NIST RMF conceitos de suporte
Familiarize-se com esses conceitos, desenvolvidos a partir da orientação NIST RMF.
Nota:
A partir da versão 10.1.0, o NIST RMF Use Case Accelerator será compatível somente para clientes que usam o produto. Os clientes novos e existentes devem considerar o uso da aplicação GRC: Continuous Authorization Monitoring. Para obter detalhes, Continuous Authorization and Monitoring.
| Conceito | Descrição |
|---|---|
| Destino | O destino é a base do NIST RMF Use Case Accelerator e de todos os conceitos relacionados. O destino é uma tabela compartilhada entre os produtos ServiceNow® GRC e vários Aceleradores de caso de uso. Eles são semelhantes ao conceito de perfis nas aplicações principais GRC. Eles são opcionalmente vinculados a perfis, mas são usados para todos os atributos específicos dos Aceleradores de caso de uso. Nota: Cada destino RMF do NIST representa exclusivamente um único perfil em todo o ciclo de vida do RMF. |
| Confidencialidade (C) | Confidencialidade é um objetivo de segurança de uma meta e é definida como o ato de preservar restrições autorizadas ao acesso e à divulgação de informações, incluindo meios para proteger a privacidade pessoal e informações proprietárias. A confidencialidade é expressa em valores Alto, Moderado e Baixo |
| Integridade (I) | Integridade é um objetivo de segurança de uma meta definida como ato de proteção contra modificação ou destruição de informações incorretas e inclui garantir o não repúdio e a autenticidade das informações. A integridade é expressa em valores Alto, Moderado e Baixo |
| Disponibilidade (A) | A disponibilidade é um objetivo de segurança de uma meta definida como o ato de garantir o acesso e o uso oportuno e confiável das informações. A disponibilidade é expressa em valores Alto, Moderado e Baixo |
| Controles de linha de base | Os controles de linha de base são um conjunto recomendado de controles de segurança do Instituto Nacional de Padrões e Tecnologia (NIST) que, quando implementados e determinados como eficazes, reduziriam o risco de segurança e, ao mesmo tempo, atenderão aos requisitos de segurança. Os controles de linha de base têm um valor de impacto designado que é uma combinação de valores Alto, Moderado ou Baixo. |
| Análise de impacto | A análise de impacto determina até que ponto as mudanças propostas ou reais no destino ou em seu ambiente de operação podem afetar ou afetaram o estado de segurança do destino. Um destino no qual todos os três objetivos de segurança da CIA são avaliados como Baixo é considerado de baixo impacto e usa qualquer um dos controles de segurança marcados como de baixo impacto. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como moderado é considerado de impacto moderado e usa qualquer um dos controles de segurança marcados como de valor de impacto moderado. Da mesma forma, um destino no qual qualquer um dos três objetivos de segurança da CIA é avaliado como Alto é considerado de alto impacto e usa qualquer um dos controles de segurança marcados como de alto impacto. |
| Garantia | Os controles de garantia aumentam a força da segurança e o grau de confiança de que a funcionalidade dos destinos está correta, completa e consistente, além de reduzir o risco à segurança e ajudar na conformidade com os requisitos de segurança |
| Comum | Controles comuns são controles que são herdáveis por um ou mais destinos |
| Compensação | Controles de compensação são controles que podem ser empregados no lugar dos controles de segurança de linha de base recomendados e fornecem proteção equivalente ou comparável para os destinos |
| Complementar | Controles suplementares são controles que podem ser empregados como controles de segurança adicionais para atender adequadamente às necessidades de gestão de riscos de um destino |
| Ajuste | Adaptação é um processo pelo qual uma linha de base de controle de segurança é modificada com base em: (i) orientação de escopo de metas; (ii) especificação dos controles de segurança, por exemplo, compensação, se necessário; e (3) a especificação da organização — parâmetros definidos nos controles de segurança por meio de declarações explícitas de atribuição e seleção |