Richten Sie Baselinesteuerungen ein, um Steuerungen zu generieren und Anforderungen zu implementieren

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 5 Minuten Lesedauer

    • Verwenden Sie die Baseline-Steuerungen, um ein Steuerelement zu erben, ein Steuerelement als allgemein zu kennzeichnen oder ein Hybridsteuerelement zu erstellen. Erstellen Sie ein Hybridsteuerelement, um Anforderungen teilweise von allgemeinen Steuerelementen zu erben. Die verbleibenden Anforderungen werden für das Steuerelement erstellt, das aus dem Baseline-Steuerelement generiert wurde.

    Vorbereitungen

    Erforderliche Rolle: sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer, sn_irm_cont_auth.info_system_sec_manager

    Warum und wann dieser Vorgang ausgeführt wird

    Hybridsteuerungen bieten Ihnen nicht nur die Möglichkeit, Teilanforderungen von allgemeinen Steuerungen zu übernehmen, sondern geben Ihnen auch die Flexibilität, die allgemeinen Steuerungsanforderungen optimal zu nutzen und gleichzeitig die verbleibenden Anforderungen für diese Steuerung selbst zu implementieren.

    In CAM gibt es zwei Möglichkeiten, Steuerungen von den aus NIST 800-53-r5 bezogenen Kontrollzielen zu erben:
    Vom Anbieter erben
    Die Kontrolle wird direkt und vollständig geerbt. Wenn beispielsweise der allgemeine Anbieter, Gebäude A, ein Kontrollziel bereitstellt, bei dem es sich um die Verhinderung von Feuer handelt, und dieses Kontrollziel etwa drei verschiedene Anforderungen hat, und zwar Feuermelder, Rauchmelder und Beregnung, dann wird die Kontrolle direkt geerbt, indem sie als identifiziert wird Allgemeine Steuerung.
    Hinweis:
    Eine einem Autorisierungspaket zugeordnete Steuerung kann ein allgemeiner Anbieter für ein anderes Autorisierungspaket sein, wenn die Steuerung in ihrem Autorisierungspaket als allgemeiner Steuerungsanbieter markiert ist und dieses Paket den Status „Überwachen“ aufweisen muss. Nur dann wird es als allgemeines Steuerelement bezeichnet.
    Hybridvererbung
    Die Steuerung wird teilweise geerbt. In diesem Fall werden nur eine oder mehrere der Anforderungen des Steuerelements geerbt. Betrachtet man das vorherige Beispiel, wird die Hybridvererbung in den folgenden Kombinationen aktiviert:
    • Eine der Anforderungen, wie z. B. ein Feueralarm, kann von Gebäude A geerbt werden, und die anderen beiden Anforderungen können selbst implementiert werden.
    • Eine der Anforderungen, wie z. B. ein Feueralarm, kann von Gebäude A geerbt werden, und eine andere Anforderung, wie z. B. Rauchmelder, kann von Gebäude B geerbt werden. Die restlichen Anforderungen können selbst implementiert werden.
    • Alle Anforderungen werden geerbt. Diese Vererbung ist keine teilweise Vererbung, da mindestens eine der Anforderungen geerbt und eine selbst implementiert werden muss. Daher kann diese Übernahme nicht als hybride Übernahme bezeichnet werden.
    Hinweis:
    Die Rolle und Verantwortung für das Autorisierungspaket müssen einem Autorisierungsbeauftragten zugewiesen werden, der das Autorisierungspaket überprüfen und genehmigen muss, wenn es von einem Status in einen anderen verschoben wird. Der Sicherheitsbeauftragte für Informationssysteme (Information System Security Officer, ISSSO) ist erforderlich, um eine allgemeine Kontrolle zu markieren, eine hybride Kontrolle zu erstellen oder eine Kontrolle als nicht anwendbar zu identifizieren, da diese Kontrollziele vom NIST ermittelt werden. Nachdem der Autorisierungsbeauftragte die Genehmigung erteilt hat, wechselt das Autorisierungspaket in den Status Implementieren.

    Prozedur

    1. Navigieren zu Alle > Kontinuierliche Autorisierung und Überwachung > Alle Autorisierungspakete.
    2. Wählen Sie einen Autorisierungspaket-Datensatz aus, der sich im Status „ Auswählen “ befindet und dem die Baseline-Steuerungen hinzugefügt wurden.
      Im Status Auswählen werden alle Baseline-Steuerungen hinzugefügt, und Sie können die Rolle jeder Baseline-Steuerung identifizieren. Sie können ein Steuerelement erben, es als allgemein markieren oder ein Hybridsteuerelement erstellen.
    3. Um Baseline-Steuerungen von einem allgemeinen Steuerungsanbieter als allgemeine Steuerungen zuzuweisen, wählen Sie auf der Registerkarte Baseline-Steuerungen die Kontrollziele aus, die Sie als allgemeine Steuerungen zuweisen möchten.
      1. Wählen Sie Als Allgemein markieren und anschließend im Popup-Fenster Bestätigung die Option OK aus.
      2. Wählen Sie Genehmigung anfordern aus, um eine Genehmigung anzufordern.
        Nach der Genehmigung wird das Autorisierungspaket in den Status Implementieren verschoben. Bevor in den Status „Implementieren“ gewechselt wird, muss die Option Erstellt automatisch Steuerungen im Formular „Steuerungsziel“ für alle Baseline-Steuerungen und Hybridsteuerungen auf „true“ festgelegt sein. Andernfalls wird eine Fehlermeldung mit der Liste der Kontrollziele angezeigt, in der Sie aufgefordert werden, die Option Erstellt automatisch Steuerungen auf true zu setzen.
      3. Wählen Sie den Link Kontrollziele in der Nachricht aus, und aktivieren Sie die Option Erstellt automatisch Steuerungen für alle Kontrollziele im jeweiligen Kontrollzielformular.
      Nachdem das Autorisierungspaket genehmigt wurde, werden die Steuerungen auf der Registerkarte Steuerungen erstellt. Anschließend können Sie das Autorisierungspaket in den Status Bewerten verschieben. In diesem Status ist der Security Control Assessor (SCA) als Interaktionsleiter erforderlich, wenn die Interaktion zum Testen der Steuerungen erstellt wird. Nach diesem Status wird das Autorisierungspaket in den Status Autorisieren verschoben.

