Definieren der Anforderungen einer Kontrolle auf der Ebene des Kontrollziels

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Sie können eine Kontrolle auf einer detaillierteren Ebene als Anforderungen aufschlüsseln, wenn Sie die Kontrolle auf der Kontrollzielebene generieren.

    Das Definieren von Steuerungsanforderungen hilft:
    • Security Control Assessor (SCA): Um jede Anforderung der Kontrolle einzeln zu bewerten, wenn die Kontrolltests unterschiedliche Aspekte haben.
    • Autorisierungsbeauftragter (AO), Sicherheitsbeauftragter für Informationssysteme (ISSO) und Sicherheitsmanager für Informationssysteme (ISSM): Um die fehlgeschlagene Anforderung zu verstehen, die zur Nichteinhaltung der Kontrolle geführt hat, anstatt den Fehler der Kontrolle als zu bewerten Ganzes.
    • Attestierungsteilnehmer, der für eine Kontrolle identifiziert wurde: Um auf der Ebene der Kontrollanforderungen zu reagieren, die sich auf einer detaillierteren Ebene befindet, als auf der Kontrollebene.

    Als CAM -Benutzer können Sie die Kontrollen aufschlüsseln, um Anforderungen zu steuern, die Anforderungen effizienter zu verwalten, sie einzeln nachzuweisen und das Paket autorisieren zu lassen. Sie können die Anforderungen auch definieren und auf der Kontrollzielebene erstellen, wenn Steuerungen generiert werden.

    Erstellen von NIST-Inhalten aus der Beschreibung des Kontrollziels als Kontrollanforderungen

    Das Basissystem [ ServiceNow sendet die aus den Kontrollzielen von NIST 800-53 Revision 5 generierten Steuerungsanforderungen an CAM Benutzer. Im Feld Beschreibung des Kontrollzielformulars werden die Anforderungen als Unterpunkte mit Unternummern aufgeschlüsselt aufgelistet. Die Referenz des Kontrollziels wird mit jeder Unternummer oder der Klausel im Feld Beschreibung verknüpft und als Anforderungsnummer in der Kontrollziel-Anforderung referenziert. Beispiel: Wenn die Kontrollzielreferenz IR-9 lautet und die Beschreibung des Kontrollziels mit einer Unternummer (a.) beginnt, werden die beiden zusammengeführt, um die erste Kontrollzielanforderung als IR-9.a zu generieren , mit weiteren Unternummern, falls verfügbar. Wenn also etwa sieben Unterbeschreibungen vorhanden sind, werden sieben Steuerungsanforderungen generiert.

    Nummer der Steuerungsanforderung.