Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

NIST CSF 2.0 — Perfil 3 — Avançado

106 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.

GV GOVERN (Governar)

GV.OC-01 A missão da organização é compreendida e orienta as decisões de risco de segurança.
GV.OC-02 As partes interessadas (internas e externas) e suas expectativas de segurança são compreendidas.
GV.OC-03 Requisitos legais, regulatórios e contratuais de segurança e privacidade são compreendidos e geridos.
GV.OC-04 Objetivos e serviços críticos esperados por terceiros são compreendidos e comunicados.
GV.OC-05 As dependências externas das quais a organização depende são compreendidas e comunicadas.
GV.OV-01 Os resultados da estratégia de risco são revisados para informar ajustes.
GV.OV-02 A estratégia de gestão de risco é revisada e ajustada conforme necessário.
GV.OV-03 O desempenho da gestão de risco é avaliado e revisado por métricas.
GV.PO-01 Existe política de gestão de risco de segurança baseada no contexto da organização.
GV.PO-02 A política de segurança é revisada, atualizada e comunicada periodicamente.
GV.RM-01 Objetivos de gestão de risco de segurança são definidos e acordados com as partes interessadas.
GV.RM-02 Declarações de apetite e tolerância a risco são estabelecidas, comunicadas e mantidas.
GV.RM-03 A gestão de risco cibernético faz parte da gestão de riscos corporativa (ERM).
GV.RM-04 Há direção estratégica com opções de resposta a risco, estabelecida e comunicada.
GV.RM-05 Existem linhas de comunicação sobre risco cibernético em toda a organização.
GV.RM-06 Existe um método padronizado para calcular, documentar, categorizar e priorizar riscos.
GV.RM-07 Oportunidades estratégicas (riscos positivos) são caracterizadas e consideradas.
GV.RR-01 A liderança é responsável e presta contas pelo risco cibernético e promove cultura de segurança.
GV.RR-02 Papéis, responsabilidades e autoridades de segurança são definidos, comunicados e cobrados.
GV.RR-03 Recursos adequados são alocados de acordo com a estratégia de risco.
GV.RR-04 Segurança é incluída nas práticas de RH (admissão, mudança e desligamento).
GV.SC-01 Existe um programa e estratégia de gestão de risco da cadeia de suprimentos, com acordo das partes.
GV.SC-02 Papéis de segurança para fornecedores, clientes e parceiros são definidos e comunicados.
GV.SC-03 A gestão de risco da cadeia de suprimentos é integrada à segurança e ao ERM.
GV.SC-04 Fornecedores são conhecidos e priorizados por criticidade.
GV.SC-05 Requisitos de segurança para a cadeia de suprimentos constam de contratos e acordos.
GV.SC-06 Due diligence e planejamento reduzem riscos antes de formalizar relações com terceiros.
GV.SC-07 Os riscos de fornecedores e terceiros são compreendidos, priorizados e monitorados ao longo da relação.
GV.SC-08 Fornecedores e terceiros relevantes participam do planejamento e da resposta a incidentes.
GV.SC-09 Práticas de segurança da cadeia de suprimentos são integradas ao ciclo de vida das soluções.
GV.SC-10 Os planos de risco da cadeia incluem ações para o encerramento da relação (fim de contratos).

ID IDENTIFY (Identificar)

ID.AM-01 Inventário do hardware gerenciado pela organização é mantido.
ID.AM-02 Inventário de software, serviços e sistemas é mantido.
ID.AM-03 A comunicação de rede autorizada e os fluxos de dados internos e externos são mapeados.
ID.AM-04 Inventário dos serviços prestados por fornecedores é mantido.
ID.AM-05 Ativos são priorizados por classificação, criticidade e impacto no negócio.
ID.AM-07 Inventário de dados e metadados dos tipos de dados designados é mantido.
ID.AM-08 Ativos (sistemas, dados, software) são geridos por todo o seu ciclo de vida.
ID.IM-01 Melhorias são identificadas a partir de avaliações.
ID.IM-02 Melhorias são identificadas a partir de testes e exercícios de segurança.
ID.IM-03 Melhorias são identificadas na execução dos processos operacionais.
ID.IM-04 Planos de resposta a incidentes e de continuidade são estabelecidos, testados e mantidos.
ID.RA-01 Vulnerabilidades nos ativos são identificadas, validadas e registradas.
ID.RA-02 Inteligência de ameaças é recebida de fóruns e fontes de compartilhamento.
ID.RA-03 Ameaças internas e externas à organização são identificadas e registradas.
ID.RA-04 Impactos e probabilidades de ameaças explorarem vulnerabilidades são identificados.
ID.RA-05 Ameaças, vulnerabilidades, probabilidades e impactos são usados para entender o risco e priorizar.
ID.RA-06 Respostas a risco são escolhidas, priorizadas, planejadas, acompanhadas e comunicadas.
ID.RA-07 Mudanças e exceções são geridas, avaliadas quanto a risco e registradas.
ID.RA-08 Há processo para receber, analisar e responder a divulgações de vulnerabilidades.
ID.RA-09 Autenticidade e integridade de hardware e software são avaliadas antes da aquisição e uso.
ID.RA-10 Fornecedores críticos são avaliados antes da contratação.

