e sistemas de informação.
Os critérios de seleção de cargos incluem requisitos explícitos de nomeação para cargos de segurança da informação.
As Partes 1400 e 731 do Título 5, Código de Regulamentações Federais, estabelecem os requisitos para que
as organizações avaliem posições cobertas relevantes para uma sensibilidade de posição e designação de risco de
posição proporcionais aos deveres e responsabilidades dessas posições.
Controles relacionados: AC-5, AT-3, PE-2, PE-3, PL-2, PS-3, PS-6, SA-5, SA-21, SI-12.
Referências: [5 CFR 731], [SP 800-181].
TRIAGEM DE PESSOAL PS-3
Ao controle:
a. Triar indivíduos antes de autorizar o acesso ao sistema; e
b. Reavaliar indivíduos de acordo com [Atribuição: condições definidas pela organização

exigindo nova triagem e, quando a nova triagem for indicada, a frequência da nova triagem].
Discussão: As atividades de triagem e reavaliação de pessoal refletem leis aplicáveis, ordens executivas, diretivas,
regulamentos, políticas, padrões, diretrizes e critérios específicos estabelecidos para as designações de risco dos cargos
atribuídos. Exemplos de triagem de pessoal incluem investigações de antecedentes e verificações de agências. As
organizações podem definir diferentes condições e frequências de nova triagem para o pessoal que acessa os sistemas
com base nos tipos de informações processadas, armazenadas ou transmitidas pelos sistemas.
Controles Relacionados: AC-2, IA-4, MA-5, PE-2, PM-12, PS-2, PS-6, PS-7, SA-21.
(1) TRIAGEM DE PESSOAL | INFORMAÇÃO CLASSIFICADA
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite informações
classificadas são liberados e doutrinados no mais alto nível de classificação das informações às
quais têm acesso no sistema.
Discussão: Informações classificadas são as informações mais confidenciais que o Governo Federal
processa, armazena ou transmite. É imperativo que os indivíduos tenham as autorizações de segurança
e de acesso ao sistema necessárias antes de obter acesso a tais

e
g
_________________________________________________________________________________________________
pe
E Informação. As autorizações de acesso são impostas por controles de acesso ao sistema (consulte AC-3) e controles de
fluxo (consulte AC-4).
(2) TRIAGEM DE PESSOAL | INDOUTRINAÇÃO FORMAL
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite tipos de informações
confidenciais que exigem doutrinação formal são formalmente doutrinados para todos
os tipos relevantes de informações aos quais eles têm acesso no sistema.
Discussão: Os tipos de informações classificadas que requerem doutrinação formal incluem Programa de Acesso Especial
(SAP), Dados Restritos (RD) e Informações Compartimentadas Sensíveis (SCI).
(3) TRIAGEM DE PESSOAL | INFORMAÇÕES QUE EXIGEM MEDIDAS DE PROTEÇÃO ESPECIAIS
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite informações que requerem
proteção especial:
(a) Ter autorizações de acesso válidas que sejam demonstradas pelo funcionário designado
deveres governamentais; e
(b) Satisfazer [Atribuição: critérios adicionais de triagem de pessoal definidos pela organização].
Discussão: As informações organizacionais que requerem proteção especial incluem informações controladas e não
classificadas. Os critérios de segurança do pessoal incluem requisitos de triagem de histórico de sensibilidade ao cargo.
(4) TRIAGEM DE PESSOAL | REQUISITOS DE CIDADANIA
Verifique se os indivíduos que acessam um sistema que processa, armazena ou transmite [Atribuição: tipos de
informações definidos pela organização] atendem a [Atribuição: requisitos de cidadania definidos pela
organização].
Referências: [EO 13526], [EO 13587], [FIPS 199], [FIPS 201-2], [SP 800-60-1], [SP 800-60-2], [SP 800-73-4] , [SP 800-76-2], [SP
800-78-4].
RESCISÃO DE PESSOAL PS-4
Controle: Após o término do emprego individual:
a. Desative o acesso ao sistema dentro de [Atribuição: período de tempo definido pela organização];
b. Encerrar ou revogar quaisquer autenticadores e credenciais associados ao indivíduo;
c. Conduza entrevistas de saída que incluam uma discussão sobre [Tarefa: definida pela organização
temas de segurança da informação];
d. Recuperar todas as propriedades relacionadas ao sistema organizacional relacionadas à segurança; e
e. Manter o acesso a informações e sistemas organizacionais anteriormente controlados por

Individual.
Discussão: A propriedade do sistema inclui tokens de autenticação de hardware, manuais técnicos de administração do sistema,
chaves, cartões de identificação e passes de construção. As entrevistas de desligamento garantem que os indivíduos demitidos
entendam as restrições de segurança impostas por serem ex-funcionários e que a responsabilização adequada seja alcançada pela
propriedade relacionada ao sistema. Os tópicos de segurança nas entrevistas de desligamento incluem lembrar os indivíduos
sobre acordos de confidencialidade e possíveis limitações em empregos futuros. As entrevistas de saída nem sempre são
possíveis para alguns indivíduos, incluindo

e
g
_________________________________________________________________________________________________
pe
E em casos relacionados à indisponibilidade de supervisores, doenças ou abandono do emprego. As entrevistas de saída
são importantes para indivíduos com autorizações de segurança. A execução tempestiva das ações de rescisão é essencial
para indivíduos que foram demitidos por justa causa. Em certos
situações, as organizações consideram desabilitar as contas do sistema de indivíduos que estão sendo encerrados antes de os
indivíduos serem notificados.
Controles Relacionados: AC-2, IA-4, PE-2, PM-12, PS-6, PS-7.
(1) RESCISÃO DE PESSOAL | REQUISITOS PÓS-EMPREGO

(a) Notificar indivíduos demitidos sobre os requisitos pós-emprego aplicáveis e juridicamente vinculativos
para a proteção de informações organizacionais; e
(b) Exigir que os indivíduos demitidos assinem um reconhecimento dos requisitos pós-emprego como parte do
processo de demissão organizacional.
Discussão: As organizações consultam o Gabinete do Conselho Geral sobre questões de requisitos pós-emprego para
indivíduos demitidos.
(2) RESCISÃO DE PESSOAL | AÇÕES AUTOMATIZADAS

Use [Atribuição: mecanismos automatizados definidos pela organização] para [Seleção (um ou mais): notificar
[Atribuição: pessoal ou funções definidas pela organização] sobre ações de rescisão individuais; desativar
o acesso aos recursos do sistema].
Discussão: Em organizações com muitos funcionários, nem todo o pessoal que precisa de saber sobre as ações de
rescisão recebe as notificações apropriadas ou, se tais notificações forem recebidas, podem não ocorrer em tempo hábil.
Mecanismos automatizados podem ser usados para enviar alertas ou notificações automáticas ao pessoal ou funções
organizacionais quando indivíduos são demitidos. Esses alertas ou notificações automáticos podem ser transmitidos de
diversas maneiras, inclusive por telefone, correio eletrônico, mensagem de texto ou sites. Mecanismos automatizados também
podem ser empregados para desabilitar rápida e completamente o acesso aos recursos do sistema após a demissão de um
funcionário.
TRANSFERÊNCIA DE PESSOAL PS-5
Ao controle:
a. Revise e confirme a necessidade operacional contínua de acesso lógico e físico atual

autorizações para sistemas e instalações quando indivíduos são realocados ou transferidos para outros cargos dentro da
organização;
b. Iniciar [Atribuição: ações de transferência ou reatribuição definidas pela organização] dentro

[Atribuição: período de tempo definido pela organização após a ação formal de transferência];
c. Modifique a autorização de acesso conforme necessário para corresponder a quaisquer alterações nas necessidades operacionais
devido a reatribuição ou transferência; e
d. Notificar [Atribuição: pessoal ou funções definidas pela organização] dentro de [Atribuição: período de tempo
Discussão: A transferência de pessoal aplica-se quando as reafectações ou transferências de indivíduos são permanentes
ou de duração tão prolongada que tornam as acções justificadas. As organizações definem ações adequadas aos tipos de
remanejamentos ou transferências, sejam permanentes ou prorrogadas.
Ações que podem ser necessárias para transferências de pessoal ou reatribuições para outros cargos dentro

e
g
_________________________________________________________________________________________________
pe
E as organizações incluem a devolução de chaves antigas e a emissão de novas chaves, cartões de
identificação e passes de construção; encerramento de contas do sistema e abertura de novas contas;
alterar autorizações de acesso ao sistema (ou seja, privilégios); e fornecer acesso a registros oficiais aos quais
os indivíduos tiveram acesso em locais de trabalho anteriores e em contas anteriores do sistema.
Controles relacionados: AC-2, IA-4, PE-2, PM-12, PS-4, PS-7.
ACORDOS DE ACESSO PS-6

Ao controle:
a. Desenvolver e documentar acordos de acesso para sistemas organizacionais;
b. Rever e atualizar os acordos de acesso [Atribuição: frequência definida pela organização];

e
c. Verifique se os indivíduos que necessitam de acesso a informações e sistemas organizacionais:
1. Assinar acordos de acesso apropriados antes de obter acesso; e
2. Assinar novamente os acordos de acesso para manter o acesso aos sistemas organizacionais quando
os acordos de acesso forem atualizados ou [Atribuição: frequência definida pela organização].
Discussão: Os acordos de acesso incluem acordos de confidencialidade, acordos de uso aceitável, regras de
comportamento e acordos de conflito de interesses. Os acordos de acesso assinados incluem um
reconhecimento de que os indivíduos leram, compreenderam e concordaram em cumprir as restrições associadas
aos sistemas organizacionais aos quais o acesso é autorizado. As organizações podem usar assinaturas
eletrônicas para reconhecer acordos de acesso, a menos que seja especificamente proibido pela política
organizacional.
Controles relacionados: AC-17, PE-2, PL-4, PS-2, PS-3, PS-6, PS-7, PS-8, SA-21, SI-12.
(1) ACORDOS DE ACESSO | INFORMAÇÕES QUE REQUEREM PROTEÇÃO ESPECIAL
[Retirado: Incorporado ao PS-3.]
(2) ACORDOS DE ACESSO | INFORMAÇÕES CLASSIFICADAS QUE REQUEREM PROTEÇÃO ESPECIAL
Verifique se o acesso a informações classificadas que requerem proteção especial é concedido

apenas a pessoas que:
(a) Ter uma autorização de acesso válida que seja demonstrada pelas funções
governamentais oficiais atribuídas;
(b) Satisfazer os critérios de segurança de pessoal associados; e
(c) Ter lido, compreendido e assinado um acordo de confidencialidade.
Discussão: As informações classificadas que requerem proteção especial incluem informações
colaterais, informações do Programa de Acesso Especial (SAP) e Informações Compartimentadas
Sensíveis (SCI). Os critérios de segurança do pessoal refletem as leis, ordens executivas, diretivas,
regulamentos, políticas, padrões e diretrizes aplicáveis.
(3) ACORDOS DE ACESSO | REQUISITOS PÓS-EMPREGO
(a) Notificar os indivíduos sobre os requisitos pós-emprego aplicáveis e juridicamente vinculativos para
proteção de informações organizacionais; e

e
g
_________________________________________________________________________________________________
pe
E (b) Exigir que os indivíduos assinem um reconhecimento desses requisitos, se aplicável, como parte da
concessão de acesso inicial às informações cobertas.
Discussão: As organizações consultam o Gabinete do Conselho Geral sobre questões de requisitos pós-emprego
para indivíduos demitidos.
PS-7 SEGURANÇA DE PESSOAL EXTERNO
Ao controle:
a. Estabelecer requisitos de segurança do pessoal, incluindo funções e responsabilidades de segurança para

fornecedores externos;
b. Exigir que fornecedores externos cumpram as políticas e procedimentos de segurança pessoal

estabelecido pela organização;
c. Documentar os requisitos de segurança do pessoal;
d. Exigir que fornecedores externos notifiquem [Atribuição: pessoal ou funções definidas pela organização] sobre quaisquer
transferências de pessoal ou demissões de pessoal externo que possua credenciais e/ou crachás organizacionais,
ou que tenham privilégios de sistema dentro de [Atribuição: período de tempo definido pela organização]; e
e. Monitore a conformidade do fornecedor com os requisitos de segurança do pessoal.
Discussão: Provedor externo refere-se a organizações que não sejam a organização que opera ou adquire o sistema.
Provedores externos incluem agências de serviços, prestadores de serviços e outras organizações que fornecem
desenvolvimento de sistemas, serviços de tecnologia da informação, serviços de teste ou avaliação, aplicativos
terceirizados e gerenciamento de rede/segurança. As organizações incluem explicitamente requisitos de segurança de
pessoal em documentos relacionados à aquisição. Os provedores externos podem ter pessoal trabalhando em
instalações organizacionais com credenciais, crachás ou privilégios de sistema emitidos pelas organizações. Notificações
de mudanças de pessoal externo garantem o encerramento apropriado de privilégios e credenciais. As organizações definem
as transferências e rescisões consideradas reportáveis por características relacionadas à segurança que incluem
funções, funções e a natureza das credenciais ou privilégios associados a indivíduos transferidos ou demitidos.
Controles relacionados: AT-2, AT-3, MA-5, PE-3, PS-2, PS-3, PS-4, PS-5, PS-6, SA-5, SA-9, SA-21 .
Referências: [SP 800-35], [SP 800-63-3].
SANÇÕES DE PESSOAL PS-8
Ao controle:
a. Empregar um processo formal de sanções para indivíduos que não cumpram as políticas e procedimentos
estabelecidos de segurança da informação e privacidade; e
b. Notificar [Atribuição: pessoal ou funções definidas pela organização] em [Atribuição:

período de tempo definido pela organização] quando um processo formal de sanções aos funcionários é iniciado,
identificando o indivíduo sancionado e o motivo da sanção.
Discussão: As sanções organizacionais refletem as leis, ordens executivas, diretivas, regulamentos, políticas,
padrões e diretrizes aplicáveis. Os processos de sanções são descritos em acordos de acesso e podem ser incluídos
como parte das políticas gerais de pessoal das organizações e/ou especificados nas políticas de segurança e privacidade.
As organizações consultam o Gabinete do Conselho Geral sobre questões de sanções a funcionários.

e
g
_________________________________________________________________________________________________
pe
E Controles relacionados: Todos os controles XX-1, PL-4, PM-12, PS-6, PT-1.
DESCRIÇÕES DE POSIÇÃO PS-9
Controle: incorpore funções e responsabilidades de segurança e privacidade nas descrições de cargos organizacionais.
Discussão: A especificação de funções de segurança e privacidade nas descrições de cargos organizacionais individuais
facilita a clareza na compreensão das responsabilidades de segurança ou privacidade associadas às funções e dos requisitos de
treinamento de segurança e privacidade baseados em funções para as funções.

e
g
_________________________________________________________________________________________________
pe
E 3.15 PROCESSAMENTO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS E
TRANSPARÊNCIA
Link rápido para a tabela de processamento e transparência de informações de identificação pessoal
POLÍTICA E PROCEDIMENTOS PT-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Nível de sistema]
política de transparência e processamento de informações pessoalmente identificáveis que:

2. Procedimentos para facilitar a implementação da política de transparência e processamento de informações

pessoalmente identificáveis e os controles associados de processamento e transparência de
informações pessoalmente identificáveis;

documentação e divulgação da política e dos procedimentos de processamento e transparência de informações de
identificação pessoal; e
c. Revise e atualize o atual processamento de informações de identificação pessoal e

transparência:


Discussão: A política e os procedimentos de processamento e transparência de informações pessoalmente

identificáveis abordam os controles da família PT que são implementados nos sistemas e organizações. A
estratégia de gestão de riscos é um fator importante no estabelecimento de tais políticas e procedimentos. Políticas e
procedimentos contribuem para a garantia de segurança e privacidade. Portanto, é importante que os programas de
segurança e privacidade colaborem no desenvolvimento de políticas e procedimentos de processamento e transparência
de informações pessoalmente identificáveis. As políticas e procedimentos do programa de segurança e privacidade no
nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos
documentados nos planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Eventos
que podem precipitar uma atualização para
A política e os procedimentos de transparência e processamento de informações pessoalmente identificáveis incluem
resultados de avaliação ou auditoria, violações ou alterações nas leis, ordens executivas, diretivas,
regulamentos, políticas, padrões e diretrizes aplicáveis. A simples reafirmação dos controles não constitui uma
política ou procedimento organizacional.

e
g
_________________________________________________________________________________________________
pe
AUTORIDADE PT-2 PARA PROCESSAR INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL
Ao controle:
a. Determinar e documentar a [Atribuição: autoridade definida pela organização] que permite a [Atribuição: processamento definido
pela organização] de informações de identificação pessoal; e
b. Restringir a [Atribuição: processamento definido pela organização] de dados pessoalmente identificáveis

informações apenas àquelas que estão autorizadas.
Discussão: O processamento de informações pessoalmente identificáveis é uma operação ou conjunto de operações que
o sistema de informação ou organização executa com relação às informações pessoalmente identificáveis ao longo do ciclo
de vida da informação. O processamento inclui, mas não está limitado a criação, coleta, uso, processamento, armazenamento,
manutenção, disseminação, divulgação e descarte. As operações de processamento também incluem registro, geração e
transformação, bem como técnicas de análise, como mineração de dados.
As organizações podem estar sujeitas a leis, ordens executivas, diretivas, regulamentos ou políticas que estabeleçam a autoridade
da organização e, assim, limitem certos tipos de processamento de informações de identificação pessoal ou estabeleçam outros
requisitos relacionados ao processamento. O pessoal da organização consulta o funcionário sênior da agência para aconselhamento
jurídico e de privacidade em relação a tal autoridade, especialmente se a organização estiver sujeita a múltiplas jurisdições ou
fontes de autoridade. Para organizações cujo processamento não é determinado pelas autoridades legais,
as políticas e determinações da organização regem a forma como processam informações de identificação pessoal. Embora o
processamento de informações de identificação pessoal possa ser legalmente permitido, ainda podem surgir riscos de privacidade.
As avaliações de risco de privacidade podem identificar os riscos de privacidade associados ao processamento autorizado de
informações de identificação pessoal e apoiar soluções para gerenciar tais riscos.
As organizações consideram os requisitos e políticas organizacionais aplicáveis para determinar como documentar esta autoridade.
Para agências federais, a autoridade para processar informações de identificação pessoal está documentada em políticas e
avisos de privacidade, avisos de sistema de registros, avaliações de impacto na privacidade, declarações [PRIVACT] , acordos
e avisos de correspondência de computadores, contratos, acordos de compartilhamento de informações, memorandos de
entendimento e outra documentação.
As organizações tomam medidas para garantir que as informações de identificação pessoal sejam processadas apenas para fins
autorizados, incluindo o treinamento do pessoal organizacional sobre o processamento autorizado de informações de identificação
pessoal e o monitoramento e auditoria do uso organizacional de informações de identificação pessoal.
Controles relacionados: AC-2, AC-3, CM-13, IR-9, PM-9, PM-24, PT-1, PT-3, PT-5, PT-6, RA-3, RA-8 , SI-12, SI-18.
(1) AUTORIDADE PARA PROCESSAR INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL | MARCAÇÃO DE DADOS
Anexe tags de dados contendo [Atribuição: processamento autorizado definido pela organização] a [Atribuição:
elementos de informações de identificação pessoal definidos pela organização].
Discussão: As tags de dados apoiam o rastreamento e a aplicação do processamento autorizado, transmitindo os tipos
de processamento autorizados, juntamente com os elementos relevantes do

e
g
_________________________________________________________________________________________________
pe
E informações pessoalmente identificáveis em todo o sistema. As tags de dados também podem suportar o uso
de ferramentas automatizadas.
Controles Relacionados: AC-16, CA-6, CM-12, PM-5, PM-22, PT-4, SC-16, SC-43, SI-10, SI-15, SI-19.
(2) AUTORIDADE PARA PROCESSAR INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL | AUTOMAÇÃO
Gerenciar a aplicação do processamento autorizado de informações de identificação pessoal

Discussão: Mecanismos automatizados aumentam a verificação de que apenas o processamento autorizado está
ocorrendo.
Controles Relacionados: CA-6, CM-12, PM-5, PM-22, PT-4, SC-16, SC-43, SI-10, SI-15, SI-19.
Referências: [PRIVACT], [OMB A-130], [IR 8112].
PT-3 FINS DE PROCESSAMENTO DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS
Ao controle:
a. Identificar e documentar a [Atribuição: propósito(s) definido(s) pela organização] para processamento de

informações de identificação pessoal;
b. Descrever a(s) finalidade(s) nos avisos e políticas públicas de privacidade da organização;
c. Restringir a [Atribuição: processamento definido pela organização] de informações de identificação pessoal

apenas àquelas que sejam compatíveis com a(s) finalidade(s) identificada(s); e
d. Monitorar mudanças no processamento de informações de identificação pessoal e implementar

[Atribuição: mecanismos definidos pela organização] para garantir que quaisquer alterações sejam feitas de
acordo com [Atribuição: requisitos definidos pela organização].
Discussão: Identificar e documentar a finalidade do processamento fornece às organizações uma base para
compreender por que as informações pessoalmente identificáveis podem ser processadas. O termo “processo” inclui
todas as etapas do ciclo de vida da informação, incluindo criação, coleta, uso, processamento, armazenamento,
manutenção, disseminação, divulgação e descarte. Identificar e documentar a finalidade do processamento é
um pré-requisito para permitir que os proprietários e operadores do sistema e os indivíduos cujas informações são
processadas pelo sistema compreendam como as informações serão processadas. Isto permite que os indivíduos
tomem decisões informadas sobre o seu envolvimento com sistemas e organizações de informação e gerenciem os
seus interesses de privacidade.
Uma vez identificada a finalidade específica do processamento, a finalidade é descrita nos avisos de
privacidade, nas políticas e em qualquer documentação de conformidade de privacidade relacionada da
organização, incluindo avaliações de impacto na privacidade, avisos do sistema de registros, declarações
[PRIVACT] , avisos de correspondência por computador e outros avisos aplicáveis. Avisos do Registro Federal.
As organizações tomam medidas para ajudar a garantir que as informações de identificação pessoal sejam processadas
apenas para fins identificados, incluindo treinamento de pessoal organizacional e monitoramento e auditoria do
processamento organizacional de informações de identificação pessoal.
As organizações monitoram mudanças no processamento de informações de identificação pessoal.

