Configurar controles de linha de base para gerar controles e implementar requisitos

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 6 min. de leitura

    • Use os controles de linha de base para herdar um controle, marcar um controle como comum ou criar um controle híbrido. Crie um controle híbrido para herdar requisitos parcialmente de controles comuns e os requisitos restantes serão criados para o controle que foi gerado a partir do controle de linha de base.

    Antes de Iniciar

    Função necessária: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer

    Por Que e Quando Desempenhar Esta Tarefa

    Os controles híbridos não apenas oferecem a capacidade de herdar requisitos parciais de controles comuns, mas também a flexibilidade para fazer o melhor uso dos requisitos de controle comuns enquanto implementa automaticamente os requisitos restantes para esse controle.

    Em CAM, há duas maneiras de herdar controles dos objetivos de controle obtidos do NIST 800-53-r5:
    Herança total
    O controle é herdado direta e completamente. Por exemplo, se o provedor comum, Edifício A, fornecer um objetivo de controle que é a prevenção de incêndio e esse objetivo de controle tiver cerca de três requisitos diferentes, ou seja, alarme de incêndio, detecção de fumaça e aspersão, o controle será herdado diretamente, identificando-o como controle comum.
    Nota:
    Um controle associado a um pacote de autorização pode ser um provedor comum para outro pacote de autorização se o controle estiver marcado como um provedor de controle comum em seu pacote de autorização e esse pacote específico deve estar no estado Monitor. Somente então ele é chamado como um controle comum.
    Herança híbrida
    O controle é parcialmente herdado. Somente um ou alguns dos requisitos do controle são herdados neste caso. Considerando o exemplo anterior, a herança híbrida é habilitada nas seguintes combinações:
    • Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A e os outros dois requisitos podem ser auto-implementados.
    • Um dos requisitos, como alarme de incêndio, pode ser herdado do Edifício A, e outro requisito, como detecção de fumaça, pode ser herdado do Edifício B. O restante dos quais pode ser auto-implementado.
    • Todos os requisitos são herdados. Esta herança não é uma herança parcial porque pelo menos um dos requisitos deve ser herdado e um deve ser auto-implementado. Portanto, esta herança não pode ser denominada herança híbrida.
    Nota:
    A função e a responsabilidade do pacote de autorização devem ser atribuídas a um funcionário de autorização (AO) que deve revisar e aprovar o pacote de autorização quando ele passa de um estado para outro. O agente de segurança do sistema da informação (ISSO) é necessário para marcar um controle comum, criar um controle híbrido ou para identificar um controle como não aplicável, já que esses objetivos de controle são obtidos pelo NIST. Depois que o oficial de autorização (AO) fornecer a aprovação, o pacote de autorização será movido para o estado Implementar.

    Procedimento

    1. Navegar até Todos > Autorização e monitoramento contínuos > Todos os pacotes de autorização.
    2. Selecione um registro de pacote de autorização que esteja em um estado Selecionar e tenha os controles de linha de base adicionados.
      No estado Selecionar, todos os controles de linha de base são adicionados e você pode identificar a função de cada controle de linha de base. Você pode herdar um controle, marcar um controle como comum ou criar um controle híbrido.
      Figura 1. Ações de IU em controles de linha de base
      Configure controles de linha de base para herdar controles e requisitos.
    3. Para atribuir controles de linha de base de um provedor de controle comum como controles comuns, selecione os objetivos de controle na guia Controles de linha de base que você deseja atribuir como controles comuns.
      1. Selecione o botão Marcar como comum.
      2. Selecione OK no pop-up Confirmação.
      3. Selecione o botão Solicitar aprovação para solicitar aprovação.
        Após a aprovação, o pacote de autorização passa para o estado Implementar. Antes de passar para o estado Implementar, a opção Cria controles automaticamente no formulário de objetivo do controle deve ser verdadeira para todos os controles de linha de base e controles híbridos. Caso contrário, uma mensagem de erro será exibida com a lista de objetivos de controle solicitando que você defina a opção Cria controles automaticamente como verdadeira.
      4. Selecione o link de objetivos de controle na mensagem e habilite a opção Cria controles automaticamente para todos os objetivos de controle no respectivo formulário de objetivo de controle.
      Depois que o pacote de autorização for aprovado, os controles serão criados na guia Controles. Você pode mover o pacote de autorização para o estado Avaliação. Nesse estado, o Avaliador de controle de segurança (SCA) é necessário como lead do compromisso, em que o compromisso é criado para testar os controles. Após esse estado, o pacote de autorização é movido para o estado Autorizar.