PR PROTECT (Proteger)

PR.AA-01 Identidades e credenciais de usuários, serviços e dispositivos são geridas.
PR.AA-02 Identidades são comprovadas e vinculadas a credenciais conforme o risco.
PR.AA-03 Usuários, serviços e dispositivos são autenticados.
PR.AA-04 Asserções de identidade (ex.: tokens, SSO) são protegidas e verificadas.
PR.AA-05 Permissões e acessos seguem política, menor privilégio e segregação de funções.
PR.AA-06 O acesso físico aos ativos é gerido, monitorado e controlado.
PR.AT-01 Todo o pessoal recebe conscientização e treinamento de segurança.
PR.AT-02 Pessoas em papéis especializados recebem treinamento específico.
PR.DS-01 Dados em repouso são protegidos em confidencialidade, integridade e disponibilidade (ex.: criptografia).
PR.DS-02 Dados em trânsito são protegidos (ex.: TLS).
PR.DS-10 Dados em uso são protegidos.
PR.DS-11 Backups dos dados são criados, protegidos, mantidos e testados.
PR.IR-01 Redes e ambientes são protegidos contra acesso lógico não autorizado (segmentação, firewall).
PR.IR-02 Ativos de tecnologia são protegidos contra ameaças ambientais (energia, clima).
PR.IR-03 Mecanismos de resiliência são implementados para operação normal e adversa.
PR.IR-04 Capacidade de recursos adequada para garantir disponibilidade é mantida.
PR.PS-01 Práticas de gestão de configuração (baseline segura) são estabelecidas e aplicadas.
PR.PS-02 Software é mantido e atualizado (patches) conforme o risco.
PR.PS-03 Hardware é mantido e substituído conforme o risco.
PR.PS-04 Registros de log são gerados e disponibilizados para monitoramento contínuo.
PR.PS-05 A instalação e execução de software não autorizado são impedidas.
PR.PS-06 Práticas de desenvolvimento seguro (Secure SDLC) são integradas e monitoradas.

DE DETECT (Detectar)

DE.AE-02 Eventos potencialmente adversos são analisados para entender a atividade associada.
DE.AE-03 Informações são correlacionadas a partir de múltiplas fontes.
DE.AE-04 O impacto e o escopo estimados dos eventos adversos são compreendidos.
DE.AE-06 Informação sobre eventos adversos é fornecida a pessoas e ferramentas autorizadas.
DE.AE-07 Inteligência de ameaças e informações de contexto são integradas à análise.
DE.AE-08 Incidentes são declarados quando os eventos atendem aos critérios definidos.
DE.CM-01 Redes e serviços de rede são monitorados para encontrar eventos adversos.
DE.CM-02 O ambiente físico é monitorado para encontrar eventos adversos.
DE.CM-03 Atividade de pessoal e uso de tecnologia são monitorados para detectar eventos adversos.
DE.CM-06 Atividades e serviços de provedores externos são monitorados.
DE.CM-09 Hardware, software, ambientes de execução e seus dados são monitorados.

RS RESPOND (Responder)

RS.AN-03 Análise é feita para estabelecer o que ocorreu durante o incidente.
RS.AN-06 As ações da investigação são registradas e a integridade dos registros é preservada.
RS.AN-07 Dados e metadados do incidente são coletados com integridade e proveniência preservadas.
RS.AN-08 A magnitude do incidente é estimada e validada.
RS.CO-02 Partes interessadas internas e externas são notificadas dos incidentes.
RS.CO-03 Informação é compartilhada com as partes interessadas designadas.
RS.MA-01 O plano de resposta a incidentes é executado, em coordenação com terceiros quando aplicável.
RS.MA-02 Relatos de incidentes são triados e validados.
RS.MA-03 Incidentes são categorizados e priorizados.
RS.MA-04 Incidentes são escalados ou elevados conforme necessário.
RS.MA-05 Os critérios para iniciar a recuperação de incidentes são aplicados.
RS.MI-01 Incidentes são contidos.
RS.MI-02 Incidentes são erradicados.

RC RECOVER (Recuperar)

RC.CO-03 As atividades de recuperação são comunicadas às partes interessadas internas e externas.
RC.CO-04 Atualizações públicas sobre a recuperação são compartilhadas por métodos aprovados.
RC.RP-01 A parte de recuperação do plano de resposta a incidentes é executada.
RC.RP-02 Ações de recuperação são selecionadas, priorizadas e executadas.
RC.RP-03 A integridade dos backups é verificada antes da restauração.
RC.RP-04 Funções críticas do negócio são consideradas na priorização da recuperação.
RC.RP-05 A integridade dos ativos restaurados é verificada e a normalidade é confirmada.
RC.RP-06 O fim da recuperação é declarado por critérios e a documentação é concluída.
Trocar de perfil