Dashboards und Berichte von NIST RMF Use Case Accelerator
NIST RMF Use Case Accelerator enthält verschiedene Berichte, die in verschiedenen Dashboards angezeigt werden, die in jedem der Abschnitte im Prozess NIST RMF verfügbar sind: Kategorisieren, Auswählen, Implementieren, Bewerten, Autorisieren und Überwachen.
Hinweis:
Ab Version 10.1.0 wird NIST RMF Use Case Accelerator nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und bestehende Kunden sollten die Anwendung GRC: Continuous Authorization Monitoring in Betracht ziehen. Für Details Continuous Authorization and Monitoring.
| Berichte | Zweck |
|---|---|
| Security Compliance-Übersicht | Stellt eine allgemeine Compliance-Zusammenfassung der Sicherheitsrichtlinien bereit. |
| Profile Compliance-Übersicht | Bietet eine allgemeine Compliance-Zusammenfassung der Profile, die Sicherheitskontrollen implementieren. |
| Sicherheits-Compliance-Details | Bietet eine detaillierte Compliance-Zusammenfassung der Sicherheitsrichtlinien. |
| Heatmap des inhärenten Sicherheitsrisikos | Heatmap von Sicherheitsrisiken basierend auf den inhärenten qualitativen Ergebnissen von Risiken. |
| Heatmap für Restsicherheitsrisiko | Heatmap der Sicherheitsrisiken basierend auf den qualitativen Restergebnissen der Risiken. |
| Inhärentes Sicherheitsrisiko | Blasendiagramm der Sicherheitsrisiken basierend auf den durchschnittlichen inhärenten quantitativen Ergebnissen von Risiken. |
| Restsicherheitsrisiko | Blasendiagramm der Sicherheitsrisiken basierend auf den durchschnittlichen inhärenten quantitativen Ergebnissen von Risiken. |
| Inhärentes Sicherheitsrisiko für das jährliche Verlustrisiko | Bietet Einblicke in die inhärente jährliche Verlusterwartung (ALE) für verschiedene Sicherheitsrisiken. |
| Jährliches Restverlustrisiko – Sicherheitsrisiko | Bietet Einblicke in die Rest-Annualized Loss Expectancy (ALE) für verschiedene Sicherheitsrisiken. |
| Zusammenfassung der Probleme | Stellt Probleme, die für Sicherheitsrichtlinien festgestellt wurden, wöchentlich dar. |
| Ziele ohne Baselinekontrollen | Ziele mit abgeschlossener Sicherheitsauswirkungsanalyse ohne generierte Baselinekontrolle. Baselinekontrollen sind empfohlene Sicherheitskontrollen des National Institute of Standards and Technology (NIST), die, wenn sie implementiert und als effektiv eingestuft werden, das Sicherheitsrisiko verringern und gleichzeitig die Sicherheitsanforderungen erfüllen. Die zu implementierenden Baseline-Kontrollen können anhand der empfohlenen Baseline-Richtlinienerklärungen für das Ziel bestimmt werden. |
| Ziele mit ausstehender Auswirkungsanalyse | Die Sicherheitsauswirkungsanalyse bestimmt, wenn sie von den Organisationen durchgeführt wird, inwieweit vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinflussen können oder beeinflusst haben. Änderungen am Ziel oder seiner Betriebsumgebung können sich auf die derzeit vorhandenen Sicherheitskontrollen auswirken (einschließlich systemspezifischer, hybrider und allgemeiner Kontrollen), neue Schwachstellen im Ziel erzeugen oder Anforderungen für neue Sicherheitskontrollen generieren, die zuvor nicht erforderlich waren. |
| Zielstatus | Ziele, die nach ihrem aktuellen Status des Risikomanagementprozesses geordnet sind. Der Risikomanagementprozess wird vom National Institute of Standards and Technology (NIST) bereitgestellt. Das Risk Management Framework (RMF) ist ein disziplinierter und strukturierter Prozess, der Informationssicherheits- und Risikomanagementaktivitäten integriert. |
| Vertraulichkeitsauswirkung | Ziele, die für jeden Vertraulichkeitsbewertungswert gruppiert sind. Das National Institute of Standards and Technology (NIST) definiert Vertraulichkeit als die Einhaltung autorisierter Beschränkungen des Informationszugriffs und der Offenlegung, einschließlich Maßnahmen zum Schutz der Privatsphäre und geschützter Informationen. Die Vertraulichkeit wird als Werte „Hoch“, „Mittel“ und „Niedrig“ ausgedrückt. |
| Auswirkung auf die Integrität | Ziele, die für jeden Integritätsbewertungswert gruppiert sind. Das National Institute of Standards and Technology (NIST) definiert Integrität als Schutz vor unzulässiger Änderung oder Vernichtung von Informationen und umfasst die Sicherstellung der Unbestreitbarkeit und Authentizität von Informationen. Integrität wird als Hoch, Mittel und Niedrig ausgedrückt. |
| Auswirkung auf die Verfügbarkeit | Ziele, die für jeden Verfügbarkeitsbewertungswert gruppiert sind. Das National Institute of Standards and Technology (NIST) definiert Verfügbarkeit als die Sicherstellung des zeitnahen und zuverlässigen Zugriffs auf und der Verwendung von Informationen. Die Verfügbarkeit wird als Hoch, Mittel und Niedrig ausgedrückt. |
