Richten Sie Baselinekontrollen ein, um Kontrollen zu generieren und Anforderungen zu implementieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Verwenden Sie die Baselinesteuerungen, um eine Steuerung zu erben, eine Steuerung als allgemein zu kennzeichnen oder eine Hybridsteuerung zu erstellen. Erstellen Sie eine Hybridsteuerung, um Anforderungen teilweise von allgemeinen Steuerungen zu erben. Die verbleibenden Anforderungen werden für die Steuerung erstellt, die aus der Baselinesteuerung generiert wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer

    Warum und wann dieser Vorgang ausgeführt wird

    Hybride Steuerungen bieten Ihnen nicht nur die Möglichkeit, Teilanforderungen von allgemeinen Steuerungen zu erben, sondern auch die Flexibilität, die allgemeinen Steuerungsanforderungen optimal zu nutzen und gleichzeitig die verbleibenden Anforderungen für diese Steuerung selbst zu implementieren.

    In CAM gibt es zwei Möglichkeiten, Steuerungen von den aus NIST 800-53-r5 bezogenen Steuerungszielen zu erben:
    Vollständige Übernahme
    Die Steuerung wird direkt und vollständig geerbt. Wenn beispielsweise der allgemeine Anbieter, Gebäude A, ein Kontrollziel bereitstellt, das die Brandverhütung ist, und dieses Kontrollziel etwa drei verschiedene Anforderungen hat, nämlich Feueralarm, Raucherkennung und Beregnung, dann wird die Steuerung direkt geerbt, indem sie als identifiziert wird allgemeine Steuerung.
    Hinweis:
    Eine Steuerung, die einem Autorisierungspaket zugeordnet ist, kann ein allgemeiner Anbieter für ein anderes Autorisierungspaket sein, wenn die Steuerung in ihrem Autorisierungspaket als allgemeiner Steuerungsanbieter markiert ist und sich dieses bestimmte Paket im Status „Überwachen“ befinden muss. Nur dann wird sie als allgemeines Steuerelement aufgerufen.
    Hybride Übernahme
    Die Steuerung wird teilweise geerbt. In diesem Fall werden nur eine oder einige der Anforderungen der Steuerung geerbt. In Anbetracht des vorherigen Beispiels wird die Hybridvererbung in den folgenden Kombinationen aktiviert:
    • Eine der Anforderungen, z. B. Feueralarm, kann von Gebäude A geerbt werden, und die anderen beiden Anforderungen können selbst implementiert werden.
    • Eine der Anforderungen wie Feueralarm kann von Gebäude A geerbt werden, und eine andere Anforderung wie Rauchmelder kann von Gebäude B geerbt werden. Der Rest kann selbst implementiert werden.
    • Alle Anforderungen werden geerbt. Diese Übernahme ist keine teilweise Übernahme, da mindestens eine der Anforderungen geerbt und eine selbst implementiert werden muss. Daher kann diese Übernahme nicht als hybride Übernahme bezeichnet werden.
    Hinweis:
    Die Rolle und Verantwortung des Autorisierungspakets muss einem Autorisierungsbeauftragten (Authorization Officer, Auth) zugewiesen werden, der das Autorisierungspaket überprüfen und genehmigen muss, wenn es von einem Status in einen anderen verschoben wird. Der Information System Security Officer (ISSO) ist erforderlich, um eine allgemeine Kontrolle zu markieren, eine Hybridkontrolle zu erstellen oder eine Kontrolle als nicht anwendbar zu kennzeichnen, da diese Kontrollziele vom NIST bezogen werden. Nachdem der Autorisierungsbeauftragte die Genehmigung erteilt hat, wird das Autorisierungspaket in den Status Implementieren verschoben.

    Prozedur

    1. Navigieren zu Alle > Kontinuierliche Autorisierung und Überwachung > Alle Autorisierungspakete.
    2. Wählen Sie einen Autorisierungspaketdatensatz aus, der sich im Status Auswählen befindet und dem die Baselinesteuerungen hinzugefügt wurden.
      Im Status Auswählen werden alle Baselinekontrollen hinzugefügt, und Sie können die Rolle jeder Baselinekontrolle identifizieren. Sie können eine Steuerung erben, eine Steuerung als allgemein markieren oder eine Hybridsteuerung erstellen.
      Abbildung : 1. UI-Aktionen für Baseline-Steuerungen
      Richten Sie Baselinekontrollen ein, um Kontrollen und Anforderungen zu erben.
    3. Um Baselinekontrollen von einem gemeinsamen Kontrollanbieter als allgemeine Kontrollen zuzuweisen, wählen Sie auf der Registerkarte „Baselinekontrollen“ die Kontrollziele aus, die Sie als allgemeine Kontrollen zuweisen möchten.
      1. Klicken Sie auf die Schaltfläche Als allgemein markieren.
      2. Klicken Sie im Bestätigungsfenster auf OK.
      3. Klicken Sie auf die Schaltfläche Genehmigung anfordern, um eine Genehmigung anzufordern.
        Nach der Genehmigung wird das Autorisierungspaket in den Status Implementieren verschoben. Bevor Sie in den Status Implementieren wechseln, muss die Option Erstellt Kontrollen automatisch im Kontrollzielformular für alle Baselinekontrollen und Hybridkontrollen auf „true“ gesetzt werden. Andernfalls wird eine Fehlermeldung mit der Liste der Kontrollziele angezeigt, in der Sie aufgefordert werden, die Option Erstellt Steuerungen automatisch auf true zu setzen.
      4. Klicken Sie in der Nachricht auf den Link Kontrollziele, und aktivieren Sie die Option Erstellt Steuerungen automatisch für alle Kontrollziele im entsprechenden Kontrollzielformular.
      Nachdem das Autorisierungspaket genehmigt wurde, werden die Steuerungen auf der Registerkarte Steuerungen erstellt. Anschließend können Sie das Autorisierungspaket in den Status Bewerten verschieben. In diesem Status ist der Security Control Assessor (SCA) als Lead für die Interaktion erforderlich, wobei die Interaktion zum Testen der Kontrollen erstellt wird. Nach diesem Status wird das Autorisierungspaket in den Status Autorisieren verschoben.

