Cyber Security Framework

Het National Institute of Standards and Technology (NIST)

O Quadro de Segurança Cibernética
A abordagem da Ciber-segurança consiste em cinco componentes.

- Identificar
- Proteger
- Detectar
- Responder
- Restaurar

À procura das jóias da coroa da organização!

Que sistemas? Que dados? Que outros activos?
Importante considerar a disponibilidade/integridade/confidencialidade.
Durante o processo de identificação e inventário, é importante identificar quais os riscos que têm o quê
impacto e quais poderão ser os seus custos.

Identificar

Gestão de activos
Os dados, pessoal, dispositivos, sistemas e instalações que permitem à organização alcançar os seus objectivos empresariais são identificados e geridos de acordo com a sua importância relativa para os objectivos empresariais da organização e a sua estratégia de risco.

Os dispositivos e sistemas físicos dentro da organização são inventariados
As plataformas e aplicações de software dentro da organização são inventariadas
A comunicação e os fluxos de dados dentro da organização são mapeados
Os sistemas de informação externos estão catalogados
Os recursos (por exemplo, hardware, dispositivos, dados e software) são prioritizados de acordo com a sua classificação e valor comercial
São definidas funções e responsabilidades de segurança informática para todo o pessoal e intervenientes externos (por exemplo, fornecedores, clientes, parceiros).

Ambiente de negócios
A missão, objectivos, partes interessadas e actividades da organização são compreendidos e priorizados; esta informação é utilizada para tomar decisões sobre funções de ciber-segurança, responsabilidades e gestão de riscos.

O papel da organização na cadeia de abastecimento é identificado e comunicado
O lugar da organização na infra-estrutura crítica e no sector empresarial é identificado e comunicado
As prioridades para a missão, objectivos e actividades da organização são identificadas e comunicadas
São identificadas as dependências e funções críticas para a prestação de serviços críticos
São identificados os requisitos de resiliência para apoiar a prestação de serviços críticos

Governação
As políticas, procedimentos e processos de gestão e monitorização dos requisitos regulamentares, legais, de risco, ambientais e operacionais da organização são compreendidos e constituem a base para a gestão do risco de segurança cibernética.

A política de segurança da informação da organização está em vigor.
As funções e responsabilidades em matéria de segurança da informação são coordenadas e alinhadas com as funções internas e os parceiros externos.
Os requisitos legais e regulamentares de segurança cibernética, incluindo as obrigações em matéria de privacidade e liberdades civis, são compreendidos e tratados.
A governação e os processos de gestão de riscos abordam os riscos da ciber-segurança

Avaliação de risco
A organização compreende o risco de segurança cibernética para actividades organizacionais (incluindo missão, funções, imagem ou reputação), bens organizacionais e indivíduos.

Vulnerabilidades dos bens são identificadas e documentadas
A informação sobre ameaças e vulnerabilidades é recebida de fóruns e recursos de partilha de informação
As ameaças, tanto internas como externas, são identificadas e documentadas
São identificados o potencial impacto comercial e a probabilidade
Ameaças, vulnerabilidades, probabilidades e impacto são utilizados para determinar o risco
As medidas de risco são identificadas e priorizadas

Estratégia de gestão de risco
As prioridades, restrições, tolerâncias de risco e pressupostos da organização são identificados e utilizados para apoiar decisões de risco operacional.

Os processos de gestão de risco são estabelecidos, geridos e aprovados pelas partes interessadas na organização.
A tolerância ao risco da organização é definida e claramente expressa
A organização determina a tolerância ao risco com base no seu papel na análise de infra-estruturas críticas e riscos específicos do sector

Proteger

Controlo de acesso
O acesso a bens e instalações associadas está limitado a utilizadores autorizados, processos ou dispositivos, e a actividades e transacções autorizadas.

As identidades e credenciais são geridas para dispositivos e utilizadores autorizados
O acesso físico aos bens é gerido e protegido
O acesso remoto é gerido
Os direitos de acesso são geridos, respeitando os princípios do privilégio mínimo e da segregação dos deveres
A integridade da rede é protegida, incluindo a segregação da rede quando apropriado

Awareness
O pessoal e os parceiros da organização recebem formação em segurança cibernética e recebem formação adequada para desempenhar as suas funções e responsabilidades em matéria de segurança da informação, em conformidade com as políticas, procedimentos e acordos relevantes.