| Auswirkung | Ziele, die für jeden Auswirkungsbewertungswert gruppiert sind. Das National Institute of Standards and Technology (NIST) definiert Auswirkung als den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit, der voraussichtlich Folgendes hat: (i) begrenzte nachteilige Auswirkungen; (ii) eine schwerwiegende nachteilige Auswirkung; oder (ii) eine schwerwiegende oder katastrophale nachteilige Auswirkung auf den Betrieb der Organisation, die Assets der Organisation oder Einzelpersonen. Dagegen ist die Sicherheitsauswirkungsanalyse definiert als die Bestimmung des Ausmaßes, in dem der Sicherheitsstatus durch Organisationen beeinflusst wird. Die Auswirkung wird als Hoch, Mittel und Niedrig ausgedrückt. |
| Überprüfen Sie die Baseline-Kontrollen | Bietet eine Übersicht für den NIST Risk Management-Auswahlschritt des Frameworks, um die Überprüfung der Baseline-Richtlinienanweisungen und -kontrollen zu erleichtern. NIST RMF > Auswählen > Baseline-Steuerungen überprüfen startet dieses Dashboard |
| Erklärungen zur Baseline-Sicherheitsrichtlinie | Erklärungen zur Baseline-Sicherheitsrichtlinie sind empfohlene Sätze von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die bei Implementierung und Feststellung ihrer Effektivität das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen mindern. |
| Baseline-Sicherheitskontrollen | Baseline-Sicherheitskontrollen sind eine empfohlene Reihe von Sicherheitskontrollen des National Institute of Standards and Technology (NIST), die implementiert werden und, wenn sie als effektiv eingestuft werden, das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen mindern. |
| Berichte | Zweck |
|---|---|
| Erklärungen zur Baseline-Sicherheitsrichtlinie | Erklärungen zur Baseline-Sicherheitsrichtlinie sind empfohlene Sätze von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die bei Implementierung und Feststellung ihrer Effektivität das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen mindern. |
| Baseline-Sicherheitskontrollen | Baseline-Sicherheitskontrollen sind eine empfohlene Reihe von Sicherheitskontrollen des National Institute of Standards and Technology (NIST), die implementiert werden und, wenn sie als effektiv eingestuft werden, das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen mindern. |
| Berichte | Zweck |
|---|---|
| Erklärungen zur Baseline-Assurance-Richtlinie | Erklärungen zur Baseline-Security-Assurance-Richtlinie werden als Satz von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST) empfohlen. und konsistent und würde das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen verringern. |
| Baseline Assurance-Kontrollen | Baseline Security Assurance Controls sind eine empfohlene Reihe von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die als Assurance Control bezeichnet werden. Sie werden implementiert, um sowohl die Sicherheitsstärke als auch das Vertrauen in die Richtigkeit, Vollständigkeit und Zuverlässigkeit der Funktionalität zu erhöhen konsistent und würde das Sicherheitsrisiko bei gleichzeitiger Einhaltung der Sicherheitsanforderungen verringern. |
| Allgemeine Baseline-Richtlinienerklärungen | Allgemeine Richtlinienerklärungen zur Baseline-Sicherheit bestehen aus Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die, wenn sie von Organisationen als allgemeine Kontrolldefinitionen festgelegt werden, angeben, dass sie von einem oder mehreren Organisationszielen vererbt werden können. |
| Allgemeine Baseline-Steuerungen | Allgemeine Baseline-Sicherheitskontrollen sind ein Satz von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die implementiert werden und die, wenn sie von Organisationen als allgemeine Kontrollen festgelegt werden, angeben, dass sie von einem oder mehreren Organisationszielen vererbt werden können. |
| Erklärungen zur Baseline-Ausgleichsrichtlinie | Erklärungen zur Baseline-Sicherheitsausgleichsrichtlinie bestehen aus Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die, wenn sie von Organisationen als Ausgleichskontrolldefinitionen festgelegt werden, angeben, dass sie anstelle anderer Sicherheitskontrollen verwendet werden können und gleichwertigen oder vergleichbaren Schutz für Unternehmensziele bieten . |
| Baseline-Ausgleichskontrollen | Baseline-Sicherheitsausgleichskontrollen sind eine Reihe von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die, wenn sie von Organisationen als Ausgleichskontrollen festgelegt werden, darauf hinweisen, dass sie anstelle anderer Sicherheitskontrollen verwendet werden können und gleichwertigen oder vergleichbaren Schutz für bieten Organisationsziele. |
