RMF-Schritt 2: Kategorisierung des Autorisierungspakets

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Im Schritt Kategorisieren definieren Sie die Relevanz oder Sensibilität Ihres Informationssystems gemäß potenziellen Worst-Case-Szenarien. Dies umfasst die Auswahl von NIST-Informationstypen für das Paket und die Verwendung der Informationstypen zum Definieren der Auswirkungsebenen für das Paket.

    Vorbereitungen

    Für die Verwendung von Kategorisierenerforderliche Rolle:
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.info_system_sec_officer
    Zum Schreiben in ein Autorisierungspaket erforderliche Rolle:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner
    • sn_irm_cont_auth.info_system_sec_manager
    • sn_irm_cont_auth.authorization_official
    • sn_irm_cont_auth.info_system_sec_officer
    Zur Auswahl der Informationstypen erforderliche Rolle:
    • sn_irm_cont_auth.admin
    • sn_irm_cont_auth.system_owner

    Zum Schreiben in überschriebene Felder des Paketformulars erforderliche Rolle: sn_irm_cont_auth.system_owner

    Warum und wann dieser Vorgang ausgeführt wird

    Wenn Sie im Formular „Autorisierungspaket“ auf Kategorisieren geklickt haben, wurden im Formular ein Feld „Auswirkung“, eine Registerkarte „Auswirkung“ und eine zugehörige Liste „Informationstypen“ angezeigt.

    Prozedur

    1. Wählen Sie in der zugehörigen Liste „Informationstypen“ Bearbeiten aus.
      Hinweis:
      Wenn Sie die Informationstypen auswählen, werden Anleitungen zum ausgewählten Informationstyp angezeigt, einschließlich Name, Kategorien und CIA-Bewertungen (Confidentiality, Integrity, and Availability) für den Informationstyp.
      Auswahlformular für Informationstypen
    2. Wählen Sie die Informationstypen, die Sie für dieses Autorisierungspaket auswählen möchten, mehrfach aus, und verschieben Sie sie in das Listenfeld „Informationstypen“.
    3. Wenn Sie Ihre Auswahl abgeschlossen haben, wählen Sie Speichern.

      Die zugehörige Liste „Informationstypen“ enthält jetzt die Anleitungsinformationen für die von Ihnen ausgewählten Informationstypen.

      Liste der Informationstypen
    4. Wählen Sie die Registerkarte Auswirkung, und überprüfen Sie die empfohlenen Auswirkungen für die von Ihnen ausgewählten Informationstypen.
      Hinweis:
      Die in den empfohlenen Feldern angezeigten Auswirkungen spiegeln das Worst-Case-Szenario der von Ihnen ausgewählten Informationstypen wider. Wenn Sie beispielsweise einen Informationstyp mit hohen CIA-Ebenen auswählen, würden in den Feldern Empfohlen auf der Registerkarte Auswirkung alle Risikostufen hoch angezeigt. Die CIA-Ebenen werden verwendet, um die Gesamtauswirkung der von Ihnen ausgewählten Informationstypen zu berechnen, die jetzt im Feld Auswirkung angezeigt wird.
    5. Sie können jede der Auswirkungsstufen überschreiben, indem Sie die Felder Überschrieben ändern und eine Begründung angeben.

      Wenn Sie Überschreibungen angeben, wird das Feld Auswirkung basierend auf den aktualisierten CIA-Ebenen entsprechend aktualisiert.

      Felder zum Überschreiben der Auswirkung
      Wichtig:
      Es ist wichtig, dass das Feld „Auswirkung“ die Auswirkungen der Daten, die Sie autorisieren, genau widerspiegelt. Alle diesem Punkt nachgelagerten Prozesse hängen von dieser Auswirkungsebene ab. Gemäß den NIST-Richtlinien hängt die Anzahl der zu implementierenden Steuerungen wie folgt von der Auswirkung ab:
      • Hohes Risiko = 343 Steuerungen
      • Moderates Risiko = 262 Steuerungen
      • Geringes Risiko = 125 Steuerungen
    6. Nachdem Sie die Auswirkungen definiert haben, wählen Sie Genehmigung anfordernaus.
      Eine Genehmigungsanforderung wird an den autorisierten Mitarbeiter gesendet, der im Navigationsbereich auf Meine Genehmigungen zugreift und die Informationen im Paket überprüft. Wenn die Genehmigung eingeht, geht das Paket in den Status Auswählen über.