O pessoal organizacional consulta o funcionário sênior da agência para aconselhamento jurídico e de privacidade
para garantir que quaisquer novas finalidades que surjam de mudanças no processamento sejam compatíveis
com a finalidade para a qual as informações foram coletadas ou, se a nova finalidade não for compatível,
implemente mecanismos de acordo com requisitos definidos para permitir o novo processamento, se
apropriado. Os mecanismos podem incluir a obtenção do consentimento de indivíduos, a revisão das políticas de
privacidade ou outras medidas para gerir os riscos de privacidade que surgem de alterações nas finalidades de
processamento de informações pessoalmente identificáveis.
Controles relacionados: AC-2, AC-3, AT-3, CM-13, IR-9, PM-9, PM-25, PT-2, PT-5, PT-6, PT-7, RA-8 , SC-43, SI-12,
SI-18.

e
g
_________________________________________________________________________________________________
pe
(1) FINS DE TRATAMENTO DE INFORMAÇÃO DE IDENTIFICAÇÃO PESSOAL | MARCAÇÃO DE DADOS
Anexe etiquetas de dados contendo as seguintes finalidades a [Atribuição: elementos de informações

de identificação pessoal definidos pela organização]: [Atribuição: finalidades de processamento
Discussão: As tags de dados apoiam o rastreamento das finalidades de processamento, transmitindo

as finalidades juntamente com os elementos relevantes de informações de identificação pessoal em todo o
sistema. Ao transmitir as finalidades do processamento em uma etiqueta de dados junto com as informações
de identificação pessoal à medida que as informações transitam pelo sistema, o proprietário ou operador do
sistema pode identificar se uma alteração no processamento seria compatível com as finalidades identificadas
e documentadas. As tags de dados também podem suportar o uso de ferramentas automatizadas.
Controles Relacionados: CA-6, CM-12, PM-5, PM-22, SC-16, SC-43, SI-10, SI-15, SI-19.
(2) FINS DE TRATAMENTO DE INFORMAÇÃO DE IDENTIFICAÇÃO PESSOAL | AUTOMAÇÃO
Rastreie os propósitos de processamento de informações de identificação pessoal usando

Discussão: Mecanismos automatizados aumentam o rastreamento das finalidades do processamento.
Controles Relacionados: CA-6, CM-12, PM-5, PM-22, SC-16, SC-43, SI-10, SI-15, SI-19.
Referências: [PRIVACT], [OMB A-130], [IR 8112].
CONSENTIMENTO PT-4
Controle: Implementar [Atribuição: ferramentas ou mecanismos definidos pela organização] para que os indivíduos
consintam com o processamento de suas informações de identificação pessoal antes de sua coleta que
facilitar a tomada de decisão informada dos indivíduos.
Discussão: O consentimento permite que os indivíduos participem na tomada de decisões sobre o processamento das
suas informações e transfere alguns dos riscos que surgem do processamento de informações pessoalmente
identificáveis da organização para um indivíduo. O consentimento pode ser exigido por leis, ordens executivas,
diretivas, regulamentos, políticas, padrões ou diretrizes aplicáveis.
Caso contrário, ao selecionar o consentimento como controlo, as organizações consideram se é razoável esperar
que os indivíduos compreendam e aceitem os riscos de privacidade que surgem da sua autorização. As
organizações consideram se outros controles podem mitigar de forma mais eficaz o risco de privacidade,
isoladamente ou em conjunto com o consentimento. As organizações também consideram quaisquer fatores
demográficos ou contextuais que possam influenciar a compreensão ou o comportamento dos indivíduos
em relação ao processamento realizado pelo sistema ou organização. Ao solicitar o consentimento de
indivíduos, as organizações consideram o mecanismo apropriado para obter consentimento, incluindo o tipo
de consentimento (por exemplo, opt-in, opt-out), como autenticar adequadamente e comprovar a identidade
dos indivíduos e como obter consentimento através de meios eletrônicos.
Além disso, as organizações consideram fornecer um mecanismo para que os indivíduos revoguem o consentimento
uma vez fornecido, conforme apropriado. Finalmente, as organizações consideram factores de usabilidade para
ajudar os indivíduos a compreender os riscos que são aceites ao fornecer consentimento, incluindo o uso de
linguagem simples e evitando jargões técnicos.
Controles Relacionados: AC-16, PT-2, PT-5.
(1) CONSENTIMENTO | CONSENTIMENTO PERSONALIZADO
Fornecer [Atribuição: mecanismos definidos pela organização] para permitir que indivíduos adaptem
as permissões de processamento a elementos selecionados de informações de identificação pessoal.

e
g
_________________________________________________________________________________________________
pe
E Discussão: Embora algum processamento possa ser necessário para a funcionalidade básica do produto ou
serviço, outro processamento pode não ser. Nestas circunstâncias, as organizações permitem que os indivíduos
selecionem como os elementos específicos de informação pessoalmente identificável podem ser processados.
Um consentimento mais personalizado pode ajudar a reduzir o risco de privacidade, aumentar a satisfação
individual e evitar comportamentos adversos, como o abandono do produto ou serviço.
Controles Relacionados: PT-2.
(2) CONSENTIMENTO | CONSENTIMENTO JUST-IN-TIME
Apresentar [Atribuição: mecanismos de consentimento definidos pela organização] a indivíduos em

[Atribuição: frequência definida pela organização] e em conjunto com [Atribuição: processamento de
informações de identificação pessoal definido pela organização].
Discussão: O consentimento just-in-time permite que os indivíduos participem na forma como as suas informações
pessoalmente identificáveis estão a ser processadas no momento ou em conjunto com tipos específicos de
processamento de dados, quando tal participação possa ser mais útil para o indivíduo. As suposições individuais sobre
como as informações de identificação pessoal estão sendo processadas podem não ser precisas ou confiáveis se tiver
passado algum tempo desde a última vez que o indivíduo deu consentimento ou se o tipo de processamento criar um
risco significativo à privacidade. As organizações usam o critério para determinar quando usar o consentimento just-in-
time e podem usar informações de apoio sobre dados demográficos, grupos focais ou pesquisas para saber mais
sobre os interesses e preocupações de privacidade dos indivíduos.
(3) CONSENTIMENTO | REVOGAÇÃO
Implementar [Atribuição: ferramentas ou mecanismos definidos pela organização] para que indivíduos
revoguem o consentimento para o processamento de suas informações de identificação pessoal.
Discussão: A revogação do consentimento permite que os indivíduos exerçam controlo sobre a sua decisão inicial
de consentimento quando as circunstâncias mudam. As organizações consideram fatores de usabilidade ao permitir
recursos de revogação fáceis de usar.
Referências: [PRIVACT], [OMB A-130], [SP 800-63-3].
AVISO DE PRIVACIDADE PT-5
Controle: Fornecer aviso aos indivíduos sobre o processamento de informações de identificação pessoal que:
a. Está disponível para indivíduos na primeira interação com uma organização e, posteriormente, em
[Atribuição: frequência definida pela organização];
b. Seja claro e de fácil compreensão, expressando informações sobre o processamento de informações de

identificação pessoal em linguagem simples;
c. Identifica a autoridade que autoriza o processamento de informações de identificação pessoal;
d. Identifica as finalidades para as quais as informações de identificação pessoal serão processadas; e
e. Inclui [Tarefa: informações definidas pela organização].
Discussão: Os avisos de privacidade ajudam a informar os indivíduos sobre como suas informações de identificação
pessoal estão sendo processadas pelo sistema ou organização. As organizações utilizam avisos de privacidade para informar
os indivíduos sobre como, sob que autoridade e com que finalidade as suas informações pessoalmente identificáveis são
processadas, bem como outras informações, como as escolhas que os indivíduos podem ter em relação a esse
processamento e a outras partes com quem as informações são partilhadas.
Leis, ordens executivas, diretivas, regulamentos ou políticas podem exigir que os avisos de privacidade incluam
elementos específicos ou sejam fornecidos em formatos específicos. O pessoal da agência federal consulta o funcionário
sênior da agência para aconselhamento jurídico e de privacidade sobre quando e onde fornecer

e
g
_________________________________________________________________________________________________
pe
E avisos de privacidade, bem como elementos a serem incluídos nos avisos de privacidade e formatos exigidos. Em
circunstâncias em que as leis ou políticas governamentais não exigem avisos de privacidade, as políticas e
determinações organizacionais podem exigir avisos de privacidade e podem servir como fonte dos elementos a serem incluídos
nos avisos de privacidade.
As avaliações de risco de privacidade identificam os riscos de privacidade associados ao processamento de informações

de identificação pessoal e podem ajudar as organizações a determinar os elementos apropriados a serem incluídos em um
aviso de privacidade para gerenciar tais riscos. Para ajudar os indivíduos a compreender como as suas informações estão
sendo processadas, as organizações escrevem materiais em linguagem simples e evitam jargões técnicos.
Controles Relacionados: PM-20, PM-22, PT-2, PT-3, PT-4, PT-7, RA-3, SC-42, SI-18.
(1) AVISO DE PRIVACIDADE | AVISO JUST IN TIME
Apresentar aviso de processamento de informações de identificação pessoal a indivíduos em um horário e

local onde o indivíduo fornece informações de identificação pessoal ou em conjunto com uma ação de
dados, ou [Atribuição: frequência definida pela organização].
Discussão: Os avisos just-in-time informam os indivíduos sobre como as organizações processam suas
informações de identificação pessoal no momento em que tais avisos podem ser mais úteis para os indivíduos. As
suposições individuais sobre como as informações de identificação pessoal serão processadas podem não ser
precisas ou confiáveis se o tempo tiver passado desde a última notificação apresentada pela organização ou se as
circunstâncias sob as quais o indivíduo recebeu a última notificação tiverem mudado. Um aviso just-in-time pode
explicar as ações de dados que as organizações identificaram como potencialmente dando origem a maiores
riscos de privacidade para os indivíduos. As organizações podem usar um aviso just-in-time para atualizar ou lembrar
os indivíduos sobre ações específicas de dados à medida que ocorrem ou destacar alterações específicas que
ocorreram desde a última apresentação do aviso. Um aviso just-in-time pode ser usado em conjunto com o
consentimento just-in-time para explicar o que acontecerá se o consentimento for recusado. As organizações usam
o critério para determinar quando usar um aviso just-in-time e podem usar informações de apoio sobre dados
demográficos dos usuários, grupos focais ou pesquisas para aprender sobre os interesses e preocupações de
privacidade dos usuários.
(2) AVISO DE PRIVACIDADE | DECLARAÇÕES DA LEI DE PRIVACIDADE
Inclua declarações da Lei de Privacidade em formulários que coletam informações que serão mantidas em um
sistema de registros da Lei de Privacidade ou forneça declarações da Lei de Privacidade em formulários
separados que possam ser retidos por indivíduos.
Discussão: Se uma agência federal solicitar que indivíduos forneçam informações que se tornarão parte de um sistema
de registros, a agência será obrigada a fornecer uma declaração [PRIVACT] no formulário usado para coletar as
informações ou em um formulário separado que possa ser retido por o indivíduo.
A agência fornece uma declaração [PRIVACT] em tais circunstâncias, independentemente de as informações serem
coletadas em papel ou em formato eletrônico, em um site, em um aplicativo móvel, por telefone ou por algum
outro meio. Este requisito garante que o indivíduo receba informações suficientes sobre o pedido de informações para
tomar uma decisão informada sobre responder ou não.
As declarações [PRIVACT] fornecem notificação formal aos indivíduos da autoridade que autoriza a solicitação das
informações; se o fornecimento das informações é obrigatório ou voluntário; a(s) principal(is) finalidade(s) para
a(s) qual(is) a informação será utilizada; os usos rotineiros publicados aos quais a informação está sujeita; os efeitos
sobre o indivíduo, se houver, de não fornecer toda ou parte das informações solicitadas; e uma citação apropriada e
link para o aviso do sistema de registros relevante. O pessoal da agência federal consulta o funcionário sênior da
agência para aconselhamento jurídico e de privacidade em relação às disposições de notificação do [PRIVACT].

e
g
_________________________________________________________________________________________________
pe
Referências: [PRIVACT], [OMB A-130], [OMB A-108].
AVISO DO SISTEMA DE REGISTROS PT-6
Controle: Para sistemas que processam informações que serão mantidas em um sistema de registros da Lei de Privacidade:
a. Elaborar notificações do sistema de registros de acordo com as orientações do OMB e enviar novos e
sistema significativamente modificado de notificações de registros ao OMB e aos comitês congressionais apropriados para
revisão antecipada;
b. Publicar editais do sistema de registros no Cadastro Federal; e
c. Mantenha os avisos do sistema de registros precisos, atualizados e com escopo definido de acordo com a política.
Discussão: O [PRIVACT] exige que as agências federais publiquem um aviso de sistema de registros no Registro Federal após
o estabelecimento e/ou modificação de um sistema de registros [PRIVACT] . De modo geral, um sistema de notificação de
registros é necessário quando uma agência mantém um grupo de quaisquer registros sob o controle da agência, dos quais as
informações são recuperadas pelo nome de um indivíduo ou por algum número de identificação, símbolo ou outro identificador. A
notificação descreve a existência e o caráter do sistema e identifica o sistema de registros, a(s) finalidade(s) do sistema, a
autoridade para manutenção dos registros, as categorias de registros mantidos no sistema, as categorias de indivíduos sobre
os quais os registros são mantidos, os usos rotineiros aos quais os registros estão sujeitos e detalhes adicionais sobre o sistema
conforme descrito em [OMB A-108].
Controles relacionados: AC-3, PM-20, PT-2, PT-3, PT-5.
(1) AVISO DE SISTEMA DE REGISTROS | USOS DE ROTINA
Revise todos os usos rotineiros publicados no aviso do sistema de registros em [Atribuição: frequência
definida pela organização] para garantir a precisão contínua e para garantir que os usos rotineiros continuem a ser
compatíveis com a finalidade para a qual as informações foram coletadas.
Discussão: Um uso rotineiro [PRIVACT] é um tipo específico de divulgação de um registro fora da agência federal que
mantém o sistema de registros. Um uso rotineiro é uma exceção à proibição [PRIVACT] de divulgação de um registro em
um sistema de registros sem o consentimento prévio por escrito do indivíduo a quem o registro pertence. Para ser qualificada
como uso rotineiro, a divulgação deve ser feita para uma finalidade compatível com a finalidade para a qual a informação
foi originalmente coletada. O [PRIVACT] exige que as agências descrevam cada uso rotineiro dos registros mantidos
no sistema de registros, incluindo as categorias de usuários dos registros e a finalidade do uso. As agências só podem
estabelecer usos rotineiros publicando-os explicitamente no aviso do sistema de registros relevante.
(2) AVISO DE SISTEMA DE REGISTROS | REGRAS DE ISENÇÃO
Revise todas as isenções da Lei de Privacidade reivindicadas para o sistema de registros em [Atribuição:
frequência definida pela organização] para garantir que permaneçam apropriadas e necessárias de acordo
com a lei, que tenham sido promulgadas como regulamentos e que estejam descritas com precisão no sistema de
aviso de registros.
Discussão: O [PRIVACT] inclui dois conjuntos de disposições que permitem às agências federais reivindicar isenções de
certos requisitos do estatuto. Em certas circunstâncias, estas disposições permitem que as agências promulguem
regulamentos para isentar um sistema de registos de disposições específicas do [PRIVACT]. No mínimo, a isenção
[PRIVACT] das organizações

e
g
_________________________________________________________________________________________________
pe
E os regulamentos incluem o(s) nome(s) específico(s) de qualquer(s) sistema(s) de registros que serão isentos, as disposições
específicas do [PRIVACT] dos quais o(s) sistema(s) de registros serão isentos, as razões para a isenção, e uma explicação
da razão pela qual a isenção é necessária e apropriada.
PT-7 CATEGORIAS ESPECÍFICAS DE INFORMAÇÕES PESSOALMENTE IDENTIFICÁVEIS
Controle: Aplicar [Atribuição: condições de processamento definidas pela organização] para categorias específicas de informações
de identificação pessoal.
Discussão: As organizações aplicam quaisquer condições ou proteções que possam ser necessárias para categorias específicas de
informações de identificação pessoal. Estas condições podem ser exigidas por leis, ordens executivas, diretivas, regulamentos,
políticas, padrões ou diretrizes. Os requisitos também podem provir dos resultados de avaliações de risco de privacidade que levam
em consideração mudanças contextuais que podem resultar em uma determinação organizacional de que uma determinada categoria
de informações pessoalmente identificáveis é particularmente sensível ou levanta riscos específicos de privacidade. As
organizações consultam o funcionário sênior da agência para aconselhamento jurídico e de privacidade sobre quaisquer proteções
que possam ser
necessário.
Controles relacionados: IR-9, PT-2, PT-3, RA-3.
(1) CATEGORIAS ESPECÍFICAS DE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL | NÚMEROS DE SEGURANÇA SOCIAL
Quando um sistema processa números de Seguro Social:
(a) Eliminar a recolha, manutenção e utilização desnecessárias de números de Segurança Social e explorar
alternativas à sua utilização como identificador pessoal;
(b) Não negar a qualquer indivíduo qualquer direito, benefício ou privilégio previsto em lei devido à recusa desse
indivíduo em divulgar seu número de Seguro Social; e
(c) Informar qualquer indivíduo a quem seja solicitada a divulgação do seu número de Segurança Social se
essa divulgação é obrigatória ou voluntária, por que autoridade legal ou outra autoridade esse número
é solicitado e que utilizações serão feitas dele.
Discussão: A lei e a política federais estabelecem requisitos específicos para o processamento de números de
Segurança Social pelas organizações. As organizações tomam medidas para eliminar usos desnecessários de números
de Seguro Social e outras informações confidenciais e observam quaisquer requisitos específicos aplicáveis.
(2) CATEGORIAS ESPECÍFICAS DE INFORMAÇÕES DE IDENTIFICAÇÃO PESSOAL | PRIMEIRA ALTERAÇÃO

INFORMAÇÃO
Proibir o processamento de informações que descrevam como qualquer indivíduo exerce direitos garantidos
pela Primeira Emenda, a menos que expressamente autorizado por lei ou pelo indivíduo ou a menos que seja
pertinente e esteja dentro do escopo de uma atividade autorizada de aplicação da lei.
Discussão: O [PRIVACT] limita a capacidade das agências de processar informações que descrevem como os indivíduos
exercem os direitos garantidos pela Primeira Emenda. As organizações consultam o funcionário sênior da agência para
aconselhamento jurídico e de privacidade em relação a esses requisitos.
Referências: [PRIVACT], [OMB A-130], [OMB A-108], [NARA CUI].

e
g
_________________________________________________________________________________________________
pe
E REQUISITOS DE CORRESPONDÊNCIA DE COMPUTADOR PT-8
Controle: Quando um sistema ou organização processa informações com a finalidade de conduzir um programa de
correspondência:
a. Obter aprovação do Conselho de Integridade de Dados para conduzir o programa de correspondência;
b. Desenvolver e celebrar um acordo de correspondência de computadores;
c. Publicar um aviso correspondente no Registro Federal;
d. Verifique de forma independente as informações produzidas pelo programa de correspondência antes de tomar
ação adversa contra um indivíduo, se necessário; e
e. Fornecer aos indivíduos um aviso e uma oportunidade de contestar as conclusões antes de tomar medidas adversas
contra um indivíduo.
Discussão: O [PRIVACT] estabelece requisitos para agências federais e não federais caso elas se envolvam em um
programa de correspondência. Em geral, um programa de correspondência é uma comparação computadorizada de registros
de dois ou mais sistemas automatizados de registros [PRIVACT] ou de um sistema automatizado de registros e registros
automatizados mantidos por uma agência não federal (ou seu agente). Um programa de correspondência refere-se
a programas de benefícios federais ou a funcionários federais ou registros de folha de pagamento. Uma correspondência
de benefícios federais é realizada para determinar ou verificar a elegibilidade para pagamentos de programas de
benefícios federais ou para recuperar pagamentos ou dívidas inadimplentes de programas de benefícios federais. Um
programa de correspondência envolve não apenas a atividade de correspondência em si, mas também o
acompanhamento investigativo e a ação final, se houver.
Referências: [PRIVACT], [CMPPA], [OMB A-130], [OMB A-108].

