Utilisez les contrôles de base de référence pour hériter d’un contrôle, marquer un contrôle comme commun ou créer un contrôle hybride. Créez un contrôle hybride pour hériter partiellement des exigences des contrôles communs et les exigences restantes sont créées pour le contrôle généré à partir du contrôle de base de référence.
Avant de commencer
Rôle requis : sn_irm_cont_auth.system_owner, sn_irm_cont_auth.info_system_sec_officer sn_irm_cont_auth.info_system_sec_manager
Pourquoi et quand exécuter cette tâche
Les contrôles hybrides vous donnent non seulement la possibilité d’hériter des exigences partielles des contrôles communs, mais vous donnent également la flexibilité nécessaire pour tirer le meilleur parti des exigences de contrôle courantes tout en mettant en œuvre automatiquement les exigences restantes pour ce contrôle.
Il CAM existe deux façons d’hériter des contrôles des objectifs de contrôle provenant de la norme NIST 800-53-r5 :
Hériter du fournisseur
Le contrôle est hérité directement et complètement. Par exemple, si le fournisseur commun, le bâtiment A, fournit un objectif de contrôle qui est la prévention des incendies, et que cet objectif de contrôle comporte environ trois exigences différentes, à savoir l’alarme incendie, la détection de fumée et l’arrosage, alors le contrôle est directement hérité en l’identifiant comme contrôle commun.
Remarque :
Un contrôle associé à un package d’autorisation peut être un fournisseur commun à un autre package d’autorisation si le contrôle est marqué comme fournisseur de contrôle commun dans son package d’autorisation et que ce package particulier doit être en état de surveillance. Ce n’est qu’alors qu’on l’appelle un contrôle commun.
Héritage hybride
Le contrôle est partiellement hérité. Dans ce cas, seules une ou quelques-unes des exigences du contrôle sont héritées. Si l’on considère l’exemple précédent, l’héritage hybride est activé dans les combinaisons suivantes :
L’une des exigences telles que l’alarme incendie peut être héritée du bâtiment A, et les deux autres exigences peuvent être mises en œuvre automatiquement.
L’une des exigences telles que l’alarme incendie peut être héritée du bâtiment A, et une autre exigence telle que la détection de fumée peut être héritée du bâtiment B. Le reste peut être auto-implémenté.
Toutes les exigences sont héritées. Cet héritage n’est pas un héritage partiel, car au moins une des exigences doit être héritée et l’autre doit être auto-implémentée. Par conséquent, cet héritage ne peut pas être qualifié d’héritage hybride.
Remarque :
Le rôle et la responsabilité du package d’autorisation doivent être affectés à un responsable de l’autorisation (AO) qui doit examiner et approuver le package d’autorisation lorsqu’il passe d’un état à un autre. L’ISSM (Information System Security Officer) est tenu de marquer un contrôle commun, de créer un contrôle hybride ou d’identifier un contrôle comme non applicable, car ces objectifs de contrôle sont fournis par le NIST. Une fois que l’agent d’autorisation (AO) a fourni l’approbation, le package d’autorisation passe à l’état Implémenter.
Procédure
Accédez à la Tous > Continuous Authorization and Monitoring > Tous les packages d'autorisation.
Sélectionnez un enregistrement de package d’autorisation qui est dans un état sélectionné et auquel les contrôles de base de référence ont été ajoutés.
Dans l’état Sélectionner , tous les contrôles de base de référence sont ajoutés et vous pouvez identifier le rôle de chaque contrôle de base de référence. Vous pouvez hériter d’un contrôle, le marquer comme commun ou créer un contrôle hybride.
Pour affecter des contrôles de base de référence à partir d’un fournisseur de contrôle commun en tant que contrôles communs, sélectionnez les objectifs de contrôle dans l’onglet Contrôles de base de référence que vous souhaitez affecter en tant que contrôles communs.
Sélectionnez Marquer comme commun , puis OK dans la fenêtre contextuelle de confirmation.
Sélectionnez Demander l’approbation pour demander l’approbation.
Après approbation, le package d’autorisation passe à l’état Implémenter. Avant de passer à l’état Implémenter, l’option Crée automatiquement des contrôles du formulaire d’objectif de contrôle doit être vraie pour tous les contrôles de base de référence et les contrôles hybrides. Sinon, un message d’erreur s’affiche avec la liste des objectifs de contrôle vous invitant à définir l’option Crée automatiquement des contrôles sur vrai.
Sélectionnez le lien des objectifs de contrôle dans le message et activez l’option Crée automatiquement des contrôles pour tous les objectifs de contrôle dans le formulaire d’objectif de contrôle respectif.
Une fois le package d’autorisation approuvé, les contrôles sont créés dans l’onglet Controls. Vous pouvez ensuite faire passer le package d’autorisation à l’état Évaluer. Dans cet état, l’évaluateur des contrôles de sécurité (SCA) est requis en tant que responsable de l’engagement, où l’engagement est créé pour tester les contrôles. Après cet état, le package d’autorisation passe à l’état Autorisé.
