RMF 2단계 - 권한 패키지 범주화

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 07일
  • 소요 시간: 2분

    • 분류 단계에서는 잠재적인 최악의 시나리오에 따라 정보 시스템의 중요도 또는 민감도를 정의합니다. 여기에는 패키지에 대한 NIST 정보 유형을 선택하고 정보 유형을 사용하여 패키지에 대한 영향 수준을 정의하는 작업이 포함됩니다.

    시작하기 전에

    범주화를 사용하는 데 필요한 역할:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    권한 부여 패키지에 쓰는 데 필요한 역할:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_officer
    정보 유형을 선택하는 데 필요한 역할:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner

    패키지 양식에서 재정의된 필드에 쓰는 데 필요한 역할: sn_irm_cont_auth.system_owner

    이 태스크 정보

    인증 패키지 양식에서 범주화를 클릭하면 영향 필드, 영향 탭 및 정보 유형 관련 목록이 양식에 나타납니다.

    프로시저

    1. 정보 유형 관련 목록에서 편집을 선택합니다.
      주:
      정보 유형을 선택하면 정보 유형의 이름, 범주 및 CIA(기밀성, 무결성 및 가용성) 등급을 포함하여 선택한 정보 유형에 대한 지침이 나타납니다.
      정보 유형 선택 양식
    2. 이 권한 부여 패키지에 대해 선택할 정보 유형을 여러 개 선택하고 정보 유형 목록 상자로 이동합니다.
    3. 선택을 완료했으면 저장을 선택합니다.

      이제 정보 유형 관련 목록에 선택한 정보 유형에 대한 지침 정보가 포함됩니다.

      정보 유형 목록
    4. 영향 탭을 선택하고 선택한 정보 유형에 대한 권장 영향을 검토합니다.
      주:
      권장 필드에 표시되는 영향은 선택한 정보 유형의 최악의 시나리오를 반영합니다. 예를 들어 CIA 수준이 높은 정보 유형을 선택한 경우 영향 탭의 권장 필드에 모두 높은 수준의 위험이 표시됩니다. CIA 수준은 선택한 정보 유형의 전반적인 영향을 계산하는 데 사용되며 이제 영향 필드에 표시됩니다.
    5. 무효화된 필드를 수정하고 근거를 제공하여 영향 수준을 무효화할 수 있습니다.

      재정의를 제공하면 영향 필드가 업데이트 CIA 수준에 따라 업데이트됩니다.

      영향 재정의 필드
      중요사항:
      영향 필드는 권한을 부여하는 데이터의 영향을 정확하게 반영해야 합니다. 이 시점부터 다운스트림의 모든 프로세스는 해당 영향 수준에 의존합니다. NIST 지침에 따라 구현해야 하는 통제 수는 다음과 같이 영향에 따라 달라집니다.
      • 높은 위험 = 343개 통제
      • 보통 위험 = 262 통제
      • 낮은 위험 = 125개 통제
    6. 영향을 정의한 후 승인 요청을 선택합니다.
      승인 요청이 권한 부여 공무원에게 전송되며, 승인 공무원은 탐색 창에서 내 승인에 액세스하고 패키지의 정보를 검토합니다. 승인을 받으면 패키지가 선택 상태로 전환됩니다.