e
g
_________________________________________________________________________________________________
pe
E 3.16 AVALIAÇÃO DE RISCO
Link rápido para a Tabela de Resumo da Avaliação de Risco
POLÍTICA E PROCEDIMENTOS RA-1
Ao controle:

funções]:
1. [Seleção (uma ou mais): Nível da organização; Nível de missão/ processo de negócios; Política de avaliação
de risco em nível de sistema] que:

2. Procedimentos para facilitar a implementação da política de avaliação de riscos e os controles de

avaliação de riscos associados;
b. Designar um [Atribuição: funcionário definido pela organização] para gerenciar o desenvolvimento, a

documentação e a divulgação da política e dos procedimentos de avaliação de risco; e
c. Revise e atualize a avaliação de risco atual:


Discussão: A política e os procedimentos de avaliação de riscos abordam os controles da família AR que são
implementados nos sistemas e organizações. A estratégia de gestão de riscos é um fator importante no estabelecimento
de tais políticas e procedimentos. Políticas e procedimentos contribuem para a garantia de segurança e privacidade.
Portanto, é importante que os programas de segurança e privacidade colaborem no desenvolvimento de políticas e
procedimentos de avaliação de riscos. As políticas e procedimentos do programa de segurança e privacidade no
nível da organização são preferíveis, em geral, e podem evitar a necessidade de políticas e procedimentos específicos
da missão ou do sistema. A política pode ser incluída como parte da política geral de segurança e privacidade ou ser
representada por múltiplas políticas que refletem a natureza complexa das organizações. Podem ser estabelecidos
procedimentos para programas de segurança e privacidade, para processos de missão ou de negócios e para
sistemas, se necessário. Os procedimentos descrevem como as políticas ou controles são implementados e podem
ser direcionados ao indivíduo ou função que é objeto do procedimento. Os procedimentos podem ser documentados nos
planos de segurança e privacidade do sistema ou em um ou mais documentos separados. Os eventos que podem
precipitar uma atualização da política e dos procedimentos de avaliação de riscos incluem resultados de avaliação ou
auditoria, incidentes ou violações de segurança ou alterações em leis, ordens executivas, diretivas, regulamentos,
políticas, padrões e diretrizes.

e
g
_________________________________________________________________________________________________
pe
E CATEGORIZAÇÃO DE SEGURANÇA RA-2
Ao controle:
a. Categorizar o sistema e as informações que ele processa, armazena e transmite;
b. Documente os resultados da categorização de segurança, incluindo a justificativa de apoio, no documento de segurança

planejar o sistema; e
c. Verifique se o funcionário autorizador ou o representante designado do funcionário autorizado analisa

e aprova a decisão de categorização de segurança.
Discussão: As categorias de segurança descrevem os potenciais impactos adversos ou consequências negativas para as
operações organizacionais, os ativos organizacionais e os indivíduos se as informações e os sistemas organizacionais
forem comprometidos através de uma perda de confidencialidade, integridade ou disponibilidade. A categorização de
segurança também é um tipo de caracterização de perda de ativos em processos de engenharia de segurança de
sistemas que é realizada durante todo o ciclo de vida de desenvolvimento do sistema. As organizações podem utilizar
avaliações de risco de privacidade ou avaliações de impacto na privacidade para compreender melhor os potenciais
efeitos adversos sobre os indivíduos. [CNSSI 1253] fornece orientações adicionais sobre a categorização dos sistemas
de segurança nacional.
As organizações conduzem o processo de categorização de segurança como uma atividade que abrange toda a
organização, com o envolvimento direto de diretores de informação, diretores seniores de segurança da informação de
agências, funcionários seniores de agências de privacidade, proprietários de sistemas, proprietários de missões e negócios
e proprietários ou administradores de informações. As organizações consideram os potenciais impactos adversos para
outras organizações e, de acordo com as Diretivas Presidenciais [USA PATRIOT] e de Segurança Interna, os potenciais
impactos adversos a nível nacional.
Os processos de categorização de segurança facilitam o desenvolvimento de inventários de ativos de informação e,

juntamente com o CM-8, mapeamentos para componentes específicos do sistema onde as informações são processadas,
armazenadas ou transmitidas. O processo de categorização de segurança é revisado durante todo o ciclo de vida de
desenvolvimento do sistema para garantir que as categorias de segurança permaneçam precisas e relevantes.
Controles relacionados: CM-8, MP-4, PL-2, PL-10, PL-11, PM-7, RA-3, RA-5, RA-7, RA-8, SA-8, SC-7 , SC-38, SI-12.
(1) CATEGORIZAÇÃO DE SEGURANÇA | PRIORIZAÇÃO A NÍVEL DE IMPACTO
Conduza uma priorização do nível de impacto dos sistemas organizacionais para obter granularidade
adicional nos níveis de impacto do sistema.
Discussão: As organizações aplicam o conceito de “limite máximo” a cada sistema categorizado de acordo com
[FIPS 199], resultando em sistemas designados como de baixo impacto, impacto moderado ou alto impacto. As
organizações que desejam granularidade adicional nas designações de impacto do sistema para a tomada de
decisões baseadas em riscos podem particionar ainda mais os sistemas em subcategorias da categorização
inicial do sistema. Por exemplo, uma priorização ao nível do impacto num sistema de impacto moderado pode produzir
três novas subcategorias: sistemas baixo-moderados, sistemas moderados-moderados e sistemas altamente
moderados. A priorização ao nível do impacto e as subcategorias resultantes do sistema dão às organizações
uma oportunidade de concentrar os seus investimentos relacionados com a selecção do controlo de segurança e a
adaptação das linhas de base de controlo na resposta aos riscos identificados. A priorização em nível de impacto
também pode ser usada para determinar os sistemas que podem ser de maior interesse ou valor para os
adversários ou representar uma perda crítica para a empresa federal, às vezes descritos como ativos de alto
valor. Para esses ativos de alto valor, as organizações podem estar mais focadas na complexidade, agregação
e troca de informações. Os sistemas com ativos de alto valor podem ser priorizados dividindo-se os sistemas
de alto impacto em sistemas de baixo-alto, sistemas moderado-alto e sistemas de alto-alto.

e
g
_________________________________________________________________________________________________
pe
E Alternativamente, as organizações podem aplicar as orientações da [CNSSI 1253] para categorização relacionada aos
objetivos de segurança.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-60-1], [SP 800-
60-2], [SP 800-160-1], [CNSSI 1253], [NARA CUI].
AVALIAÇÃO DE RISCO RA-3
Ao controle:
a. Realize uma avaliação de risco, incluindo:
1. Identificação de ameaças e vulnerabilidades no sistema;
2. Determinar a probabilidade e a magnitude dos danos decorrentes do acesso, uso, divulgação, interrupção,
modificação ou destruição não autorizados do sistema, das informações que ele processa, armazena ou transmite
e de quaisquer informações relacionadas; e
3. Determinar a probabilidade e o impacto dos efeitos adversos nos indivíduos decorrentes do

processamento de informações de identificação pessoal;
b. Integrar os resultados da avaliação de risco e as decisões de gerenciamento de risco da organização e das perspectivas da
missão ou do processo de negócios com avaliações de risco em nível de sistema;
c. Documente os resultados da avaliação de risco em [Seleção: planos de segurança e privacidade; avaliação de risco
relatório; [Tarefa: documento definido pela organização]];
d. Rever os resultados da avaliação de risco [Atribuição: frequência definida pela organização];
e. Divulgar os resultados da avaliação de risco para [Atribuição: pessoal definido pela organização ou
papéis]; e
f. Atualizar a avaliação de risco [Atribuição: frequência definida pela organização] ou quando houver alterações significativas no
sistema, em seu ambiente de operação ou em outras condições que possam impactar o estado de segurança ou privacidade
do sistema.
Discussão: As avaliações de risco consideram ameaças, vulnerabilidades, probabilidade e impacto nas operações e
ativos organizacionais, nos indivíduos, em outras organizações e na Nação. As avaliações de risco também consideram o
risco de partes externas, incluindo prestadores de serviços que operam sistemas em nome da organização, indivíduos que acessam
sistemas organizacionais, prestadores de serviços,
e entidades terceirizadas.
As organizações podem realizar avaliações de risco em todos os três níveis da hierarquia de gerenciamento de riscos (ou seja,
nível de organização, nível de missão/processo de negócios ou nível de sistema de informação) e em qualquer estágio do ciclo de
vida de desenvolvimento do sistema. As avaliações de riscos também podem ser realizadas em várias etapas da Estrutura de
Gestão de Riscos, incluindo preparação, categorização, seleção de controles, implementação de controles, avaliação de
controles, autorização e monitoramento de controles.
A avaliação de riscos é uma atividade contínua realizada durante todo o ciclo de vida de desenvolvimento do sistema.
As avaliações de risco também podem abordar informações relacionadas ao sistema, incluindo o design do sistema, o uso
pretendido do sistema, resultados de testes e informações ou artefatos relacionados à cadeia de suprimentos.
As avaliações de risco podem desempenhar um papel importante nos processos de seleção de controles, especialmente durante
a aplicação de orientações de adaptação e nas fases iniciais de determinação de capacidade.
Controles Relacionados: CA-3, CA-6, CM-4, CM-13, CP-6, CP-7, IA-8, MA-5, PE-3, PE-8, PE-18, PL-2 , PL-10, PL-11, PM-8,
PM-9, PM-28, PT-2, PT-7, RA-2, RA-5, RA-7, SA-8, SA-9, SC -38, SI-12.
(1) AVALIAÇÃO DE RISCO | AVALIAÇÃO DE RISCO DA CADEIA DE FORNECIMENTO

e
g
_________________________________________________________________________________________________
pe
E (a) Avaliar os riscos da cadeia de abastecimento associados a [Atribuição: sistemas definidos pela organização,
componentes do sistema e serviços do sistema]; e
(b) Atualizar a avaliação de risco da cadeia de suprimentos [Atribuição: definida pela organização
frequência], quando há mudanças significativas na cadeia de abastecimento relevante, ou quando mudanças
no sistema, ambientes de operação ou outras condições podem exigir uma mudança na cadeia de
abastecimento.
Discussão: Os eventos relacionados com a cadeia de abastecimento incluem perturbações, utilização de componentes
defeituosos, inserção de falsificações, roubo, práticas de desenvolvimento maliciosas, práticas de entrega
inadequadas e inserção de código malicioso. Esses eventos podem ter um impacto significativo na confidencialidade,
integridade ou disponibilidade de um sistema e suas informações e, portanto, também podem impactar negativamente as
operações organizacionais (incluindo missão, funções, imagem ou reputação), ativos organizacionais, indivíduos, outras
organizações. , e a Nação. Os eventos relacionados com a cadeia de abastecimento podem ser não intencionais ou
maliciosos e podem ocorrer em qualquer ponto durante o ciclo de vida do sistema. Uma análise do risco da cadeia de
abastecimento pode ajudar uma organização a identificar sistemas ou componentes para os quais são necessárias mitigações
adicionais de riscos na cadeia de abastecimento.
Controles relacionados: RA-2, RA-9, PM-17, PM-30, SR-2.
(2) AVALIAÇÃO DE RISCO | USO DE INTELIGÊNCIA DE TODAS AS FONTES
Use inteligência de todas as fontes para auxiliar na análise de risco.
Discussão: As organizações empregam inteligência de todas as fontes para informar decisões de engenharia, aquisição e
gerenciamento de risco. A inteligência de todas as fontes consiste em informações derivadas de todas as fontes disponíveis,
incluindo informações publicamente disponíveis ou de código aberto, inteligência de medição e assinatura, inteligência
humana, inteligência de sinais e inteligência de imagens.
A inteligência de todas as fontes é usada para analisar o risco de vulnerabilidades (intencionais e não intencionais) dos
processos de desenvolvimento, fabricação e entrega, das pessoas e do meio ambiente. A análise de risco pode ser realizada
em fornecedores em vários níveis da cadeia de abastecimento, o que é suficiente para gerir os riscos. As organizações podem
desenvolver acordos para compartilhar informações de inteligência de todas as fontes ou decisões resultantes com outras
organizações, conforme apropriado.
(3) AVALIAÇÃO DE RISCOS | CONSCIENTIZAÇÃO DINÂMICA DE AMEAÇAS
Determine o ambiente atual de ameaças cibernéticas de forma contínua usando [Atribuição: meios definidos pela
organização].
Discussão: As informações de conscientização sobre ameaças coletadas alimentam as operações de segurança da informação
da organização para garantir que os procedimentos sejam atualizados em resposta às mudanças no ambiente de ameaças.
Por exemplo, em níveis de ameaça mais elevados, as organizações podem alterar os limites de privilégio ou
autenticação necessários para realizar determinadas operações.
(4) AVALIAÇÃO DE RISCO | ANÁLISE CIBERNÉTICA PREDITIVA
Empregue os seguintes recursos avançados de automação e análise para prever e

identificar riscos para [Atribuição: sistemas ou componentes de sistema definidos pela organização]:
[Tarefa: recursos avançados de automação e análise definidos pela organização].
Discussão: Um Centro de Operações de Segurança (SOC) ou uma Equipe de Resposta a Incidentes Informáticos (CIRT)
com recursos adequados pode ficar sobrecarregado pelo volume de informações geradas pela proliferação de ferramentas e
dispositivos de segurança, a menos que empregue automação e análise avançadas para analisar os dados. Os recursos
avançados de automação e análise são normalmente apoiados por conceitos de inteligência artificial, incluindo aprendizado
de máquina. Os exemplos incluem descoberta e resposta automatizadas a ameaças (que inclui coleta ampla, análise
baseada em contexto e recursos de resposta adaptativa), operações automatizadas de fluxo de trabalho e ferramentas de
decisão assistidas por máquina. Observe, no entanto, que adversários sofisticados podem ser capazes

e
g
_________________________________________________________________________________________________
pe
E extrair informações relacionadas aos parâmetros analíticos e treinar novamente o aprendizado de máquina para classificar
atividades maliciosas como benignas. Consequentemente, a aprendizagem automática é aumentada pela monitorização
humana para garantir que adversários sofisticados não sejam capazes de ocultar as suas atividades.
Referências: [OMB A-130], [SP 800-30], [SP 800-39], [SP 800-161], [IR 8023], [IR 8062], [IR 8272].
ATUALIZAÇÃO DE AVALIAÇÃO DE RISCO RA-4
MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADE RA-5
Ao controle:
a. Monitore e verifique vulnerabilidades no sistema e nos aplicativos hospedados [Tarefa:

frequência definida pela organização e/ ou aleatoriamente de acordo com o processo definido pela organização] e quando
novas vulnerabilidades potencialmente afetando o sistema são identificadas e relatadas;
b. Empregue ferramentas e técnicas de monitoramento de vulnerabilidades que facilitem a interoperabilidade entre ferramentas e
automatizem partes do processo de gerenciamento de vulnerabilidades usando padrões para:
1. Enumeração de plataformas, falhas de software e configurações inadequadas;
2. Formatação de checklists e procedimentos de testes; e
3. Medir o impacto da vulnerabilidade;
c. Analisar relatórios de verificação de vulnerabilidades e resultados do monitoramento de vulnerabilidades;
d. Remediar vulnerabilidades legítimas [Atribuição: tempos de resposta definidos pela organização] em

de acordo com uma avaliação organizacional de risco;
e. Compartilhar informações obtidas do processo de monitoramento e controle de vulnerabilidades

avaliações com [Atribuição: pessoal ou funções definidas pela organização] para ajudar a eliminar vulnerabilidades
semelhantes em outros sistemas; e
f. Empregue ferramentas de monitoramento de vulnerabilidades que incluam a capacidade de atualizar prontamente o

vulnerabilidades a serem verificadas.
Discussão: A categorização de segurança das informações e dos sistemas orienta a frequência e a abrangência do
monitoramento de vulnerabilidades (incluindo verificações). As organizações determinam o monitoramento de vulnerabilidades
necessário para componentes do sistema, garantindo que as fontes potenciais de vulnerabilidades – como componentes de
infraestrutura (por exemplo, switches, roteadores, guardas, sensores), impressoras, scanners e copiadoras em rede – não
sejam negligenciadas. A capacidade de atualizar prontamente
ferramentas de monitoramento de vulnerabilidades à medida que novas vulnerabilidades são descobertas e anunciadas e à medida
que novos métodos de varredura são desenvolvidos ajudam a garantir que novas vulnerabilidades não sejam ignoradas pelas
ferramentas de monitoramento de vulnerabilidades empregadas. O processo de atualização da ferramenta de monitoramento de
vulnerabilidades ajuda a garantir que possíveis vulnerabilidades no sistema sejam identificadas e resolvidas o mais rápido
possível. O monitoramento e a análise de vulnerabilidades para software personalizado podem exigir abordagens adicionais,
como análise estática, análise dinâmica, análise binária ou um híbrido das três abordagens. As organizações podem usar essas
abordagens de análise em revisões de código-fonte e em diversas ferramentas, incluindo scanners de aplicativos baseados na
Web, ferramentas de análise estática e analisadores binários.
O monitoramento de vulnerabilidades inclui a verificação de níveis de patch; verificação de funções, portas, protocolos e
serviços que não deveriam estar acessíveis a usuários ou dispositivos; e verificação de mecanismos de controle de fluxo
configurados incorretamente ou operando incorretamente. Vulnerabilidade

e
g
_________________________________________________________________________________________________
pe
E o monitoramento também pode incluir ferramentas de monitoramento contínuo de vulnerabilidades que usam instrumentação
para analisar componentes continuamente. Ferramentas baseadas em instrumentação podem melhorar a precisão e podem
ser executadas em toda a organização sem verificação. As ferramentas de monitoramento de vulnerabilidades que facilitam
a interoperabilidade incluem ferramentas que são Security Content Automated Protocol (SCAP)-
validado. Assim, as organizações consideram o uso de ferramentas de varredura que expressam vulnerabilidades na
convenção de nomenclatura Common Vulnerabilities and Exposures (CVE) e que empregam a Open Vulnerability
Assessment Language (OVAL) para determinar a presença de vulnerabilidades. As fontes de informações sobre vulnerabilidade
incluem a listagem Common Weakness Enumeration (CWE) e o National Vulnerability Database (NVD). Avaliações de controle,
como exercícios da equipe vermelha, fornecem fontes adicionais de vulnerabilidades potenciais para verificação. As organizações
também consideram o uso de ferramentas de verificação que expressam o impacto da vulnerabilidade pelo Common Vulnerability
Scoring System (CVSS).
O monitoramento de vulnerabilidades inclui um canal e um processo para receber relatórios de vulnerabilidades de

segurança do público em geral. Os programas de divulgação de vulnerabilidades podem ser tão simples quanto publicar
um endereço de e-mail monitorado ou um formulário da web que possa receber relatórios, incluindo notificações autorizando
pesquisas de boa-fé e divulgação de vulnerabilidades de segurança. As organizações geralmente esperam que tal pesquisa
ocorra com ou sem a sua autorização e podem usar canais públicos de divulgação de vulnerabilidades para aumentar a
probabilidade de que as vulnerabilidades descobertas sejam relatadas diretamente à organização para correção.
As organizações também podem empregar o uso de incentivos financeiros (também conhecidos como “recompensas de bugs”)
para incentivar ainda mais os pesquisadores de segurança externos a relatar vulnerabilidades descobertas. Os programas de
recompensa por bugs podem ser adaptados às necessidades da organização. As recompensas podem ser operadas
indefinidamente ou durante um período de tempo definido e podem ser oferecidas ao público em geral ou a um grupo selecionado.
As organizações podem realizar recompensas públicas e privadas simultaneamente e podem optar por oferecer acesso
parcialmente credenciado a determinados participantes, a fim de avaliar vulnerabilidades de segurança a partir de pontos de
vista privilegiados.
Controles relacionados: CA-2, CA-7, CA-8, CM-2, CM-4, CM-6, CM-8, RA-2, RA-3, SA-11 , SA-15, SC-38 , SI-2, SI-3, SI-4,
SI-7, SR-11.
(1) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | ATUALIZAR CAPACIDADE DA FERRAMENTA
(2) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | ATUALIZAR VULNERABILIDADES A SEREM VERIFICADAS
Atualizar as vulnerabilidades do sistema a serem verificadas [Seleção (uma ou mais): [Atribuição: frequência
definida pela organização]; antes de uma nova varredura; quando novas vulnerabilidades são
identificadas e relatadas].
Discussão: Devido à complexidade dos softwares e sistemas modernos e de outros fatores, novas vulnerabilidades
são descobertas regularmente. É importante que as vulnerabilidades recentemente descobertas sejam
adicionadas à lista de vulnerabilidades a serem verificadas para garantir que o
a organização pode tomar medidas para mitigar essas vulnerabilidades em tempo hábil.
(3) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | AMPLITUDE E PROFUNDIDADE DE COBERTURA
Defina a amplitude e a profundidade da cobertura da verificação de vulnerabilidades.
Discussão: A amplitude da cobertura da verificação de vulnerabilidades pode ser expressa como uma
percentagem de componentes dentro do sistema, pelos tipos específicos de sistemas, pela criticidade dos sistemas
ou pelo número de vulnerabilidades a serem verificadas. Por outro lado, a profundidade da cobertura da verificação
de vulnerabilidades pode ser expressa como o nível de design do sistema que a organização pretende monitorar (por
exemplo, componente, módulo, subsistema, elemento).

