ISF
ISF
Compliance standard for information security.
Total Requirements
24
defined requirements
Mapped Controls
25
control mappings
Overall Compliance
68.0%
17/25 controls compliant
Related Risks
13
9 critical · 3 high
Compliance by Framework
Qriar IAM Security Framework
25 mapped controls
Assessment: Assessment 2026 v0.10
17 Compliant
8 Partial
0 Non-Compliant
Compliance Trend
Requirements Coverage
IM.2.1
Registro de Usuários
1 controls
Processo formal e autorizado para registro de novos usuários, incluindo aprovação do proprietário do sistema e verificação de identidade.
| ID | Description | Reference |
|---|---|---|
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | IM.2.1 |
IM.2.2
Alterações de Acesso
1 controls
Ajuste de direitos de acesso quando o papel, cargo ou responsabilidades do usuário mudam dentro da organização.
| ID | Description | Reference |
|---|---|---|
| JML-002 | Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... | IM.2.2 |
IM.2.3
Desregistro de Usuários
1 controls
Revogação imediata de todos os direitos de acesso quando um usuário deixa a organização ou muda de função.
| ID | Description | Reference |
|---|---|---|
| JML-003 | Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... | IM.2.3 |
IM.2.4
Acesso Temporário
1 controls
Gestão de acessos temporários e externos, incluindo prazos de validade e renovação obrigatória.
| ID | Description | Reference |
|---|---|---|
| JML-006 | Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... | IM.2.4 |
IM.3.1
Revisão de Acessos
1 controls
Validação periódica da necessidade de negócios para os acessos existentes, com certificação pelo gestor.
| ID | Description | Reference |
|---|---|---|
| JML-004 | Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... | IM.3.1 |
IM.3.2
Revisão de Contas
1 controls
Revisão periódica de contas inativas, órfãs e sem uso para identificar e remover acessos desnecessários.
| ID | Description | Reference |
|---|---|---|
| JML-005 | Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... | IM.3.2 |
PA.1.1
Alocação de Privilégios
1 controls
Alocação restrita de IDs privilegiados, separadas das IDs de usuário padrão para atividades administrativas.
| ID | Description | Reference |
|---|---|---|
| PAM-002 | Separar contas: adm-user (sem email/web) para gestão e user para uso diário. | PA.1.1 |
PA.1.2
Menor Privilégio
1 controls
Restrição de privilégios apenas ao necessário e pelo tempo necessário para execução da tarefa.
| ID | Description | Reference |
|---|---|---|
| PAM-001 | Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... | PA.1.2 |
PA.1.4
Acesso de Emergência
1 controls
Procedimentos aprovados para uso de acesso privilegiado em situações de emergência, com monitoramento intensivo.
| ID | Description | Reference |
|---|---|---|
| PAM-005 | 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... | PA.1.4 |
PA.2.1
Gestão de Privilégios
1 controls
Controle técnico rigoroso sobre contas de administração local e endpoints privilegiados.
| ID | Description | Reference |
|---|---|---|
| PAM-003 | Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. | PA.2.1 |
PA.2.2
Autenticação Forte
1 controls
Exigência de autenticação forte (multifator resistente a phishing) para acesso a funções de administração.
| ID | Description | Reference |
|---|---|---|
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... | PA.2.2 |
PA.2.3
Administração Segura
1 controls
Uso de estações e caminhos seguros para administração, impedindo contaminação entre camadas.
| ID | Description | Reference |
|---|---|---|
| PAM-004 | Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... | PA.2.3 |
PA.2.4
Estações Seguras
1 controls
Endpoints dedicados e protegidos para tarefas de administração de sistemas críticos.
| ID | Description | Reference |
|---|---|---|
| PAM-006 | Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... | PA.2.4 |
UM.2.1
Gestão de Senhas
2 controls
Proteção contra ataques de força bruta, bloqueio inteligente e políticas de senhas fortes.
| ID | Description | Reference |
|---|---|---|
| AUTH-003 | Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... | UM.2.1 |
| AUTH-004 | Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... | UM.2.1 |
UM.2.2
Autenticação de Usuários
1 controls
Validação rigorosa da identidade do usuário antes de conceder acesso, incluindo MFA.
| ID | Description | Reference |
|---|---|---|
| AUTH-002 | Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. | UM.2.2 |
UM.2.3
Gestão de Sessões
1 controls
Controle de sessões, revalidação de identidade para ações críticas e timeout de inatividade.
| ID | Description | Reference |
|---|---|---|
| AUTH-006 | Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... | UM.2.3 |
SM.1.1
Coleta de Logs
1 controls
Coleta abrangente de eventos de segurança para auditoria, incluindo logs de autenticação e autorização.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | SM.1.1 |
SM.2.1
Alertas Críticos
1 controls
Monitoramento e alertas para alterações em grupos e funções críticas (Tier 0).
| ID | Description | Reference |
|---|---|---|
| MON-004 | Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... | SM.2.1 |
SM.2.2
Detecção de Anomalias
1 controls
Detecção de atividades anormais ou suspeitas de usuários, incluindo padrões de comportamento atípicos.
| ID | Description | Reference |
|---|---|---|
| MON-002 | Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... | SM.2.2 |
SM.2.3
Análise de Identidades
1 controls
Análise comportamental de identidades de máquina e service principals para detectar uso indevido.
| ID | Description | Reference |
|---|---|---|
| MON-005 | Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... | SM.2.3 |
SM.3.1
Gatilho de Incidente
1 controls
Resposta automática a suspeitas reportadas pelo usuário, gerando incidente de segurança imediato.
| ID | Description | Reference |
|---|---|---|
| MON-006 | Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... | SM.3.1 |
TS.1.3
IDs de Sistema
1 controls
Gestão rigorosa de IDs de sistema (não humanos), incluindo rotação regular de chaves e credenciais.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | TS.1.3 |
TS.2.1
Protocolos Seguros
1 controls
Uso exclusivo de protocolos de autenticação seguros, desabilitando métodos legados vulneráveis.
| ID | Description | Reference |
|---|---|---|
| AUTH-007 | Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. | TS.2.1 |
BA.2.2
Serviços em Nuvem Externos
1 controls
Controle sobre o uso de serviços em nuvem e aplicações não autorizadas pelos usuários (Shadow IT).
| ID | Description | Reference |
|---|---|---|
| MON-003 | Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... | BA.2.2 |
Risk Exposure
Risk Distribution
Educational Content
Standard Overview
Compliance standard for information security.
How Compliance is Calculated
Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.
- Compliant: Maturity level 3 or above
- Partial: Maturity level 1-2
- Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
- Conduct a gap analysis to identify areas needing improvement
- Prioritize controls based on risk assessment results
- Establish clear ownership and accountability for each control
- Implement continuous monitoring and regular reviews
- Document evidence of compliance for audit readiness
- Train staff on security awareness and standard requirements