Criar um pacote de autorização

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Depois de definir os limites de autorização para os ativos ou sistemas que você deseja enviar por meio do processo de autorização para operar, você deve criar um pacote de autorização para essa finalidade. O pacote é processado por meio das sete etapas exigidas pelo RMF.

    Antes de Iniciar

    Função necessária: sn_irm_cont_auth.system_owner ou sn_irm_cont_auth.admin

    Nota:
    Essas funções são necessárias para acessar o pacote de autorização somente depois que ele passou do estado Preparar.

    Procedimento

    1. Navegar até Todos > Autorização e monitoramento contínuos > Todos os pacotes de autorização.
      Pacotes de autorização
    2. Clique em Nova.
      Pacote de autorização - novo
    3. No formulário, preencha os campos.
      Tabela 1. Formulário de pacote de autorização
      Campo Descrição
      Número Número do pacote de autorização gerado automaticamente.
      Nome Um nome para o pacote.
      Sigla Se necessário, um acrônimo para identificar o pacote.
      Missões/processos de negócios O processo de negócios apropriado para este pacote de autorização. Os processos de negócios são definidos no Now Platform; por exemplo, em Política e conformidade > Escopo > Processos de negócios.
      Ativo Ative o pacote de autorização.
      Etapa A etapa de RMF atualmente atribuída ao pacote.
      Limite de autorização O limite de autorização para este pacote.
      Finalidade do sistema A finalidade por trás deste pacote de autorização.
    4. Clique na guia Funções e responsabilidades e defina as funções de várias partes interessadas durante o processo de revisão e aprovação.
      Tabela 2. Guia Funções e responsabilidades
      Campo Descrição
      Proprietário do sistema O indivíduo responsável por adquirir, desenvolver, integrar, modificar, operar e manter um sistema da informação.
      Funcionário de autorização (FA) O indivíduo responsável por aceitar um sistema da informação em um ambiente operacional em um nível de risco conhecido. Normalmente, essa pessoa está no nível de CISO ou de CISO adjunto.
      Representantes oficiais designados que deram a autorização (AODR) Um ou mais AODRs.
      Assessores de controle de segurança (ACS) Os indivíduos responsáveis por conduzir uma avaliação completa dos controles de um sistema da informação.
      Gerenciadores de segurança do sistema da informação (ISSM) Os indivíduos responsáveis pela realização das atividades de gestão de segurança do sistema da informação, conforme designados pelo ISSO.
      Agentes de segurança do sistema da informação (ISSO) Os indivíduos responsáveis por garantir que a postura de segurança operacional apropriada seja mantida para um sistema da informação.
      Proprietários das informações Os indivíduos responsáveis pela autoridade estatutária, de gestão e operacional.
      Usuários do sistema Os usuários responsáveis pela execução do trabalho real no sistema.
    5. Clique na guia PTA/PIA e execute a Análise de limite de privacidade respondendo às perguntas.

      O PTA identifica se existem vários tipos de informações de identificação pessoal (PII) nos sistemas que estão sendo autorizados.

      Análise de limite de privacidade/Avaliação de impacto de privacidade
    6. Se você respondeu Não para todas as perguntas, não precisa fazer uma Análise de impacto de privacidade e pode clicar em Enviar.
    7. Se você respondeu Sim para qualquer uma das perguntas, deve fazer uma Análise de impacto de privacidade.
      1. No campo Entrevistados da avaliação, clique no ícone de cadeado e selecione os usuários que você deseja que façam a avaliação.
      2. Depois de selecionar os entrevistados, clique no ícone de cadeado novamente.
      3. Clique em Enviar.
        A notificação de solicitação de avaliação é enviada aos entrevistados selecionados.
      4. Quando a PIA tiver sido concluída, as respostas da avaliação serão exibidas em uma lista relacionada no formulário Pacote de autorização.
    8. Clique na guia Anotações e comentários para adicionar anotações voltadas para o cliente ao pacote.
    9. Clique em Categorizar para fazer a transição do pacote para a próxima etapa