      Para que um pacote de autorização esteja disponível como um provedor de controle comum para outros pacotes de autorização, ele deve estar no estado Monitor. Depois que o pacote de autorização é movido para o estado Monitor e o sinalizador do provedor de controle comum é definido como verdadeiro para alguns dos controles de linha de base, os controles que foram gerados para esses controles de linha de base se tornam provedores de controle comuns para outros pacotes de autorização.

    4. Para herdar os requisitos de um controle comum de um provedor de controle comum específico ou criar um controle híbrido, selecione apenas um objetivo de controle na guia Controles de linha de base.
      1. Selecione o botão Criar híbrido.
        O pop-up Criar controle híbrido lista as entidades em grupos. O agrupamento por entidade ajuda quando há mais números de requisito adicionados ao número de referência de um objetivo de controle. Você pode herdar requisitos parcialmente de alguns dos provedores de controle comuns e implementar automaticamente o restante dos requisitos. Se você selecionar todos os requisitos de controle de todas as categorias de provedores para herança sem um único requisito auto-implementado, os requisitos não serão parcialmente herdados, mas se tornarão herança total de todos os requisitos, o que não é permitido. É necessário pelo menos um requisito auto-implementado para criar um controle híbrido.
      2. Selecione os requisitos dos agrupamentos de entidades, deixando um ou mais requisitos de auto-implementação para esse controle.
      3. Selecione o botão Adicionar.
        A lista relacionada Controles híbridos aparece com os controles de linha de base selecionados. Um controle de linha de base é um m2m de um objetivo de controle e um pacote de autorização.
      4. Selecione o ícone Exibir/ocultar listas hierárquicas ( ícone Exibir ou ocultar listas hierárquicas.) para ver os requisitos herdados.
        Todos os outros requisitos não listados aqui são auto-implementados.
        Nota:
        Somente provedores de controle comuns com requisitos de controle podem ser usados para criar controles híbridos.
    5. Para herdar controles de um provedor comum, selecione um objetivo de controle na lista relacionada Controles de linha de base.
      1. Selecione o botão Herdar do provedor.
      2. Selecione a lista Controle comum no pop-up Herdar do controle comum.
      3. Selecione os controles dos quais você deseja herdar.
      4. Selecione o botão Confirmar.
        As entidades dos controles selecionados se tornam o provedor comum. Para cada um desses pacotes de autorização, há uma lista relacionada de controles herdados. O campo Herdado de nesta lista relacionada fornece as informações sobre qual controle é o provedor de controle comum.
        Nota:
        Para herdar de um provedor, que é uma herança direta, pode não haver nenhum requisito para o controle.
    6. Para marcar um controle de linha de base específico como não aplicável para que ele fique fora do fluxo de trabalho e não permita que controles sejam gerados, selecione um controle de linha de base
      1. Selecione o botão Não aplicável.
      2. Insira uma observação para justificar sua ação no campo Justificativa.
      3. Clique no botão Confirmar.
        Esta ação muda o status do controle de linha de base selecionado para Não implementado.
      No estado Selecionar, você fez a configuração do tipo de controles a serem gerados. Depois que a configuração estiver concluída, você poderá aprovar o pacote de autorização.
    7. Selecione o botão Solicitar aprovação.
      O pacote de autorização passa para o estado Implementar. Nesse estado, com base na configuração, os controles são criados.