e
g
_________________________________________________________________________________________________
pe
E As organizações podem determinar a suficiência da cobertura da verificação de vulnerabilidades em relação à sua tolerância
ao risco e outros fatores. As ferramentas de digitalização e a forma como as ferramentas são configuradas podem afetar a
profundidade e a cobertura. Podem ser necessárias múltiplas ferramentas de digitalização para atingir a profundidade
e cobertura desejadas. [SP 800-53A] fornece informações adicionais sobre a amplitude
e profundidade de cobertura.
(4) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | INFORMAÇÕES DESCOBERTÍVEIS
Determine informações sobre o sistema que podem ser descobertas e execute [Atribuição: ações corretivas
Discussão: As informações detectáveis incluem informações que os adversários poderiam obter sem comprometer ou
violar o sistema, como coletando informações que o sistema está expondo ou realizando extensas pesquisas na web. As
ações corretivas incluem
notificar o pessoal organizacional apropriado, remover informações designadas ou alterar o sistema para tornar as
informações designadas menos relevantes ou atraentes para os adversários. Esse aprimoramento exclui informações
intencionalmente detectáveis que possam fazer parte de um recurso de engodo (por exemplo, honeypots, honeynets ou redes
enganosas) implantado pela organização.
Controles Relacionados: AU-13, SC-26.
(5) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | ACESSO PRIVILEGIADO
Implementar autorização de acesso privilegiado para [Atribuição: componentes do sistema definidos pela
organização] para [Atribuição: atividades de verificação de vulnerabilidades definidas pela organização].
Discussão: Em certas situações, a natureza da verificação de vulnerabilidades pode ser mais intrusiva, ou o
componente do sistema que é objeto da verificação pode conter informações classificadas ou não classificadas controladas,
como informações de identificação pessoal. A autorização de acesso privilegiado a componentes selecionados do sistema
facilita uma verificação mais completa de vulnerabilidades e protege a natureza sensível dessa verificação.
(6) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | ANÁLISES DE TENDÊNCIAS AUTOMATIZADAS
Compare os resultados de múltiplas verificações de vulnerabilidades usando [Atribuição: mecanismos

Discussão: O uso de mecanismos automatizados para analisar múltiplas verificações de vulnerabilidades ao longo do tempo
pode ajudar a determinar tendências nas vulnerabilidades do sistema e identificar padrões de ataque.
(7) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | DETECÇÃO AUTOMATIZADA E NOTIFICAÇÃO DE
COMPONENTES NÃO AUTORIZADOS
(8) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | REVER REGISTROS DE AUDITORIA HISTÓRICOS
Revise os registros históricos de auditoria para determinar se uma vulnerabilidade identificada em uma
[Atribuição: sistema definido pela organização] foi explorada anteriormente dentro de uma [Atribuição:
Discussão: A revisão dos registros históricos de auditoria para determinar se uma vulnerabilidade recentemente detectada
em um sistema foi anteriormente explorada por um adversário pode fornecer informações importantes para análises forenses.
Tais análises podem ajudar a identificar, por exemplo, a extensão de uma intrusão anterior, a técnica comercial utilizada
durante o ataque, as informações organizacionais exfiltradas ou modificadas, a missão ou as capacidades empresariais
afetadas e a duração do ataque.

e
g
_________________________________________________________________________________________________
pe
E (9) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | TESTE E ANÁLISE DE PENETRAÇÃO
(10) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | INFORMAÇÕES DE VERIFICAÇÃO CORRELACIONADA
Correlacione a saída das ferramentas de verificação de vulnerabilidades para determinar a presença de vetores de
multivulnerabilidade e de ataque multi-hop.
Discussão: Um vetor de ataque é um caminho ou meio pelo qual um adversário pode obter acesso a um sistema para
entregar código malicioso ou exfiltrar informações. As organizações podem usar árvores de ataque para mostrar como as
atividades hostis dos adversários interagem e se combinam para produzir impactos adversos ou consequências negativas
para sistemas e organizações. Essas informações, juntamente com dados correlacionados de ferramentas de verificação de
vulnerabilidades, podem fornecer maior clareza em relação aos vetores de multivulnerabilidade e de ataque multi-hop. A
correlação das informações de verificação de vulnerabilidades é especialmente importante quando as organizações estão
fazendo a transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, transição de protocolos de rede
IPv4 para IPv6).
Durante essas transições, alguns componentes do sistema podem inadvertidamente não ser gerenciados e criar
oportunidades para exploração por adversários.
(11) MONITORAMENTO E VERIFICAÇÃO DE VULNERABILIDADES | PROGRAMA DE DIVULGAÇÃO PÚBLICA
Estabeleça um canal público de denúncias para receber relatos de vulnerabilidades em sistemas

organizacionais e componentes de sistemas.
Discussão: O canal de denúncia pode ser descoberto publicamente e contém linguagem clara que autoriza pesquisas
de boa-fé e a divulgação de vulnerabilidades à organização. A organização não condiciona a sua autorização à expectativa de
não divulgação ao público por tempo indeterminado por parte da entidade relatora, mas pode solicitar um período
de tempo específico para remediar adequadamente a vulnerabilidade.
References: [ISO 29147], [SP 800-40], [SP 800-53A], [SP 800-70], [SP 800-115], [SP 800-126], [IR 7788], [IR 8011-4], [IR 8023].
PESQUISA DE CONTRAMEDIDAS DE VIGILÂNCIA TÉCNICA RA-6
Controle: Empregar uma pesquisa de contramedidas de vigilância técnica em [Atribuição: locais definidos pela organização]
[Seleção (um ou mais): [Atribuição: frequência definida pela organização]; quando
ocorrem os seguintes eventos ou indicadores: [Atribuição: eventos ou indicadores definidos pela organização]].
Discussão: Uma pesquisa de contramedidas de vigilância técnica é um serviço prestado por pessoal qualificado para detectar a
presença de dispositivos técnicos de vigilância e perigos e para identificar fraquezas técnicas de segurança que poderiam ser
utilizadas na condução de uma penetração técnica na instalação pesquisada. As pesquisas de contramedidas de vigilância técnica
também fornecem avaliações da postura de segurança técnica de organizações e instalações e incluem exames visuais, eletrônicos
e físicos das instalações pesquisadas, interna e externamente. As pesquisas também fornecem informações úteis para
avaliações de riscos e informações sobre a exposição organizacional a potenciais adversários.

e
g
_________________________________________________________________________________________________
pe
E RESPOSTA A RISCO RA-7
Controle: responda às descobertas de avaliações, monitoramento e auditorias de segurança e privacidade de acordo

com a tolerância ao risco organizacional.
Discussão: As organizações têm muitas opções para responder ao risco, incluindo a mitigação do risco através da
implementação de novos controlos ou do reforço dos controlos existentes, aceitando o risco com justificação ou
fundamentação apropriada, partilhando ou transferindo o risco, ou evitando o risco. A tolerância ao risco da organização
influencia as decisões e ações de resposta ao risco. A resposta ao risco aborda a necessidade de determinar uma resposta
apropriada ao risco antes de gerar um plano de ação e entrada de marcos. Por exemplo, a resposta pode ser aceitar
ou rejeitar o risco, ou pode ser possível mitigar o risco imediatamente, de modo que não seja necessário um plano de
acção e a introdução de marcos.
No entanto, se a resposta ao risco for mitigar o risco e a mitigação não puder ser concluída imediatamente, será
gerado um plano de ação e uma entrada de marcos.
Controles relacionados: CA-5, IR-9, PM-4, PM-28, RA-2, RA-3, SR-2.
Referências: [FIPS 199], [FIPS 200], [SP 800-30], [SP 800-37], [SP 800-39], [SP 800-160-1].
AVALIAÇÕES DE IMPACTO DE PRIVACIDADE RA-8
Controle: Conduza avaliações de impacto na privacidade de sistemas, programas ou outras atividades antes de:
a. Desenvolver ou adquirir tecnologia de informação que processe informações de identificação pessoal; e
b. Iniciar uma nova coleta de informações de identificação pessoal que:
1. Serão processados utilizando tecnologia da informação; e
2. Inclui informações de identificação pessoal que permitem a utilização física ou virtual (on-line)
contatar um indivíduo específico, se perguntas idênticas tiverem sido feitas ou requisitos de relatórios idênticos
impostos a dez ou mais indivíduos, que não sejam agências, órgãos ou funcionários do governo federal.
Discussão: Uma avaliação de impacto na privacidade é uma análise de como as informações pessoalmente identificáveis
são tratadas para garantir que o tratamento esteja em conformidade com os requisitos de privacidade aplicáveis,
determinar os riscos de privacidade associados a um sistema ou atividade de informação e avaliar formas de mitigar
os riscos de privacidade. Uma avaliação de impacto na privacidade é tanto uma análise quanto um documento formal que detalha
o processo e o resultado da análise.
As organizações conduzem e desenvolvem uma avaliação de impacto na privacidade com clareza e especificidade
suficientes para demonstrar que a organização considerou totalmente a privacidade e incorporou proteções de
privacidade adequadas desde os estágios iniciais da atividade da organização e durante todo o ciclo de vida da
informação. Para realizar uma avaliação significativa do impacto na privacidade, o funcionário sênior da
agência de privacidade da organização trabalha em estreita colaboração com gerentes de programas, proprietários
de sistemas, especialistas em tecnologia da informação, funcionários de segurança, advogados e outro pessoal relevante
da organização. Além disso, uma avaliação do impacto na privacidade não é uma atividade com restrição de tempo,
limitada a um marco ou estágio específico do sistema de informação ou aos ciclos de vida de informações pessoalmente
identificáveis. Em vez disso, a análise de privacidade continua ao longo do sistema e dos ciclos de vida das informações
pessoalmente identificáveis. Assim, uma avaliação de impacto na privacidade é um documento vivo que as organizações
atualizam sempre que alterações na tecnologia da informação, alterações nas práticas da organização ou outros
fatores alteram os riscos de privacidade associados ao uso de tal tecnologia da informação.
Para conduzir a avaliação do impacto na privacidade, as organizações podem utilizar avaliações de riscos de
segurança e privacidade. As organizações também podem usar outros processos relacionados que podem ter nomes diferentes,

e
g
_________________________________________________________________________________________________
pe
E incluindo análises de limites de privacidade. Uma avaliação do impacto na privacidade também pode servir como
aviso ao público sobre as práticas da organização com relação à privacidade. Embora a realização e
publicação de avaliações de impacto na privacidade possam ser exigidas por lei, as organizações podem
desenvolver tais políticas na ausência de leis aplicáveis. Para agências federais, avaliações de impacto na
privacidade podem ser exigidas pelo [EGOV]; as agências devem consultar seu funcionário sênior para obter
aconselhamento jurídico e de privacidade sobre esse requisito e estar cientes das exceções legais e das
orientações do OMB relacionadas à disposição.
Controles relacionados: CM-4, CM-9, CM-13, PT-2, PT-3, PT-5, RA-1, RA-2, RA-3, RA-7.
Referências: [EGOV], [OMB A-130], [OMB M-03-22].
ANÁLISE DE CRITICALIDADE RA-9
Controle: Identifique componentes e funções críticas do sistema realizando uma análise de criticidade para
[Atribuição: sistemas definidos pela organização, componentes do sistema ou serviços do sistema]
em [Atribuição: pontos de decisão definidos pela organização no ciclo de vida de desenvolvimento do sistema].
Discussão: Nem todos os componentes, funções ou serviços do sistema exigem necessariamente proteções
significativas. Por exemplo, a análise da criticidade é um princípio fundamental da gestão de riscos da cadeia
de abastecimento e informa a priorização das atividades de proteção. A identificação de componentes e funções
críticas do sistema considera leis aplicáveis, ordens executivas, regulamentos, diretivas, políticas,
padrões, requisitos de funcionalidade do sistema, interfaces de sistema e componentes e dependências de
sistema e componentes. Os engenheiros de sistemas conduzem uma decomposição funcional de um sistema
para identificar funções e componentes de missão crítica. A decomposição funcional inclui a identificação das
missões organizacionais suportadas pelo sistema, a decomposição nas funções específicas para executar
essas missões e a rastreabilidade aos componentes de hardware, software e firmware que implementam
essas funções, inclusive quando as funções são compartilhadas por muitos componentes dentro e externo ao
sistema.
O ambiente operacional de um sistema ou componente do sistema pode impactar a criticidade,

incluindo as conexões e dependências de sistemas ciberfísicos, dispositivos, sistemas de sistemas e serviços
de TI terceirizados. Os componentes do sistema que permitem acesso imediato a componentes ou funções críticas
do sistema são considerados críticos devido às vulnerabilidades inerentes que tais componentes criam. A
criticidade de componentes e funções é avaliada em termos do impacto de uma falha de componente ou função
nas missões organizacionais que são apoiadas pelo sistema que contém os componentes e funções.
A análise de criticidade é realizada quando uma arquitetura ou projeto está sendo desenvolvido, modificado ou
atualizado. Se tal análise for realizada no início do ciclo de vida de desenvolvimento do sistema, as organizações
poderão modificar o design do sistema para reduzir a natureza crítica desses componentes e funções, como,
por exemplo, adicionando redundância ou caminhos alternativos ao design do sistema. A análise da
criticidade também pode influenciar as medidas de proteção exigidas pelos empreiteiros de desenvolvimento.
Além da análise da criticidade dos sistemas, componentes do sistema e serviços do sistema, a análise da
criticidade das informações é uma consideração importante. Essa análise é conduzida como parte da
categorização de segurança no RA-2.
Controles Relacionados: CP-2, PL-2, PL-8, PL-11, PM-1, PM-11, RA-2, SA-8, SA-15, SA-20, SR-5.
CAÇA DE AMEAÇAS RA-10
Ao controle:

e
g
_________________________________________________________________________________________________
pe
E a. Estabelecer e manter uma capacidade de caça a ameaças cibernéticas para:
1. Procura de indicadores de comprometimento nos sistemas organizacionais; e
2. Detectar, rastrear e interromper ameaças que escapam aos controles existentes; e
b. Empregue a capacidade de caça a ameaças [Atribuição: frequência definida pela organização].
Discussão: A caça a ameaças é um meio ativo de defesa cibernética em contraste com as medidas de
proteção tradicionais, como firewalls, sistemas de detecção e prevenção de intrusões, quarentena de códigos maliciosos
em sandboxes e tecnologias e sistemas de gerenciamento de informações e eventos de segurança. A caça às ameaças
cibernéticas envolve a busca proativa em sistemas organizacionais, redes e infraestrutura em busca de ameaças
avançadas. O objetivo é rastrear e interromper os adversários cibernéticos o mais cedo possível na sequência do ataque
e melhorar de forma mensurável a velocidade e a precisão das respostas organizacionais. As indicações de
comprometimento incluem tráfego de rede incomum, alterações incomuns de arquivos e presença de código malicioso.
As equipes de caça a ameaças aproveitam a inteligência de ameaças existente e podem criar nova inteligência de
ameaças, que é compartilhada com organizações pares, Organizações de Análise e Compartilhamento de
Informações (ISAO), Centros de Análise e Compartilhamento de Informações (ISAC) e departamentos e agências
governamentais relevantes.
Controles Relacionados: CA-2, CA-7, CA-8, RA-3, RA-5, RA-6, SI-4.

e
g
_________________________________________________________________________________________________
pe
E 3.17 AQUISIÇÃO DE SISTEMAS E SERVIÇOS
Link rápido para a tabela de resumo de aquisição de sistemas e serviços
POLÍTICA E PROCEDIMENTOS SA-1
Ao controle:

funções]:
nível] política de aquisição de sistemas e serviços que:

2. Procedimentos para facilitar a implementação da política de aquisição de sistemas e serviços e dos

controlos de aquisição de sistemas e serviços associados;

documentação e disseminação da política e procedimentos de aquisição de sistemas e serviços; e
c. Revise e atualize a aquisição atual de sistemas e serviços:


Discussão: As políticas e procedimentos de aquisição de sistemas e serviços abordam os controles da família SA que
são implementados em sistemas e organizações. A estratégia de gestão de riscos é um fator importante no
desenvolvimento de políticas e procedimentos de aquisição de sistemas e serviços. As políticas e
procedimentos do programa de segurança e privacidade no nível da organização são preferíveis, em geral, e podem
evitar a necessidade de políticas e procedimentos específicos da missão ou do sistema. A política pode ser incluída
como parte da política geral de segurança e privacidade ou ser representada por múltiplas políticas que refletem a
natureza complexa das organizações. Podem ser estabelecidos procedimentos para programas de segurança e
privacidade, para processos de missão ou de negócios e para sistemas, se necessário. Os procedimentos
descrevem como as políticas ou controles são implementados e podem ser direcionados ao indivíduo ou função que
é objeto do procedimento. Os procedimentos podem ser documentados nos planos de segurança e privacidade
do sistema ou em um ou mais documentos separados. Os eventos que podem precipitar uma atualização na política e
nos procedimentos de aquisição de sistemas e serviços incluem
resultados de avaliação ou auditoria, incidentes ou violações de segurança ou mudanças em leis, ordens executivas,
diretivas, regulamentos, políticas, padrões e diretrizes. A simples reafirmação dos controles não constitui uma
política ou procedimento organizacional.
Controles Relacionados: PM-9, PS-8, SA-8, SI-12.
Referências: [OMB A-130], [SP 800-12], [SP 800-30], [SP 800-39], [SP 800-100], [SP 800-160-1].

e
g
_________________________________________________________________________________________________
pe
E SA-2 ALOCAÇÃO DE RECURSOS
Ao controle:
a. Determinar os requisitos de privacidade e segurança da informação de alto nível para o sistema ou serviço do sistema no
planejamento da missão e do processo de negócios;
b. Determinar, documentar e alocar os recursos necessários para proteger o sistema ou serviço do sistema como parte do
planejamento de capital organizacional e do processo de controle de investimentos; e
c. Estabeleça um item de linha discreto para segurança e privacidade da informação em organizações

documentação de programação e orçamento.
Discussão: A alocação de recursos para segurança e privacidade da informação inclui financiamento para aquisição de sistemas
e serviços, sustentação e riscos relacionados à cadeia de abastecimento ao longo do ciclo de vida de desenvolvimento do
sistema.
Controles Relacionados: PL-7, PM-3, PM-11, SA-9, SR-3, SR-5.
Referências: [OMB A-130], [SP 800-37], [SP 800-160-1].
CICLO DE VIDA DE DESENVOLVIMENTO DO SISTEMA SA-3
Ao controle:
a. Adquirir, desenvolver e gerenciar o sistema usando [Atribuição: ciclo de vida de desenvolvimento de sistema definido pela
organização] que incorpora considerações de segurança e privacidade da informação;
b. Definir e documentar funções e responsabilidades de segurança e privacidade da informação em todo o processo

o ciclo de vida de desenvolvimento do sistema;
c. Identificar indivíduos com funções e responsabilidades de segurança da informação e privacidade; e
d. Integrar o processo organizacional de gerenciamento de riscos de segurança e privacidade da informação nas atividades do
ciclo de vida de desenvolvimento do sistema.
Discussão: Um processo de ciclo de vida de desenvolvimento de sistema fornece a base para o desenvolvimento, implementação
e operação bem-sucedidos de sistemas organizacionais. A integração de considerações de segurança e privacidade no
início do ciclo de vida de desenvolvimento do sistema é um princípio fundamental da engenharia de segurança de sistemas e da
engenharia de privacidade. Aplicar os controles necessários dentro do ciclo de vida de desenvolvimento do sistema requer uma
compreensão básica da segurança e privacidade da informação, ameaças, vulnerabilidades, impactos adversos e riscos para
missões críticas e funções de negócios. Os princípios de engenharia de segurança do SA-8 ajudam os indivíduos a projetar,
codificar e testar sistemas e componentes de sistema de maneira adequada. As organizações incluem pessoal qualificado (por
exemplo, funcionários seniores de segurança da informação de agências, funcionários seniores de agências de privacidade,
arquitetos de segurança e privacidade e engenheiros de segurança e privacidade) nos processos do ciclo de vida de
desenvolvimento de sistemas para garantir que os requisitos de segurança e privacidade estabelecidos sejam incorporados
aos sistemas organizacionais. Os programas de treinamento em segurança e privacidade baseados em funções podem garantir
que os indivíduos com funções e responsabilidades importantes em segurança e privacidade tenham a experiência, as habilidades
e o conhecimento necessários para conduzir as atividades atribuídas do ciclo de vida de desenvolvimento do sistema.
A integração eficaz dos requisitos de segurança e privacidade na arquitetura empresarial também ajuda a garantir que
considerações importantes de segurança e privacidade sejam abordadas ao longo do ciclo de vida do sistema e que essas
considerações estejam diretamente relacionadas à missão organizacional e aos processos de negócios. Este processo também
facilita a integração das arquiteturas de segurança e privacidade da informação na arquitetura empresarial, consistente com a
estratégia de gestão de risco da organização. Como o ciclo de vida de desenvolvimento do sistema envolve múltiplas
organizações (por exemplo, fornecedores externos, desenvolvedores, integradores, prestadores de serviços), aquisição

