Zeigen Sie Paketdetails in an CAM Arbeitsbereich

  • Freigeben Version: Xanadu
  • Aktualisiert 8. August 2024
  • 4 Minuten Lesedauer

    • Verwenden Sie die Übersichtsseite für das Autorisierungspaket, um Dokumente und Nachweise anzuzeigen, mit denen Sie die Sicherheitslage Ihrer Organisation bewerten können.

    Vorbereitungen

    Role required: sn_irm_cont_auth.authorization_official, sn_irm_cont_auth.information_owner, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.sec_control_assessor, sn_irm_cont_auth.system_owner, sn_irm_cont_auth.scheduler, sn_irm_cont_auth.system_user, sn_irm_cont_auth.admin

    Prozedur

    1. Navigieren zu Alle > CAM-Arbeitsbereich.
    2. Um zur Seite „Listen“ zu navigieren, wählen Sie das Listensymbol ( Listensymbol).
    3. Wählen Sie aus den Autorisierungspaketen in der RMF-Liste im linken Bereich einen Autorisierungspaket-Datensatz im rechten Bereich aus.
      Die Stepper-Komponente zeigt den aktuellen Status des Pakets und die Roadmap zum Erreichen des Status „Überwachen“ an.

      Ein kurzes GIF, das ein Autorisierungspaket-Übersichtsseiten-Widget zeigt.

      Compliance-Zusammenfassung
      Zeigt die Gesamtzahl der in diesem Paket enthaltenen Steuerungen an. Aufgliederungsanzahlen der geerbten Steuerung und nicht zutreffender Steuerungen des Pakets werden ebenfalls angezeigt. Die implementierten Steuerungen enthalten den Prozentsatz der Steuerungen im Status „Überwachen“.
      Steuerungszuteilung
      Steuerungen nach Familie gruppiert und als systemspezifisch und hybrid kategorisiert.
      Übersicht
      Zeigt die Gesamtanzahl der Steuerungen, Kontrolltests und POA&Ms und deren Status an.
      Details
      Granularere Details der Steuerungen im Steuerungsanforderungs-Widget und Steuerungstestdetails im Bewertungsverfahrens-Widget.
    4. Wählen Sie das Sidebar-Symbol ( Sidebar-Symbol).
      Im Abschnitt „Hervorgehobene Details“ wird Folgendes angezeigt:
      • Der datenschutzsensible Systemstatus des Pakets.
      • Wenn Sie den Link zur Grenze auswählen, können Sie zur Autorisierungsgrenze navigieren, der dieses Paket zugeordnet ist.
      • Die Karte „ Auswirkung “ zeigt den Vertraulichkeits-, Integritäts- und Verfügbarkeitsstatus des Pakets an. Abhängig davon wird die Auswirkung des Pakets bestimmt.
      • Die Benutzer, die eine Schlüsselrolle bei der Aktualisierung des Autorisierungspakets spielen, sind ebenfalls aufgeführt.
    5. Um die Beziehung zwischen dem ausgewählten Autorisierungspaket und allen zugehörigen Objekten in einer eindeutigen Visualisierung anzuzeigen, wählen Sie 360-Grad-Ansicht aus.
      Die360-Grad-Ansicht wird auf den Übersichtsseiten von Autorisierungsgrenze, Autorisierungspaket, Steuerung, Kontrollziel, Kontrollüberlagerungen, Kontrolltest, Testvorlage, Testplan, Interaktionen und auf den Detailseiten von Indikator, Indikatorvorlage und POA&Ms hinzugefügt.

      360-Grad-Ansicht aller Elemente, die dem Autorisierungspaket zugeordnet sind.

    6. Wählen Sie SSP generieren aus, um den System Security Plan (SSP) zu generieren.
      Sie können auch ATO-Artefaktberichte wie Security Assessment Report (SAR) und Plan of Actions and Meilensteins (POA&Ms) generieren, indem Sie das Symbol „Weitere Aktionen“ (Symbol Weitere Aktionen) wählen.

      Weitere Informationen zu CAM ATO-Artefakten finden Sie unter Generieren Sie ATO-Artefakte für ein Autorisierungspaket.

