NIST RMF Unterstützende Konzepte
Machen Sie sich mit diesen Konzepten vertraut, die auf der Grundlage des Leitfadens NIST RMF entwickelt wurden.
Hinweis:
Ab Version 10.1.0 wird NIST RMF Use Case Accelerator nur für Kunden unterstützt, die das Produkt derzeit verwenden. Neue und bestehende Kunden sollten die Verwendung der Anwendung GRC: Kontinuierliche Autorisierungsüberwachung in Betracht ziehen. Für Details Continuous Authorization and Monitoring.
| Konzept | Beschreibung |
|---|---|
| Ziel | Das Ziel ist die Grundlage von NIST RMF Use Case Accelerator und allen zugehörigen -Konzepten. Das Ziel ist eine gemeinsam genutzte Tabelle der Produkte ServiceNow® GRC und mehrerer Anwendungsfallbeschleuniger. Sie ähneln dem Profilkonzept in den Core-Anwendungen GRC. Sie sind optional mit Profilen verknüpft, werden jedoch für alle Attribute verwendet, die für die Anwendungsfallbeschleuniger spezifisch sind. Hinweis: Jedes NIST RMF-Ziel repräsentiert während seines RMF-Lebenszyklus eindeutig ein einzelnes Profil. |
| Vertraulichkeit (C) | Vertraulichkeit ist ein Sicherheitsziel eines Ziels und wird definiert als der Vorgang, autorisierte Einschränkungen für den Zugriff auf Informationen und die Offenlegung von Informationen aufrechtzuerhalten, einschließlich Mitteln zum Schutz der Privatsphäre und proprietärer Informationen. Vertraulichkeit wird als Wert „Hoch“, „Mittel“ und „Niedrig“ ausgedrückt |
| Integrität (I) | Integrität ist ein Sicherheitsziel eines Ziels und wird als Akt des Schutzes vor unzulässiger Änderung oder Vernichtung von Informationen definiert. Dazu gehört auch die Sicherstellung der Nichtableugnung und Authentizität von Informationen. Integrität wird als Wert „Hoch“, „Mittel“ und „Niedrig“ ausgedrückt |
| Verfügbarkeit (A) | Verfügbarkeit ist ein Sicherheitsziel eines Ziels und wird als Akt der Sicherstellung des rechtzeitigen und zuverlässigen Zugriffs auf und der Verwendung von Informationen definiert. Verfügbarkeit wird als Wert von „Hoch“, „Mittel“ und „Niedrig“ ausgedrückt |
| Baseline-Steuerungen | Baseline-Kontrollen sind empfohlene Gruppen von Sicherheitskontrollen des National Institute of Standards and Technology (NIST), die, wenn sie implementiert und als effektiv erachtet werden, das Sicherheitsrisiko verringern und gleichzeitig die Sicherheitsanforderungen erfüllen. Baseline-Steuerungen haben einen festgelegten Auswirkungswert, der eine Kombination aus den Werten „Hoch“, „Mittel“ und „Niedrig“ ist. |
| Auswirkungsanalyse | Die Auswirkungsanalyse bestimmt das Ausmaß, in dem vorgeschlagene oder tatsächliche Änderungen am Ziel oder seiner Betriebsumgebung den Sicherheitsstatus des Ziels beeinflussen können oder beeinflusst haben. Ein Ziel, in dem alle drei CIA-Sicherheitsziele als „Niedrig“ ausgewertet werden, gilt als „Geringe Auswirkung“ und verwendet alle Sicherheitskontrollen, die als „Geringer Auswirkungswert“ gekennzeichnet sind. Ebenso gilt ein Ziel, in dem eines der drei CIA-Sicherheitsziele als „Moderat“ ausgewertet wird, als „Moderat-Auswirkung“ und verwendet eine der Sicherheitskontrollen, die als Wert „Moderate Auswirkung“ gekennzeichnet sind. Ebenso gilt ein Ziel, in dem eines der drei CIA-Sicherheitsziele als „Hoch“ ausgewertet wird, als „Hoch“ und verwendet eine der Sicherheitskontrollen, die als „Hoch“ gekennzeichnet sind. |
| Assurance | Bestätigungskontrollen erhöhen sowohl die Stärke der Sicherheit als auch den Grad des Vertrauens in die Richtigkeit, Vollständigkeit und Konsistenz der Funktionalität von Zielen, mindern das Sicherheitsrisiko und tragen zur Einhaltung der Sicherheitsanforderungen bei |
| Verbreitet | Allgemeine Steuerungen sind Steuerungen, die von einem oder mehreren Zielen geerbt werden können |
| Ausgleichend | Ausgleichskontrollen sind Kontrollen, die anstelle der empfohlenen Baseline-Sicherheitskontrollen eingesetzt werden können und einen entsprechenden oder vergleichbaren Schutz für die Ziele bieten |
| Ergänzend | Zusätzliche Steuerungen sind Steuerungen, die als zusätzliche Sicherheitskontrollen verwendet werden können, um die Risikomanagementanforderungen eines Ziels angemessen zu erfüllen |
| Anpassung | Anpassung ist ein Prozess, durch den eine Sicherheitskontroll-Baseline geändert wird, basierend auf: (i) Anleitung zur Umfangsdefinition für Ziele; (ii) Spezifikation der Sicherheitskontrollen, z. B. Kompensation, falls erforderlich; und (iv) Spezifikation der Organisation − definierte Parameter in den Sicherheitskontrollen über explizite Zuweisungs- und Auswahlanweisungen |