e
g
_________________________________________________________________________________________________
pe
E e as funções e controlos de gestão de riscos da cadeia de abastecimento desempenham papéis significativos na gestão
eficaz do sistema durante o ciclo de vida.
Controles relacionados: AT-3, PL-8, PM-7, SA-4, SA-5 , SA-8, SA-11, SA-15, SA-17, SA-22, SR-3, SR-4 , SR- 5, SR-9.
(1) CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA | GERENCIAR O AMBIENTE DE PRÉ-PRODUÇÃO
Proteja os ambientes de pré-produção do sistema proporcionais ao risco durante todo o ciclo de vida
de desenvolvimento do sistema, componente do sistema ou serviço do sistema.
Discussão: O ambiente de pré-produção inclui ambientes de desenvolvimento, teste e integração. Os processos

de planejamento de proteção de programas estabelecidos pelo Departamento de Defesa são exemplos de
gerenciamento do ambiente de pré-produção para empreiteiros de defesa.
A análise de criticidade e a aplicação de controles aos desenvolvedores também contribuem para um ambiente de
desenvolvimento de sistemas mais seguro.
Controles relacionados: CM-2, CM-4, RA-3, RA-9, SA-4.
(2) CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA | USO DE DADOS AO VIVO OU OPERACIONAIS
(a) Aprovar, documentar e controlar o uso de dados ativos em ambientes de pré-produção

para o sistema, componente do sistema ou serviço do sistema; e
(b) Proteger os ambientes de pré-produção do sistema, componente do sistema ou serviço do sistema no

mesmo nível de impacto ou classificação que quaisquer dados ativos em uso dentro do
ambientes de pré-produção.
Discussão: Os dados em tempo real também são chamados de dados operacionais. O uso de dados ativos ou
operacionais em ambientes de pré-produção (ou seja, desenvolvimento, teste e integração) pode resultar em riscos
significativos para as organizações. Além disso, o uso de informações pessoalmente identificáveis em testes,
pesquisas e treinamentos aumenta o risco de divulgação não autorizada ou uso indevido de tais informações. Portanto,
é importante que a organização gerencie quaisquer riscos adicionais que possam resultar do uso de dados ativos
ou operacionais. As organizações podem minimizar esses riscos usando dados de teste ou fictícios durante o
projeto, desenvolvimento e teste de sistemas, componentes de sistema e serviços de sistema. Técnicas de
avaliação de risco podem ser usadas para
determinar se o risco de usar dados ativos ou operacionais é aceitável.
Controles Relacionados: PM-25, RA-3.
(3) CICLO DE VIDA DE DESENVOLVIMENTO DE SISTEMA | ATUALIZAÇÃO DE TECNOLOGIA
Planeje e implemente um cronograma de atualização tecnológica para o sistema durante todo o ciclo
de vida de desenvolvimento do sistema.
Discussão: O planejamento da atualização tecnológica pode abranger hardware, software, firmware, processos,
conjuntos de habilidades de pessoal, fornecedores, prestadores de serviços e instalações. O uso de tecnologia
obsoleta ou quase obsoleta pode aumentar os riscos de segurança e privacidade associados a
componentes não suportados, componentes falsificados ou reaproveitados, componentes incapazes de implementar
requisitos de segurança ou privacidade, componentes lentos ou inoperantes, componentes de fontes não confiáveis,
erro pessoal inadvertido ou complexidade aumentada. Tecnologia
as atualizações normalmente ocorrem durante o estágio de operações e manutenção do ciclo de vida de
desenvolvimento do sistema.
Controles Relacionados: MA-6.
Referências: [OMB A-130], [SP 800-30], [SP 800-37], [SP 800-160-1], [SP 800-171], [SP 800-172].

e
g
_________________________________________________________________________________________________
pe
E PROCESSO DE AQUISIÇÃO SA-4
Controle: Incluir os seguintes requisitos, descrições e critérios, explicitamente ou por referência, usando [Seleção (um ou
mais): linguagem contratual padronizada; [Atribuição: linguagem contratual definida pela organização]] no contrato
de aquisição do sistema, componente do sistema ou serviço do sistema:
a. Requisitos funcionais de segurança e privacidade;
b. Requisitos de força dos mecanismos;
c. Requisitos de garantia de segurança e privacidade;
d. Controles necessários para satisfazer os requisitos de segurança e privacidade.
e. Requisitos de documentação de segurança e privacidade;
f. Requisitos para proteger a documentação de segurança e privacidade;
g. Descrição do ambiente de desenvolvimento do sistema e do ambiente no qual o sistema

se destina a operar;
h. Atribuição de responsabilidade ou identificação das partes responsáveis pela segurança da informação,

privacidade e gestão de riscos na cadeia de abastecimento; e
eu. Critérios de aceitação.
Discussão: Os requisitos funcionais de segurança e privacidade são normalmente derivados dos requisitos de
segurança e privacidade de alto nível descritos no SA-2. Os requisitos derivados incluem capacidades, funções e
mecanismos de segurança e privacidade. Os requisitos de força associados a tais capacidades, funções e mecanismos
incluem grau de correção, integridade, resistência à adulteração ou desvio e resistência ao ataque direto. Os requisitos de
garantia incluem processos, procedimentos e metodologias de desenvolvimento, bem como as evidências das
atividades de desenvolvimento e avaliação que fornecem bases para a confiança de que a funcionalidade necessária é
implementada e possui a força de mecanismo necessária. [SP 800-160-1] descreve o processo de engenharia de
requisitos como parte do ciclo de vida de desenvolvimento de sistemas.
Os controles podem ser vistos como descrições das salvaguardas e capacidades de proteção apropriadas para alcançar os
objetivos específicos de segurança e privacidade da organização e para refletir os requisitos de segurança e privacidade
das partes interessadas. Os controles são selecionados e implementados para satisfazer os requisitos do sistema e incluir
responsabilidades organizacionais e do desenvolvedor.
Os controles podem incluir aspectos técnicos, administrativos e físicos. Em alguns casos, a seleção e implementação de
um controle pode exigir especificações adicionais por parte da organização na forma de requisitos derivados ou valores de
parâmetros de controle instanciados. Os requisitos derivados e os valores dos parâmetros de controle podem
ser necessários para fornecer o nível apropriado de detalhes de implementação para controles dentro do ciclo de vida de
desenvolvimento do sistema.
Os requisitos de documentação de segurança e privacidade abordam todos os estágios do ciclo de vida de desenvolvimento
do sistema. A documentação fornece orientação ao usuário e ao administrador para a implementação e operação de
controles. O nível de detalhe exigido em tal documentação baseia-se na categorização de segurança ou no nível de
classificação do sistema e no grau em que as organizações dependem das capacidades, funções ou mecanismos para
atender às expectativas de resposta a riscos. Os requisitos podem incluir definições de configuração obrigatórias que
especificam funções, portas, protocolos e serviços permitidos. Os critérios de aceitação para sistemas, componentes de
sistema e serviços de sistema são definidos da mesma maneira que os critérios para qualquer aquisição ou aquisição
organizacional.
Controles relacionados: CM-6, CM-8, PS-7, SA-3, SA -5, SA -8, SA -11, SA-15, SA-16, SA-17 , SA -21, SR-3 ,
SR-5.

e
g
_________________________________________________________________________________________________
pe
E (1) PROCESSO DE AQUISIÇÃO | PROPRIEDADES FUNCIONAIS DOS CONTROLES
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça uma descrição das
propriedades funcionais dos controles a serem implementados.
Discussão: As propriedades funcionais dos controles de segurança e privacidade descrevem a funcionalidade (isto é,
capacidade, funções ou mecanismos de segurança ou privacidade) visíveis nas interfaces dos controles e excluem
especificamente funcionalidades e estruturas de dados internas à operação dos controles.
(2) PROCESSO DE AQUISIÇÃO | INFORMAÇÕES DE PROJETO E IMPLEMENTAÇÃO PARA CONTROLES
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema forneça informações de
design e implementação para os controles que incluam: [Seleção (uma ou mais): interfaces de sistema externas
relevantes para a segurança; design de alto nível; design de baixo nível; código-fonte ou esquemas de hardware;
[Tarefa: projeto definido pela organização e informações de implementação]] em [Tarefa: nível de detalhe
Discussão: As organizações podem exigir diferentes níveis de detalhe na documentação para a concepção e implementação
de controlos em sistemas organizacionais, componentes de sistema ou serviços de sistema com base em requisitos de
missão e de negócio, requisitos de resiliência e fiabilidade, e requisitos para análise e testes. Os sistemas podem ser
particionados em vários subsistemas. Cada subsistema do sistema pode conter um ou mais módulos. O design de alto nível
do sistema é expresso em termos de subsistemas e interfaces entre subsistemas que fornecem funcionalidades
relevantes para a segurança. O design de baixo nível do sistema é expresso em termos de módulos e interfaces entre
módulos que fornecem funcionalidades relevantes para a segurança. A documentação de projeto e implementação
pode incluir fabricante, versão, número de série, assinatura hash de verificação, bibliotecas de software usadas, data de
compra ou download e o fornecedor ou fonte de download. O código-fonte e os esquemas de hardware são chamados de
representação de implementação do sistema.
(3) PROCESSO DE AQUISIÇÃO | MÉTODOS, TÉCNICAS E PRÁTICAS DE DESENVOLVIMENTO
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema demonstre o

uso de um processo de ciclo de vida de desenvolvimento de sistema que inclua:
(a) [Tarefa: métodos de engenharia de sistemas definidos pela organização];
(b) [Atribuição: definida pela organização [Seleção (uma ou mais): segurança de sistemas; privacidade]
métodos de engenharia]; e
(c) [Tarefa: métodos de desenvolvimento de software definidos pela organização; testes,

métodos de avaliação, avaliação, verificação e validação; e processos de controle de qualidade].
Discussão: Seguir um ciclo de vida de desenvolvimento de sistema que inclua métodos de desenvolvimento de software
de última geração, métodos de engenharia de sistemas, métodos de engenharia de segurança e privacidade de sistemas e
processos de controle de qualidade ajuda a reduzir o número e a gravidade de erros latentes dentro de sistemas, sistemas
componentes e serviços do sistema. A redução do número e da gravidade de tais erros reduz o número de
vulnerabilidades nesses sistemas, componentes e serviços. A transparência nos métodos e técnicas que os desenvolvedores
selecionam e implementam para engenharia de sistemas, segurança de sistemas e engenharia de privacidade,
desenvolvimento de software, avaliações de componentes e sistemas e processos de controle de qualidade fornecem um
maior nível de garantia na confiabilidade do sistema, componente do sistema ou serviço do sistema sendo adquirido.
(4) PROCESSO DE AQUISIÇÃO | ATRIBUIÇÃO DE COMPONENTES A SISTEMAS

e
g
_________________________________________________________________________________________________
pe
E [Retirado: Incorporado ao CM-8(9).]
(5) PROCESSO DE AQUISIÇÃO | CONFIGURAÇÕES DE SISTEMA, COMPONENTES E SERVIÇOS
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema:
(a) Entregar o sistema, componente ou serviço com [Atribuição: definido pela organização
configurações de segurança] implementadas; e
(b) Usar as configurações como padrão para qualquer reinstalação ou atualização subsequente de sistema,
componente ou serviço.
Discussão: Exemplos de configurações de segurança incluem a Linha de Base de Configuração do Governo dos EUA
(USGCB), Guias de Implementação Técnica de Segurança (STIGs) e quaisquer limitações em funções, portas, protocolos e
serviços. As características de segurança podem incluir a exigência de que as senhas padrão sejam alteradas.
(6) PROCESSO DE AQUISIÇÃO | USO DE PRODUTOS DE GARANTIA DE INFORMAÇÃO
(a) Empregar apenas informações governamentais prontas para uso ou comerciais prontas para uso
produtos de tecnologia da informação baseados em garantia e garantia de informações que compõem uma
solução aprovada pela NSA para proteger informações classificadas quando as redes usadas para
transmitir as informações estão em um nível de classificação inferior ao da informação sendo transmitida; e
(b) Garantir que esses produtos foram avaliados e/ou validados pela NSA ou em
de acordo com os procedimentos aprovados pela NSA.
Discussão: Produtos comerciais de IA ou de tecnologia da informação habilitados para IA usados para proteger informações
classificadas por meios criptográficos podem ser obrigados a usar gerenciamento de chaves aprovado pela NSA.
Consulte [NSA CSFC].
(7) PROCESSO DE AQUISIÇÃO | PERFIS DE PROTEÇÃO APROVADOS PELO NIAP
(a) Limitar o uso de garantia de informações fornecidas comercialmente e informações

produtos de tecnologia da informação habilitados para garantia até aqueles produtos que foram avaliados com
sucesso em relação a uma parceria nacional de garantia de informação (NIAP) -
Perfil de proteção aprovado para um tipo de tecnologia específico, se tal perfil existir; e
(b) Exigir, se não existir nenhum perfil de proteção aprovado pelo NIAP para um tipo de tecnologia específico
mas um produto de tecnologia da informação fornecido comercialmente depende da funcionalidade
criptográfica para impor sua política de segurança, que o módulo criptográfico seja validado pelo FIPS
ou aprovado pela NSA.
Discussão: Consulte [NIAP CCEVS] para obter informações adicionais sobre o NIAP. Consulte [NIST CMVP] para
obter informações adicionais sobre módulos criptográficos validados por FIPS.
Controles Relacionados: IA-7, SC-12, SC-13.
(8) PROCESSO DE AQUISIÇÃO | PLANO DE MONITORAMENTO CONTÍNUO PARA CONTROLES
Exigir que o desenvolvedor do sistema, componente do sistema ou serviço do sistema produza um plano para
monitoramento contínuo da eficácia do controle que seja consistente com o
programa de monitoramento contínuo da organização.
Discussão: O objetivo dos planos de monitoramento contínuo é determinar se os controles planejados, necessários e
implantados no sistema, componente do sistema ou serviço do sistema continuam a ser eficazes ao longo do tempo com
base nas mudanças inevitáveis que ocorrem. Os planos de monitoramento contínuo do desenvolvedor incluem um nível
de detalhe suficiente para que as informações possam ser incorporadas em programas de monitoramento contínuo
implementados pelas organizações.
Os planos de monitoramento contínuo podem incluir os tipos de avaliação de controle e monitoramento

e
g
_________________________________________________________________________________________________
pe
E atividades planejadas, frequência do monitoramento dos controles e ações a serem tomadas quando os controles falharem
ou se tornarem ineficazes.
(9) PROCESSO DE AQUISIÇÃO | FUNÇÕES, PORTAS, PROTOCOLOS E SERVIÇOS EM USO
Exija que o desenvolvedor do sistema, componente do sistema ou serviço do sistema identifique as funções, portas,
protocolos e serviços destinados ao uso organizacional.
Discussão: A identificação de funções, portas, protocolos e serviços no início do ciclo de vida de desenvolvimento do sistema
(por exemplo, durante a definição inicial de requisitos e estágios de design)
permite que as organizações influenciem o design do sistema, componente do sistema ou serviço do sistema. Esse
envolvimento precoce no ciclo de vida de desenvolvimento do sistema ajuda as organizações a evitar ou minimizar o
uso de funções, portas, protocolos ou serviços que representam riscos desnecessariamente altos e a compreender as
compensações envolvidas no bloqueio de portas, protocolos ou serviços específicos ou na necessidade de serviço do
sistema fornecedores para fazê-lo. A identificação precoce de funções, portas, protocolos e serviços evita a dispendiosa
adaptação de controles após a implementação do sistema, componente ou serviço do sistema. SA-9 descreve os
requisitos para serviços de sistema externo. As organizações identificam quais funções, portas, protocolos e serviços são
fornecidos por fontes externas.
Controles Relacionados: CM-7, SA-9.
(10) PROCESSO DE AQUISIÇÃO | USO DE PRODUTOS PIV APROVADOS
Empregue apenas produtos de tecnologia da informação na lista de produtos aprovados pelo FIPS 201 para
capacidade de verificação de identidade pessoal (PIV) implementada em sistemas organizacionais.
Discussão: Os produtos na lista de produtos aprovados pelo FIPS 201 atendem aos requisitos do NIST para verificação
de identidade pessoal (PIV) de funcionários federais e contratados. Os cartões PIV são usados para autenticação multifator em
sistemas e organizações.
Controles Relacionados: IA-2, IA-8, PM-9.
(11) PROCESSO DE AQUISIÇÃO | SISTEMA DE REGISTROS
Incluir [Atribuição: requisitos da Lei de Privacidade definidos pela organização] no contrato de aquisição para a
operação de um sistema de registros em nome de uma organização para cumprir uma missão ou função
organizacional.
Discussão: Quando, por contrato, uma organização prevê a operação de um sistema de registros para cumprir uma
missão ou função organizacional, a organização, consistente com sua autoridade, faz com que os requisitos do [PRIVACT]
sejam aplicados ao sistema de registros .
(12) PROCESSO DE AQUISIÇÃO | PROPRIEDADE DE DADOS
(a) Incluir requisitos de propriedade de dados organizacionais no contrato de aquisição; e
(b) Exigir que todos os dados sejam removidos do sistema do contratante e devolvidos à organização dentro
de [Atribuição: prazo definido pela organização].
Discussão: Os empreiteiros que operam um sistema que contém dados pertencentes a uma organização que inicia o contrato
têm políticas e procedimentos em vigor para remover os dados dos seus sistemas e/ou devolver os dados num prazo
definido pelo contrato.
Referências: [PRIVADO], [OMB A-130], [ISO 15408-1], [ISO 15408-2], [ISO 15408-3], [ISO 29148], [FIPS 140-3], [FIPS 201- 201];
2], [SP 800-35], [SP 800-37], [SP 800-70], [SP 800-73-4], [SP 800-137], [SP 800-160-1 ] , SP 800-161], [IR 7539], [IR 7622], [IR
7676], [IR 7870], [IR 8062], [NIAP CCEVS], [NSA CSFC].

e
g
_________________________________________________________________________________________________
pe
E DOCUMENTAÇÃO DO SISTEMA SA-5
Ao controle:
a. Obtenha ou desenvolva documentação de administrador para o sistema, componente do sistema ou

serviço do sistema que descreve:
1. Configuração, instalação e operação segura do sistema, componente ou serviço;
2. Uso e manutenção eficazes de funções e mecanismos de segurança e privacidade; e
3. Vulnerabilidades conhecidas em relação à configuração e uso de recursos administrativos ou privilegiados

funções;
b. Obter ou desenvolver documentação do usuário para o sistema, componente do sistema ou serviço do sistema
que descreve:
1. Funções e mecanismos de segurança e privacidade acessíveis ao utilizador e como utilizar eficazmente

essas funções e mecanismos;
2. Métodos de interação do usuário, que permitem que os indivíduos utilizem o sistema, componente ou serviço
de maneira mais segura e protejam a privacidade individual; e
3. Responsabilidades do usuário na manutenção da segurança do sistema, componente ou serviço

e privacidade dos indivíduos;
c. Documentar tentativas de obter documentação do sistema, componente do sistema ou serviço do sistema quando
tal documentação estiver indisponível ou inexistente e executar [Atribuição: ações definidas pela
organização] em resposta; e
d. Distribuir documentação para [Atribuição: pessoal ou funções definidas pela organização].
Discussão: A documentação do sistema ajuda o pessoal a compreender a implementação e

operação de controles. As organizações consideram estabelecer medidas específicas para determinar a qualidade
e integridade do conteúdo fornecido. A documentação do sistema pode ser usada para apoiar o gerenciamento
de riscos da cadeia de suprimentos, resposta a incidentes e outras funções. O pessoal ou as funções que exigem
documentação incluem proprietários de sistema, responsáveis pela segurança do sistema e administradores de
sistema. As tentativas de obter documentação incluem entrar em contato com fabricantes ou fornecedores e realizar
pesquisas na web. A impossibilidade de obter documentação pode ocorrer devido à idade do sistema ou componente
ou à falta de suporte de desenvolvedores e prestadores de serviços. Quando a documentação não puder ser obtida,
as organizações poderão precisar recriar a documentação se ela
é essencial para a implementação ou operação dos controles. A proteção fornecida para a documentação é
proporcional à categoria ou classificação de segurança do sistema.
A documentação que aborda vulnerabilidades do sistema pode exigir um nível maior de proteção. A
operação segura do sistema inclui iniciar inicialmente o sistema e retomar a operação segura do sistema após um
lapso na operação do sistema.
Controles relacionados: CM-4, CM-6, CM-7, CM-8, PL-2, PL-4, PL-8, PS-2, SA-3, SA-4, SA-8, SA-9 , SA-10, SA-11,
SA-15, SA-16, SA-17, SI-12, SR-3.
(1) DOCUMENTAÇÃO DO SISTEMA | PROPRIEDADES FUNCIONAIS DOS CONTROLES DE SEGURANÇA
[Retirado: Incorporado em SA-4(1).]
(2) DOCUMENTAÇÃO DO SISTEMA | INTERFACES DE SISTEMA EXTERNO RELEVANTES PARA A SEGURANÇA
(3) DOCUMENTAÇÃO DO SISTEMA | PROJETO DE ALTO NÍVEL

e
g
_________________________________________________________________________________________________
pe
E (4) DOCUMENTAÇÃO DO SISTEMA | PROJETO DE BAIXO NÍVEL
(5) DOCUMENTAÇÃO DO SISTEMA | CÓDIGO FONTE
Referências: [SP 800-160-1].
RESTRIÇÕES DE USO DE SOFTWARE SA-6
[Retirado: Incorporado no CM-10 e SI-7.]
SOFTWARE INSTALADO PELO USUÁRIO SA-7
[Retirado: Incorporado no CM-11 e SI-7.]
PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE SA-8
Controle: Aplicar os seguintes princípios de segurança de sistemas e engenharia de privacidade na