      Damit ein Autorisierungspaket als allgemeiner Steuerungsanbieter für andere Autorisierungspakete verfügbar ist, muss es sich im Status „Überwachen“ befinden. Nachdem das Autorisierungspaket in den Status „Überwachen“ versetzt und die Kennzeichnung „Allgemeiner Steuerungsanbieter“ für einige der Baselinesteuerungen auf „wahr“ festgelegt wurde, werden die Steuerungen, die für diese Baselinesteuerungen generiert wurden, zu allgemeinen Steuerungsanbietern für andere Autorisierungspakete.

    4. Um die Anforderungen von einer allgemeinen Steuerung eines bestimmten allgemeinen Steuerungsanbieters zu erben oder eine Hybridsteuerung zu erstellen, wählen Sie nur ein Kontrollziel auf der Registerkarte Baseline-Steuerungen aus.
      1. Wählen Sie Hybrid erstellen aus.
        Im Popup-Fenster Hybridsteuerung erstellen werden die Entitäten in Gruppen aufgelistet. Die Gruppierung nach Entität hilft, wenn der Referenznummer eines Kontrollziels weitere Anforderungsnummern hinzugefügt werden. Sie können Anforderungen teilweise von einigen der gängigen Steuerungsanbieter erben und den Rest der Anforderungen selbst implementieren. Wenn Sie alle Steuerungsanforderungen aus allen Kategorien von Anbietern für die Übernahme ohne eine einzige selbst implementierte Anforderung auswählen, werden die Anforderungen nicht teilweise übernommen, sondern werden zu einer vollständigen Übernahme aller Anforderungen, was nicht zulässig ist. Mindestens eine selbst implementierte Anforderung ist erforderlich, um ein Hybridsteuerelement zu erstellen.
      2. Wählen Sie die Anforderungen aus den Entitätsgruppierungen aus, und lassen Sie eine oder mehrere Anforderungen zur Selbstimplementierung für diese Steuerung übrig.
      3. Wählen Sie Hinzufügen.
        Die zugehörige Liste „Hybridsteuerungen“ wird mit den ausgewählten Baseline-Steuerungen angezeigt. Eine Baseline-Steuerung ist ein M2M eines Kontrollziels und eines Autorisierungspakets.
        Abbildung : 1. UI-Aktionen für Baseline-Steuerungen
        Richten Sie Baselinesteuerungen ein, um Steuerungen und Anforderungen zu erben.
      4. Wählen Sie das Symbol Hierarchische Listen anzeigen/ausblenden (Symbol zum Anzeigen oder Ausblenden hierarchischer Listen.), um die geerbten Anforderungen anzuzeigen.
        Alle anderen Anforderungen, die hier nicht aufgeführt sind, wurden selbst implementiert.
        Hinweis:
        Zum Erstellen hybrider Steuerungen können nur allgemeine Steuerungsanbieter mit Steuerungsanforderungen verwendet werden.
    5. Um Steuerungen von einem allgemeinen Anbieter zu erben, wählen Sie ein Kontrollziel aus der zugehörigen Liste „Baseline-Steuerungen“ aus.
      1. Wählen Sie Vom Anbieter erben und dann im Popup-Fenster Von allgemeinem Steuerelement erben die Liste Allgemeine Steuerung aus.
      2. Wählen Sie die Steuerungen aus, die Sie erben möchten, und wählen Sie dann Bestätigenaus.
        Die Entitäten der von Ihnen ausgewählten Steuerungen werden zum allgemeinen Anbieter. Für jedes dieser Autorisierungspakete gibt es eine zugehörige Liste für geerbte Steuerungen. Das Feld Geerbt von in dieser zugehörigen Liste enthält Informationen dazu, welche Steuerung der allgemeine Steuerungsanbieter ist.
        Hinweis:
        Für die Übernahme von einem Provider (direkte Übernahme) ist das Steuerelement möglicherweise nicht erforderlich.
    6. Um ein bestimmtes Baseline-Steuerelement als nicht zutreffend zu kennzeichnen, damit es sich außerhalb des Workflows befindet und das Generieren von Steuerungen nicht zulässt, wählen Sie ein Baseline-Steuerelement aus
      1. Wählen Sie Nicht zutreffend aus.
      2. Geben Sie im Feld Begründung eine Notiz ein, um Ihre Aktion zu begründen, und wählen Sie Bestätigenaus.
        Diese Aktion ändert den Status der ausgewählten Baseline-Steuerung in Nicht implementiert.
      Im Status „ Auswählen “ haben Sie das Setup für den Typ der zu generierenden Steuerungen vorgenommen. Nachdem das Setup abgeschlossen ist, können Sie das Autorisierungspaket genehmigen.
    7. Wählen Sie Genehmigung anfordern aus.
      Das Autorisierungspaket wechselt dann in den Status Implementieren. In diesem Status werden basierend auf dem Setup Steuerungen erstellt.