| Zusätzliche Baseline-Richtlinienerklärungen | Zusätzliche Richtlinienerklärungen zur Baseline-Sicherheit bestehen aus Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die, wenn sie von Organisationen als zusätzliche Kontrolldefinitionen festgelegt werden, darauf hinweisen, dass diese zu Sicherheitskontrollen hinzugefügt werden können, um die Risikomanagementanforderungen für Organisationsziele angemessen zu erfüllen. |
| Zusätzliche Baselinekontrollen | Zusätzliche Baseline-Sicherheitskontrollen sind eine Reihe von Sicherheitskontrolldefinitionen des National Institute of Standards and Technology (NIST), die implementiert werden. Wenn sie von Organisationen als zusätzliche Kontrollen festgelegt werden, geben sie an, dass sie den Sicherheitskontrollen hinzugefügt werden können, um die Risikomanagementanforderungen für organisatorische Ziele angemessen zu erfüllen . |
| Berichte | Zweck |
|---|---|
| Kontrollnachweise abgeschlossen | Zeigt die Anzahl der abgeschlossenen NIST Risk Management-Kontrollnachweise an. |
| Kontrollnachweise – bevorstehendes Fälligkeitsdatum | Zeigt die Anzahl der NIST Risk Management-Kontrollnachweise an, die innerhalb von 7 Tagen fällig sind. |
| Kontrollnachweise, die nach 7 Tagen fällig sind | Zeigt die Anzahl der NIST Risk Management-Kontrollnachweise an, die nach 7 Tagen fällig sind. |
| Fälligkeitsdatum für Steuerungsnachweise verfehlt | Zeigt die Anzahl der NIST Risk Management-Kontrollnachweise an, die ihr Fälligkeitsdatum verpasst haben. |
| Kontrollieren Sie Nachweise nach Profil | Bietet eine Übersicht über die Kontrollnachweise von NIST Risk Management, gruppiert nach Profilen. |
| Kontrollnachweise überfällig | Bietet eine Übersicht über die Kontrollnachweise von NIST Risk Management, gruppiert nach Fälligkeitsdatum. |
| Risikobewertungen abgeschlossen | Zeigt die Anzahl der abgeschlossenen NIST Risk Management-Risikobewertungen an. |
| Bevorstehendes Fälligkeitsdatum für Risikobewertungen | Zeigt die Anzahl der NIST Risk Management-Risikobewertungen an, die innerhalb von 7 Tagen fällig sind. |
| Risikobewertungen, die nach 7 Tagen fällig sind | Zeigt die Anzahl der NIST Risk Management-Risikobewertungen an, die nach 7 Tagen fällig sind. |
| Risikobewertungen mit versäumtem Fälligkeitsdatum | Zeigt die Anzahl der NIST Risk Management-Risikobewertungen an, die ihr Fälligkeitsdatum verpasst haben. |
| Risikobewertungen nach Profil | Bietet eine Übersicht über die Risikobewertungen von NIST Risk Management, gruppiert nach Profilen. |
| Risikobewertungen überfällig | Bietet eine Übersicht über die Risikobewertungen von NIST Risk Management, gruppiert nach Fälligkeitsdatum. |
| Berichte | Zweck |
|---|---|
| Genehmigungsstatus des Ziels | Bietet eine Übersicht über den aktuellen Status der Genehmigungen des Ziels. |
| Leitende Risikogenehmiger | Bietet eine Übersicht über Ziele, die den Risikovorstandsgenehmigern zugewiesen sind. |
| Offizielle Genehmiger werden autorisiert | Bietet eine Übersicht über die Ziele, die den autorisierten offiziellen Genehmigern zugewiesen sind. |
| Berichte | Zweck |
|---|---|
| Ineffektive Profile | Gesamtzahl der Profile, bei denen mindestens ein Kontrolltest einer Sicherheitskontrolle als ineffektiv gekennzeichnet wurde. |
| Ineffektive Steuerungen | Gesamtzahl der Sicherheitskontrollen, bei denen mindestens ein Kontrolltest als ineffektiv gekennzeichnet wurde. |
| Ineffektive Testpläne | Gesamtzahl der Testpläne, bei denen mindestens ein Kontrolltest einer Sicherheitskontrolle als ineffektiv gekennzeichnet wurde. |
| Nicht konforme Steuerungen | Gesamtzahl der Sicherheitskontrollen mit dem Status „Nicht konform“. |
| Risiken | Gesamtzahl der Risiken, die Sicherheitskontrollen zugeordnet sind. |
| Probleme | Gesamtzahl der Probleme im Zusammenhang mit Sicherheitskontrollen und -risiken. |
| Kontrollieren Sie die Compliance | Bietet eine Compliance-Übersicht über die Sicherheitskontrollen. |
| Profileffektivität | Bietet eine Übersicht über die Profileffektivität für Profile mit Sicherheitskontrollen basierend auf der Effektivität der zugehörigen Kontrolltests. |
| Steuerungseffektivität | Bietet eine Übersicht über die Kontrolleffektivität für Sicherheitskontrollen basierend auf der Effektivität der zugehörigen Kontrolltests. |
| Testplaneffektivität | Bietet einen Überblick über die Testplaneffektivität von Sicherheitskontrollen basierend auf der Effektivität der zugehörigen Kontrolltests. |
| Risiken | Liste der Risiken, gruppiert nach Profilen und Sicherheitskontrollen zugeordnet. |