especificação, projeto, desenvolvimento, implementação e modificação do sistema e dos componentes do sistema: [Tarefa:
princípios de segurança de sistemas e engenharia de privacidade definidos pela organização].
Discussão: Os princípios de segurança de sistemas e engenharia de privacidade estão intimamente relacionados e

implementado durante todo o ciclo de vida de desenvolvimento do sistema (ver SA-3). As organizações podem aplicar
princípios de segurança de sistemas e engenharia de privacidade a novos sistemas em desenvolvimento ou a sistemas
em atualização. Para os sistemas existentes, as organizações aplicam princípios de segurança de sistemas e engenharia
de privacidade às atualizações e modificações do sistema, na medida do possível, dado o estado atual dos componentes de
hardware, software e firmware desses sistemas.
A aplicação de princípios de segurança de sistemas e engenharia de privacidade ajuda as organizações a

desenvolver sistemas confiáveis, seguros e resilientes e reduz a suscetibilidade a interrupções, perigos, ameaças e à
criação de problemas de privacidade para os indivíduos. Exemplos de princípios de engenharia de segurança de
sistemas incluem: desenvolvimento de proteções em camadas; estabelecer políticas, arquitetura e controles de segurança
e privacidade como base para design e desenvolvimento; incorporação de requisitos de segurança e privacidade
no ciclo de vida de desenvolvimento do sistema; delinear limites de segurança físicos e lógicos; garantir que os
desenvolvedores sejam treinados sobre como construir software seguro; adaptar controles para atender às necessidades
organizacionais; e realizar modelagem de ameaças para identificar casos de uso, agentes de ameaças, vetores e padrões
de ataque, padrões de design e controles de compensação necessários para mitigar riscos.
As organizações que aplicam conceitos e princípios de engenharia de segurança e privacidade de sistemas podem
facilitar o desenvolvimento de sistemas, componentes de sistema e serviços de sistema confiáveis e seguros; reduzir
o risco para níveis aceitáveis; e tomar decisões informadas sobre gerenciamento de riscos. Os princípios de engenharia de
segurança do sistema também podem ser usados para proteger contra certos riscos da cadeia de abastecimento,
incluindo a incorporação de hardware resistente a violações em um design.
Controles relacionados: PL-8, PM-7, RA-2, RA-3, RA-9, SA-3, SA-4, SA-15, SA-17, SA-20, SC-2, SC-3 , SC-32, SC-39,
SR-2, SR-3, SR-4, SR-5.
(1) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | ABSTRAÇÕES CLARAS
Implemente o princípio de design de segurança de abstrações claras.
Discussão: O princípio das abstrações claras afirma que um sistema possui interfaces e funções simples e bem
definidas que fornecem uma visão consistente e intuitiva dos dados e de como os dados são gerenciados. A clareza,
simplicidade, necessidade e suficiência das interfaces do sistema—

e
g
_________________________________________________________________________________________________
pe
E combinado com uma definição precisa de seu comportamento funcional – promove facilidade de análise, inspeção e testes,
bem como o uso correto e seguro do sistema. A clareza de uma abstração é subjetiva. Exemplos que refletem a aplicação
deste princípio incluem evitar interfaces redundantes e não utilizadas; ocultação de informações; e evitar sobrecarga
semântica de interfaces ou de seus parâmetros. Ocultação de informações (ou seja, programação independente de
representação), é uma disciplina de design usada para garantir que a representação interna de informações em um
componente do sistema não seja visível para outro componente do sistema que invoca ou chama o primeiro
componente, de modo que a abstração publicada não seja influenciada pela forma como os dados podem ser gerenciados
internamente.
(2) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | MECANISMO MENOS COMUM
Implementar o princípio de design de segurança do mecanismo menos comum em [Tarefa: sistemas ou

componentes de sistema definidos pela organização].
Discussão: O princípio do mecanismo menos comum afirma que a quantidade de mecanismo comum a mais de um usuário e
do qual todos os usuários dependem é minimizada [POPEK74].
A minimização do mecanismo implica que diferentes componentes de um sistema evitem usar o mesmo mecanismo para
acessar um recurso do sistema. Todo mecanismo compartilhado (especialmente um mecanismo que envolve variáveis
compartilhadas) representa um caminho potencial de informação entre usuários e é projetado com cuidado para garantir
que não comprometa involuntariamente a segurança [SALTZER75]. A implementação do princípio do mecanismo
menos comum ajuda a reduzir as consequências adversas da partilha do estado do sistema entre diferentes programas.
Um único programa que corrompe um estado compartilhado (incluindo variáveis compartilhadas) tem o potencial de corromper
outros programas que dependem do estado. O princípio do mecanismo menos comum também apoia o princípio da
simplicidade de design e aborda a questão dos canais de armazenamento secretos [LAMPSON73].
(3) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | MODULARIDADE E CAMADAS
Implemente os princípios de design de segurança de modularidade e camadas em [Atribuição: sistemas ou

Discussão: Os princípios de modularidade e camadas são fundamentais em todas as disciplinas de engenharia de

sistemas. A modularidade e as camadas derivadas da decomposição funcional são eficazes no gerenciamento da
complexidade do sistema, possibilitando a compreensão da estrutura do sistema. A decomposição modular, ou refinamento
no projeto do sistema, é um desafio e resiste a declarações gerais de princípios. A modularidade serve para isolar funções
e estruturas de dados relacionadas em unidades lógicas bem definidas. A disposição em camadas permite que os
relacionamentos dessas unidades sejam melhor compreendidos para que as dependências sejam claras e a
complexidade indesejada possa ser evitada. O princípio de modularidade do design de segurança estende a modularidade
funcional para incluir considerações baseadas em confiança, confiabilidade, privilégio e política de segurança.
A decomposição modular informada sobre segurança inclui a alocação de políticas para sistemas em uma rede, separação
de aplicativos de sistema em processos com espaços de endereço distintos,
alocação de políticas de sistema para camadas e separação de processos em assuntos com privilégios distintos com base em
domínios de privilégios suportados por hardware.
(4) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | DEPENDÊNCIAS PARCIALMENTE ORDENADAS
Implemente o princípio de design de segurança de dependências parcialmente ordenadas em [Atribuição: sistemas

Discussão: O princípio das dependências parcialmente ordenadas afirma que a sincronização, a chamada e outras
dependências no sistema são parcialmente ordenadas. Um conceito fundamental no projeto de sistemas é a estratificação,
em que o sistema é organizado em camadas bem definidas e funcionalmente.

e
g
_________________________________________________________________________________________________
pe
E módulos ou componentes relacionados. As camadas são ordenadas linearmente em relação às dependências entre
camadas, de modo que as camadas superiores dependem das camadas inferiores. Embora forneçam funcionalidade
às camadas superiores, algumas camadas podem ser independentes e não depender das camadas inferiores. Embora uma
ordenação parcial de todas as funções num determinado sistema possa não ser possível, se as dependências circulares
forem forçadas a ocorrer dentro de camadas, os problemas inerentes à circularidade podem ser geridos mais facilmente.
Dependências parcialmente ordenadas e camadas do sistema contribuem significativamente para a simplicidade e coerência
do design do sistema. Dependências parcialmente ordenadas também facilitam o teste e a análise do sistema.
(5) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | ACESSO MEDIADO EFICIENTEMENTE
Implementar o princípio de design de segurança de acesso mediado eficientemente em [Atribuição: sistemas ou

Discussão: O princípio do acesso mediado eficientemente afirma que os mecanismos de aplicação de políticas utilizam
o mecanismo menos comum disponível, ao mesmo tempo que satisfazem os requisitos das partes interessadas dentro
das restrições expressas. A mediação do acesso aos recursos do sistema (isto é, CPU, memória, dispositivos, portas de
comunicação, serviços, infra-estrutura, dados e informações) é frequentemente a função de segurança predominante
de sistemas seguros. Também permite a realização de proteções para a capacidade fornecida às partes interessadas pelo
sistema.
A mediação do acesso a recursos pode resultar em gargalos de desempenho se o sistema não for projetado
corretamente. Por exemplo, utilizando mecanismos de hardware, pode ser alcançado um acesso mediado de forma eficiente.
Uma vez obtido o acesso a um recurso de baixo nível, como a memória, os mecanismos de proteção de hardware podem
garantir que não ocorra acesso fora dos limites.
(6) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | COMPARTILHAMENTO MINIMIZADO
Implemente o princípio de design de segurança de compartilhamento minimizado em [Atribuição:

sistemas ou componentes de sistema definidos pela organização].
Discussão: O princípio do compartilhamento minimizado afirma que nenhum recurso do computador é compartilhado entre
os componentes do sistema (por exemplo, assuntos, processos, funções), a menos que seja absolutamente necessário
fazê-lo. O compartilhamento minimizado ajuda a simplificar o design e a implementação do sistema.
Para proteger os recursos do domínio do usuário contra entidades ativas arbitrárias, nenhum recurso é compartilhado,
a menos que esse compartilhamento tenha sido explicitamente solicitado e concedido. A necessidade de partilha de recursos
pode ser motivada pelo princípio de concepção do mecanismo menos comum no caso de entidades internas ou impulsionada
pelos requisitos das partes interessadas. No entanto, o compartilhamento interno é cuidadosamente projetado para
evitar problemas de desempenho, armazenamento oculto e canais de temporização.
O compartilhamento por meio de mecanismo comum pode aumentar a suscetibilidade de dados e informações ao acesso,
divulgação, uso ou modificação não autorizados e pode afetar adversamente a capacidade inerente fornecida pelo sistema.
Para minimizar o compartilhamento induzido por mecanismos comuns, tais mecanismos podem ser projetados para serem
reentrantes ou virtualizados para preservar a separação.
Além disso, a utilização de dados globais para partilhar informações é cuidadosamente examinada. A falta de
encapsulamento pode ofuscar as relações entre as entidades de partilha.
(7) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | COMPLEXIDADE REDUZIDA
Implementar o princípio de design de segurança de complexidade reduzida em [Tarefa: sistemas ou

Discussão: O princípio da complexidade reduzida afirma que o design do sistema é o mais simples e pequeno possível.
Um design pequeno e simples é mais compreensível, mais analisável e menos sujeito a erros. O princípio da complexidade
reduzida aplica-se a qualquer aspecto de um sistema, mas tem particular importância para a segurança devido às diversas
análises realizadas para obter evidências sobre a propriedade de segurança emergente do sistema. Para que tais análises
sejam

e
g
_________________________________________________________________________________________________
pe
E bem-sucedido, um design pequeno e simples é essencial. A aplicação do princípio da complexidade reduzida contribui
para a capacidade dos desenvolvedores de sistemas de compreender a exatidão e integridade das funções de segurança
do sistema. Também facilita a identificação de vulnerabilidades potenciais. O corolário da complexidade reduzida
afirma que a simplicidade do sistema está diretamente relacionada com o número de vulnerabilidades que irá conter; isto é,
sistemas mais simples contêm menos vulnerabilidades. Um benefício da complexidade reduzida é que é mais fácil
entender se a política de segurança pretendida foi capturada no projeto do sistema e que é provável que menos
vulnerabilidades sejam introduzidas durante o desenvolvimento de engenharia.
Um benefício adicional é que qualquer conclusão sobre a exatidão, a integridade e a existência de vulnerabilidades pode ser
alcançada com um maior grau de segurança, em contraste com as conclusões alcançadas em situações em que o projeto
do sistema é inerentemente mais complexo.
A transição de tecnologias mais antigas para tecnologias mais novas (por exemplo, a transição de IPv4 para IPv6) pode exigir
a implementação simultânea de tecnologias mais antigas e mais recentes durante o período de transição. Isto pode resultar
num aumento temporário na complexidade do sistema durante a transição.
(8) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | EVOLVABILIDADE SEGURA
Implementar o princípio de design de segurança de evolubilidade segura em [Tarefa: sistemas ou

Discussão: O princípio da evolução segura afirma que um sistema é desenvolvido para facilitar a manutenção de suas
propriedades de segurança quando há alterações na estrutura, interfaces, interconexões (ou seja, arquitetura do sistema),
funcionalidade ou configuração do sistema (ou seja, aplicação da política de segurança). ). As alterações incluem uma
capacidade de sistema nova, aprimorada ou atualizada; atividades de manutenção e sustentação; e reconfiguração.
Embora não seja possível planejar todos os aspectos da evolução do sistema, as atualizações e alterações do sistema
podem ser antecipadas por meio de análises da missão ou da direção estratégica do negócio, das mudanças previstas no
ambiente de ameaças e das necessidades previstas de manutenção e sustentação. Não é realista esperar que sistemas
complexos permaneçam seguros em contextos não previstos durante o desenvolvimento, quer tais contextos estejam
relacionados com o ambiente operacional ou com a utilização. Um sistema pode ser seguro em alguns novos contextos, mas
não há garantia de que o seu comportamento emergente será sempre seguro. É mais fácil incorporar a confiabilidade de
um sistema desde o início, e segue-se que a sustentação da confiabilidade do sistema requer planejamento para mudanças
em vez de adaptação de maneira ad hoc ou não metódica. Os benefícios deste princípio incluem redução dos custos do ciclo
de vida do fornecedor, redução do custo de propriedade, melhoria da segurança do sistema, gestão mais eficaz dos riscos
de segurança e menos incerteza dos riscos.
(9) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | COMPONENTES CONFIÁVEIS
Implemente o princípio de design de segurança de componentes confiáveis em [Atribuição: sistemas

Discussão: O princípio dos componentes confiáveis afirma que um componente é confiável pelo menos em um nível
proporcional às dependências de segurança que ele suporta (ou seja, até que ponto outros componentes confiam nele para
executar suas funções de segurança). Este princípio permite a composição de componentes de forma que a confiabilidade
não seja inadvertidamente diminuída e a confiança não seja, consequentemente, perdida. Em última análise, este princípio
exige alguma métrica pela qual a confiança num componente e a fiabilidade de um componente possam ser medidas na
mesma escala abstrata. O princípio dos componentes confiáveis é particularmente relevante quando se consideram
sistemas e componentes nos quais existem cadeias complexas de dependências de confiança. Uma dependência de
confiança também é chamada de relação de confiança e pode haver cadeias de relações de confiança.

e
g
_________________________________________________________________________________________________
pe
E O princípio dos componentes confiáveis também se aplica a um componente composto que consiste em subcomponentes (por
exemplo, um subsistema), que pode ter níveis variados de confiabilidade. A suposição conservadora é que a confiabilidade
de um componente composto é a do seu subcomponente menos confiável. Pode ser possível fornecer uma justificativa de
engenharia de segurança de que a confiabilidade de um componente composto específico é maior do que a suposição
conservadora. No entanto, qualquer fundamentação deste tipo reflecte um raciocínio lógico baseado numa declaração clara
dos objectivos de fiabilidade, bem como em provas relevantes e credíveis.
A confiabilidade de um componente composto não é o mesmo que uma maior aplicação de camadas de defesa profunda
dentro do componente ou uma replicação de componentes. As técnicas de defesa profunda não aumentam a confiabilidade
do todo acima da do componente menos confiável.
(10) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | CONFIANÇA HIERÁRQUICA
Implemente o princípio de design de segurança de confiança hierárquica em [Atribuição: sistemas ou componentes

de sistema definidos pela organização].
Discussão: O princípio da confiança hierárquica para componentes baseia-se no princípio dos componentes confiáveis
e afirma que as dependências de segurança em um sistema formarão uma ordem parcial se preservarem o princípio dos
componentes confiáveis. A ordenação parcial fornece a base para o raciocínio de confiabilidade ou um caso de garantia
(argumento de garantia) ao compor um sistema seguro a partir de componentes heterogeneamente confiáveis. Para
analisar um sistema composto por componentes heterogeneamente confiáveis quanto à sua confiabilidade, é essencial
eliminar dependências circulares no que diz respeito à confiabilidade. Se um componente mais confiável localizado em uma
camada inferior do sistema dependesse de um componente menos confiável em uma camada superior, isso colocaria, na
verdade, os componentes na mesma classe de equivalência “menos confiável”, de acordo com o princípio dos
componentes confiáveis. . As relações de confiança, ou cadeias de confiança, podem ter diversas manifestações. Por
exemplo, o certificado raiz de uma hierarquia de certificados é o nó mais confiável da hierarquia, enquanto as folhas da
hierarquia podem ser os nós menos confiáveis. Outro exemplo ocorre em um sistema em camadas de alta segurança,
onde o kernel de segurança (incluindo a base de hardware), localizado na camada mais baixa do sistema, é o componente
mais confiável. O princípio da confiança hierárquica, contudo, não proíbe o uso de componentes excessivamente
confiáveis. Pode haver casos num sistema de baixa confiabilidade em que seja razoável empregar um componente
altamente confiável em vez de um que seja menos confiável (por exemplo, devido à disponibilidade ou outro fator custo-
benefício). Nesse caso, qualquer dependência do componente altamente confiável de um componente menos confiável
não degrada a confiabilidade do sistema de baixa confiança resultante.
(11) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | LIMITE DE MODIFICAÇÃO INVERSA
Implemente o princípio de design de segurança do limite de modificação inversa em [Tarefa: sistemas ou componentes
Discussão: O princípio do limite de modificação inversa baseia-se no princípio dos componentes confiáveis e no princípio da
confiança hierárquica e afirma que o grau de proteção fornecido a um componente é proporcional à sua confiabilidade. À
medida que a confiança depositada num componente aumenta, a proteção contra modificações não autorizadas do
componente também aumenta no mesmo grau. A proteção contra modificação não autorizada pode vir na forma de
autoproteção e confiabilidade inata do próprio componente, ou pode vir das proteções concedidas ao componente por outros
elementos ou atributos da arquitetura de segurança (para incluir proteções no ambiente de operação) .

e
g
_________________________________________________________________________________________________
pe
E (12) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PROTEÇÃO HIERÁRQUICA
Implemente o princípio de design de segurança de proteção hierárquica em [Atribuição: sistemas ou

Discussão: O princípio da proteção hierárquica afirma que um componente não precisa ser protegido de componentes
mais confiáveis. No caso degenerado do componente mais confiável, ele se protege de todos os outros componentes. Por
exemplo, se o kernel de um sistema operacional for considerado o componente mais confiável de um sistema, ele se protegerá
de todos os aplicativos não confiáveis que suporta, mas os aplicativos, por outro lado, não precisarão se proteger do kernel.
A fiabilidade dos utilizadores é um fator a considerar na aplicação do princípio da proteção hierárquica. Um sistema
confiável não precisa se proteger de um usuário igualmente confiável, refletindo o uso de sistemas não confiáveis em
ambientes de “alto nível de sistema”, onde os usuários são altamente confiáveis e onde outras proteções são
implementadas para vincular e proteger o ambiente de execução de “alto sistema”.
(13) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | ELEMENTOS DE SEGURANÇA MINIMIZADOS
Implementar o princípio de design de segurança de elementos de segurança minimizados em [Atribuição: sistemas

Discussão: O princípio dos elementos de segurança minimizados afirma que o sistema não possui componentes confiáveis
estranhos. O princípio dos elementos de segurança minimizados tem dois aspectos: o custo global da análise de segurança e
a complexidade da análise de segurança. Componentes confiáveis são geralmente mais caros de construir e implementar,
devido ao maior rigor dos processos de desenvolvimento. Componentes confiáveis exigem maior análise de segurança para
qualificar sua confiabilidade. Assim, para reduzir o custo e diminuir a complexidade da análise de segurança, um sistema
contém o mínimo possível de componentes confiáveis. A análise da interação de componentes confiáveis com outros
componentes do sistema é um dos aspectos mais importantes da verificação da segurança do sistema. Se as interações
entre os componentes
são desnecessariamente complexos, a segurança do sistema também será mais difícil de determinar do que aquele cujas
relações de confiança internas sejam simples e elegantemente construídas. Em geral, menos componentes confiáveis resultam
em menos relações de confiança internas e em um sistema mais simples.
(14) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | ULTIMO PRIVILÉGIO
Implemente o princípio de design de segurança de menor privilégio em [Atribuição: sistemas ou componentes

Discussão: O princípio do menor privilégio afirma que cada componente do sistema recebe privilégios suficientes para
realizar suas funções especificadas, mas não mais. A aplicação do princípio do menor privilégio limita o escopo das ações do
componente, o que tem dois efeitos desejáveis: o impacto na segurança de uma falha, corrupção ou uso indevido do
componente terá um impacto de segurança minimizado e a análise de segurança do componente será simplificado.
O privilégio mínimo é um princípio difundido que se reflete em todos os aspectos do design do sistema seguro. As
interfaces usadas para invocar a capacidade do componente estão disponíveis apenas para determinados subconjuntos da
população de usuários, e o design do componente suporta uma granularidade suficientemente fina de decomposição de
privilégios. Por exemplo, no caso de um mecanismo de auditoria, pode haver uma interface para o gestor de auditoria, que
define as configurações de auditoria; uma interface para o operador de auditoria, que garante que os dados de auditoria sejam
coletados e armazenados com segurança; e, finalmente, mais uma interface para o revisor de auditoria, que só precisa visualizar
os dados de auditoria que foram coletados, mas não precisa realizar operações nesses dados.
Além de suas manifestações na interface do sistema, o privilégio mínimo pode ser usado como princípio orientador para
a estrutura interna do próprio sistema. Um aspecto do menor privilégio interno é construir módulos de modo que apenas os
elementos encapsulados pelo módulo sejam

e
g
_________________________________________________________________________________________________
pe
E operado diretamente pelas funções dentro do módulo. Elementos externos a um módulo que podem ser afetados pela operação
do módulo são acessados indiretamente através da interação (por exemplo, através de uma chamada de função) com o
módulo que contém esses elementos. Outro aspecto do menor privilégio interno é que o escopo de um determinado módulo
ou componente inclui apenas os elementos do sistema que são necessários para sua funcionalidade e que os modos de
acesso para os elementos (por exemplo, leitura, gravação) são mínimos.
Controles relacionados: AC-6, CM-7.
(15) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PERMISSÃO PREDICADA
Implemente o princípio de design de segurança de permissão de predicado em [Atribuição: sistemas ou