Pour qu’un package d’autorisation soit disponible en tant que fournisseur de contrôle commun pour d’autres packages d’autorisation, il doit être à l’état Surveillance. Une fois que le package d’autorisation est passé à l’état Surveillance et que le marqueur du fournisseur de contrôle commun est défini sur vrai pour quelques-uns des contrôles de base de référence, les contrôles qui ont été générés pour ces contrôles de base de référence deviennent des fournisseurs de contrôle communs pour d’autres packages d’autorisation.
Pour hériter des exigences d’un contrôle commun d’un fournisseur de contrôle commun particulier ou créer un contrôle hybride, sélectionnez un seul objectif de contrôle dans l’onglet Contrôles de la base de référence.
Sélectionnez Créer un hybride.
La fenêtre contextuelle Créer un contrôle hybride répertorie les entités dans des groupes. Le regroupement par entité est utile lorsque d’autres numéros d’exigence sont ajoutés au numéro de référence d’un objectif de contrôle. Vous pouvez hériter partiellement des exigences de certains fournisseurs de contrôle courants et implémenter vous-même le reste des exigences. Si vous sélectionnez toutes les exigences de contrôle de toutes les catégories de fournisseurs pour l’héritage sans une seule exigence auto-implémentée, les exigences ne sont pas partiellement héritées, mais deviennent l’héritage complet de toutes les exigences, ce qui n’est pas autorisé. Au moins une exigence auto-implémentée est requise pour créer une commande hybride.
Sélectionnez les exigences dans les regroupements d’entités, laissant une ou plusieurs exigences pour l’auto-implémentation pour ce contrôle.
Sélectionnez Ajouter.
La liste connexe des contrôles hybrides s’affiche avec les contrôles de base de référence sélectionnés. Un contrôle de base de référence est un m2m d’un objectif de contrôle et d’un package d’autorisation.
Figure 1. Actions d’interface utilisateur sur les contrôles de la base de référence
Sélectionnez l’icône Afficher/masquer les listes hiérarchiques ( pour afficher les exigences héritées.
Toutes les autres exigences qui ne sont pas énumérées ici sont auto-implémentées.
Remarque :
Seuls les fournisseurs de contrôle courants avec des exigences de contrôle peuvent être utilisés pour créer des contrôles hybrides.
Pour hériter des contrôles d’un seul fournisseur, sélectionnez un objectif de contrôle dans la liste connexe des contrôles de la base de référence.
Sélectionnez Hériter d’un seul fournisseur , puis sélectionnez la liste Contrôle commun dans la fenêtre contextuelle Hériter d’un contrôle commun.
Sélectionnez les contrôles dont vous souhaitez hériter, puis sélectionnez Confirmer.
Les entités des contrôles que vous sélectionnez deviennent le fournisseur commun. Pour chacun de ces packages d’autorisation, il existe une liste connexe de contrôles hérités. Le champ Hérité de de cette liste connexe vous donne des informations sur le contrôle qui est le fournisseur de contrôle commun.
Remarque :
Pour hériter d’un fournisseur, qui est un héritage direct, il n’y a peut-être aucune exigence de contrôle.
Pour hériter des contrôles de plusieurs fournisseurs, sélectionnez un objectif de contrôle dans la liste connexe des contrôles de la base de référence.
Sélectionnez Hériter de plusieurs fournisseurs.
Sélectionnez les besoins, puis sélectionnez Ajouter.
Contrairement aux contrôles hérités d’un seul fournisseur, les contrôles entièrement hérités génèrent une instance de contrôle et des modèles de test, de sorte que les évaluateurs des contrôles de sécurité (SCA) peuvent tester les contrôles dans le cadre de leurs engagements. Toutes les exigences sont héritées des packages des fournisseurs.
Les contrôles entièrement hérités diffèrent des contrôles hybrides d’une manière essentielle : dans un contrôle hybride, au moins une exigence est auto-implémentée par le package actuel. Dans un contrôle entièrement hérité, toutes les exigences doivent être héritées.
Pour marquer un contrôle de base de référence particulier comme non applicable afin qu’il soit hors du flux de travail et ne pas autoriser la génération de contrôles, sélectionnez un contrôle de base de référence
Sélectionnez Non applicable.
Saisissez une note pour justifier votre action dans le champ Justification , puis sélectionnez Confirmer.
Cette action modifie l’état du contrôle de la base de référence sélectionné en Non implémenté.
Dans l’état Sélectionner , vous avez configuré le type de contrôles à générer. Une fois la configuration terminée, vous pouvez approuver le package d’autorisations.
Sélectionnez Demander l’approbation.
Le package d’autorisation passe ensuite à l’état Implémenter . Dans cet état, en fonction de la configuration, des contrôles sont créés.
pour afficher les exigences héritées.
Toutes les autres exigences qui ne sont pas énumérées ici sont auto-implémentées.Remarque :Seuls les fournisseurs de contrôle courants avec des exigences de contrôle peuvent être utilisés pour créer des contrôles hybrides.