NIST RMF unterstützende Konzepte
Machen Sie sich mit diesen Konzepten vertraut, die aus der Anleitung von NIST RMF entwickelt wurden.
Hinweis:
Ab Version 10.1.0 wird NIST RMF Use Case Accelerator nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und bestehende Kunden sollten die Anwendung GRC: Continuous Authorization Monitoring in Betracht ziehen. Für Details Continuous Authorization and Monitoring.
| Konzept | Beschreibung |
|---|---|
| Zielvorgabe | Das Ziel ist die Grundlage von NIST RMF Use Case Accelerator und allen zugehörigen Konzepten. Das Ziel ist eine gemeinsam genutzte Tabelle zwischen den Produkten ServiceNow® GRC und mehreren Use Case Accelerators. Sie ähneln dem Konzept von Profilen in den Kernanwendungen GRC. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die für die Anwendungsfallbeschleuniger spezifisch sind. Hinweis: Jedes NIST RMF-Ziel repräsentiert während seines gesamten RMF-Lebenszyklus eindeutig ein einzelnes Profil. |
| Vertraulichkeit (C) | Vertraulichkeit ist ein Sicherheitsziel eines Ziels und wird definiert als die Beibehaltung autorisierter Einschränkungen für den Zugriff auf und die Offenlegung von Informationen, einschließlich Maßnahmen zum Schutz der Privatsphäre und der geschützten Informationen. Die Vertraulichkeit wird als Werte „Hoch“, „Mittel“ und „Niedrig“ ausgedrückt |
| Integrität (I) | Integrität ist ein Sicherheitsziel eines Ziels, das als Schutz vor unzulässiger Änderung oder Vernichtung von Informationen definiert ist und die Sicherstellung der Unbestreitbarkeit und Authentizität von Informationen umfasst. Integrität wird als Hoch, Mittel und Niedrig ausgedrückt |
| Verfügbarkeit (A) | Verfügbarkeit ist ein Sicherheitsziel eines Ziels und wird als Akt der Sicherstellung des zeitnahen und zuverlässigen Zugriffs auf und der Verwendung von Informationen definiert. Die Verfügbarkeit wird als Hoch, Mittel und Niedrig ausgedrückt |
| Baseline-Kontrollen | Baselinekontrollen sind empfohlene Sicherheitskontrollen des National Institute of Standards and Technology (NIST), die bei Implementierung und Feststellung ihrer Effektivität das Sicherheitsrisiko verringern und gleichzeitig die Sicherheitsanforderungen erfüllen. Baseline-Kontrollen haben einen festgelegten Auswirkungswert, der eine Kombination aus den Werten „Hoch“, „Mittel“ und „Niedrig“ ist. |
| Auswirkungsanalyse | Die Auswirkungsanalyse bestimmt das Ausmaß, in dem vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinflussen können oder beeinflusst haben. Ein Ziel, bei dem alle drei CIA-Sicherheitsziele als „Gering“ ausgewertet werden, wird als „Geringe Auswirkung“ betrachtet und verwendet eine der Sicherheitskontrollen, die als „Geringer Auswirkungswert“ gekennzeichnet sind. Ebenso wird ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als Moderat ausgewertet wird, als Moderate-Auswirkung betrachtet und verwendet eine der Sicherheitskontrollen, die als Moderate Auswirkung gekennzeichnet sind. Ebenso wird ein Ziel, bei dem eines der drei CIA-Sicherheitsziele als „Hoch“ ausgewertet wird, als „Hoch“ betrachtet und verwendet eine der Sicherheitskontrollen, die als „Hohe Auswirkung“ gekennzeichnet sind. |
| Assurance | Assurance-Kontrollen erhöhen sowohl die Stärke der Sicherheit als auch das Maß an Vertrauen, dass die Funktionalität von Zielen korrekt, vollständig und konsistent ist, das Sicherheitsrisiko mindert und die Einhaltung der Sicherheitsanforderungen unterstützt |
| Verbreitet | Allgemeine Steuerungen sind Steuerungen, die von einem oder mehreren Zielen geerbt werden können |
| Kompensieren | Ausgleichskontrollen sind Kontrollen, die anstelle der empfohlenen Baseline-Sicherheitskontrollen eingesetzt werden können und einen gleichwertigen oder vergleichbaren Schutz für die Ziele bieten |
| Ergänzend | Zusätzliche Kontrollen sind Kontrollen, die als zusätzliche Sicherheitskontrollen verwendet werden können, um die Risikomanagementanforderungen eines Ziels angemessen zu erfüllen |
| Anpassung | Die Anpassung ist ein Prozess, bei dem eine Sicherheitskontroll-Baseline basierend auf Folgendem geändert wird: (i) Anleitung für die Umfangsdefinition von Zielen; (ii) Spezifikation der Sicherheitskontrollen, z. B. Ausgleich, falls erforderlich; und (ii) die Spezifikation der Organisation – definierte Parameter in den Sicherheitskontrollen über explizite Zuweisungs- und Auswahlanweisungen |