Etapa 2 do RMF - Categorizar o pacote de autorização

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • Na etapa Categorizar, você define a criticidade ou a sensibilidade do seu sistema de informações de acordo com os possíveis cenários de pior caso. Isso envolve a seleção de tipos de informações do NIST para o pacote e o uso dos tipos de informações para definir os níveis de impacto do pacote.

    Antes de Iniciar

    Função necessária para usar Categorizar:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    Função necessária para gravar em um pacote de autorização:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_officer
    Função necessária para selecionar tipos de informações:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner

    Função necessária para gravar em campos substituídos no formulário Pacote: sn_irm_cont_auth.system_owner

    Por Que e Quando Desempenhar Esta Tarefa

    Quando você clica em Categorizar no formulário Pacote de autorização, um campo Impacto, uma guia Impacto e uma lista relacionada a Tipos de informações são exibidos no formulário.

    Procedimento

    1. Na lista relacionada Tipos de informações, selecione Editar.
      Nota:
      Conforme você seleciona os tipos de informações, são exibidas orientações sobre o tipo de informação selecionado, incluindo nome, categorias e as classificações de Confidencialidade, Integridade e Disponibilidade (CIA) para o tipo de informação.
      Formulário de seleção de tipos de informação
    2. Selecione vários tipos de informações que você deseja selecionar para este pacote de autorização e mova-os para a caixa Lista de tipos de informações.
    3. Ao concluir suas seleções, selecione Salvar.

      A lista relacionada Tipos de informação agora contém as informações de orientação para os tipos de informação selecionados.

      Lista de tipos de informações
    4. Selecione a guia Impacto e revise os impactos recomendados para os tipos de informações selecionados.
      Nota:
      Os impactos exibidos nos campos Recomendado refletem o pior cenário dos tipos de informações selecionados. Por exemplo, se você selecionou um tipo de informação com altos níveis de CIA, todos os campos Recomendado na guia Impacto mostrarão altos níveis de risco. Os níveis de CIA são usados para calcular o impacto geral dos tipos de informações selecionados, que agora são exibidos no campo Impacto.
    5. Você pode substituir qualquer um dos níveis de impacto modificando os campos Substituídos e fornecendo uma justificativa.

      Conforme você fornece substituições, o campo Impacto é atualizado de acordo com os níveis de atualização de CIA.

      Campos de substituição de impacto
      Importante:
      É vital que o campo Impacto reflita com precisão o impacto dos dados que você está autorizando. Todos os processos descendentes deste ponto dependem desse nível de impacto. De acordo com as diretrizes do NIST, o número de controles que você deve implementar depende do impacto, da seguinte forma:
      • Alto risco = 343 controles
      • Risco moderado = 262 controles
      • Baixo risco = 125 controles
    6. Depois de definir o impacto, selecione Solicitar aprovação.
      Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revisará as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para o estado Selecionar.