NIST RMF Concepts de prise en charge
Familiarisez-vous avec ces concepts, développés à partir des NIST RMF conseils.
Remarque :
À partir de la version 10.1.0, le NIST RMF Use Case Accelerator sera pris en charge uniquement pour les clients qui utilisent actuellement le produit. Les nouveaux clients et les clients existants devraient envisager d’utiliser l’application GRC : Continuous Authorization Monitoring. Pour en savoir plus, reportez-vous Continuous Authorization and Monitoringà la section .
| Concept | Description |
|---|---|
| Cible | La cible est le fondement de la NIST RMF Use Case Accelerator et de tous les concepts associés. La cible est une table partagée entre les produits et plusieurs accélérateurs de cas d’utilisation ServiceNow® GRC . Ils sont similaires au concept de profils dans les applications principales GRC . Ils sont éventuellement liés à des profils, mais sont utilisés pour tous les attributs spécifiques aux accélérateurs de cas d’utilisation. Remarque : Chaque cible NIST RMF représente de manière unique un profil unique tout au long de son cycle de vie RMF. |
| Confidentialité (C) | La confidentialité est un objectif de sécurité d’une cible et est définie comme l’acte de préserver les restrictions autorisées à l’accès et à la divulgation d’informations, y compris les moyens de protéger la vie privée et les informations exclusives. La confidentialité est exprimée sous forme de valeurs élevées, modérées et faibles |
| Intégrité (I) | L’intégrité est un objectif de sécurité d’une cible est définie comme l’acte de protection contre la modification ou la destruction inappropriée des informations, et comprend la garantie de la non-répudiation et de l’authenticité des informations. L’intégrité est exprimée sous forme de valeurs élevées, modérées et faibles. |
| Disponibilité (A) | La disponibilité est un objectif de sécurité d’une cible qui consiste à assurer un accès et une utilisation rapides et fiables de l’information. La disponibilité est exprimée sous forme de valeurs élevées, modérées et faibles |
| Contrôles de la base de référence | Les contrôles de base sont un ensemble recommandé de contrôles de sécurité du National Institute of Standards and Technology (NIST) qui, lorsqu’ils sont mis en œuvre et jugés efficaces, atténueraient les risques de sécurité tout en se conformant aux exigences de sécurité. Les contrôles de base de référence ont une valeur d’impact désignée qui est une combinaison de valeurs élevées, modérées ou faibles. |
| Analyse de l'impact | L’analyse d’impact détermine dans quelle mesure les changements proposés ou réels de la cible ou de son environnement d’exploitation peuvent affecter ou avoir affecté l’état de sécurité de la cible. Une cible dans laquelle les trois objectifs de sécurité de la CIA sont évalués à faible impact est considérée comme ayant un impact faible et utilise l’un des contrôles de sécurité marqués comme ayant une valeur d’impact faible. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à Modéré est considérée comme ayant un impact modéré et utilise l’un des contrôles de sécurité marqués comme ayant une valeur d’impact modéré. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à Impact élevé est considérée comme ayant un impact élevé et utilise l’un des contrôles de sécurité marqués comme ayant une valeur d’impact élevé. |
| Assurance | Les contrôles d’assurance augmentent à la fois le renforcement de la sécurité et le degré de confiance dans le fait que la fonctionnalité des cibles est correcte, complète et cohérente et atténuerait le risque de sécurité et aiderait à se conformer aux exigences de sécurité |
| Commun | Les contrôles communs sont des contrôles qui peuvent être hérités par une ou plusieurs cibles |
| Compensateurs | Les contrôles compensatoires sont des contrôles qui peuvent être utilisés à la place des contrôles de sécurité de base recommandés et qui offrent une protection équivalente ou comparable pour les cibles |
| Supplémentaire | Les contrôles supplémentaires sont des contrôles qui peuvent être utilisés comme contrôles de sécurité supplémentaires pour répondre adéquatement aux besoins de gestion des risques d’une cible |
| Personnalisation | La personnalisation est un processus par lequel une base de référence de contrôle de sécurité est modifiée en fonction des éléments suivants : (i) Cibles, orientations en matière de définition du champ d’application ; (ii) la spécification des contrôles de sécurité, par exemple, la compensation, si nécessaire ; et (iii) la spécification des paramètres définis par l’organisation dans les contrôles de sécurité au moyen d’instructions explicites d’affectation et de sélection |