      Damit ein Autorisierungspaket als allgemeiner Steuerungsanbieter für andere Autorisierungspakete verfügbar ist, muss es sich im Status „Überwachen“ befinden. Nachdem das Autorisierungspaket in den Status „Überwachen“ verschoben wurde und die Kennzeichnung des Anbieters allgemeiner Steuerungen für einige der Baselinesteuerungen auf „wahr“ festgelegt wurde, werden die Steuerungen, die für diese Baselinesteuerungen generiert wurden, zu allgemeinen Steuerungsanbietern für andere Autorisierungspakete.

    4. Um die Anforderungen von einer allgemeinen Kontrolle eines bestimmten gemeinsamen Kontrollanbieters zu erben oder eine Hybridkontrolle zu erstellen, wählen Sie auf der Registerkarte „Baseline-Kontrollen“ nur ein Kontrollziel aus.
      1. Klicken Sie auf die Schaltfläche Hybrid erstellen.
        Im Popup-Fenster Hybridsteuerung erstellen werden die Entitäten in Gruppen aufgelistet. Die Gruppierung nach Entität ist hilfreich, wenn der Referenznummer eines Kontrollziels weitere Anforderungsnummern hinzugefügt werden. Sie können Anforderungen teilweise von einigen der gängigen Steuerungsanbieter erben und den Rest der Anforderungen selbst implementieren. Wenn Sie alle Steuerungsanforderungen aus allen Anbieterkategorien für die Übernahme ohne eine einzige selbst implementierte Anforderung auswählen, werden die Anforderungen nicht teilweise geerbt, sondern werden zu einer vollständigen Übernahme aller Anforderungen, was nicht zulässig ist. Mindestens eine selbst implementierte Anforderung ist erforderlich, um eine Hybridsteuerung zu erstellen.
      2. Wählen Sie die Anforderungen aus den Entitätsgruppierungen aus, und lassen Sie eine oder mehrere Anforderungen für die Selbstimplementierung für diese Kontrolle übrig.
      3. Klicken Sie auf die Schaltfläche Hinzufügen.
        Die zugehörige Liste Hybridsteuerungen wird mit den ausgewählten Baselinesteuerungen angezeigt. Eine Baselinekontrolle ist ein m2m eines Kontrollziels und eines Autorisierungspakets.
      4. Wählen Sie das Symbol Hierarchische Listen anzeigen/ausblenden (Symbol zum Anzeigen oder Ausblenden hierarchischer Listen.) aus, um die geerbten Anforderungen anzuzeigen.
        Alle anderen Anforderungen, die hier nicht aufgeführt sind, wurden selbst implementiert.
        Hinweis:
        Nur gängige Steuerungsanbieter mit Steuerungsanforderungen können zum Erstellen von Hybridsteuerungen verwendet werden.
    5. Um Steuerungen von einem gemeinsamen Anbieter zu erben, wählen Sie in der zugehörigen Liste „Baseline-Steuerungen“ ein Steuerungsziel aus.
      1. Klicken Sie auf die Schaltfläche Von Anbieter übernehmen.
      2. Wählen Sie im Popup Von allgemeinem Steuerelement übernehmen die Liste Allgemeine Steuerung aus.
      3. Wählen Sie die Steuerungen aus, von denen Sie übernehmen möchten.
      4. Klicken Sie auf die Schaltfläche Bestätigen.
        Die Entitäten der von Ihnen ausgewählten Steuerungen werden zum gemeinsamen Provider. Für jedes dieser Autorisierungspakete gibt es eine zugehörige Liste „Geerbte Steuerungen“. Das Feld Geerbt von in dieser zugehörigen Liste enthält Informationen darüber, welche Steuerung der allgemeine Steuerungsanbieter ist.
        Hinweis:
        Für die Übernahme von einem Provider, bei dem es sich um eine direkte Übernahme handelt, ist möglicherweise keine Steuerung erforderlich.
    6. Um eine bestimmte Baselinekontrolle als nicht zutreffend zu kennzeichnen, sodass sie außerhalb des Workflows liegt und keine Steuerungen generiert werden können, wählen Sie eine Baselinekontrolle aus
      1. Klicken Sie auf die Schaltfläche Nicht zutreffend.
      2. Geben Sie im Feld Begründung eine Notiz ein, um Ihre Aktion zu begründen.
      3. Klicken Sie auf die Schaltfläche Bestätigen.
        Mit dieser Aktion wird der Status der ausgewählten Baseline-Steuerung in Nicht implementiertgeändert.
      Im Status Auswählen haben Sie das Setup für den Typ der zu generierenden Steuerungen durchgeführt. Nach Abschluss des Setups können Sie das Autorisierungspaket genehmigen.
    7. Klicken Sie auf die Schaltfläche Genehmigung anfordern.
      Das Autorisierungspaket wird dann in den Status Implementieren verschoben. In diesem Status werden basierend auf dem Setup Steuerungen erstellt.