Etapa 3 do RMF - Selecionar controles para um pacote de autorização

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 3 min. de leitura

    • Quando os níveis de impacto do pacote forem aprovados, é hora de selecionar os controles de linha de base.

    Antes de Iniciar

    Função necessária: para gravar na tabela sn_im_cont_baseline_control_objective: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.admin

    Para acessar Marcar como não aplicável: sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager, sn_irm_cont_auth.admin.

    GRC Monitoramento e autorização contínuos

    GRC: os testes de início rápido Monitoramento e autorização contínuos exigem a ativação do plug-in Monitoramento e autorização contínuos (com.sn_compliance) e o carregamento dos dados de demonstração.

    Tabela 1. GRC: pacote de testes de início rápido Monitoramento e autorização contínuos
    Teste Descrição Versão de lançamento
    GRC: o proprietário do sistema cria e valida responsabilidades e funções para um AB e um AP O proprietário do sistema cria e valida responsabilidades e funções para um limite de autorização e um pacote de autorização.

    Os proprietários das informações e o usuário do sistema são preenchidos previamente ao selecionar o limite de autorização.

    		 Quebec (compatível com Paris e Orlando)
    GRC: proprietário do sistema valida a visibilidade dos módulos do aplicativo Verifica se a persona do proprietário do sistema pode exibir o menu de aplicativo Monitoramento e Autorização Contínuos e os seguintes módulos nesse menu:
    • Todos os limites de autorização
    • Todos os pacotes de autorização
    • Biblioteca de tipos de informação
    • Sobreposições de controle
    • Objetivos de controle
    • Controles
    • Todos os compromissos
    		 Quebec (compatível com Paris e Orlando)
    GRC: módulo de solicitação do proprietário do sistema de primeira aprovação e minhas aprovações O proprietário do sistema solicita uma aprovação. Quebec (compatível com Paris e Orlando)
    SO: criar e validar responsabilidades e funções para um AB e AP Verifica se um proprietário do sistema pode criar um limite de autorização preenchendo os campos no formulário de limite de autorização.

    Verifique também se o mesmo SO pode criar um pacote de autorização na exibição de formulário.

    		 Quebec (compatível com Paris e Orlando)

    Para saber mais sobre Monitoramento e autorização contínuos, consulte Continuous Authorization and Monitoring.

    Por Que e Quando Desempenhar Esta Tarefa

    Quando a aprovação era recebida no formulário Pacote de autorização, um campo de sobreposições de controle e uma série de listas relacionadas a controles apareciam no formulário.

    Procedimento

    1. Selecione a lista relacionada Controles de linha de base.
      A lista mostra os controles de linha de base para o nível de impacto calculado do pacote. O número de controles a serem implementados (conforme definido pelo NIST) depende do nível de impacto (alto, moderado e baixo).
    2. Você pode executar as seguintes ações na lista de controles.
      Tabela 2. Ações nos controles de linha de base
      Ação Descrição
      Adicionar controles à lista Selecione Adicionar, selecione os controles que deseja adicionar e selecione Criar controles de linha de base.
      Adicionar controles usando uma sobreposição de controle Selecione uma sobreposição de controle no campo Sobreposições de controle.
      Nota:
      Sobreposições de privacidade e outros tipos de sobreposições de controle podem ser obrigatórios por agências governamentais, mas você pode criá-las para adicionar um número específico de controles à sua lista.
      Identificar determinados controles como não aplicáveis

      Selecione os controles, selecione Selecionar, insira uma justificativa e selecione Confirmar.

      Os controles marcados dessa forma são removidos da lista Controles de linha de base para a lista relacionada Controles não aplicáveis.
      Herdar controles de controles comuns

      Você pode criar controles comuns aos quais outros controles subordinados podem ser atribuídos para que possam herdar a orientação de risco deles. Por exemplo, se você tiver um controle que lida com uma instalação inteira, poderá identificar controles relacionados que herdarão a proteção e a conformidade do controle comum.

      Para criar um controle comum, selecione o controle, escolha Criar controle comume OK para confirmar. Para obter informações sobre como permitir que um controle herde de um controle comum, consulte Herdar de um controle comum.
    3. Selecione Solicitar aprovação.

      Uma solicitação de aprovação é enviada ao funcionário autorizado, que acessará Minhas aprovações no painel de navegação e revisará as informações no pacote. Quando a aprovação é recebida, o pacote faz a transição para o estado Implementar.

      Para enviar o pacote de volta para o estado Categorizar, selecione Voltar para a etapa anterior. Todos os controles de linha de base são removidos e o pacote deve receber aprovação para avançar novamente para o estado Selecionar.