Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Anais - Engenharia de Redes de Comunicação - UnB
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Tabela 2 – Controles Selecionados para a Gestão <strong>de</strong> I<strong>de</strong>ntida<strong>de</strong> e <strong>de</strong> Acesso<br />
Controles C O T N 2<br />
Controles C O T N 2<br />
Gestão <strong>de</strong> I<strong>de</strong>ntida<strong>de</strong><br />
Políticas e Procedimentos<br />
(A) Se todos os usuários possuem um único<br />
i<strong>de</strong>ntificador universal e formalmente <strong>de</strong>finido.<br />
(A) Se o custo beneficio para a representação da<br />
i<strong>de</strong>ntida<strong>de</strong> digital foi <strong>de</strong>finido<br />
(A) Se os direitos e obrigações do uso da<br />
i<strong>de</strong>ntida<strong>de</strong> estão <strong>de</strong>finidos no contrato <strong>de</strong><br />
trabalho<br />
(A) Se o processo <strong>de</strong> solicitação, emissão,<br />
revogação, modificação <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong> está<br />
<strong>de</strong>finido<br />
(O) Se existe política <strong>de</strong> confi<strong>de</strong>ncialida<strong>de</strong> na<br />
entrega <strong>de</strong> cre<strong>de</strong>nciais<br />
(A) Se existem políticas <strong>de</strong> privacida<strong>de</strong> para o<br />
uso da i<strong>de</strong>ntida<strong>de</strong><br />
(A) Se são <strong>de</strong>finidos políticas e procedimentos<br />
prévios <strong>de</strong> cre<strong>de</strong>nciamento<br />
x x x<br />
x<br />
x x x x<br />
x x x x x<br />
x<br />
x<br />
x<br />
(O) Se os direitos <strong>de</strong> acesso são<br />
concedidos baseados nos princípios<br />
necessida<strong>de</strong> <strong>de</strong> conhecer, mínimo<br />
privilégio e interesse do serviço<br />
(O) Se os direitos <strong>de</strong> acesso são<br />
revisados periodicamente<br />
(O) Se existem relatórios <strong>de</strong> métricas<br />
<strong>de</strong> acesso<br />
Gestão <strong>de</strong> Políticas<br />
Política e Procedimentos<br />
(A) Se os direitos e obrigações do uso<br />
dos direitos <strong>de</strong> acesso estão <strong>de</strong>finidos<br />
no contrato <strong>de</strong> trabalho<br />
(A) Se a política <strong>de</strong> controle <strong>de</strong> acesso<br />
é <strong>de</strong>finida formalmente pela<br />
organização<br />
(A) Se a segregação <strong>de</strong> funções é<br />
<strong>de</strong>finida na política <strong>de</strong> controle <strong>de</strong><br />
acesso<br />
x x x x x<br />
x<br />
x<br />
x<br />
x x<br />
x x x<br />
x<br />
(A) Se o cre<strong>de</strong>nciamento ocorre apenas <strong>de</strong>pois<br />
da contratação<br />
(A) Se existe política para a criação <strong>de</strong><br />
cre<strong>de</strong>nciais seguras<br />
(A) Se o processo <strong>de</strong> solicitação, emissão,<br />
revogação e modificação <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong> está<br />
<strong>de</strong>finido para os ambientes <strong>de</strong> <strong>de</strong>senvolvimento<br />
(A) Se o cre<strong>de</strong>nciamento dos usuários está <strong>de</strong><br />
acordo com as normas e legislações vigentes<br />
para o acesso a sistemas críticos<br />
(A) Se são <strong>de</strong>finidas políticas para a concessão<br />
<strong>de</strong> cre<strong>de</strong>nciais <strong>de</strong> administração<br />
Execução e Verificação<br />
(T) Se as i<strong>de</strong>ntida<strong>de</strong>s digitais estão armazenadas<br />
em um repositório central<br />
(O) Se as i<strong>de</strong>ntida<strong>de</strong>s digitais são revisadas<br />
periodicamente<br />
(A) Se existem relatórios <strong>de</strong> métricas das<br />
i<strong>de</strong>ntida<strong>de</strong>s<br />
(T) Se o primeiro acesso com uma cre<strong>de</strong>ncial é<br />
controlado<br />
(O) Se as cre<strong>de</strong>nciais são modificadas<br />
periodicamente<br />
(T) Se os históricos das cre<strong>de</strong>nciais são<br />
armazenados<br />
(T) Se as i<strong>de</strong>ntida<strong>de</strong>s são bloqueadas por<br />
inativida<strong>de</strong><br />
(T) Se o cre<strong>de</strong>nciamento é feito por um<br />
processo automatizado<br />
(O) Se as cre<strong>de</strong>nciais são removidas após o<br />
<strong>de</strong>sligamento do usuário<br />
(T) Se a autenticação utiliza múltiplos fatores<br />
Gestão <strong>de</strong> Acesso<br />
Gestão <strong>de</strong> Recursos<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
x<br />
(A) Se existe uma política que<br />
<strong>de</strong>screva o procedimento <strong>de</strong><br />
autenticação<br />
(A) Se são <strong>de</strong>finidos nos contratos<br />
políticas que apliquem sanções a<br />
acessos não autorizados por parte das<br />
terceirizadas<br />
(A) Se a implementação do controle <strong>de</strong><br />
acesso é aprovada previamente pela<br />
direção da organização<br />
(A) Se a política <strong>de</strong> controle <strong>de</strong> acesso<br />
está em conformida<strong>de</strong> com a política<br />
<strong>de</strong> segurança da informação e<br />
comunicações<br />
(A) Se existem programas <strong>de</strong><br />
conscientização e sensibilização sobre<br />
controle <strong>de</strong> acesso<br />
Execução e Verificação<br />
(T) Se o registro <strong>de</strong> último acesso é<br />
preservado e mostrado ao usuário<br />
(T) Se a sessão <strong>de</strong> acesso é expirada<br />
após tempo <strong>de</strong> inativida<strong>de</strong><br />
(T) Se a sessão <strong>de</strong> acesso proíbe acesso<br />
concorrente<br />
(T) Se a concessão <strong>de</strong> acesso baseia-se<br />
em horários<br />
(T) Se as conexões são encerradas apos<br />
o fim da sessão <strong>de</strong> acesso<br />
(T) Se informações relevantes não são<br />
informadas no procedimento <strong>de</strong><br />
autenticação<br />
Gestão <strong>de</strong> Privilégios<br />
Política e Procedimentos<br />
(A) Se o processo <strong>de</strong> solicitação,<br />
concessão, modificação e revogação <strong>de</strong><br />
direitos <strong>de</strong> acesso está <strong>de</strong>finido<br />
x x<br />
x<br />
x x<br />
x x<br />
x<br />
x<br />
x x<br />
x<br />
x x<br />
x<br />
x<br />
x x x x<br />
Política e Procedimentos<br />
(A) Se a política <strong>de</strong> classificação da informação<br />
está <strong>de</strong>finida<br />
x<br />
x<br />
(A) Se existe um mo<strong>de</strong>lo para<br />
solicitação <strong>de</strong> acesso<br />
(A) Se a concessão <strong>de</strong> acesso é baseada<br />
na segregação <strong>de</strong> funções<br />
x<br />
x<br />
384