    7. Um OSCAL SSP zu generieren, wählen Sie die Option OSCAL SSP exportieren über das Symbol „Weitere Aktionen“ (Symbol „ Weitere Aktionen“ ).
      Weitere Informationen finden Sie unter Katalog, Profil und SSP werden im OSCAL-Format exportiert und Exportieren Sie Daten im OSCAL-Format.
    8. Um zum vorherigen Schritt des Autorisierungspakets zu wechseln und Details zu aktualisieren, wählen Sie die Option Zurück zum vorherigen Schritt über das Symbol „Weitere Aktionen“ (Symbol Weitere Aktionen).
      Alle Aktionen, die beim Wechsel in den aktuellen Status ausgeführt werden, werden rückgängig gemacht, wenn Sie die Aktion Zurück zum vorherigen Schritt aktivieren. Wenn sich das Paket beispielsweise im Status Implementieren befindet, werden bei der Rückkehr zum Status Auswählen alle vorhandenen Steuerungen, die generiert werden, außer Kraft gesetzt. Im Status Auswählen können Sie die Baseline-Steuerungen erneut aufrufen und bei Bedarf die erforderlichen Maßnahmen ergreifen. Dieser Vorgang kann jedoch nur von einem Continuous Authorization and Monitoring -Administrator (sn_irm_cont_auth.admin) ausgeführt werden.
    9. Um die mit dem Autorisierungspaket verbundenen Steuerungen anzuzeigen, wählen Sie die zugehörige Liste Steuerungen aus.
      1. Wählen Sie ein Steuerelement aus der Liste aus.
        In der Anwendung Continuous Authorization and Monitoring können Sie die Zuteilungskategorie des Steuerelements im Header der Übersichtsseite des Steuerelements anzeigen. DieSteuerungszuteilung ist entweder systemspezifisch oder hybrid.
      2. Wählen Sie das Sidebar-Symbol ( Sidebar-Symbol), um die NIST-Referenzdetails anzuzeigen.
      3. Wählen Sie die zugehörige Liste Details aus.
        Die Familie, zu der das Kontrollziel der Kontrolle gehört, ist anhand der Felder „ Familie “ und „ Familien-ID “ erkennbar. Diese Felder sind im Steuerungsformular schreibgeschützt.

        In der Liste „ Steuerungszuordnung“ auf der Übersichtsseite des Autorisierungspakets werden die Steuerungen nach ihren Familien gruppiert, getrennt nach systemspezifischen und hybriden Steuerungen.

    10. Um die Anforderungen für eine Baseline-Steuerung zu erben, wählen Sie auf der Registerkarte „Baseline-Steuerungen “ nur ein Kontrollziel aus.
      Sie müssen eine selbst implementierte Anforderung haben, und die verbleibenden Anforderungen können von gängigen Steuerungsanbietern übernommen werden.

      Das Paket muss sich im Status „Auswählen“ befinden. Zum Erstellen hybrider Steuerungen können nur allgemeine Steuerungsanbieter mit Steuerungsanforderungen verwendet werden.

      1. Wählen Sie Hybrid erstellen aus.
        Im Popup-Fenster Hybridsteuerung erstellen werden die Pakete in Gruppen aufgelistet.

        Popup „Hybridsteuerung erstellen“.

      2. Geben Sie ein Paket in das Feld Autorisierungspaket (optional) ein.
        Sie können alle gewünschten Pakete eingeben und aus ihnen die Anforderungen auswählen.
      3. Wählen Sie die Anforderungen aus den Paketgruppierungen aus, und lassen Sie eine oder mehrere Anforderungen zur Selbstimplementierung für diese Steuerung übrig.
        Sie erstellen ein Hybridsteuerelement, für das die Anforderung von dem ausgewählten Paket geerbt wird.
      4. Wählen Sie Hinzufügen.
    11. Um zum zugehörigen Kontrollziel zu navigieren, wählen Sie in der Sidebar den Link zum Kontrollziel aus.
      Die Referenz für das Kontrollziel, bezogen von NIST, wird als Quell-ID im Header des Kontrollziels erfasst.

      Die Steuerungen sind als Familiegruppiert und mit einer ID abgekürzt, die als Familien-IDdefiniert ist. Diese Felder sind bearbeitbar und helfen Ihnen, die Gruppe zu identifizieren, zu der die Steuerung gehört. Sie werden im Abschnitt „Steuerungszuordnung“ zu Berichterstellungszwecken verwendet. Der Inhalt für Familie und Familien-ID wird basierend auf NIST 800-53 aktualisiert. Weitere Informationen finden Sie unter Kontrollanforderungsdetails in der Ansicht CAM von Kontrollziel und Kontrollformularen.

      1. Wählen Sie die zugehörige Liste Zugehörige Kontrollziele aus.
        Alle Steuerungsziele, die sich auf die Implementierung des Pakets auswirken, aber verschiedenen Familien angehören, werden als zugehörige Steuerungsziele gruppiert. Diese Kontrollziele werden von NIST bezogen. Alle zugehörigen Steuerungen in einem Paket auf Grundlage der zugeordneten Kontrollziele werden als Zugehörige Kontrollziele verknüpft.

        Die zugehörige Liste „Zugehörige Steuerungen“ enthält Steuerungen aus dem zugehörigen Kontrollziel mit derselben Entität.

      2. Um zugehörige Kontrollziele hinzuzufügen, wählen Sie Hinzufügenaus.
      3. Wählen Sie die Kontrollziele und dann Hinzufügenaus.
        Die Liste zeigt die Kontrollziele, die noch nicht der Liste der zugehörigen Kontrollziele des Pakets hinzugefügt wurden.