NIST RMF Concepts de support
Familiarisez-vous avec ces concepts, développés à partir des NIST RMF conseils.
Remarque :
À partir de la version 10.1.0, le NIST RMF Use Case Accelerator sera pris en charge uniquement pour les clients qui utilisent actuellement le produit. Les clients nouveaux et existants devraient envisager d’utiliser l’application GRC : Surveillance continue des autorisations. Pour en savoir plus, Autorisation et surveillance en continu.
| Concept | Description |
|---|---|
| Cible | L’objectif est le fondement du NIST RMF Use Case Accelerator et de tous les concepts connexes. La cible est une table partagée entre les produits et plusieurs accélérateurs de cas d’utilisation ServiceNow® GRC . Ils sont similaires au concept de profils dans les applications principales GRC . Ils sont éventuellement liés à des profils, mais sont utilisés pour tous les attributs spécifiques aux accélérateurs de cas d’utilisation. Remarque : Chaque cible NIST RMF représente de manière unique un seul profil tout au long de son cycle de vie RMF. |
| Confidentialité (C) | La confidentialité est un objectif de sécurité d’une cible et est définie comme l’acte de préserver les restrictions autorisées sur l’accès et la divulgation des informations, y compris les moyens de protéger la vie privée et les informations exclusives. La confidentialité est exprimée en valeurs élevées, modérées et faibles |
| Intégrité (I) | L’intégrité est un objectif de sécurité d’une cible est définie comme un acte de protection contre la modification ou la destruction inappropriée des informations, et comprend la garantie de la non-répudiation et de l’authenticité des informations. L’intégrité est exprimée en valeurs élevées, modérées et faibles |
| Disponibilité (A) | La disponibilité est un objectif de sécurité d’une cible est définie comme l’acte d’assurer un accès et une utilisation rapides et fiables des informations. La disponibilité est exprimée en valeurs élevées, modérées et faibles |
| Contrôles de la base de référence | Les contrôles de base sont un ensemble de contrôles de sécurité recommandés par le National Institute of Standards and Technology (NIST) qui, lorsqu’ils sont mis en œuvre et jugés efficaces, atténueraient le risque de sécurité tout en se conformant aux exigences de sécurité. Les contrôles de la base de référence ont une valeur d’impact désignée qui est une combinaison de valeurs élevées, modérées ou faibles. |
| Analyse de l'impact | L’analyse de l’impact détermine dans quelle mesure les changements proposés ou réels apportés à la cible ou à son environnement d’exploitation peuvent affecter ou ont affecté l’état de sécurité de la cible. Une cible dans laquelle les trois objectifs de sécurité de la CIA sont évalués comme faibles est considérée comme ayant un impact faible et utilise l’un des contrôles de sécurité marqués comme une valeur d’impact faible. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué à modéré est considérée comme ayant un impact modéré et utilise l’un des contrôles de sécurité marqués comme une valeur d’impact modéré. De même, une cible dans laquelle l’un des trois objectifs de sécurité de la CIA est évalué comme élevé est considérée comme ayant un impact élevé et utilise l’un des contrôles de sécurité marqués comme ayant une valeur d’impact élevé. |
| Assurance | Les contrôles d’assurance augmentent à la fois le niveau de sécurité et le degré de confiance dans l’exactitude, l’exhaustivité et la cohérence des fonctionnalités des cibles, dans la mesure où elles atténuent le risque de sécurité et aident à se conformer aux exigences de sécurité |
| Commun | Les contrôles communs sont des contrôles qui sont hérités par une ou plusieurs cibles |
| Compensation | Les contrôles compensatoires sont des contrôles qui peuvent être utilisés à la place des contrôles de sécurité de base recommandés et qui offrent une protection équivalente ou comparable pour les cibles |
| Supplémentaire | Les contrôles supplémentaires sont des contrôles qui peuvent être utilisés comme contrôles de sécurité supplémentaires pour répondre adéquatement aux besoins de gestion des risques d’une cible |
| Personnalisation | L’adaptation est un processus par lequel une base de référence de contrôle de sécurité est modifiée en fonction : (i) de l’orientation de la portée des cibles ; ii) la spécification des contrôles de sécurité, par exemple, la compensation, si nécessaire ; et (iii) la spécification de l’organisation - paramètres définis dans les contrôles de sécurité par le biais d’instructions d’affectation et de sélection explicites |