Todos os utilizadores são informados e formados
Os utilizadores autorizados compreendem os papéis e as responsabilidades
As partes interessadas externas (por exemplo, fornecedores, clientes, parceiros) compreendem os papéis e as responsabilidades
Os gestores de topo compreendem as funções e responsabilidades
O pessoal de segurança física e da informação compreende as funções e responsabilidades

Segurança de dados
A informação e os registos (dados) são geridos de acordo com a estratégia de risco da organização para proteger a confidencialidade, integridade e disponibilidade da informação.

Os dados em repouso são protegidos
Os dados em trânsito são protegidos
Os bens são formalmente geridos durante a alienação, transferência e disposição
É mantida uma capacidade suficiente para assegurar a disponibilidade
São implementadas medidas de protecção contra a fuga de dados
Os mecanismos de controlo da integridade são utilizados para verificar a integridade do software, firmware e informação
O(s) ambiente(s) de desenvolvimento e teste são separados do(s) ambiente(s) de produção

Processo e procedimentos de segurança da informação
Processos e procedimentos de segurança da informação (PR.IP): As políticas de segurança (abrangendo o objectivo, âmbito, funções, responsabilidades, compromisso de gestão e coordenação entre entidades organizacionais), processos e procedimentos são mantidos e utilizados para gerir a protecção dos sistemas e bens de informação.

É estabelecida e mantida uma configuração básica de tecnologia de informação/sistemas de controlo industrial.
É implementado um ciclo de desenvolvimento de sistemas para a gestão de sistemas.
Existem processos de controlo para alterações de configuração.
São estabelecidas, mantidas e periodicamente testadas as cópias de segurança da informação.
São cumpridas as políticas e regulamentos relativos ao ambiente operacional físico da organização para os activos.
Os dados são destruídos de acordo com a política
Os processos de segurança são continuamente melhorados
A eficácia das tecnologias de protecção é partilhada com planos de resposta das partes apropriadas (Resposta a Incidentes e Continuidade do Negócio) e planos de recuperação (Recuperação de Incidentes e Recuperação de Catástrofes) estão em vigor e são geridos
Os planos de resposta e recuperação são testados
A cibersegurança está incluída nas políticas de pessoal (por exemplo, rastreio de pessoal)
É desenvolvido e implementado um plano de gestão de vulnerabilidades

Manutenção
A manutenção e reparação dos componentes do sistema de controlo industrial e de informação são efectuadas de acordo com as políticas e procedimentos.

A manutenção e reparação de bens organizacionais são realizadas e registadas atempadamente, utilizando ferramentas aprovadas e controladas.
A manutenção remota dos bens da organização é aprovada, registada e executada de forma a impedir o acesso não autorizado.

Tecnologia de protecção
As soluções técnicas de segurança são geridas para garantir a segurança e a resiliência dos sistemas e bens, em conformidade com as políticas, procedimentos e acordos relacionados.

Os registos de auditoria/log são determinados, documentados, implementados e revistos de acordo com a política
Os suportes amovíveis são protegidos e a sua utilização restringida de acordo com a política
O acesso aos sistemas e bens é controlado, respeitando o princípio da menor funcionalidade
As redes de comunicação e controlo são protegidas

Detectar

Anomalias e eventos
As anomalias são detectadas em tempo útil e o impacto potencial dos eventos é compreendido.

É estabelecida e gerida uma linha de base de operações de rede e fluxos de dados esperados para os utilizadores e sistemas
Os eventos observados são analisados para compreender os alvos e métodos de ataque
Os dados de eventos são agregados e correlacionados a partir de múltiplas fontes e sensores
O impacto dos eventos é determinado e são estabelecidos limiares para os alertas de incidentes

Controlo contínuo da segurança
O sistema de informação e os bens são monitorizados a intervalos discretos para identificar eventos de segurança cibernética e verificar a eficácia das medidas de protecção.

A rede é monitorizada para detectar potenciais eventos de cibersegurança
O ambiente físico é monitorizado para detectar potenciais eventos de segurança cibernética
As actividades do pessoal são monitorizadas para detectar potenciais eventos de segurança cibernética
O código malicioso é detectado
O código móvel não autorizado é detectado
A actividade dos prestadores de serviços externos é monitorizada para detectar potenciais eventos de segurança cibernética
São efectuados controlos para pessoal não autorizado, ligações não autorizadas, dispositivos não autorizados e software não autorizado
São realizadas varreduras para detectar vulnerabilidades


Processos de detecção
Os processos e procedimentos de detecção são mantidos e testados para assegurar uma consciência atempada e adequada dos eventos anómalos.

Responder

Planeamento da resposta
Os processos e procedimentos de resposta são implementados e mantidos, para assegurar uma resposta atempada a eventos de segurança cibernética detectados.