Discussão: O princípio da permissão predicada afirma que os projetistas de sistemas consideram exigir que múltiplas
entidades autorizadas forneçam consentimento antes que uma operação altamente crítica ou acesso a dados, informações ou
recursos altamente confidenciais possa prosseguir. [SALTZER75] originalmente nomeou permissão de predicado como
separação de privilégios. Também é equivalente à separação de funções. A divisão de privilégios entre múltiplas partes
diminui a probabilidade de abuso e proporciona a salvaguarda de que nenhum acidente, engano ou quebra de confiança é
suficiente para permitir uma acção irrecuperável que pode levar a efeitos significativamente prejudiciais.
As opções de projeto para tal mecanismo podem exigir ação simultânea (por exemplo, o disparo de uma arma nuclear requer
que dois indivíduos autorizados diferentes dêem o comando correto dentro de uma pequena janela de tempo) ou uma
sequência de operações onde cada ação sucessiva é habilitada por alguma ação prévia. ação, mas nenhum indivíduo é
capaz de permitir mais de uma ação.
(16) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | CONFIANÇA AUTOSSUFICIENTE
Implementar o princípio de design de segurança de confiabilidade autossuficiente em [Atribuição: sistemas ou

Discussão: O princípio da confiabilidade autossuficiente afirma que os sistemas minimizam a sua dependência de outros
sistemas para a sua própria confiabilidade. Um sistema é confiável por padrão,
e qualquer ligação a uma entidade externa é utilizada para complementar a sua função. Se um sistema fosse obrigado a manter
uma ligação com outra entidade externa para manter a sua fiabilidade, então esse sistema seria vulnerável a ameaças
maliciosas e não maliciosas que poderiam resultar na perda ou degradação dessa ligação. O benefício do princípio da
confiabilidade autossuficiente é que o isolamento de um sistema o tornará menos vulnerável a ataques. Um corolário
deste princípio está relacionado à capacidade do sistema (ou componente do sistema) de operar isoladamente e depois
ressincronizar com outros componentes quando for reunido a eles.
(17) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | COMPOSIÇÃO DISTRIBUÍDA SEGURA
Implementar o princípio de design de segurança de composição distribuída segura em [Tarefa: sistemas ou

Discussão: O princípio da composição distribuída segura afirma que a composição de componentes distribuídos que impõem
a mesma política de segurança do sistema resulta em um sistema que aplica essa política pelo menos tão bem quanto os
componentes individuais. Muitos dos princípios de design para sistemas seguros tratam de como os componentes podem
ou devem interagir. A necessidade de criar ou habilitar uma capacidade a partir da composição de componentes distribuídos
pode ampliar a relevância destes princípios. Em particular, a tradução da política de segurança de um sistema autónomo
para um sistema distribuído ou sistema de sistemas pode ter resultados inesperados ou emergentes. Os protocolos de
comunicação e os mecanismos de consistência de dados distribuídos ajudam a garantir a aplicação consistente de
políticas em um sistema distribuído. Para garantir um

e
g
_________________________________________________________________________________________________
pe
E nível de garantia de aplicação correta da política em todo o sistema, a arquitetura de segurança de um sistema composto
distribuído é minuciosamente analisada.
(18) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | CANAIS DE COMUNICAÇÃO CONFIÁVEIS
Implementar o princípio de design de segurança de canais de comunicação confiáveis em [Atribuição:

Discussão: O princípio dos canais de comunicação confiáveis afirma que ao compor um sistema onde existe uma ameaça
potencial às comunicações entre componentes (ou seja, as interconexões entre componentes), cada canal de comunicação
é confiável a um nível proporcional às dependências de segurança que suporta (ou seja, , o quanto outros componentes
confiam nele para executar suas funções de segurança). Canais de comunicação confiáveis são alcançados por uma
combinação de restrição de acesso ao canal de comunicação (para garantir uma correspondência aceitável na confiabilidade
dos terminais envolvidos na comunicação) e emprego de proteções ponta a ponta para os dados transmitidos através do canal
de comunicação (para proteger contra interceptação e modificação e aumentar ainda mais a garantia de comunicação adequada
de ponta a ponta).
(19) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PROTEÇÃO CONTÍNUA
Implementar o princípio de design de segurança de proteção contínua em [Atribuição: sistemas ou

Discussão: O princípio da proteção contínua afirma que os componentes e dados utilizados para aplicar a política de segurança
têm proteção ininterrupta que é consistente com a política de segurança e os pressupostos da arquitetura de segurança.
Nenhuma garantia de que o sistema pode fornecer as proteções de confidencialidade, integridade, disponibilidade e privacidade
para sua capacidade de design pode ser feita se houver lacunas na proteção. Quaisquer garantias sobre a capacidade de
garantir uma capacidade entregue exigem que os dados e as informações sejam continuamente protegidos. Ou seja,
não há períodos durante os quais os dados e informações ficam desprotegidos enquanto estão sob controle do sistema (ou
seja, durante a criação, armazenamento, processamento ou comunicação dos dados e informações, bem como durante a
inicialização, execução, falha do sistema). , interrupção e desligamento). A proteção contínua requer adesão aos preceitos do
conceito de monitor de referência (ou seja, cada solicitação é validada pelo monitor de referência; o monitor de referência é
capaz de se proteger contra adulteração; e garantia suficiente da exatidão e integridade do mecanismo pode ser verificada a
partir de análise e testes) e o princípio da falha e recuperação seguras (isto é, preservação de um estado seguro durante
erro, falha, falha e ataque bem-sucedido; preservação de um estado seguro durante a recuperação para modos operacionais
normais, degradados ou alternativos).
A proteção contínua também se aplica a sistemas projetados para operar em configurações variadas,
incluindo aqueles que oferecem capacidade operacional total e configurações de modo degradado que oferecem
capacidade operacional parcial. O princípio da proteção contínua exige que as alterações nas políticas de segurança do
sistema sejam rastreáveis até a necessidade operacional que orienta a configuração e sejam verificáveis (ou seja, é possível
verificar se as alterações propostas não colocarão o sistema em um estado inseguro). Rastreabilidade e verificação insuficientes
podem levar a estados inconsistentes ou descontinuidades de proteção devido à natureza complexa ou indecidível do
problema. O uso de definições de configuração pré-verificadas que refletem a nova política de segurança permite que a análise
determine que uma transição das políticas antigas para as novas é essencialmente atômica e que quaisquer efeitos residuais
da política antiga certamente não entrarão em conflito com a nova política. A capacidade de demonstrar proteção contínua
está enraizada na articulação clara das necessidades de proteção do ciclo de vida como requisitos de segurança das partes
interessadas.

e
g
_________________________________________________________________________________________________
pe
E (20) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | GERENCIAMENTO SEGURO DE METADADOS
Implementar o princípio de design de segurança de gerenciamento seguro de metadados em [Atribuição: sistemas

Discussão: O princípio da gestão segura de metadados afirma que os metadados são objectos de “primeira classe” no que
diz respeito à política de segurança quando a política exige protecção completa da informação ou que o subsistema
de segurança seja auto-protegido. O princípio do gerenciamento seguro de metadados é impulsionado pelo reconhecimento
de que um sistema, subsistema ou componente não pode alcançar autoproteção a menos que proteja os dados dos
quais depende para uma execução correta. Os dados geralmente não são interpretados pelo sistema que os armazena. Pode
ter valor semântico (ou seja, compreende informações) para usuários e programas que processam os dados.
Por outro lado, metadados são informações sobre dados, como o nome do arquivo ou a data em que o arquivo foi criado.
Os metadados estão vinculados aos dados de destino que descrevem de uma forma que o sistema pode interpretar, mas
não precisam ser armazenados dentro ou próximos a seus dados de destino.
Pode haver metadados cujo alvo seja ele próprio metadado (por exemplo, o nível de classificação ou nível de impacto
de um nome de arquivo), incluindo metadados auto-referenciais.
A aparente natureza secundária dos metadados pode levar à negligência da sua necessidade legítima de protecção,
resultando numa violação da política de segurança que inclui a exfiltração de informação. Uma preocupação particular
associada a proteções insuficientes para metadados está associada a sistemas seguros multinível (MLS). Os sistemas
MLS medeiam o acesso de um sujeito a um objeto com base em níveis de sensibilidade relativa. Segue-se que todos os
assuntos e objetos no escopo de controle do sistema MLS são diretamente rotulados ou indiretamente atribuídos a níveis
de sensibilidade. O corolário dos metadados rotulados para sistemas MLS afirma que os objetos que contêm metadados
são rotulados. Tal como acontece com as avaliações de necessidades de proteção para dados, é dada atenção para
garantir que as proteções de confidencialidade e integridade sejam avaliadas individualmente, especificadas e alocadas aos
metadados, como seria feito para dados de missão, negócios e sistema.
(21) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | AUTO-ANÁLISE
Implemente o princípio de autoanálise do projeto de segurança em [Tarefa: sistemas ou componentes de

sistema definidos pela organização].
Discussão: O princípio da auto-análise afirma que um componente do sistema é capaz de avaliar o seu estado interno e
funcionalidade de forma limitada em vários estágios de execução, e que esta capacidade de auto-análise é proporcional ao
nível de confiabilidade investido no sistema . Ao nível do sistema, a autoanálise pode ser alcançada através de avaliações
hierárquicas de fiabilidade estabelecidas de baixo para cima. Nesta abordagem, os componentes de nível inferior verificam a
integridade dos dados e a funcionalidade correta (até certo ponto) dos componentes de nível superior. Por exemplo,
sequências de inicialização confiáveis envolvem um componente confiável de nível inferior que atesta a confiabilidade dos
próximos componentes de nível superior, para que uma cadeia transitiva de confiança possa ser estabelecida. Na
raiz, um componente atesta a si mesmo, o que geralmente envolve uma suposição axiomática ou ambientalmente imposta
sobre sua integridade.
Os resultados das autoanálises podem ser usados para proteção contra erros induzidos externamente, mau funcionamento
interno ou erros transitórios. Seguindo este princípio, alguns defeitos ou erros simples podem ser detectados sem permitir
que os efeitos do erro ou mau funcionamento se propaguem para fora do componente. Além disso, o autoteste pode ser usado
para atestar a configuração do componente, detectando quaisquer conflitos potenciais na configuração em relação à
configuração esperada.
(22) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | RESPONSABILIDADE E RASTREABILIDADE

e
g
_________________________________________________________________________________________________
pe
E Implementar o princípio de design de segurança de responsabilidade e rastreabilidade em [Tarefa:
Discussão: O princípio da responsabilidade e da rastreabilidade afirma que é possível rastrear ações

relevantes para a segurança (isto é, interações sujeito-objeto) até a entidade em cujo nome a ação está sendo
executada. O princípio da responsabilização e rastreabilidade requer uma infra-estrutura confiável que possa
registrar detalhes sobre ações que afetam a segurança do sistema (por exemplo, um subsistema de auditoria).
Para registar os detalhes das ações, o sistema é capaz de identificar de forma única a entidade em cujo
nome a ação está a ser executada e também registar a sequência relevante de ações que são realizadas. A
política de responsabilização também exige que a própria trilha de auditoria seja protegida contra acesso e
modificação não autorizados. O princípio do menor privilégio auxilia
no rastreamento das ações para entidades específicas, pois aumenta a granularidade da responsabilização.
Associar ações específicas a entidades do sistema e, em última análise, a usuários, e tornar a trilha de
auditoria segura contra acessos e modificações não autorizados proporciona o não repúdio porque, uma
vez registrada uma ação, não é possível alterar a trilha de auditoria. Outra função importante que a
responsabilização e a rastreabilidade desempenham é na análise rotineira e forense de eventos associados
à violação da política de segurança. A análise dos registos de auditoria pode fornecer informações adicionais
que podem ser úteis para determinar o caminho ou componente que permitiu a violação da política de
segurança e as ações dos indivíduos associadas à violação da política de segurança.
Controles relacionados: AC-6, AU-2, AU-3, AU-6, AU-9, AU-10, AU-12, IA-2, IR-4.
(23) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PADRÕES SEGUROS
Implemente o princípio de design de segurança de padrões seguros em [Atribuição: sistemas ou

Discussão: O princípio dos padrões seguros afirma que a configuração padrão de um sistema (incluindo seus
subsistemas, componentes e mecanismos constituintes) reflete uma aplicação restritiva e conservadora da
política de segurança. O princípio dos padrões seguros aplica-se à configuração inicial (ou seja, padrão) de
um sistema, bem como à engenharia de segurança e ao projeto de controle de acesso e outras funções de
segurança que seguem uma estratégia de “negar, a menos que explicitamente autorizado”. O aspecto de
configuração inicial deste princípio exige que qualquer configuração “conforme enviado” de um sistema,
subsistema ou componente do sistema não ajude na violação da política de segurança e possa impedir
que o sistema opere na configuração padrão para aqueles casos em que o a própria política de segurança
requer configuração pelo usuário operacional.
Padrões restritivos significam que o sistema operará “conforme enviado” com autoproteção adequada e
será capaz de evitar violações de segurança antes que a política de segurança pretendida e a configuração
do sistema sejam estabelecidas. Nos casos em que a proteção fornecida pelo produto “conforme
enviado” é inadequada, as partes interessadas avaliam o risco de utilizá-lo antes de estabelecer um estado
inicial seguro. A adesão ao princípio de padrões seguros garante que um sistema seja estabelecido em um
estado seguro após a conclusão bem-sucedida da inicialização. Em situações em que o sistema não consegue
concluir a inicialização, ele executará uma operação solicitada usando padrões seguros ou não executará a
operação. Consulte os princípios de proteção contínua e falhas e recuperação seguras que se assemelham
a esse princípio para fornecer a capacidade de detectar e recuperar-se de falhas.
A abordagem da engenharia de segurança para este princípio afirma que os mecanismos de segurança
negam solicitações, a menos que a solicitação seja bem formada e consistente com a política de
segurança. A alternativa insegura é permitir uma solicitação, a menos que se mostre inconsistente com a
política. Em um sistema grande, as condições que são satisfeitas para conceder uma solicitação negada por
padrão são muitas vezes muito mais compactas e completas do que aquelas que precisariam ser verificadas
para negar uma solicitação que é concedida por padrão.
Controles Relacionados: CM-2, CM-6, SA-4.

e
g
_________________________________________________________________________________________________
pe
E (24) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | FALHA E RECUPERAÇÃO SEGURA
Implementar o princípio de design de segurança de falha e recuperação segura em [Atribuição: sistemas ou

Discussão: O princípio da falha e recuperação segura afirma que nem uma falha numa função ou mecanismo do sistema,
nem qualquer acção de recuperação em resposta à falha conduz a uma violação da política de segurança. O princípio
da falha e recuperação seguras é paralelo ao princípio da proteção contínua para garantir que um sistema seja capaz de detectar
(dentro dos limites) falhas reais e iminentes em qualquer estágio de sua operação (ou seja, inicialização, operação normal,
desligamento e manutenção) e tomar medidas apropriadas para garantir que as políticas de segurança não sejam
violadas. Além disso, quando especificado, o sistema é capaz de se recuperar de falhas reais ou iminentes para retomar
operações seguras normais, degradadas ou alternativas.
garantindo ao mesmo tempo que um estado seguro seja mantido, de modo que as políticas de segurança não sejam violadas.
Falha é uma condição na qual o comportamento de um componente se desvia de seu comportamento especificado ou
esperado para uma entrada explicitamente documentada. Uma vez detectada uma função de segurança com falha, o
sistema pode se reconfigurar para contornar o componente com falha, mantendo a segurança e fornecendo toda ou
parte da funcionalidade do sistema original, ou pode desligar-se completamente para evitar qualquer violação adicional das
políticas de segurança. Para que isso ocorra, as funções de reconfiguração do sistema são projetadas para garantir a aplicação
contínua da política de segurança durante as diversas fases de reconfiguração.
Outra técnica que pode ser usada para recuperação de falhas é executar uma reversão para um estado seguro (que pode
ser o estado inicial) e, em seguida, encerrar ou substituir o serviço ou componente que falhou, de modo que as operações
seguras possam ser retomadas. A falha de um componente pode ou não ser detectável pelos componentes que o utilizam. O
princípio da falha segura indica que os componentes falham num estado que nega, em vez de conceder, acesso. Por
exemplo, uma operação nominalmente “atômica” interrompida antes da conclusão não viola a política de segurança e é
projetada para lidar com eventos de interrupção empregando atomicidade de nível superior e mecanismos de reversão
(por exemplo, transações). Se um serviço estiver sendo utilizado, suas propriedades de atomicidade serão bem documentadas
e caracterizadas para que o componente que utiliza esse serviço possa detectar e tratar adequadamente os eventos de
interrupção. Por exemplo, um sistema é projetado para responder normalmente à desconexão e suportar ressincronização e
consistência de dados após a desconexão.
As estratégias de protecção contra falhas que empregam a replicação de mecanismos de aplicação de políticas, por
vezes denominadas defesa em profundidade, podem permitir que o sistema continue num estado seguro mesmo quando um
mecanismo falhou na protecção do sistema. Se os mecanismos forem semelhantes, porém, a proteção adicional pode
ser ilusória, pois o adversário pode simplesmente atacar em série. Da mesma forma, num sistema em rede, quebrar a
segurança de um sistema ou serviço pode permitir que um invasor faça o mesmo em outros sistemas e serviços replicados
semelhantes. Ao empregar múltiplos mecanismos de proteção cujas características são significativamente diferentes,
a possibilidade de replicação ou repetição de ataques pode ser reduzida. As análises são conduzidas para pesar os custos
e benefícios de tais técnicas de redundância em relação ao aumento do uso de recursos e aos efeitos adversos no
desempenho geral do sistema. Análises adicionais são conduzidas à medida que a complexidade destes mecanismos
aumenta, como poderia ser o caso de comportamentos dinâmicos. O aumento da complexidade geralmente reduz a
confiabilidade. Quando um recurso não pode ser protegido continuamente, é fundamental detectar e reparar quaisquer
violações de segurança antes que o recurso seja novamente utilizado num contexto seguro.
Controles Relacionados: CP-10, CP-12, SC-7, SC-8, SC-24, SI-13.
(25) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | SEGURANÇA ECONÔMICA
Implementar o princípio de design de segurança da segurança econômica em [Tarefa: sistemas ou componentes de


e
g
_________________________________________________________________________________________________
pe
E Discussão: O princípio da segurança económica afirma que os mecanismos de segurança não são mais
dispendiosos do que os danos potenciais que podem ocorrer devido a uma violação da segurança. Esta é a
forma relevante para a segurança das análises de custo-benefício utilizadas na gestão de riscos. As suposições
de custo da análise de custo-benefício impedem o projetista do sistema de incorporar mecanismos de
segurança de maior resistência do que o necessário, onde a resistência do mecanismo é proporcional ao custo. O
princípio da segurança económica também exige a análise dos benefícios da garantia relativamente ao custo dessa
garantia em termos do esforço despendido para obter provas relevantes e credíveis, bem como as análises necessárias
para avaliar e extrair conclusões de fiabilidade e de risco das provas.
(26) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PERFORMANCE DE SEGURANÇA
Implementar o princípio de design de segurança de segurança de desempenho em [Atribuição:

Discussão: O princípio da segurança do desempenho afirma que os mecanismos de segurança são construídos
de forma a não degradarem desnecessariamente o desempenho do sistema. Os requisitos de design do sistema e
das partes interessadas para desempenho e segurança são articulados e priorizados com precisão. Para que a
implementação do sistema atenda aos requisitos de projeto e seja considerada aceitável pelas partes interessadas
(ou seja, validação em relação aos requisitos das partes interessadas), os projetistas aderem às restrições especificadas
que as necessidades de desempenho de capacidade impõem às necessidades de proteção. O impacto global dos
serviços de segurança computacionalmente intensivos (por exemplo, criptografia) é avaliado e demonstrado que não
representa impacto significativo nas considerações de desempenho de maior prioridade ou é considerado como
proporcionando uma compensação aceitável de desempenho por proteção confiável. As considerações de
compensação incluem serviços de segurança menos intensivos em termos computacionais, a menos que estejam
indisponíveis ou sejam insuficientes. A insuficiência de um serviço de segurança é determinada pela capacidade
funcional e pela força do mecanismo. A força do mecanismo é selecionada com relação aos requisitos de segurança,
questões de sobrecarga críticas de desempenho (por exemplo, gerenciamento de chaves criptográficas) e uma avaliação
da capacidade da ameaça.
O princípio da segurança de desempenho leva à incorporação de recursos que ajudam na aplicação da política de
segurança, mas que incorrem em sobrecarga mínima, como mecanismos de hardware de baixo nível sobre os
quais serviços de nível superior podem ser construídos. Esses mecanismos de baixo nível são geralmente muito
específicos, têm funcionalidade muito limitada e são otimizados para desempenho. Por exemplo, uma vez concedidos
direitos de acesso a uma parte da memória, muitos sistemas utilizam mecanismos de hardware para garantir que todos
os acessos adicionais envolvam o endereço de memória e o modo de acesso corretos. A aplicação deste princípio
reforça a necessidade de conceber a segurança no sistema desde o início e de incorporar mecanismos simples
nas camadas inferiores que possam ser usados como blocos de construção para mecanismos de nível superior.
Controles Relacionados: SC-12, SC-13, SI-2, SI-7.
(27) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | SEGURANÇA FATORADA HUMANA
Implementar o princípio de design de segurança de segurança fatorada por humanos em [Tarefa:

Discussão: O princípio da segurança fatorada pelo homem afirma que a interface do usuário para funções de
segurança e serviços de suporte é intuitiva, fácil de usar e fornece feedback para ações do usuário que afetam tal
política e sua aplicação. Os mecanismos que impõem a política de segurança não são intrusivos para o usuário e
são projetados para não degradar a eficiência do usuário.
Os mecanismos de aplicação da política de segurança também fornecem ao usuário feedback e avisos significativos,
claros e relevantes quando escolhas inseguras estão sendo feitas. É dada especial atenção às interfaces através das
quais o pessoal responsável pela administração e operação do sistema configura e define as políticas de segurança.
Idealmente, esse pessoal é capaz de

e
g
_________________________________________________________________________________________________
pe
E compreender o impacto de suas escolhas. O pessoal com responsabilidades administrativas e operacionais do
sistema é capaz de configurar os sistemas antes da inicialização e administrá-los durante o tempo de execução com a
confiança de que sua intenção está corretamente mapeada para os mecanismos do sistema. Os serviços, funções e
mecanismos de segurança não impedem ou complicam desnecessariamente o uso pretendido do sistema. Existe um
compromisso entre a usabilidade do sistema e o rigor necessário para a aplicação da política de segurança. Se os
mecanismos de segurança forem frustrantes ou difíceis de usar, os usuários poderão desativá-los, evitá-los ou usá-los
de maneira inconsistente com os requisitos de segurança e as necessidades de proteção que os mecanismos foram projetados
para satisfazer.
(28) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | SEGURANÇA ACEITÁVEL
Implementar o princípio de design de segurança de segurança aceitável em [Tarefa: sistemas ou

Discussão: O princípio da segurança aceitável exige que o nível de privacidade e desempenho que o sistema
proporciona seja consistente com as expectativas dos utilizadores. A percepção da privacidade pessoal pode afetar
o comportamento, o moral e a eficácia do usuário. Com base na política de privacidade organizacional e no design do
sistema, os utilizadores devem ser capazes de restringir as suas ações para proteger a sua privacidade. Quando os sistemas
não fornecem interfaces intuitivas ou não atendem às expectativas de privacidade e desempenho, os usuários podem
optar por evitar completamente o sistema ou usá-lo de maneiras que podem ser ineficientes ou até mesmo inseguras.
(29) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | PROCEDIMENTOS REPETÍVEIS E DOCUMENTADOS
Implementar o princípio de design de segurança de procedimentos repetíveis e documentados em [Tarefa:

Discussão: O princípio dos procedimentos repetíveis e documentados afirma que as técnicas e métodos
empregados para construir um componente do sistema permitem que o mesmo componente seja reconstruído completa
e corretamente posteriormente. Procedimentos repetíveis e documentados apoiam o desenvolvimento de um componente
idêntico ao componente criado anteriormente, que pode ser amplamente utilizado. No caso de outros artefatos do sistema
(por exemplo, documentação e resultados de testes), a repetibilidade apoia a consistência e a capacidade de inspecionar
os artefatos. Procedimentos repetíveis e documentados podem ser introduzidos em vários estágios do ciclo de vida de
desenvolvimento do sistema e contribuem para a capacidade de avaliar reivindicações de garantia para o sistema. Os exemplos
incluem procedimentos sistemáticos para desenvolvimento e revisão de código, procedimentos para gerenciamento de
configuração de ferramentas de desenvolvimento e artefatos de sistema e procedimentos para entrega de sistema.
Controles Relacionados: CM-1, SA-1, SA-10, SA-11, SA-15, SA-17, SC-1, SI-1.
(30) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | RIGOR PROCESSUAL
Implementar o princípio do projeto de segurança de rigor processual em [Tarefa: sistemas ou componentes de

Discussão: O princípio do rigor processual afirma que o rigor de um processo do ciclo de vida do sistema é proporcional
à confiabilidade pretendida. O rigor processual define o escopo, a profundidade e os detalhes dos procedimentos do ciclo
de vida do sistema. Procedimentos rigorosos do ciclo de vida do sistema contribuem para garantir que o sistema
esteja correto e livre de funcionalidades não intencionais de diversas maneiras. Primeiro, os procedimentos impõem
verificações e equilíbrios no processo do ciclo de vida, de modo que a introdução de funcionalidades não especificadas
seja evitada.
Em segundo lugar, procedimentos rigorosos aplicados às atividades de engenharia de segurança de sistemas que produzem
especificações e outros documentos de projeto de sistemas contribuem para a capacidade de compreender

e
g
_________________________________________________________________________________________________
pe
E o sistema tal como foi construído, em vez de confiar que o componente, tal como implementado, é a especificação oficial (e
potencialmente enganosa).
Finalmente, modificações em um componente de sistema existente são mais fáceis quando existem especificações
detalhadas que descrevem seu design atual, em vez de estudar código-fonte ou esquemas para tentar entender como ele
funciona. O rigor processual ajuda a garantir que os requisitos funcionais e de garantia de segurança foram satisfeitos e
contribui para uma base mais informada para a determinação da confiabilidade e da postura de risco. O rigor processual é
proporcional ao grau de segurança desejado para o sistema. Se a fiabilidade exigida do sistema for baixa, um elevado nível de
rigor processual pode acrescentar custos desnecessários, ao passo que quando uma fiabilidade elevada é crítica, o custo
de um elevado rigor processual é merecido.
(31) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | MODIFICAÇÃO SEGURA DO SISTEMA
Implementar o princípio de design de segurança de modificação segura do sistema em [Atribuição: sistemas ou

Discussão: O princípio da modificação segura do sistema afirma que a modificação do sistema mantém a segurança do
sistema no que diz respeito aos requisitos de segurança e à tolerância ao risco das partes interessadas. Atualizações ou
modificações em sistemas podem transformar sistemas seguros em sistemas que não são seguros. Os procedimentos
para modificação do sistema garantem que, para que o sistema mantenha sua confiabilidade, o mesmo rigor que foi
aplicado ao seu desenvolvimento inicial seja aplicado a quaisquer alterações no sistema. Como as modificações
podem afetar a capacidade do sistema de manter seu estado seguro, é necessária uma análise cuidadosa de segurança da
modificação antes de sua implementação e implantação. Este princípio é paralelo ao princípio da capacidade de evolução
segura.
(32) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | DOCUMENTAÇÃO SUFICIENTE
Implementar o princípio de design de segurança de documentação suficiente em [Tarefa: sistemas ou

Discussão: O princípio da documentação suficiente afirma que o pessoal organizacional com responsabilidades de interagir
com o sistema recebe documentação adequada e outras informações, de modo que o pessoal contribua, em vez de prejudicar,
a segurança do sistema. Apesar das tentativas de cumprir princípios como segurança humana e segurança aceitável,
os sistemas são inerentemente complexos, e a intenção do design para o uso de mecanismos de segurança e as ramificações
do uso indevido ou da configuração incorreta de mecanismos de segurança nem sempre são intuitivamente óbvias. Usuários
desinformados e insuficientemente treinados
podem introduzir vulnerabilidades devido a erros de omissão e comissão. A disponibilidade de documentação e formação
pode ajudar a garantir um quadro de pessoal bem informado, todos com um papel fundamental na concretização de
princípios como a protecção contínua.
A documentação é escrita de forma clara e apoiada por treinamento que fornece conscientização sobre segurança e
compreensão das responsabilidades relevantes para a segurança.
Controles relacionados: AT-2, AT-3, SA-5.
(33) PRINCÍPIOS DE ENGENHARIA DE SEGURANÇA E PRIVACIDADE | MINIMIZAÇÃO
Implemente o princípio de minimização da privacidade usando [Atribuição: processos definidos pela organização].
Discussão: O princípio da minimização afirma que as organizações só devem processar informações de identificação
pessoal que sejam diretamente relevantes e necessárias para cumprir uma finalidade autorizada e só devem manter
informações de identificação pessoal durante o tempo necessário para cumprir a finalidade. As organizações possuem
processos em vigor, consistentes com as leis e políticas aplicáveis, para implementar o princípio da minimização.

e
g
_________________________________________________________________________________________________
pe
E Controles Relacionados: PE-8, PM-25, SC-42, SI-12.
Referências: [PRIVACT], [OMB A-130], [FIPS 199], [FIPS 200], [SP 800-37], [SP 800-53A], [SP 800-
60-1], [SP 800-60-2], [SP 800-160-1], [IR 8062].
SERVIÇOS DO SISTEMA EXTERNO SA-9
Ao controle:
a. Exigir que os provedores de serviços de sistemas externos cumpram as normas de segurança organizacional e
requisitos de privacidade e empregam os seguintes controles: [Atribuição: controles definidos pela organização];
b. Definir e documentar a supervisão organizacional e as funções e responsabilidades dos usuários em relação

para serviços de sistema externos; e
c. Empregue os seguintes processos, métodos e técnicas para monitorar continuamente a conformidade dos controles por
parte dos prestadores de serviços externos: [Atribuição: processos, métodos e técnicas definidos pela organização].
Discussão: Os serviços do sistema externo são fornecidos por um fornecedor externo e a organização não tem controlo
direto sobre a implementação dos controlos necessários ou a avaliação da eficácia do controlo. As organizações
estabelecem relacionamentos com prestadores de serviços externos de diversas maneiras, inclusive por meio de parcerias
comerciais, contratos, acordos interagências, acordos de linhas de negócios, acordos de licenciamento, joint ventures e
intercâmbios na cadeia de suprimentos. A responsabilidade pela gestão dos riscos decorrentes da utilização de
serviços de sistemas externos permanece com os responsáveis pela autorização. Para serviços externos às
organizações, uma cadeia de confiança exige que as organizações estabeleçam e mantenham um certo nível de confiança
de que cada fornecedor na relação consumidor-provedor fornece proteção adequada para os serviços prestados. A
extensão e a natureza desta cadeia de confiança variam com base nas relações entre as organizações e os fornecedores
externos. As organizações documentam a base para as relações de confiança para que as relações possam ser
monitoradas. A documentação de serviços de sistema externo inclui governo, provedores de serviços, funções e
responsabilidades de segurança do usuário final e acordos de nível de serviço.
Os acordos de nível de serviço definem as expectativas de desempenho para os controles implementados,

descrever resultados mensuráveis e identificar soluções e requisitos de resposta para casos identificados de não conformidade.
Controles relacionados: AC-20, CA-3, CP-2, IR-4, IR-7, PL-10, PL-11, PS-7, SA-2, SA- 4, SR -3, SR-5 .
(1) SERVIÇOS DE SISTEMA EXTERNO | AVALIAÇÕES DE RISCO E APROVAÇÕES ORGANIZACIONAIS
(a) Realizar uma avaliação organizacional de risco antes da aquisição ou terceirização de serviços de segurança
da informação; e
(b) Verificar se a aquisição ou terceirização de serviços dedicados de segurança da informação é

aprovado por [Atribuição: pessoal ou funções definidas pela organização].
Discussão: Os serviços de segurança da informação incluem a operação de dispositivos de segurança, como firewalls
ou serviços de gerenciamento de chaves, bem como monitoramento, análise e resposta a incidentes.
Os riscos avaliados podem incluir sistema, missão ou negócio, segurança, privacidade ou cadeia de fornecimento
riscos.
Controles Relacionados: CA-6, RA-3, RA-8.
(2) SERVIÇOS DE SISTEMA EXTERNO | IDENTIFICAÇÃO DE FUNÇÕES, PORTAS, PROTOCOLOS E SERVIÇOS
Exigir que os provedores dos seguintes serviços de sistema externo identifiquem as funções, portas, protocolos
e outros serviços necessários para o uso de tais serviços: [Atribuição: serviços de sistema externo

e
g
_________________________________________________________________________________________________
pe
E Discussão: As informações de prestadores de serviços externos sobre as funções, portas, protocolos e serviços
específicos utilizados na prestação de tais serviços podem ser úteis quando surge a necessidade de compreender as
compensações envolvidas na restrição de certas funções e serviços ou no bloqueio de certas portas e protocolos.
(3) SERVIÇOS DE SISTEMA EXTERNO | ESTABELECER E MANTER RELACIONAMENTO DE CONFIANÇA COM OS FORNECEDORES
Estabelecer, documentar e manter relações de confiança com provedores de serviços externos com base nos
seguintes requisitos, propriedades, fatores ou condições: [Atribuição: requisitos de segurança e privacidade
definidos pela organização, propriedades, fatores ou condições que definem relações de confiança aceitáveis].
Discussão: As relações de confiança entre organizações e prestadores de serviços externos reflectem o grau de confiança de
que o risco da utilização de serviços externos se encontra num nível aceitável.
As relações de confiança podem ajudar as organizações a obter maiores níveis de confiança de que os prestadores de
serviços estão a fornecer proteção adequada para os serviços prestados e também podem ser úteis ao conduzir a resposta a
incidentes ou ao planear atualizações ou obsolescência. As relações de confiança podem ser complicadas devido ao
número potencialmente grande de entidades que participam nas interações consumidor-fornecedor, às relações subordinadas
e aos níveis de confiança, e aos tipos de interações entre as partes. Em alguns casos, o grau de confiança baseia-se no
nível de controle que as organizações podem exercer sobre os prestadores de serviços externos em relação aos controles
necessários para a proteção do serviço, da informação ou da privacidade individual e nas evidências apresentadas
quanto à eficácia do serviço. controles implementados. O nível de controle é estabelecido pelos termos e condições dos
contratos ou acordos de nível de serviço.
Controles Relacionados: SR-2.
(4) SERVIÇOS DE SISTEMA EXTERNO | INTERESSES CONSISTENTES DE CONSUMIDORES E FORNECEDORES
Execute as seguintes ações para verificar se os interesses de [Atribuição: prestadores de serviços externos
definidos pela organização] são consistentes e refletem os interesses organizacionais: [Atribuição: ações definidas
Discussão: À medida que as organizações recorrem cada vez mais a prestadores de serviços externos, é possível que os
interesses dos prestadores de serviços possam divergir dos interesses organizacionais. Em tais situações, a simples
implementação dos controlos técnicos, de gestão ou operacionais necessários pode não ser suficiente se os fornecedores
que implementam e gerem esses controlos não estiverem a operar de uma forma consistente com os interesses das
organizações consumidoras.
As ações que as organizações tomam para abordar tais preocupações incluem a exigência de verificações de
antecedentes para o pessoal selecionado dos prestadores de serviços; examinar registros de propriedade; empregar
apenas prestadores de serviços confiáveis, tais como prestadores com os quais as organizações tenham tido relações
de confiança bem-sucedidas; e realização de visitas de rotina, periódicas e não programadas às instalações dos prestadores
de serviços.
(5) SERVIÇOS DE SISTEMA EXTERNO | LOCALIZAÇÃO DE PROCESSAMENTO, ARMAZENAMENTO E SERVIÇO
Restringir a localização de [Seleção (uma ou mais): processamento de informações; informações ou dados;

serviços do sistema] para [Atribuição: locais definidos pela organização] com base em [Atribuição:
requisitos ou condições definidos pela organização].
Discussão: A localização do processamento de informações, do armazenamento de informações e dados ou dos serviços do

sistema pode ter um impacto direto na capacidade das organizações de executar com sucesso a sua missão e funções de
negócio. O impacto ocorre quando fornecedores externos controlam a localização do processamento, armazenamento
ou serviços. Os critérios que os fornecedores externos utilizam para a seleção de locais de processamento, armazenamento
ou serviço podem ser diferentes dos critérios que as organizações utilizam. Por exemplo, as organizações podem desejar
que o armazenamento de dados ou informações

NIST Security and Privacy Controls For Information Systems and Organizations P1

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NIST Security and Privacy Controls For Information Systems and Organizations P1

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Publicação Especial NIST 800-53

Controles de segurança e privacidade para

FORÇA TAREFA CONJUNTA

Esta publicação está disponível gratuitamente

Publicação Especial NIST 800-53

Controles de segurança e privacidade para

FORÇA TAREFA CONJUNTA

Esta publicação está disponível gratuitamente em:

Departamento de Comércio dos EUA

Instituto Nacional de Padrões e Tecnologia

Publicação especial 800-53 do Instituto Nacional de Padrões e Tecnologia, Revisão 5

Esta publicação está disponível gratuitamente em:

Comentários sobre esta publicação podem ser enviados para:

Instituto Nacional de Padrões e Tecnologia

Garantia; disponibilidade; segurança informática; confidencialidade; ao controle; cíber segurança; FISMA;

Departamento de Defesa Gabinete do Diretor Nacional

John Sherman Michael E. Waschull

Mark Hakun Clifford M. Conner

Kevin Dulany Vago

Diretor, Política e Parcerias de Segurança Cibernética Diretor, Centro de Coordenação de Segurança

Instituto Nacional de Padrões e Comitê de Segurança Nacional

Kevin Stine Susan Dorr

Matheus Scholl Kevin Dulany

Kevin Stine Chris Johnson

Ron Ross Vicki Micheletti

Grupo de trabalho da força-tarefa conjunta

Pílula Vitória McKay Tolboe Dorian Pappas Kelly Dempsey

Ehije Olumese Lydia Humphries Daniel Faigin Naomi Lefkovitz

Esten Porter Julie Nethery Snyder Cristina Sames Christian Enloé

David Negro Rico Graybart Pedro Duspiva Kaitlin Boeckl

Eduardo Takamura Ned Goren André Regenscheid Jon Boyens

CONTRIBUIÇÕES HISTÓRICAS PARA A PUBLICAÇÃO ESPECIAL DO NIST 800-53

AVISO: O Laboratório de Tecnologia da Informação (ITL) solicitou que os detentores de reivindicações de

CAPÍTULO UM INTRODUÇÃO............................................. .................................................. ..... 1

1.1 OBJETIVO E APLICABILIDADE ............................................. .................................................. ... 2 1.2 PÚBLICO-

CAPÍTULO DOIS OS FUNDAMENTOS................................................... ............................................... 7

2.1 REQUISITOS E CONTROLES ............................................. ................................................ 7 2.2 ESTRUTURA E ORGANIZAÇÃO DE

CAPÍTULO TRÊS OS CONTROLES ............................................. .................................................. .16

3.1 CONTROLE DE ACESSO ............................................. .................................................. ................. 18 3.2 CONSCIENTIZAÇÃO E

MONITORAMENTO................... ............................................. 83 3.5 GERENCIAMENTO DE

INFORMAÇÃO ............ .................................................. ................ 332 3.20 GESTÃO DE RISCO DA CADEIA DE

REFERÊNCIAS ................................................. .................................................. ............................ 374

APÊNDICE A GLOSSÁRIO................................................... .................................................. ............. 394

APÊNDICE B ACRÔNIMOS................................................... .................................................. ........... 424

APÊNDICE C RESUMOS DE CONTROLE............................................. ........................................... 428

tornar os sistemas ciber-resilientes e capazes de sobreviver e proteger a privacidade dos indivíduos.

• Integração de controles de privacidade e segurança da informação em um controle contínuo e consolidado

• Estabelecer uma nova família de controlo de gestão de riscos na cadeia de abastecimento;

• Esclarecer a relação entre requisitos e controles e a relação entre

“…Para o desenvolvimento de planos operacionais, a combinação de ameaças, vulnerabilidades e impactos

A ESTRATÉGIA NACIONAL PARA OPERAÇÕES CIBERSPACE

ESCRITÓRIO DO PRESIDENTE, CHEFES DE EQUIPE CONJUNTOS , DEPARTAMENTO DE DEFESA DOS EUA

A ESTRATÉGIA NACIONAL DE PESQUISA DE PRIVACIDADE

DATA TIPO REVISÃO PÁGINA

Agradecimentos (ODNI): Adicione “Matthew A. Kozma, Diretor de

Agradecimentos (ODNI): Adicionar “Michael E. Waschull, Diretor Adjunto de

Agradecimentos (ODNI): Adicione “Clifford M. Conner, Cybersecurity

Aprimoramento do Controle AC-3(9) Discussão: Alterar “controle de

Aprimoramento de controle AC-4(17): Altere “organização, sistema, aplicação,

Controle AC-14 Discussão: Altere “atribuição” para “operação de atribuição”

Controle AC-19 Discussão: Mude “a rede organizacional” para “sua rede”