O plano de resposta é implementado durante ou após um evento

Comunicações
As actividades de resposta são coordenadas com as partes interessadas internas e externas, conforme apropriado, incluindo o apoio externo das agências de aplicação da lei.

O pessoal conhece o seu papel e a sequência de operações quando é necessária uma resposta
Os eventos são comunicados de acordo com os critérios estabelecidos
A informação é partilhada de acordo com os planos de resposta
A coordenação com as partes interessadas é feita de acordo com os planos de resposta
Partilha voluntária de informação com intervenientes externos para alcançar uma maior consciência situacional da ciber-segurança

Análise
São realizadas análises para assegurar uma resposta adequada e apoiar as actividades de recuperação.

Relatórios de sistemas de detecção são investigados
O impacto do incidente é compreendido
As investigações forenses são levadas a cabo
Os incidentes são categorizados de acordo com os planos de resposta

Mitigação
São realizadas actividades para prevenir a propagação de um evento, mitigar as suas consequências e erradicar o incidente.

Os incidentes estão contidos
Os incidentes são mitigados
Vulnerabilidades recentemente identificadas são mitigadas ou documentadas como risco aceite

Melhoramentos
As actividades de resposta organizacional são melhoradas retirando lições de actividades de detecção/resposta actuais e anteriores.

Os planos de resposta incluem lições aprendidas
As estratégias de resposta foram actualizadas

Restaurar

Planeamento da recuperação
Os processos e procedimentos de recuperação são implementados e mantidos para assegurar a recuperação atempada dos sistemas ou bens afectados por eventos de segurança cibernética.

O plano de recuperação será implementado durante ou após um evento

Melhoramentos
O planeamento e os processos de recuperação serão melhorados através da incorporação das lições aprendidas em actividades futuras.

Os planos de recuperação incorporam as lições aprendidas.
As estratégias de recuperação são actualizadas

Comunicações
As actividades de recuperação são coordenadas com partes internas e externas, tais como centros de coordenação, fornecedores de serviços Internet, proprietários de sistemas de ataque, vítimas, outros CSIRTs e vendedores.

As relações públicas são geridas
A reputação pós-evento é restaurada
As actividades de recuperação são comunicadas às partes interessadas internas e às equipas executivas e de gestão

System.InvalidCastException: Unable to cast object of type 'System.Xml.XmlDocument' to type 'System.Xml.XmlElement'.
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.DetermineRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.PublishedCache.XmlPublishedCache.PublishedContentCache.GetRouteById(UmbracoContext umbracoContext, Boolean preview, Int32 contentId)
   at Umbraco.Web.Routing.DefaultUrlProvider.GetUrl(UmbracoContext umbracoContext, Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Routing.UrlProvider.<>c__DisplayClass16_0.<GetUrl>b__0(IUrlProvider provider)
   at System.Linq.Enumerable.WhereSelectArrayIterator`2.MoveNext()
   at System.Linq.Enumerable.FirstOrDefault[TSource](IEnumerable`1 source, Func`2 predicate)
   at Umbraco.Web.Routing.UrlProvider.GetUrl(Int32 id, Uri current, UrlProviderMode mode)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text, UrlProvider urlProvider)
   at Umbraco.Web.Templates.TemplateUtilities.ParseInternalLinks(String text)
   at ASP._Page_Views_Partials_grid_editors_rte_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Rte.cshtml:line 5
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy()
   at System.Web.Mvc.WebViewPage.ExecutePageHierarchy()
   at System.Web.WebPages.WebPageBase.ExecutePageHierarchy(WebPageContext pageContext, TextWriter writer, WebPageRenderingBase startPage)
   at System.Web.Mvc.RazorView.RenderView(ViewContext viewContext, TextWriter writer, Object instance)
   at System.Web.Mvc.BuildManagerCompiledView.Render(ViewContext viewContext, TextWriter writer)
   at Umbraco.Core.Profiling.ProfilingView.Render(ViewContext viewContext, TextWriter writer)
   at System.Web.Mvc.HtmlHelper.RenderPartialInternal(String partialViewName, ViewDataDictionary viewData, Object model, TextWriter writer, ViewEngineCollection viewEngineCollection)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model, ViewDataDictionary viewData)
   at System.Web.Mvc.Html.PartialExtensions.Partial(HtmlHelper htmlHelper, String partialViewName, Object model)
   at ASP._Page_Views_Partials_grid_editors_base_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\Partials\Grid\Editors\Base.cshtml:line 20